如何檢視網站伺服器被攻擊的痕跡

目前越來越多的伺服器被入侵，以及攻擊事件頻頻的發生，像資料被竊取，資料庫被篡改，使用者資料被脫褲，網站被強制跳轉到惡意網站上，網站在百度的快照被劫持，等等的攻擊症狀層出不窮，當我們的伺服器被攻擊，被黑的時候我們第一時間該怎麼去處理解決呢？

如何排查伺服器被入侵攻擊的痕跡呢？是否有應急處理方案，在不影響網站訪問的情況下，很多客戶出現以上攻擊情況的時候，找到我們SINE安全來處理解決伺服器被攻擊問題，我們sine安全工程師總結了一套自有的辦法，分享給大家，希望大家能在第一時間解決掉伺服器被黑的問題。有些客戶遇到這種情況，第一時間想到的就是先把伺服器關機，通知機房拔掉電源，有的是直接先關閉網站，這些措施只能先解決目前的問題，解決不了問題的根源，所以遇到伺服器被攻擊的情況，我們應該詳細的檢查日誌，以及入侵痕跡，溯源，查詢漏洞，到底是哪裡導致的伺服器被入侵攻擊。

首先我們應該從以下方面入手：

檢查伺服器的程式是不是有惡意的程式，以及管理員賬號是否被惡意增加，對伺服器的埠進行檢視，有沒有開啟多餘的埠，再一個對伺服器的登陸日誌進行檢查，伺服器的預設開啟啟動項，服務以及計劃任務，檢查網站是否存在木馬後門，以及伺服器系統是否中病毒。

如何檢視程式？開啟伺服器，在cmd命令下輸入tasklis，或者是右鍵工作管理員來進行檢視程式，點顯示所有使用者的程式就可以，我們綜合的分析，根據這個記憶體使用較大，CPU佔用較多來初步的看下，哪些程式在不停的使用，就能大概判斷出有沒有異常的程式，一般來說載入到程式的都是系統後門，檢視到程式詳細資訊使用PID來檢視，再用命令findstr來查詢程式呼叫的檔案存放在哪裡。截圖如下：

接下來就是檢視系統是否存在其他惡意的管理員賬號,cmd命令下輸入net user就會列出當前伺服器裡的所有賬號，也可以透過登錄檔去檢視管理員賬號是否被增加，登錄檔這裡是需要在命令中輸入egedit來開啟登錄檔，找到HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names可以看到所有的賬號名字。截圖如下：

埠方面的檢查，比如一些客戶伺服器經常遭受攻擊像3306資料庫埠，21FTP埠，135,445埠，1433sql資料庫埠，3389遠端桌面埠，是否是對外開放，如果這些埠對外開放，很有可能利用漏洞進行攻擊，入侵，還有弱口令賬號密碼，有些資料庫的root賬號密碼為空，以及FTP可以匿名連線，都可以導致伺服器被入侵。有些密碼還是123456,111111等等。遠端桌面的埠要修改掉，儘可能的防止攻擊者利用暴力破解的手段對伺服器進行登陸。可以對遠端登陸這裡做安全驗證，限制IP，以及MAC，以及計算機名，這樣大大的加強了伺服器的安全。還要對伺服器的登陸日誌進行檢查，看下日誌是否有被清空的痕跡，跟伺服器被惡意登陸的日誌記錄，一般來說很多攻擊者都會登陸到伺服器，肯定會留下登陸日誌，檢查事件682就可以查得到。

接下來要對伺服器的啟動項，服務以及計劃任務進行檢查，一般攻擊者提權入侵伺服器後，都會在伺服器裡植入木馬後門，都會插入到啟動項跟計劃任務，或者服務當中去，混淆成系統服務，讓管理員無法察覺，使用msconfig命令對伺服器進行檢視。

登錄檔這裡要檢查這幾項：

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ HKEY_CLASSES_ROOT\exefile\shell\open\command

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\

最重要的是對服務裡的網站程式碼進行安全檢測，對比之前網站的備份檔案，看下有沒有多出一些可疑的程式碼檔案，圖片格式的可以忽略，主要是一些asp，aspx，php，jsp等指令碼執行檔案，對程式碼檢視是否含有eval等特殊字元的一句話木馬webshell,還有些加密的檔案，都有可能是網站木馬檔案，網站的首頁程式碼，標題描述，是否被加密，一些你看不懂的字元，這一般是網站被入侵了，一步一步導致的伺服器被攻擊。

整體上的伺服器被入侵攻擊排查就是上面講到的，還有一些是伺服器安裝的軟體，以及環境，像apache,strust2，IIS環境漏洞，都會導致伺服器被入侵，如果網站被篡改，一定要檢查網站存在的漏洞，是否存在sql注入漏洞，檔案上傳漏洞，XSS跨站漏洞，遠端程式碼執行漏洞，從多個方向去排查伺服器被入侵攻擊的問題。如果對伺服器不是太懂，可以找專業的網路安全公司去處理，國內sinesafe,啟明星辰，綠盟，都是比較不錯的，以上就是我們日常處理客戶伺服器總結的一套自有的方法去排查，找問題，溯源追蹤，徹底的防止伺服器繼續被黑，將損失降到最低。每個客戶的伺服器安裝的環境不一樣，以及程式碼如何編寫的，根據實際情況來排查解決問題。