如何檢視網站伺服器被攻擊的痕跡
目前越來越多的伺服器被入侵,以及攻擊事件頻頻的發生,像資料被竊取,資料庫被篡改,使用者資料被脫褲,網站被強制跳轉到惡意網站上,網站在百度的快照被劫持,等等的攻擊症狀層出不窮,當我們的伺服器被攻擊,被黑的時候我們第一時間該怎麼去處理解決呢?
如何排查伺服器被入侵攻擊的痕跡呢?是否有應急處理方案,在不影響網站訪問的情況下,很多客戶出現以上攻擊情況的時候,找到我們SINE安全來處理解決伺服器被攻擊問題,我們sine安全工程師總結了一套自有的辦法,分享給大家,希望大家能在第一時間解決掉伺服器被黑的問題。有些客戶遇到這種情況,第一時間想到的就是先把伺服器關機,通知機房拔掉電源,有的是直接先關閉網站,這些措施只能先解決目前的問題,解決不了問題的根源,所以遇到伺服器被攻擊的情況,我們應該詳細的檢查日誌,以及入侵痕跡,溯源,查詢漏洞,到底是哪裡導致的伺服器被入侵攻擊。
首先我們應該從以下方面入手:
檢查伺服器的程式是不是有惡意的程式,以及管理員賬號是否被惡意增加,對伺服器的埠進行檢視,有沒有開啟多餘的埠,再一個對伺服器的登陸日誌進行檢查,伺服器的預設開啟啟動項,服務以及計劃任務,檢查網站是否存在木馬後門,以及伺服器系統是否中病毒。
如何檢視程式?開啟伺服器,在cmd命令下輸入tasklis,或者是右鍵工作管理員來進行檢視程式,點顯示所有使用者的程式就可以,我們綜合的分析,根據這個記憶體使用較大,CPU佔用較多來初步的看下,哪些程式在不停的使用,就能大概判斷出有沒有異常的程式,一般來說載入到程式的都是系統後門,檢視到程式詳細資訊使用PID來檢視,再用命令findstr來查詢程式呼叫的檔案存放在哪裡。截圖如下:
接下來就是檢視系統是否存在其他惡意的管理員賬號,cmd命令下輸入net user就會列出當前伺服器裡的所有賬號,也可以透過登錄檔去檢視管理員賬號是否被增加,登錄檔這裡是需要在命令中輸入egedit來開啟登錄檔,找到HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names可以看到所有的賬號名字。截圖如下:
埠方面的檢查,比如一些客戶伺服器經常遭受攻擊像3306資料庫埠,21FTP埠,135,445埠,1433sql資料庫埠,3389遠端桌面埠,是否是對外開放,如果這些埠對外開放,很有可能利用漏洞進行攻擊,入侵,還有弱口令賬號密碼,有些資料庫的root賬號密碼為空,以及FTP可以匿名連線,都可以導致伺服器被入侵。有些密碼還是123456,111111等等。遠端桌面的埠要修改掉,儘可能的防止攻擊者利用暴力破解的手段對伺服器進行登陸。可以對遠端登陸這裡做安全驗證,限制IP,以及MAC,以及計算機名,這樣大大的加強了伺服器的安全。還要對伺服器的登陸日誌進行檢查,看下日誌是否有被清空的痕跡,跟伺服器被惡意登陸的日誌記錄,一般來說很多攻擊者都會登陸到伺服器,肯定會留下登陸日誌,檢查事件682就可以查得到。
接下來要對伺服器的啟動項,服務以及計劃任務進行檢查,一般攻擊者提權入侵伺服器後,都會在伺服器裡植入木馬後門,都會插入到啟動項跟計劃任務,或者服務當中去,混淆成系統服務,讓管理員無法察覺,使用msconfig命令對伺服器進行檢視。
登錄檔這裡要檢查這幾項:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ HKEY_CLASSES_ROOT\exefile\shell\open\command
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\
最重要的是對服務裡的網站程式碼進行安全檢測,對比之前網站的備份檔案,看下有沒有多出一些可疑的程式碼檔案,圖片格式的可以忽略,主要是一些asp,aspx,php,jsp等指令碼執行檔案,對程式碼檢視是否含有eval等特殊字元的一句話木馬webshell,還有些加密的檔案,都有可能是網站木馬檔案,網站的首頁程式碼,標題描述,是否被加密,一些你看不懂的字元,這一般是網站被入侵了,一步一步導致的伺服器被攻擊。
整體上的伺服器被入侵攻擊排查就是上面講到的,還有一些是伺服器安裝的軟體,以及環境,像apache,strust2,IIS環境漏洞,都會導致伺服器被入侵,如果網站被篡改,一定要檢查網站存在的漏洞,是否存在sql注入漏洞,檔案上傳漏洞,XSS跨站漏洞,遠端程式碼執行漏洞,從多個方向去排查伺服器被入侵攻擊的問題。如果對伺服器不是太懂,可以找專業的網路安全公司去處理,國內sinesafe,啟明星辰,綠盟,都是比較不錯的,以上就是我們日常處理客戶伺服器總結的一套自有的方法去排查,找問題,溯源追蹤,徹底的防止伺服器繼續被黑,將損失降到最低。每個客戶的伺服器安裝的環境不一樣,以及程式碼如何編寫的,根據實際情況來排查解決問題。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31542418/viewspace-2655366/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 網站被黑該如何檢查攻擊來源以及被篡改資料的痕跡?網站
- 網站被攻擊如何防禦網站
- 網站被攻擊 如何修復網站漏洞網站
- 網站被攻擊怎麼辦 如何查詢網站漏洞攻擊源網站
- 網站存在被攻擊篡改資料的問題 該如何防止網站被攻擊網站
- 如何防止網站資料庫被攻擊 被篡改網站資料庫
- 網站被攻擊 該如何做好網站的安全防護?網站
- 香港雲伺服器網站被攻擊的解決方法伺服器網站
- CC攻擊原理是什麼?網站被CC攻擊如何防禦?網站
- 什麼是CC攻擊?網站被CC攻擊該如何防禦?網站
- 網站被駭客攻擊瞭如何解決網站
- 網站伺服器如何防止被攻擊?指令碼程式升級很重要!網站伺服器指令碼
- 如何防止伺服器被惡意網路攻擊?伺服器
- 網站如何防止攻擊網站
- 【知識分享】 伺服器被攻擊怎麼辦?如何防止伺服器被攻擊伺服器
- 網站被攻擊常見的形式有哪些?網站
- 什麼是CC攻擊?網站被CC攻擊怎麼辦?網站
- 防止網站被入侵攻擊的五個辦法網站
- 伺服器被攻擊瞭如何解決?伺服器
- 如何判斷伺服器是否被攻擊伺服器
- 如何降低網站被攻擊的風險?常用防護措施有哪些?網站
- 怎麼檢視網站是否被谷歌收錄,檢視網站是否被谷歌收錄的快速檢測方法網站谷歌
- 網站安全監測來看,網站被攻擊,被篡改佔比較高網站
- 記一次網站被攻擊 WebShell 分析網站Webshell
- 記一次網站被攻擊經歷網站
- 網站被CC攻擊會有哪些影響網站
- RAKsmart伺服器檢視網路攻擊和投訴封停的方法伺服器
- 網站被攻擊了 該怎麼解決防止被黑客攻擊的問題網站黑客
- 如何檢測網站被掛馬 安全專家教你3大招徹底防止攻擊網站
- 網站後臺資料被攻擊洩露篡改如何解決網站
- 企業網站被攻擊篡改的安全維護方案網站
- 網站被劫持攻擊以及流量攻擊如何解決網站
- 怎麼檢視網站是否被谷歌收錄,你會檢視網站被谷歌收錄的方法嗎網站谷歌
- 做好網站後如何讓這個網站被更多的人瀏覽檢視?網站
- 網頁瀏覽痕跡在哪裡徹底刪除_win10如何清除瀏覽器上網痕跡網頁Win10瀏覽器
- 如何有效判斷網站是否被攻擊?這幾點要牢記!網站
- 【解決方案】網站被DDoS攻擊打到癱瘓該如何應對?網站
- 怎麼檢視網站是否被谷歌收錄,檢視網站是否被谷歌收錄的詳細步驟網站谷歌