【知識分享】伺服器被入侵後需要怎麼操作
首先要防止對方透過現有的系統環境再次登入,條件允許的情況下最好將WEB, FTP ,MAIL ,SQL等服務事先關閉等檢查需要時再開啟(極端的情況下可以直接用IP策略封掉除自己以外所有的雙向網路連線)
同時要保證當前系統環境的穩定正常,對檔案的操作壹基比小鑫建議使用everyone拒絕的形式而不是直接刪除。
1. 檢查系統賬號
透過本地使用者和組(lusrmgr.msc)檢視否存在多個管理員或克隆使用者。多餘的管理員修改密碼後全部禁止,克隆帳號會繼承原使用者的資料,比如帳號說明之類的很好區分。開啟regedt32 給HKEY_LOCAL_MACHINESAMSAM加上administrators全權(一般駭客已經幫你完成了這步)就能看到SAM項下的內容。 HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames下可以看到使用者的列表,預設的二進位制鍵值記錄的是帳號對應的UID,例如0x1f4。UID列表對應於HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers 這裡是帳號的許可權資訊,例如0x1f4對應000001F4項。找到克隆帳號修改掉他的UID將其刪除,還原登錄檔許可權。
2. 檢查程式
可以透過第三方工具冰刃(iecsword)進行程式檢查。發現可疑的程式全部關閉(system32svchost.exe,lsass.exe,winlogon.exe,csrss.exe為關鍵的系統程式,確認程式檔案路徑的情況下不要去關閉。) 。如是冰刃中提示存在但程式管理器中無法看到的,在該程式的“模組資訊中“找出該程式是插入到哪個程式中的並將其“強制解除“(有可能會系統自動重啟,如插入的是系統的關鍵程式,需事先EVERYONE拒絕掉該程式檔案後再強制解除,DLL檔案反註冊後再執行之前的操作)。
3. 檢查系統環境
C:Documents and SettingsAllUsersDocuments
C:Documents and SettingsAllUsersApplication Data
C:wmpubwmiislog
下是否有可疑程式。
C:Documents and Settings下是否有其他使用者的目錄。如果存在則進入該使用者目錄搜尋*.exe *.com *.bat可能會找到一些登入後用過的工具以便分析入侵過程。
C:Documents and SettingsxxxxxLocalSettings目錄下能找到該使用者一些訪問的快取記錄也有助於分析。
檢查當前埠使用狀態,被動模式的木馬會監聽埠來等待連線。可以透過netstat -anb |more 來獲取當前埠的使用狀態和對應的程式名(只用於03系統)。
windows目錄和system32目錄右擊→檔案檢視→詳細資訊→按日期排列後找出最近建立的exe和dll檔案對其進行排查。
檢查防毒軟體的日誌記錄,一般透過WEB進行提權的,獲得上傳許可權後會透過某個站點上傳WEB木馬這時候往往可以從防毒軟體的日誌中發現一些記錄。入侵後上傳的程式很有可能被當做病毒清除。透過日誌可以獲得木馬路徑以及木馬程式名稱。
檢查cmd.exe net.exe net1.exe cacls.exe regedit.exe regedt32.exe程式的許可權是否有被修改。
檢查系統啟動組(msconfig)以及組策略(gpedit.msc)。組策略中的管理模版→系統→登入要注意。
4. 檢查服務程式
檢查SERV-U使用者是否有系統管理員許可權。搜尋SERV-U配置檔案ServUDaemon.ini 關鍵字為“system”。如發現Maintenance=System則此使用者的許可權存在問題,更換SERV-U除兩個.ini外的全部檔案以防止捆綁,完成後給SERV-U加上管理密碼。
檢查SQL SERVER是否有system Administrators角色的使用者,是否有使用者擁有多個庫的訪問許可權。
MYSQL備份好MYSQL庫檢查USER表。表中每行代表一個使用者的許可權,發現與ROOT內容相同的行一律刪除。
5. 檢查完成後的處理
修復和更新可能受損的防毒軟體,重新配置安全環境。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70013663/viewspace-2931744/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 【知識分享】怎麼防止伺服器被攻擊伺服器
- 【知識分享】 伺服器被攻擊怎麼辦?如何防止伺服器被攻擊伺服器
- 【知識分享】伺服器被攻擊後如何補救伺服器
- 【知識分享】預防伺服器硬碟損壞需要操作哪些伺服器硬碟
- 【知識分享】怎麼在伺服器上搭建網站(搭建伺服器需要什麼)伺服器網站
- 怎麼檢測伺服器是否被入侵伺服器
- 【知識分享】什麼是伺服器租用需要注意什麼伺服器
- 【知識分享】伺服器是否穩定怎麼看伺服器
- 【知識分享】網站更換伺服器需要注意什麼網站伺服器
- 【知識分享】伺服器DNS錯誤該怎麼辦伺服器DNS
- 【知識分享】伺服器硬體該怎麼維護伺服器
- 【知識分享】伺服器為什麼要測壓需要注意什麼伺服器
- 【知識分享】香港伺服器的IPMI是什麼?為什麼需要它?伺服器
- 【知識分享】免備案伺服器有哪些怎麼選伺服器
- 【知識分享】伺服器是否需要安裝防毒軟體伺服器防毒
- 【知識分享】伺服器出現404錯誤怎麼處理伺服器
- 伺服器被攻擊後,我學到的知識...伺服器
- 【知識分享】多ip伺服器的租用需要考慮哪些伺服器
- Linux伺服器被入侵後的處理過程Linux伺服器
- 【知識分享】什麼是終端伺服器伺服器
- 【知識分享】linux伺服器目錄檔案的命令操作Linux伺服器
- 代理伺服器 【知識分享】伺服器
- 【知識分享】為什麼國內伺服器需要實名認證和備案伺服器
- 【知識分享】租用大頻寬伺服器需要注意幾點伺服器
- 怎麼學好Java?需要學習哪些知識?Java
- 【知識分享】伺服器是幹什麼用的伺服器
- 【知識分享】快取伺服器有什麼作用快取伺服器
- 【知識分享】伺服器中的u代表什麼伺服器
- 【安全知識分享】如何避免伺服器被惡意網路攻擊伺服器
- 【知識分享】伺服器cdn是什麼有什麼功能伺服器
- 【知識分享】代理伺服器是什麼有什麼用伺服器
- 【知識分享】asp伺服器是什麼有什麼用途伺服器
- 【知識分享】網站出現500內部伺服器錯誤怎麼解決網站伺服器
- 【知識分享】1U和2U的伺服器怎麼選擇伺服器
- 伺服器被入侵後的一些處理辦法伺服器
- 【知識分享】伺服器為什麼要使用防火牆伺服器防火牆
- 【知識分享】什麼是網路儲存伺服器伺服器
- 【知識分享】 伺服器基礎知識【初學者必看】伺服器