每日更新av,久久久亚洲天堂精品999,日日摸夜夜爽无码,无码二区三区

您好,歡迎訪(fǎng)問(wèn)上海聚搜信息技術(shù)有限公司官方網(wǎng)站!

阿里云服務(wù)器被黑該如何查找入侵、攻擊痕跡,怎么清除掛馬

時(shí)間:2022-03-28 00:10:50 點(diǎn)擊:
阿里云服務(wù)器被黑該如何查找入侵、攻擊痕跡,怎么清除掛馬
當公司的網(wǎng)站服務(wù)器被黑,被入侵導致整個(gè)網(wǎng)站,以及業(yè)務(wù)系統癱瘓,給企業(yè)帶來(lái)的損失無(wú)法估量,但是當發(fā)生服務(wù)器被攻擊的情況,作為服務(wù)器的維護人員應當在第一時(shí)間做好安全響應,對服務(wù)器以及網(wǎng)站應以最快的時(shí)間恢復正常運行,讓損失減少到最低,針對于黑客攻擊的痕跡應該如何去查找溯源,還原服務(wù)器被攻擊的現場(chǎng),阿里云服務(wù)器代理商【聚搜云】制定了詳細的服務(wù)器被黑自查方案。
目前網(wǎng)站服務(wù)器被攻擊的特征如下:
網(wǎng)站被攻擊:網(wǎng)站被跳轉到賭博網(wǎng)站,網(wǎng)站首頁(yè)被篡改,百度快照被改,網(wǎng)站被植入webshell腳本木馬,網(wǎng)站被DDOS、CC壓力攻擊。
服務(wù)器被黑:服務(wù)器系統中木馬病毒,服務(wù)器管理員賬號密碼被改,服務(wù)器被攻擊者遠程控制,服務(wù)器的帶寬向外發(fā)包,服務(wù)器被流量攻擊,ARP攻擊(目前這種比較少了,現在都是基于阿里云,百度云,騰訊云,西部數碼等云服務(wù)器)
關(guān)于服務(wù)器被黑我們該如何檢查被黑?
賬號密碼安全檢測:
首先我們要檢查我們服務(wù)器的管理員賬號密碼安全,查看服務(wù)器是否使用弱口令,比如123456.123456789,123123等等密碼,包括administrator賬號密碼,Mysql數據庫密碼,網(wǎng)站后臺的管理員密碼,都要逐一的排查,檢查密碼安全是否達標。
再一個(gè)檢查服務(wù)器系統是否存在惡意的賬號,以及新添加的賬號,像admin,admin$,這樣的賬號名稱(chēng)都是由攻擊者創(chuàng )建的,只要發(fā)現就可以大致判斷服務(wù)器是被黑了。檢查方法就是打開(kāi)計算機管理,查看當前的賬號,或者cmd命令下:net user查看,再一個(gè)看注冊表里的賬號。
通過(guò)服務(wù)器日志檢查管理員賬號的登錄是否存在惡意登錄的情況,檢查登錄的時(shí)間,檢查登錄的賬號名稱(chēng),檢查登錄的IP,看日志可以看680.682狀態(tài)的日志,逐一排查。
服務(wù)器端口、系統進(jìn)程安全檢測:
打開(kāi)CMD netstat -an 檢查當前系統的連接情況,查看是否存在一些惡意的IP連接,比如開(kāi)放了一些不常見(jiàn)的端口,正常是用到80網(wǎng)站端口,8888端口,21FTP端口,3306數據庫的端口,443 SSL證書(shū)端口,9080 java端口,22 SSH端口,3389默認的遠程管理端口,1433 SQL數據庫端口。除以上端口要正常開(kāi)放,其余開(kāi)放的端口就要仔細的檢查一下了,看是否向外連接。如下圖:
再一個(gè)查看進(jìn)程,是否存在惡意進(jìn)程,像木馬后門(mén)都會(huì )植入到進(jìn)程當中去。新手如果不懂如何查看進(jìn)程,可以使用工具,微軟process Explorer,還有剪刀手,最簡(jiǎn)單的就是通過(guò)任務(wù)管理器去查看當前的進(jìn)程,像linux服務(wù)器需要top命令,以及ps命令查看是否存在惡意進(jìn)程。一般如果被黑,可以從以下幾大方面判斷,cpu占用過(guò)高,有些進(jìn)程沒(méi)有正式的簽名,進(jìn)程的路徑不合法,不是系統目錄。
服務(wù)器啟動(dòng)項、計劃任務(wù)安全檢測:
查看服務(wù)器的啟動(dòng)項,輸入msconfig命令,看下是否有多余的啟動(dòng)項目,如果有檢查該啟動(dòng)項是否是正常。再一個(gè)查看服務(wù)器的計劃任務(wù),通過(guò)控制面板,組策略查看。服務(wù)自啟動(dòng),查看系統有沒(méi)有自己主動(dòng)啟動(dòng)一些進(jìn)程。
服務(wù)器的后門(mén)木馬查殺
下載360殺毒,并更新病毒庫,對服務(wù)器進(jìn)行全面的安全檢測與掃描,修復系統補丁,對網(wǎng)站的代碼進(jìn)行人工的安全檢測,對網(wǎng)站漏洞的檢測,網(wǎng)站木馬后門(mén)的檢測,也可以使用webshell查殺工具來(lái)進(jìn)行查殺,最重要的是木馬規則庫。
網(wǎng)站日志,服務(wù)器日志一定要提前開(kāi)啟,開(kāi)啟審核策略,包括一些服務(wù)器系統的問(wèn)題,安裝的軟件出錯,管理員操作日志,登錄服務(wù)器日志,以便方便后期出現服務(wù)器被黑事件,可以進(jìn)行分析查找并溯源。網(wǎng)站的日志也要開(kāi)啟,IIS下開(kāi)啟日志記錄,apache等環(huán)境請直接在配置文件中進(jìn)行日志的開(kāi)啟與日志路徑配置。以上就是服務(wù)器被黑,該如何的查找被黑的痕跡,下一篇會(huì )跟大家講如何更好的做好服務(wù)器的安全部署。
聚搜云www.4526.cn)是上海聚搜信息技術(shù)有限公司旗下品牌,坐落于魔都上海,服務(wù)于全球、2019年成為阿里云代理商生態(tài)合作伙伴。與阿里云代理商、騰訊云、西部數碼、美橙互聯(lián)、聚搜云,長(cháng)期戰略合作的計劃!阿里云國際站代理商專(zhuān)業(yè)的云服務(wù)商!
阿里云優(yōu)惠券領(lǐng)取
騰訊云優(yōu)惠券領(lǐng)取

熱門(mén)文章更多>

QQ在線(xiàn)咨詢(xún)
售前咨詢(xún)熱線(xiàn)
133-2199-9693
售后咨詢(xún)熱線(xiàn)
4000-747-360

微信掃一掃

加客服咨詢(xún)