伺服器被黑該如何查找入侵、攻擊痕迹

當公司的網站伺服器被黑，被入侵導致整個網站，以及業務系統癱瘓，給企業帶來的損失無法估量，但是當發生伺服器被攻擊的情況，作為伺服器的維護人員應當在第一時間做好安全響應，對伺服器以及網站應以最快的時間恢復正常運行，讓損失減少到最低，針對於黑客攻擊的痕迹應該如何去查找溯源，還原伺服器被攻擊的現場，SINE安全公司制定了詳細的伺服器被黑自查方案。

目前網站伺服器被攻擊的特徵如下：

網站被攻擊：網站被跳轉到賭博網站，網站首頁被篡改，百度快照被改，網站被植入webshell腳本木馬，網站被DDOS、CC壓力攻擊。

伺服器被黑：伺服器系統中木馬病毒，伺服器管理員賬號密碼被改，伺服器被攻擊者遠程控制，伺服器的帶寬向外發包，伺服器被流量攻擊，ARP攻擊（目前這種比較少了，現在都是基於阿里雲，百度雲，騰訊雲，西部數碼等雲伺服器）

關於伺服器被黑我們該如何檢查被黑？

賬號密碼安全檢測：

首先我們要檢查我們伺服器的管理員賬號密碼安全，查看伺服器是否使用弱口令，比如123456.123456789,123123等等密碼，包括administrator賬號密碼，Mysql資料庫密碼，網站後台的管理員密碼，都要逐一的排查，檢查密碼安全是否達標。

再一個檢查伺服器系統是否存在惡意的賬號，以及新添加的賬號，像admin,admin$,這樣的賬號名稱都是由攻擊者創建的，只要發現就可以大致判斷伺服器是被黑了。檢查方法就是打開計算機管理，查看當前的賬號，或者cmd命令下：net user查看，再一個看註冊表裡的賬號。

通過伺服器日誌檢查管理員賬號的登錄是否存在惡意登錄的情況，檢查登錄的時間，檢查登錄的賬號名稱，檢查登錄的IP，看日誌可以看680.682狀態的日誌，逐一排查。

伺服器埠、系統進程安全檢測：

打開CMD netstat -an 檢查當前系統的連接情況，查看是否存在一些惡意的IP連接，比如開放了一些不常見的埠，正常是用到80網站埠，8888埠，21FTP埠，3306資料庫的埠，443 SSL證書埠，9080 java埠，22 SSH埠，3389默認的遠程管理埠，1433 SQL資料庫埠。除以上埠要正常開放，其餘開放的埠就要仔細的檢查一下了，看是否向外連接。如下圖：

再一個查看進程，是否存在惡意進程，像木馬後門都會植入到進程當中去。新手如果不懂如何查看進程，可以使用工具，微軟的Process Explorer，還有剪刀手，最簡單的就是通過任務管理器去查看當前的進程，像linux伺服器需要top命令，以及ps命令查看是否存在惡意進程。一般如果被黑，可以從以下幾大方面判斷，CPU佔用過高，有些進程沒有正式的簽名，進程的路徑不合法，不是系統目錄。

伺服器啟動項、計劃任務安全檢測：

查看伺服器的啟動項，輸入msconfig命令，看下是否有多餘的啟動項目，如果有檢查該啟動項是否是正常。再一個查看伺服器的計劃任務，通過控制面板，組策略查看。服務自啟動，查看系統有沒有自己主動啟動一些進程。

伺服器的後門木馬查殺

下載360殺毒，並更新病毒庫，對伺服器進行全面的安全檢測與掃描，修復系統補丁，對網站的代碼進行人工的安全檢測，對網站漏洞的檢測，網站木馬後門的檢測，也可以使用webshell查殺工具來進行查殺，最重要的是木馬規則庫。

網站日誌，伺服器日誌一定要提前開啟，開啟審核策略，包括一些伺服器系統的問題，安裝的軟體出錯，管理員操作日誌，登錄伺服器日誌，以便方便後期出現伺服器被黑事件，可以進行分析查找並溯源。網站的日誌也要開啟，IIS下開啟日誌記錄，apache等環境請直接在配置文件中進行日誌的開啟與日誌路徑配置。以上就是伺服器被黑，該如何的查找被黑的痕迹，下一篇會跟大家講如何更好的做好伺服器的安全部署。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！