当公司的网站服务器被黑,被入侵导致整个网站,以及业务系统瘫痪,给企业带来的损失无法估量,但是当发生服务器被攻击的情况,作为服务器的维护人员应当在第一时间做好安全响应,对服务器以及网站应以最快的时间恢复正常运行,让损失减少到最低,针对于黑客攻击的痕迹应该如何去查找溯源,还原服务器被攻击的现场,小蚁安全公司制定了详细的服务器被黑自查方案。
目前网站服务器被攻击的特征如下:
网站被攻击:网站被跳转到赌博网站,网站首页被篡改,百度快照被改,网站被植入webshell脚本木马,网站被DDOS、CC压力攻击。
服务器被黑:服务器系统中木马病毒,服务器管理员账号密码被改,服务器被攻击者远程控制,服务器的带宽向外发包,服务器被流量攻击,ARP攻击(目前这种比较少了,现在都是基于阿里云,百度云,腾讯云,西部数码等云服务器)
关于服务器被黑我们该如何检查被黑?
账号密码安全检测:
首先我们要检查我们服务器的管理员账号密码安全,查看服务器是否使用弱口令,比如.789,等等密码,包括administrator账号密码,Mysql数据库密码,网站后台的管理员密码,都要逐一的排查,检查密码安全是否达标。
再一个检查服务器系统是否存在恶意的账号,以及新添加的账号,像admin,admin,这样的账号名称都是由攻击者创建的,只要发现就可以大致判断服务器是被黑了。检查方法就是打开计算机管理,查看当前的账号,或者cmd命令下:netuser查看,再一个看注册表里的账号。
通过服务器日志检查管理员账号的登录是否存在恶意登录的情况,检查登录的时间,检查登录的账号名称,检查登录的IP,看日志可以看.状态的日志,逐一排查。
服务器端口、系统进程安全检测:
打开CMDnetstat-an检查当前系统的连接情况,查看是否存在一些恶意的IP连接,比如开放了一些不常见的端口,正常是用到80网站端口,端口,21FTP端口,数据库的端口,SSL证书端口,java端口,22SSH端口,默认的远程管理端口,SQL数据库端口。除以上端口要正常开放,其余开放的端口就要仔细的检查一下了,看是否向外连接。如下图:
再一个查看进程,是否存在恶意进程,像木马后门都会植入到进程当中去。新手如果不懂如何查看进程,可以使用工具,微软的ProcessExplorer,还有剪刀手,最简单的就是通过任务管理器去查看当前的进程,像linux服务器需要top命令,以及ps命令查看是否存在恶意进程。一般如果被黑,可以从以下几大方面判断,CPU占用过高,有些进程没有正式的签名,进程的路径不合法,不是系统目录。
服务器启动项、计划任务安全检测:
查看服务器的启动项,输入msconfig命令,看下是否有多余的启动项目,如果有检查该启动项是否是正常。再一个查看服务器的计划任务,通过控制面板,组策略查看。服务自启动,查看系统有没有自己主动启动一些进程。
服务器的后门木马查杀
下载杀毒,并更新病毒库,对服务器进行全面的安全检测与扫描,修复系统补丁,对网站的代码进行人工的安全检测,对网站漏洞的检测,网站木马后门的检测,也可以使用webshell查杀工具来进行查杀,最重要的是木马规则库。
网站日志,服务器日志一定要提前开启,开启审核策略,包括一些服务器系统的问题,安装的软件出错,管理员操作日志,登录服务器日志,以便方便后期出现服务器被黑事件,可以进行分析查找并溯源。网站的日志也要开启,IIS下开启日志记录,apache等环境请直接在配置文件中进行日志的开启与日志路径配置。以上就是服务器被黑,该如何的查找被黑的痕迹
如何安全部署服务器安全呢?
1、对网站的代码进行检查,检查是否被黑客放置了网页木马和ASP木马、网站代码中是否有后门程序.
2、对网站代码安全性进行检查,检查是否存在SQL注入漏洞、上传文件漏洞等常见的危害站点安全的漏洞。
3、对服务器操作系统的日志进行分析,检查系统是否被入侵,查看是否被黑客安装了木马及对系统做了哪些改动。
4、对服务器操作系统打上最新的补丁,合理的配置和安装常用的应用软件(比如防火墙、杀毒软件、数据库等),并将服务器的软件更新为安全、稳定、兼容性好的版本。
5、对服务器操作系统进行合理配置和优化,注销掉不必要的系统组件,停掉不必要的危险的服务、禁用危险的端口,通过运行最小的服务以达到最大的安全性。
6、对常用应用程序的服务端口和提示信息,进行隐藏和伪造,防止黑客利用扫描工具来获取服务器信息。
7、合理的配置权限,每个站点均配置独立的internet来宾帐号,限制internet来宾帐号的访问权限,只允许其可以读取和执行运行网站所需要的程序,只对甲方站点的网站目录有读取和写入权限,禁止访问其它目录,并限制其执行危险的命令,这样就算黑客有办法上传了木马程序到甲方网站目录,也无法执行,更不会对系统造成危害。
8、降低SQL数据库、SERV-UFTP等应用软件服务的运行权限,删除MSSQL数据库不必要的、危险的存储过程,防止黑客利用漏洞来进一步入侵和提升权限,并通过有效的设置,防止未知的溢出攻击。注:以上维护项目仅针对windows操作系统平台的服务器。以上服务所涉及安装的软件,版权问题由客户自行解决。只对客户网站代码中所涉及代码安全的部分做修改和编写,不对客户网站其它部分代码进行修改和编写。
9、找可靠的给你配置专业的防御系统,