文章讲述了服务器遭受黑客入侵时的常见症状,以及如何通过检查账号密码、系统进程、启动项、日志和网络流量来定位问题。提供了一系列安全响应步骤,包括木马查杀、代码审计、系统加固和预防措施,强调网络安全的持续性和专业团队支持的重要性。
在我们日常使用服务器的过程中,当公司的网站服务器被黑客入侵时,导致整个网站以及业务系统瘫痪,将会给企业带来无法估量的损失。作为服务器的维护人员应当在第一时间做好安全响应,对入侵问题做到及时处理,以最快的时间恢复正常,让损失减少到最低。查找和定位入侵来源是一个复杂而关键的过程。以下是一些建议的步骤,可以帮助您开始调查并采取适当的行动。
发现异常特征:
网站被跳转到赌博网站,网站首页被篡改,百度快照被改,网站被植入webshell脚本木马,服务器系统中木马病毒,服务器管理员账号密码被改,服务器被攻击者远程控制,服务器的带宽向外发包。
服务器被入侵我们该如何检查被入侵?
1、账号密码安全检测:
首先我们要检查我们服务器的管理员账号密码安全,查看服务器是否使用弱口令,比如123456.123456789,123123等等密码,包括administrator账号密码,Mysql数据库密码,网站后台的管理员密码,都要逐一的排查,检查密码安全是否达标。
再一个检查服务器系统是否存在恶意的账号、未经授权的用户账户、异常的权限提升等情况,像admin,admin$,这样的账号名称都是由攻击者创建的,只要发现就可以大致判断服务器是被入侵了。检查方法就是打开计算机管理,查看当前的账号,或者cmd命令下:net user查看,再一个看注册表里的账号,确保只有授权的用户具有适当的访问权限。
通过服务器日志检查管理员账号的登录是否存在恶意登录的情况,检查登录的时间,检查登录的账号名称,检查登录的IP,看日志可以看680.682状态的日志,逐一排查。
2、服务器端口、系统进程安全检测:
打开CMD netstat -an 检查当前系统的连接情况,查看是否存在一些恶意的IP连接,比如开放了一些不常见的端口,正常是用到80网站端口,8888端口,21FTP端口,3306数据库的端口,443 SSL证书端口,9080 java端口,22 SSH端口,3389默认的远程管理端口,1433 SQL数据库端口。除以上端口要正常开放,其余开放的端口就要仔细的检查一下了,看是否向外连接。如下图:
最低0.47元/天 解锁文章
扫一扫
618
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
