服务器遭遇黑客攻击时,如何查找溯源
来源:无敌防护 2019-12-27 18:17:46如今,互联网企业网络安全事件层出不穷,网络攻击事件频发,很多互联网企业都有被网络攻击的经历。而网络攻击对于互联网企业损害非常严重,互联网公司一旦遭到网络攻击,很可能直接导致在线业务瘫痪,给企业造成巨大的经济损失。所以小墨建议互联网企业提前做好安全防护措施,避免因遭到网络攻击导致企业经济损失。
当服务器遭到攻击时,可能会导致服务器被攻击者远程控制,服务器的带宽向外发包,服务器被DDOS/CC攻击,系统中木马病毒,服务器管理员账号密码被改等。还有可能导致网站被劫持,首页被篡改,网页被植入脚本木马等。当服务器被黑客攻击时,该如何去查找溯源?
首先我们要检查我们服务器的管理员账号密码安全,查看服务器是否使用简单的弱口令,比如Mysql数据库密码,网站后台的管理员密码,都要逐一的排查。
然后检查服务器系统是否存在恶意的账号,以及新添加的账号,像admin,admin$,这样的账号名称都是由攻击者创建的,只要发现就可以大致判断服务器是被黑了。检查方法就是打开计算机管理,查看当前的账号,或者cmd命令下:net user查看,再一个看注册表里的账号。
通过服务器日志检查管理员账号的登录是否存在恶意登录的情况,检查登录的时间,检查登录的账号名称,检查登录的IP,看日志可以看680.682状态的日志,逐一排查。服务器端口、系统进程安全检测:打开CMD netstat -an 检查当前系统的连接情况,查看是否存在一些恶意的IP连接,比如开放了一些不常见的端口,正常是用到80网站端口,8888端口,21FTP端口,3306数据库的端口,443 SSL证书端口,9080 java端口,22 SSH端口,3389默认的远程管理端口,1433 SQL数据库端口。除以上端口要正常开放,其余开放的端口就要仔细的检查一下了,看是否向外连接。
再一个查看进程,是否存在恶意进程,像木马后门都会植入到进程当中去。新手如果不懂如何查看进程,可以使用工具,微软的Process Explorer,还有剪刀手,最简单的就是通过任务管理器去查看当前的进程,像linux服务器需要top命令,以及ps命令查看是否存在恶意进程。一般如果被黑,可以从以下几大方面判断,CPU占用过高,有些进程没有正式的签名,进程的路径不合法,不是系统目录。
互联网企业服务器遭受攻击是常有的事,如果不幸服务器遭到攻击了,也不用过于担心。小墨建议大家先做好基础的安全防御,开启IP禁PING,关闭不需要的端口。而对于大流量DDOS攻击,必须要有足够的带宽和专业的DDoS高防配合起来才能防御,小墨建议大家接入专业的高防服务,如墨者盾,其防御能力非常强,能够有效防御大流量DDoS攻击,避免DDoS攻击带来的巨大安全风险与经济损失。
关于墨者安全
墨者安全致力于安全防护、服务器高防、网络高防、ddos防护、cc防护、dns防护、防劫持、高防服务器、高防dns、网站防护等方面的服务,全网第一款指纹识别技术防火墙,自研的WAF指纹识别架构,提供任意CC和DDOS攻击防御。
热门文章
7x24 小时
免费客服热线
400-0797-119