服務器被黑該如何查找***、***痕跡

當公司的網站服務器被黑，被***致使整個網站，以及業務系統癱瘓，給企業帶來的損失沒法估量，可是當發生服務器被***的狀況，做爲服務器的維護人員應當在第一時間作好安全響應，對服務器以及網站應以最快的時間恢復正常運行，讓損失減小到最低，針對於******的痕跡應該如何去查找溯源，還原服務器被***的現場，SINE安全公司制定了詳細的服務器被黑自查方案。

目前網站服務器被***的特徵以下：

網站被***：網站被跳轉到賭博網站，網站首頁被篡改，百度快照被改，網站被植入webshell腳本***，網站被DDOS、CC壓力***。

服務器被黑：服務器系統中***病毒，服務器管理員帳號密碼被改，服務器被***者遠程控制，服務器的帶寬向外發包，服務器被流量***，ARP***（目前這種比較少了，如今都是基於阿里雲，百度雲，騰訊雲，西部數碼等雲服務器）

關於服務器被黑咱們該如何檢查被黑？

帳號密碼安全檢測：

首先咱們要檢查咱們服務器的管理員帳號密碼安全，查看服務器是否使用弱口令，好比123456.123456789,123123等等密碼，包括administrator帳號密碼，Mysql數據庫密碼，網站後臺的管理員密碼，都要逐一的排查，檢查密碼安全是否達標。

再一個檢查服務器系統是否存在惡意的帳號，以及新添加的帳號，像admin,admin$,這樣的帳號名稱都是由***者建立的，只要發現就能夠大體判斷服務器是被黑了。檢查方法就是打開計算機管理，查看當前的帳號，或者cmd命令下：net user查看，再一個看註冊表裏的帳號。

經過服務器日誌檢查管理員帳號的登陸是否存在惡意登陸的狀況，檢查登陸的時間，檢查登陸的帳號名稱，檢查登陸的IP，看日誌能夠看680.682狀態的日誌，逐一排查。

服務器端口、系統進程安全檢測：

打開CMD netstat -an 檢查當前系統的鏈接狀況，查看是否存在一些惡意的IP鏈接，好比開放了一些不常見的端口，正常是用到80網站端口，8888端口，21FTP端口，3306數據庫的端口，443 SSL證書端口，9080 java端口，22 SSH端口，3389默認的遠程管理端口，1433 SQL數據庫端口。除以上端口要正常開放，其他開放的端口就要仔細的檢查一下了，看是否向外鏈接。以下圖：

再一個查看進程，是否存在惡意進程，像***後門都會植入到進程當中去。新手若是不懂如何查看進程，能夠使用工具，微軟的Process Explorer，還有剪刀手，最簡單的就是經過任務管理器去查看當前的進程，像linux服務器須要top命令，以及ps命令查看是否存在惡意進程。通常若是被黑，能夠從如下幾大方面判斷，CPU佔用太高，有些進程沒有正式的簽名，進程的路徑不合法，不是系統目錄。

服務器啓動項、計劃任務安全檢測：

查看服務器的啓動項，輸入msconfig命令，看下是否有多餘的啓動項目，若是有檢查該啓動項是不是正常。再一個查看服務器的計劃任務，經過控制面板，組策略查看。服務自啓動，查看系統有沒有本身主動啓動一些進程。

服務器的後門***查殺

下載360殺毒，並更新病毒庫，對服務器進行全面的安全檢測與掃描，修復系統補丁，對網站的代碼進行人工的安全檢測，對網站漏洞的檢測，網站***後門的檢測，也能夠使用webshell查殺工具來進行查殺，最重要的是***規則庫。

網站日誌，服務器日誌必定要提早開啓，開啓審覈策略，包括一些服務器系統的問題，安裝的軟件出錯，管理員操做日誌，登陸服務器日誌，以便方便後期出現服務器被黑事件，能夠進行分析查找並溯源。網站的日誌也要開啓，IIS下開啓日誌記錄，apache等環境請直接在配置文件中進行日誌的開啓與日誌路徑配置。以上就是服務器被黑，該如何的查找被黑的痕跡，下一篇會跟你們講如何更好的作好服務器的安所有署。