超碰在线91,国产第1页,国产精品99,最近中文字幕av

<video id="z2k50"><ins id="z2k50"></ins></video><small id="z2k50"><pre id="z2k50"><samp id="z2k50"></samp></pre></small>

    1. <video id="z2k50"><ins id="z2k50"></ins></video>

        怎么查看服務(wù)器是否被入侵 從哪些方面入手?

        發(fā)布時(shí)間:2024-08-21
        目前越來(lái)越多的服務(wù)器被入侵,以及攻擊事件頻頻的發(fā)生,像數(shù)據(jù)被竊取,數(shù)據(jù)庫(kù)被篡改,用戶(hù)數(shù)據(jù)被脫褲,網(wǎng)站被強(qiáng)制跳轉(zhuǎn)到惡意網(wǎng)站上,網(wǎng)站在百度的快照被劫持,等等的攻擊癥狀層出不窮,當(dāng)我們的服務(wù)器被攻擊,被黑的時(shí)候我們第一時(shí)間該怎么去處理解決呢?
        如何排查服務(wù)器被入侵攻擊的痕跡呢?是否有應(yīng)急處理方案,在不影響網(wǎng)站訪問(wèn)的情況下,很多客戶(hù)出現(xiàn)以上攻擊情況的時(shí)候,找到我們sine安全來(lái)處理解決服務(wù)器被攻擊問(wèn)題,我們sine安全工程師總結(jié)了一套自有的辦法,分享給大家,希望大家能在第一時(shí)間解決掉服務(wù)器被黑的問(wèn)題。有些客戶(hù)遇到這種情況,第一時(shí)間想到的就是先把服務(wù)器關(guān)機(jī),通知機(jī)房拔掉電源,有的是直接先關(guān)閉網(wǎng)站,這些措施只能先解決目前的問(wèn)題,解決不了問(wèn)題的根源,所以遇到服務(wù)器被攻擊的情況,我們應(yīng)該詳細(xì)的檢查日志,以及入侵痕跡,溯源,查找漏洞,到底是哪里導(dǎo)致的服務(wù)器被入侵攻擊。
        首先我們應(yīng)該從以下方面入手:
        檢查服務(wù)器的進(jìn)程是不是有惡意的進(jìn)程,以及管理員賬號(hào)是否被惡意增加,對(duì)服務(wù)器的端口進(jìn)行查看,有沒(méi)有開(kāi)啟多余的端口,再一個(gè)對(duì)服務(wù)器的登陸日志進(jìn)行檢查,服務(wù)器的默認(rèn)開(kāi)啟啟動(dòng)項(xiàng),服務(wù)以及計(jì)劃任務(wù),檢查網(wǎng)站是否存在木馬后門(mén),以及服務(wù)器系統(tǒng)是否中病毒。
        如何查看進(jìn)程?打開(kāi)服務(wù)器,在cmd命令下輸入tasklis,或者是右鍵任務(wù)管理器來(lái)進(jìn)行查看進(jìn)程,點(diǎn)顯示所有用戶(hù)的進(jìn)程就可以,我們綜合的分析,根據(jù)這個(gè)內(nèi)存使用較大,cpu占用較多來(lái)初步的看下,哪些進(jìn)程在不停的使用,就能大概判斷出有沒(méi)有異常的進(jìn)程,一般來(lái)說(shuō)加載到進(jìn)程的都是系統(tǒng)后門(mén),查看到進(jìn)程詳細(xì)信息使用pid來(lái)查看,再用命令findstr來(lái)查找進(jìn)程調(diào)用的文件存放在哪里。截圖如下:
        接下來(lái)就是查看系統(tǒng)是否存在其他惡意的管理員賬號(hào),cmd命令下輸入net user就會(huì)列出當(dāng)前服務(wù)器里的所有賬號(hào),也可以通過(guò)注冊(cè)表去查看管理員賬號(hào)是否被增加,注冊(cè)表這里是需要在命令中輸入egedit來(lái)打開(kāi)注冊(cè)表,找到hkey_local_machine\\sam\\sam\\domains\\account\\users\\names可以看到所有的賬號(hào)名字。截圖如下:
        端口方面的檢查,比如一些客戶(hù)服務(wù)器經(jīng)常遭受攻擊像3306數(shù)據(jù)庫(kù)端口,21ftp端口,135,445端口,1433sql數(shù)據(jù)庫(kù)端口,3389遠(yuǎn)程桌面端口,是否是對(duì)外開(kāi)放,如果這些端口對(duì)外開(kāi)放,很有可能利用漏洞進(jìn)行攻擊,入侵,還有弱口令賬號(hào)密碼,有些數(shù)據(jù)庫(kù)的root賬號(hào)密碼為空,以及ftp可以匿名連接,都可以導(dǎo)致服務(wù)器被入侵。有些密碼還是123456,111111等等。遠(yuǎn)程桌面的端口要修改掉,盡可能的防止攻擊者利用暴力破解的手段對(duì)服務(wù)器進(jìn)行登陸??梢詫?duì)遠(yuǎn)程登陸這里做安全驗(yàn)證,限制ip,以及mac,以及計(jì)算機(jī)名,這樣大大的加強(qiáng)了服務(wù)器的安全。還要對(duì)服務(wù)器的登陸日志進(jìn)行檢查,看下日志是否有被清空的痕跡,跟服務(wù)器被惡意登陸的日志記錄,一般來(lái)說(shuō)很多攻擊者都會(huì)登陸到服務(wù)器,肯定會(huì)留下登陸日志,檢查事件682就可以查得到。
        接下來(lái)要對(duì)服務(wù)器的啟動(dòng)項(xiàng),服務(wù)以及計(jì)劃任務(wù)進(jìn)行檢查,一般攻擊者提權(quán)入侵服務(wù)器后,都會(huì)在服務(wù)器里植入木馬后門(mén),都會(huì)插入到啟動(dòng)項(xiàng)跟計(jì)劃任務(wù),或者服務(wù)當(dāng)中去,混淆成系統(tǒng)服務(wù),讓管理員無(wú)法察覺(jué),使用msconfig命令對(duì)服務(wù)器進(jìn)行查看。
        注冊(cè)表這里要檢查這幾項(xiàng):
        hklm\\software\\microsoft\\windows\\currentversion\\runservices\\
        hklm\\software\\microsoft\\windows\\currentversion\\run\\ hkey_classes_root\\exefile\\shell\\open\\command
        hklm\\software\\microsoft\\windows\\currentversion\\runonce\\
        最重要的是對(duì)服務(wù)里的網(wǎng)站代碼進(jìn)行安全檢測(cè),對(duì)比之前網(wǎng)站的備份文件,看下有沒(méi)有多出一些可疑的代碼文件,圖片格式的可以忽略,主要是一些asp,aspx,php,jsp等腳本執(zhí)行文件,對(duì)代碼查看是否含有eval等特殊字符的一句話(huà)木馬webshell,還有些加密的文件,都有可能是網(wǎng)站木馬文件,網(wǎng)站的首頁(yè)代碼,標(biāo)題描述,是否被加密,一些你看不懂的字符,這一般是網(wǎng)站被入侵了,一步一步導(dǎo)致的服務(wù)器被攻擊。
        整體上的服務(wù)器被入侵攻擊排查就是上面講到的,還有一些是服務(wù)器安裝的軟件,以及環(huán)境,像apache,strust2,iis環(huán)境漏洞,都會(huì)導(dǎo)致服務(wù)器被入侵,如果網(wǎng)站被篡改,一定要檢查網(wǎng)站存在的漏洞,是否存在sql注入漏洞,文件上傳漏洞,xss跨站漏洞,遠(yuǎn)程代碼執(zhí)行漏洞,從多個(gè)方向去排查服務(wù)器被入侵攻擊的問(wèn)題。如果對(duì)服務(wù)器不是太懂,可以找專(zhuān)業(yè)的網(wǎng)絡(luò)安全公司去處理,國(guó)內(nèi)sinesafe,啟明星辰,綠盟,都是比較不錯(cuò)的,以上就是我們?nèi)粘L幚砜蛻?hù)服務(wù)器總結(jié)的一套自有的方法去排查,找問(wèn)題,溯源追蹤,徹底的防止服務(wù)器繼續(xù)被黑,將損失降到最低。每個(gè)客戶(hù)的服務(wù)器安裝的環(huán)境不一樣,以及代碼如何編寫(xiě)的,根據(jù)實(shí)際情況來(lái)排查解決問(wèn)題。
        上一個(gè):選茶、飲茶有科學(xué)講究
        下一個(gè):兩耳不聞車(chē)外事,差點(diǎn)歸西無(wú)處找

        2臺(tái)垂直垃圾中轉(zhuǎn)站連夜發(fā)往青海格爾木
        i3 4170和860k(i34150和860k)
        AW-LAKE齒輪流量計(jì)中國(guó)辦事處
        小高層項(xiàng)目定期檢定及保養(yǎng)制度有哪些?
        手機(jī)連接電腦顯示器沒(méi)有聲音怎么辦(手機(jī)連接電腦顯示沒(méi)有驅(qū)動(dòng)怎么辦)
        安卓手機(jī)如何使用usb接口與汽車(chē)連接播放音樂(lè)(車(chē)上usb接安卓手機(jī)怎么放歌)
        京東訂單補(bǔ)貼怎么用不了(京東訂單補(bǔ)貼怎么領(lǐng)取)
        vivo手機(jī)快捷欄怎么變回原來(lái)的桌面(vivo手機(jī)快捷欄怎么變回原來(lái)的樣子了)
        離婚撫養(yǎng)孩子的財(cái)產(chǎn)應(yīng)該怎么分配
        杜絕豬瘟發(fā)生就選微波豬飼料殺菌機(jī)