當公司的網站服務器被黑��,導致整個網站以及業務系統癱瘓���,給企業帶來無法估計的損失���,但是當服務器被攻擊的情況下����,我們如何去應對���,如何在最短的時間內讓網站恢復正常運行���,讓損失減少到最低�。
目前網站服務器被攻擊都有那些特征��?
網站被攻擊���,網站被跳轉到**網站����,網站首頁被篡改����,百度快照被改����,網站被植入webshell腳本木馬����,網站被DDOS,CC壓力攻擊��。
服務器被黑�����,服務器系統被中木馬病毒���,服務器管理員賬號密碼被改���,服務器被攻擊者遠程控制�����,服務器寬帶向外發包���,服務器被流量攻擊�����,ARP攻擊等����。
那我們如何檢查被黑��?
1���、賬號密碼安全檢測
首先需要檢查服務器的管理員賬號密碼安全�����,查看服務器是否使用弱口令���,包括administrator賬號密碼�����,MySQL數據庫密碼���,網站后臺的管理員密碼��,都需要逐一的排查�,檢查密碼安全是否達標���。
在檢查一下服務器系統是否存在惡意賬號����,以及新添加的賬號����,像admin����,admin$這樣的賬號一般都是由攻擊者創建���,可以采用運行����,輸入cmd命令��,netuser查看�����,再看注冊表里的賬號��。
2�、服務器端口����,系統進程安全檢測
打開CMDnetstat-an檢查當前系統的鏈接情況��,查看是否存在一些惡意的IP鏈接���,比如開放了一些不常見的端口����,正常是用到80網站端口��,8888端口��,21ftp端口�,3306數據庫的端口�,443SSL證書端口����,9080java端口�����,22SSH端口����,3389默認的遠程管理端口�,1433SQL數據庫端口���,除以上端口要正常開放�,其余開放的端口都需要仔細檢查���。
3����、服務器啟動項���,計劃任務安全檢測
查看服務器的啟動項����,輸入msconfig命令���,看一下是否有多余的啟動項目�,如果有檢查該啟動項是否正常�,然后再查看服務器的計劃任務��,通過控制面板����。組策略查看�,服務自啟動�����,查看系統有沒有自己主動啟動一些進程�����。
4�、服務器的后門木馬查***
下載360***毒�����,并更新病毒庫�,對服務器進行全面的安全檢測與掃描�����,修復系統補丁�����,對網站代碼進行人工安全檢測��,對網站漏洞的檢測��,網站木馬后門的檢測�����,也可以使用webshell查***工具來進行查***�,最重要的木馬規則庫��。
網站日志��,服務器日志一定要提前開啟��,開啟審核策略�����,包括一些服務器系統的問題����,安裝的軟件出錯�����,管理員操作日志����,登錄服務器日志��,以便方便后期出現服務器被黑事件����,可以進行分析查找并溯源�,網站的日志也要開啟���,llS下開啟日志記錄�,apache等環境直接在配置文件中進行日志的開啟與日志路徑的配置���。
在企業網站建設中���,一定要定期給網站做安全檢查����,以確保網站正常的運行����。
