1. 程式人生 > >伺服器被人攻擊之後 怎麼查詢和防範

伺服器被人攻擊之後 怎麼查詢和防範

目前越來越多的伺服器被入侵,以及攻擊事件頻頻的發生,像資料被竊取,資料庫被篡改,使用者資料被脫褲,網站被強制跳轉到惡意網站上,網站在百度的快照被劫持,等等的攻擊症狀層出不窮,當我們的伺服器被攻擊,被黑的時候我們第一時間該怎麼去處理解決呢?

如何排查伺服器被入侵攻擊的痕跡呢?是否有應急處理方案,在不影響網站訪問的情況下,很多客戶出現以上攻擊情況的時候,找到我們SINE安全來處理解決伺服器被攻擊問題,我們sine安全工程師總結了一套自有的辦法,分享給大家,希望大家能在第一時間解決掉伺服器被黑的問題。有些客戶遇到這種情況,第一時間想到的就是先把伺服器關機,通知機房拔掉電源,有的是直接先關閉網站,這些措施只能先解決目前的問題,解決不了問題的根源,所以遇到伺服器被攻擊的情況,我們應該詳細的檢查日誌,以及入侵痕跡,溯源,查詢漏洞,到底是哪裡導致的伺服器被入侵攻擊。

首先我們應該從以下方面入手:

檢查伺服器的程序是不是有惡意的程序,以及管理員賬號是否被惡意增加,對伺服器的埠進行檢視,有沒有開啟多餘的埠,再一個對伺服器的登陸日誌進行檢查,伺服器的預設開啟啟動項,服務以及計劃任務,檢查網站是否存在木馬後門,以及伺服器系統是否中病毒。

如何檢視程序?開啟伺服器,在cmd命令下輸入tasklis,或者是右鍵工作管理員來進行檢視程序,點顯示所有使用者的程序就可以,我們綜合的分析,根據這個記憶體使用較大,CPU佔用較多來初步的看下,哪些程序在不停的使用,就能大概判斷出有沒有異常的程序,一般來說載入到程序的都是系統後門,檢視到程序詳細資訊使用PID來檢視,再用命令findstr來查詢程序呼叫的檔案存放在哪裡。截圖如下:

接下來就是檢視系統是否存在其他惡意的管理員賬號,cmd命令下輸入net user就會列出當前伺服器裡的所有賬號,也可以通過登錄檔去檢視管理員賬號是否被增加,登錄檔這裡是需要在命令中輸入egedit來開啟登錄檔,找到HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names可以看到所有的賬號名字。截圖如下:

埠方面的檢查,比如一些客戶伺服器經常遭受攻擊像3306資料庫埠,21FTP埠,135,445埠,1433sql資料庫埠,3389遠端桌面埠,是否是對外開放,如果這些埠對外開放,很有可能利用漏洞進行攻擊,入侵,還有弱口令賬號密碼,有些資料庫的root賬號密碼為空,以及FTP可以匿名連線,都可以導致伺服器被入侵。有些密碼還是123456,111111等等。遠端桌面的埠要修改掉,儘可能的防止攻擊者利用暴力破解的手段對伺服器進行登陸。可以對遠端登陸這裡做安全驗證,限制IP,以及MAC,以及計算機名,這樣大大的加強了伺服器的安全。還要對伺服器的登陸日誌進行檢查,看下日誌是否有被清空的痕跡,跟伺服器被惡意登陸的日誌記錄,一般來說很多攻擊者都會登陸到伺服器,肯定會留下登陸日誌,檢查事件682就可以查得到。

接下來要對伺服器的啟動項,服務以及計劃任務進行檢查,一般攻擊者提權入侵伺服器後,都會在伺服器裡植入木馬後門,都會插入到啟動項跟計劃任務,或者服務當中去,混淆成系統服務,讓管理員無法察覺,使用msconfig命令對伺服器進行檢視。

登錄檔這裡要檢查這幾項:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ HKEY_CLASSES_ROOT\exefile\shell\open\command

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\

最重要的是對服務裡的網站程式碼進行安全檢測,對比之前網站的備份檔案,看下有沒有多出一些可疑的程式碼檔案,圖片格式的可以忽略,主要是一些asp,aspx,php,jsp等指令碼執行檔案,對程式碼檢視是否含有eval等特殊字元的一句話木馬webshell,還有些加密的檔案,都有可能是網站木馬檔案,網站的首頁程式碼,標題描述,是否被加密,一些你看不懂的字元,這一般是網站被入侵了,一步一步導致的伺服器被攻擊。

整體上的伺服器被入侵攻擊排查就是上面講到的,還有一些是伺服器安裝的軟體,以及環境,像apache,strust2,IIS環境漏洞,都會導致伺服器被入侵,如果網站被篡改,一定要檢查網站存在的漏洞,是否存在sql注入漏洞,檔案上傳漏洞,XSS跨站漏洞,遠端程式碼執行漏洞,從多個方向去排查伺服器被入侵攻擊的問題。如果對伺服器不是太懂,可以找專業的網路安全公司去處理,國內sinesafe,啟明星辰,綠盟,都是比較不錯的,以上就是我們日常處理客戶伺服器總結的一套自有的方法去排查,找問題,溯源追蹤,徹底的防止伺服器繼續被黑,將損失降到最低。每個客戶的伺服器安裝的環境不一樣,以及程式碼如何編寫的,根據實際情況來