阿里云服務(wù)器被黑該如何查找入侵、攻擊痕跡,怎么清除掛馬
當(dāng)公司的網(wǎng)站服務(wù)器被黑，被入侵導(dǎo)致整個(gè)網(wǎng)站，以及業(yè)務(wù)系統(tǒng)癱瘓，給企業(yè)帶來(lái)的損失無(wú)法估量，但是當(dāng)發(fā)生服務(wù)器被攻擊的情況，作為服務(wù)器的維護(hù)人員應(yīng)當(dāng)在第一時(shí)間做好安全響應(yīng)，對(duì)服務(wù)器以及網(wǎng)站應(yīng)以最快的時(shí)間恢復(fù)正常運(yùn)行，讓損失減少到最低，針對(duì)于黑客攻擊的痕跡應(yīng)該如何去查找溯源，還原服務(wù)器被攻擊的現(xiàn)場(chǎng)，阿里云服務(wù)器代理商【聚搜云】制定了詳細(xì)的服務(wù)器被黑自查方案。
目前網(wǎng)站服務(wù)器被攻擊的特征如下：
網(wǎng)站被攻擊：網(wǎng)站被跳轉(zhuǎn)到賭博網(wǎng)站，網(wǎng)站首頁(yè)被篡改，百度快照被改，網(wǎng)站被植入webshell腳本木馬，網(wǎng)站被DDOS、CC壓力攻擊。
服務(wù)器被黑：服務(wù)器系統(tǒng)中木馬病毒，服務(wù)器管理員賬號(hào)密碼被改，服務(wù)器被攻擊者遠(yuǎn)程控制，服務(wù)器的帶寬向外發(fā)包，服務(wù)器被流量攻擊，ARP攻擊（目前這種比較少了，現(xiàn)在都是基于阿里云，百度云，騰訊云，西部數(shù)碼等云服務(wù)器）
關(guān)于服務(wù)器被黑我們?cè)撊绾螜z查被黑？
賬號(hào)密碼安全檢測(cè)：
首先我們要檢查我們服務(wù)器的管理員賬號(hào)密碼安全，查看服務(wù)器是否使用弱口令，比如123456.123456789,123123等等密碼，包括administrator賬號(hào)密碼，Mysql數(shù)據(jù)庫(kù)密碼，網(wǎng)站后臺(tái)的管理員密碼，都要逐一的排查，檢查密碼安全是否達(dá)標(biāo)。
再一個(gè)檢查服務(wù)器系統(tǒng)是否存在惡意的賬號(hào)，以及新添加的賬號(hào)，像admin,admin$,這樣的賬號(hào)名稱(chēng)都是由攻擊者創(chuàng)建的，只要發(fā)現(xiàn)就可以大致判斷服務(wù)器是被黑了。檢查方法就是打開(kāi)計(jì)算機(jī)管理，查看當(dāng)前的賬號(hào)，或者cmd命令下：net user查看，再一個(gè)看注冊(cè)表里的賬號(hào)。
通過(guò)服務(wù)器日志檢查管理員賬號(hào)的登錄是否存在惡意登錄的情況，檢查登錄的時(shí)間，檢查登錄的賬號(hào)名稱(chēng)，檢查登錄的IP，看日志可以看680.682狀態(tài)的日志，逐一排查。
服務(wù)器端口、系統(tǒng)進(jìn)程安全檢測(cè)：
打開(kāi)CMD netstat -an 檢查當(dāng)前系統(tǒng)的連接情況，查看是否存在一些惡意的IP連接，比如開(kāi)放了一些不常見(jiàn)的端口，正常是用到80網(wǎng)站端口，8888端口，21FTP端口，3306數(shù)據(jù)庫(kù)的端口，443 SSL證書(shū)端口，9080 java端口，22 SSH端口，3389默認(rèn)的遠(yuǎn)程管理端口，1433 SQL數(shù)據(jù)庫(kù)端口。除以上端口要正常開(kāi)放，其余開(kāi)放的端口就要仔細(xì)的檢查一下了，看是否向外連接。如下圖：
再一個(gè)查看進(jìn)程，是否存在惡意進(jìn)程，像木馬后門(mén)都會(huì)植入到進(jìn)程當(dāng)中去。新手如果不懂如何查看進(jìn)程，可以使用工具，微軟的process Explorer，還有剪刀手，最簡(jiǎn)單的就是通過(guò)任務(wù)管理器去查看當(dāng)前的進(jìn)程，像linux服務(wù)器需要top命令，以及ps命令查看是否存在惡意進(jìn)程。一般如果被黑，可以從以下幾大方面判斷，cpu占用過(guò)高，有些進(jìn)程沒(méi)有正式的簽名，進(jìn)程的路徑不合法，不是系統(tǒng)目錄。
服務(wù)器啟動(dòng)項(xiàng)、計(jì)劃任務(wù)安全檢測(cè)：
查看服務(wù)器的啟動(dòng)項(xiàng)，輸入msconfig命令，看下是否有多余的啟動(dòng)項(xiàng)目，如果有檢查該啟動(dòng)項(xiàng)是否是正常。再一個(gè)查看服務(wù)器的計(jì)劃任務(wù)，通過(guò)控制面板，組策略查看。服務(wù)自啟動(dòng)，查看系統(tǒng)有沒(méi)有自己主動(dòng)啟動(dòng)一些進(jìn)程。
服務(wù)器的后門(mén)木馬查殺
下載360殺毒，并更新病毒庫(kù)，對(duì)服務(wù)器進(jìn)行全面的安全檢測(cè)與掃描，修復(fù)系統(tǒng)補(bǔ)丁，對(duì)網(wǎng)站的代碼進(jìn)行人工的安全檢測(cè)，對(duì)網(wǎng)站漏洞的檢測(cè)，網(wǎng)站木馬后門(mén)的檢測(cè)，也可以使用webshell查殺工具來(lái)進(jìn)行查殺，最重要的是木馬規(guī)則庫(kù)。
網(wǎng)站日志，服務(wù)器日志一定要提前開(kāi)啟，開(kāi)啟審核策略，包括一些服務(wù)器系統(tǒng)的問(wèn)題，安裝的軟件出錯(cuò)，管理員操作日志，登錄服務(wù)器日志，以便方便后期出現(xiàn)服務(wù)器被黑事件，可以進(jìn)行分析查找并溯源。網(wǎng)站的日志也要開(kāi)啟，IIS下開(kāi)啟日志記錄，apache等環(huán)境請(qǐng)直接在配置文件中進(jìn)行日志的開(kāi)啟與日志路徑配置。以上就是服務(wù)器被黑，該如何的查找被黑的痕跡，下一篇會(huì)跟大家講如何更好的做好服務(wù)器的安全部署。
聚搜云（www.4526.cn）是上海聚搜信息技術(shù)有限公司旗下品牌，坐落于魔都上海，服務(wù)于全球、2019年成為阿里云代理商生態(tài)合作伙伴。與阿里云代理商、騰訊云、西部數(shù)碼、美橙互聯(lián)、聚搜云,長(zhǎng)期戰(zhàn)略合作的計(jì)劃！阿里云國(guó)際站代理商專(zhuān)業(yè)的云服務(wù)商！