现在国内互联网环境复杂,网络攻击事件频发,大部分互联网企业都有被网络攻击的经历。当互联网公司遭到网络攻击时,直接导致在线业务瘫痪,给企业造成巨大的经济损失。网度通信建议互联网企业提前做好安全防护措施,避免因遭到网络攻击导致企业经济损失。
当服务器遭到攻击时,可能会导致服务器被攻击者远程控制,服务器的带宽向外发包,服务器被DDoS/CC攻击,系统中木马病毒,服务器管理员账号密码被改等。还有可能导致网站被劫持,首页被篡改,网页被植入脚本木马等。当服务器被黑客攻击时,该如何去查找溯源呢?
首先我们要检查我们服务器的管理员账号密码安全,查看服务器是否使用简单的弱口令,比如MySQL数据库密码,网站后台的管理员密码,都要逐一的排查。
然后检查服务器系统是否存在恶意的账号,以及新添加的账号,像admin,admin$,这样的账号名称都是由攻击者创建的,只要发现就可以大致判断服务器是被黑了。检查方法就是打开计算机管理,查看当前的账号,或者cmd命令下:net user查看,再一个看注册表里的账号。
通过服务器日志检查管理员账号的登录是否存在恶意登录的情况,检查登录的时间,检查登录的账号名称,检查登录的IP,看日志可以看680.682状态的日志,逐一排查。服务器端口、系统进程安全检测:打开CMD netstat -an 检查当前系统的连接情况,查看是否存在一些恶意的IP连接,比如开放了一些不常见的端口,正常是用到80网站端口,8888端口,21FTP端口,3306数据库的端口,443 SSL证书端口,9080 JAVA端口,22 SSH端口,3389默认的远程管理端口,1433 SQL数据库端口。除以上端口要正常开放,其余开放的端口就要仔细的检查一下了,看是否向外连接。
再一个查看进程,是否存在恶意进程,像木马后门都会植入到进程当中去。新手如果不懂如何查看进程,可以使用工具,微软的Process Explorer,还有剪刀手,最简单的就是通过任务管理器去查看当前的进程,像linux服务器需要top命令,以及ps命令查看是否存在恶意进程。一般如果被黑,可以从以下几大方面判断,CPU占用过高,有些进程没有正式的签名,进程的路径不合法,不是系统目录。
当服务器遭到攻击时不要心慌,先做好必要的安全防御,开启IP禁PING,关闭不需要的端口。这些是只能防简单的攻击,对于大流量DDoS攻击,必须要有足够的带宽和专业的DDoS高防配合起来才能防御,你的防御能力大于攻击者的攻击流量就可以防御成功了。关注我们,获取更多网络安全资讯。