服務(wù)器被攻擊 如何查看異常進(jìn)程以及網(wǎng)站木馬檢查

時間：2020-01-05作者：青島四海通達(dá)電子科技有限公司瀏覽：1757

目前越來越多的服務(wù)器被入侵，以及攻擊事件頻頻的發(fā)生，像數(shù)據(jù)被竊取，數(shù)據(jù)庫被篡改，用戶數(shù)據(jù)被脫褲，網(wǎng)站被強(qiáng)制跳轉(zhuǎn)到惡意網(wǎng)站上，網(wǎng)站在百度的快照被劫持，等等的攻擊癥狀層出不窮，當(dāng)我們的服務(wù)器被攻擊，被黑的時候我們**時間該怎么去處理解決呢?

如何排查服務(wù)器被入侵攻擊的痕跡呢?是否有應(yīng)急處理方案，在不影響網(wǎng)站訪問的情況下，很多客戶出現(xiàn)以上攻擊情況的時候，找到我們SINE安全來處理解決服務(wù)器被攻擊問題，我們sine安全工程師總結(jié)了一套自有的辦法，分享給大家，希望大家能在**時間解決掉服務(wù)器被黑的問題。有些客戶遇到這種情況，**時間想到的就是先把服務(wù)器關(guān)機(jī)，通知機(jī)房拔掉電源，有的是直接先關(guān)閉網(wǎng)站，這些措施只能先解決目前的問題，解決不了問題的根源，所以遇到服務(wù)器被攻擊的情況，我們應(yīng)該詳細(xì)的檢查日志，以及入侵痕跡，溯源，查找漏洞，到底是哪里導(dǎo)致的服務(wù)器被入侵攻擊。



首先我們應(yīng)該從以下方面入手：

檢查服務(wù)器的進(jìn)程是不是有惡意的進(jìn)程，以及管理員賬號是否被惡意增加，對服務(wù)器的端口進(jìn)行查看，有沒有開啟多余的端口，再一個對服務(wù)器的登陸日志進(jìn)行檢查，服務(wù)器的默認(rèn)開啟啟動項(xiàng)，服務(wù)以及計劃任務(wù)，檢查網(wǎng)站是否存在木馬后門，以及服務(wù)器系統(tǒng)是否中病毒。如何查看進(jìn)程?打開服務(wù)器，在cmd命令下輸入tasklis，或者是右鍵任務(wù)管理器來進(jìn)行查看進(jìn)程，點(diǎn)顯示所有用戶的進(jìn)程就可以，我們綜合的分析，根據(jù)這個內(nèi)存使用較大，CPU占用較多來初步的看下，哪些進(jìn)程在不停的使用，就能大概判斷出有沒有異常的進(jìn)程，一般來說加載到進(jìn)程的都是系統(tǒng)后門，查看到進(jìn)程詳細(xì)信息使用PID來查看，再用命令findstr來查找進(jìn)程調(diào)用的文件存放在哪里。

接下來就是查看系統(tǒng)是否存在其他惡意的管理員賬號,cmd命令下輸入net user就會列出當(dāng)前服務(wù)器里的所有賬號，也可以通過注冊表去查看管理員賬號是否被增加，注冊表這里是需要在命令中輸入regedit來打開注冊表，找到HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names可以看到所有的賬號名字。

端口方面的檢查，比如一些客戶服務(wù)器經(jīng)常遭受攻擊像3306數(shù)據(jù)庫端口，21FTP端口，135,445端口，1433sql數(shù)據(jù)庫端口，3389遠(yuǎn)程桌面端口，是否是對外開放，如果這些端口對外開放，很有可能利用漏洞進(jìn)行攻擊，入侵，還有弱口令賬號密碼，有些數(shù)據(jù)庫的root賬號密碼為空，以及FTP可以匿名連接，都可以導(dǎo)致服務(wù)器被入侵。有些密碼還是123456,111111等等。遠(yuǎn)程桌面的端口要修改掉，盡可能的防止攻擊者利用暴力破解的手段對服務(wù)器進(jìn)行登陸?？梢詫h(yuǎn)程登陸這里做安全驗(yàn)證，限制IP，以及MAC，以及計算機(jī)名，這樣大大的加強(qiáng)了服務(wù)器的安全。還要對服務(wù)器的登陸日志進(jìn)行檢查，看下日志是否有被清空的痕跡，跟服務(wù)器被惡意登陸的日志記錄，一般來說很多攻擊者都會登陸到服務(wù)器，肯定會留下登陸日志，檢查事件682就可以查得到。

接下來要對服務(wù)器的啟動項(xiàng)，服務(wù)以及計劃任務(wù)進(jìn)行檢查，一般攻擊者提權(quán)入侵服務(wù)器后，都會在服務(wù)器里植入木馬后門，都會插入到啟動項(xiàng)跟計劃任務(wù)，或者服務(wù)當(dāng)中去，混淆成系統(tǒng)服務(wù)，讓管理員無法察覺，使用msconfig命令對服務(wù)器進(jìn)行查看。

注冊表這里要檢查這幾項(xiàng)：

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ HKEY_CLASSES_ROOT\exefile\shell\open\commandHKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\

較重要的是對服務(wù)里的網(wǎng)站代碼進(jìn)行安全檢測，對比之前網(wǎng)站的備份文件，看下有沒有多出一些可疑的代碼文件，圖片格式的可以忽略，主要是一些asp，aspx，php，jsp等腳本執(zhí)行文件，對代碼查看是否含有eval等特殊字符的一句話木馬webshell,還有些base64加密的文件，都有可能是網(wǎng)站木馬文件，網(wǎng)站的首頁代碼，標(biāo)題描述，是否被加密，一些你看不懂的字符，這一般是網(wǎng)站被入侵了，一步一步導(dǎo)致的服務(wù)器被攻擊。

整體上的服務(wù)器被入侵攻擊排查就是上面講到的，還有一些是服務(wù)器安裝的軟件，以及環(huán)境，像apache,strust2，IIS環(huán)境漏洞，都會導(dǎo)致服務(wù)器被入侵，如果網(wǎng)站被篡改，一定要檢查網(wǎng)站存在的漏洞，是否存在sql注入漏洞，文件上傳漏洞，XSS跨站漏洞，遠(yuǎn)程代碼執(zhí)行漏洞，從多個方向去排查服務(wù)器被入侵攻擊的問題。如果對服務(wù)器不是太懂，可以找專業(yè)的網(wǎng)絡(luò)安全公司去處理，國內(nèi)sinesafe,啟**辰，綠盟，都是比較不錯的，以上就是我們?nèi)粘Ｌ幚砜蛻舴?wù)器總結(jié)的一套自有的方法去排查，找問題，溯源追蹤，徹底的防止服務(wù)器繼續(xù)被黑，將損失降到較低。每個客戶的服務(wù)器安裝的環(huán)境不一樣，以及代碼如何編寫的，根據(jù)實(shí)際情況來排查解決問題。





青島四海通達(dá)電子科技有限公司專注于服務(wù)器安全,網(wǎng)絡(luò)安全公司,網(wǎng)站安全防護(hù),網(wǎng)站漏洞檢測,滲透測試,網(wǎng)站安全,網(wǎng)站漏洞掃描,網(wǎng)站安全檢測等, 歡迎致電 13280888826

• 詞條

  詞條說明

• 網(wǎng)絡(luò)安全滲透概述

  滲透的本質(zhì)是一個不斷提高其權(quán)限的過程。黑客可以通過提高目標(biāo)系統(tǒng)的權(quán)限獲得更多關(guān)于目標(biāo)系統(tǒng)的敏感信息，我們也可以通過滲透評估目標(biāo)系統(tǒng)的信息安全風(fēng)險。滲透較重要的環(huán)節(jié)是目標(biāo)系統(tǒng)Web應(yīng)用程序進(jìn)行滲透試驗(yàn)，找出Web因此，滲透試驗(yàn)是應(yīng)用的安全漏洞Web安全防護(hù)的第一步也是進(jìn)一步深度防御的敲門磚。1、滲透概念什么是滲透？滲透英文名稱penetration test，簡稱為pentest。滲透沒有標(biāo)準(zhǔn)的定義

• 滲透測試

  滲透測試滲透測試是證明網(wǎng)絡(luò)防御按照預(yù)期計劃正常運(yùn)行的機(jī)制。假設(shè)你的公司定期較新安全策略和程序，總是對系統(tǒng)進(jìn)行補(bǔ)丁，并使用漏洞掃描儀和其他工具，以確保所有的補(bǔ)丁都已經(jīng)完成。如果你已經(jīng)這樣做了，為什么要請外國人進(jìn)行審查或滲透測試呢？因?yàn)椋瑵B透測試可以獨(dú)立地檢查你的網(wǎng)絡(luò)策略，換句話說，它為你的系統(tǒng)安裝了一雙眼睛。此外，進(jìn)行此類測試的專業(yè)人員正在尋找網(wǎng)絡(luò)系統(tǒng)的安全漏洞。上述就是滲透測試公司為您介紹的有關(guān)滲

• 影響網(wǎng)絡(luò)安全公司的因素

  談到網(wǎng)絡(luò)安全，那么任何企業(yè)都無法忽視它！事實(shí)上，如果我們考慮Verizon數(shù)據(jù)違規(guī)調(diào)查的報告，那么我們將能夠看到60％的網(wǎng)絡(luò)攻擊針對中小型企業(yè)，主要是因?yàn)樗鼈兪窍鄬?的目標(biāo)。但是，不要因此而被動！相反，網(wǎng)絡(luò)安全公司可以選擇更多智能工具和服務(wù)，這可以使企業(yè)免受任何類型的網(wǎng)絡(luò)威脅。1.確保企業(yè)辦公室硬件安全如今大多數(shù)公司都在爭奪云端！而且，在這種熱潮中，硬件經(jīng)常被忽視。但是，硬件甚至具有重要意義。因

• 數(shù)據(jù)庫安全設(shè)置防黑客攻擊大全

  隨著數(shù)據(jù)庫的發(fā)展，數(shù)據(jù)庫安全問題越來越受到業(yè)界人士的關(guān)注，學(xué)者們對數(shù)據(jù)庫安全的定義也有不同，其中以其定義較為典型。它全面地描述了數(shù)據(jù)庫的安全性，包括物理和邏輯數(shù)據(jù)庫的完整性，元素的安全性，可審核性，訪問控制和用戶認(rèn)證。目前國內(nèi)一般把數(shù)據(jù)庫系統(tǒng)的安全需求歸結(jié)為機(jī)密性，完整性和可用性。對于提高數(shù)據(jù)庫安全的措施，一般有以下幾種方法：身份認(rèn)證安全性數(shù)據(jù)庫嚴(yán)格區(qū)分請求數(shù)據(jù)庫連接的用戶的身份合法性，用戶需要提