eSafe白帽駭客資安網-網絡安全背後的巨人,提供駭客,網站入侵測試,網站被駭,網站漏洞,駭客入侵,資訊安全,入侵,ecshop,wordpress,漏洞修復,木馬清除,資安服務

主機被黑該如何查找入侵、攻擊痕跡?



           當公司的網站主機被黑,被入侵導致整個網站,以及業務系統癱瘓,給企業帶來的損失

無法估量,但是當發生主機被攻擊的情況,作為主機的維護人員
應當在第一時間做好安全響

應,對主機以及網站應以最快的時間恢復正常運行,
讓損失減少到最低,針對於駭客攻擊的痕

跡應該如何去查找溯源,還原主機被攻
擊的現場,eSafe白帽資安網公司制定了詳細的主機被黑自查

方案。
 
 
目前網站主機被攻擊的特徵如下:
 
網站被攻擊:網站被跳轉到賭博網站,網站首頁被篡改,百度快照被改,網站被植入webshell腳

本木馬,網站被DDOS、CC壓力攻擊。

主機被黑:主機系統中木馬病毒,主機管理員賬號密碼被改,主機被攻擊者遠程控制,

主機的帶寬向外發包,主機被流量攻擊,ARP攻擊(目前這種比
較少了,現在都是基於阿里

雲,百度雲,騰訊雲,西部數碼等雲主機)
 
 
關於主機被黑我們該如何檢查被黑?
 
賬號密碼安全檢測:
 
首先我們要檢查我們主機的管理員賬號密碼安全,查看主機是否使用弱口令,比如123456.

123456789,123123等等密碼,包括administrator賬號密碼,Mysql數
據庫密碼,網站後台的管

理員密碼,都要逐一的排查,檢查密碼安全是否達標。

 
 
再一個檢查主機系統是否存在惡意的賬號,以及新添加的賬號,像admin,admin$,這樣的賬號

名稱都是由攻擊者創建的,只要發現就可以大致判斷主機是被黑了
。檢查方法就是打開計算機

管理,查看當前的賬號,或者cmd命令下:net user查
看,再一個看註冊表裡的賬號。
 
 
通過主機日誌檢查管理員賬號的登錄是否存在惡意登錄的情況,檢查登錄的時間,檢查登錄的

賬號名稱,檢查登錄的IP,看日誌可以看680.682狀態的日誌,逐一
排查。
 
 
主機端口、系統進程安全檢測:
 
打開CMD netstat -an 檢查當前系統的連接情況,查看是否存在一些惡意的IP連接,比如開放了

一些不常見的端口,正常是用到80網站端口,8888端口,21FTP端口
,3306數據庫的端口,4

43 SSL證書端口,9080 java端口,22 SSH端口,3389默認
的遠程管理端口,1433 SQL數據庫

端口。除以上端口要正常開放,其餘開放的端口
就要仔細的檢查一下了,看是否向外連接。如下

圖:


 
再一個查看進程,是否存在惡意進程,像木馬後門都會植入到進程當中去。新手如果不懂如何查

看進程,可以使用工具,微軟的Process Explorer,還有剪刀手,最
簡單的就是通過任務管理器

去查看當前的進程,像linux主機需要top命令,以及
ps命令查看是否存在惡意進程。一般如果被

黑,可以從以下幾大方面判斷,CPU占
用過高,有些進程沒有正式的簽名,進程的路徑不合法,

不是系統目錄。
 
 
主機啟動項、計劃任務安全檢測:
 
查看主機的啟動項,輸入msconfig命令,看下是否有多餘的啟動項目,如果有檢查該啟動項是

否是正常。再一個查看主機的計劃任務,通過控制面板,組策略查
看。服務自啟動,查看系統

有沒有自己主動啟動一些進程。


 
 
主機的後門木馬查殺
 
下載360殺毒,並更新病毒庫,對主機進行全面的安全檢測與掃瞄,修復系統補丁,對網站的代

碼進行人工的安全檢測,對網站漏洞的檢測,網站木馬後門的檢測
,也可以使用webshell查殺工具

來進行查殺,最重要的是木馬規則庫。

 
 
網站日誌,主機日誌一定要提前開啟,開啟審核策略,包括一些主機系統的問題,安裝的軟件

出錯,管理員操作日誌,登錄主機日誌,以便方便後期出現服務
器被黑事件,可以進行分析查找

並溯源。網站的日誌也要開啟,IIS下開啟日誌記
錄,apache等環境請直接在配置文件中進行日誌

的開啟與日誌路徑配置。以上就是
主機被黑,該如何的查找被黑的痕跡,下一篇會跟大家講如

何更好的做好主機
的安全部署。
分享: