白帽駭客資安網-網站安全的靠山,提供漏洞修補,網站被駭入侵,網站資訊安全服務

主機伺服器被攻擊如何查看異常程序與網站木馬檢查

目前越來越多的伺服器被入侵,以及攻擊事件頻頻的發生,像資料被竊取,資料庫被篡改

,使用者資料被脫褲,網站被強制跳轉到惡意網站上,網站在百度的快照被劫持,等等的攻擊症狀

層出不窮,當我們的伺服器被攻擊,被黑的時候我們第一時間該怎麼去處理解決呢?
 

 
如何排查伺服器被入侵攻擊的痕跡呢?是否有應急處理方案,在不影響網站訪問的情況下,很多

客戶出現以上攻擊情況的時候,找到我們SINE安全來處理解決伺服器被攻擊問題,我們sine安全

工程師總結了一套自有的辦法,分享給大家,希望大家能在第一時間解決掉伺服器被黑的問題。

有些客戶遇到這種情況,第一時間想到的就是先把伺服器關機,通知機房拔掉電源,有的是直接

先關閉網站,這些措施只能先解決目前的問題,解決不了問題的根源,所以遇到伺服器被攻擊的

情況,我們應該詳細的檢查日誌,以及入侵痕跡,溯源,查找漏洞,到底是哪裡導致的伺服器被
 
入侵攻擊。
 
 
首先我們應該從以下方面入手:
 
檢查伺服器的進程是不是有惡意的進程,以及管理員帳號是否被惡意增加,對伺服器的埠進行

查看,有沒有開啟多餘的埠,再一個對伺服器的登陸日誌進行檢查,伺服器的默認開啟啟動項

,服務以及計畫任務,檢查網站是否存在木馬後門,以及伺服器系統是否中病毒。
 
 
如何查看進程?打開伺服器,在cmd命令下輸入tasklis,或者是右鍵工作管理員來進行查看進程,

點顯示所有使用者的進程就可以,我們綜合的分析,根據這個記憶體使用較大,CPU佔用較多來初步

的看下,哪些進程在不停的使用,就能大概判斷出有沒有異常的進程,一般來說載入到進程的都

是系統後門,查看到進程詳細資訊使用PID來查看,再用命令findstr來查找進程調用的檔存放在

哪裡。截圖如下:
 




 
接下來就是查看系統是否存在其他惡意的管理員帳號,cmd命令下輸入net user就會列出當前伺服器

裡的所有帳號,也可以通過註冊表去查看管理員帳號是否被增加,註冊表這裡是需要在命令中輸入

regedit來打開註冊表,找到HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names

可以看到所有的帳號名字。截圖如下:





 
 
埠方面的檢查,比如一些客戶伺服器經常遭受攻擊像3306資料庫埠,21FTP埠,135,44

5埠,1433sql資料庫埠,3389遠端桌面埠,是否是對外開放,如果這些埠對外開放,

很有可能利用漏洞進行攻擊,入侵,還有弱口令帳號密碼,有些資料庫的root帳號密碼為空,以

及FTP可以匿名連接,都可以導致伺服器被入侵。有些密碼還是123456,111111等等。遠程桌面

的埠要修改掉,盡可能的防止攻擊者利用暴力破解的手段對伺服器進行登陸。可以對遠端登陸

這裡做安全驗證,限制IP,以及MAC,以及電腦名,這樣大大的加強了伺服器的安全。還要對

伺服器的登陸日誌進行檢查,看下日誌是否有被清空的痕跡,跟伺服器被惡意登陸的日誌記錄,

一般來說很多攻擊者都會登陸到伺服器,肯定會留下登陸日誌,檢查事件682就可以查得到。
 

 
接下來要對伺服器的啟動項,服務以及計畫任務進行檢查,一般攻擊者提權入侵伺服器後,都會在

伺服器裡植入木馬後門,都會插入到啟動項跟計畫任務,或者服務當中去,混淆成系統服務,讓管

理員無法察覺,使用msconfig命令對伺服器進行查看。



 
註冊表這裡要檢查這幾項:
 
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
 
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ HKEY_CLASSES_ROOT\exefile\shell\o

pen\command
 
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\
 
最重要的是對服務裡的網站代碼進行安全檢測,對比之前網站的備份檔案,看下有沒有多出一些可

疑的代碼檔,圖片格式的可以忽略,主要是一些asp,aspx,php,jsp等腳本執行檔,對代碼

查看是否含有eval等特殊字元的一句話木馬webshell,還有些base64加密的檔,都有可能是網站

木馬檔,網站的首頁代碼,標題描述,是否被加密,一些你看不懂的字元,這一般是網站被入

侵了,一步一步導致的伺服器被攻擊。
 
 
整體上的伺服器被入侵攻擊排查就是上面講到的,還有一些是伺服器安裝的軟體,以及環境,像

apache,strust2,IIS環境漏洞,都會導致伺服器被入侵,如果網站被篡改,一定要檢查網站存在的

漏洞,是否存在sql注入漏洞,檔上傳漏洞,XSS跨站漏洞,遠端代碼執行漏洞,從多個方向去排

查伺服器被入侵攻擊的問題。如果對伺服器不是太懂,可以找專業的網路安全公司去處理,國內

sinesafe,啟明星辰,綠盟,都是比較不錯的,以上就是我們日常處理客戶伺服器總結的一套自有的

方法去排查,找問題,溯源追蹤,徹底的防止伺服器繼續被黑,將損失降到最低。每個客戶的服務

器安裝的環境不一樣,以及代碼如何編寫的,根據實際情況來排查解決問題。
 

分享: