阿里云攻击防御数据统计_服务器被黑该如何查找入侵、攻击痕迹

当企业的网站服务器被黑客入侵后，整个网站和业务系统都陷入瘫痪，给企业带来的损失是不可估量的。然而，当服务器被攻击后，服务器维护人员应尽快响应安全问题，尽快恢复服务器和网站的正常运行，将损失降到最低。同时，还应查找、追踪黑客攻击的痕迹并还原服务器被攻击的现场，制定详细的服务器黑客自检方案。

当前网站服务器攻击的特点如下：

网站遭受攻击：网站重定向至赌博网站、首页被篡改、更改百度快照、网站植入脚本木马、网站遭受DDOS、CC压力攻击。

服务器被黑：服务器系统中病毒木马、服务器管理员账号密码被更改、服务器被攻击者远程控制、服务器带宽出包、服务器流量攻击、ARP攻击（目前这种情况比较少见，现在都是基于阿里云、百度云、腾讯云、西部数据等云服务器）

我们如何检查服务器是否已被黑客入侵？

账户及密码安全检查：

首先我们需要检查我们服务器的管理员账号和密码的安全性，检查服务器是否使用了弱密码，比如......等。包括账号密码，Mysql数据库密码，网站后台的管理员密码等，都要一一检查，检查密码安全性是否达标。

另外一种检查方式是查看服务器系统上是否有恶意账号或者新添加的账号，像admin、admin$这样的账号名都是攻击者创建的，如果发现，可以大致判断服务器被黑了。检查方式有打开计算机管理查看当前账号，或者运行cmd命令：net user查看，或者在注册表中查看账号。

查看服务器日志，查看是否有管理员账号恶意登录，查看登录时间，查看登录账号名，查看登录IP，查看状态为680.682的日志，逐一进行检查。

服务器端口及系统进程安全检测：

打开CMD -an检查当前系统连接状态，看看是否有恶意IP连接。比如开放了一些不常用的端口，正常使用的端口有80网站端口、8888端口、21 FTP端口、3306数据库端口、443 SSL证书端口、9080 java端口、22 SSH端口、3389默认远程管理端口、1433 SQL数据库端口。除了以上几个端口必须正常开放外，其余开放的端口都需要仔细检查，看看是否与外界连通。如下图：

另外要做的就是检查进程，看看是否有恶意进程。比如木马、后门等都会被植入到进程中。如果新手不会检查进程，可以使用微软的、剪刀手等工具。最简单的方法就是通过任务管理器检查当前进程。比如Linux服务器需要top命令，ps命令来检查是否有恶意进程。一般如果被黑了，可以从以下几个方面来判断：CPU占用过高、某些进程没有官方签名、进程路径非法且不是系统目录。

服务器启动项和计划任务安全检测：

服务器后门木马查杀

下载360杀毒并更新病毒库，对服务器进行全面的安全检测扫描，修复系统补丁，对网站代码进行手动安全测试，检测网站漏洞，检测网站木马后门。也可以用检测工具进行检测查杀。最主要的是木马规则库。

网站日志和服务器日志必须提前开启，并启用审计策略，包括一些服务器系统问题、安装的软件错误、管理员操作日志、服务器登录日志等，这样一旦发生服务器被黑事件，可以进行分析、搜索、溯源。网站日志也必须开启，IIS下必须开启日志，其他环境请直接在配置文件中开启日志、配置日志路径。以上就是服务器被黑后如何查找黑客入侵的痕迹，下篇文章会告诉大家如何更好的部署服务器安全。