服务器被黑该如何查找***、***痕迹

当公司的网站服务器被黑，被***致使整个网站，以及业务系统瘫痪，给企业带来的损失没法估量，可是当发生服务器被***的状况，做为服务器的维护人员应当在第一时间作好安全响应，对服务器以及网站应以最快的时间恢复正常运行，让损失减小到最低，针对于******的痕迹应该如何去查找溯源，还原服务器被***的现场，SINE安全公司制定了详细的服务器被黑自查方案。

目前网站服务器被***的特征以下：

网站被***：网站被跳转到赌博网站，网站首页被篡改，百度快照被改，网站被植入webshell脚本***，网站被DDOS、CC压力***。

服务器被黑：服务器系统中***病毒，服务器管理员帐号密码被改，服务器被***者远程控制，服务器的带宽向外发包，服务器被流量***，ARP***（目前这种比较少了，如今都是基于阿里云，百度云，腾讯云，西部数码等云服务器）

关于服务器被黑咱们该如何检查被黑？

帐号密码安全检测：

首先咱们要检查咱们服务器的管理员帐号密码安全，查看服务器是否使用弱口令，好比123456.123456789,123123等等密码，包括administrator帐号密码，Mysql数据库密码，网站后台的管理员密码，都要逐一的排查，检查密码安全是否达标。

再一个检查服务器系统是否存在恶意的帐号，以及新添加的帐号，像admin,admin$,这样的帐号名称都是由***者建立的，只要发现就能够大体判断服务器是被黑了。检查方法就是打开计算机管理，查看当前的帐号，或者cmd命令下：net user查看，再一个看注册表里的帐号。

经过服务器日志检查管理员帐号的登陆是否存在恶意登陆的状况，检查登陆的时间，检查登陆的帐号名称，检查登陆的IP，看日志能够看680.682状态的日志，逐一排查。

服务器端口、系统进程安全检测：

打开CMD netstat -an 检查当前系统的链接状况，查看是否存在一些恶意的IP链接，好比开放了一些不常见的端口，正常是用到80网站端口，8888端口，21FTP端口，3306数据库的端口，443 SSL证书端口，9080 java端口，22 SSH端口，3389默认的远程管理端口，1433 SQL数据库端口。除以上端口要正常开放，其他开放的端口就要仔细的检查一下了，看是否向外链接。以下图：

再一个查看进程，是否存在恶意进程，像***后门都会植入到进程当中去。新手若是不懂如何查看进程，能够使用工具，微软的Process Explorer，还有剪刀手，最简单的就是经过任务管理器去查看当前的进程，像linux服务器须要top命令，以及ps命令查看是否存在恶意进程。通常若是被黑，能够从如下几大方面判断，CPU占用太高，有些进程没有正式的签名，进程的路径不合法，不是系统目录。

服务器启动项、计划任务安全检测：

查看服务器的启动项，输入msconfig命令，看下是否有多余的启动项目，若是有检查该启动项是不是正常。再一个查看服务器的计划任务，经过控制面板，组策略查看。服务自启动，查看系统有没有本身主动启动一些进程。

服务器的后门***查杀

下载360杀毒，并更新病毒库，对服务器进行全面的安全检测与扫描，修复系统补丁，对网站的代码进行人工的安全检测，对网站漏洞的检测，网站***后门的检测，也能够使用webshell查杀工具来进行查杀，最重要的是***规则库。

网站日志，服务器日志必定要提早开启，开启审核策略，包括一些服务器系统的问题，安装的软件出错，管理员操做日志，登陆服务器日志，以便方便后期出现服务器被黑事件，能够进行分析查找并溯源。网站的日志也要开启，IIS下开启日志记录，apache等环境请直接在配置文件中进行日志的开启与日志路径配置。以上就是服务器被黑，该如何的查找被黑的痕迹，下一篇会跟你们讲如何更好的作好服务器的安所有署。