怎么查看服務(wù)器是否被入侵
2020年10月28日
首先我們應(yīng)該從以下方面入手:
檢查服務(wù)器的進(jìn)程是不是有惡意的進(jìn)程�,以及管理員賬號是否被惡意增加�����,對服務(wù)器的端口進(jìn)行查看�,有沒有開啟多余的端口��,再一個對服務(wù)器的登陸日志進(jìn)行檢查���,服務(wù)器的默認(rèn)開啟啟動項����,服務(wù)以及計劃任務(wù)�,檢查網(wǎng)站是否存在木馬后門,以及服務(wù)器系統(tǒng)是否中病毒��。
如何查看進(jìn)程���?打開服務(wù)器�,在cmd命令下輸入tasklis����,或者是右鍵任務(wù)管理器來進(jìn)行查看進(jìn)程,點顯示所有用戶的進(jìn)程就可以,我們綜合的分析����,根據(jù)這個內(nèi)存使用較大,CPU占用較多來初步的看下���,哪些進(jìn)程在不停的使用�����,就能大概判斷出有沒有異常的進(jìn)程,一般來說加載到進(jìn)程的都是系統(tǒng)后門�,查看到進(jìn)程詳細(xì)信息使用PID來查看,再用命令findstr來查找進(jìn)程調(diào)用的文件存放在哪里�����。截圖如下:
接下來就是查看系統(tǒng)是否存在其他惡意的管理員賬號,cmd命令下輸入net user就會列出當(dāng)前服務(wù)器里的所有賬號���,也可以通過注冊表去查看管理員賬號是否被增加��,注冊表這里是需要在命令中輸入egedit來打開注冊表����,找到HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names可以看到所有的賬號名字。截圖如下:
端口方面的檢查�����,比如一些客戶服務(wù)器經(jīng)常遭受攻擊像3306數(shù)據(jù)庫端口�����,21FTP端口�,135,445端口,1433sql數(shù)據(jù)庫端口��,3389遠(yuǎn)程桌面端口�,是否是對外開放,如果這些端口對外開放����,很有可能利用漏洞進(jìn)行攻擊,入侵�����,還有弱口令賬號密碼�����,有些數(shù)據(jù)庫的root賬號密碼為空,以及FTP可以匿名連接��,都可以導(dǎo)致服務(wù)器被入侵��。
有些密碼還是123456,111111等等��。遠(yuǎn)程桌面的端口要修改掉�,盡可能的防止攻擊者利用暴力破解的手段對服務(wù)器進(jìn)行登陸??梢詫h(yuǎn)程登陸這里做安全驗證,限制IP�,以及MAC,以及計算機(jī)名����,這樣大大的加強(qiáng)了服務(wù)器的安全�。還要對服務(wù)器的登陸日志進(jìn)行檢查,看下日志是否有被清空的痕跡�����,跟服務(wù)器被惡意登陸的日志記錄�,一般來說很多攻擊者都會登陸到服務(wù)器,肯定會留下登陸日志�����,檢查事件682就可以查得到。
接下來要對服務(wù)器的啟動項�����,服務(wù)以及計劃任務(wù)進(jìn)行檢查�,一般攻擊者提權(quán)入侵服務(wù)器后,都會在服務(wù)器里植入木馬后門�,都會插入到啟動項跟計劃任務(wù),或者服務(wù)當(dāng)中去�,混淆成系統(tǒng)服務(wù),讓管理員無法察覺�,使用msconfig命令對服務(wù)器進(jìn)行查看。
注冊表這里要檢查這幾項:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ HKEY_CLASSES_ROOT\exefile\shell\open\command
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\
最重要的是對服務(wù)里的網(wǎng)站代碼進(jìn)行安全檢測��,對比之前網(wǎng)站的備份文件�����,看下有沒有多出一些可疑的代碼文件��,圖片格式的可以忽略�,主要是一些asp,aspx���,php����,jsp等腳本執(zhí)行文件,對代碼查看是否含有eval等特殊字符的一句話木馬webshell,還有些加密的文件�,都有可能是網(wǎng)站木馬文件,網(wǎng)站的首頁代碼��,標(biāo)題描述�,是否被加密,一些你看不懂的字符����,這一般是網(wǎng)站被入侵了,一步一步導(dǎo)致的服務(wù)器被攻擊��。
整體上的服務(wù)器被入侵攻擊排查就是上面講到的�����,還有一些是服務(wù)器安裝的軟件���,以及環(huán)境,像apache,strust2��,IIS環(huán)境漏洞,都會導(dǎo)致服務(wù)器被入侵����,如果網(wǎng)站被篡改,一定要檢查網(wǎng)站存在的漏洞����,是否存在sql注入漏洞,文件上傳漏洞�����,XSS跨站漏洞�����,遠(yuǎn)程代碼執(zhí)行漏洞�����,從多個方向去排查服務(wù)器被入侵攻擊的問題��。
如果對服務(wù)器不是太懂���,可以找專業(yè)的網(wǎng)絡(luò)安全公司去處理��,國內(nèi)sinesafe,啟明星辰�,綠盟,都是比較不錯的���,以上就是我們?nèi)粘L幚砜蛻舴?wù)器總結(jié)的一套自有的方法去排查�,找問題���,溯源追蹤��,徹底的防止服務(wù)器繼續(xù)被黑���,將損失降到最低。每個客戶的服務(wù)器安裝的環(huán)境不一樣��,以及代碼如何編寫的��,根據(jù)實際情況來排查解決問題��。
江蘇國駿-打造安全可信的網(wǎng)絡(luò)世界
為IT提升價值
http://borgatopiano.com.cn/
免費咨詢熱線:400-6776-989
