网站安全防护

服务咨询热线:

17202014336

网站安全防护,代码审计

在服务器遭到黑客攻击后怎样去寻找根源?

当前位置: 首页> 安全研究> 在服务器遭到黑客攻击后怎样去寻找根源?
时间:2021-09-03

  如今国内互联网环境复杂,网络攻击事件频繁发生,大多数互联网企业都曾遭受过网络攻击。网络企业受到网络攻击时,直接导致网络业务瘫痪,给企业带来巨大的经济损失。因此创途安全建议网络企业应提前做好网站安全防护措施,避免因网络攻击而造成企业经济损失。


  在服务器受到攻击时,可能造成服务器被攻击者远程控制、服务器带宽被外包、服务器受到DDOS/CC攻击、系统木马病毒、服务器管理员帐号更改等。也有可能导致网站被劫持,首页被篡改,网页被木马的脚本等等。在服务器遭到黑客攻击后,怎样用代码审计去寻找溯源?


  先检查服务器的管理员帐号密码安全,看看服务器是否使用简单的弱密码,如Mysql数据库密码,网站后台的管理员密码,都要逐一检查。

代码审计
  随后,检查服务器系统中是否有恶意帐号,以及新添加的帐号,admin$等,这些帐号都是由攻击者创建的,一一发现,就可以大致判断出该服务器是黑的。查一下就是打开电脑管理,查看当前帐号,或cmd命令下:netuser查看,再看看注册表里的帐号。


  使用服务器日志检查管理员帐号登录有没有恶意登录的情况,查看登录时间,查看帐号名称,查看登录的IP,查看日志记录可以看到680.682状态,逐个排查。服务端、系统进程安全检测:打开CMDnetstat-an检查当前系统的连接,看看是否有一些恶意的IP连接,比如打开一些不常用的端口,通常是80网站端口、8888端口、21FTP端口、3306数据库端口、443SSL证书端口、9080java端口、22SSH端口、3389默认远程管理端口、1433SQL数据库端口。除了上面的端口要正常打开,其他开口的端口要仔细检查一下,看有没有接通。


  再次查看进程,是否存在恶意进程,就像木马后门一样被植入进程。初学者在不了解如何查看进程的情况下,可以使用工具,微软的ProcessExplorer和剪刀手,最简单的方法是通过任务管理器查看当前的进程,比如linux服务器需要top命令,以及ps命令查看是否存在恶意进程。通常如果进程被黑,可以从以下几个方面判断,CPU占用太多,一些进程没有正式签名,进程的路径不合法,不属于系统目录。


  如果服务器受到攻击,不要慌张,首先做好必要的安全防御,开启IP禁PING,关闭不需要的端口。这类攻击只能是防简单的,对于大流量的DDoS攻击,一定要有足够的带宽与专业DDoS高防配合才能防御,你的防御能力大于攻击者的流量就能防御成功。

上一篇:网络环境的发展与网络安全趋势分析! 下一篇:访问后网站的高防问题需要检查哪些呢?
最新文章
渗透测试
17202014336
渗透测试
网站安全检测
APP安全检测