現(xiàn)在國內(nèi)互聯(lián)網(wǎng)環(huán)境復(fù)雜,網(wǎng)絡(luò)攻擊事件頻發(fā),大部分互聯(lián)網(wǎng)企業(yè)都有被網(wǎng)絡(luò)攻擊的經(jīng)歷。當(dāng)互聯(lián)網(wǎng)公司遭到網(wǎng)絡(luò)攻擊時,直接導(dǎo)致在線業(yè)務(wù)癱瘓,給企業(yè)造成巨大的經(jīng)濟(jì)損失。網(wǎng)度通信建議互聯(lián)網(wǎng)企業(yè)提前做好安全防護(hù)措施,避免因遭到網(wǎng)絡(luò)攻擊導(dǎo)致企業(yè)經(jīng)濟(jì)損失。
當(dāng)服務(wù)器遭到攻擊時,可能會導(dǎo)致服務(wù)器被攻擊者遠(yuǎn)程控制,服務(wù)器的帶寬向外發(fā)包,服務(wù)器被DDoS/CC攻擊,系統(tǒng)中木馬病毒,服務(wù)器管理員賬號密碼被改等。還有可能導(dǎo)致網(wǎng)站被劫持,首頁被篡改,網(wǎng)頁被植入腳本木馬等。當(dāng)服務(wù)器被黑客攻擊時,該如何去查找溯源呢?
首先我們要檢查我們服務(wù)器的管理員賬號密碼安全,查看服務(wù)器是否使用簡單的弱口令,比如MySQL數(shù)據(jù)庫密碼,網(wǎng)站后臺的管理員密碼,都要逐一的排查。
然后檢查服務(wù)器系統(tǒng)是否存在惡意的賬號,以及新添加的賬號,像admin,admin$,這樣的賬號名稱都是由攻擊者創(chuàng)建的,只要發(fā)現(xiàn)就可以大致判斷服務(wù)器是被黑了。檢查方法就是打開計算機(jī)管理,查看當(dāng)前的賬號,或者cmd命令下:net user查看,再一個看注冊表里的賬號。
通過服務(wù)器日志檢查管理員賬號的登錄是否存在惡意登錄的情況,檢查登錄的時間,檢查登錄的賬號名稱,檢查登錄的IP,看日志可以看680.682狀態(tài)的日志,逐一排查。服務(wù)器端口、系統(tǒng)進(jìn)程安全檢測:打開CMD netstat -an 檢查當(dāng)前系統(tǒng)的連接情況,查看是否存在一些惡意的IP連接,比如開放了一些不常見的端口,正常是用到80網(wǎng)站端口,8888端口,21FTP端口,3306數(shù)據(jù)庫的端口,443 SSL證書端口,9080 JAVA端口,22 SSH端口,3389默認(rèn)的遠(yuǎn)程管理端口,1433 SQL數(shù)據(jù)庫端口。除以上端口要正常開放,其余開放的端口就要仔細(xì)的檢查一下了,看是否向外連接。
再一個查看進(jìn)程,是否存在惡意進(jìn)程,像木馬后門都會植入到進(jìn)程當(dāng)中去。新手如果不懂如何查看進(jìn)程,可以使用工具,微軟的Process Explorer,還有剪刀手,最簡單的就是通過任務(wù)管理器去查看當(dāng)前的進(jìn)程,像linux服務(wù)器需要top命令,以及ps命令查看是否存在惡意進(jìn)程。一般如果被黑,可以從以下幾大方面判斷,CPU占用過高,有些進(jìn)程沒有正式的簽名,進(jìn)程的路徑不合法,不是系統(tǒng)目錄。
當(dāng)服務(wù)器遭到攻擊時不要心慌,先做好必要的安全防御,開啟IP禁PING,關(guān)閉不需要的端口。這些是只能防簡單的攻擊,對于大流量DDoS攻擊,必須要有足夠的帶寬和專業(yè)的DDoS高防配合起來才能防御,你的防御能力大于攻擊者的攻擊流量就可以防御成功了。關(guān)注我們,獲取更多網(wǎng)絡(luò)安全資訊。
