当公司的网站服务器遭到黑客入侵时,整个网站和业务系统都会处于瘫痪状态,服务器也会受到攻击,我们该如何处理呢?
第一步、账号密码的安全检测
首先需要检查服务器的管理员账号密码安全,查看服务器是否使用弱口令,包括administrator账号密码,Mysql数据库密码,网站后台的管理员密码,都需要逐一的排查,检查密码安全是否达标。
在检查一下服务器系统是否存在恶意账号,以及新添加的账号,像admin,admin$这样的账号一般都是由攻击者创建,可以采用运行,输入cmd命令,netuser查看,再看注册表里的账号。
第二步、服务器端口,系统进程安全检测
打开CMDnetstat-an检查当前系统的链接情况,查看是否存在一些恶意的IP链接,比如开放了一些不常见的端口,正常是用到80网站端口,8888端口,21ftp端口,3306数据库的端口,443SSL证书端口,9080java端口,22SSH端口,3389默认的远程管理端口,1433SQL数据库端口,除以上端口要正常开放,剩下的开放的端口都需要仔细检查。
第三步、服务器启动项,计划任务安全检测
查看服务器的启动项,输入msconfig命令,看一下是否有多余的启动项目,如果有检查该启动项是否正常,然后再查看服务器的计划任务,通过控制面板。组策略查看,服务自启动,查看系统有没有自己主动启动一些进程。
第四步、服务器的后门木马查杀
下载360杀毒,并更新病毒库,对服务器进行全面的安全检测与扫描,修复系统补丁,也可以使用webshell查杀工具来进行查杀,最重要的木马规则库。
必须提前打开网站日志,服务器日志,打开审核策略,包括一些服务器系统问题,安装软件错误,管理员操作日志,登录服务器日志,为了方便以后发生服务器黑客事件,可以分析查找和跟踪,网站日志也应该打开,llS打开日志记录,apache和其他环境直接在配置文件中启用日志打开和日志路径配置。
北京尚网汇智将持续为您分享网站建设相关的知识和经验。
QQ咨询
400-883-2887
