當企業的獨立服務器被攻擊或不明原因,使整個網站癱瘓,維護人員應該第一時間檢查原因,以下是被黑的自查方案,僅供參考。
一、攻擊特征
獨立服務器被黑后,維護人員應該查看網站或服務器本身出現了哪些特征,比如網站只是跳轉到其他網站,首頁是否被篡改,是否被植入了腳本或者受DDoS等壓力攻擊而打不等,查看服務器系統是否中木馬病毒、密碼被修改被控制等。
二、賬戶檢測
不論是哪種情況,我們首先需要檢查服務器的管理員賬戶密碼是否安全,是否是因為使用了弱密碼而被強制破解。
其次,在計算機管理界面中,檢查系統是否存在惡意賬號或添加了新賬號,如admin等默認簡單賬號名稱的。
還可以通過日志檢查賬戶的登錄情況,是否異常登錄等,檢查惡意登錄的IP進行排除。
三、系統檢測
檢查系統有哪些IP鏈接,是否存在惡意IP連接,或開放了不常見的端口,而在這些端口下是否有其他連接接入。
還有一個是進程,是否存在惡意進程,許多木馬后門都會植入到進程中去。
四、服務器啟動項檢測
查看服務器啟動項是否有多余的啟動項目,如果有,檢查該項目是否正常,服務器被黑后,會自啟動一些進程。
在日常工作需要對網站與系統漏洞進行檢測,開啟服務器日志,方便被黑時快速查找并分析攻擊源。
