web服务器被入侵后怎么排查

　　目前入侵情况最频繁的应该属web服务器了，尤其是一些流量较大，但是对于服务器安全不重视的网站往往是被入侵的第一对象。这里跟大家稍微聊一下web服务器被入侵后怎么排查。

web服务器被入侵后怎么排查

　　首先，安装服务器安全狗，服务器安全狗能够帮助用户排查入侵的漏洞，修复漏洞，查杀病毒等，功能十分强大，先用服务器安全狗对服务器全体检查一遍，做好修复工作。

　　服务器安全狗，永久免费使用：http://free.safedog.cn/server_safedog.html

　　多引擎，精准查杀网页木马、各类病毒

　　独有的安全狗云查杀引擎、网马引擎与专业的二进制病毒引擎结合，精确查杀各类网页木马和主流病毒。多引擎智能查杀病毒，全面保障服务器安全。

　　三层网络防护，实时保护网络安全

　　强有力的网络防护，实时监测IP和端口访问的合法性，实时拦截ARP攻击、Web攻击(抗CC)、DDOS攻击、暴力破解。

　　全面的文件/注册表保护，杜绝非法篡改

　　全面开放保护规则，同时支持监控网站目录，有效保护重要文件、目录与注册表不被篡改与删除，实时防止网站被上传网页木马。系统默认规则与用户自定义规则全支持，灵活定制，全面保护。

　　底层驱动防护，屏蔽入侵提权

　　驱动级保护，拦截更快速，有效防止未授权的非法用户登录服务器，实时阻止非法创建和修改系统帐号。

　　服务器安全加固，避免配置风险

　　全面的服务器体检，暴露安全隐患，当前系统健康情况了然于心，同时提供贴心的优化建议措施，加固服务器更简单，系统运行更快速，更安全。

web服务器被入侵后怎么排查

　　账号密码安全检测：

　　首先我们要检查我们服务器的管理员账号密码安全，查看服务器是否使用弱口令，比如123456.123456789,123123等等密码，包括administrator账号密码，Mysql数据库密码，网站后台的管理员密码，都要逐一的排查，检查密码安全是否达标。

　　再一个检查服务器系统是否存在恶意的账号，以及新添加的账号，像admin,admin$,这样的账号名称都是由攻击者创建的，只要发现就可以大致判断服务器是被黑了。检查方法就是打开计算机管理，查看当前的账号，或者cmd命令下：net user查看，再一个看注册表里的账号。

　　通过服务器日志检查管理员账号的登录是否存在恶意登录的情况，检查登录的时间，检查登录的账号名称，检查登录的IP，看日志可以看680.682状态的日志，逐一排查。

　　服务器端口、系统进程安全检测：

　　打开CMD netstat -an 检查当前系统的连接情况，查看是否存在一些恶意的IP连接，比如开放了一些不常见的端口，正常是用到80网站端口，8888端口，21FTP端口，3306数据库的端口，443 SSL证书端口，9080 java端口，22 SSH端口，3389默认的远程管理端口，1433 SQL数据库端口。除以上端口要正常开放，其余开放的端口就要仔细的检查一下了，看是否向外连接。如下图：

　　再一个查看进程，是否存在恶意进程，像木马后门都会植入到进程当中去。新手如果不懂如何查看进程，可以使用工具，微软的Process Explorer，还有剪刀手，最简单的就是通过任务管理器去查看当前的进程，像linux服务器需要top命令，以及ps命令查看是否存在恶意进程。一般如果被黑，可以从以下几大方面判断，CPU占用过高，有些进程没有正式的签名，进程的路径不合法，不是系统目录。

　　服务器启动项、计划任务安全检测：

　　查看服务器的启动项，输入msconfig命令，看下是否有多余的启动项目，如果有检查该启动项是否是正常。再一个查看服务器的计划任务，通过控制面板，组策略查看。服务自启动，查看系统有没有自己主动启动一些进程。

　　网站日志，服务器日志一定要提前开启，开启审核策略，包括一些服务器系统的问题，安装的软件出错，管理员操作日志，登录服务器日志，以便方便后期出现服务器被黑事件，可以进行分析查找并溯源。网站的日志也要开启，IIS下开启日志记录，apache等环境请直接在配置文件中进行日志的开启与日志路径配置。

　　通过上面的流程介绍，大家应该知道web服务器被入侵后怎么排查了吧。只要你遭受的不是非常强大的入侵，通过上面的步骤一一操作下来，都能保证服务器安全无忧，如果真的遭受到强大的入侵而导致服务器数据、程序被完全破坏，可以向安全狗咨询，我们会帮您解决。