服务器被入侵怎么处理

作者：

发布时间：2020-05-07

　　服务器被入侵怎么处理?当公司的网站服务器被黑，被入侵导致整个网站，以及业务系统瘫痪，给企业带来的损失无法估量的，如果服务器被入侵肯定会留下痕迹，我们应该按照下面的介绍来一步步检查。

服务器被入侵怎么处理

　　首先，安装服务器安全狗，服务器安全狗能够帮助用户排查入侵的漏洞，修复漏洞，查杀病毒等，功能十分强大，可以有效防止黑客入侵服务器。

　　服务器安全狗，永久免费使用：http://free.safedog.cn/server_safedog.html

　　多引擎，精准查杀网页木马、各类病毒

　　独有的安全狗云查杀引擎、网马引擎与专业的二进制病毒引擎结合，精确查杀各类网页木马和主流病毒。多引擎智能查杀病毒，全面保障服务器安全。

　　三层网络防护，实时保护网络安全

　　强有力的网络防护，实时监测IP和端口访问的合法性，实时拦截ARP攻击、Web攻击(抗CC)、DDOS攻击、暴力破解。

　　全面的文件/注册表保护，杜绝非法篡改

　　全面开放保护规则，同时支持监控网站目录，有效保护重要文件、目录与注册表不被篡改与删除，实时防止网站被上传网页木马。系统默认规则与用户自定义规则全支持，灵活定制，全面保护。

　　底层驱动防护，屏蔽入侵提权

　　驱动级保护，拦截更快速，有效防止未授权的非法用户登录服务器，实时阻止非法创建和修改系统帐号。

　　服务器安全加固，避免配置风险

　　全面的服务器体检，暴露安全隐患，当前系统健康情况了然于心，同时提供贴心的优化建议措施，加固服务器更简单，系统运行更快速，更安全。

服务器被入侵怎么处理

　　目前网站服务器被攻击的特征如下：

　　网站被攻击：网站被跳转到赌博网站，网站首页被篡改，百度快照被改，网站被植入webshell脚本木马，网站被DDOS、CC压力攻击。

　　服务器被黑：服务器系统中木马病毒，服务器管理员账号密码被改，服务器被攻击者远程控制，服务器的带宽向外发包，服务器被流量攻击，ARP攻击(目前这种比较少了，现在都是基于阿里云，百度云，腾讯云，西部数码等云服务器)

服务器被入侵怎么处理

　　一、检查系统账号安全

　　1、查看服务器是否有弱口令，远程管理端口是否对公网开放。

　　2、查看服务器是否存在可疑账号、新增账号。

　　打开 cmd 窗口，输入lusrmgr.msc命令，查看是否有新增/可疑的账号。

　　3、查看服务器是否存在隐藏账号、克隆账号

　　在cmd中输入：net user 看看有没有陌生用户

　　在cmd中输入：regedit 找到注册表分支“HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/Names/”看看有没有克隆用户

　　二、检查网络

　　在cmd命令行中输入 netstat -ano 查看目前的网络连接，定位可疑的pid。

　　根据定位出的pid，再通过tasklist命令进行进程定位 tasklist | findstr “PID”

　　发现的感觉异常的 IP 地址可以在威胁情报平台上查询，如果是已知的恶意 IP，可以比较快速的确认攻击方式。

　　三、检查日志、启动项、计划任务

　　1、结合日志，查看管理员登录时间、用户名是否存在异常。

　　首先Win+R打开运行，输入“eventvwr.msc”，回车运行，打开“事件查看器”。系统日志包含Windows系统组件记录的事件。应用程序日志包含由应用程序或程序记录的事件。安全日志包含诸如有效和无效的登录尝试等事件，以及与资源使用相关的事件，如创建、打开或删除文件或其他对象。

　　常用事件 ID 以及他代表的事件含义如下：

　　登录类型ID

　　查看远程登陆事件

　　远程连接日志(应用程序和服务日志->Microsoft->Windows->-TerminalServices->RemoteConnectionManager->Operational)

　　2、查看启动项

　　(1)按下win+r键打开运行，输入 shell:startup 打开开机启动项文件夹，检查是否有可疑自启动文件。

　　(2)按下win+r键打开运行，输入msconfig 查看是否存在命名异常的启动项目，是则取消勾选命名异常的启动项目，并到命令中显示的路径删除文件。

　　(3)按下win+r键打开运行，输入regedit 打开注册表，查看开机启动项是否正常，特别注意如下三个注册表项：

　　HKEY_CURRENT_USERsoftwaremicorsoftwindowscurrentversion un

　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunonce

　　3、查看计划任务

　　按下win+r键打开运行，输入taskschd.msc 打开任务计划，查看有没有可疑的计划任务。

　　服务器被入侵怎么处理，可以通过上面介绍的方式去一步步排查解决。如果对于服务器安全攻防技术不是很精通的朋友，可以先用服务器安全狗排查一下，如果是遇到比较重大的入侵，也可以向安全狗咨询解决方法，我们会尽力帮您解决。

标签：

上一篇：服务器被入侵了要怎么处理

下一篇：如何查看服务器是否有被入侵的

最新资讯: 企业级网络防火墙可以防护哪些方面?; 企业网络等保测评必须要做吗-企业网络等保测评的必要性分析; 云安全环境加固需要哪些措施？; 网络安全隔离设备有哪些; 网站被挂马怎么解决; web应用防火墙怎么部署?; 网络安全审计系统有哪些功能?多少钱?; 服务器卡顿动不了怎么解决; 网站中木马被反复篡改的彻底修复方法; 服务器被篡改登录不上怎么办？

相关资讯