<em id="g5jm6"></em>

<em id="g5jm6"></em>
      <em id="g5jm6"></em>

        <sup id="g5jm6"></sup>
        <div id="g5jm6"><ol id="g5jm6"></ol></div>

            <sup id="g5jm6"><address id="g5jm6"></address></sup>

              <sup id="g5jm6"><meter id="g5jm6"></meter></sup>

              <dl id="g5jm6"></dl>

                <dl id="g5jm6"></dl>
                <dl id="g5jm6"><ins id="g5jm6"></ins></dl>

                我們不但可以亡羊補牢
                更擅長未雨綢繆

                關注我們

                您的位置: 主頁 > 支持與下載 > IT知識庫 >
                IT知識庫

                如何溯源黑客攻擊服務器
                時間:2020-11-04 作者:xnit 點擊:

                在政府、企事業單位以及行業用戶投入大量人力財力在服務器安全防護之后,惡性網絡安全事件仍頻生不斷,其隱蔽復雜多變的網絡攻擊手段,使得企業安全管理部門難以發現甚至無以感知,往往造成難以估量的巨大損失,事后又難于歷史回溯取證和進行責任界定。
                 
                當服務器遭到攻擊時,可能會導致服務器被攻擊者遠程控制,服務器的帶寬向外發包,服務器被DDOS/CC攻擊,系統中木馬病毒,服務器管理員賬號密碼被改等。還有可能導致網站被劫持,首頁被篡改,網頁被植入腳本木馬等。當服務器被黑客攻擊時,該如何去查找溯源呢?
                 
                關于這一點呢,小諾把小諾的工作程序給親們分享一下。
                 
                首先要分析對方的目的是什么,就是最終目標是做什么。然后根據小諾經驗分析達到這個目標都需要什么操作然后逆推回去。
                 
                 
                ​下面是主要的溯源分析思路
                 
                網站源碼分析
                 
                日志分析
                 
                服務器端口分析
                 
                分析進程端口
                 
                分析網站源碼可以幫助我們獲取網站被入侵時間, 黑客如何的 IP, 等信息, 對于接下來的日志分析有很大幫助。
                 
                接著說一下日志,通過服務器日志檢查管理員賬號的登錄是否存在惡意登錄的情況,檢查登錄的時間,檢查登錄的賬號名稱,檢查登錄的IP,看日志可以看680.682狀態的日志,逐一排查。
                 
                服務器端口方面,打開CMD netstat -an 檢查當前系統的連接情況,查看是否存在一些惡意的IP連接,比如開放了一些不常見的端口,正常是用到80網站端口,8888端口,21FTP端口,3306數據庫的端口,443 SSL證書端口,9080 java端口,22 SSH端口,3389默認的遠程管理端口,1433 SQL數據庫端口。除以上端口要正常開放,其余開放的端口就要仔細的檢查一下了,看是否向外連接。
                 
                至于分析進程端口呢,主要是檢查服務器是否有黑客留下的木馬程序。一般來說這方面網絡上已經存在相應的軟件工具,使用工具一是查看端口占用情況,二是分析可疑端口的 pid 進程,對癥下藥
                 
                當服務器遭到攻擊時親們企業不要心慌,先做好必要的安全防御,關閉不需要的端口,進行攻擊溯源注意每一個細節,以后在遇到溯源的活,做的時候就可以更系統一些。