帮助与文档

您的位置  :  

台湾服务器被攻击,如何防护和追溯攻击源?

文字出处:未知  |  作者:洪艳  |  发布时间:2021-04-19 15:38

  当服务器遭到攻击时,可能会导致台湾服务器被攻击者远程控制,服务器的带宽向外发包,服务器被DDoS/CC攻击,系统中木马病毒,服务器管理员账号密码被改等。还有可能导致网站被劫持,首页被篡改,网页被植入脚本木马等。当服务器被黑客攻击时,该如何去查找溯源呢?

台湾服务器被攻击,如何防护和追溯攻击源?
 

  首先我们要检查我们服务器的管理员账号密码安全,查看服务器是否使用简单的弱口令,比如MySQL数据库密码,网站后台的管理员密码,都要逐一的排查。

  然后检查服务器系统是否存在恶意的账号,以及新添加的账号,像admin,admin$,这样的账号名称都是由攻击者创建的,只要发现就可以大致判断服务器是被黑了。检查方法就是打开计算机管理,查看当前的账号,或者cmd命令下:net user查看,再一个看注册表里的账号。

  通过服务器日志检查管理员账号的登录是否存在恶意登录的情况,检查登录的时间,检查登录的账号名称,检查登录的IP,看日志可以看680.682状态的日志,逐一排查。服务器端口、系统进程安全检测:打开CMD netstat -an 检查当前系统的连接情况,查看是否存在一些恶意的IP连接,比如开放了一些不常见的端口,正常是用到80网站端口,8888端口,21FTP端口,3306数据库的端口,443 SSL证书端口,9080 JAVA端口,22 SSH端口,3389默认的远程管理端口,1433 SQL数据库端口。除以上端口要正常开放,其余开放的端口就要仔细的检查一下了,看是否向外连接。

  再一个查看进程,是否存在恶意进程,像木马后门都会植入到进程当中去。新手如果不懂如何查看进程,可以使用工具,微软的Process Explorer,还有剪刀手,最简单的就是通过任务管理器去查看当前的进程,像linux服务器需要top命令,以及ps命令查看是否存在恶意进程。一般如果被黑,可以从以下几大方面判断,CPU占用过高,有些进程没有正式的签名,进程的路径不合法,不是系统目录。

  当服务器遭到攻击时不要心慌,先做好必要的安全防御,开启IP禁PING,关闭不需要的端口。这些是只能防简单的攻击,对于大流量DDoS攻击,必须要有足够的带宽和专业的DDoS高防配合起来才能防御,你的防御能力大于攻击者的攻击流量就可以防御成功了。