如何確定伺服器被黑
⑴ 如何判斷一台Windows伺服器被黑客植入後門
封死黑客的「後門」
俗話說「無風不起浪」,既然黑客能進入,那說明系統一定存在為他們打開的「後門」,只要堵死這個後門,讓黑客無處下手,便無後顧之憂!
1.刪掉不必要的協議
對於伺服器和主機來說,一般只安裝TCP/協議就夠了。滑鼠右擊「網路鄰居」,選擇「屬性」,再滑鼠右擊「本地連接」,選擇「屬性」,卸載不必要的協議。其中是很多安全缺陷的根源,對於不需要提供文件和列印共享的主機,還可以將綁定在TCP/協議的關閉,避免針對的攻擊。選擇「TCP/協議/屬性/高級」,進入「高級TCP/IP設置」對話框,選擇「」標簽,勾選「禁用TCP/IP上的NETBIOS」一項,關閉NETBIOS。
2.關閉「文件和列印共享」
文件和列印共享應該是一個非常有用的功能,但在不需要它的時候,也是黑客入侵的很好的安全漏洞。所以在沒有必要「文件和列印共享」的情況下,我們可以將它關閉。用滑鼠右擊「網路鄰居」,選擇「屬性」,然後單擊「文件和列印共享」按鈕,將彈出的「文件和列印共享」對話框中的兩個復選框中的鉤去掉即可。
雖然「文件和列印共享」關閉了,但是還不能確保安全,還要修改注冊表,禁止它人更改「文件和列印共享」。打開注冊表編輯器,選擇「HKEY_CURRENT_」主鍵,在該主鍵下類型的鍵值,鍵值名為「NoFileSharingControl」,鍵值設為「1」表示禁止這項功能,從而達到禁止更改「文件和列印共享」的目的;鍵值為「0」表示允許這項功能。這樣在「網路鄰居」的「屬性」對話框中「文件和列印共享」就不復存在了。
3.把Guest賬號禁用
有很多入侵都是通過這個賬號進一步獲得管理員密碼或者許可權的。如果不想把自己的計算機給別人當玩具,那還是禁止的好。打開,雙擊「用戶和密碼」,單擊「高級」選項卡,再單擊「高級」按鈕,彈出本地用戶和組窗口。在Guest賬號上面點擊右鍵,選擇屬性,在「常規」頁中選中「賬戶已停用」。另外,將Administrator賬號改名可以防止黑客知道自己的管理員賬號,這會在很大程度上保證計算機安全。
4.禁止建立空連接
在默認的情況下,任何用戶都可以通過空連接連上伺服器,枚舉賬號並猜測密碼。因此,我們必須禁止建立空連接。方法有以下兩種:
方法一是修改注冊表:打開注冊表「HKEY_LOCAL_」,將值「RestrictAnonymous」的鍵值改為「1」即可。
最後建議大家給自己的系統打上補丁,微軟那些沒完沒了的補丁還是很有用的!
四、隱藏IP地址
黑客經常利用一些網路探測技術來查看我們的主機信息,主要目的就是得到網路中主機的IP地址。IP地址在網路安全上是一個很重要的概念,如果攻擊者知道了你的IP地址,等於為他的攻擊准備好了目標,他可以向這個IP發動各種進攻,如DoS(拒絕服務)攻擊、Floop溢出攻擊等。隱藏IP地址的主要方法是使用代理伺服器。
與直接連接到Internet相比,使用代理伺服器能保護上網用戶的IP地址,從而保障上網安全。代理伺服器的原理是在客戶機(用戶上網的計算機)和遠程伺服器(如用戶想訪問遠端伺服器)之間架設一個「中轉站」,當客戶機向遠程伺服器提出服務要求後,代理伺服器首先截取用戶的請求,然後代理伺服器將服務請求轉交遠程伺服器,從而實現客戶機和遠程伺服器之間的聯系。很顯然,使用代理伺服器後,其它用戶只能探測到代理伺服器的IP地址而不是用戶的IP地址,這就實現了隱藏用戶IP地址的目的,保障了用戶上網安全。提供免費代理伺服器的網站有很多,你也可以自己用等工具來查找。
五、關閉不必要的埠
黑客在入侵時常常會掃描你的計算機埠,如果安裝了埠監視程序(比如Netwatch),該監視程序則會有警告提示。如果遇到這種入侵,可用工具軟體關閉用不到的埠,比如,用「Norton Internet Security」關閉用來提供網頁服務的80和443埠,其他一些不常用的埠也可關閉。
六、更換管理員帳戶
Administrator帳戶擁有最高的系統許可權,一旦該帳戶被人利用,後果不堪設想。黑客入侵的常用手段之一就是試圖獲得Administrator帳戶的密碼,所以我們要重新配置Administrator帳號。
首先是為Administrator帳戶設置一個強大復雜的密碼,然後我們重命名Administrator帳戶,再創建一個沒有管理員許可權的Administrator帳戶欺騙入侵者。這樣一來,入侵者就很難搞清哪個帳戶真正擁有管理員許可權,也就在一定程度上減少了危險性。
七、杜絕Guest帳戶的入侵
Guest帳戶即所謂的來賓帳戶,它可以訪問計算機,但受到限制。不幸的是,Guest也為黑客入侵打開了方便之門!網上有很多文章中都介紹過如何利用Guest用戶得到管理員許可權的方法,所以要杜絕基於Guest帳戶的系統入侵。
禁用或徹底刪除Guest帳戶是最好的辦法,但在某些必須使用到Guest帳戶的情況下,就需要通過其它途徑來做好防禦工作了。首先要給Guest設一個強壯的密碼,然後詳細設置Guest帳戶對物理路徑的訪問許可權。舉例來說,如果你要防止Guest用戶可以訪問tool文件夾,可以右擊該文件夾,在彈出菜單中選擇「安全」標簽,從中可看到可以訪問此文件夾的所有用戶。刪除管理員之外的所有用戶即可。或者在許可權中為相應的用戶設定許可權,比方說只能「列出文件夾目錄」和「讀取」等,這樣就安全多了。
八、安裝必要的安全軟體
我們還應在電腦中安裝並使用必要的防黑軟體,殺毒軟體和防火牆都是必備的。在上網時打開它們,這樣即便有黑客進攻我們的安全也是有保證的。
九、防範木馬程序
木馬程序會竊取所植入電腦中的有用信息,因此我們也要防止被黑客植入木馬程序,常用的辦法有:
● 在下載文件時先放到自己新建的文件夾里,再用殺毒軟體來檢測,起到提前預防的作用。
● 在「開始」→「程序」→「啟動」或「開始」→「程序」→「Startup」選項里看是否有不明的運行項目,如果有,刪除即可。
● 將注冊表裡 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的所有以「Run」為前綴的可疑程序全部刪除即可。
十、不要回陌生人的郵件
有些黑客可能會冒充某些正規網站的名義,然後編個冠冕堂皇的理由寄一封信給你要求你輸入上網的用戶名稱與密碼,如果按下「確定」,你的帳號和密碼就進了黑客的郵箱。所以不要隨便回陌生人的郵件,即使他說得再動聽再誘人也不上當。
做好IE的安全設置
ActiveX控制項和 Applets有較強的功能,但也存在被人利用的隱患,網頁中的惡意代碼往往就是利用這些控制項編寫的小程序,只要打開網頁就會被運行。所以要避免惡意網頁的攻擊只有禁止這些惡意代碼的運行。IE對此提供了多種選擇,具體設置步驟是:「工具」→「Internet選項」→「安全」→「自定義級別」,建議您將ActiveX控制項與相關選項禁用。謹慎些總沒有錯!
另外,在IE的安全性設定中我們只能設定Internet、本地Intranet、受信任的站點、受限制的站點。不過,微軟在這里隱藏了「我的電腦」的安全性設定,通過修改注冊表把該選項打開,可以使我們在對待ActiveX控制項和 Applets時有更多的選擇,並對本地電腦安全產生更大的影響。
下面是具體的方法:打開「開始」菜單中的「運行」,在彈出的「運行」對話框中輸入Regedit.exe,打開注冊表編輯器,點擊前面的「+」號順次展開到:HKEY_CURRE-NT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\0,在右邊窗口中找到DWORD值「Flags」,默認鍵值為十六進制的21(十進制33),雙擊「Flags」,在彈出的對話框中將它的鍵值改為「1」即可,關閉注冊表編輯器。無需重新啟動電腦,重新打開IE,再次點擊「工具→Internet選項→安全」標簽,你就會看到多了一個「我的電腦」圖標,在這里你可以設定它的安全等級。將它的安全等級設定高些,這樣的防範更嚴密。
⑵ 如何檢查linux伺服器是不是被黑了
linux系統的伺服器被入侵,總結了以下的基本方法,供不大懂linux伺服器網理人員參考考學習。
首先先用iptraf查下,如果沒裝的運行yum install iptraf裝下,看裡面是不是UDP包發的很多,如果是,基本都被人裝了後門
1. 檢查帳戶
# less /etc/passwd
# grep :0: /etc/passwd(檢查是否產生了新用戶,和UID、GID是0的用戶)
# ls -l /etc/passwd(查看文件修改日期)
# awk -F: 『$3= =0 {print $1}』 /etc/passwd(查看是否存在特權用戶)
# awk -F: 『length($2)= =0 {print $1}』 /etc/shadow(查看是否存在空口令帳戶)
2. 檢查日誌
# last(查看正常情況下登錄到本機的所有用戶的歷史記錄)
注意」entered promiscuous mode」
注意錯誤信息
注 意Remote Procere Call (rpc) programs with a log entry that includes a large number (> 20) strange characters(-^PM-^PM-^PM-^PM-^PM-^PM-^PM-^PM)
3. 檢查進程
# ps -aux(注意UID是0的)
# lsof -p pid(察看該進程所打開埠和文件)
# cat /etc/inetd.conf | grep -v 「^#」(檢查守護進程)
檢查隱藏進程
# ps -ef|awk 『{print }』|sort -n|uniq >1
# ls /porc |sort -n|uniq >2
# diff 1 2
4. 檢查文件
# find / -uid 0 –perm -4000 –print
# find / -size +10000k –print
# find / -name 「…」 –print
# find / -name 「.. 」 –print
# find / -name 「. 」 –print
# find / -name 」 」 –print
注意SUID文件,可疑大於10M和空格文件
# find / -name core -exec ls -l {} ;(檢查系統中的core文件)
檢查系統文件完整性
# rpm –qf /bin/ls
# rpm -qf /bin/login
# md5sum –b 文件名
# md5sum –t 文件名
5. 檢查RPM
# rpm –Va
輸出格式:
S – File size differs
M – Mode differs (permissions)
5 – MD5 sum differs
D – Device number mismatch
L – readLink path mismatch
U – user ownership differs
G – group ownership differs
T – modification time differs
注意相關的 /sbin, /bin, /usr/sbin, and /usr/bin
6. 檢查網路
# ip link | grep PROMISC(正常網卡不該在promisc模式,可能存在sniffer)
# lsof –i
# netstat –nap(察看不正常打開的TCP/UDP埠)
# arp –a
7. 檢查計劃任務
注意root和UID是0的schele
# crontab –u root –l
# cat /etc/crontab
# ls /etc/cron.*
8. 檢查後門
# cat /etc/crontab
# ls /var/spool/cron/
# cat /etc/rc.d/rc.local
# ls /etc/rc.d
# ls /etc/rc3.d
# find / -type f -perm 4000
9. 檢查內核模塊
# lsmod
10. 檢查系統服務
# chkconfig
# rpcinfo -p(查看RPC服務)
11. 檢查rootkit
# rkhunter -c
# chkrootkit -q
⑶ 怎樣知道網站被黑了,有什麼查詢工具可以查到網站被掛馬,被黑鏈了。
可以用sinesafe網站掛馬黑鏈檢測清除工具! 一般被掛黑鏈都是網站程序安全有漏洞,才會被掛馬和黑鏈的。給你些網站安全方面上的建議!
建站一段時間後總能聽得到什麼什麼網站被掛馬,什麼網站被掛黑鏈。好像入侵掛馬似乎是件很簡單的事情。其實,入侵不簡單,簡單的是你的網站的必要安全措施並未做好。
有條件建議找專業做網站安全的sine安全來做安全維護。
一:掛馬預防措施:
1、建議用戶通過ftp來上傳、維護網頁,盡量不安裝asp的上傳程序。
2、對asp上傳程序的調用一定要進行身份認證,並只允許信任的人使用上傳程序。這其中包括各種新聞發布、商城及論壇程
序,只要可以上傳文件的asp都要進行身份認證!
3、asp程序管理員的用戶名和密碼要有一定復雜性,不能過於簡單,還要注意定期更換。
4、到正規網站下載asp程序,下載後要對其資料庫名稱和存放路徑進行修改,資料庫文件名稱也要有一定復雜性。
5、要盡量保持程序是最新版本。
6、不要在網頁上加註後台管理程序登陸頁面的鏈接。
7、為防止程序有未知漏洞,可以在維護後刪除後台管理程序的登陸頁面,下次維護時再通過ftp上傳即可。
8、要時常備份資料庫等重要文件。
9、日常要多維護,並注意空間中是否有來歷不明的asp文件。記住:一分汗水,換一分安全!
10、一旦發現被入侵,除非自己能識別出所有木馬文件,否則要刪除所有文件。
11、定期對網站進行安全的檢測,具體可以利用網上一些工具,如sinesafe網站掛馬檢測工具!
二:掛馬恢復措施:
1.修改帳號密碼
不管是商業或不是,初始密碼多半都是admin。因此你接到網站程序第一件事情就是「修改帳號密碼」。帳號
密碼就不要在使用以前你習慣的,換點特別的。盡量將字母數字及符號一起。此外密碼最好超過15位。尚若你使用
sql的話應該使用特別點的帳號密碼,不要在使用什麼什麼admin之類,否則很容易被入侵。
2.創建一個robots.txt
Robots能夠有效的防範利用搜索引擎竊取信息的駭客。
3.修改後台文件
第一步:修改後台里的驗證文件的名稱。
第二步:修改conn.asp,防止非法下載,也可對資料庫加密後在修改conn.asp。
第三步:修改ACESS資料庫名稱,越復雜越好,可以的話將數據所在目錄的換一下。
4.限制登陸後台IP
此方法是最有效的,每位虛擬主機用戶應該都有個功能。你的IP不固定的話就麻煩點每次改一下咯,安全第一嘛。
5.自定義404頁面及自定義傳送ASP錯誤信息
404能夠讓駭客批量查找你的後台一些重要文件及檢查網頁是否存在注入漏洞。
ASP錯誤嘛,可能會向不明來意者傳送對方想要的信息。
6.慎重選擇網站程序
注意一下網站程序是否本身存在漏洞,好壞你我心裡該有把秤。
7.謹慎上傳漏洞
據悉,上傳漏洞往往是最簡單也是最嚴重的,能夠讓黑客或駭客們輕松控制你的網站。
可以禁止上傳或著限制上傳的文件類型。不懂的話可以找你的網站程序提供商。
8. cookie 保護
登陸時盡量不要去訪問其他站點,以防止 cookie 泄密。切記退出時要點退出在關閉所有瀏覽器。
9.目錄許可權
請管理員設置好一些重要的目錄許可權,防止非正常的訪問。如不要給上傳目錄執行腳本許可權及不要給非上傳目錄給於寫入權。
10.自我測試
如今在網上黑客工具一籮筐,不防找一些來測試下你的網站是否OK。
11.例行維護
a.定期備份數據。最好每日備份一次,下載了備份文件後應該及時刪除主機上的備份文件。
b.定期更改資料庫的名字及管理員帳密。
c.借WEB或FTP管理,查看所有目錄體積,最後修改時間以及文件數,檢查是文件是否有異常,以及查看是否有異常的賬號。
網站被掛馬一般都是網站程序存在漏洞或者伺服器安全性能不達標被不法黑客入侵攻擊而掛馬的。
網站被掛馬是普遍存在現象然而也是每一個網站運營者的心腹之患。
您是否因為網站和伺服器天天被入侵掛馬等問題也曾有過想放棄的想法呢,您否也因為不太了解網站技術的問題而耽誤了網站的運營,您是否也因為精心運營的網站反反復復被一些無聊的黑客入侵掛馬感到徬彷且很無耐。有條件建議找專業做網站安全的sine安全來做安全維護。
⑷ 伺服器和網站老是容易被黑被入侵是哪些原因
作為伺服器和網站管理員,遭遇黑客入侵是不可避免的事情。很多管理員處理黑客入侵問題時,僅是安裝一套防護軟體,殺掉幾個網頁木馬。這是治標不治本的辦法,無法徹底解決安全問題,後期還會被黑客反復入侵。
一、與個人電腦的安全區別
對於個人電腦,安裝一套殺毒軟體就能解決99%的安全問題。然而伺服器和個人電腦在安全方面有著天壤之別。
個人電腦因為在內網,黑客無法主動發現。一般只會在瀏覽網站或安裝軟體時被植入了木馬程序,只要成功殺掉這個木馬程序,電腦就安全了。
而針對伺服器和網站的攻擊,屬於主動式攻擊,敵人在暗處,我在明處。黑客找准目標後,為了突破防線,會嘗試各種攻擊手段。此時僅靠一套防護軟體,無法應對多樣化、復雜化的網路攻擊,唯有做針對性的安全防護才能徹底解決安全問題。
二、為什麼會被反復入侵
很多管理員把伺服器和網站安全想得太過於簡單,以為安裝一套殺毒軟體,再殺掉幾個網頁木馬,伺服器就安全了。這只能治標,不能治本。之所以會被入侵,是因為系統有漏洞;不解決漏洞永遠無法根除安全威脅,黑客還會繼續利用這個漏洞反復實施入侵。唯有從根本上解決漏洞問題,才能有效解決入侵問題。
三、如何徹底解決安全威脅
伺服器一般有三大漏洞體系:系統漏洞、軟體漏洞和網站漏洞。
要打造安全的伺服器,就必須解決這三方面的安全威脅。
1、系統漏洞加固
操作系統出廠時,廠商為了兼容性,不會對系統做嚴格的安全限制,因此需要做一些安全加固,方可防止黑客入侵。
系統加固主要有以下流程:更新系統補丁、禁用危險服務、卸載危險組件、刪除危險許可權、開啟防火牆、設置復雜密碼。
具體操作方法請點這里:https://www.hws.com/solution/xitong.html
2、軟體漏洞加固
常用的Apache、Nginx、Tomcat、MySQL、SQL Server、Serv-U等大部分伺服器軟體,都存在安全隱患,需要進行安全加固。
可通過「降權」或「訪問行為限制」兩種辦法解決,具體操作方法請點這里:https://www.hws.com/solution/ruanjian.html
3、網站安全加固
幾乎所有網站都存在漏洞,網站漏洞也是黑客最常用的入侵途徑,因此做好網站安全加固刻不容緩。之所以網站普遍存在漏洞,一是大部分開發人員只注重功能和時間,不會在安全方面多加考慮;二是他們也沒有安全防護技術和經驗。
1)、網站漏洞類型
網站漏洞主要有下幾種:SQL注入、在線上傳、跨站入侵、Cookies欺騙、暴力破解,詳細了解請點這里:https://www.hws.com/solution/wangzhan.html
2)、網站漏洞處理
修復漏洞無疑是最好的辦法,但這只能是奢想,有程序的地方就有漏洞,修復了一個漏洞,往往引出幾個新的漏洞。因此部署安全防護系統成為必然之選。
4、部署安全產品
每台伺服器放置的內容都不一樣,存在的安全威脅也不一樣,只有通過「軟體+服務」組合的方式,才能最大限度提升伺服器安全。
推薦部署「護衛神·高級安全防護」,工程師為您定製安全防護策略,杜絕所有網站漏洞,免疫所有網頁木馬。系統還會在黑客入侵的每一個環節進行攔截,通過遠程監控、用戶監控、進程監控、篡改保護、網站加固、木馬查殺、SQL注入防護等模塊,將一切不速之客拒之門外。
總而言之,安全無小事,提前做好防護很重要,不要等到被入侵了才後悔莫及。
⑸ 伺服器被黑的原因是什麼
伺服器被黑的原因有很多,被黑的因素 一般都是程序留了後門或vps內被留了系統內核級別的木馬 或網站的代碼留了隱蔽性的木馬或一句話shell
一般都是網站程序存在漏洞或者伺服器存在漏洞而被攻擊了
伺服器被黑是每個網站管理員最頭痛的問題 也可以通過安全公司來解決,國內也就Sinesafe和綠盟等安全公司 比較專業.
⑹ 如何防止網站被掛黑鏈接怎麼確定是網站或者伺服器被掛
1,經常查看網站源代碼,這樣有助於及時發現掛在源代碼裡面的黑鏈。
2,使用站長工具經常查看鏈接情況。站長工具能全面,能查看網站所有頁面的鏈接情況。
3,留心網站上傳文件是否被篡改(篡改日期)
4,更換FTP密碼,設置強口令,有些黑鏈接通過不法手段獲取FTP密碼,所以需要更換口令,設置強口令。
——確定網站還是伺服器被掛黑鏈
5,查看同一伺服器下,其他網站是否有黑鏈,當查到其他的某個網站也有被掛黑鏈的時候,這時有可能是伺服器的安全出了問題,排除自身網站漏洞的情況下,要做的就是馬上聯系服務商,讓他詳細做一下伺服器安全策略。
⑺ 伺服器被黑怎麼辦
1、斷開伺服器網路,檢查伺服器日誌。
2、根據日誌找出問題所在,修復系統漏洞。
3、然後將伺服器的數據清除,用原來備份的數據恢復。
4、然後重新連接網路使用。
⑻ 如何查看伺服器是否被攻擊
DDOS攻擊,直接找機房要流量圖就看得到。把伺服器ip打掛了,連接不上伺服器,不通了。
cc攻擊:cpu變得很高,操作很卡,可以先讓伺服器商分析下,進伺服器里看下,現在很多伺服器安全軟體,市面有雲盾,金盾,cdn等各種防護軟體。
⑼ 如何判斷網站被黑是程序問題還是伺服器問題
網站被掛黑鏈是一件很煩惱的事情,遇到這種問題我們因該先檢查一下什麼原因,網站被黑是程序問題還是伺服器問題。只有找到問題的來源才能夠從根本上去解決這個問題。
從下面結果方面,我們可以判斷出網站被掛黑鏈是程序還是伺服器出現了問題。
1.在站長工具中可以查到,輸入網站域名可以查到同IP的網站, 這些網站中如果大部分是被掛了黑鏈或者木馬,那就很有可能是伺服器受到了攻擊。
2.將伺服器空間中的文件都先備份然後刪除,放上一些HTML和htm等靜態的文件,觀察一段時間,如果又被掛黑鏈,那應該就是空間的問題了。
3.如果您是在網上買的網站程序,或者是在一些網站上免費下載的,是需要小心檢查的,特別是那種打包的程序,因為這些程序可能已經經過了多次的轉手,中間可能會有人做手腳,當然,這種情況是比較少見的。檢查的時候最好每個文件都打開檢查一下,避免有些程序留有後門。
4.asp的程序被掛馬的幾率比較大,這種程序開發的時間比較早,而且後來也沒有再進行更新,漏洞會比較多。這種網站被黑一般都是程序引起的,如果自己不太懂,最好找個專業的技術幫自己檢查一下。
5.網站被攻擊之後,把所有的文件都下載下來,檢查一下有沒有xxx.asp.gif之類的文件,xxx.asp之類的目錄一般是因為操作系統的漏洞沒有修補造成的。檢查文件的時候,還要注意將字母和文字分清楚,有些病毒文件將相應的字母改成相似的數字,不留意就很難發現。
租用伺服器和程序中的任意一個出現問題,網站都會出現安全問題,有些可能是程序出現了問題,但是如果伺服器足夠強大和安全,也會起到一定的限製作用。
⑽ 伺服器被黑,留下了一些文件, 求兄弟們解答!!! 急。
據你上面多的這幾個文件初步判斷,你的伺服器應該是被當成肉雞了, lscanportss是埠掃描器,是攻擊別人才會用的, server.exe可能是木馬的服務端,木馬就是靠這個東西控制你的計算機的,你的啟動文件夾下應該也有這個東西。tuoke.exe是木馬加殼用的, 我看那個批處理里在你的 用戶目錄下的favorites文件夾下輸入了東西,看看那個文件夾下有沒有東西。mysql的埠是3306,不知道你電腦上安裝了mysql了沒有。
檢查一下你的電腦,可以殺殺毒,桌面上多的這幾個文件說明你伺服器可能已經完全被黑了。
對一個伺服器來說一定要注意安全,沒用的埠千萬不能開,遠程埠也不要使用3389,更不能有弱密碼