由于政府部门、机关事业单位及行业用户投入了大量的人力资金开展服务器安全防护,恶性网络安全事件仍时有发生,其隐蔽性、复杂性和变化性的网络攻击手段,使企业安全管理部门难以发现甚至无意识,常常造成无法估量的重大损失,之后又难以 追溯取证和开展责任界定。
在服务器受到攻击时,可能导致服务器受到攻击者远程控制、服务器带宽外包、服务器受到DDOS/CC攻击、系统中木马病毒攻击、服务器管理员帐号密码更改等。也有可能导致网站被劫持、主页被篡改、主页被植入木马脚本等。在服务器遭到黑客攻击时,如何才能找到溯源信息?
下面就和大家简单说一下:
先分析对方的最终目的是什么。接着根据经验分析实现这一目标所需的操作,然后再反推回去。
以下是主要的追溯分析思路:
站点代码分析。
网站日志分析。
服务器端口。
网络端口分析。
对网站源代码的分析可以帮助我们获得网站的入侵时间、IP地址、黑客方式等信息,对以后的日志分析非常有帮助。
下面讲系统日志,通过服务器系统日志检查管理员账号登录是不是存在恶意登录的情况,查看登录时间,查看登录账号名,查看登录IP,查看登录系统日志可以查看680.682状态系统日志,逐个检查。
在服务器端端端,打开CMDnetstat-an来检查当前系统的连接状态,看看是不是有恶意IP连接,比如打开一些不常用的网络端口,通常使用80网站网络端口,8888网络端口,21FTP网络端口,3306数据库端口,443SSL证书网络端口,9080java网络端口,22SSH网络端口,3389默认远程管理网络端口,1433SQL数据库端口。除了上述网络端口要正常打开外,其他打开的网络端口都要仔细检查,看是不是向外连接。
对于进程网络端口的分析,主要是检查服务器上是不是有黑客留下的恶意程序。一般而言,网络上已有相应的软件工具,使用工具一是查看端口占用情况,二是分析可疑网络端口的pid进程,找出症结。
亲们企业在服务器受到攻击时不要慌张,首先要做好必要的安全防护,关闭不需要的网络端口,对攻击开展追溯关注每个细节,以后遇到追溯活儿,做的时候就能更系统一点。
关于《网站遭受黑客攻击该如何追溯?》的相关内容,就给大家讲到这里。
本文链接地址:https://www.xiaozeseo.com/jzjc/192.html 未经允许禁止转载。
