如果网站被黑了怎么办?相信很多用户遇到这种情况应该是心痛不已。如此高深的操作,会让我们这些电脑菜鸟不知所措。今天,小编就用最基本、最常见、最实用的标准告诉大家,如果网站被黑客入侵了,我们应该立即做什么!
通常服务器被杀,一般有以下几种情况,跟着小编一起来看看吧。
被黑后的简单工作检查流程:
我们经常会遇到这样的情况。作为一名菜鸟,身为服务器的你被黑过,肿么办?针对这种情况,做相应的对策和检测。以下是我自己的总结,如有雷同纯属偶然:
1.服务器被杀。我要做的第一件事就是先暂时关闭开发的系统,修改系统账号密码。修改前请先检查服务器是否中了木马。为了不被黑阔给你Get Hash(通过某种方式获取系统密码的哈希值并破解得到明文密码)或者明文(那你什么都没做,黑阔在笑,以为你是一个笨鸟,我再监视你)
2、检查系统中是否存在冗余账户。一般有人工检查和工具检查。我会在这里谈谈想法。您需要自己实施。例如,您可以在此处检查CDocuments and Settings。如果你新建一个账号登录3389,你会后悔到这里的。生成账户名对应的文件夹,即使是神马里带$的隐藏账户,也要仔细查看注册表。不懂就用个工具吧,百度太好了
3、查看系统开放的端口,熟悉的端口先忽略,不熟悉的先查看是用什么程序,再使用。有时可以查看木马或后门程序使用的端口,关闭不需要的端口。以免发生意外
4、查看日志,菜鸟级别一般清理不了一些日志,可以好好看看,比如IIS,WEB系统自带的日志功能,系统日志等,可以分析一下黑和宽做了坏事,你的服务器是怎么死的
5、检查系统各个盘符和关键目录的操作权限。比如一个2B的管理员给我架了个服务器,E盘本来就没有权限。后来我给大家改了,他就是不查。只要我的webshell在的话,权限就很大了,尤其是配上一些提权工具,那就爽了
6、使用杀毒安全软件,这是扫描木马(EXE和脚本等),查杀木马和修复系统漏洞。至于选择神马杀毒软件,还是自己找吧。现在做个好人好难
7、仔细检查web系统的脚本后门。一般看文件运行时间(但文件时间可以改),工具审核,人工审核。如果你没有能力,你可以找朋友和熟人。提前备份每个系统。出现问题时,将两个文件打包到本地,使用Beyond Compare进行对比分析。当然,也可以使用其他比较分析工具。确保删除黑色和宽脚本。另外,最好找一下自己的web系统的漏洞是的,如果你知道heikuo是怎么弄乱你的web系统的,那你就相应的修复一下,记得注意那些变异扩展的脚本。
8、安装waf软件,虽然不能保证100%的防护,但至少会为黑阔获取你的服务器增加很多难度,而且还能屏蔽一群所谓的脚本小子。
做完这些,剩下的就需要自己去强化了。哪里乱了,就要多加注意。具体加固可以找资料参考。这是题外话,更何况我是个菜鸟,不擅长这个,大家不要为难我。我只能理解一点点。各种账户的密码设置比较复杂,不同的账户使用不同的密码。你必须是社会工作者。社会工作者太强大了。这不是你想象的。服务器的目录是严格分配的。大家可以参考天外之类的参考资料。没事就看看日志,监控流量,监控端口。黑阔肯定会在你的服务器上做坏事。动静很大,稍微注意一下细节就可以了。