阿里云服務器被黑該如何查找入侵、攻擊痕跡,怎么清除掛馬
當公司的網站服務器被黑，被入侵導致整個網站，以及業務系統癱瘓，給企業帶來的損失無法估量，但是當發生服務器被攻擊的情況，作為服務器的維護人員應當在第一時間做好安全響應，對服務器以及網站應以最快的時間恢復正常運行，讓損失減少到最低，針對于黑客攻擊的痕跡應該如何去查找溯源，還原服務器被攻擊的現場，阿里云服務器代理商【聚搜云】制定了詳細的服務器被黑自查方案。
目前網站服務器被攻擊的特征如下：
網站被攻擊：網站被跳轉到賭博網站，網站首頁被篡改，百度快照被改，網站被植入webshell腳本木馬，網站被DDOS、CC壓力攻擊。
服務器被黑：服務器系統中木馬病毒，服務器管理員賬號密碼被改，服務器被攻擊者遠程控制，服務器的帶寬向外發包，服務器被流量攻擊，ARP攻擊（目前這種比較少了，現在都是基于阿里云，百度云，騰訊云，西部數碼等云服務器）
關于服務器被黑我們該如何檢查被黑？
賬號密碼安全檢測：
首先我們要檢查我們服務器的管理員賬號密碼安全，查看服務器是否使用弱口令，比如123456.123456789,123123等等密碼，包括administrator賬號密碼，Mysql數據庫密碼，網站后臺的管理員密碼，都要逐一的排查，檢查密碼安全是否達標。
再一個檢查服務器系統是否存在惡意的賬號，以及新添加的賬號，像admin,admin$,這樣的賬號名稱都是由攻擊者創建的，只要發現就可以大致判斷服務器是被黑了。檢查方法就是打開計算機管理，查看當前的賬號，或者cmd命令下：net user查看，再一個看注冊表里的賬號。
通過服務器日志檢查管理員賬號的登錄是否存在惡意登錄的情況，檢查登錄的時間，檢查登錄的賬號名稱，檢查登錄的IP，看日志可以看680.682狀態的日志，逐一排查。
服務器端口、系統進程安全檢測：
打開CMD netstat -an 檢查當前系統的連接情況，查看是否存在一些惡意的IP連接，比如開放了一些不常見的端口，正常是用到80網站端口，8888端口，21FTP端口，3306數據庫的端口，443 SSL證書端口，9080 java端口，22 SSH端口，3389默認的遠程管理端口，1433 SQL數據庫端口。除以上端口要正常開放，其余開放的端口就要仔細的檢查一下了，看是否向外連接。如下圖：
再一個查看進程，是否存在惡意進程，像木馬后門都會植入到進程當中去。新手如果不懂如何查看進程，可以使用工具，微軟的process Explorer，還有剪刀手，最簡單的就是通過任務管理器去查看當前的進程，像linux服務器需要top命令，以及ps命令查看是否存在惡意進程。一般如果被黑，可以從以下幾大方面判斷，cpu占用過高，有些進程沒有正式的簽名，進程的路徑不合法，不是系統目錄。
服務器啟動項、計劃任務安全檢測：
查看服務器的啟動項，輸入msconfig命令，看下是否有多余的啟動項目，如果有檢查該啟動項是否是正常。再一個查看服務器的計劃任務，通過控制面板，組策略查看。服務自啟動，查看系統有沒有自己主動啟動一些進程。
服務器的后門木馬查殺
下載360殺毒，并更新病毒庫，對服務器進行全面的安全檢測與掃描，修復系統補丁，對網站的代碼進行人工的安全檢測，對網站漏洞的檢測，網站木馬后門的檢測，也可以使用webshell查殺工具來進行查殺，最重要的是木馬規則庫。
網站日志，服務器日志一定要提前開啟，開啟審核策略，包括一些服務器系統的問題，安裝的軟件出錯，管理員操作日志，登錄服務器日志，以便方便后期出現服務器被黑事件，可以進行分析查找并溯源。網站的日志也要開啟，IIS下開啟日志記錄，apache等環境請直接在配置文件中進行日志的開啟與日志路徑配置。以上就是服務器被黑，該如何的查找被黑的痕跡，下一篇會跟大家講如何更好的做好服務器的安全部署。
聚搜云（www.4526.cn）是上海聚搜信息技術有限公司旗下品牌，坐落于魔都上海，服務于全球、2019年成為阿里云代理商生態合作伙伴。與阿里云代理商、騰訊云、西部數碼、美橙互聯、聚搜云,長期戰略合作的計劃！阿里云國際站代理商專業的云服務商！