㈠ 如何檢查linux伺服器是不是被黑了
linux系統的伺服器被入侵,總結了以下的基本方法,供不大懂linux伺服器網理人員參考考學習。
首先先用iptraf查下,如果沒裝的運行yum install iptraf裝下,看裡面是不是UDP包發的很多,如果是,基本都被人裝了後門
1. 檢查帳戶
# less /etc/passwd
# grep :0: /etc/passwd(檢查是否產生了新用戶,和UID、GID是0的用戶)
# ls -l /etc/passwd(查看文件修改日期)
# awk -F: 『$3= =0 {print $1}』 /etc/passwd(查看是否存在特權用戶)
# awk -F: 『length($2)= =0 {print $1}』 /etc/shadow(查看是否存在空口令帳戶)
2. 檢查日誌
# last(查看正常情況下登錄到本機的所有用戶的歷史記錄)
注意」entered promiscuous mode」
注意錯誤信息
注 意Remote Procere Call (rpc) programs with a log entry that includes a large number (> 20) strange characters(-^PM-^PM-^PM-^PM-^PM-^PM-^PM-^PM)
3. 檢查進程
# ps -aux(注意UID是0的)
# lsof -p pid(察看該進程所打開埠和文件)
# cat /etc/inetd.conf | grep -v 「^#」(檢查守護進程)
檢查隱藏進程
# ps -ef|awk 『{print }』|sort -n|uniq >1
# ls /porc |sort -n|uniq >2
# diff 1 2
4. 檢查文件
# find / -uid 0 –perm -4000 –print
# find / -size +10000k –print
# find / -name 「…」 –print
# find / -name 「.. 」 –print
# find / -name 「. 」 –print
# find / -name 」 」 –print
注意SUID文件,可疑大於10M和空格文件
# find / -name core -exec ls -l {} ;(檢查系統中的core文件)
檢查系統文件完整性
# rpm –qf /bin/ls
# rpm -qf /bin/login
# md5sum –b 文件名
# md5sum –t 文件名
5. 檢查RPM
# rpm –Va
輸出格式:
S – File size differs
M – Mode differs (permissions)
5 – MD5 sum differs
D – Device number mismatch
L – readLink path mismatch
U – user ownership differs
G – group ownership differs
T – modification time differs
注意相關的 /sbin, /bin, /usr/sbin, and /usr/bin
6. 檢查網路
# ip link | grep PROMISC(正常網卡不該在promisc模式,可能存在sniffer)
# lsof –i
# netstat –nap(察看不正常打開的TCP/UDP埠)
# arp –a
7. 檢查計劃任務
注意root和UID是0的schele
# crontab –u root –l
# cat /etc/crontab
# ls /etc/cron.*
8. 檢查後門
# cat /etc/crontab
# ls /var/spool/cron/
# cat /etc/rc.d/rc.local
# ls /etc/rc.d
# ls /etc/rc3.d
# find / -type f -perm 4000
9. 檢查內核模塊
# lsmod
10. 檢查系統服務
# chkconfig
# rpcinfo -p(查看RPC服務)
11. 檢查rootkit
# rkhunter -c
# chkrootkit -q
㈡ 伺服器和網站老是容易被黑被入侵是哪些原因
作為伺服器和網站管理員,遭遇黑客入侵是不可避免的事情。很多管理員處理黑客入侵問題時,僅是安裝一套防護軟體,殺掉幾個網頁木馬。這是治標不治本的辦法,無法徹底解決安全問題,後期還會被黑客反復入侵。
一、與個人電腦的安全區別
對於個人電腦,安裝一套殺毒軟體就能解決99%的安全問題。然而伺服器和個人電腦在安全方面有著天壤之別。
個人電腦因為在內網,黑客無法主動發現。一般只會在瀏覽網站或安裝軟體時被植入了木馬程序,只要成功殺掉這個木馬程序,電腦就安全了。
而針對伺服器和網站的攻擊,屬於主動式攻擊,敵人在暗處,我在明處。黑客找准目標後,為了突破防線,會嘗試各種攻擊手段。此時僅靠一套防護軟體,無法應對多樣化、復雜化的網路攻擊,唯有做針對性的安全防護才能徹底解決安全問題。
二、為什麼會被反復入侵
很多管理員把伺服器和網站安全想得太過於簡單,以為安裝一套殺毒軟體,再殺掉幾個網頁木馬,伺服器就安全了。這只能治標,不能治本。之所以會被入侵,是因為系統有漏洞;不解決漏洞永遠無法根除安全威脅,黑客還會繼續利用這個漏洞反復實施入侵。唯有從根本上解決漏洞問題,才能有效解決入侵問題。
三、如何徹底解決安全威脅
伺服器一般有三大漏洞體系:系統漏洞、軟體漏洞和網站漏洞。
要打造安全的伺服器,就必須解決這三方面的安全威脅。
1、系統漏洞加固
操作系統出廠時,廠商為了兼容性,不會對系統做嚴格的安全限制,因此需要做一些安全加固,方可防止黑客入侵。
系統加固主要有以下流程:更新系統補丁、禁用危險服務、卸載危險組件、刪除危險許可權、開啟防火牆、設置復雜密碼。
具體操作方法請點這里:https://www.hws.com/solution/xitong.html
2、軟體漏洞加固
常用的Apache、Nginx、Tomcat、MySQL、SQL Server、Serv-U等大部分伺服器軟體,都存在安全隱患,需要進行安全加固。
可通過「降權」或「訪問行為限制」兩種辦法解決,具體操作方法請點這里:https://www.hws.com/solution/ruanjian.html
3、網站安全加固
幾乎所有網站都存在漏洞,網站漏洞也是黑客最常用的入侵途徑,因此做好網站安全加固刻不容緩。之所以網站普遍存在漏洞,一是大部分開發人員只注重功能和時間,不會在安全方面多加考慮;二是他們也沒有安全防護技術和經驗。
1)、網站漏洞類型
網站漏洞主要有下幾種:SQL注入、在線上傳、跨站入侵、Cookies欺騙、暴力破解,詳細了解請點這里:https://www.hws.com/solution/wangzhan.html
2)、網站漏洞處理
修復漏洞無疑是最好的辦法,但這只能是奢想,有程序的地方就有漏洞,修復了一個漏洞,往往引出幾個新的漏洞。因此部署安全防護系統成為必然之選。
4、部署安全產品
每台伺服器放置的內容都不一樣,存在的安全威脅也不一樣,只有通過「軟體+服務」組合的方式,才能最大限度提升伺服器安全。
推薦部署「護衛神·高級安全防護」,工程師為您定製安全防護策略,杜絕所有網站漏洞,免疫所有網頁木馬。系統還會在黑客入侵的每一個環節進行攔截,通過遠程監控、用戶監控、進程監控、篡改保護、網站加固、木馬查殺、SQL注入防護等模塊,將一切不速之客拒之門外。
總而言之,安全無小事,提前做好防護很重要,不要等到被入侵了才後悔莫及。
㈢ 伺服器被黑客攻擊怎麼辦
1、檢查系統日誌,查看下是什麼類型的攻擊,看下攻擊者都去了哪些地方。內容是否又被修改的痕跡等,如果發現問題及時進行清理。
2、關閉不必要的服務和埠
3、定期整體掃描下伺服器,看下存在什麼問題, 有漏洞及時打補丁;檢查是否有影子賬戶,不是自己建立的賬號等。
4、重新設置賬戶密碼,密碼設置的復雜些;以及設置賬戶許可權。
5、對伺服器上的安全軟體進行升級,或者是對防護參數進行重新設置,使他符合當時的環境。如果沒有安裝,可以安裝個伺服器安全狗,同時,還可以將伺服器添加到安全狗服雲平台上,這樣當有攻擊發生時,可以快速知道,並進行處理等。
6、檢測網站,是否又被掛馬、被篡改、掛黑鏈等,如果有,及時清理。
7、如果是大流量攻擊,可以看下DOSS流量清洗,這個很多安全廠商都有這個服務。
8、定期備份數據文件。如果之前有做備份,可以對重要數據進行替換。
㈣ 「網站被黑」如何處理
「網站被黑」怎麼辦?可以這樣做:
1、檢查以下網站的網站是否被黑。
可以通過網站安全檢測工具對網站進行詳細檢查,採用排除方法。
2、如果網站被黑流量在短時間內會出現異常,請檢查以下站點的索引號是否異常。
3、通過site語法查詢站點。
4、站內內的內容在網路搜索結果裡面被提示存在風險。
5、請專業技術人員通過後台數據進一步確認網站是否被黑。
6、針對被黑的原因,然後做相應的處理。被黑確認後,立即停止網站服務,避免用戶瀏覽網站的影響,影響其他網站。
7、當站點被黑後,需要查看被黑的時間,然後處理黑客修改的文件和伺服器中的用戶管理設置,然後更改伺服器的訪問密碼。
8、為了保障網站的安全,我們應該進一步完善網路安全工作,防止網路安全再次受到攻擊。例如,對伺服器進行常規的安全保護是必要的。
㈤ 伺服器受到黑客攻擊怎麼辦
1、屏蔽攻擊源ip地址,從源頭上堵死流量來源
登錄cpanel後台,找到」日誌」>>>「訪客」
仔細分析下裡面的訪客IP,如果某一IP地址在短時間內有大量的數據,可以考慮屏蔽掉。通過」訪客」這個目錄進去,數據太多,並且都是網頁版本的,分析起來比較麻煩。另外一個方法是點擊」日誌」>>>「原始訪問日誌」,下載壓縮包並解壓,使用文本編輯器打開分析。
使用這種方式也有一定的缺陷。攻擊者敢於攻擊,肯定也想到了一定的規避措施。在分析ip地址的時候,我們不僅僅判斷同一個ip地址,更要判斷出同一類型的ip地址。ip地址分為三類型,A類,B類,C類。判斷一個IP地址屬於哪個類型,只需要看ip地址的第一個位元組。A類IP的地址第一個欄位范圍是0~127,B類地址范圍:128.0.0.1到191.255.255.254,C類地址的第一組數字為192~223。如果兩個ip地址不同,但是屬於同一類型的ip地址,並且網路號一樣,那麼也是我們要考慮過濾的ip地址。
這種方式也會有一定的誤判,只在非常時期使用。現在很多人刷流量使用流量精靈等軟體來刷,ip都是代理的,很難找到元兇。
2、向網路站長平台提交異常報告,附加上相關截圖
3、使用杭州超級科技的超級防護盾
百分百防禦cc攻擊,無上限防禦ddos攻擊!價格劃算,可以試用看效果說話!歡迎搜索咨詢!
㈥ 伺服器被黑了怎麼辦
需要做好伺服器安全才能防止被黑,伺服器安全一般都是採用軟體輔助+手工服務的安全設置,有錢人都是買好幾W的硬體來做伺服器安全。但是對於我一個小小的站長,哪能承受的了。一年的伺服器託管才5000多,建議你找專業做伺服器安全的公司或者團隊,來給你做伺服器安全維護。
安全這問題,很重要,我上次就是為了省錢,在網上搜索了一些伺服器安全設置的文章,對著文章,我一個一個的設置起來,費了好幾天的時間才設置完,沒想到,伺服器竟然癱瘓了,網站都打不開了,也最終明白了,免費的東西,也是最貴的,損失真的很大,資料庫都給我回檔了,我哪個後悔啊。娘個咪的。最後還是讓機房把系統重裝了,然後找的sine安全公司給做的網站伺服器安全維護。跟他們還簽了合同,真的是一份價格一份服務,專業的服務 安全非常穩定。也只有網站安全了,才能帶來安全穩定的客戶源。道理也是經歷了才明白。說了這么多經歷,希望能幫到更多和我一樣的網站站長。
下面是一些關於安全方面的建議!
建站一段時間後總能聽得到什麼什麼網站被掛馬,什麼網站被黑。好像入侵掛馬似乎是件很簡單的事情。其實,入侵不簡單,簡單的是你的網站的必要安全措施並未做好。
有條件建議找專業做網站安全的sine安全來做安全維護。
一:掛馬預防措施:
1、建議用戶通過ftp來上傳、維護網頁,盡量不安裝asp的上傳程序。
2、定期對網站進行安全的檢測,具體可以利用網上一些工具,如sinesafe網站掛馬檢測工具!
3、asp程序管理員的用戶名和密碼要有一定復雜性,不能過於簡單,還要注意定期更換。
4、到正規網站下載asp程序,下載後要對其資料庫名稱和存放路徑進行修改,資料庫文件名稱也要有一定復雜性。
5、要盡量保持程序是最新版本。
6、不要在網頁上加註後台管理程序登陸頁面的鏈接。
7、為防止程序有未知漏洞,可以在維護後刪除後台管理程序的登陸頁面,下次維護時再通過ftp上傳即可。
8、要時常備份資料庫等重要文件。
9、日常要多維護,並注意空間中是否有來歷不明的asp文件。記住:一分汗水,換一分安全!
10、一旦發現被入侵,除非自己能識別出所有木馬文件,否則要刪除所有文件。
11、對asp上傳程序的調用一定要進行身份認證,並只允許信任的人使用上傳程序。這其中包括各種新聞發布、商城及論壇。
二:掛馬恢復措施:
1.修改帳號密碼
不管是商業或不是,初始密碼多半都是admin。因此你接到網站程序第一件事情就是「修改帳號密碼」。帳號
密碼就不要在使用以前你習慣的,換點特別的。盡量將字母數字及符號一起。此外密碼最好超過15位。尚若你使用
SQL的話應該使用特別點的帳號密碼,不要在使用什麼什麼admin之類,否則很容易被入侵。
2.創建一個robots.txt
Robots能夠有效的防範利用搜索引擎竊取信息的駭客。
3.修改後台文件
第一步:修改後台里的驗證文件的名稱。
第二步:修改conn.asp,防止非法下載,也可對資料庫加密後在修改conn.asp。
第三步:修改ACESS資料庫名稱,越復雜越好,可以的話將數據所在目錄的換一下。
4.限制登陸後台IP
此方法是最有效的,每位虛擬主機用戶應該都有個功能。你的IP不固定的話就麻煩點每次改一下咯,安全第一嘛。
5.自定義404頁面及自定義傳送ASP錯誤信息
404能夠讓駭客批量查找你的後台一些重要文件及檢查網頁是否存在注入漏洞。
ASP錯誤嘛,可能會向不明來意者傳送對方想要的信息。
6.慎重選擇網站程序
注意一下網站程序是否本身存在漏洞,好壞你我心裡該有把秤。
7.謹慎上傳漏洞
據悉,上傳漏洞往往是最簡單也是最嚴重的,能夠讓黑客或駭客們輕松控制你的網站。
可以禁止上傳或著限制上傳的文件類型。不懂的話可以找專業做網站安全的sinesafe公司。
8. cookie 保護
登陸時盡量不要去訪問其他站點,以防止 cookie 泄密。切記退出時要點退出在關閉所有瀏覽器。
9.目錄許可權
請管理員設置好一些重要的目錄許可權,防止非正常的訪問。如不要給上傳目錄執行腳本許可權及不要給非上傳目錄給於寫入權。
10.自我測試
如今在網上黑客工具一籮筐,不防找一些來測試下你的網站是否OK。
11.例行維護
a.定期備份數據。最好每日備份一次,下載了備份文件後應該及時刪除主機上的備份文件。
b.定期更改資料庫的名字及管理員帳密。
c.借WEB或FTP管理,查看所有目錄體積,最後修改時間以及文件數,檢查是文件是否有異常,以及查看是否有異常的賬號。
網站被掛馬一般都是網站程序存在漏洞或者伺服器安全性能不達標被不法黑客入侵攻擊而掛馬的。
網站被掛馬是普遍存在現象然而也是每一個網站運營者的心腹之患。
您是否因為網站和伺服器天天被入侵掛馬等問題也曾有過想放棄的想法呢,您否也因為不太了解網站技術的問題而耽誤了網站的運營,您是否也因為精心運營的網站反反復復被一些無聊的黑客入侵掛馬感到徬彷且很無耐。有條件建議找專業做網站安全的sine安全來做安全維護。
㈦ 伺服器被黑怎麼辦
1、斷開伺服器網路,檢查伺服器日誌。
2、根據日誌找出問題所在,修復系統漏洞。
3、然後將伺服器的數據清除,用原來備份的數據恢復。
4、然後重新連接網路使用。
㈧ 伺服器被攻擊後怎麼處理
1、發現伺服器被入侵,應立即關閉所有網站服務,暫停至少3小時。這時候很多站長朋友可能會想,不行呀,網站關閉幾個小時,那該損失多大啊,可是你想想,是一個可能被黑客修改的釣魚網站對客戶的損失大,還是一個關閉的網站呢?你可以先把網站暫時跳轉到一個單頁面,寫一些網站維護的的公告。
2、下載伺服器日誌,並且對伺服器進行全盤殺毒掃描。這將花費你將近1-2小時的時間,但是這是必須得做的事情,你必須確認黑客沒在伺服器上安裝後門木馬程序,同時分析系統日誌,看黑客是通過哪個網站,哪個漏洞入侵到伺服器來的。找到並確認攻擊源,並將黑客掛馬的網址和被篡改的黑頁面截圖保存下來,還有黑客可能留下的個人IP或者代理IP地址。
3、Windows系統打上最新的補丁,然後就是mysql或者sql資料庫補丁,還有php以及IIS,serv-u就更不用說了,經常出漏洞的東西,還有就是有些IDC們使用的虛擬主機管理軟體。
4、關閉刪除所有可疑的系統帳號,尤其是那些具有高許可權的系統賬戶!重新為所有網站目錄配置許可權,關閉可執行的目錄許可權,對圖片和非腳本目錄做無許可權處理。
5、完成以上步驟後,你需要把管理員賬戶密碼,以及資料庫管理密碼,特別是sql的sa密碼,還有mysql的root密碼,要知道,這些賬戶都是具有特殊許可權的,黑客可以通過他們得到系統許可權!
6、Web伺服器一般都是通過網站漏洞入侵的,你需要對網站程序進行檢查(配合上面的日誌分析),對所有網站可以進行上傳、寫入shell的地方進行嚴格的檢查和處理。如果不能完全確認攻擊者通過哪些攻擊方式進行攻擊,那就重裝系統,徹底清除掉攻擊源。
㈨ 伺服器不停地被入侵,請問安裝什麼殺軟好急
WIN系統嗎?如果是win系統,還是推薦使用Mcafeee企業版,現在最新版本是8.8樓主找殺軟完全不是解決辦法,關於win伺服器防護,舉幾個例子給你講一點哈。1、一般黑客都是需要給你上傳文件之後才能進行提權等操作,然後接著才有下一步的動作,這時候,你可以用Mcafee阻止一些危險的文件類型,比如說.exe/bat/vbs/dll等,全局阻止這些類型的文件寫入,這樣,黑客就算找到你web站點或其他程序的漏洞,也很難上傳必要的文件了,自然沒法進行更進一步的操作2、一般伺服器入侵都有一個提權操作,你可以使用Mcafee對注冊表上關於用戶賬戶的部分進行保護,禁止操作,同時這個提權操作絕大部分時候需要調用cmd,所以我們可以把cmd.exe禁止讀取,配合上一步對一些危險後綴的保護,黑客不能上傳類似cmd的文件,提權自然被阻斷了3、一般作為伺服器,需要打開的埠和需要和網路連接的進程都是比較少的,我們可以用mcafee進行埠加固,除了常見的IIS、MSSQL之類需要開放的外,其他的一律阻止,這樣能阻止很多惡意探測3389之類的攻擊伺服器防護遠不是殺毒軟體這么簡單,更多的是我們要保護伺服器不被惡意利用和破壞,建議LZ首先檢查一下伺服器是否存在殘留的後門,然後仔細考慮一下到底要怎麼辦,絕不是安裝個殺毒軟體了事
㈩ 如何防止 亞馬遜雲伺服器 被黑
目前來說,對於伺服器被黑是沒有一個100%能防止的好辦法,可盡量減少被黑的可能。這需要樓主在使用中做好伺服器的日常管理工作,比如設置復雜的密碼,做安全策略,關閉不用的埠和服務,定期給伺服器查殺病毒,處理好程序漏洞等等。希望英虎網路的回答能對樓主有幫助,如還有伺服器相關問題,歡迎一起交流!