① 怎麼查看伺服器windows server2008系統日誌判斷是否被入侵
從 UI 的變化來看 Windows Server 2008 R2(WS08R2)使用的是與 Windows 7 相同設計的 UI。如果添加「桌面體驗」組件,即可獲得 Aero 等效果!回到正題,相信已經安裝 WS08R2 的朋友都發現了一個「小問題」,我們沒有辦法通過常規步驟來更改桌面圖標!通常我們可以通過個性化配置里的更改桌面圖標來選擇顯示那些特殊的 Windows 桌面圖標,如:「計算機」文件夾、個人文件夾、「網路」等等。但是現在面對桌面孤零零的」回收站「,我們素手無策!難道 Windows Server 2008 R2 不支持顯示桌面圖標么?! OK!gOxiA 查找了系統幫助,找到了一些線索,看下圖!根據幫助提示,執行「單擊打開「個性化」」這一操作,提示「此版本的 Windows 未提供個性化功能」,God!難道為了修改桌面圖標還要安裝「桌面體驗」不成?!這玩笑開大了! 其實在尋找幫助文檔前,gOxiA 就已經找到了啟動「更改桌面圖標」的設置程序,還記得從 Windows Vista 開始 Windows 的開始菜單有什麼變化么?OK,現在單擊 Windows Server 2008 R2 的「開始」看看! 記得gOxiA 早先寫過的一些日誌里曾提到過「搜索程序和文件」功能,這是一個強大的功能,在這里輸入你想要知道或得到的關鍵詞或句子,內置的 Windows Search 就會給出你相關的結果,相當的豐富!並且也很准確! 現在我們就在「搜索程序和文件」里鍵入我們想要搜索的信息,「更改桌面圖標」中「圖標」是關鍵詞,如果是英文系統可以輸入「icon」,接下來看看會出現什麼結果! 「搜索程序和文件」找到了與圖標有關的相關信息,其中「顯示或隱藏桌面上的通用圖標」便是我們要找大的結果,單擊它。就可以啟動「更改桌面圖標」的設置程序!下來,我們就可以根據需要在桌面上顯示這些圖標了! 方法一: 可以通過執行該命令來查看錯誤日誌信息:exec xp_readerrorlog 方法二: 在SQL SERVER Management Studio中連接該sql server實例,object Explorer中查找Management->SQL Server logs->右鍵選view-》選擇你要看的日誌信息(sql server log or sql server and Windows log) 方法三: 去安裝路徑下去找你的log文件,我的默認實例路徑如下 driver:\SQL Server 2008 R2\MSSQL10_50.MSSQLSERVER\MSSQL\Log\ERRORLOG
② 怎麼查看伺服器被入侵
如果伺服器(網站)被入侵了,一般都是伺服器或者網站存在漏洞,被黑客利用並提權入侵的,導致伺服器中木馬,網站被掛黑鏈,被篡改,被掛馬。解決辦法:如果程序不是很大,可以自己比對以前程序的備份文件,然後就是修復,或者換個伺服器,最好是獨立伺服器。也可以通過安全公司來解決,國內也就Sinesafe和綠盟等安全公司 比較專業.
③ 求助伺服器被挖礦程序入侵,如何排查
新客戶於最近向我們SINE安全公司咨詢,說他的伺服器經常卡的網站無法打開,遠程連接
伺服器的慢的要命,有時候PING值都達到300-500之間,還經常掉包,聽客戶這么一說,一般
會判斷為受到了CC+DDOS混合流量攻擊,再具體一問,說是機房那面沒有受到流量攻擊,這
就有點奇怪了,不是流量攻擊,還導致伺服器卡,網站無法打開,這是什麼攻擊?為了解決客
戶伺服器卡的問題,我們隨即安排安全工程師對他的linux伺服器進行了安全檢測與安全部署。
挖礦木馬還設計了挖礦進程如果被客戶強制停止後,會自動啟動繼續挖礦,達到不間斷的挖礦,
仔細檢查發現是通過設置了每個小時執行任務計劃,遠程下載shell挖礦木馬,然後執行,檢查
當前進程是否存在,不存在就啟動挖礦木馬,進行挖礦。
對客戶的linux伺服器進行詳細了安全檢測發現幸虧沒有加密伺服器的數據,以及感染蠕蟲的病
毒,如果數據被加密那損失大了,客戶是做平台的,裡面的客戶數據很重要,找出挖礦木馬後,
客戶需要知道伺服器到底是如何被攻擊的? 被上傳挖礦木馬的? 防止後期再出現這樣的攻擊
狀況。
通過我們安全工程師的安全檢測與分析,發現該伺服器使用的是apache tomcat環境,平台的開
發架構是JSP+oracle資料庫,apache tomcat使用的是2016年的版本,導致該apache存在嚴重
的遠程執行命令漏洞,入侵者可以通過該漏洞直接入侵伺服器,拿到伺服器的管理員許可權,
SINE安全工程師立即對apache 漏洞進行修復,並清除木馬,至此問題得以解決,客戶伺服器
一切穩定運行,網站打開正常。
④ Linux 如何判斷自己的伺服器是否被入侵
1、檢查系統密碼文件
首先從明顯的入手,查看一下passwd文件,ls –l /etc/passwd查看文件修改的日期。
awk –F: 『length($2)==0 {print $1}』 /etc/shadow
2、查看一下進程,看看有沒有奇怪的進程
重點查看進程:ps –aef | grep inetd
inetd是UNIX系統的守護進程,正常的inetd的pid都比較靠前,如果你看到輸出了一個類似inetd –s /tmp/.xxx之類的進程,著重看inetd –s後面的內容。在正常情況下,LINUX系統中的inetd服務後面是沒有-s參數的,當然也沒有用inetd去啟動某個文件;而solaris系統中也僅僅是inetd –s,同樣沒有用inetd去啟動某個特定的文件;如果你使用ps命令看到inetd啟動了某個文件,而你自己又沒有用inetd啟動這個文件,那就說明已經有人入侵了你的系統,並且以root許可權起了一個簡單的後門。
輸入ps –aef 查看輸出信息,尤其注意有沒有以./xxx開頭的進程。一旦發現異樣的進程,經檢查為入侵者留下的後門程序,立即運行kill –9 pid 開殺死該進程,然後再運行ps –aef查看該進程是否被殺死;一旦此類進程出現殺死以後又重新啟動的現象,則證明系統被人放置了自動啟動程序的腳本。這個時候要進行仔細查找:find / -name 程序名 –print,假設系統真的被入侵者放置了後門,根據找到的程序所在的目錄,會找到很多有趣的東東,
接下來根據找到入侵者在伺服器上的文件目錄,一步一步進行追蹤。
3、檢查系統守護進程
檢查/etc/inetd.conf文件,輸入:cat /etc/inetd.conf | grep –v 「^#」,輸出的信息就是你這台機器所開啟的遠程服務。
一般入侵者可以通過直接替換in.xxx程序來創建一個後門,比如用/bin/sh 替換掉in.telnetd,然後重新啟動inetd服務,那麼telnet到伺服器上的所有用戶將不用輸入用戶名和密碼而直接獲得一個rootshell。
4、檢查網路連接和監聽埠
輸入netstat -an,列出本機所有的連接和監聽的埠,查看有沒有非法連接。
輸入netstat –rn,查看本機的路由、網關設置是否正確。
輸入 ifconfig –a,查看網卡設置。
5、檢查系統日誌
命令last | more查看在正常情況下登錄到本機的所有用戶的歷史記錄。但last命令依賴於syslog進程,這已經成為入侵者攻擊的重要目標。入侵者通常會停止系統的syslog,查看系統syslog進程的情況,判斷syslog上次啟動的時間是否正常,因為syslog是以root身份執行的,如果發現syslog被非法動過,那說明有重大的入侵事件。
在linux下輸入ls –al /var/log
檢查wtmp utmp,包括messgae等文件的完整性和修改時間是否正常,這也是手工擦除入侵痕跡的一種方法。
6、檢查系統中的core文件
通過發送畸形請求來攻擊伺服器的某一服務來入侵系統是一種常規的入侵方法,典型的RPC攻擊就是通過這種方式。這種方式有一定的成功率,也就是說它並不能100%保證成功入侵系統,而且通常會在伺服器相應目錄下產生core文件,全局查找系統中的core文件,輸入find / -name core –exec ls –l {} \; 依據core所在的目錄、查詢core文件來判斷是否有入侵行為。
7、檢查系統文件完整性
檢查文件的完整性有多種方法,通常我們通過輸入ls –l 文件名來查詢和比較文件,這種方法雖然簡單,但還是有一定的實用性。但是如果ls文件都已經被替換了就比較麻煩。在LINUX下可以用rpm –V `rpm –qf 文件名` 來查詢,查詢的結果是否正常來判斷文件是否完整。
⑤ 如何判斷自己的伺服器是否被入侵
一般看是否有可疑進程。
⑥ 如何檢測伺服器是否被入侵
在表面上看不出來的,表面你只是會有一點感覺,那是不是真的呢?大家可以根據下面的方法去檢測一下就知道了。1.從表面來判斷 ①系統運行速度越來越慢 由於流氓軟體表面上是為用戶提供了一些有用的功能,但實質上,它們是為了達到宣傳自己的網站、自己的產品等目的。因此,流氓軟體一旦成功入侵電腦,它們便會在一些軟體上提供相應的插件工具欄,以瀏覽器類軟體居多,在瀏覽器家族中又以IE最受流氓軟體歡迎。當發現日常使用的軟體的工具欄被增加了一些項目或是像瀏覽器的設置被修改了,也足以說明系統中可能感染了流氓軟體。③自動彈出廣告窗口正常使用電腦過程中,時而不時地自動彈出一些廣告窗口,關閉後隔一斷時間又會出現,做廣告本是流氓軟體的一個目的,因此,當你頻繁地看到自動彈出的廣告時,系統也有可能感染了流氓軟體。)④.自動打開網站 與自動彈出廣告類似,有些流氓軟體更猖狂,會自動啟動瀏覽器並打開一些網站,如果你遇到了這種情況也說明系統有招流氓軟體的跡象了。2.利用工具檢查①使用系統的任務管理器 當系統感染了流氓軟體後,只要流氓軟體正在運行的話,一般都是可以通過系統的任務管理器來尋覓其蹤影: 按下「Ctrl+Shift+del」打開任務管理器窗口,再單擊「進程」選項卡,在進程列表中將會看到流氓軟體的蹤影了。不過,這種方法只適合那些對電腦系統比較熟悉並對流氓軟體對應的進程有所了解的朋友們採用。②使用專用檢測工具使用任務管理器這個系統自帶的工具來檢測流氓軟體對用戶的要求相對高些,為此,推薦大多數用戶使用專業的流氓軟體檢測工具來檢測,這樣既直觀,操作也會方便很多。
⑦ 如何快速判斷伺服器是否被惡意入侵
而國內網路很大一部分的垃圾流量(惡意CC攻擊、ddos攻擊、垃圾郵件、垃圾彈窗廣告等)也都是以這類被盜用入侵的IDC產品為土壤而滋生的。
由此可見,對於自身的IDC產品做好安全防護及快速的故障排查是一個相當有必要的事情。不僅能提高自身產品的附加價值。提高產品的利用率。提升品牌形象,更能給客戶一個良好的服務面貌。
在此,筆者對常見的託管租用使用windows server
第一步、檢查系統組及用戶
我的電腦——右鍵管理——本地用戶和組——組
檢查administrators組內是否存在除開管理員用戶賬號(默認為administrator)以外的其他用戶賬號
檢查users組內是否存在非系統默認賬號或管理員指定賬號
本地用戶和組——用戶
檢查是否存在未做注釋或名稱異常的用戶
一般由於軟體後本被入侵的伺服器都會在administrators組內添加一個admin$或相類似的用戶,一旦發現該類用戶就應該首先避免運行任何程序,停止所有服務並及時使用殺毒軟體對伺服器關鍵區域(啟動駐存、C盤
系統文件夾 用戶自定義文件夾)進行完整掃描,避免木馬的二次交叉感染。
第二步,檢查管理員賬戶是否存在異常的登陸和注銷記錄
我的電腦——右鍵管理——事件查看器——安全性
篩選所有事件ID為576和528的事件(576為系統登陸日誌 528為系統注銷日誌)
查看具體事件信息內容。內容內會存在一個登陸IP。檢查該IP是否為管理員常用登陸的IP(ip138 你懂的)
第三步、檢查伺服器是否存在異常的登陸啟動項
開始菜單——所有程序——啟動
該目錄在默認情況下應該是一個空目錄,但是如果出現一個異常的.bat程序的話就應該全盤掃描伺服器以確認伺服器安全性
開始菜單——運行msconfig啟動菜單欄中是否存在命名異常的啟動項目,例如A.EXE
XXXXI1SU2.EXE等,一旦發現全盤掃描伺服器以確認伺服器安全性
開始菜單——運行regedit
hkey_current_user—software—micorsoft—windows—currentversion-run
hkey_current_machine—software—micorsoft—windows—currentversion-run
檢查以上2個項目下是否存在異常
一般情況下如果以上3個步驟檢查不存在異常的話基本就可以判定伺服器的安全環境是無故障的
⑧ 怎麼檢查網站伺服器是否被入侵
網站伺服器是否遭到侵略也可以終究靠以下幾個過程進行承認:
第一步:查看體系組及用戶。假設發現administrators組內增加一個admin$或相類似的用戶,或許性你的網站就已遭到了侵略;
第二步:查看管理員賬戶是否存在反常的登錄和刊出記載
挑選一切體系登錄日記及體系刊出日記,並具體查看其登錄ip,核實該ip是否為常用的管理員登錄ip;
第三步:查看伺服器是否存在反常啟動項
上面三個過程任何一個過程呈現了反常都有或許是因為伺服器遭到了侵略。
網站伺服器遭受侵略應該怎麼處理
1.暫時封閉網站
網站被侵略之後,最常見的狀況便是被植入木馬,為了確保訪問者的安全,一般都要把網站暫時封閉。在封閉過程中可以把域名暫時轉到別的一個網站或許一個告訴頁面。
2.剖析網站受損程度
有些黑客侵略了網站之後會把一切的網站數據都清空,假設有數據備份的站點可以終究靠數據備份康復網站數據,假設沒有備份的則需要請專業硬碟數據康復公司進行數據康復。假設網站的頁面數據沒有發生什麼改變,則網站或許僅僅是被掛馬了,可以終究靠第三四個過程消除影響。
3.檢測縫隙並打補丁
數據康復之後一定要掃描網站的縫隙並進行打補丁處理。一般的網站程序官方都會定時推出相關的補丁文件,只要把文件上傳到伺服器並掩蓋之即可。
4.木馬病毒鏟除
木馬病毒可以終究靠專業的殺毒軟體進行查殺。在這里必需要分外留意的是,有時候有些正常的文件都會被誤判為病毒,這樣一個時間段就需要用戶自己細心辨認之了。
5.常常備份數據
重要的數據經常備份
6.建議可以聯署一些防入侵,篡改的防護產品
⑨ 如何判斷linux伺服器被入侵
一般伺服器被入侵了,最顯著的信息就是通過網路命令查看是否有未知IP連接伺服器。
相關命令如下:
netstat-anltp
以上,根據查看的連接地址判斷是否有被入侵,如果不了解IP信息,可以把IP信息復制後放到網路上查詢下,看看IP所在地址是否在已知連接區域內。