今天給菜鳥們說說以入侵者的角度去談談伺服器被黑掉後,我們該做的哪些防護和檢查工作,大牛的話都比較熟悉系統加固和安全的問題,對於我等菜鳥來說,沒有做過從事過安全方面工作,所以只能從入侵者的角度去說說相對立的工作。因為菜鳥的我們也會自己弄伺服器自己建站,又沒有專業的知識,也不是搞什麼大專案,所以都只能自己維護了,那麼被幹掉後,肯定也是得自己做維護和檢查工作了,於是有了下文。
通常伺服器被幹掉,一般有以下幾種情況,跟著我來看看吧。
簡單的被黑後的工作檢查處理流程:
這幾種情況是我們常遇見的,菜鳥的你當伺服器被黑闊擼過了,你腫麼辦(肯定不會涼拌,再垃圾也是伺服器嘛:D,也是自己使用的)?我們可以根據以上的情況,去做相對於的對策和檢測。以下是我自己總結的,若有雷同純屬意外:
1.伺服器被幹掉了,第一我要做的是,開發的系統都先暫時關閉,系統賬戶密碼都修改一遍,請改之前還要檢查伺服器是否存在木馬等。以免被黑闊給你Get
Hash(通過某種手段獲取系統密碼的hash值並進行破解得出明文密碼)或明文(那你白乾了,黑闊笑嘻嘻,心想你個傻鳥我再監聽你呢)
2.檢查系統是否有多餘的賬戶,一般有手工和工具檢查,我這裡指談思路,具體要做你自己去實現,比如可以查C:Documents
and
Settings這裡,要是建立新賬戶登入3389後悔在這裡生成和賬戶名對應的資料夾,哪怕是神馬帶\$的隱藏賬戶,還有登錄檔裡也要好好檢查,不懂就工具吧,百度那麼好
3.檢查系統開放的埠,自己熟悉的埠就先不管,有陌生的就要查一下,到底是什麼程式再使用,有時候可以檢查出木馬或者後門使用的埠,把沒必要的埠都關閉了,避免意外事故
4.檢查日誌,菜鳥級別的一般沒辦法清理掉一些日誌,可以好好看看,比如IIS,WEB系統自帶的日誌功能,系統日誌等,這能分析出黑闊都幹了神馬壞事,以及你的伺服器是怎麼被幹掉
5.檢查系統各個碟符的以及關鍵目錄的操作許可權,比如某2B管理給我搞了伺服器,E盤原本沒許可權,後來我改為everyone,而恰好他又不去檢查,那隻要我WEBSHELL在的話,許可權就很大,尤其配合一些提權工具,那是爽歪歪了
6.使用防毒安全軟體,這個是為了全盤掃描木馬(EXE和指令碼以及其他),查殺木馬和修復系統漏洞,至於選擇神馬防毒軟體,大家自己找,我也不推薦免得被說是槍手,這年頭當好人很難的
7.web系統的指令碼後門要好好檢查,一般看看檔案操作時間(不過檔案時間是可以改滴),用工具稽核,還有人工稽核,沒能力的找基友,找熟人,還有一種是提前備份好各個系統,出了問題後,把兩個檔案打包到本地用Beyond
Compare對比分析,當然其他對比分析工具也可以,確保剔除掉黑闊的指令碼,另外能找到自己web系統的漏洞最好了,如果你知道黑闊怎麼搞你的web系統那你就對應修復吧,記得還有那些變異擴充套件的指令碼也要留意下。
8.安裝安全狗之類的waf軟體,我不是打廣告,反正不少菜鳥遇上狗的伺服器,基本都是繞道而行,不然就要被咬了,大牛有辦法繞過,但是不一定會給我等這些菜鳥分享的,所以安裝類似的軟體,雖然不能保證100%防護,但至少給黑闊搞你伺服器增加不少困難,也可以阻擋一批所謂的指令碼小子(有木有?反正我遇到狗就跑啦)
做好這些之後,剩下的還要自己給伺服器加固,哪裡被搞了,哪裡就應該多留意下,具體的加固,大家自己找資料參考吧,這個是題外話,何況我這菜逼的菜鳥也不是專搞這個的,所以基友就別為難我,我只能略懂一些,各種賬戶密碼設定複雜一些,而且不同的賬戶使用不同的密碼,必備被社工了,社工太強大了,不是你所想象得到的,伺服器各目錄嚴格分配,可以參照下星外,還有其他的參考文獻,沒事看看日誌,監聽下流量,監聽下埠,黑闊要在你伺服器幹壞事,肯定會有不少動靜,只要稍微留意一下細節的東西。