1、如何檢測伺服器是否被入侵
在表面上看不出來的,表面你只是會有一點感覺,那是不是真的呢?大家可以根據下面的方法去檢測一下就知道了。1.從表面來判斷①系統運行速度越來越慢由於流氓軟體表面上是為用戶提供了一些有用的功能,但實質上,它們是為了達到宣傳自己的網站、自己的產品等目的。因此,流氓軟體一旦成功入侵電腦,它們便會在一些軟體上提供相應的插件工具欄,以瀏覽器類軟體居多,在瀏覽器家族中又以IE最受流氓軟體歡迎。當發現日常使用的軟體的工具欄被增加了一些項目或是像瀏覽器的設置被修改了,也足以說明系統中可能感染了流氓軟體。③自動彈出廣告窗口正常使用電腦過程中,時而不時地自動彈出一些廣告窗口,關閉後隔一斷時間又會出現,做廣告本是流氓軟體的一個目的,因此,當你頻繁地看到自動彈出的廣告時,系統也有可能感染了流氓軟體。)④.自動打開網站與自動彈出廣告類似,有些流氓軟體更猖狂,會自動啟動瀏覽器並打開一些網站,如果你遇到了這種情況也說明系統有招流氓軟體的跡象了。2.利用工具檢查①使用系統的任務管理器當系統感染了流氓軟體後,只要流氓軟體正在運行的話,一般都是可以通過系統的任務管理器來尋覓其蹤影:按下「Ctrl+Shift+del」打開任務管理器窗口,再單擊「進程」選項卡,在進程列表中將會看到流氓軟體的蹤影了。不過,這種方法只適合那些對電腦系統比較熟悉並對流氓軟體對應的進程有所了解的朋友們採用。②使用專用檢測工具使用任務管理器這個系統自帶的工具來檢測流氓軟體對用戶的要求相對高些,為此,推薦大多數用戶使用專業的流氓軟體檢測工具來檢測,這樣既直觀,操作也會方便很多。
2、如何快速判斷伺服器是否被惡意入侵
而國內網路很大一部分的垃圾流量(惡意CC攻擊、ddos攻擊、垃圾郵件、垃圾彈窗廣告等)也都是以這類被盜用入侵的IDC產品為土壤而滋生的。
由此可見,對於自身的IDC產品做好安全防護及快速的故障排查是一個相當有必要的事情。不僅能提高自身產品的附加價值。提高產品的利用率。提升品牌形象,更能給客戶一個良好的服務面貌。
在此,筆者對常見的託管租用使用windows server
第一步、檢查系統組及用戶
我的電腦——右鍵管理——本地用戶和組——組
檢查administrators組內是否存在除開管理員用戶賬號(默認為administrator)以外的其他用戶賬號
檢查users組內是否存在非系統默認賬號或管理員指定賬號
本地用戶和組——用戶
檢查是否存在未做注釋或名稱異常的用戶
一般由於軟體後本被入侵的伺服器都會在administrators組內添加一個admin$或相類似的用戶,一旦發現該類用戶就應該首先避免運行任何程序,停止所有服務並及時使用殺毒軟體對伺服器關鍵區域(啟動駐存、C盤
系統文件夾 用戶自定義文件夾)進行完整掃描,避免木馬的二次交叉感染。
第二步,檢查管理員賬戶是否存在異常的登陸和注銷記錄
我的電腦——右鍵管理——事件查看器——安全性
篩選所有事件ID為576和528的事件(576為系統登陸日誌 528為系統注銷日誌)
查看具體事件信息內容。內容內會存在一個登陸IP。檢查該IP是否為管理員常用登陸的IP(ip138 你懂的)
第三步、檢查伺服器是否存在異常的登陸啟動項
開始菜單——所有程序——啟動
該目錄在默認情況下應該是一個空目錄,但是如果出現一個異常的.bat程序的話就應該全盤掃描伺服器以確認伺服器安全性
開始菜單——運行msconfig啟動菜單欄中是否存在命名異常的啟動項目,例如A.EXE
XXXXI1SU2.EXE等,一旦發現全盤掃描伺服器以確認伺服器安全性
開始菜單——運行regedit
hkey_current_user—software—micorsoft—windows—currentversion-run
hkey_current_machine—software—micorsoft—windows—currentversion-run
檢查以上2個項目下是否存在異常
一般情況下如果以上3個步驟檢查不存在異常的話基本就可以判定伺服器的安全環境是無故障的
3、使用代理伺服器被人偵測到真實IP的可能性有多大?
最簡copy單的方法
就是建立虛擬機 在你 的虛擬操作系統內 成為代理伺服器
那麼即使你的虛擬操作系統受到攻擊或中毒 無法修復 你只需要重新來新建 一個把原來的刪除了 就是
現在的虛擬主機的ip就是這樣的 那麼只要你當前系統安全 那麼虛擬機的系統 不安全對自身本機操作完全無影響
但還可以用其他方法
用隱藏ip的軟體來實現
但是其實它就是通過代理的方式讓別人很難查到你的ip
也就是你要代理別人也要通過代理的ip地址來轉發
那麼就會影響代理伺服器的速度了
4、如何保證Web伺服器安全
不但企業的門戶網站被篡改、資料被竊取,而且還成為了病毒與木馬的傳播者。有些Web管理員採取了一些措施,雖然可以保證門戶網站的主頁不被篡改,但是卻很難避免自己的網站被當作肉雞,來傳播病毒、惡意插件、木馬等等。筆者認為,這很大一部分原因是管理員在Web安全防護上太被動。他們只是被動的防禦。為了徹底提高Web伺服器的安全,筆者認為,Web安全要主動出擊。具體的來說,需要做到如下幾點。一、在代碼編寫時就要進行漏洞測試現在的企業網站做的越來越復雜、功能越來越強。不過這些都不是憑空而來的,是通過代碼堆積起來的。如果這個代碼只供企業內部使用,那麼不會帶來多大的安全隱患。但是如果放在互聯網上使用的話,則這些為實現特定功能的代碼就有可能成為攻擊者的目標。筆者舉一個簡單的例子。在網頁中可以嵌入SQL代碼。而攻擊者就可以利用這些SQL代碼來發動攻擊,來獲取管理員的密碼等等破壞性的動作。有時候訪問某些網站還需要有某些特定的控制項。用戶在安裝這些控制項時,其實就有可能在安裝一個木馬(這可能訪問者與被訪問者都沒有意識到)。為此在為網站某個特定功能編寫代碼時,就要主動出擊。從編碼的設計到編寫、到測試,都需要認識到是否存在著安全的漏洞。筆者在日常過程中,在這方面對於員工提出了很高的要求。各個員工必須對自己所開發的功能負責。至少現在已知的病毒、木馬不能夠在你所開發的插件中有機可乘。通過這層層把關,就可以提高代碼編寫的安全性。二、對Web伺服器進行持續的監控冰凍三尺、非一日之寒。這就好像人生病一樣,都有一個過程。病毒、木馬等等在攻擊Web伺服器時,也需要一個過程。或者說,在攻擊取得成功之前,他們會有一些試探性的動作。如對於一個採取了一定安全措施的Web伺服器,從攻擊開始到取得成果,至少要有半天的時間。如果Web管理員對伺服器進行了全天候的監控。在發現有異常行為時,及早的採取措施,將病毒與木馬阻擋在門戶之外。這種主動出擊的方式,就可以大大的提高Web伺服器的安全性。筆者現在維護的Web伺服器有好幾十個。現在專門有一個小組,來全天候的監控伺服器的訪問。平均每分鍾都可以監測到一些試探性的攻擊行為。其中99%以上的攻擊行為,由於伺服器已經採取了對應的安全措施,都無功而返。不過每天仍然會遇到一些攻擊行為。這些攻擊行為可能是針對新的漏洞,或者採取了新的攻擊方式。在伺服器上原先沒有採取對應的安全措施。如果沒有及時的發現這種行為,那麼他們就很有可能最終實現他們的非法目的。相反,現在及早的發現了他們的攻擊手段,那麼我們就可以在他們採取進一步行動之前,就在伺服器上關掉這扇門,補上這個漏洞。筆者在這里也建議,企業用戶在選擇互聯網Web伺服器提供商的時候,除了考慮性能等因素之外,還要評估服務提供商能否提供全天候的監控機制。在Web安全上主動出擊,及時發現攻擊者的攻擊行為。在他們採取進一步攻擊措施之前,就他們消除在萌芽狀態。三、設置蜜罐,將攻擊者引向錯誤的方向在軍隊中,有時候會給軍人一些偽裝,讓敵人分不清真偽。其實在跟病毒、木馬打交道時,本身就是一場無硝煙的戰爭。為此對於Web伺服器採取一些偽裝,也能夠將攻擊者引向錯誤的方向。等到供給者發現自己的目標錯誤時,管理員已經鎖定了攻擊者,從而可以及早的採取相應的措施。筆者有時候將這種主動出擊的行為叫做蜜罐效應。簡單的說,就是設置兩個伺服器。其中一個是真正的伺服器,另外一個是蜜罐。現在需要做的是,如何將真正的伺服器偽裝起來,而將蜜罐推向公眾。讓攻擊者認為蜜罐伺服器才是真正的伺服器。要做到這一點的話,可能需要從如下幾個方面出發。一是有真有假,難以區分。如果要瞞過攻擊者的眼睛,那麼蜜罐伺服器就不能夠做的太假。筆者在做蜜罐伺服器的時候,80%以上的內容都是跟真的伺服器相同的。只有一些比較機密的信息沒有防治在蜜罐伺服器上。而且蜜罐伺服器所採取的安全措施跟真的伺服器事完全相同的。這不但可以提高蜜罐伺服器的真實性,而且也可以用來評估真實伺服器的安全性。一舉兩得。二是需要有意無意的將攻擊者引向蜜罐伺服器。攻擊者在判斷一個Web伺服器是否值得攻擊時,會進行評估。如評估這個網站的流量是否比較高。如果網站的流量不高,那麼即使被攻破了,也沒有多大的實用價值。攻擊者如果沒有有利可圖的話,不會花這么大的精力在這個網站伺服器上面。如果要將攻擊者引向這個蜜罐伺服器的話,那麼就需要提高這個蜜罐伺服器的訪問量。其實要做到這一點也非常的容易。現在有很多用來交互流量的團隊。只要花一點比較小的投資就可以做到這一點。三是可以故意開一些後門讓攻擊者來鑽。作為Web伺服器的管理者,不僅關心自己的伺服器是否安全,還要知道自己的伺服器有沒有被人家盯上。或者說,有沒有被攻擊的價值。此時管理者就需要知道,自己的伺服器一天被攻擊了多少次。如果攻擊的頻率比較高,管理者就高興、又憂慮。高興的是自己的伺服器價值還蠻大的,被這么多人惦記著。憂慮的是自己的伺服器成為了眾人攻擊的目標。就應該抽取更多的力量來關注伺服器的安全。四、專人對Web伺服器的安全性進行測試俗話說,靠人不如靠自己。在Web伺服器的攻防戰上,這一個原則也適用。筆者建議,如果企業對於Web服務的安全比較高,如網站伺服器上有電子商務交易平台,此時最好設置一個專業的團隊。他們充當攻擊者的角色,對伺服器進行安全性的測試。這個專業團隊主要執行如下幾個任務。一是測試Web管理團隊對攻擊行為的反應速度。如可以採用一些現在比較流行的攻擊手段,對自己的Web伺服器發動攻擊。當然這個時間是隨機的。預先Web管理團隊並不知道。現在要評估的是,Web管理團隊在多少時間之內能夠發現這種攻擊的行為。這也是考驗管理團隊全天候跟蹤的能力。一般來說,這個時間越短越好。應該將這個時間控制在可控的范圍之內。即使攻擊最後沒有成功,Web管理團隊也應該及早的發現攻擊的行為。畢竟有沒有發現、與最終有沒有取得成功,是兩個不同的概念。二是要測試伺服器的漏洞是否有補上。畢竟大部分的攻擊行為,都是針對伺服器現有的漏洞所產生的。現在這個專業團隊要做的就是,這些已發現的漏洞是否都已經打上了安全補丁或者採取了對應的安全措施。有時候我們都沒有發現的漏洞是無能為力,但是對於這些已經存在的漏洞不能夠放過。否則的話,也太便宜那些攻擊者了。
5、伺服器為什麼要被監控,怎麼監控伺服器的狀態
可以通過多種方式監控,比如日誌,軟體畫面等,你可以去伺服器廠商(正睿)的網上找找相關技術文檔參考一下,很快就清楚了!
6、怎麼判斷自己的伺服器是被壓測還是被DDOS攻擊?
壓力測試一般是伺服器管理員或者相關負責人進行的壓力測試。
這類測試一般都是伺服器性能測試的,需要進行申請後才允許操作的。
這樣的話一般內部人員很容易辨認出來是否是在進行壓力測試的。
而ddos攻擊則是沒有時間性的,突然出現的話一般都是被攻擊了。
所以這個還是很好區分的。
有點需要知道的是,壓力測試的時候,測試人員也是可以發動ddos攻擊來進行測試的,並不是說ddos攻擊就一定是別人進行的。但是可以確定的是,沒收到通知,伺服器就受到了ddos攻擊的話,那麼伺服器肯定是被人盯上並且攻擊了。
對於ddos攻擊,可以再伺服器上裝個安全狗進行防護,把攻擊ip加入黑名單,對方就無法繼續攻擊了。如果ddos流浪很大的話,建議購買硬體防火牆,軟硬體結合的防護來防禦效果會更好些
7、怎麼查看伺服器被入侵?
1、入侵者入侵後一般會開伺服器的3389,建立隱藏用戶,然後登錄。我們只要到c:documents
and
settings這個版目錄下看看是否有可權以的用戶名就可以了,不管是不是隱藏的用戶,都會在這里顯示出來。
2、有些入侵者喜歡留一個有高許可權的sqlserver資料庫用戶,當作後門,我們可以打開登陸sqlserver的查詢分析器,然後依次打開master--系統表--dbo.sysxlogins(sqlserver2000下,sql2005和2008下,小王沒找到如何查看資料庫用戶的方法,如果您知道請指點),在這個窗口的name列中可以看到sqlserver資料庫的用戶,一般情況下會有3個用戶,一個是sa,一個builtinadministrators,還有一個是null,如果還存在其他用戶,就有可能是被人入侵了或者是我上面講的那些情況,就需要注意點了,當然不一定就那三個用戶,小王還見過name下有多個sa和null的,但不知道是怎麼回事,具體問題還需要具體分析。
8、伺服器被入侵,誰來幫我解釋下什麼意思
這是在arp欺騙掛馬!
您這伺服器是被黑客入侵了,被黑的因素 一般都是程序版留了後門或vps內被留了系統內核級權別的木馬 或網站的代碼留了隱蔽性的木馬或一句話shell
一般都是網站程序存在漏洞或者伺服器存在漏洞而被攻擊了
伺服器被黑是每個網站管理員最頭痛的問題 也可以通過安全公司來解決,國內也就Sinesafe和綠盟等安全公司 比較專業.
9、請教:如何監控自己的伺服器,知道別人都做了什麼。 因為伺服器經常被人掛馬,想知道別人都對伺服器做了什
通過mstsc就可以遠程管理抄你的伺服器了,當然還有更多的方法可以實現。
方法:開始點擊運行輸入mstsc,輸入你的伺服器ip地址這樣就可以進行連接,輸入用戶名和密碼就跟平時你登陸伺服器一樣進行管理。如何開啟遠程你自己動手去百度搜索一下吧!不要想著什麼事情別人都幫你一步到位,自己也要學著去實際操作才能提升自己能力。
一個合格的網路管理人員需要對你的伺服器有足夠的了解,比如你的伺服器安裝了什麼軟體,對外或者對公司內部提供什麼服務,並且開啟了什麼服務這些都要心中有數。這樣在別人對你的伺服器做了那怕一點修改你也會知道。
既然是伺服器,系統當然各有不同,看你用微軟的還是開源的系統。方法不一樣。我猜你應該是微軟的吧。
查看日誌方法:點擊我的電腦--》右鍵點擊管理--》然後查找事件查看器,這里就可以看了,包括你的伺服器什麼時間那個帳戶去登陸,對那些目錄做過什麼操作,都可以看到。當然這是需要你對伺服器進行安全策略設置才能生效的。
建議你有空學習一些關於網路安全方面的知識,這樣對病毒和木馬就會有更深一步的認識,其實很easy。祝你好運
10、怎麼檢查網站伺服器是否被入侵?
網站伺服器是否遭到侵略也可以終究靠以下幾個過程進行承認:
第一步:查看體系組及用戶。假設發現administrators組內增加一個admin$或相類似的用戶,或許性你的網站就已遭到了侵略;
第二步:查看管理員賬戶是否存在反常的登錄和刊出記載
挑選一切體系登錄日記及體系刊出日記,並具體查看其登錄ip,核實該ip是否為常用的管理員登錄ip;
第三步:查看伺服器是否存在反常啟動項
上面三個過程任何一個過程呈現了反常都有或許是因為伺服器遭到了侵略。
網站伺服器遭受侵略應該怎麼處理
1.暫時封閉網站
網站被侵略之後,最常見的狀況便是被植入木馬,為了確保訪問者的安全,一般都要把網站暫時封閉。在封閉過程中可以把域名暫時轉到別的一個網站或許一個告訴頁面。
2.剖析網站受損程度
有些黑客侵略了網站之後會把一切的網站數據都清空,假設有數據備份的站點可以終究靠數據備份康復網站數據,假設沒有備份的則需要請專業硬碟數據康復公司進行數據康復。假設網站的頁面數據沒有發生什麼改變,則網站或許僅僅是被掛馬了,可以終究靠第三四個過程消除影響。
3.檢測縫隙並打補丁
數據康復之後一定要掃描網站的縫隙並進行打補丁處理。一般的網站程序官方都會定時推出相關的補丁文件,只要把文件上傳到伺服器並掩蓋之即可。
4.木馬病毒鏟除
木馬病毒可以終究靠專業的殺毒軟體進行查殺。在這里必需要分外留意的是,有時候有些正常的文件都會被誤判為病毒,這樣一個時間段就需要用戶自己細心辨認之了。
5.常常備份數據
重要的數據經常備份
6.建議可以聯署一些防入侵,篡改的防護產品