浅谈服务器被黑后的检查工作流程,浅谈服务器工作流程因为初学者的我们也会

浅谈服务器被黑后的检查工作流程,浅谈服务器工作流程因为初学者的我们也会

今天说说以入侵者的角度去谈谈服务器被干掉后，我们该做的哪些防护和检查工作，高手的话都比较熟悉系统加固和安全的问题，对于我等初学者来说，没有做过从事过安全方面工作，所以只能从入侵者的角度去说说相对立的工作。因为初学者的我们也会自己弄服务器自己建站，又没有专业的知识，也不是搞什么大项目，所以都只能自己维护了，那么被入侵后，肯定也是得自己做维护和检查工作了，于是有了下文。

通常服务器被入侵，一般有以下几种情况，跟着我来看看吧

1.服务器被拿下最高权限即系统权限

一般为了拿系统权限，基本肯定不会干什么好事，服务器的数据基本都会被打包走，因为系统权限是最高权限能干的事多了，我就不说黑客们都用着权限干嘛了，你们懂的

2.服务器被拿下webshell

通常是某个web系统有漏洞，导致黑客黑盒检测出来并利用或0DAY什么的，直接得到一个webshell权限，这个权限可大可小，主要还是看服务器的web目录设置的权限，权限设置不好的话，系统盘目录都可以一览无余，当然要是目录设置严谨的话，基本拿到一个webshell不足以搞什么破坏，最多被下载数据裤和打包走（关键组件禁用比如wscript，fso等），尤其在找不到提权的情况下，只有一个webshell能干的事就很少了，现在大部分服务器都挺安全，基本能拿下个webshell提权还是挺困难

3.服务器各种数据被社

比如3389终端，FTP，WEB系统管理等等账户和密码被社工，或通过上面webshell拿到数据并整理分析得到一定权限的管理账户，还有现在流行的XSS用来X后台和管理账户，这些就要根据账户所对应的系统而确定权限，比如3389终端账户，社到的话那直接就是系统权限了（前提可以登陆的情况，不然一切都浮云），WEB系统管理就要看是什么系统了，ASP，ASP.NET，PHP的这些都不涉及系统权限，而JSP的系统那就要注意了，权限配置不好的话，那权限可不是一般的大。具体这一种情况被社到的话，能做的事情就依据账户对应权限了

4.服务器被C段或嗅探

这种情况和第三种情况不一样，这需要在同一段内拿下一台系统权限的服务器，然后才可以进行数据的嗅探，能嗅探的数据很多，比如3389登录账户和密码，80也就是web系统管理账户和密码等等，能做的事情也同第三一样，也是根据嗅探到的账户对应的权限而定

5.服务器被各种0DAY打了

这个一般菜鸟是做不到的，要么是新出了哪一个0DAY，然后公布于众了，菜鸟才得以过把瘾，0DAY各种各样，大概分为系统0DAY和WEB 0DAY，系统0DAY比如直接溢出获得系统权限，反弹SHELL等等，WEB 0DAY一般则是针对某一个WEB系统直接getshell，两者的权限可以参照以上的，系统0DAY一般能直接得到system权限，WEB则和第二点差不多，还要根据权限大小而确定能干的事。

简单的被黑后的工作检查处理流程：

这几种情况是我们常遇见的，初学者的你当服务器被黑客“经过”了，你肿么办（肯定不会凉拌，再差劲儿也是服务器嘛，也是自己使用的）？我们可以根据以上的情况，去做相对于的对策和检测：

1.服务器被干掉了，第一我要做的是，开发的系统都先暂时关闭，系统账户密码都修改一遍，请改之前还要检查服务器是否存在木马等。以免被黑客给你Get Hash(通过某种手段获取系统密码的hash值并进行破解得出明文密码)或明文

2.检查系统是否有多余的账户，一般有手工和工具检查，我这里指谈思路，具体要做你自己去实现，比如可以查C:Documents and Settings这里，要是创建新账户登录3389后悔在这里生成和账户名对应的文件夹，哪怕是什么带$的隐藏账户，还有注册表里也要好好检查，不懂就工具吧，百度那么好

3.检查系统开放的端口，自己熟悉的端口就先不管，有陌生的就要查一下，到底是什么程序再使用，有时候可以检查出木马或者后门使用的端口，把没必要的端口都关闭了，避免意外事故

4.检查日志，初学者级别的一般没办法清理掉一些日志，可以好好看看，比如IIS，WEB系统自带的日志功能，系统日志等，这能分析出黑客都干了神马坏事，以及你的服务器是怎么被干掉

5.检查系统各个盘符的以及关键目录的操作权限，比如某管理给我搞了服务器，E盘原本没权限，后来我改为everyone，而恰好他又不去检查，那只要我WEBSHELL在的话，权限就很大，尤其配合一些提权工具，那是爽歪歪了

6.使用杀毒安全软件，这个是为了全盘扫描木马（EXE和脚本以及其他），查杀木马和修复系统漏洞，至于选择什么杀毒软件，大家自己找，我也不推荐免得被说是推手

7.web系统的脚本后门要好好检查，一般看看文件操作时间（不过文件时间是可以改滴），用工具审核，还有人工审核，没能力的找熟人，还有一种是提前备份好各个系统，出了问题后，把两个文件打包到本地用Beyond Compare对比分析，当然其他对比分析工具也可以，确保剔除掉黑客的脚本，另外能找到自己web系统的漏洞最好了，如果你知道黑客怎么拿下你的web系统那你就对应修复吧，记得还有那些变异扩展的脚本也要留意下。

8.安装安全狗之类的waf软件，我不是打广告，反正不少初学者遇上有狗的服务器，基本都是绕道而行，不然就要被咬了，大神有办法绕过，但是不一定会给我等这些初学者分享的，所以安装类似的软件，虽然不能保证100%防护，但至少给黑客入侵你服务器增加不少困难，也可以阻挡一批所谓的脚本小子

做好这些之后，剩下的还要自己给服务器加固，哪里被入侵了，哪里就应该多留意下，具体的加固，大家自己找资料参考吧，这个是题外话，何况我这菜逼的初学者也不是专搞这个的，所以就别为难我，我只能略懂一些，各种账户密码设置复杂一些，而且不同的账户使用不同的密码，必备被社工了，社工太强大了，不是你所想象得到的，服务器各目录严格分配，可以参照下星外，还有其他的参考文献，没事看看日志，监听下流量，监听下端口，黑客要在你服务器干坏事，肯定会有不少动静，只要稍微留意一下细节的东西。

建议：在工作检查处理流程的一条中所提到的检查服务器是否存在木马等，建议使用专业的杀毒软件及webshell扫描工具。（杀毒软件推荐国外的mcafee企业版，诺顿企业版或相关的服务器版，webshell扫描工具推荐啊D，暗组等常更新的webshell扫描工具。毕竟shell一直在变形，若只单纯使用旧的扫描工具根本扫描不出什么。同时建议服务器端不使用XX卫士，XX管家等。）简单的服务器被黑后的问题排查流程，适合刚刚做网管或者是技术不是很好的朋友阅读。其实安全这种东西无绝对，不是说安装个防火墙或者多打些补丁就能防住那些不法分子，要有颗常记安全的心

本文出自 “无痕” 博客，请务必保留此出处http://hucwuhen.blog.51cto.com/6253667/1338638