检查恶意进程和端口开放
- 检查是否存在恶意进程
-
检查服务器是否存在异常的IP建联,通常恶意进程会与外部控制机器建联用于控制服务器。
-
解决方案
- 进入服务器,开始->运行
- 输入 cmd ,然后
netstat –nao查看是否存在异常的建联 - 打开任务管理器,检查是否存在高占用cpu和内存的进程,可以查看对应的运行文件路径,删除文件。
-
检查弱口令与异常用户
- 检查 win登陆,数据库用户,网站后台管理员等应用是否存在未授权访问,弱密码等,导致被外部攻击者暴力破解后控制机器。
-
解决方案:
- 修改为强密码
- 云安全组进行入向端口限制IP段访问。
- 查看下服务器内是否存在异常用户
- 打开cmd 输入
lusrmgr.msc查看是否有新增用户,如果存在异常用户,进行封禁或者删除。
- 检查是否存在隐藏账户名
-
黑客可能会创建隐藏账户,躲避检测。
-
解决方案
- 进入服务器 Win + R,输入 regedit,打开注册表编辑器。
- 选择
HKEY_LOCAL_MACHINE/SAM/SAM,默认无法查看该选项内容,右键菜单选择权限,打开权限管理窗口。 - 选择当前用户(一般为 administrator),将权限勾选为完全控制,然后确定,关闭注册表编辑器。
- 再次打开注册表编辑器,即可选择
HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users。 - 在 Names 项下可以看到实例所有用户名,如出现本地账户中没有的账户,即为隐藏账户,如果确定为异常用户,删除此用户。
检查恶意程序及启动项
- 攻击者入侵之后,会让恶意程序在开机时执行。
-
解决方案
- 进入服务器,开始->所有程序->启动
- 查看目录,看是否存在异常的非业务程序
- 开始->运行 输入
msconfig,查看是否存在命名异常的启动项目,若存在则取消勾选命名异常的启动项目,并到命令中显示的路径删除文件。 - 开始->运行 输入
regedit查看开机启动项是否正常
HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
- 攻击者入侵之后,可能会设置定时任务,保证恶意文件正常运行,或者权限维持。
-
解决方案
- 进入服务器 开始->任务计划程序->任务计划程序库 双击就可以看到电脑的计划任务,如果确定为异常定时任务,删除此任务。
第三方软件漏洞
建议定时对第三方软件进行升级,限制应用程序的权限,禁止目录浏览或者文件的写权限。
被入侵后加固建议
- 建议对被入侵的机器进行重装处理。
- 修改机器的登陆密码以及网站的后台管理员密码为强密码
- 定期备份云服务器业务数据。
- 及时更新软件到最新版本。
- 可以在安全组对相关端口对入向进行限制。
- 购买云安全中心等安全产品,在攻击发生之后,及时了解自身风险和入侵点。
