如何溯源黑客攻擊服務器

小諾IT外包

當服務器遭到攻擊時，可能會導致服務器被攻擊者遠程控制，服務器的帶寬向外發包，服務器被DDOS/CC攻擊，系統中木馬病毒，服務器管理員賬號密碼被改等。還有可能導致網站被劫持，首頁被篡改，網頁被植入腳本木馬等。當服務器被黑客攻擊時，該如何去查找溯源呢？

關於這一點呢，小諾把小諾的工作程序給親們分享一下。

首先要分析對方的目的是什麼，就是最終目標是做什麼。然後根據小諾經驗分析達到這個目標都需要什麼操作然後逆推回去。

下面是主要的溯源分析思路

網站源碼分析

日志分析

服務器端口分析

分析進程端口

分析網站源碼可以幫助我們獲取網站被入侵時間, 黑客如何的 IP, 等信息, 對於接下來的日志分析有很大幫助。

接著說一下日志，通過服務器日志檢查管理員賬號的登錄是否存在惡意登錄的情況，檢查登錄的時間，檢查登錄的賬號名稱，檢查登錄的IP，看日志可以看680.682狀態的日志，逐一排查。

服務器端口方面，打開CMD netstat -an 檢查當前系統的連接情況，查看是否存在一些惡意的IP連接，比如開放了一些不常見的端口，正常是用到80網站端口，8888端口，21FTP端口，3306數據庫的端口，443 SSL證書端口，9080 java端口，22 SSH端口，3389默認的遠程管理端口，1433 SQL數據庫端口。除以上端口要正常開放，其餘開放的端口就要仔細的檢查一下了，看是否向外連接。

至於分析進程端口呢，主要是檢查服務器是否有黑客留下的木馬程序。一般來說這方面網絡上已經存在相應的軟件工具，使用工具一是查看端口占用情況，二是分析可疑端口的 pid 進程，對症下藥

當服務器遭到攻擊時親們企業不要心慌，先做好必要的安全防禦，關閉不需要的端口，進行攻擊溯源注意每一個細節，以後在遇到溯源的活，做的時候就可以更系統一些。