内容导读:导航目录:1、服务器被攻击后怎么处理?2、遭受黑客攻击后怎样查询被攻击了3、当一个黑客发送木马数据包在我电脑上,我能在我电脑上查到他的访问记录么?4、***上那么多的信息,都储存在哪里?会轻易被别人查到吗?5、...……
导航目录:
- 1、服务器被攻击后怎么处理?
- 2、遭受黑客攻击后怎样查询被攻击了
- 3、当一个黑客发送木马数据包在我电脑上,我能在我电脑上查到他的访问记录么?
- 4、 *** 上那么多的信息,都储存在哪里?会轻易被别人查到吗?
- 5、网站服务器被黑客攻击了,然后敲诈勒索,应该怎么办在那里举报或报案
服务器被攻击后怎么处理?
1、发现服务器被入侵,应立即关闭所有网站服务,暂停至少3小时。这时候很多站长朋友可能会想,不行呀,网站关闭几个小时,那该损失多大啊,可是你想想,是一个可能被黑客修改的钓鱼网站对客户的损失大,还是一个关闭的网站呢?你可以先把网站暂时跳转到一个单页面,写一些网站维护的的公告。
2、下载服务器日志,并且对服务器进行全盘杀毒扫描。这将花费你将近1-2小时的时间,但是这是必须得做的事情,你必须确认黑客没在服务器上安装后门木马程序,同时分析系统日志,看黑客是通过哪个网站,哪个漏洞入侵到服务器来的。找到并确认攻击源,并将黑客挂马的网址和被篡改的黑页面截图保存下来,还有黑客可能留下的个人IP或者 *** IP地址。
3、Windows系统打上最新的补丁,然后就是mysql或者sql数据库补丁,还有php以及IIS,serv-u就更不用说了,经常出漏洞的东西,还有就是有些IDC们使用的虚拟主机管理软件。
4、关闭删除所有可疑的系统帐号,尤其是那些具有高权限的系统账户!重新为所有网站目录配置权限,关闭可执行的目录权限,对图片和非脚本目录做无权限处理。
5、完成以上步骤后,你需要把管理员账户密码,以及数据库管理密码,特别是sql的sa密码,还有mysql的root密码,要知道,这些账户都是具有特殊权限的,黑客可以通过他们得到系统权限!
6、Web服务器一般都是通过网站漏洞入侵的,你需要对网站程序进行检查(配合上面的日志分析),对所有网站可以进行上传、写入shell的地方进行严格的检查和处理。如果不能完全确认攻击者通过哪些攻击方式进行攻击,那就重装系统,彻底清除掉攻击源。
遭受黑客攻击后怎样查询被攻击了
安全总是相对的,再安全的服务器也有可能遭受到攻击。作为一个安全运维人员,要把握的原则是:尽量做好系统安全防护,修复所有已知的危险行为,同时,在系统遭受攻击后能够迅速有效地处理攻击行为,更大限度地降低攻击对系统产生的影响。
一、处理服务器遭受攻击的一般思路
系统遭受攻击并不可怕,可怕的是面对攻击束手无策,下面就详细介绍下在服务器遭受攻击后的一般处理思路。
1.切断 ***
所有的攻击都来自于 *** ,因此,在得知系统正遭受黑客的攻击后,首先要做的就是断开服务器的 *** 连接,这样除了能切断攻击源之外,也能保护服务器所在 *** 的其他主机。
2.查找攻击源
可以通过分析系统日志或登录日志文件,查看可疑信息,同时也要查看系统都打开了哪些端口,运行哪些进程,并通过这些进程分析哪些是可疑的程序。这个过程要根据经验和综合判断能力进行追查和分析。下面的章节会详细介绍这个过程的处理思路。
3.分析入侵原因和途径
既然系统遭到入侵,那么原因是多方面的,可能是系统漏洞,也可能是程序漏洞,一定要查清楚是哪个原因导致的,并且还要查清楚遭到攻击的途径,找到攻击源,因为只有知道了遭受攻击的原因和途径,才能删除攻击源同时进行漏洞的修复。
4.备份用户数据
在服务器遭受攻击后,需要立刻备份服务器上的用户数据,同时也要查看这些数据中是否隐藏着攻击源。如果攻击源在用户数据中,一定要彻底删除,然后将用户数据备份到一个安全的地方。
5.重新安装系统
永远不要认为自己能彻底清除攻击源,因为没有人能比黑客更了解攻击程序,在服务器遭到攻击后,最安全也最简单的 *** 就是重新安装系统,因为大部分攻击程序都会依附在系统文件或者内核中,所以重新安装系统才能彻底清除攻击源。
6.修复程序或系统漏洞
在发现系统漏洞或者应用程序漏洞后,首先要做的就是修复系统漏洞或者更改程序bug,因为只有将程序的漏洞修复完毕才能正式在服务器上运行。
7.恢复数据和连接 ***
将备份的数据重新复制到新安装的服务器上,然后开启服务,最后将服务器开启 *** 连接,对外提供服务。
二、检查并锁定可疑用户
当发现服务器遭受攻击后,首先要切断 *** 连接,但是在有些情况下,比如无法马上切断 *** 连接时,就必须登录系统查看是否有可疑用户,如果有可疑用户登录了系统,那么需要马上将这个用户锁定,然后中断此用户的远程连接。
1.登录系统查看可疑用户
通过root用户登录,然后执行“w”命令即可列出所有登录过系统的用户,如下图所示。
通过这个输出可以检查是否有可疑或者不熟悉的用户登录,同时还可以根据用户名以及用户登录的源地址和它们正在运行的进程来判断他们是否为非法用户。
2.锁定可疑用户
一旦发现可疑用户,就要马上将其锁定,例如上面执行“w”命令后发现nobody用户应该是个可疑用户(因为nobody默认情况下是没有登录权限的),于是首先锁定此用户,执行如下操作:
[root@server ~]# passwd -l nobody锁定之后,有可能此用户还处于登录状态,于是还要将此用户踢下线,根据上面“w”命令的输出,即可获得此用户登录进行的pid值,操作如下:
[root@server ~]# ps -ef|grep @pts/3 531 6051 6049 0 19:23 ? 00:00:00 sshd: nobody@pts/3 [root@server ~]# kill -9 6051这样就将可疑用户nobody从线上踢下去了。如果此用户再次试图登录它已经无法登录了。
3.通过last命令查看用户登录事件
last命令记录着所有用户登录系统的日志,可以用来查找非授权用户的登录事件,而last命令的输出结果来源于/var/log/wtmp文件,稍有经验的入侵者都会删掉/var/log/wtmp以清除自己行踪,但是还是会露出蛛丝马迹在此文件中的。
三、查看系统日志
查看系统日志是查找攻击源更好的 *** ,可查的系统日志有/var/log/messages、/var/log/secure等,这两个日志文件可以记录软件的运行状态以及远程用户的登录状态,还可以查看每个用户目录下的.bash_history文件,特别是/root目录下的.bash_history文件,这个文件中记录着用户执行的所有历史命令。
四、检查并关闭系统可疑进程
检查可疑进程的命令很多,例如ps、top等,但是有时候只知道进程的名称无法得知路径
当一个黑客发送木马数据包在我电脑上,我能在我电脑上查到他的访问记录么?
能啊~~~不过你要在本地安全策略~~审核策略里面设置下~~你进去下就明白了~~这下以后谁问候你电脑都被记录下来~~记录的地方就是~事件查看器~~会有记录的~~不懂的在问`~还有黑克一般进你电脑这类文件都删的所以~~基本没什么用
*** 上那么多的信息,都储存在哪里?会轻易被别人查到吗?
这是一个大家都普遍非常关心的问题,因为我们每个人都有着很多数据与资料,而这些数据与资料有很多是非常私密的,是不希望别人能够看到的,如果是在过去其实我们根本就没有必要担心,因为我们的所有资料都存在自己的电脑,本地的磁盘当中也就不会有泄密的风险。
而现在我们的所有数据都会通过 *** 储存,有的 *** 平台也会保留一些我们所观看视频和所用过资料的痕迹,那么这个时候就出现了一个非常重要的问题,就是我们的这些数据,究竟被储存在哪里,他们是否会被安全的存放哪。
很多人会误以为,现在所有人的数据可能会被存储在电脑的储存器里,只不过是一台超级电脑而已,这种想法是绝对错误的,要知道这个世界上,到现在为止还没有能够存得下全世界电脑用户的数据。硬盘或者嗯存储器,那我们这些数据究竟放在哪里了?应该是放在几家大的 *** 平台公司的云端,也就是他们的公司终端处理器。因为只有这样的储存方式,才能够储存下数以亿万计的数据和信息流。
很多人都会担心我们的数据会不会被别人轻易的拿到,其实这种担心也是很有必要的,因为毕竟 *** 安全现在关乎着我们每一个人的利益,其实大体上分析一下,我认为这些数据还是应该比较安全的,因为每一家的平台 *** 公司,都会有自己的防火墙和一些专业人士来对这些资料进行加密,如果不是黑客故意去攻击或者有着超高科技的手段,我们的资料是绝对安全的。总而言之一句话,社会在发展,时代在进步,我们储存数据的方式也在发生着变化,这种变化带来的只能是让我们的数据更加安全更加可靠所以大家根本不必担心。
网站服务器被黑客攻击了,然后敲诈勒索,应该怎么办在那里举报或报案
这个一定要先保留证据了的,一定要把聊天的记录还有通话记录等都保存好,没有这些你是没有证据的,到当地的公案局一般需要大一些的比如县局,市局,区一级的,小的派出所是没有 *** 警察的。到大一点的公安局去举办都有有相应的 *** 警察支队的。