当服务器被黑客攻击时，教你如何查找溯源

现在国内互联网环境复杂，网络攻击事件频发，大部分互联网企业都有被网络攻击的经历。当互联网公司遭到网络攻击时，直接导致在线业务瘫痪，给企业造成巨大的经济损失。网度通信建议互联网企业提前做好安全防护措施，避免因遭到网络攻击导致企业经济损失。

当服务器遭到攻击时，可能会导致服务器被攻击者远程控制，服务器的带宽向外发包，服务器被DDoS/CC攻击，系统中木马病毒，服务器管理员账号密码被改等。还有可能导致网站被劫持，首页被篡改，网页被植入脚本木马等。当服务器被黑客攻击时，该如何去查找溯源呢？

首先我们要检查我们服务器的管理员账号密码安全，查看服务器是否使用简单的弱口令，比如MySQL数据库密码，网站后台的管理员密码，都要逐一的排查。

然后检查服务器系统是否存在恶意的账号，以及新添加的账号，像admin,admin$,这样的账号名称都是由攻击者创建的，只要发现就可以大致判断服务器是被黑了。检查方法就是打开计算机管理，查看当前的账号，或者cmd命令下：net user查看，再一个看注册表里的账号。

通过服务器日志检查管理员账号的登录是否存在恶意登录的情况，检查登录的时间，检查登录的账号名称，检查登录的IP，看日志可以看680.682状态的日志，逐一排查。服务器端口、系统进程安全检测：打开CMD netstat -an 检查当前系统的连接情况，查看是否存在一些恶意的IP连接，比如开放了一些不常见的端口，正常是用到80网站端口，8888端口，21FTP端口，3306数据库的端口，443 SSL证书端口，9080 JAVA端口，22 SSH端口，3389默认的远程管理端口，1433 SQL数据库端口。除以上端口要正常开放，其余开放的端口就要仔细的检查一下了，看是否向外连接。

再一个查看进程，是否存在恶意进程，像木马后门都会植入到进程当中去。新手如果不懂如何查看进程，可以使用工具，微软的Process Explorer，还有剪刀手，最简单的就是通过任务管理器去查看当前的进程，像linux服务器需要top命令，以及ps命令查看是否存在恶意进程。一般如果被黑，可以从以下几大方面判断，CPU占用过高，有些进程没有正式的签名，进程的路径不合法，不是系统目录。

当服务器遭到攻击时不要心慌，先做好必要的安全防御，开启IP禁PING，关闭不需要的端口。这些是只能防简单的攻击，对于大流量DDoS攻击，必须要有足够的带宽和专业的DDoS高防配合起来才能防御，你的防御能力大于攻击者的攻击流量就可以防御成功了。关注我们，获取更多网络安全资讯。