如何把入侵伺服器的人揪出來

① 如果網站被攻擊了，要怎麼處理

事先你要了解你的網站是如何被攻擊的。下面這四種是常規的攻擊方式：

1，流量攻擊，就是我們常說的DDOS和DOS等攻擊，這種攻擊屬於最常見的流量攻擊中的帶寬攻擊，一般是使用大量數據包淹沒一個或多個路由器、伺服器和防火牆，使你的網站處於癱瘓狀態無法正常打開。但是這種攻擊成本都會很高，所以遇到這樣的攻擊的時候大家不要驚慌，另外可以試試防禦系統，這樣的話攻擊不會主要針對你的網站。

2， CC攻擊，也是流量攻擊的一種，CC就是模擬多個用戶（多少線程就是多少用戶）不停地進行訪問那些需要大量數據操作（就是需要大量CPU時間）的頁面，造成伺服器資源的浪費，CPU長時間處於100%，永遠都有處理不完的連接直至就網路擁塞，正常的訪問被中止。而CC攻擊基本上都是針對埠的攻擊，以上這兩種攻擊基本上都屬於硬性流量的攻擊， 下面說一下針對資料庫的安全進行的一些攻擊。

3，破壞數據性的攻擊，其實這里說的也就不算是硬性的攻擊了，這種是拿到網站的管理許可權後可以對頁面的內容進行修改，這樣的入侵對於網站來說是致命性的，不僅搜索引擎會降權，還會丟失大量的用戶。降低這樣的入侵帶來的危害需要經常備份網站數據和網站關鍵程序，最好打包到本地電腦里;做好關鍵文件的許可權設置;網站最好採用全靜態頁面，因為靜態頁面是不容易被黑客攻擊的;ftp和後台相關密碼不要用弱口令
4，掛馬或者掛黑鏈，這種不會像第二種危害那麼大，但是也是不容忽視的，搜索引擎一旦把你的網站視為木馬網站就會被封殺甚至還會列入黑名單，所以問題也不可以忽視。

下面是一些簡單的解決方法：
1、修改網站後台的用戶名和密碼及後台的默認路徑。

2、更改資料庫名,如果是ACCESS資料庫，那文件的擴展名最好不要用mdb，改成ASP的，文件名也可以多幾個特殊符號。

3、接著檢查一下網站有沒有注入漏洞或跨站漏洞，如果有的話就相當打上防注入或防跨站補丁。

4、檢查一下網站的上傳文件，常見了有欺騙上傳漏洞，就對相應的代碼進行過濾。

5、盡可能不要暴露網站的後台地址，以免被社會工程學猜解出管理用戶和密碼。

6、寫入一些防掛馬代碼，讓框架代碼等掛馬無效。

7、禁用FSO許可權也是一種比較絕的方法。

8、修改網站部分文件夾的讀寫許可權。

9、如果你是自己的伺服器，那就不僅要對你的網站程序做一下安全了，而且要對你的伺服器做一下安全也是很有必要了！

如果攻擊很嚴重，可以進行網路報警，網上有很詳細的資料。就不細說了。

② 伺服器被入侵了

重做系統比較快捷！

然後裝mcafee殺毒軟體、mcafee防火牆、arp防火牆

serv-u不建議安裝，不好

③ 伺服器老是被入侵

作為伺服器和網站管理員，遭遇黑客入侵是不可避免的事情。很多管理員處理黑客入侵問題時，僅是安裝一套防護軟體，殺掉幾個網頁木馬。這是治標不治本的辦法，無法徹底解決安全問題，後期還會被黑客反復入侵。

一、與個人電腦的安全區別
對於個人電腦，安裝一套殺毒軟體就能解決99%的安全問題。然而伺服器和個人電腦在安全方面有著天壤之別。
個人電腦因為在內網，黑客無法主動發現。一般只會在瀏覽網站或安裝軟體時被植入了木馬程序，只要成功殺掉這個木馬程序，電腦就安全了。
而針對伺服器和網站的攻擊，屬於主動式攻擊，敵人在暗處，我在明處。黑客找准目標後，為了突破防線，會嘗試各種攻擊手段。此時僅靠一套防護軟體，無法應對多樣化、復雜化的網路攻擊，唯有做針對性的安全防護才能徹底解決安全問題。

二、為什麼會被反復入侵
很多管理員把伺服器和網站安全想得太過於簡單，以為安裝一套殺毒軟體，再殺掉幾個網頁木馬，伺服器就安全了。這只能治標，不能治本。之所以會被入侵，是因為系統有漏洞；不解決漏洞永遠無法根除安全威脅，黑客還會繼續利用這個漏洞反復實施入侵。
唯有從根本上解決漏洞問題，才能有效解決入侵問題。

三、如何徹底解決安全威脅
伺服器一般有三大漏洞體系：系統漏洞、軟體漏洞和網站漏洞。
要打造安全的伺服器，就必須解決這三方面的安全威脅。

1、系統漏洞加固
操作系統出廠時，廠商為了兼容性，不會對系統做嚴格的安全限制，因此需要做一些安全加固，方可防止黑客入侵。
系統加固主要有以下流程：更新系統補丁、禁用危險服務、卸載危險組件、刪除危險許可權、開啟防火牆、設置復雜密碼。
具體操作方法請點這里：https://www.hws.com/solution/xitong.html

2、軟體漏洞加固
常用的Apache、Nginx、Tomcat、MySQL、SQL Server、Serv-U等大部分伺服器軟體，都存在安全隱患，需要進行安全加固。
可通過「降權」或「訪問行為限制」兩種辦法解決，具體操作方法請點這里：https://www.hws.com/solution/ruanjian.html

3、網站安全加固
幾乎所有網站都存在漏洞，網站漏洞也是黑客最常用的入侵途徑，因此做好網站安全加固刻不容緩。之所以網站普遍存在漏洞，一是大部分開發人員只注重功能和時間，不會在安全方面多加考慮；二是他們也沒有安全防護技術和經驗。

1）、網站漏洞類型
網站漏洞主要有下幾種：SQL注入、在線上傳、跨站入侵、Cookies欺騙、暴力破解，詳細了解請點這里：https://www.hws.com/solution/wangzhan.html

2）、網站漏洞處理
修復漏洞無疑是最好的辦法，但這只能是奢想，有程序的地方就有漏洞，修復了一個漏洞，往往引出幾個新的漏洞。因此部署安全防護系統成為必然之選。

4、部署安全產品
每台伺服器放置的內容都不一樣，存在的安全威脅也不一樣，只有通過「軟體+服務」組合的方式，才能最大限度提升伺服器安全。
推薦部署「護衛神·高級安全防護」，工程師為您定製安全防護策略，杜絕所有網站漏洞，免疫所有網頁木馬。系統還會在黑客入侵的每一個環節進行攔截，通過遠程監控、用戶監控、進程監控、篡改保護、網站加固、木馬查殺、SQL注入防護等模塊，將一切不速之客拒之門外。
總而言之，安全無小事，提前做好防護很重要，不要等到被入侵了才後悔莫及。

④ 伺服器上有木馬怎麼解決啊急!~

一、備份重要文件、數據後重裝。
1、解釋：很明顯，你的伺服器被人非法登錄（入侵）。入侵後黑客可做的事很多，比如植入遠程式控制制、遠程上傳下載類程序等。 故此，不要去想著如何清理。伺服器的安全是非常重要的。
2、重裝時，請選用比較新的伺服器操作系統，在當前應選擇windows 2003或windows 2008。
3、請使用可靠的win版本，千萬不要使用所謂的「xxx專版」或「xxx免激活版」。如果你購買了正版，請使用正版，如果沒有購買正版，可以考慮使用伺服器品牌對應的OEM版或改伺服器的BIOS偽裝成某品版的機器後安裝對應的OEM版（僅win2003有效）。
4、安裝伺服器時一定不要使用伺服器上已存在任何文件，伺服器C盤在安裝過程中直接刪去分區後重分。其它盤在安裝過程中不要打開以防止「雙擊盤符便自動運行類病類」，並自個去網上查一下此類病毒的相關防護和處理辦法（可以很方便地手工處理掉）（當然，你的機器上很可能沒有，只是小心為好）。驅動請從可靠來源盤安裝（比如正版光碟、隨機光碟，或對無毒的機器上下載後刻錄盤）。
5、安裝完系統後不要訪問任何不可靠網站，第一時間使用windows updata升級windows，完成所有可升級補丁後，對系統分區進行鏡像備份。對於伺服器來說，當前最可靠的還是在DOS下使用ghost進行系統備份。
6、加裝殺毒軟體、正確設定你的伺服器的工作狀態後，再一次使用ghost進行系統備份。伺服器的網站目錄、數據目錄不應存在於系統分區，且應對它們進行每日備份。
7、在這里個人推薦Mcafee 8.7i。

二、安裝、並設定好防火牆。
1、安裝軟體防火牆，使你的伺服器的外聯只開放最必要的埠。 個人推薦Mcafee的防火牆。
2、最好安裝硬體防火牆，如果經濟條件不足，至少買一個比較好的soho級的路由器(價格只需二百元左右)，並使用埠印射來向外提供服務，這樣，伺服器就不直接與外界聯通，黑客想單方面從外部攻入是非常難的。

三、控制好伺服器硬碟的讀寫權，及網站讀寫權。
1、如果是win系的伺服器，請一定使用NTFS，系統分區使用默認讀寫權（不要去修改），其它分區加上Users組的可讀寫權，並向下繼承。
2、網站文件、數據文件不要放在「我的文檔」中。
3、關閉所有網站的可持行權！除非你非常確信你在幹嘛。

四、特別提示：伺服器的管理員口令請全部更換，不要用原來的！

五、對於你的網頁掛馬，最簡單的做法是將重要數據留下，所有的網頁文件全更換為干凈的。

六、對於網頁掛馬，當前最常用的方式是：伺服器系統漏洞（從你的說法來看這是最可能的）、SQL注入（請升級你的資料庫伺服器到最新）。

⑤ 伺服器被攻擊怎麼辦

1、發現伺服器被入侵，應立即關閉所有網站服務，暫停至少3小時。這時候很多站長朋友可能會想，不行呀，網站關閉幾個小時，那該損失多大啊，可是你想想，是一個可能被黑客修改的釣魚網站對客戶的損失大，還是一個關閉的網站呢?你可以先把網站暫時跳轉到一個單頁面，寫一些網站維護的的公告。
2、下載伺服器日誌，並且對伺服器進行全盤殺毒掃描。這將花費你將近1-2小時的時間，但是這是必須得做的事情，你必須確認黑客沒在伺服器上安裝後門木馬程序，同時分析系統日誌，看黑客是通過哪個網站，哪個漏洞入侵到伺服器來的。找到並確認攻擊源，並將黑客掛馬的網址和被篡改的黑頁面截圖保存下來，還有黑客可能留下的個人IP或者代理IP地址。
3、Windows系統打上最新的補丁，然後就是mysql或者sql資料庫補丁，還有php以及IIS，serv-u就更不用說了，經常出漏洞的東西，還有就是有些IDC們使用的虛擬主機管理軟體。
4、關閉刪除所有可疑的系統帳號，尤其是那些具有高許可權的系統賬戶!重新為所有網站目錄配置許可權，關閉可執行的目錄許可權，對圖片和非腳本目錄做無許可權處理。
5、完成以上步驟後，你需要把管理員賬戶密碼，以及資料庫管理密碼，特別是sql的sa密碼，還有mysql的root密碼，要知道，這些賬戶都是具有特殊許可權的，黑客可以通過他們得到系統許可權!
6、Web伺服器一般都是通過網站漏洞入侵的，你需要對網站程序進行檢查(配合上面的日誌分析)，對所有網站可以進行上傳、寫入shell的地方進行嚴格的檢查和處理。如果不能完全確認攻擊者通過哪些攻擊方式進行攻擊，那就重裝系統，徹底清除掉攻擊源。

⑥ 求助伺服器被挖礦程序入侵，如何排查

新客戶於最近向我們SINE安全公司咨詢，說他的伺服器經常卡的網站無法打開，遠程連接

伺服器的慢的要命，有時候PING值都達到300-500之間，還經常掉包，聽客戶這么一說，一般

會判斷為受到了CC+DDOS混合流量攻擊，再具體一問，說是機房那面沒有受到流量攻擊，這

就有點奇怪了，不是流量攻擊，還導致伺服器卡，網站無法打開，這是什麼攻擊？為了解決客

戶伺服器卡的問題，我們隨即安排安全工程師對他的linux伺服器進行了安全檢測與安全部署。

挖礦木馬還設計了挖礦進程如果被客戶強制停止後，會自動啟動繼續挖礦，達到不間斷的挖礦，

仔細檢查發現是通過設置了每個小時執行任務計劃，遠程下載shell挖礦木馬，然後執行，檢查

當前進程是否存在，不存在就啟動挖礦木馬，進行挖礦。

對客戶的linux伺服器進行詳細了安全檢測發現幸虧沒有加密伺服器的數據，以及感染蠕蟲的病

毒，如果數據被加密那損失大了，客戶是做平台的，裡面的客戶數據很重要，找出挖礦木馬後，

客戶需要知道伺服器到底是如何被攻擊的？ 被上傳挖礦木馬的？ 防止後期再出現這樣的攻擊

狀況。

通過我們安全工程師的安全檢測與分析，發現該伺服器使用的是apache tomcat環境，平台的開

發架構是JSP+oracle資料庫，apache tomcat使用的是2016年的版本，導致該apache存在嚴重

的遠程執行命令漏洞，入侵者可以通過該漏洞直接入侵伺服器，拿到伺服器的管理員許可權，

SINE安全工程師立即對apache 漏洞進行修復，並清除木馬，至此問題得以解決，客戶伺服器

一切穩定運行，網站打開正常。