當公司的網站伺服器被黑，被入侵導致整個網站，以及業務系統癱瘓，給企業帶來的損失無法估量，但是當發生伺服器被攻擊的情況，作為伺服器的維護人員應當在第一時間做好安全響應，對伺服器以及網站應以最快的時間恢復正常執行，讓損失減少到最低，針對於黑客攻擊的痕跡應該如何去查詢溯源，還原伺服器被攻擊的現場，SINE安全公司制定了詳細的伺服器被黑自查方案。

目前網站伺服器被攻擊的特徵如下：

網站被攻擊：網站被跳轉到賭博網站，網站首頁被篡改，百度快照被改，網站被植入webshell指令碼木馬，網站被DDOS、CC壓力攻擊。

伺服器被黑：伺服器系統中木馬病毒，伺服器管理員賬號密碼被改，伺服器被攻擊者遠端控制，伺服器的頻寬向外發包，伺服器被流量攻擊，ARP攻擊（目前這種比較少了，現在都是基於阿里雲，百度雲，騰訊雲，西部數碼等雲伺服器）

關於伺服器被黑我們該如何檢查被黑？

賬號密碼安全檢測：

首先我們要檢查我們伺服器的管理員賬號密碼安全，檢視伺服器是否使用弱口令，比如123456.123456789,123123等等密碼，包括administrator賬號密碼，Mysql資料庫密碼，網站後臺的管理員密碼，都要逐一的排查，檢查密碼安全是否達標。

再一個檢查伺服器系統是否存在惡意的賬號，以及新新增的賬號，像admin,admin$,這樣的賬號名稱都是由攻擊者建立的，只要發現就可以大致判斷伺服器是被黑了。檢查方法就是開啟計算機管理，檢視當前的賬號，或者cmd命令下：net user檢視，再一個看登錄檔裡的賬號。

通過伺服器日誌檢查管理員賬號的登入是否存在惡意登入的情況，檢查登入的時間，檢查登入的賬號名稱，檢查登入的IP，看日誌可以看680.682狀態的日誌，逐一排查。

伺服器埠、系統程序安全檢測：

開啟CMD netstat -an 檢查當前系統的連線情況，檢視是否存在一些惡意的IP連線，比如開放了一些不常見的埠，正常是用到80網站埠，8888埠，21FTP埠，3306資料庫的埠，443 SSL證書埠，9080 java埠，22 SSH埠，3389預設的遠端管理埠，1433 SQL資料庫埠。除以上埠要正常開放，其餘開放的埠就要仔細的檢查一下了，看是否向外連線。如下圖：

再一個檢視程序，是否存在惡意程序，像木馬後門都會植入到程序當中去。新手如果不懂如何檢視程序，可以使用工具，微軟的Process Explorer，還有剪刀手，最簡單的就是通過工作管理員去檢視當前的程序，像linux伺服器需要top命令，以及ps命令檢視是否存在惡意程序。一般如果被黑，可以從以下幾大方面判斷，CPU佔用過高，有些程序沒有正式的簽名，程序的路徑不合法，不是系統目錄。

伺服器啟動項、計劃任務安全檢測：

檢視伺服器的啟動項，輸入msconfig命令，看下是否有多餘的啟動專案，如果有檢查該啟動項是否是正常。再一個檢視伺服器的計劃任務，通過控制面板，組策略檢視。服務自啟動，檢視系統有沒有自己主動啟動一些程序。

伺服器的後門木馬查殺

下載360防毒，並更新病毒庫，對伺服器進行全面的安全檢測與掃描，修復系統補丁，對網站的程式碼進行人工的安全檢測，對網站漏洞的檢測，網站木馬後門的檢測，也可以使用webshell查殺工具來進行查殺，最重要的是木馬規則庫。

網站日誌，伺服器日誌一定要提前開啟，開啟稽核策略，包括一些伺服器系統的問題，安裝的軟體出錯，管理員操作日誌，登入伺服器日誌，以便方便後期出現伺服器被黑事件，可以進行分析查詢並溯源。網站的日誌也要開啟，IIS下開啟日誌記錄，apache等環境請直接在配置檔案中進行日誌的開啟與日誌路徑配置。以上就是伺服器被黑，該如何的查詢被黑的痕跡，下一篇會跟大家講如何更好的做好伺服器的安全部署。