網(wǎng)站漏洞修復(fù)，網(wǎng)站程序代碼的安全審計(jì)，包括PHP、ASP、JSP、.NET等程序代碼的安全審計(jì)，上傳漏洞，SQL注入漏洞，身份驗(yàn)證漏洞，XSS跨站漏洞，命令執(zhí)行漏洞，文件包含漏洞，權(quán)限提升漏洞等的安全審計(jì)，網(wǎng)站防篡改方案，后臺(tái)登錄二次安全驗(yàn)證部署，百度風(fēng)險(xiǎn)提示的解除，等惡意內(nèi)容百度快照清理，以及網(wǎng)站后門(mén)木馬和程序惡意掛馬代碼的檢測(cè)和清除，網(wǎng)站源代碼及數(shù)據(jù)庫(kù)的加密和防止泄露。
采取正確的措施保護(hù)設(shè)備，將保護(hù)基礎(chǔ)架構(gòu)的其他部分，其中包括下面這些經(jīng)常被忽視的常見(jiàn)防范措施：
修改默認(rèn)密碼和帳號(hào)名。
禁用不必要的服務(wù)和帳號(hào)。
保證按照制造商的要求更新底層操作系統(tǒng)和系統(tǒng)軟件。

”就是個(gè)非難題，針對(duì)做滲透的人而言并不關(guān)注，而題主如今的目地是要變成滲透工作人員，所以說(shuō)它沒(méi)有什么實(shí)際意義。針對(duì)滲透者來(lái)講，并不會(huì)說(shuō)PHP開(kāi)發(fā)設(shè)計(jì)的a網(wǎng)站便會(huì)比jsp開(kāi)發(fā)設(shè)計(jì)的b網(wǎng)站更強(qiáng)或更難滲透，僅僅PHP有PHP的搞法jsp有jsp的搞法罷了，如果對(duì)網(wǎng)站或APP滲透測(cè)試有需求的朋友可以找的網(wǎng)站安全公司來(lái)測(cè)試網(wǎng)站的安全性，找出漏洞修復(fù)掉防止被hack入侵攻擊，目前SINESAFE，盾安全，綠盟，石頭科技都是在滲透測(cè)試方面比較的公司。

對(duì)網(wǎng)站安全日志審計(jì)系統(tǒng)收集到的所有日志進(jìn)行詳細(xì)的處理和大數(shù)據(jù)分析，并生成可以根據(jù)：日/周/月/的安全報(bào)告。4、系統(tǒng)可以自動(dòng)備份安全日志系統(tǒng)中收集到日志，并加以支持各種網(wǎng)站日志的導(dǎo)入。5、軟件可以實(shí)現(xiàn)用戶操作與管理接口。由于網(wǎng)站安全日志系統(tǒng)采用B/S結(jié)構(gòu)，管理員可以通過(guò)瀏覽器，以及手機(jī)端網(wǎng)站，進(jìn)行管理維護(hù)安全系統(tǒng)，實(shí)現(xiàn)網(wǎng)站安全日志的聯(lián)動(dòng)高并發(fā)的秒級(jí)別查詢

目前越來(lái)越多的服務(wù)器被入侵，以及攻擊事件頻頻的發(fā)生，像數(shù)據(jù)被竊取，數(shù)據(jù)庫(kù)被篡改，用戶數(shù)據(jù)被脫褲，被強(qiáng)制跳轉(zhuǎn)到惡意上，在百度的快照被劫持，等等的攻擊癥狀層出不窮，當(dāng)我們的服務(wù)器被攻擊，被黑的時(shí)候我們時(shí)間該怎么去處理解決呢？如何排查服務(wù)器被入侵攻擊的痕跡呢？是否有應(yīng)急處理方案，在不影響訪問(wèn)的情況下，很多客戶出現(xiàn)以上攻擊情況的時(shí)候，找到我們SINE安全來(lái)處理解決服務(wù)器被攻擊問(wèn)題，我們sine安全工程師總結(jié)了一套自有的辦法，分享給大家，希望大家能在時(shí)間解決掉服務(wù)器被黑的問(wèn)題。有些客戶遇到這種情況，時(shí)間想到的就是先把服務(wù)器關(guān)機(jī)，通知機(jī)房拔掉電源，有的是直接先關(guān)閉，這些措施只能先解決目前的問(wèn)題，解決不了問(wèn)題的根源，所以遇到服務(wù)器被攻擊的情況，我們應(yīng)該詳細(xì)的檢查日志，以及入侵痕跡，溯源，查找漏洞，到底是哪里導(dǎo)致的服務(wù)器被入侵攻擊。
首先我們應(yīng)該從以下方面入手：檢查服務(wù)器的進(jìn)程是不是有惡意的進(jìn)程，以及管理員賬號(hào)是否被惡意增加，對(duì)服務(wù)器的端口進(jìn)行查看，有沒(méi)有開(kāi)啟多余的端口，再一個(gè)對(duì)服務(wù)器的登陸日志進(jìn)行檢查，服務(wù)器的默認(rèn)開(kāi)啟啟動(dòng)項(xiàng)，服務(wù)以及計(jì)劃任務(wù)，檢查是否存在木馬后門(mén)，以及服務(wù)器系統(tǒng)是否中病毒。如何查看進(jìn)程？打開(kāi)服務(wù)器，在cmd命令下輸入tasklis，或者是右鍵任務(wù)管理器來(lái)進(jìn)行查看進(jìn)程，點(diǎn)顯示所有用戶的進(jìn)程就可以，我們綜合的分析，根據(jù)這個(gè)內(nèi)存使用較大，CPU占用較多來(lái)初步的看下，哪些進(jìn)程在不停的使用，就能大概判斷出有沒(méi)有異常的進(jìn)程，一般來(lái)說(shuō)加載到進(jìn)程的都是系統(tǒng)后門(mén)，查看到進(jìn)程詳細(xì)信息使用PID來(lái)查看，再用命令findstr來(lái)查找進(jìn)程調(diào)用的文件存放在哪里。截圖如下：
接下來(lái)就是查看系統(tǒng)是否存在其他惡意的管理員賬號(hào),cmd命令下輸入net user就會(huì)列出當(dāng)前服務(wù)器里的所有賬號(hào)，也可以通過(guò)注冊(cè)表去查看管理員賬號(hào)是否被增加，注冊(cè)表這里是需要在命令中輸入regedit來(lái)打開(kāi)注冊(cè)表，找到HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names可以看到所有的賬號(hào)名字。截圖如下：
端口方面的檢查，比如一些客戶服務(wù)器經(jīng)常遭受攻擊像3306數(shù)據(jù)庫(kù)端口，21FTP端口，135,445端口，1433sql數(shù)據(jù)庫(kù)端口，3389遠(yuǎn)程桌面端口，是否是對(duì)外開(kāi)放，如果這些端口對(duì)外開(kāi)放，很有可能利用漏洞進(jìn)行攻擊，入侵，還有弱口令賬號(hào)密碼，有些數(shù)據(jù)庫(kù)的root賬號(hào)密碼為空，以及FTP可以匿名連接，都可以導(dǎo)致服務(wù)器被入侵。有些密碼還是123456,111111等等。遠(yuǎn)程桌面的端口要修改掉，盡可能的防止攻擊者利用的手段對(duì)服務(wù)器進(jìn)行登陸?？梢詫?duì)遠(yuǎn)程登陸這里做安全驗(yàn)證，限制IP，以及MAC，以及計(jì)算機(jī)名，這樣大大的加強(qiáng)了服務(wù)器的安全。還要對(duì)服務(wù)器的登陸日志進(jìn)行檢查，看下日志是否有被清空的痕跡，跟服務(wù)器被惡意登陸的日志記錄，一般來(lái)說(shuō)很多攻擊者都會(huì)登陸到服務(wù)器，肯定會(huì)留下登陸日志，檢查事件682就可以查得到。接下來(lái)要對(duì)服務(wù)器的啟動(dòng)項(xiàng)，服務(wù)以及計(jì)劃任務(wù)進(jìn)行檢查，一般攻擊者提權(quán)入侵服務(wù)器后，都會(huì)在服務(wù)器里植入木馬后門(mén)，都會(huì)插入到啟動(dòng)項(xiàng)跟計(jì)劃任務(wù)，或者服務(wù)當(dāng)中去，混淆成系統(tǒng)服務(wù)，讓管理員無(wú)法察覺(jué)，使用msconfig命令對(duì)服務(wù)器進(jìn)行查看。注冊(cè)表這里要檢查這幾項(xiàng)：HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ HKEY_CLASSES_ROOT\exefile\shell\open\commandHKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\重要的是對(duì)服務(wù)里的代碼進(jìn)行安全檢測(cè)，對(duì)比之前的備份文件，看下有沒(méi)有多出一些可疑的代碼文件，圖片格式的可以忽略，主要是一些asp，aspx，php，jsp等腳本執(zhí)行文件，對(duì)代碼查看是否含有eval等特殊字符的一句話木馬webshell,還有些base64加密的文件，都有可能是木馬文件，的首頁(yè)代碼，標(biāo)題描述，是否被加密，一些你看不懂的字符，這一般是被入侵了，一步一步導(dǎo)致的服務(wù)器被攻擊。
整體上的服務(wù)器被入侵攻擊排查就是上面講到的，還有一些是服務(wù)器安裝的軟件，以及環(huán)境，像apache,strust2，IIS環(huán)境漏洞，都會(huì)導(dǎo)致服務(wù)器被入侵，如果被篡改，一定要檢查存在的漏洞，是否存在sql注入漏洞，文件上傳漏洞，XSS跨站漏洞，遠(yuǎn)程代碼執(zhí)行漏洞，從多個(gè)方向去排查服務(wù)器被入侵攻擊的問(wèn)題。如果對(duì)服務(wù)器不是太懂，可以找專(zhuān)業(yè)的網(wǎng)絡(luò)安全公司去處理，國(guó)內(nèi)sinesafe,啟明星辰，綠盟，都是比較不錯(cuò)的，以上就是我們?nèi)粘Ｌ幚砜蛻舴?wù)器總結(jié)的一套自有的方法去排查，找問(wèn)題，溯源追蹤，徹底的防止服務(wù)器繼續(xù)被黑，將損失降到低。每個(gè)客戶的服務(wù)器安裝的環(huán)境不一樣，以及代碼如何編寫(xiě)的，根據(jù)實(shí)際情況來(lái)排查解決問(wèn)題。
安全是相對(duì)的，不是的，首先您要了解一點(diǎn)，網(wǎng)上永遠(yuǎn)沒(méi)有一次性就可以保您安全的解決方案，除非您什么服務(wù)也不開(kāi)這永遠(yuǎn)是安全，因?yàn)榧夹g(shù)天天都在更新，漏洞也一樣，今天的安全不等于明天的，就算現(xiàn)在的微軟系統(tǒng)一樣沒(méi)法保證他們的系統(tǒng)以后永遠(yuǎn)沒(méi)有補(bǔ)丁.
http://www.cxftmy.com