排查服務(wù)器被攻擊異常問題的方式:1�����、檢查服務(wù)器日志信息是否被清除;2�����、檢查服務(wù)器系統(tǒng)是否存在隱藏賬戶�����;3、檢查服務(wù)器登錄事件和日志記錄�����;4�����、檢查服務(wù)器已登錄的全部用戶�����;5�����、檢查服務(wù)器是否存在異常流量�����;6�����、檢查服務(wù)器數(shù)據(jù)庫是否被入侵;7�����、檢查服務(wù)器異常進程的腳本文件�����;8�����、檢查服務(wù)器的系統(tǒng)文件是否被修改�����;9�����、檢查服務(wù)器殺毒軟件有沒有出現(xiàn)誤殺的情況�����;10�����、檢查服務(wù)器是否存在網(wǎng)絡(luò)安全漏洞�����。
具體內(nèi)容如下:
1�����、查看日志信息是否還存在或者是否被清空�����,入侵者可能會刪除機器的日志信息�����。
2�����、查找系統(tǒng)是否包含隱藏賬戶�����。
3、查看機器最近成功登陸的事件和最后一次不成功的登陸事件�����。如果是windows服務(wù)器�����,可以查看Windows日志等�����。
4�����、查看機器當前登錄的全部用戶�����。
5�����、查詢服務(wù)器異常流量�����。
6�����、如果數(shù)據(jù)庫被入侵�����,查看數(shù)據(jù)庫登錄日志等�����,如Sqlserver數(shù)據(jù)庫支持設(shè)置記錄用戶登錄成功和失敗的日志信息�����。
7�����、查詢異常進程所對應(yīng)的執(zhí)行腳本文件�����。
8、檢測系統(tǒng)中的文件是否被刪除或者更改�����。
9�����、可以安裝服務(wù)器殺毒軟件進行掃描查殺�����,一定要注意別被殺毒軟件誤殺�����。
10�����、檢查網(wǎng)站安全漏洞等其他方面�����。
