我没有在服务器上看到任何可疑的东西(没有到远程 80 端口的 netstat 连接),但我不是专业的服务器管理员(我是一名核心软件开发人员)。请不要写明显的评论(聘请专业人士/公司)——我们会在解决此问题后考虑这一点。服务器在 Windows Server 2008 R2 下运行。我应该使用什么工具来分析这种情况?
这并不是多个“如果我的服务器被黑客入侵我该怎么办”的完全重复,因为我基本上需要提供证据证明我的服务器是干净的。
从一开始就采取了基本的安全措施(打开 Windows 防火墙、应用 Windows 更新补丁、启动并运行 Clamwin)。
答案1
请不要写明显的评论(聘请专业人士/公司)——我们会在这个问题解决后考虑这一点。
我很遗憾地告诉您,您没有以正确的方式处理该安全事件。
如果您家发生火灾,您是否会等火势自行熄灭后再拨打消防员电话?
如果您的员工中没有人能够处理此类事件,那么您应该寻求可以管理安全漏洞的外部资源的帮助。
答案2
要求您的 ISP 生成日志,以显示您的服务器参与了此次事件(例如,由您的 ISP 路由器或交换机的数据生成的可疑流量图)。如果他们能提供这样的证据,您的系统就有问题。
如果您的机器确实遭受了 DoS 攻击,而您自己没有发起此类行动,那么您的机器几乎肯定会受到攻击。如果您的系统受到攻击,最好的建议就是将其摧毁,就像我该如何处理受到感染的服务器?或任何其他类似的问题。
要确定你的系统是否被黑客入侵,请记住你不能依赖任何系统上安装的工具,并且一个好的攻击者不会留下明显的痕迹(除了可能被外部系统记录的奇怪流量)。如果你怀疑你的系统曾是妥协,它是在使用已知的干净媒体和软件重建之前,它仍然受到损害。
答案3
当我们获得新服务器时,我们的前托管公司给了我们一个错误的 IP 地址。然后他们转而指责我们发送垃圾邮件,因为该 IP 地址在网络上某个垃圾邮件发送者的黑名单中。经过大量浪费时间后,我们发现实际上是他们的前一个客户从该 IP 地址发送了垃圾邮件。让他们向您证明发生了什么、何时发生的、谁举报的等等。据我所知,任何人都可以向大多数此类网站报告 IP 地址,而无需太多证据
答案4
仅仅因为你的服务器没有执行 DDoS 攻击现在并不意味着它之前没有这样做过,而且当然并不意味着您的服务器没有被黑客入侵。
如果 DC 有流量日志显示您的服务器参与了攻击,那么这应该是您所需要的全部证据。获取日志副本可能有助于您确定服务器的问题所在——特别注意时间。
这不是适合平均的管理培训。追踪这些内容可能难的并要求您使用您知道的所有技巧和许多您不知道的技巧。您可能在大海捞针。即使是经验丰富的管理员也会遇到这种麻烦。