对于很多运维人员来说,服务器安全是至关重要的,必须确保云服务器上的网站不被恶意入侵以及安装木马病毒程序。现在很多公司以及个人习惯使用云服务器,如阿里云、腾讯云、百度云等,当云服务器被黑客入侵的时候,排查的相关方法依旧跟自建服务器类似。如果使用的是阿里云服务器,在网站等应用程序被挂马蠕虫或者服务器被入侵,但自身运维工作人员又无法排查出问题的时候,我们还可以通过购买阿里云的安全应急响应服务来请阿里的安全应急专家帮助我们运维人员排查。

自身运维人员排查涉及的方面如下,具体不详细阐述:

(1)查看日志信息是否还存在或者是否被清空,入侵者可能会删除机器的日志信息。

(2)查找系统是否包含隐藏账户

(3)查看机器最近成功登陆的事件和最后一次不成功的登陆事件。如果是windows服务器,可以查看Windows日志等。

(4)查看机器当前登录的全部用户。

(5)查询服务器异常流量。

(6)如果数据库被入侵,查看数据库登录日志等,如Sqlserver数据库支持设置记录用户登录成功和失败的日志信息。

(7)查询异常进程所对应的执行脚本文件。

(8)检测系统中的文件是否被删除或者更改。

(9)可以安装服务器杀毒软件进行扫描查杀,一定要注意别被杀毒软件误杀

(10)网站安全漏洞等其他方面。

 

当自身运维人员通过一系列排查都无法解决的时候,可以通过购买阿里云的安全应急响应服务请求阿里的安全应急专家的服务。

阿里云官方页面上对此项服务的描述为:安全应急响应服务是由阿里云与授权安全合作伙伴提供的黑客入侵事件处理服务,能够帮助用户正确应对黑客入侵事件,清理木马后门、分析入侵原因,降低安全事件带来的损失,帮助客户快速恢复业务。进入官网后如下图:

进入该项服务页面后,我们可以看到服务规格涉及到事件处理事件分析(远程)事件分析(现场)等几种规格可选。

 

更多的介绍请参考官方帮助文档:阿里云安全应急服务帮助文档首页阿里云安全应急服务的服务流程阿里云应急服务使用手册