我在服务器上没有看到任何可疑的东西(没有到远程 80 端口的 netstat 连接),但我不是专业的服务器管理员(我是一名铁杆软件开发人员)。请不要写明显的评论(聘请专业人士/公司) - 我们会在此问题解决后考虑。服务器在 Windows Server 2008 R2 下运行。我应该使用什么工具来分析这种情况?
这不是多个“如果我的服务器被黑了我该怎么办”的完全重复,因为我基本上需要提供证据证明我的服务器是干净的。
从一开始就采取了基本的安全措施(打开 Windows 防火墙,应用 Windows 更新补丁,启动并运行 Clamwin)。
Ale*_*lex 19
请不要写明显的评论(聘请专业人士/公司) - 我们会在此问题解决后考虑。
很抱歉,您当时没有以正确的方式管理该安全事件。
如果你的房子着火了,你是在等待它自己熄灭再打电话给消防员吗?
如果您的员工中没有人可以处理此类事件,那么您应该从可以管理安全漏洞的外部资源获得帮助。
vor*_*aq7 11
要求您的 ISP 生成日志,显示您的服务器参与事件(例如,由来自 ISP 路由器或交换机的数据生成的可疑流量图)。如果他们能提供这样的证据,那么你的系统就值得怀疑。
如果您的机器实际上参与了 DoS 攻击并且您没有自己发起此类操作,那么您的机器几乎肯定会受到损害。如果您的系统遭到入侵,您将获得的最佳建议是将其清除,如如何处理受损服务器?或任何其他类似的问题。
为了确定您的系统是否被黑客入侵,请记住您不能依赖系统上安装的任何工具,并且一个好的攻击者不会留下明显的痕迹(除了可能的奇怪流量,由外部系统记录)。如果您有任何怀疑你的系统被攻破,它是仍存在问题,直到它与已知的干净媒体和软件重建。
当我们获得新服务器时,我们的前托管公司给了我们一个错误的 IP 地址。然后他们转过身来指责我们发送垃圾邮件,因为 IP 地址在网络某处的垃圾邮件发送者黑名单中。在浪费了很多时间之后,我们发现实际上是他们以前的客户从该 IP 地址发送了垃圾邮件。让他们向您证明发生了什么,何时发生,谁报告了它等等。AFAIK 任何人都可以向大多数这些站点报告 IP 地址,而无需太多证据