我没有看到任何可疑的服务器(没有netstat连接到远程80端口),但我不是一个专业的服务器pipe理员(我是一个硬核软件开发人员)。 请不要写明显的评论(聘请专业人士/公司) – 我们会在这个问题解决之后再考虑。 服务器在Windows Server 2008 R2下运行。 我应该用什么工具来分析这种情况?
这不是多个“我应该怎么做,如果我的服务器被黑客”的确切副本,因为我基本上需要提供证据,我的服务器是干净的。
从一开始就采取了基本的安全措施(应用Windows防火墙,应用Windows更新,Clamwin启动和运行)。
请不要写明显的评论(聘请专业人士/公司) – 我们会在这个问题解决之后再考虑。
我很抱歉地说你不是以正确的方式pipe理这个安全事件。
如果你家有火灾,你是否在给消防员打电话之前等着自己熄火?
如果没有人能够处理这类事件,那么您应该从外部资源获得帮助,以pipe理安全漏洞。
要求您的ISP制作显示您的服务器参与事件的日志(例如,由您的ISP的路由器或交换机产生的可疑stream量图)。 如果他们能够提供这样的证据,那么你的系统是可疑的。
如果您的机器实际上参与了DoS攻击,而您自己没有发起这种操作,那么您的机器几乎肯定会受到影响。 如果您的系统受到危害,您将得到的最佳build议是将其吹走, 如何处理受损服务器? 或任何类似的其他问题。
为了确定您的系统是否被黑客入侵,请记住,您不能依赖系统上安装的任何工具,并且良好的攻击者将不会留下任何明显的痕迹(除了可能由外部系统logging的奇怪stream量)。 如果您怀疑您的系统受到了危害, 则仍然会受到影响,直到使用已知的干净介质和软件进行重build。
我们的前托pipe公司给了我们一个坏IP地址,当我们得到一个新的服务器。 然后,他们转过身来,指责我们发送垃圾邮件,因为IP地址在垃圾邮件黑名单上。 在浪费了大量时间之后,我们发现实际上他们以前的客户已经完成了从该IP地址发送的垃圾邮件。 让他们向你certificate发生了什么事情,什么时候发生,谁报告了这些事情等等。任何人都可以在没有太多证据的情况下向大多数这些网站报告一个IP地址
你永远不能确定你的系统没有被破坏。 您只能根据系统正常运行时间,可靠性,完整性等的重要性,为您的系统实施合理的安全性和完整性。您不能合理地被要求在未知情的情况下保护您的系统。
仅仅因为你的服务器没有执行DDoS攻击现在并不意味着它没有这么做,它并不意味着你的服务器没有被黑客入侵。
如果DC有stream量日志显示您的服务器参与攻击,那么这应该是您需要的所有证据。 获取日志的副本可能会帮助您确定服务器出了什么问题 – 请特别注意时间安排。
对于一般pipe理人员的培训,这不是一份工作。 跟踪这个东西可能很难,并要求你使用每一个你知道的技巧和许多你不知道的技巧。 你可能正在寻找一个非常大的草垛非常微小的针。 即使有经验的pipe理员也遇到这种问题。