史萊姆論壇

史萊姆論壇 (http://forum.slime.com.tw/)
-   網路疑難應用技術研討區 (http://forum.slime.com.tw/f47.html)
-   -   網站被入侵了怎麼查? (http://forum.slime.com.tw/thread230522.html)

alrex5401 2008-05-29 08:47 PM

網站被入侵了怎麼查?
 
今天公司前輩丟了一個web Server給我

說已經被入侵了~

叫我查出是何時入侵~怎麼入侵~安裝了什麼軟體...的

:on_56:

系統是server2003

我該從何下手.....:on_48:

atie 2008-05-29 10:26 PM

我只會一點點:on_52::on_52:(應該是這樣子吧:on_52:,錯了請糾正)

找是誰入侵的順序通常是先從本機的hosts檔開始看起查起

再來的話接著是查詢網路上的DNS伺服器。

再藉由修改本機的 hosts file,以便先行攔截電腦對網站IP Address的查詢

而把惡意的IP Address位址都給擋住刪除

*******************************

有一個大X開講的網站 可以提供很多這方面的資訊喔

個人也常常去這個網站去觀看:on_14:

http://rogerspeaking.blogspot.com/

飛鳥 2008-05-30 11:52 AM

先看看本機的訊息記錄,有沒有可疑的警告或訊息

在我的電腦右鍵->管理->事件檢視器

應用程式
安全性
系統

都看一下記錄
這是系統本身有的記錄功能

alrex5401 2008-05-30 11:32 PM

引用:

作者: 飛鳥 (文章 1955745)
先看看本機的訊息記錄,有沒有可疑的警告或訊息

在我的電腦右鍵->管理->事件檢視器

應用程式
安全性
系統

都看一下記錄
這是系統本身有的記錄功能

可是我不是很懂~什麼是很可疑的警告或訊息=.=

:on_56:

atie 2008-05-31 09:48 AM

引用:

作者: alrex5401 (文章 1956243)
可是我不是很懂~什麼是很可疑的警告或訊息=.=

就你試試打開上述的事件記錄看看 你就會了解了

會記錄本機電腦什麼時間作什麼事情(新增程式、刪除、還是有一些些其它訊息)

再經由這些記錄檔去分辨什麼動作是最有可能是被植入後門等等動作:on_14:

飛鳥 2008-06-02 12:05 PM

在別台主機,安裝Microsoft Baseline Security Analyzer

http://www.microsoft.com/technet/sec.../mbsahome.mspx

這是一套microsoft收購另一間公司的一個部門寫的,免費

就針對你要掃瞄的主機ip,對已知道的漏洞,作掃瞄,就可以看看你的web server有沒有應該作而沒有作的維護,像IIS web就應該有Unicode 漏洞,MS 00 - 063

MBSA 2.1啟動時會自動更新漏洞清單,掃瞄完也會有連結給你作如何修正漏洞的連結

MBSA2.1下載

我個人使用是覺得大家都知道的漏洞都會在上面,像WEB SQL的漏洞都會掃,最好透過別台電腦去掃會比較準

或把掃瞄的電腦接到WAN,從外面掃一次,內部掃一次


所有時間均為台北時間。現在的時間是 05:55 AM

Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2025, Jelsoft Enterprises Ltd.

『服務條款』

* 有問題不知道該怎麼解決嗎?請聯絡本站的系統管理員 *


SEO by vBSEO 3.6.1