文章大纲：

• 1、如何查看服务器是否被攻击
• 2、怎么查看服务器被入侵？
• 3、网站优化过程中如何查询网站是否被入侵
• 4、如何快速判断服务器是否被恶意入侵
• 5、简述入侵检测常用的四种 ***
• 6、怎么检查网站服务器是否被入侵？

如何查看服务器是否被攻击

DDOS攻击，直接找机房要流量图就看得到。把服务器ip打挂了，连接不上服务器，不通了。

cc攻击:cpu变得很高，操作很卡，可以先让服务器商分析下，进服务器里看下，现在很多服务器安全软件，市面有云盾，金盾，cdn等各种防护软件。

服务器被攻击的基本处理办法:

检查系统日志，查看下是什么类型的攻击，看下攻击者都去了哪些地方。内容是否又被修改的痕迹等，如果发现问题及时进行清理。

关闭不必要的服务和端口。

定期整体扫描下服务器，看下存在什么问题， 有漏洞及时打补丁；检查是否有影子账户，不是自己建立的账号等。

重新设置账户密码，密码设置的复杂些；以及设置账户权限。

对服务器上的安全软件进行升级，或者是对防护参数进行重新设置，使他符合当时的环境。如果没有安装，可以安装个服务器安全狗，同时，还可以将服务器添加到安全狗服云平台上，这样当有攻击发生时，可以快速知道，并进行处理等。

检测网站，是否又被挂马、被篡改、挂黑链等，如果有，及时清理。

如果是大流量攻击，可以看下DOSS流量清洗，这个很多安全厂商都有这个服务。

定期备份数据文件。如果之前有做备份，可以对重要数据进行替换。

如果不希望被攻击的话推荐租用高防服务器。

怎么查看服务器被入侵？

1、入侵者入侵后一般会开服务器的3389，建立隐藏用户，然后登录。我们只要到c:documents

and

settings这个目录下看看是否有可以的用户名就可以了，不管是不是隐藏的用户，都会在这里显示出来。

2、有些入侵者喜欢留一个有高权限的sqlserver数据库用户，当作后门，我们可以打开登陆sqlserver的查询分析器，然后依次打开master--系统表--dbo.sysxlogins（sqlserver2000下，sql2005和2008下，小王没找到如何查看数据库用户的 *** ，如果您知道请指点），在这个窗口的name列中可以看到sqlserver数据库的用户，一般情况下会有3个用户，一个是sa，一个builtinadministrators，还有一个是null，如果还存在其他用户，就有可能是被人入侵了或者是我上面讲的那些情况，就需要注意点了，当然不一定就那三个用户，小王还见过name下有多个sa和null的，但不知道是怎么回事，具体问题还需要具体分析。

网站优化过程中如何查询网站是否被入侵

搜外网告诉你网站优化过程中如何查询网站是否被入侵：

1、通过site顶级域名，在百度、搜狗、360浏览器中，看有没有收录与我们网站内容无关的文章；也可以利用site:网址+灰色关键词，看有没有被注入垃圾页面被搜索引擎收录，因为凡是被注入的页面他们都通过大量链接进行轮链，收录都是非常快的。

2、通过查看日志文件，看蜘蛛抓取不常见的文件，例如我们程序是php的，就看是否抓取过.asp等其它程序语言脚本的文件，如果有就打开访问试试看是什么情况。

3、通过ftp工具或者登陆vps服务器，看网站根目录文件里面的文件名，有没有异常，观察是否有大小写混合的目录，如果有查看是否被注入。

4、通过检查首页、频道页、列表页、文章页、单页面死链接、导出链接，看是否有没挂黑链，因为许多网站都是通过cms搭建的，都是公用一个模板。

5、检查网站首页、频道、列表、文章、单页面调用的js文件，访问js文件，看里面是否有除了我们网址以外其它的绝对地址。

6、使用官方挂马清除工具，查看是否有异常文件，具体了解，查看。

7、可以服务器里面的安全狗软件，进行敏感文件查找。

8、查看根目录文件夹，一个个打开点击看是否有异常文件，因为cms搭建的网站，基本上命名都是有规律可寻的。

9、删除网站里面无用程序页面，及时打补丁，给程序文件进行一定的权限设置。

如何快速判断服务器是否被恶意入侵

而国内 *** 很大一部分的垃圾流量（恶意CC攻击、ddos攻击、垃圾邮件、垃圾弹窗广告等）也都是以这类被盗用入侵的IDC产品为土壤而滋生的。

由此可见，对于自身的IDC产品做好安全防护及快速的故障排查是一个相当有必要的事情。不仅能提高自身产品的附加价值。提高产品的利用率。提升品牌形象，更能给客户一个良好的服务面貌。

在此，笔者对常见的托管租用使用windows server

之一步、检查系统组及用户

我的电脑——右键管理——本地用户和组——组

检查administrators组内是否存在除开管理员用户账号（默认为administrator）以外的其他用户账号

检查users组内是否存在非系统默认账号或管理员指定账号

本地用户和组——用户

检查是否存在未做注释或名称异常的用户

一般由于软件后本被入侵的服务器都会在administrators组内添加一个admin$或相类似的用户，一旦发现该类用户就应该首先避免运行任何程序，停止所有服务并及时使用杀毒软件对服务器关键区域（启动驻存、C盘

系统文件夹 用户自定义文件夹）进行完整扫描，避免木马的二次交叉感染。

第二步，检查管理员账户是否存在异常的登陆和注销记录

我的电脑——右键管理——事件查看器——安全性

筛选所有事件ID为576和528的事件（576为系统登陆日志 528为系统注销日志）

查看具体事件信息内容。内容内会存在一个登陆IP。检查该IP是否为管理员常用登陆的IP(ip138 你懂的)

第三步、检查服务器是否存在异常的登陆启动项

开始菜单——所有程序——启动

该目录在默认情况下应该是一个空目录，但是如果出现一个异常的.bat程序的话就应该全盘扫描服务器以确认服务器安全性

开始菜单——运行msconfig启动菜单栏中是否存在命名异常的启动项目，例如A.EXE

XXXXI1SU2.EXE等，一旦发现全盘扫描服务器以确认服务器安全性

开始菜单——运行regedit

hkey_current_user—software—micorsoft—windows—currentversion-run

hkey_current_machine—software—micorsoft—windows—currentversion-run

检查以上2个项目下是否存在异常

一般情况下如果以上3个步骤检查不存在异常的话基本就可以判定服务器的安全环境是无故障的

简述入侵检测常用的四种 ***

入侵检测系统所采用的技术可分为特征检测与异常检测两种。

1、特征检测

特征检测(Signature-based detection) 又称Misuse detection ，这一检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。

它可以将已有的入侵 *** 检查出来，但对新的入侵 *** 无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。

2、异常检测

异常检测(Anomaly detection) 的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计规律时，认为该活动可能是“入侵”行为。

异常检测的难题在于如何建立“活动简档”以及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。

扩展资料

入侵分类：

1、基于主机

一般主要使用操作系统的审计、跟踪日志作为数据源，某些也会主动与主机系统进行交互以获得不存在于系统日志中的信息以检测入侵。

这种类型的检测系统不需要额外的硬件．对 *** 流量不敏感，效率高，能准确定位入侵并及时进行反应，但是占用主机资源，依赖于主机的可靠性，所能检测的攻击类型受限。不能检测 *** 攻击。

2、基于 ***

通过被动地监听 *** 上传输的原始流量，对获取的 *** 数据进行处理，从中提取有用的信息，再通过与已知攻击特征相匹配或与正常 *** 行为原型相比较来识别攻击事件。

此类检测系统不依赖操作系统作为检测资源，可应用于不同的操作系统平台；配置简单，不需要任何特殊的审计和登录机制；可检测协议攻击、特定环境的攻击等多种攻击。

但它只能监视经过本网段的活动，无法得到主机系统的实时状态，精确度较差。大部分入侵检测工具都是基于 *** 的入侵检测系统。

3、分布式

这种入侵检测系统一般为分布式结构，由多个部件组成，在关键主机上采用主机入侵检测，在 *** 关键节点上采用 *** 入侵检测，同时分析来自主机系统的审计日志和来自 *** 的数据流，判断被保护系统是否受到攻击。

参考资料来源：百度百科-入侵检测

怎么检查网站服务器是否被入侵？

网站服务器是否遭到侵略也可以终究靠以下几个过程进行承认：

之一步：查看体系组及用户。假设发现administrators组内增加一个admin$或相类似的用户，或许性你的网站就已遭到了侵略；

第二步：查看管理员账户是否存在反常的登录和刊出记载

挑选一切体系登录日记及体系刊出日记，并具体查看其登录ip，核实该ip是否为常用的管理员登录ip；

第三步：查看服务器是否存在反常启动项

上面三个过程任何一个过程呈现了反常都有或许是因为服务器遭到了侵略。

网站服务器遭受侵略应该怎么处理

1.暂时封闭网站

网站被侵略之后，最常见的状况便是被植入木马，为了确保访问者的安全，一般都要把网站暂时封闭。在封闭过程中可以把域名暂时转到别的一个网站或许一个告诉页面。

2.剖析网站受损程度

有些黑客侵略了网站之后会把一切的网站数据都清空，假设有数据备份的站点可以终究靠数据备份康复网站数据，假设没有备份的则需要请专业硬盘数据康复公司进行数据康复。假设网站的页面数据没有发生什么改变，则网站或许仅仅是被挂马了，可以终究靠第三四个过程消除影响。

3.检测缝隙并打补丁

数据康复之后一定要扫描网站的缝隙并进行打补丁处理。一般的网站程序官方都会定时推出相关的补丁文件，只要把文件上传到服务器并掩盖之即可。

4.木马病毒铲除

木马病毒可以终究靠专业的杀毒软件进行查杀。在这里必需要分外留意的是，有时候有些正常的文件都会被误判为病毒，这样一个时间段就需要用户自己细心辨认之了。

5.常常备份数据

重要的数据经常备份

6.建议可以联署一些防入侵，篡改的防护产品