确认被攻击的范围,是判断攻击者是否已获取到网站权限或服务器权限,甚至内网权限。你需要通过日志等迹象来确认攻击的范围,如检查IIS、Apache、FTP、Windows/Linux/Unix等日志,甚至可能需要通过日志恢复等方法来寻找更多线索。
备份日志是关键步骤之一,这包括IIS、Apache、FTP、Windows/Linux/Unix等日志。这些日志可能已被黑客清除,但你可以尝试恢复它们。如果遭受重大损失,报警是必要的,这时日志将帮助警方追踪黑客行踪。同时,日志还能揭示黑客攻击方法,从而找到漏洞所在。
清除后门程序是必要的步骤。黑客会安装各种后门程序,如asp、aspx、php、jsp、cgi、py等脚本木马。如果黑客已获取服务器权限,你需要检查Rootkit、反弹远程控制木马等基于系统的后门。检查黑客是否替换程序、克隆管理员账号等。
修复漏洞是解决问题的关键。仅仅清除后门程序是不够的,必须找到漏洞所在,这通常需要开发人员和安全专家的共同努力。漏洞修复后,需要更改一些以前的配置文件,如网站后台密码、数据库连接密码,如果使用ACCESS、ASA等格式数据库,需要变更路径或文件名,以防止黑客通过以前的记录信息再次入侵。
更改管理员密码同样重要,更改Administrator、Root等管理员密码能进一步提高安全性,防止黑客再次入侵。
