今天給菜鳥們說說以入侵者的角度去談?wù)劮?wù)器被干掉后，我們該做的哪些防護和檢查工作，大牛的話都比較熟悉系統(tǒng)加固和安全的問題，對于我等菜鳥來說，沒有做過從事過安全方面工作，所以只能從入侵者的角度去說說相對立的工作。因為菜鳥的我們也會自己弄服務(wù)器自己建站，又沒有專業(yè)的知識，也不是搞什么大項目，所以都只能自己維護了，那么被干掉后，肯定也是得自己做維護和檢查工作了，于是有了下文。

通常服務(wù)器被干掉，一般有以下幾種情況，跟著我來看看吧。

1.服務(wù)器被拿下最高權(quán)限即系統(tǒng)權(quán)限

一般為了拿系統(tǒng)權(quán)限，基本肯定不會干什么好事，服務(wù)器的數(shù)據(jù)基本都會被打包走，因為系統(tǒng)權(quán)限是最高權(quán)限能干的事多了，我就不說黑闊們都用著權(quán)限干嘛了，你們懂的

2.服務(wù)器被拿下webshell

通常是某個web系統(tǒng)有漏洞，導致黑闊黑盒檢測出來并利用或0DAY什么的，直接得到一個webshell權(quán)限，這個權(quán)限可大可小，主要還是看服務(wù)器的web目錄設(shè)置的權(quán)限，權(quán)限設(shè)置不好的話，系統(tǒng)盤目錄都可以一覽無余，當然要是目錄設(shè)置嚴謹?shù)脑?，基本拿到一個webshell不足以搞什么破壞，最多被脫褲和打包(關(guān)鍵組件禁用比如wscript，fso等)，尤其在找不到提權(quán)的情況下，只有一個webshell能干的事就很少了，現(xiàn)在大部分服務(wù)器都挺安全，基本能拿下個webshell提權(quán)還是挺困難

3.服務(wù)器各種數(shù)據(jù)被社

比如3389終端，F(xiàn)TP，WEB系統(tǒng)管理等等賬戶和密碼被社，或通過上面webshell拿到數(shù)據(jù)并整理分析得到一定權(quán)限的管理賬戶，還有現(xiàn)在流行的XSS用來X后臺和管理賬戶，這些就要根據(jù)賬戶所對應的系統(tǒng)而確定權(quán)限，比如3389終端賬戶，社到的話那直接就是系統(tǒng)權(quán)限了(前提可以登陸的情況，不然神馬都浮云)，WEB系統(tǒng)管理就要看是什么系統(tǒng)了，ASP，ASP.NET，PHP的這些都不涉及系統(tǒng)權(quán)限，而JSP的系統(tǒng)那就要注意了，權(quán)限配置不好的話，那權(quán)限可不是一般的大。具體這一種情況被社到的話，能做的事情就依據(jù)賬戶對應權(quán)限了

4.服務(wù)器被C段或嗅探

這種情況和第三種情況不一樣，這需要在同一段內(nèi)搞下一臺系統(tǒng)權(quán)限的服務(wù)器，然后才可以進行數(shù)據(jù)的嗅探，能嗅探的數(shù)據(jù)很多，比如3389登錄賬戶和密碼，80也就是web系統(tǒng)管理賬戶和密碼等等，能做的事情也同第三一樣，也是根據(jù)嗅探到的賬戶對應的權(quán)限而定

5.服務(wù)器被各種0DAY打了

這個一般菜鳥是做不到的，要么是新出了哪一個0DAY，然后公布于眾了，菜鳥才得以過把癮，0DAY各種各樣，大概分為系統(tǒng)0DAY和WEB 0DAY，系統(tǒng)0DAY比如直接溢出獲得系統(tǒng)權(quán)限，反彈SHELL等等，WEB 0DAY一般則是針對某一個WEB系統(tǒng)直接getshell，兩者的權(quán)限可以參照以上的，系統(tǒng)0DAY一般能直接得到system權(quán)限，WEB則和第二點差不多，還要根據(jù)權(quán)限大小而確定能干的事。

簡單的被黑后的工作檢查處理流程：

這幾種情況是我們常遇見的，菜鳥的你當服務(wù)器被黑闊擼過了，你腫么辦(肯定不會涼拌，再垃圾也是服務(wù)器嘛:D，也是自己使用的)?我們可以根據(jù)以上的情況，去做相對于的對策和檢測。以下是我自己總結(jié)的，若有雷同純屬意外：

1.服務(wù)器被干掉了，第一我要做的是，開發(fā)的系統(tǒng)都先暫時關(guān)閉，系統(tǒng)賬戶密碼都修改一遍，請改之前還要檢查服務(wù)器是否存在木馬等。以免被黑闊給你Get Hash(通過某種手段獲取系統(tǒng)密碼的hash值并進行破解得出明文密碼)或明文(那你白干了，黑闊笑嘻嘻，心想你個傻鳥我再監(jiān)聽你呢)

2.檢查系統(tǒng)是否有多余的賬戶，一般有手工和工具檢查，我這里指談思路，具體要做你自己去實現(xiàn)，比如可以查C:\Documents and Settings\這里，要是創(chuàng)建新賬戶登錄3389后悔在這里生成和賬戶名對應的文件夾，哪怕是神馬帶$的隱藏賬戶，還有注冊表里也要好好檢查，不懂就工具吧，百度那么好

3.檢查系統(tǒng)開放的端口，自己熟悉的端口就先不管，有陌生的就要查一下，到底是什么程序再使用，有時候可以檢查出木馬或者后門使用的端口，把沒必要的端口都關(guān)閉了，避免意外事故

4.檢查日志，菜鳥級別的一般沒辦法清理掉一些日志，可以好好看看，比如IIS，WEB系統(tǒng)自帶的日志功能，系統(tǒng)日志等，這能分析出黑闊都干了神馬壞事，以及你的服務(wù)器是怎么被干掉

5.檢查系統(tǒng)各個盤符的以及關(guān)鍵目錄的操作權(quán)限，比如某2B管理給我搞了服務(wù)器，E盤原本沒權(quán)限，后來我改為everyone，而恰好他又不去檢查，那只要我WEBSHELL在的話，權(quán)限就很大，尤其配合一些提權(quán)工具，那是爽歪歪了

6.使用殺毒安全軟件，這個是為了全盤掃描木馬(EXE和腳本以及其他)，查殺木馬和修復系統(tǒng)漏洞，至于選擇神馬殺毒軟件，大家自己找，我也不推薦免得被說是槍手，這年頭當好人很難的

7.web系統(tǒng)的腳本后門要好好檢查，一般看看文件操作時間(不過文件時間是可以改滴)，用工具審核，還有人工審核，沒能力的找基友，找熟人，還有一種是提前備份好各個系統(tǒng)，出了問題后，把兩個文件打包到本地用Beyond Compare對比分析，當然其他對比分析工具也可以，確保剔除掉黑闊的腳本，另外能找到自己web系統(tǒng)的漏洞最好了，如果你知道黑闊怎么搞你的web系統(tǒng)那你就對應修復吧，記得還有那些變異擴展的腳本也要留意下。

8.安裝安全狗之類的waf軟件，我不是打廣告，反正不少菜鳥遇上狗的服務(wù)器，基本都是繞道而行，不然就要被咬了，大牛有辦法繞過，但是不一定會給我等這些菜鳥分享的，所以安裝類似的軟件，雖然不能保證100%防護，但至少給黑闊搞你服務(wù)器增加不少困難，也可以阻擋一批所謂的腳本小子(有木有?反正我遇到狗就跑啦)

做好這些之后，剩下的還要自己給服務(wù)器加固，哪里被搞了，哪里就應該多留意下，具體的加固，大家自己找資料參考吧，這個是題外話，何況我這菜逼的菜鳥也不是專搞這個的，所以基友就別為難我，我只能略懂一些，各種賬戶密碼設(shè)置復雜一些，而且不同的賬戶使用不同的密碼，必備被社工了，社工太強大了，不是你所想象得到的，服務(wù)器各目錄嚴格分配，可以參照下星外，還有其他的參考文獻，沒事看看日志，監(jiān)聽下流量，監(jiān)聽下端口，黑闊要在你服務(wù)器干壞事，肯定會有不少動靜，只要稍微留意一下細節(jié)的東西。