服务器被黑，如何查找被入侵被攻击的痕迹？

　　当公司的网站服务器被黑，导致整个网站以及业务系统瘫痪，给企业带来无法估计的损失，但是当服务器被攻击的情况下，我们如何去应对，如何在最短的时间内让网站恢复正常运行，让损失减少到最低。

　　目前网站服务器被攻击都有那些特征?

　　网站被攻击，网站被跳转到赌博网站，网站首页被篡改，百度快照被改，网站被植入webshell脚本木马，网站被DDOS,CC压力攻击。

　　服务器被黑，服务器系统被中木马病毒，服务器管理员账号密码被改，服务器被攻击者远程控制，服务器宽带向外发包，服务器被流量攻击，ARP攻击等。

　　那我们如何检查被黑?

　　1、账号密码安全检测

　　首先需要检查服务器的管理员账号密码安全，查看服务器是否使用弱口令，包括administrator账号密码，Mysql数据库密码，网站后台的管理员密码，都需要逐一的排查，检查密码安全是否达标。

　　在检查一下服务器系统是否存在恶意账号，以及新添加的账号，像admin，admin$这样的账号一般都是由攻击者创建，可以采用运行，输入cmd命令，netuser查看，再看注册表里的账号。

　　2、服务器端口，系统进程安全检测

　　打开CMDnetstat-an检查当前系统的链接情况，查看是否存在一些恶意的IP链接，比如开放了一些不常见的端口，正常是用到80网站端口，8888端口，21ftp端口，3306数据库的端口，443SSL证书端口，9080java端口，22SSH端口，3389默认的远程管理端口，1433SQL数据库端口，除以上端口要正常开放，其余开放的端口都需要仔细检查。

　　3、服务器启动项，计划任务安全检测

　　查看服务器的启动项，输入msconfig命令，看一下是否有多余的启动项目，如果有检查该启动项是否正常，然后再查看服务器的计划任务，通过控制面板。组策略查看，服务自启动，查看系统有没有自己主动启动一些进程。

　　4、服务器的后门木马查杀

　　下载360杀毒，并更新病毒库，对服务器进行全面的安全检测与扫描，修复系统补丁，对网站代码进行人工安全检测，对网站漏洞的检测，网站木马后门的检测，也可以使用webshell查杀工具来进行查杀，最重要的木马规则库。

　　网站日志，服务器日志一定要提前开启，开启审核策略，包括一些服务器系统的问题，安装的软件出错，管理员操作日志，登录服务器日志，以便方便后期出现服务器被黑事件，可以进行分析查找并溯源，网站的日志也要开启，llS下开启日志记录，apache等环境直接在配置文件中进行日志的开启与日志路径的配置。