系统:WIN2003 SERVER SP1 有防火墙,有路由器,80端口开,漏洞做了修补。
症状:网站会员无法登陆,后台无法登陆,网站程序文件多了一个文件,但是能删除,系统提示更新,但是无法安装,从新启动服务器起不来,服务器不断重启,修复服务器后提示驱动程序或服务被破坏,远程连接不能。
解决方法:当服务器被攻击时,最容易被人忽略的地方,就是记录文件,服务器的记录文件了黑客活动的蛛丝马迹。 目前最常见的网页服务器有两种:Apache和微软的Internet Information Server(简称IIS)这两种服务器都有一般版本和SSL认证版本,方便黑客对加密和未加密的服务器进行攻击。
IIS的预设记录文件地址在 c:\windows\system32\log\filesw3svc1的目录下,系统会每天产生新的记录文件。查看这些文件可以发现相关痕迹。最有价值的记录文件是access_log, access_log记录文件有七个字段,包括客户端IP地址、特殊人物识别符、用户名称、日期、Method Resource Protocol(GET、POST等;要求哪些资源;然后是协议的版本)、HTTP状态、还有传输的字节
