# 网站被入侵该怎么办
一般的网站被入侵分为三种类型
1.**web入侵**
具体事件体现为:
* 网页挂马
* 主页篡改
* webshell
(一般网页被webshell入侵后会留下webshell.php文件)
(写CTF的签到题会有用)
2.**系统入侵**
具体事件体现为:
* 病毒木马
* 勒索软件
* 远控后门
3.**网络攻击**
* DDos
* DNS劫持
* ARP欺骗
## 以Windows系统为例
系统入侵的排查思路
1).检查服务器上是否被创建了可疑的用户账号
* win+r 运行命令提示符
* 输入lusrmgr.msc打开用户管理器[^1]
* 在其中发现非法的用户,可以右键禁用或者删除
2).日志排查
* 依旧打开cmd,输入eventvwr.msc(Event Viwer事件查看器)
* 打开日志-Windows安全-安全
* 可以看到用户登录以及用户对该主机做出的一些操作,结合登陆时间、系统反馈、用户异常来进行日志的检查
3).检查端口和进程的异常
* 打开PowerShell
* 输入netstat -ano显示系统端口使用情况查看有无异常
* 检查PID有无Established处于通信状态的端口
4.检查进程管理
* 通过Power Shell,输入tasklist打开进程管理
* 通过此命令查看当前运行的应用以及端口
****3-4二者都是多加留意自己不熟知的端口号、应用进程名字
5).查看系统信息
* 打开cmd输入msinfo32检查系统信息
* 点开软件环境-正在运行的任务
这一步就是将第四步图形化展开,在这里,我们重点观察:
1.没有签名的进程
2.没有描述信息的进程
3.进程的属主
4.进程的路径是否合法
5.CPU 或者 内存 占用过高时间过长的进程
6).检查启动项和检查目录
* 打开cmd输入msconfig
* 检查是否有奇怪的启动项或服务
同时检查启动项还有第二种方式:检查注册表
* 打开cmd输入regedit进入到注册表中
* 找到目录为:计算机\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
* 默认情况下只有一个默认
还有一个目录是
* 计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
* 默认初始只有这三个选项,如果有其他的要留意一下
* 再打开该路径下的Runonce注册表,同理只有一个默认项如有其他的多加留意
7.检查网站日志
如果被网站入侵要去检查中间件日志,以Apache服务器为例:
* 点开logs
* 可以查看到一些错误日志和账号日志,点开查看可以看到一些具有例如sql注入、web注入的特征的报错语句
[^1]:(lusrmgr由两个单词lusr和mgr组成)
(lusr:loacl user
mgr:manager)
( msc是是微软管理控制台MMC(Microsoft Management Console)用来添加/删除的嵌入式管理单元文件。通常通过MMC来管理,可点击“文件”菜单中的“添加/删除管理单元”操作来管理当前系统中已经安装的MSC文件。可以点击开始/运行,然后输入下列文件名就可以打开相应的控制窗口)