如何判断服务器被勒索
服务器被勒索是一种严重的网络安全事件,通常由恶意软件(即勒索病毒)引起,勒索病毒会对服务器上的文件进行加密,并要求受害者支付赎金以解锁这些文件,以下是一些关键步骤和方法,帮助你判断服务器是否被勒索:
检查异常文件扩展名
1、常见勒索病毒后缀
.locky:Locky勒索软件后缀。
.crypt:部分勒索软件使用“.crypt”作为加密后的文件扩展名。
.CrySiS:CrySiS勒索软件扩展名。
.cryptolocker:CryptoLocker勒索软件扩展名。
.wallet:Dharma勒索软件扩展名。
.cerber:Cerber勒索软件后缀。
.zepto:Zepto勒索软件后缀。
.thor:Thor勒索软件扩展名。
.odin:Odin勒索软件文件扩展名。
.lockyv1:Locky的另一个变体新扩展名。
.arena:Arena勒索软件扩展名。
.grapn:GlobeImposter勒索软件文件扩展名。
.ACCDFISA:Accdfisa勒索软件后缀。
.locked:Locked勒索软件扩展名。
.encrypTile:EncrypTile勒索软件扩展名。
.mole:Mole勒索软件后缀。
2、如何检查
打开文件资源管理器或命令行工具(如Windows中的dir /b命令),浏览服务器中的各个文件夹,查找是否有文件扩展名被修改为上述后缀之一。
检查文件生存的时间
1、正常与异常对比
正常工作的文件生成时间通常不会大规模接近,例如所有文件的创建时间或修改时间基本在同一天或几个小时内。
如果发现大量文件的修改日期在同一天,且这些文件原本不应同时修改,那么这可能是勒索病毒攻击的迹象。
2、如何检查
在Windows系统中,右键点击文件并选择“属性”,查看“创建时间”和“修改时间”。
在Linux系统中,使用ls -l命令查看文件的详细信息。
发现勒索信息
1、勒索提示
勒索软件通常会在受感染的计算机中留下文本文件或弹窗,要求支付赎金以获取解密密钥。
这些文本文件可能包含犯罪分子的联系方式和支付赎金的指示。
2、如何识别
检查桌面、文件夹和启动项中是否有新的文本文件或网页文件,内容包含赎金要求和支付方式。
注意弹窗警告信息,尤其是那些要求支付赎金以解锁文件的信息。
电脑桌面被篡改同时文件无法访问
1、桌面变化
个人计算机或服务器被感染勒索病毒后,最明显的特征是电脑桌面发生明显变化,如出现新的文本文件或网页文件,用于说明如何解密的信息。
同时桌面上显示勒索提示信息及解密联系方式,通常提示信息英文较多,中文提示信息较少。
2、文件访问异常
用户无法打开或访问文件,并显示错误信息或加密提示。
办公文档、照片、视频等文件的图标变为不可打开形式,或者文件后缀名被篡改。
不明进程
1、监视操作系统进程
寻找不明进程的存在,这可能是勒索软件的运行进程。
2、Windows下排除不名进程
使用任务管理器(Ctrl+Shift+Esc)查看正在运行的进程列表,注意查找不熟悉的进程名称或具有奇怪描述的进程。
使用系统监控工具(如Process Explorer)查看更详细的进程信息,分析进程之间的关系和启动路径。
检查系统的启动项,查看是否有启动时会自动运行的不明进程或程序。
3、Linux下检查不明进程
使用命令行工具(如ps aux)查看当前运行的所有进程,结合grep命令过滤特定的进程信息。
查看启动项和服务,使用systemctl list-units --type=service和ls /etc/init.d/命令。
检查定时任务,使用crontab -l命令查看当前用户的定时任务列表,以及/etc/cron.d/、/etc/cron.daily/、/etc/cron.hourly/等目录下的定时任务设置。
使用安全工具(如rkhunter、chkrootkit)对系统进行扫描,以侦测可能的恶意进程或后门程序。
查看日志文件(如/var/log/messages、/var/log/syslog),了解系统活动和可能的异常情况。
网络连接监控,使用netstat -tulnp命令查看系统上的网络连接及监听端口。
审查系统文件,使用md5sum或sha256sum命令计算文件的哈希值,检查是否被篡改。
业务系统无法访问
1、业务影响
自2018年以来,勒索病毒的攻击不再局限于加密核心业务文件,而是转而对企业的服务器和业务系统进行攻击,感染企业的关键系统,破坏企业的日常运营。
甚至延伸至生产线,导致生产线停产,某三甲医院遭遇勒索病毒攻击,全院所有的医疗系统均无法正常使用;台积电在台湾北、中、南三处重要生产基地因勒索病毒入侵导致生产停摆。
2、综合判断
当业务系统出现无法访问、生产线停产等现象时,并不能100%确定是服务器感染了勒索病毒,也有可能是遭到DDoS攻击或是中了其他病毒等原因所致,需要结合前面的现象来确认。
相关问题与解答
1、如何预防服务器被勒索?
安装杀毒和安全防护软件:不随意退出安全软件或关闭防护功能,定期进行全盘杀毒。
开启系统自动更新功能:或使用安全软件的第三方打补丁功能对系统进行漏洞管理,第一时间给操作系统和常用软件打好补丁,定期更新病毒库。
密码管理:密码一定要使用强口令,并且不同账号使用不同密码。
数据备份:重要文档数据应经常做备份,并确保备份文件的安全。
访问控制:尽量不要启用文件共享功能和远程桌面功能,避免不必要的网络暴露。
员工培训:提高员工的安全意识,不轻易打开陌生人发来的邮件附件或邮件正文中的网址链接。
2、如果服务器已经被勒索病毒感染,应该怎么办?
立即隔离被感染主机:包括物理隔离(断网、关机)和访问控制(修改服务器密码、关闭不必要的端口)。
排查业务系统:在已经隔离被感染主机后,应对局域网内的其他机器进行排查,检查核心业务系统是否受到影响,生产线是否受到影响,并检查备份系统是否被加密等。
寻求专业帮助:如果确认服务器已经被感染勒索病毒且无法自行解决,应立即寻求专业的技术支持进行详细的检查和清除操作。
以上内容就是解答有关“怎么判断服务器被勒索”的详细内容了,我相信这篇文章可以为您解决一些疑惑,有任何问题欢迎留言反馈,谢谢阅读。
原创文章,作者:K-seo,如若转载,请注明出处:https://www.kdun.cn/ask/615039.html
微信扫一扫 