今天一大半天泡在机房了,客户机器被黑了,数据备份也没有做,最后幸亏给客户做网站的那边有以前的备份,晕死了! 昨天晚上11点半,客户给我电话说服务器远程连接数超过最大连接数,让我重启服务器----我就重启了!!
大概过了10分钟,客户电话过来----大惊失色说用户名和密码进不去了!!我问怎么回事! 他说上去发现多了两个用户,iis上多绑上了个网站---他就直接把两个用户给删了,网站也 直接删了,然后他就被踢出来,在连机器就连不上了!!
明显犯了两个错误,第一:碰上这情况不要慌,首先把绑定的网站的网址用截屏方式保存下来,包括时间等,这是 证据。
第二:查看系统和安全日志,先保存日志然后分析日志(分析一定在保证你在服务器的第三方以外保存的有完整的数据,这样即使出问题可迅速恢复。)这样可以发现你机器的漏洞在那,怎么预防类似的事情,而不是盲目就删用户和数据。
当没有备份数据时候,一定把网卡给禁用了或者通知机房拔掉网线,去机房现场处理---分析日志把漏洞补上最好是重做系统。 站上的兄弟千万不能犯这种错误!! 另外备份是最好的预防方式,虽然是最原始的但也是最保险的方式!!
