• 售前

  • 售后

热门帖子
入门百科

win2008 服务器安全查抄步调指引(一样平常维护说明)

[复制链接]
123457557 显示全部楼层 发表于 2021-10-25 20:00:08 |阅读模式 打印 上一主题 下一主题
  文档写好有一段时间了,可不停不敢上传,对服务器安全相识得越多,就越以为自己很肤浅,很多都还没入门,发上来在这么多大神眼前搬门弄斧,一不鉴戒可能就会给劈得渣都不剩了。
  在编写的过程中,有不少地方心里明确是怎么回事,要怎么去分析和处置惩罚,但就是不知道怎么用笔墨表述出来(真是书到用时方狠少啊),文笔有限也请各人包容。
  有的地方想深入一些说说,讲一些以是然出来,但个人力气有限,我也只是知其然而已。现在也只能厚着脸皮讲一讲自己在服务器一样平常管理的一些方法,和近段时间碰到一些题目标分析处置惩罚方式,而一些其他的攻击方法,那也只有碰到后才气根据现真相况来作出处置惩罚,现在没有碰到也不知道怎么讲那些分析处置惩罚方法,文中提出的一些内容仅供参考,各人可以做为一种操纵的思绪。
  上一文《服务器安全部署文档》中,只是写了怎么部署服务器才气更安全些,但为什么要这样设置,为什么要用McAfee防火墙等,却没有详细的举行形貌,不外想想,如果真的再讲细一点,那文档的长度可能还要多一半,各人就真的看得更头晕了,呵呵......不外本文会对此中一小部分内容重新举行阐明,增补一下。
  好了就不再啰嗦了,转入正题。
  目次
1. 前言 3
2. 部署环境 3
2.1 服务器环境信息 3
3. 安全查抄 4
3.1. 查抄VirusScan控制台 4
3.2. 查抄McAfee HIP防火墙 6
3.3. 查抄Windows防火墙 9
3.4. 查抄IIS相关设置和网站目次访问权限 10
3.5. 查抄管理员帐号 14
3.6. 查抄Windows日记 15
3.7. 查抄IIS网站访问日记 16
3.8. 查抄FTP日记 17
3.9. 查抄网站相关日记 17
3.10. 查抄服务器运行历程 19
4. 备份数据 21
5. 相关阐明 21

1.前言
  服务器做好了安全部署以后,如果没有做好一样平常维护的话,那就即是将围着篱笆的羊群放在空旷的草原上而不去理它,当有一天狼发现了篱笆存在题目,扒开篱笆闯进羊群恣意享受时,而主人却远在天际而不知。而做好一样平常维护的话,就可以比力及时发现题目并修复弊端,淘汰丧失。
2. 部署环境
  略(请参考服务器部署文档)

3. 安全查抄
3.1. 查抄McAfee的VirusScan控制台
  可能有朋友会问,为什么使用McAfee而不用其他工具?这是由于McAfee有访问保护这个功能,只要开启了对应的安全策略,那么不外通授权(访问保护里设置的排除历程)的所有软件,都无法举行对应的操纵。比如开启了“克制在 Windows 文件夹中创建新的可实行文件”或自界说一个策略,克制在服务器上所有目次创建dll与exe文件,那么别人在黑服务器时,调用了一些方法可能就无法实行了。万一他们使用了我们开放的一些服务上传了木马或入侵进来的,这种安全策略也会给他们在举行提权操纵时带来很大的困难。
  在启用这些策略后,我们在添加排除历程时,必须将不相识不认识的历程全部排除在外,有一些历程不是必须要用到的,临时开放后就要将它删除,才气让服务器更加安全。固然不怕神一样的敌人,就怕猪一样的队友,服务器管理糊乱设置,看到日记中的制止项就顺手到场排除历程的话,那我也无话可说了。
  打开VirusScan控制台
  
  查抄相关项是否正常开启
  
  查抄访问保护日记
  
  查察是否有新禁用或制止记录,查察该记录是什么帐户操纵的,是否影响网站的运行,然后再思量是否到场到规则列表中,一样平常来说制止项不影响网站或服务运行的,全部不用理睬。
  从日记这里,你可以看到是什么用户在操纵的,运行的是谁人步调,做什么操纵的时间给制止的。一样平常来说我们服务器是做网站用的,如果这里禁用的是SYSTEM或IIS的相关帐号,那么认真看看这些步调是不是网站运行必须的,是的话就放行,不是的就不用理它。而管理员帐号的操纵,如果是自己操纵时产生的,就临时放行一下就可以了,如果不是的话,就要查查是不是可能给入侵了。
  
  
  
  如果必要添加的,就到场到访问保护的排除历程规则中
  
  添加后再测试一下看看是否正常,如果还不可,再打开查察一下日记,将新日记记录所克制的历程添加到对应策略里。

3.2. 查抄McAfee HIP防火墙
  McAfee HIP防火墙可以直接监控服务器所有端口对内对外的所有访问,可以直接禁用指定软件使用某个端口,可即時防御和拦截已知的、零时差、阻断服务 (DoS)、分散式阻断服务 (DDoS)、SYN Flood 与加密式攻击等。
  如果启用了应用步调策略,还可以直接控制服务器所有软件的使用与运行。

  双击防火墙图标打开防火墙软件
  
  查察IPS政策防入侵防火墙是否开启
  
  查抄防火墙是否启用,并查察内里已设置好的规则里是否有新添加的项,判定这些项设置是否正常
  
  查察运动记录,开启纪录所有允许项目,看看有没有新的端口有访问链接,并判定是否充许,如果不允许的话,在防火墙规则中手动添加进去
  
  手动添加制止规则
  
  再次查察运动记录,该商品的访问已给制止
  

  如果想服务器更安全的话,还可以开启应用策略功能,这样的话服务器里运行任何软件都必要颠末授权了,固然会比力麻烦,但体系也会更加安全可靠,详细怎么设置各人可以在假造机上测试一下就知道了。
  

3.3. 查抄Windows防火墙
  打开Windows防火墙,查察该防火墙是否开启(固然已经有McAfee防火墙在了,但体系自带防火墙还要须要开启,以防止万一不鉴戒关闭了此中一个防火墙时,另外一个还处于开启状态)
  
  查抄防火墙端口开启环境,是否是自己设定那些,有没有新增开启端口,有的话做出相应判定并咨询服务器的其他管理人员。
  

3.4. 查抄IIS相关设置和网站目次访问权限
  重要查抄几个网站的目次设置,查察是否开启了目次写入权限,然后对所有有写入权限的文件夹查抄其是否有可实行权限
同时查抄网站有没有多出新的目次(有的目次可能是开辟人员随意添加的而服务器管理员又不清楚,有的可能是黑客添加的),这些目次权限设置如多么。
  
  除了查抄写入权限外,也查抄一下是否添加了新的帐户,如果根目次有写入权限的话就得鉴戒了,另外如果多了新的帐户也要注意一下是否是其他管理员添加的
  
  
  
  查抄可写入目次是否有可实行权限
  
  
  
  将网站的相关文件夹都按上面方法查抄一下,另外对于JS、CSS、Images、设置、日记、HTML等不用实行的目次,固然没有设置有写入权限,最好也将它们设置成无脚本实行限制

3.5. 查抄管理员帐号
  打开服务器管理器,查抄帐号是否为默认的几个,是否有多出新的帐号来(一样平常服务器给入侵后,都会另外创建了一些新帐号或将一些原本从属于Guest组的帐号提升为管理员或User等组权限)
  由于在新的假造机上测试并写本文档,IIS访问帐号权限使用的是应用步调池帐号,以是这里就不像上一遍文章那样有很多帐号
  
  查察Administrator帐号从属组是否为空
  
  查抄DisableGuest帐号是否从属于Guests,且帐号是否是禁用状态
  
  
  如果还有其他帐号,也做以上查抄

3.6. 查抄Windows日记
  日记文件对我们黑白常重要的,可以从中查察各种帐户的操纵陈迹,以是最好将日记存储路径重新修改一下,另外日记目次的SYSTEM帐号权限也设置成可以只读与添加,而不能修改,这样万一给入侵了,也删除、修改不了日记文件。(对于日记路径修改的文章网上很多,这里就不再详细形貌了)
  我们查抄日记,重要查察日记中的告诫和错误信息,从中分析出那些是由于代码题目引发的非常(将这些非常发给相关同事举行修复),那些是体系错误(判定是防火墙规则引起的还是服务或步调堕落,判定需不必要举行相应处置惩罚),那些是黑客在举行入侵攻击(分析出攻击方式后,可以在相关的代码页面重新举行查抄处置惩罚,以免有个别页面存在弊端而导致入侵乐成)……对于日记中显示的非常,着实有不少记录并不是代码自身引起的,比力常见的是有人使用XSS方式攻击提交引起的非常,对于这些非常可以不用去剖析它,只要做好页面提交入口的SQL注入与XSS攻击过滤操纵就没有题目。
  另外,正常的信息有空的话也要抽时间看看,可以分析出很多已通过防火墙规则的各种操纵,查察是否有入侵已经乐成(比如查察一些正常进入后台访问的IP是否是其他地区的,再查察后台相关日记看是那位同事操纵等)。
  
  
  
  对于安全事件日记,查察审核乐成与失败的记录都要认真看看,重要注意下面内容:正常或失败的登岸与注销时间,看看是否是服务器管理员自己上来的,看看是否有非自己创建的帐号;注意是否存在批处置惩罚登岸事件(及有可能入侵乐成了);各种帐号管理事件与安全组管理事件(入侵乐成后可能会创建帐号、修改密码或删除帐号等操纵,这些都会被记录下来);审核策略更改事件(是否是管理员自己更改的,如果不是自己的是其他管理员的话,查抄一下更改了什么)。详细可以百度一下《审核WINDOWS安全日记》认真研究一下各种审核事件阐明。
  

3.7. 查抄IIS网站访问日记
  对于网站访问日记的查抄分析,网上有不少的介绍,这里我就不再重复了,重要说说我自己的看法吧。
  IIS日记会将用户访问网站的所有链接忠诚的记录下来,如果你的站点用的是GET方式提交参数的话,那么可以很轻易从日记中相看到各种SQL注入、XSS的攻击方法。用POST方式提交的话,那就看不到这些内容了。我们查抄日记重要是查找各种非正常访问方式。
  比如:从日记中查找一些攻击常用的特别字符,如',1=1,1>0,update,insert,<,>,#,$,{,sp_,xp_,exe,dll等,查抄一下图片扩展名的记录是否有参数存在(查抄是否存在上传弊端),固然也可以下个分析工具或自己写一个。
  而访问日记通常不是孤立的,要与其他的相关日记团结起来分析。
  下面举一个例子给各人阐明一下:
  在2月10号的时间,我查抄了公司的后台操纵日记,发现有几个上海IP的访问记录(阐明:公司网站的后端是独立域名,别人是不知道的,而公司在上海也没有其他人员,另外我开辟的后台管理体系每个页面都颠末加密处置惩罚,不是正常登岸后从页面天生的URL点击的话,是无操纵访问权限的,每个管理员在后台的所有操纵,框架都会认真的全部记录下来(包罗欣赏页面记录))
  后台管理员操纵与访问日记信息:
  
  发现后我就很希奇,立刻查察对应的登岸日记与IIS日记
  并没有找到登岸日记记录
  而IIS日记就发现有不少对应的记录,比如上面用户操纵日记记录对应的这一条(注:IIS日记记录的时间时区不是中国所在的东八区,以是时间查察时要加上8)
  
  由于KeyEncrypt这一串加密后的编码是维一的,以是一查就查到了一条对应的公司IP访问记录
  
  然后顺滕摸瓜,再反过来查询用户操纵日记上,这个时间是谁在操纵
  
  再然后就直接找谁人同事,看看他的机子是否中毒了,是否给人劫持了欣赏器

  事到这里各人以为已经告一段落了,而同事也在重装体系中~~~
  而我重新再按上面本领查抄时发现,有很多同事都有这样的记录,来访IP都是上海与深圳电信、联通几个IP段的地址,而前端的页面也发现了同样的IP,而对应访问链接的IP天下各地的客户都有,不可能各人都中毒了,而且这些访问的所有特点都是各人访问了指定页面后,过上几分钟或半个小时,就有一条或多条同样路径的访问记录......忽然间有股不寒而栗的感觉,我们上网还有什么隐私?每访问一个页面都有人监控到,而且同时会欣赏一下看看我们去了那里。到了这里我也不知讲什么了(各人可以试试查查自己的服务器日记,看看有没有下面几个IP就知道了),这到底是所使用的欣赏器袒露了我们的访问还是防火墙?还是其他的软件呢?这个还得进一步研究才知道。
  认真查了一下,重要有这几个IP段:101.226.102.* 101.226.33.* 101.226.51.* 101.226.65.* 101.226.66.* 101.226.89.* 112.64.235.* 112.65.193.* 115.239.212.* 180.153.114.* 180.153.161.* 180.153.163.* 180.153.201.* 180.153.206.* 180.153.211.* 180.153.214.* 183.60.35.* 183.60.70.* 222.73.76.*
  固然这次发现后台地址袒露了,也没有给他们乐成访问进入到体系,不外为了保险起见,后台登岸立刻加了登岸必要IP授权方式(必要获取到手机短信验证码,提交后获取当前用户IP授权方式——能吸收短信的手机是后台体系录入员工手机号码)
  日记的分析由于各人的体系不一样,不能直接套用,以是没有固定的模式,必要根据详细的环境来对应操纵,我们要学习的是日记分析的一种思绪,这样才气更好的应用到自己的工作中。
  各人应该多百度一下,看看其他朋友是怎么分析日记的,这样才气更好的提升自己。
  其他日记分析例子:https://www.jb51.net/hack/648537.html
3.8. 查抄FTP日记
  FTP日记重要查抄是否有人在实行入侵,用什么帐号实行,是否登岸乐成了,做过什么操纵等

3.9. 查抄网站相关日记
  如果你的网站前后端操纵、支付以及相关的业务接口等都有日记记录的话,也要认真的查抄一下。
  首先查查察是否有非常记录,有的话发给相关的人员举行修复。
  而网站后端,重要查抄登岸的管理员访问的IP地址是否是公司所在地的,有没有外地IP,有的话是否是公司员工等;有没有非法登岸,访问了那些页面,做过什么操纵。
  网站前端与业务接口相关日记重要查抄业务逻辑、充值等相关信息,详细得根据各自差别的业务而定。

3.10. 查抄服务器运行历程
  在服务器安装好以后,最好立刻将服务器正在运行的历程拷屏并生存下来,在寻常维护服务器时,可以拿出来和当前正在运行的历程举行对比,看看有没有多出一些不认识的历程,有的话百度一下看看是什么软件,有什么作用,是否是伤害的后门步调等。

4. 备份数据
  做好数据库的主动备份操纵,常常查抄一下当天的备份是否运行乐成(有时会由于数据满了或其他非常导致没有备份乐成),万一备份失败而数据库又发生题目标话,嘿嘿~~~会发生什么事情就不言而预了。如果空间大的话,而数据又非常重要,那天天就做多几次备份或数据同步等操纵就保险多了。如果大多数朋友都只有一台或几台独立的服务器,那除了主动备份外,天天压缩数据库后下载到当地备份还是很有必要的。
  定期备份网站和相关图片。
  定期备份前面所说的各种日记(有时要查察分析一些信息时就要用到,比如给入侵一段时间后才发现,这时就要慢慢翻看历史日记了,看是那里出现的弊端引起的,好举行修复),并整理已备份好的日记文件(有的朋友常期不整理日记,有时会由于日记存放空间爆满而发生错误)

5. 相关阐明
  1、防黑的工作是任重而道远的,除了要做好安全设置外,平常还得细分的做好服务器相关的查抄维护工作。
  2、可以定期使用各种黑客工具,实行攻击自己的服务器,查察是否有弊端存在。认真到各大论坛、网站学习各种差别的攻击本事,只有相识对手的攻击本领,才气做好防护工作。
  3、在查抄过程中,发现有不认识的设置改变了,必要立即接洽相关同事咨问,确保服务器安全。
  4、服务器设置方面,所有防火墙提示的操纵先禁用,当发现某个服务或什么运行不了时再开放,这样才不会将服务器一些不必要的端口给开放出去。
  5、当查出有题目时,必要详细分析所有新昔日记,查察他是如果进入的,举行了什么操纵,才气制定对应的策略,防止下一次再给入侵。
  6、服务器的日记的分析是机动多变的,差别的题目分析方式方法也不一样,而且必要差别日记团结起来综合分析。这必要不断的学习以及经验的积聚。

  7、固然如果你能相识网站的步调架构的话,对网站的安全性会更有资助。
  由于文笔有限,本文写的肯定还有不少遗漏的地方,也请各位大大指出一下,末了也盼望本文能对你有所资助。
  如果你觉本篇文章有帮到你,也请帮忙点推荐。
版权声明:

  本文由AllEmpty发布于博客园,本文版权归作者和博客园共有,接待转载,但未经作者同意必须保留此段声明,且在文章页面显着位置给出原文链接,如有题目,可以通过1654937#qq.com 接洽我,非常感谢。
  发表本编内容,只要主为了和各人共同砚习共同进步,有爱好的朋友可以加加Q群:327360708 或Email给我(1654937#qq.com),各人一起探究,由于本人工作很繁忙,如果疑问请先留言,回复不及时也请谅解。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x

帖子地址: 

回复

使用道具 举报

分享
推广
火星云矿 | 预约S19Pro,享500抵1000!
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

草根技术分享(草根吧)是全球知名中文IT技术交流平台,创建于2021年,包含原创博客、精品问答、职业培训、技术社区、资源下载等产品服务,提供原创、优质、完整内容的专业IT技术开发社区。
  • 官方手机版

  • 微信公众号

  • 商务合作