系统维护和服务器安全检查防护

1.检查IIS服务器上的服务列表
有一天我进入我们的教室，发现在管理员组里多了一个用户。这意味着这时某个人已经成功地进入了你的系统，他或她可能冷不丁地将炸弹扔到你的系统里，这将会突然摧毁你的整个系统，或者占用大量的带宽以便黑客使用。黑客同样趋向于留下一个帮助服务，一旦这发生了，采取任何措施可能都太晚了，你只能重新格式化你的磁盘，从备份服务器恢复你每天备份的文件。因此，检查IIS服务器上的服务列表并保持尽量少的服务必须成为你每天的任务。你应该记住哪个服务应该存在，哪个服务不应该存在。Windows 2000 Resource Kit带给我们一个有用的程b序，叫作tlist.exe，它能列出每种情况运行在svchost 之下的服务。运行这个程序可以寻找到一些你想要知道的隐藏服务。给你一个提示：任何含有daemon几个字的服务可能不是Windows本身包含的服务，都不应该存在于IIS服务器上。想要得到Windows服务的列表并知道它们各自有什么作用，请点击这里。

2 仔细检查*.bat和*.exe 文件：
每周搜索一次*.bat和*.exe文件，检查服务器上是否存在黑客最喜欢，而对你来说将是一场恶梦的可执行文件。在这些破坏性的文件中，也许有一些是*.reg文件。如果你右击并选择编辑，你可以发现黑客已经制造并能让他们能进入你系统的注册表文件。你可以删除这些没任何意义但却会给入侵者带来便利的主键。

3 netstat -an
登陆你的Web服务器并在命令行下运行netstat -an。观察有多少IP地址正尝试和你的端口建立连接，然后你将有一大堆的调查和研究要做了。

问：服务器有被入侵的迹象,请教设置方法

.最近我的服务器总感觉有不太正常,经常发现有一些程序被打开或者就是一登陆远程就提示一些错误,查看了一下GUEST帐号被设置成ADMIN权限了,还关联了我另外一个帐号.这样应该是被入侵了吧,我已经关闭GUEST帐户,有没有什么好的安全设置办法.

guest被提为admin?

若服务器在身边，可以先断网，做一次彻底的清查

第一步：看帐号

最好看看是不是有隐藏账号

不认识的账号，不知道密码的账号，统统kill掉

第二步：察看进程和服务

有可疑进程，先不要关（由于不了解关啦会不会有更大麻烦！）

看看ｍｓｃｏｎｆｉｇ里边有没有不认识的进程在开机启动。

看看系统服务又没有多余的服务项。

最好能用ｒｏｏｔｋｉｔ察看下是否有隐藏或程序项　，利用ｒｏｏｔｋｉｔ技术隐藏的用超级巡警也可以查出来　。

这一步只是了解情况

第三步，看网络连接情况　

因为网络连接是服务器最主要的功能之一，也是入侵者必占有的方向之一。就单独提出来

大致了解情况后就动手把

该关的关，改删的删

需要注意的是。若你是远程控制的一定要小心些，机子关机或重起你可都看不到阿，再次能不能进入系统也是有点不能保证的。赫赫，

由于不了解你的情况

这下边就说说防护：

１：防火墙一定要有。并且配置好适当的规则

２：最好能装个不错的，带主动防御的比较好。（要设好信任程序阿）

３：设置好权限，比如ｃ盘就不要允许除超级管理员外的任何人删除东西，但可以保留一些账号有改的权利，有相当于power用户组的权利。赫赫，具体的还要你配置的。

其他的及时打升级库，保留日志我就不说啦，呵呵，要不就能发布一片文章拉

——————————————————

一个小技巧，通过sql一个过程调用提升本地权限的 办法

如果有sql   server的管理员（sa）帐号,并且可以登录,尝试用下面的方法:     
  --用管理员连接sql,在查询分析器中执行:  
  --添加用户  
  exec   master.dbo._cmdshell   'net   user   clin003  123   /add'    

basedir，datadir这两个基本的配置。 [mysqld]

# set basedir to installation path, e.g., c:/mysql
# 设置为MYSQL的安装目录
basedir=D:/www/WebServer/MySQL
# set datadir to location of data directory,
# e.g., c:/mysql/data or d:/mydata/data
# 设置为MYSQL的数据目录
datadir=D:/www/WebServer/MySQL/data
注意，我在更改系统的temp目录之后没有对更改后的目录给予system用户的权限也出现过该问题。

1 入侵检测和
入侵检测工作
作为服务器的日常管理，入侵检测是一项非常重要的工作，在平常的检测过程中，主要包含日常的服务器安全例行检查和遭到入侵时的入侵检查，也就是分为在入侵进行时的安全检查和在入侵前后的安全检查。系统的安全性遵循木桶原理，木桶原理指的是：一个木桶由许多块木板组成，如果组成木桶的这些木板长短不一，那么这个木桶的最大容量不取决于长的木板，而取决于最短的那块木板。应用到安全方面也就是说系统的安全性取决于系统中最脆弱的地方，这些地方是日常的安全检测的重点所在。 
2 日常的安全检测
日常安全检测主要针对系统的安全性，工作主要按照以下步骤进行：
1．查看服务器状态：
打开进程管理器，查看服务器性能，观察CPU和内存使用状况。查看是否有CPU和内存占用过高等异常情况。
2．检查当前进程情况
切换“任务管理器”到进程，查找有无可疑的应用程序或后台进程在运行。用进程管理器查看进程时里面会有一项taskmgr，这个是进程管理器自身的进程。如果正在运行windows更新会有一项wualt.exe进程。对于拿不准的进程或者说不知道是服务器上哪个应用程序开启的进程，可以在网络上一下该进程名加以确定[进程知识库：]。通常的后门如果有进程的话，一般会取一个与系统进程类似的名称，如svch0st.exe，此时要仔细辨别[通常迷惑手段是变字母o为数字0，变字母l为数字1]
3．检查系统帐号
打开计算机管理，展开本地用户和组选项，查看组选项，查看administrators组是否添加有新帐号，检查是否有克隆帐号。

4．查看当前端口开放情况
使用activeport，查看当前的端口连接情况，尤其是注意与外部连接着的端口情况，看是否有未经允许的端口与外界在通信。如有，立即关闭该端口并记录下该端口对应的程序并记录，将该程序转移到其他目录下存放以便后来分析。打开计算机管理==》软件环境==》正在运行任务[在此处可以查看进程管理器中看不到的隐藏进程]，查看当前运行的程序，如果有不明程序，记录下该程序的位置，打开任务管理器结束该进程，对于采用了守护进程的后门等程序可尝试结束进程树，如仍然无法结束，在注册表中搜索该程序名，删除掉相关键值，切换到安全模式下删除掉相关的程序文件。
5．检查系统服务
运行services.msc，检查处于已启动状态的服务，查看是否有新加的未知服务并确定服务的用途。对于不清楚的服务打开该服务的属性，查看该服务所对应的可执行文件是什么，如果确定该文件是系统内的正常使用的文件，可粗略放过。查看是否有其他正常开放服务依存在该服务上，如果有，可以粗略的放过。如果无法确定该执行文件是否是系统内正常文件并且没有其他正常开放服务依存在该服务上，可暂时停止掉该服务，然后测试下各种应用是否正常。对于一些后门由于采用了hook系统API技术，添加的服务项目在服务管理器中是无法看到的，这时需要打开注册表中的HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices项进行查找，通过查看各服务的名称、对应的执行文件来确定是否是后门、木马程序等。
6．查看相关日志
运行eventvwr.msc，粗略检查系统中的相关日志记录。在查看时在对应的日志记录上点右键选“属性”，在“筛选器”中设置一个日志筛选器，只选择错误、警告，查看日志的来源和具体描述信息。对于出现的错误如能在服务器常见故障排除中找到解决办法则依照该办法处理该问题，如果无解决办法则记录下该问题，详细记录下事件来源、ID号和具体描述信息，以便找到问题解决的办法。
7．检查系统文件

主要检查系统盘的exe和dll文件，建议系统安装完毕之后用dir *.exe /s >1.txt将C盘所有的exe文件列表保存下来，然后每次检查的时候再用该命令生成一份当时的列表，用fc比较两个文件，同样如此针对dll文件做相关检查。需要注意的是打或者安装软件后重新生成一次原始列表。检查相关系统文件是否被替换或系统中是否被安装了木马后门等恶意程序。必要时可运行一次程序对系统盘进行一次扫描处理。
8．检查安全策略是否更改
打开本地连接的属性，查看“常规”中是否只勾选了“TCP/IP协议”，打开“TCP/IP”协议设置，点“高级”==》“选项”，查看“IP安全机制”是否是设定的IP策略，查看“TCP/IP”筛选允许的端口有没有被更改。打开“管理工具”=》“本地安全策略”，查看目前使用的IP安全策略是否发生更改。

9．检查目录权限
重点查看系统目录和重要的应用程序权限是否被更改。需要查看的目录有c:;c:winnt;
C:winntsystem32;c:winntsystem32inetsrv;c:winntsystem32inetsrvdata;c:documents and
Settings;然后再检查serv-u安装目录，查看这些目录的权限是否做过变动。检查system32下的一些重要文件是否更改过权限，包括：cmd，net，ftp，tftp，cacls等文件。
10．检查启动项
主要检查当前的开机自启动程序。可以使用AReporter来检查开机自启动的程序。
3 发现入侵时的应对措施
对于即时发现的入侵事件，以下情况针对系统已遭受到破坏情况下的处理，系统未遭受到破坏或暂时无法察觉到破坏先按照上述的检查步骤检查一遍后再酌情考虑以下措施。系统遭受到破坏后应立即采取以下措施：

1．查看当前端口开放情况
使用activeport，查看当前的端口连接情况，尤其是注意与外部连接着的端口情况，看是否有未经允许的端口与外界在通信。如有，立即关闭该端口并记录下该端口对应的程序并记录，将该程序转移到其他目录下存放以便后来分析。打开计算机管理==》软件环境==》正在运行任务[在此处可以查看进程管理器中看不到的隐藏进程]，查看当前运行的程序，如果有不明程序，记录下该程序的位置，打开任务管理器结束该进程，对于采用了守护进程的后门等程序可尝试结束进程树，如仍然无法结束，在注册表中搜索该程序名，删除掉相关键值，切换到安全模式下删除掉相关的程序文件。
2．检查系统服务
运行services.msc，检查处于已启动状态的服务，查看是否有新加的未知服务并确定服务的用途。对于不清楚的服务打开该服务的属性，查看该服务所对应的可执行文件是什么，如果确定该文件是系统内的正常使用的文件，可粗略放过。查看是否有其他正常开放服务依存在该服务上，如果有，可以粗略的放过。如果无法确定该执行文件是否是系统内正常文件并且没有其他正常开放服务依存在该服务上，可暂时停止掉该服务，然后测试下各种应用是否正常。对于一些后门由于采用了hook系统API技术，添加的服务项目在服务管理器中是无法看到的，这时需要打开注册表中的HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices项进行查找，通过查看各服务的名称、对应的执行文件来确定是否是后门、木马程序等。
3．查看相关日志
运行eventvwr.msc，粗略检查系统中的相关日志记录。在查看时在对应的日志记录上点右键选“属性”，在“筛选器”中设置一个日志筛选器，只选择错误、警告，查看日志的来源和具体描述信息。对于出现的错误如能在服务器常见故障排除中找到解决办法则依照该办法处理该问题，如果无解决办法则记录下该问题，详细记录下事件来源、ID号和具体描述信息，以便找到问题解决的办法。
4．检查系统文件
主要检查系统盘的exe和dll文件，建议系统安装完毕之后用dir *.exe /s >1.txt将C盘所有的exe文件列表保存下来，然后每次检查的时候再用该命令生成一份当时的列表，用fc比较两个文件，同样如此针对dll文件做相关检查。需要注意的是打或者安装软件后重新生成一次原始列表。检查相关系统文件是否被替换或系统中是否被安装了木马后门等恶意程序。必要时可运行一次程序对系统盘进行一次扫描处理。
5．检查安全策略是否更改
打开本地连接的属性，查看“常规”中是否只勾选了“TCP/IP协议”，打开“TCP/IP”协议设置，点“高级”==》“选项”，查看“IP安全机制”是否是设定的IP策略，查看“TCP/IP”筛选允许的端口有没有被更改。打开“管理工具”=》“本地安全策略”，查看目前使用的IP安全策略是否发生更改。
6．检查目录权限
重点查看系统目录和重要的应用程序权限是否被更改。需要查看的目录有c:;c:winnt;
C:winntsystem32;c:winntsystem32inetsrv;c:winntsystem32inetsrvdata;c:documents and
Settings;然后再检查serv-u安装目录，查看这些目录的权限是否做过变动。检查system32下的一些重要文件是否更改过权限，包括：cmd，net，ftp，tftp，cacls等文件。
10．检查启动项
主要检查当前的开机自启动程序。可以使用AReporter来检查开机自启动的程序。 
4 发现入侵时的应对措施
对于即时发现的入侵事件，以下情况针对系统已遭受到破坏情况下的处理，系统未遭受到破坏或暂时无法察觉到破坏先按照上述的检查步骤检查一遍后再酌情考虑以下措施。系统遭受到破坏后应立即采取以下措施：

5．将IIS服务器设置为独立的服务器
A.提高硬件配置来优化IIS性能硬盘：硬盘空间被NT和IIS服务以如下两种方式使用：一种是简单地存储数据；另一种是作为虚拟内存使用。如果使用Ultra2的SCSI硬盘，可以显著提高IIS的性能。
B.可以把NT服务器的页交换文件分布到多个物理磁盘上，注意是多个“物理磁盘”，分布在多个分区上是无效的。另外，不要将页交换文件放在与WIndows NT引导区相同的分区中。
C.使用磁盘镜像或磁盘带区集可以提高磁盘的读取性能。
D.最好把所有的数据都储存在一个单独的分区里。然后定期运行磁盘碎片整理程序以保证在存储Web服务器数据的分区中没有碎片。使用NTFS有助于减少碎片。推荐使用Norton的Speeddisk，可以很快的整理NTFS分区。
6．起用HTTP压缩
HTTP压缩是在Web服务器和器间传输压缩文本内容的方法。HTTP压缩采用通用的压缩算法如gzip等压缩HTML、或文件。可使用pipeboost进行设置。
7．起用资源回收