服務器安全檢查指引——平常維護說明

　　文檔寫好有一段時間了，可一直不敢上傳，對服務器安全瞭解得越多，就越以爲本身很膚淺，不少都還沒入門，發上來在這麼多大神面前搬門弄斧，一不當心可能就會給劈得渣都不剩了。

　　在編寫的過程當中，有很多地方內心明白是怎麼回事，要怎麼去分析和處理，但就是不知道怎麼用文字表述出來（真是書到用時方狠少啊），文筆有限也請你們見諒。

　　有的地方想深刻一些說說，講一些因此然出來，但我的實力有限，我也只是知其然而已。如今也只能厚着臉皮講一講本身在服務器平常管理的一些方法，和近段時間碰到一些問題的分析處理方式，而一些其餘的攻擊方法，那也只有碰到後才能根據實際狀況來做出處理，如今沒有碰到也不知道怎麼講那些分析處理方法，文中提出的一些內容僅供參考，你們能夠作爲一種操做的思路。

 

 　　上一文《服務器安所有署文檔》中，只是寫了怎麼部署服務器才能更安全些，但爲何要這樣設置，爲何要用McAfee防火牆等，卻沒有詳細的進行描述，不過想一想，若是真的再講細一點，那文檔的長度可能還要多一半，你們就真的看得更頭暈了，呵呵......不過本文會對其中一小部份內容從新進行說明，補充一下。

　　好了就再也不囉嗦了，轉入正題。

 

　　目錄
1.    前言    3
2.    部署環境    3
2.1    服務器環境信息    3
3.    安全檢查    4
3.1.    檢查VirusScan控制檯    4
3.2.    檢查McAfee HIP防火牆    6
3.3.    檢查Windows防火牆    9
3.4.    檢查IIS相關設置和網站目錄訪問權限    10
3.5.    檢查管理員賬號    14
3.6.    檢查Windows日誌    15
3.7.    檢查IIS網站訪問日誌    16
3.8.    檢查FTP日誌    17
3.9.    檢查網站相關日誌    17
3.10.    檢查服務器運行進程    19
4.    備份數據    21
5.    相關說明    21

 

 1.前言

　　服務器作好了安所有署之後，若是沒有作好平常維護的話，那就等於將圍着籬笆的羊羣放在空曠的草原上而不去理它，當有一天狼發現了籬笆存在問題，扒開籬笆闖進羊羣盡情享受時，而主人卻遠在天邊而不知。而作好平常維護的話，就能夠比較及時發現問題並修復漏洞，減小損失。

2.    部署環境

　　略（請參考服務器部署文檔）

3.    安全檢查

3.1.    檢查McAfee的VirusScan控制檯

　　可能有朋友會問，爲何使用McAfee而不用其餘工具？這是由於McAfee有訪問保護這個功能，只要開啓了對應的安全策略，那麼不過通受權（訪問保護裏設置的排除進程）的全部軟件，都沒法進行對應的操做。好比開啓了「禁止在 Windows 文件夾中建立新的可執行文件」或自定義一個策略，禁止在服務器上全部目錄建立dll與exe文件，那麼別人在黑服務器時，調用了一些方法可能就沒法執行了。萬一他們使用了咱們開放的一些服務上傳了木馬或入侵進來的，這種安全策略也會給他們在進行提權操做時帶來很大的困難。

　　在啓用這些策略後，咱們在添加排除進程時，必須將不瞭解不熟悉的進程所有排除在外，有一些進程不是必需要用到的，臨時開放後就要將它刪除，才能讓服務器更加安全。固然不怕神同樣的敵人，就怕豬同樣的隊友，服務器管理糊亂設置，看到日誌中的阻止項就順手加入排除進程的話，那我也無話可說了。

 

　　打開VirusScan控制檯

　　

　　檢查相關項是否正常開啓

　　

　　檢查訪問保護日誌

　　

　　查看是否有新禁用或阻止記錄，查看該記錄是什麼賬戶操做的，是否影響網站的運行，而後再考慮是否加入到規則列表中，通常來講阻止項不影響網站或服務運行的，所有不用理睬。

　　從日誌這裏，你能夠看到是什麼用戶在操做的，運行的是那個程序，作什麼操做的時候給阻止的。通常來講咱們服務器是作網站用的，若是這裏禁用的是SYSTEM或IIS的相關賬號，那麼認真看看這些程序是否是網站運行必須的，是的話就放行，不是的就不用理它。而管理員賬號的操做，若是是本身操做時產生的，就臨時放行一下就能夠了，若是不是的話，就要查查是否是可能給入侵了。

　　

　　

　　

　　若是須要添加的，就加入到訪問保護的排除進程規則中

　　

　　添加後再測試一下看看是否正常，若是還不行，再打開查看一下日誌，將新日誌記錄所禁止的進程添加到對應策略裏。

3.2.    檢查McAfee HIP防火牆

　　McAfee HIP防火牆能夠直接監控服務器全部端口對內對外的全部訪問，能夠直接禁用指定軟件使用某個端口，可即時防護和阻擋已知的、零時差、阻斷服務 (DoS)、分散式阻斷服務 (DDoS)、SYN Flood 與加密式攻擊等。

　　若是啓用了應用程序策略，還能夠直接控制服務器全部軟件的使用與運行。

 

　　雙擊防火牆圖標打開防火牆軟件

　　

　　查看IPS政策防入侵防火牆是否開啓

　　

　　檢查防火牆是否啓用，並查看裏面已設置好的規則裏是否有新添加的項，判斷這些項設置是否正常

　　

　　查看活動記錄，開啓紀錄全部容許項目，看看有沒有新的端口有訪問連接，並判斷是否充許，若是不容許的話，在防火牆規則中手動添加進去

　　

　　手動添加阻止規則

　　

　　再次查看活動記錄，該商品的訪問已給阻止

　　

 

　　若是想服務器更安全的話，還能夠開啓應用策略功能，這樣的話服務器裏運行任何軟件都須要通過受權了，雖然會比較麻煩，但系統也會更加安全可靠，具體怎麼設置你們能夠在虛擬機上測試一下就知道了。

　　

3.3.    檢查Windows防火牆

　　打開Windows防火牆，查看該防火牆是否開啓（雖然已經有McAfee防火牆在了，但系統自帶防火牆還要需要開啓，以防止萬一不當心關閉了其中一個防火牆時，另一個還處於開啓狀態）

　　

　　檢查防火牆端口開啓狀況，是不是本身設定那些，有沒有新增開啓端口，有的話作出相應判斷並諮詢服務器的其餘管理人員。

　　

3.4.    檢查IIS相關設置和網站目錄訪問權限

　　主要檢查幾個網站的目錄設置，查看是否開啓了目錄寫入權限，而後對全部有寫入權限的文件夾檢查其是否有可執行權限
同時檢查網站有沒有多出新的目錄（有的目錄多是開發人員隨意添加的而服務器管理員又不清楚，有的多是黑客添加的），這些目錄權限設置如何等。
　　

　　除了檢查寫入權限外，也檢查一下是否添加了新的賬戶，若是根目錄有寫入權限的話就得當心了，另外若是多了新的賬戶也要注意一下是不是其餘管理員添加的

　　

　　

　　

　　檢查可寫入目錄是否有可執行權限

　　

　　

　　

　　將網站的相關文件夾都按上面方法檢查一下，另外對於JS、CSS、Images、配置、日誌、HTML等不用執行的目錄，雖然沒有設置有寫入權限，最好也將它們設置成無腳本執行限制

3.5.    檢查管理員賬號

　　打開服務器管理器，檢查賬號是否爲默認的幾個，是否有多出新的賬號來（通常服務器給入侵後，都會另外建立了一些新賬號或將一些本來隸屬於Guest組的賬號提高爲管理員或User等組權限）

　　因爲在新的虛擬機上測試並寫本文檔，IIS訪問賬號權限使用的是應用程序池賬號，因此這裏就不像上一遍文章那樣有不少賬號
　　

　　查看Administrator賬號隸屬組是否爲空

　　

　　檢查DisableGuest賬號是否隸屬於Guests，且賬號是不是禁用狀態

　　

　　

　　若是還有其餘賬號，也作以上檢查

3.6.    檢查Windows日誌

　　日誌文件對咱們是很是重要的，能夠從中查看各類賬戶的操做痕跡，因此最好將日誌存儲路徑從新修改一下，另外日誌目錄的SYSTEM賬號權限也設置成能夠只讀與添加，而不能修改，這樣萬一給入侵了，也刪除、修改不了日誌文件。（對於日誌路徑修改的文章網上不少，這裏就再也不詳細描述了）

　　咱們檢查日誌，主要查看日誌中的警告和錯誤信息，從中分析出那些是因爲代碼問題引起的異常（將這些異常發給相關同事進行修復），那些是系統錯誤（判斷是防火牆規則引發的仍是服務或程序出錯，判斷需不須要進行相應處理），那些是黑客在進行入侵攻擊（分析出攻擊方式後，能夠在相關的代碼頁面從新進行檢查處理，以避免有個別頁面存在漏洞而致使入侵成功）……對於日誌中顯示的異常，其實有很多記錄並非代碼自身引發的，比較常見的是有人使用XSS方式攻擊提交引發的異常，對於這些異常能夠不用去理會它，只要作好頁面提交入口的SQL注入與XSS攻擊過濾操做就沒有問題。
　　另外，正常的信息有空的話也要抽時間看看，能夠分析出不少已經過防火牆規則的各類操做，查看是否有入侵已經成功（好比查看一些正常進入後臺訪問的IP是不是其餘地區的，再查看後臺相關日誌看是那位同事操做等）。
　　

　　
　　

　　對於安全事件日誌，查看審覈成功與失敗的記錄都要認真看看，主要注意下面內容：正常或失敗的登錄與註銷時間，看看是不是服務器管理員本身上來的，看看是否有非本身建立的賬號；留意是否存在批處理登錄事件（及有可能入侵成功了）；各類賬號管理事件與安全組管理事件（入侵成功後可能會建立賬號、修改密碼或刪除賬號等操做，這些都會被記錄下來）；審覈策略更改事件（是不是管理員本身更改的，若是不是本身的是其餘管理員的話，檢查一下更改了什麼）。具體能夠百度一下《審覈WINDOWS安全日誌》認真研究一下各類審覈事件說明。
　　

3.7.    檢查IIS網站訪問日誌

　　對於網站訪問日誌的檢查分析，網上有很多的介紹，這裏我就再也不重複了，主要說說我本身的看法吧。

　　IIS日誌會將用戶訪問網站的全部連接忠誠的記錄下來，若是你的站點用的是GET方式提交參數的話，那麼能夠很容易從日誌中相看到各類SQL注入、XSS的攻擊方法。用POST方式提交的話，那就看不到這些內容了。咱們檢查日誌主要是查找各類非正常訪問方式。

　　好比：從日誌中查找一些攻擊經常使用的特殊字符，如',1=1,1>0,update,insert,<,>,#,$,{,sp_,xp_,exe,dll等，檢查一下圖片擴展名的記錄是否有參數存在（檢查是否存在上傳漏洞），固然也能夠下個分析工具或本身寫一個。

　　而訪問日誌一般不是孤立的，要與其餘的相關日誌結合起來分析。

　　下面舉一個例子給你們說明一下：

　　在2月10號的時候，我檢查了公司的後臺操做日誌，發現有幾個上海IP的訪問記錄（說明：公司網站的後端是獨立域名，別人是不知道的，而公司在上海也沒有其餘人員，另外我開發的後臺管理系統每一個頁面都通過加密處理，不是正常登錄後從頁面生成的URL點擊的話，是無操做訪問權限的，每一個管理員在後臺的全部操做，框架都會認真的所有記錄下來（包括瀏覽頁面記錄））

　　後臺管理員操做與訪問日誌信息：

　　

　　發現後我就很奇怪，立刻查看對應的登錄日誌與IIS日誌

　　並無找到登錄日誌記錄

　　而IIS日誌就發現有很多對應的記錄，好比上面用戶操做日誌記錄對應的這一條（注：IIS日誌記錄的時間時區不是中國所在的東八區，因此時間查看時要加上8）

　　

　　因爲KeyEncrypt這一串加密後的編碼是維一的，因此一查就查到了一條對應的公司IP訪問記錄

　　

　　而後順滕摸瓜，再反過來查詢用戶操做日誌上，這個時間是誰在操做

　　

　　再而後就直接找那個同事，看看他的機子是否中毒了，是否給人劫持了瀏覽器

 

　　事到這裏你們覺得已經告一段落了，而同事也在重裝系統中~~~

　　而我從新再按上面手段檢查時發現，有不少同事都有這樣的記錄，來訪IP都是上海與深圳電信、聯通幾個IP段的地址，而前端的頁面也發現了一樣的IP，而對應訪問連接的IP全國各地的客戶都有，不可能你們都中毒了，並且這些訪問的全部特色都是你們訪問了指定頁面後，過上幾分鐘或半個小時，就有一條或多條一樣路徑的訪問記錄......忽然間有股不寒而慄的感受，咱們上網還有什麼隱私？每訪問一個頁面都有人監控到，並且同時會瀏覽一下看看咱們去了那裏。到了這裏我也不知講什麼了（你們能夠試試查查本身的服務器日誌，看看有沒有下面幾個IP就知道了），這究竟是所使用的瀏覽器暴露了咱們的訪問仍是防火牆？仍是其餘的軟件呢？這個還得進一步研究才知道。

　　認真查了一下，主要有這幾個IP段：101.226.102.*     101.226.33.*     101.226.51.*     101.226.65.*     101.226.66.*     101.226.89.*     112.64.235.*     112.65.193.*     115.239.212.*     180.153.114.*     180.153.161.*     180.153.163.*     180.153.201.*     180.153.206.*     180.153.211.*     180.153.214.*     183.60.35.*     183.60.70.*     222.73.76.*

 

　　雖然此次發現後臺地址暴露了，也沒有給他們成功訪問進入到系統，不過爲了保險起見，後臺登錄立刻加了登錄須要IP受權方式（須要獲取到手機短信驗證碼，提交後獲取當前用戶IP受權方式——能接收短信的手機是後臺系統錄入員工手機號碼）

 

　　日誌的分析因爲你們的系統不同，不能直接套用，因此沒有固定的模式，須要根據具體的狀況來對應操做，咱們要學習的是日誌分析的一種思路，這樣才能更好的應用到本身的工做中。

　　你們應該多百度一下，看看其餘朋友是怎麼分析日誌的，這樣才能更好的提高本身。

　　其餘日誌分析例子：http://www.cnblogs.com/sanshi/p/3150639.html

 

3.8.    檢查FTP日誌

　　FTP日誌主要檢查是否有人在嘗試入侵，用什麼賬號嘗試，是否登錄成功了，作過什麼操做等

3.9.    檢查網站相關日誌

　　若是你的網站先後端操做、支付以及相關的業務接口等都有日誌記錄的話，也要認真的檢查一下。

　　首先查查看是否有異常記錄，有的話發給相關的人員進行修復。

　　而網站後端，主要檢查登錄的管理員訪問的IP地址是不是公司所在地的，有沒有外地IP，有的話是不是公司員工等；有沒有非法登錄，訪問了那些頁面，作過什麼操做。

　　網站前端與業務接口相關日誌主要檢查業務邏輯、充值等相關信息，具體得根據各自不一樣的業務而定。

3.10.    檢查服務器運行進程

　　在服務器安裝好之後，最好立刻將服務器正在運行的進程拷屏並保存下來，在日常維護服務器時，能夠拿出來和當前正在運行的進程進行對比，看看有沒有多出一些不認識的進程，有的話百度一下看看是什麼軟件，有什麼做用，是不是危險的後門程序等。

4.    備份數據

　　作好數據庫的自動備份操做，常常檢查一下當天的備份是否運行成功（有時會由於數據滿了或其餘異常致使沒有備份成功），萬一備份失敗而數據庫又發生問題的話，嘿嘿~~~會發生什麼事情就不言而預了。若是空間大的話，而數據又很是重要，那天天就作多幾回備份或數據同步等操做就保險多了。若是大多數朋友都只有一臺或幾臺獨立的服務器，那除了自動備份外，天天壓縮數據庫後下載到本地備份仍是頗有必要的。

　　按期備份網站和相關圖片。

　　按期備份前面所說的各類日誌（有時要查看分析一些信息時就要用到，好比給入侵一段時間後才發現，這時就要慢慢翻看歷史日誌了，看是那裏出現的漏洞引發的，好進行修復），並清理已備份好的日誌文件（有的朋友常期不清理日誌，有時會由於日誌存放空間爆滿而發生錯誤）

5.    相關說明

　　一、防黑的工做是任重而道遠的，除了要作好安全設置外，平時還得細分的作好服務器相關的檢查維護工做。
　　二、能夠按期使用各類黑客工具，嘗試攻擊本身的服務器，查看是否有漏洞存在。認真到各大論壇、網站學習各類不一樣的攻擊技巧，只有瞭解對手的攻擊手段，才能作好防禦工做。
　　三、在檢查過程當中，發現有不熟悉的設置改變了，須要當即聯繫相關同事諮問，確保服務器安全。
　　四、服務器設置方面，全部防火牆提示的操做先禁用，當發現某個服務或什麼運行不了時再開放，這樣纔不會將服務器一些沒必要要的端口給開放出去。

　　五、當查出有問題時，須要詳細分析全部新舊日誌，查看他是若是進入的，進行了什麼操做，才能制定對應的策略，防止下一次再給入侵。
　　六、服務器的日誌的分析是靈活多變的，不一樣的問題分析方式方法也不同，並且須要不一樣日誌結合起來綜合分析。這須要不斷的學習以及經驗的積累。

　　七、固然若是你能瞭解網站的程序架構的話，對網站的安全性會更有幫助。

　　因爲文筆有限，本文寫的確定還有很多遺漏的地方，也請各位大大指出一下，最後也但願本文能對你有所幫助。

　　若是你覺本篇文章有幫到你，也請幫忙點推薦。

 

 

 

 版權聲明：

　　本文由AllEmpty發佈於博客園，本文版權歸做者和博客園共有，歡迎轉載，但未經做者贊成必須保留此段聲明，且在文章頁面明顯位置給出原文連接，若有問題，能夠經過1654937#qq.com 聯繫我，很是感謝。

 

　　發表本編內容，只要主爲了和你們共同窗習共同進步，有興趣的朋友能夠加加Q羣：327360708 或Email給我（1654937#qq.com），你們一塊兒探討，因爲本人工做很繁忙，若是疑問請先留言，回覆不及時也請諒解。

 

　　更多內容，敬請觀注博客：http://www.cnblogs.com/EmptyFS/