一、入侵檢測和數據備份
(一)入侵檢測工作
作為服務器的日常管理,入侵檢測是一項非常重要的工作,在平常的檢測過程中,主要包含日常的服務器安全例行檢查和遭到入侵時的入侵檢查,也就是分為在入侵進行時的安全檢查和在入侵前後的安全檢查。系統的安全性遵循木桶原理,木桶原理指的是:一個木桶由許多塊木板組成,如果組成木桶的這些木板長短不一,那麼這個木桶的最大容量不取決於長的木板,而取決於最短的那塊木板。應用到安全方面也就是說系統的安全性取決於系統中最脆弱的地方,這些地方是日常的安全檢測的重點所在。
日常的安全檢測
日常安全檢測主要針對系統的安全性,工作主要按照以下步驟進行:
1、查看服務器狀態: 打開進程管理器,查看服務器性能,觀察CPU和內存使用狀況。查看是否有CPU和內存占用過高等異常情況。
2、檢查當前進程情況 切換“任務管理器”到進程,查找有無可疑的應用程序或後台進程在運行。用進程管理器查看進程時裡面會有一項taskmgr,這個是進程管理器自身的進程。如果正在運行windows更新會有一項wuauclt.exe進程。對於拿不准的進程或者說不知道是服務器上哪個應用程序開啟的進程,可以在網絡上搜索一下該進程名加以確定[進程知識庫]通常的後門如果有進程的話,一般會取一個與系統進程類似的名稱,如svch0st.exe,此時要仔細辨別[通常迷惑手段是變字母o為數字0,變字母l為數字1]
3、檢查系統帳號 打開計算機管理,展開本地用戶和組選項,查看組選項,查看administrators組是否添加有新帳號,檢查是否有克隆帳號。
4、查看當前端口開放情況 使用activeport,查看當前的端口連接情況,尤其是注意與外部連接著的端口情況,看是否有未經允許的端口與外界在通信。如有,立即關閉該端口並記錄下該端口對應的程序並記錄,將該程序轉移到其他目錄下存放以便後來分析。打開計算機管理==》軟件環境==》正在運行任務[在此處可以查看進程管理器中看不到的隱藏進程],查看當前運行的程序,如果有不明程序,記錄下該程序的位置,打開任務管理器結束該進程,對於采用了守護進程的後門等程序可嘗試結束進程樹,如仍然無法結束,在注冊表中搜索該程序名,刪除掉相關鍵值,切換到安全模式下刪除掉相關的程序文件。
5、檢查系統服務 運行services.msc,檢查處於已啟動狀態的服務,查看是否有新加的未知服務並確定服務的用途。對於不清楚的服務打開該服務的屬性,查看該服務所對應的可執行文件是什麼,如果確定該文件是系統內的正常使用的文件,可粗略放過。查看是否有其他正常開放服務依存在該服務上,如果有,可以粗略的放過。如果無法確定該執行文件是否是系統內正常文件並且沒有其他正常開放服務依存在該服務上,可暫時停止掉該服務,然後測試下各種應用是否正常。對於一些後門由於采用了hook系統API技術,添加的服務項目在服務管理器中是無法看到的,這時需要打開注冊表中的HKEY_LOCAL_MACHINE—SYSTEM—CurrentControlSet—Services項進行查找,通過查看各服務的名稱、對應的執行文件來確定是否是後門、木馬程序等。
6、查看相關日志 運行eventvwr.msc,粗略檢查系統中的相關日志記錄。在查看時在對應的日志記錄上點右鍵選“屬性”,在“篩選器”中設置一個日志篩選器,只選擇錯誤、警告,查看日志的來源和具體描述信息。對於出現的錯誤如能在服務器常見故障排除中找到解決辦法則依照該辦法處理該問題,如果無解決辦法則記錄下該問題,詳細記錄下事件來源、ID號和具體描述信息,以便找到問題解決的辦法。
7、檢查系統文件 主要檢查系統盤的exe和dll文件,建議系統安裝完畢之後用dir *.exe /s >1.txt將C盤所有的exe文件列表保存下來,然後每次檢查的時候再用該命令生成一份當時的列表,用fc比較兩個文件,同樣如此針對dll文件做相關檢查。需要注意的是打補丁或者安裝軟件後重新生成一次原始列表。檢查相關系統文件是否被替換或系統中是否被安裝了木馬後門等惡意程序。必要時可運行一次殺毒程序對系統盤進行一次掃描處理。
8、檢查安全策略是否更改 打開本地連接的屬性,查看“常規”中是否只勾選了“TCP/IP協議”,打開“TCP/IP”協議設置,點“高級”==》“選項”,查看“IP安全機制”是否是設定的IP策略,查看“TCP/IP”篩選允許的端口有沒有被更改。打開“管理工具”=》“本地安全策略”,查看目前使用的IP安全策略是否發生更改。
9、檢查目錄權限 重點查看系統目錄和重要的應用程序權限是否被更改。需要查看的目錄有c:;c:winnt; C:winntsystem32;c:winntsystem32inetsrv;c:winntsystem32inetsrvdata;c:documents and Settings;然後再檢查serv-u安裝目錄,查看這些目錄的權限是否做過變動。檢查system32下的一些重要文件是否更改過權限,包括:cmd,net,ftp,tftp,cacls等文件。
10、檢查啟動項 主要檢查當前的開機自啟動程序。可以使用AReporter來檢查開機自啟動的程序。
發現入侵時的應對措施
對於即時發現的入侵事件,以下情況針對系統已遭受到破壞情況下的處理,系統未遭受到破壞或暫時無法察覺到破壞,先按照上述的檢查步驟檢查一遍後再酌情考慮以下措施。系統遭受到破壞後應立即采取以下措施: 視情況嚴重決定處理的方式,是通過遠程處理還是通過實地處理。如情況嚴重建議采用實地處理。如采用實地處理,在發現入侵的第一時間通知機房關閉服務器,待處理人員趕到機房時斷開網線,再進入系統進行檢查。如采用遠程處理,如情況嚴重第一時間停止所有應用服務,更改IP策略為只允許遠程管理端口進行連接然後重新啟動服務器,重新啟動之後再遠程連接上去進行處理,重啟前先用AReporter檢查開機自啟動的程序。然後再進行安全檢查。 以下處理措施針對用戶站點被入侵但未危及系統的情況,如果用戶要求加強自己站點的安全性,可按如下方式加固用戶站點的安全:
站點根目錄----只給administrator讀取權限,權限繼承下去。 wwwroot ------給web用戶讀取、寫入權限。高級裡面有刪除子文件夾和文件權限 logfiles------給system寫入權限。 database------給web用戶讀取、寫入權限。高級裡面沒有刪除子文件夾和文件權限
如需要進一步修改,可針對用戶站點的特性對於普通文件存放目錄如html、js、圖片文件夾只給讀取權限,對asp等腳本文件給予上表中的權限。另外查看該用戶站點對應的安全日志,找出漏洞原因,協助用戶修補程序漏洞。
(二)數據備份和數據恢復
數據備份工作大致如下: 1、每月備份一次系統數據。
2、備份系統後的兩周單獨備份一次應用程序數據,主要包括IIS、serv-u、數據庫等數據。
3、確保備份數據的安全,並分類放置這些數據備份。因基本上采用的都是全備份方法,對於數據的保留周期可以只保留該次備份和上次備份數據兩份即可。
數據恢復工作:
1、系統崩潰或遇到其他不可恢復系統正常狀態情況時,先對上次系統備份後發生的一些更改事件如應用程序、安全策略等的設置做好備份,恢復完系統後再恢復這些更改。
2、應用程序等出錯采用最近一次的備份數據恢復相關內容。
二、服務器性能優化
1、整理系統空間:
刪除系統備份文件,刪除驅動備份,刪除不用的輸入法,刪除系統的幫助文件,卸載不常用的組件。最小化C盤文件。
2、性能優化:
刪除多余的開機自動運行程序; 減少預讀取,減少進度條等待時間; 讓系統自動關閉停止響應的程序; 禁用錯誤報告,但在發生嚴重錯誤時通知; 關閉自動更新,改為手動更新計算機; 啟用硬件和DirectX加速; 禁用關機事件跟蹤; 禁用配置服務器向導; 減少開機磁盤掃描等待時間;
將處理器計劃和內存使用都調到應用程序上; 調整虛擬內存; 內存優化; 修改cpu的二級緩存; 修改磁盤緩存。
IIS性能優化
1、調整IIS高速緩存
HKEY_LOCAL_MACHINE SystemCurrentControlSetServicesInetInfoParametersMemoryCacheSize MemoryCacheSize的范圍是從0道4GB,缺省值為3072000(3MB)。一般來說此值最小應設為服務器內存的10%。IIS通過高速緩存系統句柄、目錄列表以及其他常用數據的值來提高系統的性能。這個參數指明了分配給高速緩存的內存大小。如果該值為0,那就意味著“不進行任何高速緩存”。在這種情況下系統的性能可能會降低。如果你的服務器網絡通訊繁忙,並且有足夠的內存空間,可以考慮增大該值。必須注意的是修改注冊表後,需要重新啟動才能使新值生效。
2、不要關閉系統服務: “Protected Storage”
3、對訪問流量進行限制
(1)對站點訪問人數進行限制 (2)站點帶寬限制。保持HTTP連接。 (3)進程限制, 輸入CPU的耗用百分比
4、提高IIS的處理效率
應用程序設置”處的“應用程序保護”下拉按鈕,從彈出的下拉列表中,選中“低(IIS進程)”選項,IIS服務器處理程序的效率可以提高20%左右。但此設置會帶來嚴重的安全問題,不值得推薦。
5、將IIS服務器設置為獨立的服務器
(1)提高硬件配置來優化IIS性能 硬盤:硬盤空間被NT和IIS服務以如下兩種方式使用:一種是簡單地存儲數據;另一種是作為虛擬內存使用。如果使用Ultra2的SCSI硬盤,可以顯著提高IIS的性能 (2)可以把NT服務器的頁交換文件分布到多個物理磁盤上,注意是多個“物理磁盤”,分布在多個分區上是無效的。另外,不要將頁交換文件放在與WInd