预览加载中,请您耐心等待几秒...
1/10
2/10
3/10
4/10
5/10
6/10
7/10
8/10
9/10
10/10

亲,该文档总共16页,到这已经超出免费预览范围,如果喜欢就直接下载吧~

如果您无法下载资料,请参考说明:

1、部分资料下载需要金币,请确保您的账户上有足够的金币

2、已购买过的文档,再次下载不重复扣费

3、资料包下载后请先用软件解压,在使用对应软件打开

一、入侵检测和数据备份(一)入侵检测工作作为服务器的日常管理入侵检测是一项非常重要的工作在平常的检测过程中主要包含日常的服务器安全例行检查和遭到入侵时的入侵检查也就是分为在入侵进行时的安全检查和在入侵前后的安全检查。系统的安全性遵循木桶原理木桶原理指的是:一个木桶由许多块木板组成如果组成木桶的这些木板长短不一那么这个木桶的最大容量不取决于长的木板而取决于最短的那块木板。应用到安全方面也就是说系统的安全性取决于系统中最脆弱的地方这些地方是日常的安全检测的重点所在。日常的安全检测日常安全检测主要针对系统的安全性工作主要按照以下步骤进行:1、查看服务器状态:打开进程管理器查看服务器性能观察CPU和内存使用状况。查看是否有CPU和内存占用过高等异常情况。2、检查当前进程情况切换“任务管理器”到进程查找有无可疑的应用程序或后台进程在运行。用进程管理器查看进程时里面会有一项taskmgr这个是进程管理器自身的进程。如果正在运行windows更新会有一项wuauclt.exe进程。对于拿不准的进程或者说不知道是服务器上哪个应用程序开启的进程可以在网络上搜索一下该进程名加以确定[进程知识库:http://www.dofile.com/]。通常的后门如果有进程的话一般会取一个与系统进程类似的名称如svch0st.exe此时要仔细辨别[通常迷惑手段是变字母o为数字0变字母l为数字1]3、检查系统帐号打开计算机管理展开本地用户和组选项查看组选项查看administrators组是否添加有新帐号检查是否有克隆帐号。4、查看当前端口开放情况使用activeport查看当前的端口连接情况尤其是注意与外部连接着的端口情况看是否有未经允许的端口与外界在通信。如有立即关闭该端口并记录下该端口对应的程序并记录将该程序转移到其他目录下存放以便后来分析。打开计算机管理==》软件环境==》正在运行任务[在此处可以查看进程管理器中看不到的隐藏进程]查看当前运行的程序如果有不明程序记录下该程序的位置打开任务管理器结束该进程对于采用了守护进程的后门等程序可尝试结束进程树如仍然无法结束在注册表中搜索该程序名删除掉相关键值切换到安全模式下删除掉相关的程序文件。5、检查系统服务运行services.msc检查处于已启动状态的服务查看是否有新加的未知服务并确定服务的用途。对于不清楚的服务打开该服务的属性查看该服务所对应的可执行文件是什么如果确定该文件是系统内的正常使用的文件可粗略放过。查看是否有其他正常开放服务依存在该服务上如果有可以粗略的放过。如果无法确定该执行文件是否是系统内正常文件并且没有其他正常开放服务依存在该服务上可暂时停止掉该服务然后测试下各种应用是否正常。对于一些后门由于采用了hook系统API技术添加的服务项目在服务管理器中是无法看到的这时需要打开注册表中的HKEY_LOCAL_MACHINE—SYSTEM—CurrentControlSet—Services项进行查找通过查看各服务的名称、对应的执行文件来确定是否是后门、木马程序等。6、查看相关日志运行eventvwr.msc粗略检查系统中的相关日志记录。在查看时在对应的日志记录上点右键选“属性”在“筛选器”中设置一个日志筛选器只选择错误、警告查看日志的来源和具体描述信息。对于出现的错误如能在服务器常见故障排除中找到解决办法则依照该办法处理该问题如果无解决办法则记录下该问题详细记录下事件来源、ID号和具体描述信息以便找到问题解决的办法。7、检查系统文件主要检查系统盘的exe和dll文件建议系统安装完毕之后用dir*.exe/s>1.txt将C盘所有的exe文件列表保存下来然后每次检查的时候再用该命令生成一份当时的列表用fc比较两个文件同样如此针对dll文件做相关检查。需要注意的是打补丁或者安装软件后重新生成一次原始列表。检查相关系统文件是否被替换或系统中是否被安装了木马后门等恶意程序。必要时可运行一次杀毒程序对系统盘进行一次扫描处理。8、检查安全策略是否更改打开本地连接的属性查看“常规”中是否只勾选了“TCP/IP协议”打开“TCP/IP”协议设置点“高级”==》“选项”查看“IP安全机制”是否是设定的IP策略查看“TCP/IP”筛选允许的端口有没有被更改。打开“管理工具”=》“本地安全策略”查看目前使用的IP安全策略是否发生更改。9、检查目录权限重点查看系统目录和重要的应用程序权限是否被更改。需要查看的目录有c:;c:winnt;C:winntsystem32;c:winntsystem32inetsrv;c:winntsystem32inetsrvdata;c:documentsandSettings;然后再检查serv-u安装目录