服務(wù)器安全問題匯總讓你的服務(wù)器更安全

2019-11-02 16:20:18

字體：大中小

來(lái)源：轉(zhuǎn)載

供稿：網(wǎng)友

服務(wù)器安裝McAfee + 彩影ARP防火墻很不錯(cuò). (更多資料可以查看s.jb51.net里面的內(nèi)容。)

這是一個(gè)很的害厲黑客告訴我的,說(shuō)只有安裝了這二樣他才沒著。

服務(wù)器殺毒。

360safe檢查服務(wù)器安全問題（用完就刪，千萬(wàn)不要保留）

a) 清理惡意插件。

b) 清理無(wú)用軟件。

c) 修復(fù)系統(tǒng)漏洞。

d) 查殺流行木馬。

e) 關(guān)閉無(wú)用進(jìn)程/關(guān)閉無(wú)用啟動(dòng)項(xiàng)/關(guān)閉無(wú)用服務(wù)。

檢查服務(wù)器安全

a) 查看WEB站點(diǎn)是否正常訪問。

l 有沒有多出新的站點(diǎn)？

l 站點(diǎn)使用的是什么數(shù)據(jù)庫(kù)？

l 站點(diǎn)權(quán)限問題。

l 站點(diǎn)下是否有新上傳的文件。

l 站點(diǎn)后臺(tái)是否多個(gè)管理員操作權(quán)限。

l 檢查各站點(diǎn)是否掛馬，是否有注入漏洞，是否有JS漏洞，等等。

l 搜索站點(diǎn)目錄下文件內(nèi)容是否有“cmd/exec/serv-u”字樣

l 查找.asp;.asa;.php;擴(kuò)展名的文件大小大于25K的文件，打開查看是否是木馬文件

l IE打開站點(diǎn)時(shí)如果出現(xiàn)不明的加載DLL提示，立刻檢查代碼是否掛馬，第三方的廣告是否掛馬，非站內(nèi)URL是否被掛馬。

l 可以安裝“谷歌瀏覽器”和“360安全瀏覽器”會(huì)自動(dòng)提示頁(yè)面是否掛馬，可查看掛馬的文件

l 最主要的是憑感覺來(lái)發(fā)現(xiàn)病毒。如：服務(wù)器很慢/有隱藏的操作/aspx文件無(wú)cs文件/文件時(shí)間不對(duì)路/

l 掛馬有多種方式：

以JS文件的形式將木馬掛在頁(yè)面上(asp/aspx/html/htm/php)。

以JS代碼的形式將木馬掛在頁(yè)面上(asp/aspx/html/htm/php)。

將JS病毒代碼放到CSS文件里。用” eXpreSsIon”和@import引用

將JS病毒代碼放在JS文件里。用document.write輸出調(diào)用。

用iframe打開有JS病毒的頁(yè)面。

將JS病毒代碼放在任意文件里，用“C:/WINDOWS/system32/inetsrv/MetaBase.Xml”用“DefaultDocFooter="FILE:C:/Inetpub/wwwroot/iisstart.htm"”來(lái)調(diào)用。

通過IIS的ISAPI （ISAPI擴(kuò)展/ISAPI篩選器）掛馬，刪除無(wú)用的ISAPI即可。

如果在服務(wù)器上找不到病毒代碼那么可能是ARP掛馬

b) 查看數(shù)據(jù)庫(kù)是否正常訪問

l 不要使用SA操作數(shù)據(jù)庫(kù)。

l 新建一個(gè)通用的操作所有數(shù)據(jù)庫(kù)的用戶。

l 各個(gè)數(shù)據(jù)庫(kù)權(quán)限問題。是否有特殊的權(quán)限？

l 數(shù)據(jù)庫(kù)對(duì)應(yīng)的站點(diǎn)是否明確，是用什么角色操作的。

l 查看執(zhí)行的SQL效率，及時(shí)改進(jìn)SQL的優(yōu)化。

l 定期刪除1個(gè)月前的數(shù)據(jù)庫(kù)備份文件。

l 定期完全備份常用數(shù)據(jù)庫(kù)，每天增量備份常用數(shù)據(jù)庫(kù)。寫成SQL維護(hù)計(jì)劃，會(huì)自動(dòng)備份數(shù)據(jù)。

l 如果有離職的程序員就要修改數(shù)據(jù)庫(kù)登錄賬號(hào)密碼

c) 查看系統(tǒng)用戶和組是否正常。

l 有沒有不認(rèn)識(shí)的用戶和組信息。

l 用戶所屬者。

l 各個(gè)用戶對(duì)應(yīng)的權(quán)限。

l 用戶的密碼安全度。

l 正常情況下有4個(gè)賬號(hào)就是安全的。如：Administrator/ASPNET/IUSR_*/IWAM_*

l 如果有離職的程序員就要修改登錄賬號(hào)密碼

d) 查看FTP賬號(hào)是否正常。

l 有沒有不認(rèn)識(shí)的新建用戶信息。

l 用戶所屬者。

l 各個(gè)用戶對(duì)應(yīng)的權(quán)限。

l 用戶的密碼安全度。

l 如果有離職的程序員就要修改FTP賬號(hào)密碼

e) 查看其它信息。

l 檢查常用服務(wù)是否啟動(dòng)。

如：CMailServer/Serv-U/ServerSQL 2000/

l 系統(tǒng)最容易留后門的文件是“c:/windows/system32/sethc.exe和c:/windows/system32/dllcache/sethc.exe”，每次在登錄遠(yuǎn)程的時(shí)候，要試下連續(xù)按7下“shift”鍵，如果出現(xiàn)的是

這個(gè)窗口說(shuō)明sethc.exe正常，否則要先刪除“c:/windows/system32/dllcache/sethc.exe”文件在刪除“c:/windows/system32/sethc.exe”文件。然后復(fù)制本地的文件先上傳到dllcache目錄下。先刪除dllcache目錄下的文件是不讓這個(gè)文件自動(dòng)恢復(fù)。

上一篇：IIS W3C日志記錄字段和HTTP狀態(tài)代碼的說(shuō)明

下一篇：在VPS上用3Proxy架設(shè)http代理和socks代理(Ubuntu環(huán)境)