服务器安全检查指引——平常维护说明

　　文档写好有一段时间了，可一直不敢上传，对服务器安全了解得越多，就越以为本身很肤浅，不少都还没入门，发上来在这么多大神面前搬门弄斧，一不当心可能就会给劈得渣都不剩了。

　　在编写的过程当中，有很多地方内心明白是怎么回事，要怎么去分析和处理，但就是不知道怎么用文字表述出来（真是书到用时方狠少啊），文笔有限也请你们见谅。

　　有的地方想深刻一些说说，讲一些因此然出来，但我的实力有限，我也只是知其然而已。如今也只能厚着脸皮讲一讲本身在服务器平常管理的一些方法，和近段时间碰到一些问题的分析处理方式，而一些其余的攻击方法，那也只有碰到后才能根据实际状况来做出处理，如今没有碰到也不知道怎么讲那些分析处理方法，文中提出的一些内容仅供参考，你们能够作为一种操做的思路。

 

 　　上一文《服务器安所有署文档》中，只是写了怎么部署服务器才能更安全些，但为何要这样设置，为何要用McAfee防火墙等，却没有详细的进行描述，不过想一想，若是真的再讲细一点，那文档的长度可能还要多一半，你们就真的看得更头晕了，呵呵......不过本文会对其中一小部份内容从新进行说明，补充一下。

　　好了就再也不啰嗦了，转入正题。

 

　　目录
1.    前言    3
2.    部署环境    3
2.1    服务器环境信息    3
3.    安全检查    4
3.1.    检查VirusScan控制台    4
3.2.    检查McAfee HIP防火墙    6
3.3.    检查Windows防火墙    9
3.4.    检查IIS相关设置和网站目录访问权限    10
3.5.    检查管理员账号    14
3.6.    检查Windows日志    15
3.7.    检查IIS网站访问日志    16
3.8.    检查FTP日志    17
3.9.    检查网站相关日志    17
3.10.    检查服务器运行进程    19
4.    备份数据    21
5.    相关说明    21

 

 1.前言

　　服务器作好了安所有署之后，若是没有作好平常维护的话，那就等于将围着篱笆的羊群放在空旷的草原上而不去理它，当有一天狼发现了篱笆存在问题，扒开篱笆闯进羊群尽情享受时，而主人却远在天边而不知。而作好平常维护的话，就能够比较及时发现问题并修复漏洞，减小损失。

2.    部署环境

　　略（请参考服务器部署文档）

3.    安全检查

3.1.    检查McAfee的VirusScan控制台

　　可能有朋友会问，为何使用McAfee而不用其余工具？这是由于McAfee有访问保护这个功能，只要开启了对应的安全策略，那么不过通受权（访问保护里设置的排除进程）的全部软件，都没法进行对应的操做。好比开启了“禁止在 Windows 文件夹中建立新的可执行文件”或自定义一个策略，禁止在服务器上全部目录建立dll与exe文件，那么别人在黑服务器时，调用了一些方法可能就没法执行了。万一他们使用了咱们开放的一些服务上传了木马或入侵进来的，这种安全策略也会给他们在进行提权操做时带来很大的困难。

　　在启用这些策略后，咱们在添加排除进程时，必须将不了解不熟悉的进程所有排除在外，有一些进程不是必需要用到的，临时开放后就要将它删除，才能让服务器更加安全。固然不怕神同样的敌人，就怕猪同样的队友，服务器管理糊乱设置，看到日志中的阻止项就顺手加入排除进程的话，那我也无话可说了。

 

　　打开VirusScan控制台

　　

　　检查相关项是否正常开启

　　

　　检查访问保护日志

　　

　　查看是否有新禁用或阻止记录，查看该记录是什么账户操做的，是否影响网站的运行，而后再考虑是否加入到规则列表中，通常来讲阻止项不影响网站或服务运行的，所有不用理睬。

　　从日志这里，你能够看到是什么用户在操做的，运行的是那个程序，作什么操做的时候给阻止的。通常来讲咱们服务器是作网站用的，若是这里禁用的是SYSTEM或IIS的相关账号，那么认真看看这些程序是否是网站运行必须的，是的话就放行，不是的就不用理它。而管理员账号的操做，若是是本身操做时产生的，就临时放行一下就能够了，若是不是的话，就要查查是否是可能给入侵了。

　　

　　

　　

　　若是须要添加的，就加入到访问保护的排除进程规则中

　　

　　添加后再测试一下看看是否正常，若是还不行，再打开查看一下日志，将新日志记录所禁止的进程添加到对应策略里。

3.2.    检查McAfee HIP防火墙

　　McAfee HIP防火墙能够直接监控服务器全部端口对内对外的全部访问，能够直接禁用指定软件使用某个端口，可即時防护和阻挡已知的、零时差、阻断服务 (DoS)、分散式阻断服务 (DDoS)、SYN Flood 与加密式攻击等。

　　若是启用了应用程序策略，还能够直接控制服务器全部软件的使用与运行。

 

　　双击防火墙图标打开防火墙软件

　　

　　查看IPS政策防入侵防火墙是否开启

　　

　　检查防火墙是否启用，并查看里面已设置好的规则里是否有新添加的项，判断这些项设置是否正常

　　

　　查看活动记录，开启纪录全部容许项目，看看有没有新的端口有访问连接，并判断是否充许，若是不容许的话，在防火墙规则中手动添加进去

　　

　　手动添加阻止规则

　　

　　再次查看活动记录，该商品的访问已给阻止

　　

 

　　若是想服务器更安全的话，还能够开启应用策略功能，这样的话服务器里运行任何软件都须要通过受权了，虽然会比较麻烦，但系统也会更加安全可靠，具体怎么设置你们能够在虚拟机上测试一下就知道了。

　　

3.3.    检查Windows防火墙

　　打开Windows防火墙，查看该防火墙是否开启（虽然已经有McAfee防火墙在了，但系统自带防火墙还要需要开启，以防止万一不当心关闭了其中一个防火墙时，另一个还处于开启状态）

　　

　　检查防火墙端口开启状况，是不是本身设定那些，有没有新增开启端口，有的话作出相应判断并咨询服务器的其余管理人员。

　　

3.4.    检查IIS相关设置和网站目录访问权限

　　主要检查几个网站的目录设置，查看是否开启了目录写入权限，而后对全部有写入权限的文件夹检查其是否有可执行权限
同时检查网站有没有多出新的目录（有的目录多是开发人员随意添加的而服务器管理员又不清楚，有的多是黑客添加的），这些目录权限设置如何等。
　　

　　除了检查写入权限外，也检查一下是否添加了新的账户，若是根目录有写入权限的话就得当心了，另外若是多了新的账户也要注意一下是不是其余管理员添加的

　　

　　

　　

　　检查可写入目录是否有可执行权限

　　

　　

　　

　　将网站的相关文件夹都按上面方法检查一下，另外对于JS、CSS、Images、配置、日志、HTML等不用执行的目录，虽然没有设置有写入权限，最好也将它们设置成无脚本执行限制

3.5.    检查管理员账号

　　打开服务器管理器，检查账号是否为默认的几个，是否有多出新的账号来（通常服务器给入侵后，都会另外建立了一些新账号或将一些本来隶属于Guest组的账号提高为管理员或User等组权限）

　　因为在新的虚拟机上测试并写本文档，IIS访问账号权限使用的是应用程序池账号，因此这里就不像上一遍文章那样有不少账号
　　

　　查看Administrator账号隶属组是否为空

　　

　　检查DisableGuest账号是否隶属于Guests，且账号是不是禁用状态

　　

　　

　　若是还有其余账号，也作以上检查

3.6.    检查Windows日志

　　日志文件对咱们是很是重要的，能够从中查看各类账户的操做痕迹，因此最好将日志存储路径从新修改一下，另外日志目录的SYSTEM账号权限也设置成能够只读与添加，而不能修改，这样万一给入侵了，也删除、修改不了日志文件。（对于日志路径修改的文章网上不少，这里就再也不详细描述了）

　　咱们检查日志，主要查看日志中的警告和错误信息，从中分析出那些是因为代码问题引起的异常（将这些异常发给相关同事进行修复），那些是系统错误（判断是防火墙规则引发的仍是服务或程序出错，判断需不须要进行相应处理），那些是黑客在进行入侵攻击（分析出攻击方式后，能够在相关的代码页面从新进行检查处理，以避免有个别页面存在漏洞而致使入侵成功）……对于日志中显示的异常，其实有很多记录并非代码自身引发的，比较常见的是有人使用XSS方式攻击提交引发的异常，对于这些异常能够不用去理会它，只要作好页面提交入口的SQL注入与XSS攻击过滤操做就没有问题。
　　另外，正常的信息有空的话也要抽时间看看，能够分析出不少已经过防火墙规则的各类操做，查看是否有入侵已经成功（好比查看一些正常进入后台访问的IP是不是其余地区的，再查看后台相关日志看是那位同事操做等）。
　　

　　
　　

　　对于安全事件日志，查看审核成功与失败的记录都要认真看看，主要注意下面内容：正常或失败的登录与注销时间，看看是不是服务器管理员本身上来的，看看是否有非本身建立的账号；留意是否存在批处理登录事件（及有可能入侵成功了）；各类账号管理事件与安全组管理事件（入侵成功后可能会建立账号、修改密码或删除账号等操做，这些都会被记录下来）；审核策略更改事件（是不是管理员本身更改的，若是不是本身的是其余管理员的话，检查一下更改了什么）。具体能够百度一下《审核WINDOWS安全日志》认真研究一下各类审核事件说明。
　　

3.7.    检查IIS网站访问日志

　　对于网站访问日志的检查分析，网上有很多的介绍，这里我就再也不重复了，主要说说我本身的看法吧。

　　IIS日志会将用户访问网站的全部连接忠诚的记录下来，若是你的站点用的是GET方式提交参数的话，那么能够很容易从日志中相看到各类SQL注入、XSS的攻击方法。用POST方式提交的话，那就看不到这些内容了。咱们检查日志主要是查找各类非正常访问方式。

　　好比：从日志中查找一些攻击经常使用的特殊字符，如',1=1,1>0,update,insert,<,>,#,$,{,sp_,xp_,exe,dll等，检查一下图片扩展名的记录是否有参数存在（检查是否存在上传漏洞），固然也能够下个分析工具或本身写一个。

　　而访问日志一般不是孤立的，要与其余的相关日志结合起来分析。

　　下面举一个例子给你们说明一下：

　　在2月10号的时候，我检查了公司的后台操做日志，发现有几个上海IP的访问记录（说明：公司网站的后端是独立域名，别人是不知道的，而公司在上海也没有其余人员，另外我开发的后台管理系统每一个页面都通过加密处理，不是正常登录后从页面生成的URL点击的话，是无操做访问权限的，每一个管理员在后台的全部操做，框架都会认真的所有记录下来（包括浏览页面记录））

　　后台管理员操做与访问日志信息：

　　

　　发现后我就很奇怪，立刻查看对应的登录日志与IIS日志

　　并无找到登录日志记录

　　而IIS日志就发现有很多对应的记录，好比上面用户操做日志记录对应的这一条（注：IIS日志记录的时间时区不是中国所在的东八区，因此时间查看时要加上8）

　　

　　因为KeyEncrypt这一串加密后的编码是维一的，因此一查就查到了一条对应的公司IP访问记录

　　

　　而后顺滕摸瓜，再反过来查询用户操做日志上，这个时间是谁在操做

　　

　　再而后就直接找那个同事，看看他的机子是否中毒了，是否给人劫持了浏览器

 

　　事到这里你们觉得已经告一段落了，而同事也在重装系统中~~~

　　而我从新再按上面手段检查时发现，有不少同事都有这样的记录，来访IP都是上海与深圳电信、联通几个IP段的地址，而前端的页面也发现了一样的IP，而对应访问连接的IP全国各地的客户都有，不可能你们都中毒了，并且这些访问的全部特色都是你们访问了指定页面后，过上几分钟或半个小时，就有一条或多条一样路径的访问记录......忽然间有股不寒而栗的感受，咱们上网还有什么隐私？每访问一个页面都有人监控到，并且同时会浏览一下看看咱们去了那里。到了这里我也不知讲什么了（你们能够试试查查本身的服务器日志，看看有没有下面几个IP就知道了），这究竟是所使用的浏览器暴露了咱们的访问仍是防火墙？仍是其余的软件呢？这个还得进一步研究才知道。

　　认真查了一下，主要有这几个IP段：101.226.102.*     101.226.33.*     101.226.51.*     101.226.65.*     101.226.66.*     101.226.89.*     112.64.235.*     112.65.193.*     115.239.212.*     180.153.114.*     180.153.161.*     180.153.163.*     180.153.201.*     180.153.206.*     180.153.211.*     180.153.214.*     183.60.35.*     183.60.70.*     222.73.76.*

 

　　虽然此次发现后台地址暴露了，也没有给他们成功访问进入到系统，不过为了保险起见，后台登录立刻加了登录须要IP受权方式（须要获取到手机短信验证码，提交后获取当前用户IP受权方式——能接收短信的手机是后台系统录入员工手机号码）

 

　　日志的分析因为你们的系统不同，不能直接套用，因此没有固定的模式，须要根据具体的状况来对应操做，咱们要学习的是日志分析的一种思路，这样才能更好的应用到本身的工做中。

　　你们应该多百度一下，看看其余朋友是怎么分析日志的，这样才能更好的提高本身。

　　其余日志分析例子：http://www.cnblogs.com/sanshi/p/3150639.html

 

3.8.    检查FTP日志

　　FTP日志主要检查是否有人在尝试入侵，用什么账号尝试，是否登录成功了，作过什么操做等

3.9.    检查网站相关日志

　　若是你的网站先后端操做、支付以及相关的业务接口等都有日志记录的话，也要认真的检查一下。

　　首先查查看是否有异常记录，有的话发给相关的人员进行修复。

　　而网站后端，主要检查登录的管理员访问的IP地址是不是公司所在地的，有没有外地IP，有的话是不是公司员工等；有没有非法登录，访问了那些页面，作过什么操做。

　　网站前端与业务接口相关日志主要检查业务逻辑、充值等相关信息，具体得根据各自不一样的业务而定。

3.10.    检查服务器运行进程

　　在服务器安装好之后，最好立刻将服务器正在运行的进程拷屏并保存下来，在日常维护服务器时，能够拿出来和当前正在运行的进程进行对比，看看有没有多出一些不认识的进程，有的话百度一下看看是什么软件，有什么做用，是不是危险的后门程序等。

4.    备份数据

　　作好数据库的自动备份操做，常常检查一下当天的备份是否运行成功（有时会由于数据满了或其余异常致使没有备份成功），万一备份失败而数据库又发生问题的话，嘿嘿~~~会发生什么事情就不言而预了。若是空间大的话，而数据又很是重要，那天天就作多几回备份或数据同步等操做就保险多了。若是大多数朋友都只有一台或几台独立的服务器，那除了自动备份外，天天压缩数据库后下载到本地备份仍是颇有必要的。

　　按期备份网站和相关图片。

　　按期备份前面所说的各类日志（有时要查看分析一些信息时就要用到，好比给入侵一段时间后才发现，这时就要慢慢翻看历史日志了，看是那里出现的漏洞引发的，好进行修复），并清理已备份好的日志文件（有的朋友常期不清理日志，有时会由于日志存放空间爆满而发生错误）

5.    相关说明

　　一、防黑的工做是任重而道远的，除了要作好安全设置外，平时还得细分的作好服务器相关的检查维护工做。
　　二、能够按期使用各类黑客工具，尝试攻击本身的服务器，查看是否有漏洞存在。认真到各大论坛、网站学习各类不一样的攻击技巧，只有了解对手的攻击手段，才能作好防御工做。
　　三、在检查过程当中，发现有不熟悉的设置改变了，须要当即联系相关同事咨问，确保服务器安全。
　　四、服务器设置方面，全部防火墙提示的操做先禁用，当发现某个服务或什么运行不了时再开放，这样才不会将服务器一些没必要要的端口给开放出去。

　　五、当查出有问题时，须要详细分析全部新旧日志，查看他是若是进入的，进行了什么操做，才能制定对应的策略，防止下一次再给入侵。
　　六、服务器的日志的分析是灵活多变的，不一样的问题分析方式方法也不同，并且须要不一样日志结合起来综合分析。这须要不断的学习以及经验的积累。

　　七、固然若是你能了解网站的程序架构的话，对网站的安全性会更有帮助。

　　因为文笔有限，本文写的确定还有很多遗漏的地方，也请各位大大指出一下，最后也但愿本文能对你有所帮助。

　　若是你觉本篇文章有帮到你，也请帮忙点推荐。

 

 

 

 版权声明：

　　本文由AllEmpty发布于博客园，本文版权归做者和博客园共有，欢迎转载，但未经做者赞成必须保留此段声明，且在文章页面明显位置给出原文连接，若有问题，能够经过1654937#qq.com 联系我，很是感谢。

 

　　发表本编内容，只要主为了和你们共同窗习共同进步，有兴趣的朋友能够加加Q群：327360708 或Email给我（1654937#qq.com），你们一块儿探讨，因为本人工做很繁忙，若是疑问请先留言，回复不及时也请谅解。

 

　　更多内容，敬请观注博客：http://www.cnblogs.com/EmptyFS/