文檔寫好有一段時(shí)間了，可一直不敢上傳，對(duì)服務(wù)器安全了解得越多，就越覺得自己很膚淺，很多都還沒入門，發(fā)上來在這么多大神面前搬門弄斧，一不小心可能就會(huì)給劈得渣都不剩了。

　　在編寫的過程中，有不少地方心里明白是怎么回事，要怎么去分析和處理，但就是不知道怎么用文字表述出來（真是書到用時(shí)方狠少?。墓P有限也請(qǐng)大家見諒。

　　有的地方想深入一些說說，講一些所以然出來，但個(gè)人實(shí)力有限，我也只是知其然而已?，F(xiàn)在也只能厚著臉皮講一講自己在服務(wù)器日常管理的一些方法，和近段時(shí)間碰到一些問題的分析處理方式，而一些其他的攻擊方法，那也只有碰到后才能根據(jù)實(shí)際情況來作出處理，現(xiàn)在沒有碰到也不知道怎么講那些分析處理方法，文中提出的一些內(nèi)容僅供參考，大家可以做為一種操作的思路。

　　上一文《服務(wù)器安全部署文檔》中，只是寫了怎么部署服務(wù)器才能更安全些，但為什么要這樣設(shè)置，為什么要用McAfee防火墻等，卻沒有詳細(xì)的進(jìn)行描述，不過想想，如果真的再講細(xì)一點(diǎn)，那文檔的長(zhǎng)度可能還要多一半，大家就真的看得更頭暈了，呵呵......不過本文會(huì)對(duì)其中一小部分內(nèi)容重新進(jìn)行說明，補(bǔ)充一下。

　　好了就不再啰嗦了，轉(zhuǎn)入正題。

　　目錄
1. 前言 3
2. 部署環(huán)境 3
2.1 服務(wù)器環(huán)境信息 3
3. 安全檢查 4
3.1. 檢查VirusScan控制臺(tái) 4
3.2. 檢查McAfee HIP防火墻 6
3.3. 檢查Windows防火墻 9
3.4. 檢查IIS相關(guān)設(shè)置和網(wǎng)站目錄訪問權(quán)限 10
3.5. 檢查管理員帳號(hào) 14
3.6. 檢查Windows日志 15
3.7. 檢查IIS網(wǎng)站訪問日志 16
3.8. 檢查FTP日志 17
3.9. 檢查網(wǎng)站相關(guān)日志 17
3.10. 檢查服務(wù)器運(yùn)行進(jìn)程 19
4. 備份數(shù)據(jù) 21
5. 相關(guān)說明 21

1.前言

　　服務(wù)器做好了安全部署以后，如果沒有做好日常維護(hù)的話，那就等于將圍著籬笆的羊群放在空曠的草原上而不去理它，當(dāng)有一天狼發(fā)現(xiàn)了籬笆存在問題，扒開籬笆闖進(jìn)羊群盡情享受時(shí)，而主人卻遠(yuǎn)在天邊而不知。而做好日常維護(hù)的話，就可以比較及時(shí)發(fā)現(xiàn)問題并修復(fù)漏洞，減少損失。

2. 部署環(huán)境

　　略（請(qǐng)參考服務(wù)器部署文檔）

3. 安全檢查

3.1. 檢查McAfee的VirusScan控制臺(tái)

　　可能有朋友會(huì)問，為什么使用McAfee而不用其他工具？這是因?yàn)镸cAfee有訪問保護(hù)這個(gè)功能，只要開啟了對(duì)應(yīng)的安全策略，那么不過通授權(quán)（訪問保護(hù)里設(shè)置的排除進(jìn)程）的所有軟件，都無法進(jìn)行對(duì)應(yīng)的操作。比如開啟了“禁止在 Windows 文件夾中創(chuàng)建新的可執(zhí)行文件”或自定義一個(gè)策略，禁止在服務(wù)器上所有目錄創(chuàng)建dll與exe文件，那么別人在黑服務(wù)器時(shí)，調(diào)用了一些方法可能就無法執(zhí)行了。萬一他們使用了我們開放的一些服務(wù)上傳了木馬或入侵進(jìn)來的，這種安全策略也會(huì)給他們?cè)谶M(jìn)行提權(quán)操作時(shí)帶來很大的困難。

　　在啟用這些策略后，我們?cè)谔砑优懦M(jìn)程時(shí)，必須將不了解不熟悉的進(jìn)程全部排除在外，有一些進(jìn)程不是必須要用到的，臨時(shí)開放后就要將它刪除，才能讓服務(wù)器更加安全。當(dāng)然不怕神一樣的敵人，就怕豬一樣的隊(duì)友，服務(wù)器管理糊亂設(shè)置，看到日志中的阻止項(xiàng)就順手加入排除進(jìn)程的話，那我也無話可說了。

　　打開VirusScan控制臺(tái)

　　檢查相關(guān)項(xiàng)是否正常開啟

　　檢查訪問保護(hù)日志

　　查看是否有新禁用或阻止記錄，查看該記錄是什么帳戶操作的，是否影響網(wǎng)站的運(yùn)行，然后再考慮是否加入到規(guī)則列表中，一般來說阻止項(xiàng)不影響網(wǎng)站或服務(wù)運(yùn)行的，全部不用理睬。

　　從日志這里，你可以看到是什么用戶在操作的，運(yùn)行的是那個(gè)程序，做什么操作的時(shí)候給阻止的。一般來說我們服務(wù)器是做網(wǎng)站用的，如果這里禁用的是SYSTEM或IIS的相關(guān)帳號(hào)，那么認(rèn)真看看這些程序是不是網(wǎng)站運(yùn)行必須的，是的話就放行，不是的就不用理它。而管理員帳號(hào)的操作，如果是自己操作時(shí)產(chǎn)生的，就臨時(shí)放行一下就可以了，如果不是的話，就要查查是不是可能給入侵了。

　　如果需要添加的，就加入到訪問保護(hù)的排除進(jìn)程規(guī)則中

　　添加后再測(cè)試一下看看是否正常，如果還不行，再打開查看一下日志，將新日志記錄所禁止的進(jìn)程添加到對(duì)應(yīng)策略里。

3.2. 檢查McAfee HIP防火墻

　　McAfee HIP防火墻可以直接監(jiān)控服務(wù)器所有端口對(duì)內(nèi)對(duì)外的所有訪問，可以直接禁用指定軟件使用某個(gè)端口，可即時(shí)防御和阻擋已知的、零時(shí)差、阻斷服務(wù) (DoS)、分散式阻斷服務(wù) (DDoS)、SYN Flood 與加密式攻擊等。

　　如果啟用了應(yīng)用程序策略，還可以直接控制服務(wù)器所有軟件的使用與運(yùn)行。

　　雙擊防火墻圖標(biāo)打開防火墻軟件

　　查看IPS政策防入侵防火墻是否開啟

　　檢查防火墻是否啟用，并查看里面已設(shè)置好的規(guī)則里是否有新添加的項(xiàng)，判斷這些項(xiàng)設(shè)置是否正常

　　查看活動(dòng)記錄，開啟紀(jì)錄所有允許項(xiàng)目，看看有沒有新的端口有訪問鏈接，并判斷是否充許，如果不允許的話，在防火墻規(guī)則中手動(dòng)添加進(jìn)去

　　手動(dòng)添加阻止規(guī)則

　　再次查看活動(dòng)記錄，該商品的訪問已給阻止

　　如果想服務(wù)器更安全的話，還可以開啟應(yīng)用策略功能，這樣的話服務(wù)器里運(yùn)行任何軟件都需要經(jīng)過授權(quán)了，雖然會(huì)比較麻煩，但系統(tǒng)也會(huì)更加安全可靠，具體怎么設(shè)置大家可以在虛擬機(jī)上測(cè)試一下就知道了。

3.3. 檢查Windows防火墻

　　打開Windows防火墻，查看該防火墻是否開啟（雖然已經(jīng)有McAfee防火墻在了，但系統(tǒng)自帶防火墻還要須要開啟，以防止萬一不小心關(guān)閉了其中一個(gè)防火墻時(shí)，另外一個(gè)還處于開啟狀態(tài)）

　　檢查防火墻端口開啟情況，是否是自己設(shè)定那些，有沒有新增開啟端口，有的話做出相應(yīng)判斷并咨詢服務(wù)器的其他管理人員。

3.4. 檢查IIS相關(guān)設(shè)置和網(wǎng)站目錄訪問權(quán)限

　　主要檢查幾個(gè)網(wǎng)站的目錄設(shè)置，查看是否開啟了目錄寫入權(quán)限，然后對(duì)所有有寫入權(quán)限的文件夾檢查其是否有可執(zhí)行權(quán)限
同時(shí)檢查網(wǎng)站有沒有多出新的目錄（有的目錄可能是開發(fā)人員隨意添加的而服務(wù)器管理員又不清楚，有的可能是黑客添加的），這些目錄權(quán)限設(shè)置如何等。
　　

　　除了檢查寫入權(quán)限外，也檢查一下是否添加了新的帳戶，如果根目錄有寫入權(quán)限的話就得小心了，另外如果多了新的帳戶也要注意一下是否是其他管理員添加的

　　檢查可寫入目錄是否有可執(zhí)行權(quán)限

　　將網(wǎng)站的相關(guān)文件夾都按上面方法檢查一下，另外對(duì)于JS、CSS、Images、配置、日志、HTML等不用執(zhí)行的目錄，雖然沒有設(shè)置有寫入權(quán)限，最好也將它們?cè)O(shè)置成無腳本執(zhí)行限制

3.5. 檢查管理員帳號(hào)

　　打開服務(wù)器管理器，檢查帳號(hào)是否為默認(rèn)的幾個(gè)，是否有多出新的帳號(hào)來（一般服務(wù)器給入侵后，都會(huì)另外創(chuàng)建了一些新帳號(hào)或?qū)⒁恍┰倦`屬于Guest組的帳號(hào)提升為管理員或User等組權(quán)限）

　　由于在新的虛擬機(jī)上測(cè)試并寫本文檔，IIS訪問帳號(hào)權(quán)限使用的是應(yīng)用程序池帳號(hào)，所以這里就不像上一遍文章那樣有很多帳號(hào)
　　

　　查看Administrator帳號(hào)隸屬組是否為空

　　檢查DisableGuest帳號(hào)是否隸屬于Guests，且?guī)ぬ?hào)是否是禁用狀態(tài)

　　如果還有其他帳號(hào)，也做以上檢查

3.6. 檢查Windows日志

　　日志文件對(duì)我們是非常重要的，可以從中查看各種帳戶的操作痕跡，所以最好將日志存儲(chǔ)路徑重新修改一下，另外日志目錄的SYSTEM帳號(hào)權(quán)限也設(shè)置成可以只讀與添加，而不能修改，這樣萬一給入侵了，也刪除、修改不了日志文件。（對(duì)于日志路徑修改的文章網(wǎng)上很多，這里就不再詳細(xì)描述了）

　　我們檢查日志，主要查看日志中的警告和錯(cuò)誤信息，從中分析出那些是由于代碼問題引發(fā)的異常（將這些異常發(fā)給相關(guān)同事進(jìn)行修復(fù)），那些是系統(tǒng)錯(cuò)誤（判斷是防火墻規(guī)則引起的還是服務(wù)或程序出錯(cuò)，判斷需不需要進(jìn)行相應(yīng)處理），那些是黑客在進(jìn)行入侵攻擊（分析出攻擊方式后，可以在相關(guān)的代碼頁面重新進(jìn)行檢查處理，以免有個(gè)別頁面存在漏洞而導(dǎo)致入侵成功）……對(duì)于日志中顯示的異常，其實(shí)有不少記錄并不是代碼自身引起的，比較常見的是有人使用XSS方式攻擊提交引起的異常，對(duì)于這些異?？梢圆挥萌ダ頃?huì)它，只要做好頁面提交入口的SQL注入與XSS攻擊過濾操作就沒有問題。
　　另外，正常的信息有空的話也要抽時(shí)間看看，可以分析出很多已通過防火墻規(guī)則的各種操作，查看是否有入侵已經(jīng)成功（比如查看一些正常進(jìn)入后臺(tái)訪問的IP是否是其他地區(qū)的，再查看后臺(tái)相關(guān)日志看是那位同事操作等）。
　　

　　對(duì)于安全事件日志，查看審核成功與失敗的記錄都要認(rèn)真看看，主要注意下面內(nèi)容：正常或失敗的登陸與注銷時(shí)間，看看是否是服務(wù)器管理員自己上來的，看看是否有非自己創(chuàng)建的帳號(hào)；留意是否存在批處理登陸事件（及有可能入侵成功了）；各種帳號(hào)管理事件與安全組管理事件（入侵成功后可能會(huì)創(chuàng)建帳號(hào)、修改密碼或刪除帳號(hào)等操作，這些都會(huì)被記錄下來）；審核策略更改事件（是否是管理員自己更改的，如果不是自己的是其他管理員的話，檢查一下更改了什么）。具體可以百度一下《審核WINDOWS安全日志》認(rèn)真研究一下各種審核事件說明。
　　

3.7. 檢查IIS網(wǎng)站訪問日志

　　對(duì)于網(wǎng)站訪問日志的檢查分析，網(wǎng)上有不少的介紹，這里我就不再重復(fù)了，主要說說我自己的見解吧。

　　IIS日志會(huì)將用戶訪問網(wǎng)站的所有鏈接忠誠的記錄下來，如果你的站點(diǎn)用的是GET方式提交參數(shù)的話，那么可以很容易從日志中相看到各種SQL注入、XSS的攻擊方法。用POST方式提交的話，那就看不到這些內(nèi)容了。我們檢查日志主要是查找各種非正常訪問方式。

　　比如：從日志中查找一些攻擊常用的特殊字符，如',1=1,1>0,update,insert,<,>,#,$,{,sp_,xp_,exe,dll等，檢查一下圖片擴(kuò)展名的記錄是否有參數(shù)存在（檢查是否存在上傳漏洞），當(dāng)然也可以下個(gè)分析工具或自己寫一個(gè)。

　　而訪問日志通常不是孤立的，要與其他的相關(guān)日志結(jié)合起來分析。

　　下面舉一個(gè)例子給大家說明一下：

　　在2月10號(hào)的時(shí)候，我檢查了公司的后臺(tái)操作日志，發(fā)現(xiàn)有幾個(gè)上海IP的訪問記錄（說明：公司網(wǎng)站的后端是獨(dú)立域名，別人是不知道的，而公司在上海也沒有其他人員，另外我開發(fā)的后臺(tái)管理系統(tǒng)每個(gè)頁面都經(jīng)過加密處理，不是正常登陸后從頁面生成的URL點(diǎn)擊的話，是無操作訪問權(quán)限的，每個(gè)管理員在后臺(tái)的所有操作，框架都會(huì)認(rèn)真的全部記錄下來（包括瀏覽頁面記錄））

　　后臺(tái)管理員操作與訪問日志信息：

　　發(fā)現(xiàn)后我就很奇怪，馬上查看對(duì)應(yīng)的登陸日志與IIS日志

　　并沒有找到登陸日志記錄

　　而IIS日志就發(fā)現(xiàn)有不少對(duì)應(yīng)的記錄，比如上面用戶操作日志記錄對(duì)應(yīng)的這一條（注：IIS日志記錄的時(shí)間時(shí)區(qū)不是中國所在的東八區(qū)，所以時(shí)間查看時(shí)要加上8）

　　由于KeyEncrypt這一串加密后的編碼是維一的，所以一查就查到了一條對(duì)應(yīng)的公司IP訪問記錄

　　然后順滕摸瓜，再反過來查詢用戶操作日志上，這個(gè)時(shí)間是誰在操作

　　再然后就直接找那個(gè)同事，看看他的機(jī)子是否中毒了，是否給人劫持了瀏覽器

　　事到這里大家以為已經(jīng)告一段落了，而同事也在重裝系統(tǒng)中~~~

　　而我重新再按上面手段檢查時(shí)發(fā)現(xiàn)，有很多同事都有這樣的記錄，來訪IP都是上海與深圳電信、聯(lián)通幾個(gè)IP段的地址，而前端的頁面也發(fā)現(xiàn)了同樣的IP，而對(duì)應(yīng)訪問鏈接的IP全國各地的客戶都有，不可能大家都中毒了，而且這些訪問的所有特點(diǎn)都是大家訪問了指定頁面后，過上幾分鐘或半個(gè)小時(shí)，就有一條或多條同樣路徑的訪問記錄......突然間有股毛骨悚然的感覺，我們上網(wǎng)還有什么隱私？每訪問一個(gè)頁面都有人監(jiān)控到，而且同時(shí)會(huì)瀏覽一下看看我們?nèi)チ四抢?。到了這里我也不知講什么了（大家可以試試查查自己的服務(wù)器日志，看看有沒有下面幾個(gè)IP就知道了），這到底是所使用的瀏覽器暴露了我們的訪問還是防火墻？還是其他的軟件呢？這個(gè)還得進(jìn)一步研究才知道。

　　認(rèn)真查了一下，主要有這幾個(gè)IP段：101.226.102.* 101.226.33.* 101.226.51.* 101.226.65.* 101.226.66.* 101.226.89.* 112.64.235.* 112.65.193.* 115.239.212.* 180.153.114.* 180.153.161.* 180.153.163.* 180.153.201.* 180.153.206.* 180.153.211.* 180.153.214.* 183.60.35.* 183.60.70.* 222.73.76.*

　　雖然這次發(fā)現(xiàn)后臺(tái)地址暴露了，也沒有給他們成功訪問進(jìn)入到系統(tǒng)，不過為了保險(xiǎn)起見，后臺(tái)登陸馬上加了登陸需要IP授權(quán)方式（需要獲取到手機(jī)短信驗(yàn)證碼，提交后獲取當(dāng)前用戶IP授權(quán)方式——能接收短信的手機(jī)是后臺(tái)系統(tǒng)錄入員工手機(jī)號(hào)碼）

　　日志的分析由于大家的系統(tǒng)不一樣，不能直接套用，所以沒有固定的模式，需要根據(jù)具體的情況來對(duì)應(yīng)操作，我們要學(xué)習(xí)的是日志分析的一種思路，這樣才能更好的應(yīng)用到自己的工作中。

　　大家應(yīng)該多百度一下，看看其他朋友是怎么分析日志的，這樣才能更好的提升自己。

　　其他日志分析例子：http://www.49028c.com/hack/648537.html

3.8. 檢查FTP日志

　　FTP日志主要檢查是否有人在嘗試入侵，用什么帳號(hào)嘗試，是否登陸成功了，做過什么操作等

3.9. 檢查網(wǎng)站相關(guān)日志

　　如果你的網(wǎng)站前后端操作、支付以及相關(guān)的業(yè)務(wù)接口等都有日志記錄的話，也要認(rèn)真的檢查一下。

　　首先查查看是否有異常記錄，有的話發(fā)給相關(guān)的人員進(jìn)行修復(fù)。

　　而網(wǎng)站后端，主要檢查登陸的管理員訪問的IP地址是否是公司所在地的，有沒有外地IP，有的話是否是公司員工等；有沒有非法登陸，訪問了那些頁面，做過什么操作。

　　網(wǎng)站前端與業(yè)務(wù)接口相關(guān)日志主要檢查業(yè)務(wù)邏輯、充值等相關(guān)信息，具體得根據(jù)各自不同的業(yè)務(wù)而定。

3.10. 檢查服務(wù)器運(yùn)行進(jìn)程

　　在服務(wù)器安裝好以后，最好馬上將服務(wù)器正在運(yùn)行的進(jìn)程拷屏并保存下來，在平常維護(hù)服務(wù)器時(shí)，可以拿出來和當(dāng)前正在運(yùn)行的進(jìn)程進(jìn)行對(duì)比，看看有沒有多出一些不認(rèn)識(shí)的進(jìn)程，有的話百度一下看看是什么軟件，有什么作用，是否是危險(xiǎn)的后門程序等。

4. 備份數(shù)據(jù)

　　做好數(shù)據(jù)庫的自動(dòng)備份操作，經(jīng)常檢查一下當(dāng)天的備份是否運(yùn)行成功（有時(shí)會(huì)因?yàn)閿?shù)據(jù)滿了或其他異常導(dǎo)致沒有備份成功），萬一備份失敗而數(shù)據(jù)庫又發(fā)生問題的話，嘿嘿~~~會(huì)發(fā)生什么事情就不言而預(yù)了。如果空間大的話，而數(shù)據(jù)又非常重要，那每天就做多幾次備份或數(shù)據(jù)同步等操作就保險(xiǎn)多了。如果大多數(shù)朋友都只有一臺(tái)或幾臺(tái)獨(dú)立的服務(wù)器，那除了自動(dòng)備份外，每天壓縮數(shù)據(jù)庫后下載到本地備份還是很有必要的。

　　定期備份網(wǎng)站和相關(guān)圖片。

　　定期備份前面所說的各種日志（有時(shí)要查看分析一些信息時(shí)就要用到，比如給入侵一段時(shí)間后才發(fā)現(xiàn)，這時(shí)就要慢慢翻看歷史日志了，看是那里出現(xiàn)的漏洞引起的，好進(jìn)行修復(fù)），并清理已備份好的日志文件（有的朋友常期不清理日志，有時(shí)會(huì)因?yàn)槿罩敬娣趴臻g爆滿而發(fā)生錯(cuò)誤）

5. 相關(guān)說明

　　1、防黑的工作是任重而道遠(yuǎn)的，除了要做好安全設(shè)置外，平時(shí)還得細(xì)分的做好服務(wù)器相關(guān)的檢查維護(hù)工作。
　　2、可以定期使用各種黑客工具，嘗試攻擊自己的服務(wù)器，查看是否有漏洞存在。認(rèn)真到各大論壇、網(wǎng)站學(xué)習(xí)各種不同的攻擊技巧，只有了解對(duì)手的攻擊手段，才能做好防護(hù)工作。
　　3、在檢查過程中，發(fā)現(xiàn)有不熟悉的設(shè)置改變了，需要立即聯(lián)系相關(guān)同事咨問，確保服務(wù)器安全。
　　4、服務(wù)器設(shè)置方面，所有防火墻提示的操作先禁用，當(dāng)發(fā)現(xiàn)某個(gè)服務(wù)或什么運(yùn)行不了時(shí)再開放，這樣才不會(huì)將服務(wù)器一些不必要的端口給開放出去。

　　5、當(dāng)查出有問題時(shí)，需要詳細(xì)分析所有新舊日志，查看他是如果進(jìn)入的，進(jìn)行了什么操作，才能制定對(duì)應(yīng)的策略，防止下一次再給入侵。
　　6、服務(wù)器的日志的分析是靈活多變的，不同的問題分析方式方法也不一樣，而且需要不同日志結(jié)合起來綜合分析。這需要不斷的學(xué)習(xí)以及經(jīng)驗(yàn)的積累。

　　7、當(dāng)然如果你能了解網(wǎng)站的程序架構(gòu)的話，對(duì)網(wǎng)站的安全性會(huì)更有幫助。

　　由于文筆有限，本文寫的肯定還有不少遺漏的地方，也請(qǐng)各位大大指出一下，最后也希望本文能對(duì)你有所幫助。

　　如果你覺本篇文章有幫到你，也請(qǐng)幫忙點(diǎn)推薦。

版權(quán)聲明：

　　本文由AllEmpty發(fā)布于博客園，本文版權(quán)歸作者和博客園共有，歡迎轉(zhuǎn)載，但未經(jīng)作者同意必須保留此段聲明，且在文章頁面明顯位置給出原文鏈接，如有問題，可以通過1654937#qq.com 聯(lián)系我，非常感謝。

　　發(fā)表本編內(nèi)容，只要主為了和大家共同學(xué)習(xí)共同進(jìn)步，有興趣的朋友可以加加Q群：327360708 或Email給我（1654937#qq.com），大家一起探討，由于本人工作很繁忙，如果疑問請(qǐng)先留言，回復(fù)不及時(shí)也請(qǐng)諒解。