服务器安装McAfee + 彩影ARP防火墙 很不错. (更多资料可以查看s.jb51.net里面的内容。)这是一个很的害厉黑客告诉我的,说只有安装了这二样他才没着。 服务器杀毒。 360safe检查服务器安全问题(用完就删,千万不要保留) a) 清理恶意插件。 b) 清理无用软件。 c) 修复系统漏洞。 d) 查杀流行木马。 e) 关闭无用进程/关闭无用启动项/关闭无用服务。 检查服务器安全 a) 查看WEB站点是否正常访问。 l 有没有多出新的站点? l 站点使用的是什么数据库? l 站点权限问题。 l 站点下是否有新上传的文件。 l 站点后台是否多个管理员操作权限。 l 检查各站点是否挂马,是否有注入漏洞,是否有JS漏洞,等等。 l 搜索站点目录下文件内容是否有“cmd/exec/serv-u”字样 l 查找.asp;.asa;.php;扩展名的文件大小大于25K的文件,打开查看是否是木马文件 l IE打开站点时如果出现不明的加载DLL提示,立刻检查代码是否挂马,第三方的广告是否挂马,非站内URL是否被挂马。 l 可以安装“谷歌浏览器”和“360安全浏览器”会自动提示页面是否挂马,可查看挂马的文件 l 最主要的是凭感觉来发现病毒。如:服务器很慢/有隐藏的操作/aspx文件无cs文件/文件时间不对路/ l 挂马有多种方式: 以JS文件的形式将木马挂在页面上(asp/aspx/html/htm/php)。 以JS代码的形式将木马挂在页面上(asp/aspx/html/htm/php)。 将JS病毒代码放到CSS文件里。用” eXpreSsIon”和@import引用 将JS病毒代码放在JS文件里。用document.write输出调用。 用iframe打开有JS病毒的页面。 将JS病毒代码放在任意文件里,用“C:/WINDOWS/system32/inetsrv/MetaBase.Xml”用“DefaultDocFooter="FILE:C:/Inetpub/wwwroot/iisstart.htm"”来调用。 通过IIS的ISAPI (ISAPI扩展/ISAPI筛选器)挂马,删除无用的ISAPI即可。 如果在服务器上找不到病毒代码那么可能是ARP挂马 b) 查看数据库是否正常访问 l 不要使用SA操作数据库。 l 新建一个通用的操作所有数据库的用户。 l 各个数据库权限问题。是否有特殊的权限? l 数据库对应的站点是否明确,是用什么角色操作的。 l 查看执行的SQL效率,及时改进SQL的优化。 l 定期删除1个月前的数据库备份文件。 l 定期完全备份常用数据库,每天增量备份常用数据库。写成SQL维护计划,会自动备份数据。 l 如果有离职的程序员就要修改数据库登录账号密码 c) 查看系统用户和组是否正常。 l 有没有不认识的用户和组信息。 l 用户所属者。 l 各个用户对应的权限。 l 用户的密码安全度。 l 正常情况下有4个账号就是安全的。如:Administrator/ASPNET/IUSR_*/IWAM_* l 如果有离职的程序员就要修改登录账号密码 d) 查看FTP账号是否正常。 l 有没有不认识的新建用户信息。 l 用户所属者。 l 各个用户对应的权限。 l 用户的密码安全度。 l 如果有离职的程序员就要修改FTP账号密码 e) 查看其它信息。 l 检查常用服务是否启动。 如:CMailServer/Serv-U/ServerSQL 2000/ l 系统最容易留后门的文件是“c:/windows/system32/sethc.exe和c:/windows/system32/dllcache/sethc.exe”,每次在登录远程的时候,要试下连续按7下“shift”键,如果出现的是 这个窗口说明sethc.exe正常,否则要先删除“c:/windows/system32/dllcache/sethc.exe”文件在删除“c:/windows/system32/sethc.exe”文件。然后复制本地的文件先上传到dllcache目录下。先删除dllcache目录下的文件是不让这个文件自动恢复。
