一、与个人电脑的安全区别
对于个人电脑,安装一套杀毒软件就能解决99%的安全问题。然而服务器和个人电脑在安全方面有着天壤之别。
个人电脑因为在内网,黑客无法主动发现。一般只会在浏览网站或安装软件时被植入了木马程序,只要成功杀掉这个木马程序,电脑就安全了。
而针对服务器和网站的攻击,属于主动式攻击,敌人在暗处,我在明处。黑客找准目标后,为了突破防线,会尝试各种攻击手段。此时仅靠一套防护软件,无法应对多样化、复杂化的网络攻击,唯有做针对性的安全防护才能彻底解决安全问题。
二、为什么会被反复入侵
很多管理员把服务器和网站安全想得太过于简单,以为安装一套杀毒软件,再杀掉几个网页木马,服务器就安全了。这只能治标,不能治本。之所以会被入侵,是因为系统有漏洞;不解决漏洞永远无法根除安全威胁,黑客还会继续利用这个漏洞反复实施入侵。
唯有从根本上解决漏洞问题,才能有效解决入侵问题。
三、如何彻底解决安全威胁
服务器一般有三大漏洞体系:系统漏洞、软件漏洞和网站漏洞。
要打造安全的服务器,就必须解决这三方面的安全威胁。
1、系统漏洞加固
*** 作系统出厂时,厂商为了兼容性,不会对系统做严格的安全限制,因此需要做一些安全加固,方可防止黑客入侵。
系统加固主要有以下流程:更新系统补丁、禁用危险服务、卸载危险组件、删除危险权限、开启防火墙、设置复杂密码。
具体 *** 作方法请点这里:>现在好多网吧用的是锐起无盘系统,三里桥几个大网吧都用的这个。服务器最好专业点的,稳定。小规模的可以自己组装机器做服务器使用。网络环境当然越好越好了。 下面转个文章你参考下。 一、安装服务器系统
1、安装服务器硬件。两块160GB的盘接1520阵列上面做读,四块80GB的盘接1640上面做写,将剩下的80GB划分为:C盘10GB,其余暂时不用理会。
2、安装系统。首先按正常方式将2003系统安装到一块80GB的硬盘上面,装好主板、显卡、网卡、阵列卡驱动,并打好所有安全补丁。(不建议安装杀毒软件和防火墙等之类的东西。)设置服务器计算机名为:“NXPSER”,所属工作组为:“SUBOY”。
3、设置用户。打开 “计算机管理”---“本地用户和组”---“用户”将管理员用户“Administrator”改为“lsuboy",并设置密码为:0()_()0 。并新建“Administrator”这个用户,密码为空,加入“Guests”组,并从“Users”组删除。将基它多余的用户全部删除只留下lsuboy Administrator Guests这三个用户,并将Guests禁用。
4、设置安全选项。在“运行”里输入“gpeditmsc”打开组策略窗口,选择“计算机配置”---“Windows设置”---“安全设置”---“本地策略”---“安全选项”下面找到“使用空白密码的本地用户只允许控制台登录”改为“已停用”。清空“可远程访问的注册表路径”、“可匿名访问的共享”、“可匿名访问的命名管道”三项中的所有内容。将“允许未登录前关机”改为“已启用”。在“用户权利指派”里找到“拒绝从网络访问这台计算机”项中添加“lsuboy”这个用户。阻止管理员从网络登录服务器。
5、停止危险服务。打开“计算机管理”---“服务”将下面几个服务:“Remote Registry”、“Task Scheduler”、“Telnet”、“Terminal Services”停止并由“自动”改为“禁用”。
6、划会磁盘。打开“计算机管理”---“磁盘管理”将服务器系统盘剩余部分划分为一个分区:盘符为“I”,卷标为:“BACKUP”。将读阵列划分为:D盘30GB、E盘150GB、剩下的为F盘,盘符分别为:“SYSIMG”、“ONLINEGAME”、“LOCALGAME”。全部格式化为“NTFS”分区,并在每个盘下面建立一个“IMG”的目录。将写阵列分为:G盘70GB,H盘30GB其余空间不用理会,卷标分别为:“CLIENT”、“SWAPIMG”。全部格式化为“NTFS”分区,并在G盘建立“CLIENT”和“BACK”两个目录,在H盘建立“IMG”目录。
7、设置IP地址。将82559的网卡IP地址设为:“1921681100”,掩码为:“2552552550”,其它全部留空。将另一块网卡IP设为:“1921681110”,掩码为:“2552552550”,其它全部留空。
8、至此服务器上除了无盘软件以外,其它全部安装完成,接下来安装DOS工具箱并马上备份一次服务器系统到I盘上面,以免等下无盘软件安装出错破坏服务器系统。
9、安装锐起服务端。按照正常方法安装锐起服务端程序,装完以后,打开“计算机管理”---“服务”,找到并停止“锐起无盘XP辅助服务”和“锐起无盘XP数据服务”。首先破解管理器和辅助服程序务,复制下面两个破解文件:“Dlxpdhcpexe”、“Managerexe”到锐起安装目录(默认为:C:\Program Files\Richtech\DlxpServ)并覆盖原文件。启动刚才停止的两个锐起服务。打开“锐起无盘管理器”因为是第一次打开所以会出现“设置默认目录”的对话框,在里面设置“默认磁盘目录”为“D:\IMG”,“默认工作站目录”为“G:\CLIENT”,“默认还原点目录”为“G:\BACK”。设置好以后将进入“锐起无盘XP管理器”窗口。以下 *** 作全是在“锐起无盘XP管理器”窗口进行。
单击工具栏中的“磁盘管理”,打开“磁盘管理”对话框,将里面默认的磁盘“WINXP”删除。然后单击“新增”,出现“新增磁盘”对话框,在“磁盘名称”中输入:“SYSTEM”,“磁盘容量”中输入“5”,“映象文件”指定为:“D:\IMG\SYSTEMIMG”。然后单击“确定”。依次按照下面的参数建立其它三个磁盘:
磁盘名称 磁盘容量 映象文件
ONLINEGAME 120 E:\IMG\ONLINEGAMEIMG
LOCALGAME 80 F:\IMG\LOCALGAMEIMG
SWAPIMG 10 H:\IMG\SWAPIMGIMG
建立了上面的四个磁盘以后,单击“退出”按扭,回到“锐起无盘XP管理器”窗口。磁盘建好选项了,单击工具栏上面的“选项配置”,打开“选项配置”对话框。在“加入方式”中选择“全自动加入工作站”,让工作站实现自动编号,省去手工一台一台输入IP、机器号的麻烦。“名称前缀”就是工作站电脑名的字母部分,设为你想要的名字,我这里设为“NXP”,“名称编号”也就是工作站电脑名中数字部分的位数,我这里设为“3”,“启动网卡”暂且不管。然后单击“编辑磁盘”按扭,进入“磁盘设置”对话框。将左边的“WINXP”移动到右边,把右边刚建立的四个磁盘移动到左边,从上到下的顺序为:SYSTEM、ONLINEGAME、LOCALGAME、SWAPIMG。设好以后单击“确定”按扭退出回到“选项配置”对话框。然后进入“IP地址”选项卡,在IP列表中勾选服务器的两个IP地址。这时候只要服务器的两块网卡都已经连到网络当中,这里就会出现刚才设好的两个IP地址。在“起始IP”中输入“192168111”,“终止IP”输入“192168180”因为我这个客户只有45台工作站所以足够了(如果您的工作站比较多的话,就要把服务器网卡的IP址设到200以后了,要不然这里会把服务器的IP 也包括进去了,就会出问题)。“子网掩码”输入“2552552550”,去掉“启用写缓存”,然后单击“确定”回到“锐起无盘XP管理器”。至此锐起服务端配置完毕,关闭“锐起无盘XP管理器”窗口。再次打开“计算机管理”---“服务”找到并停止“锐起无盘XP辅助服务”和“锐起无盘XP数据服务”。下面开始破解数据服务,将破解文件RTIOSRVexe复制到锐起安装目录,完成数据服务的破解过程。再次启动刚才停止的两个服务,可以看到四个IMG目录下面,已经分别有了四个IMG文件包了。
到些锐起无盘服务器已经完全安装好了。 下面开始说说工作站的安装了。
二、锐起工作站母盘安装
1、安装一台有盘工作站的XP系统,我采用的是深度V57网吧专用版。按照正常方法安装好XP系统。并装工作站的显卡、声卡、摄像头等驱动程序。
2、用深度的优化工具优化一次,选择“网吧电脑优化模式”即可。“额外优化选项”里可根据自己的需要选择。单击下一步重新启动电脑即可优化生效。
3、设置工作站IP地址为:“192168111”,子网掩码为:“2552552550”,网关为:“19216811”,DNS为:“2029612886”,备用DNS为:“20296134133”(如果您不是在深圳地区请将DNS改为你所在地区的地址)。设置计算机名为:“NXP001”,所属工作组为:“SUBOY”(与服务器同属一个工作组)。
4、安装常用应用软件。比如:千千静听、暴风、WINRAR、常用输入法等。
5、禁用服务。打开“计算机管理”---“服务” 找到并禁用“Server”、“Computer Browser”、“Task Scheduler”这三个服务。
6、更改IDE驱动器模式。打开“计算机管理”---“设备管理器” 将 “IDE ATA/ATAPI 控制器”下面的“IDE控制器”(我这里为:Intel(R) 82801DBM Ultra ATA Storage Controller - 24CA )更改为 “标准双通道 PCI IDE控制器”具体 *** 作为:在“IDE控制器”上面单击右键,选择“更新驱动程序”在出现的对话框中,随便选择一项,单击 下一步 接下来 选择“从列表或指定位置安装(高级)” 单击 下一步 选择“不要搜索。我要自己选择要安装的驱动程序” 单击 下一步 勾选 “显示兼容硬件” 在下面的列表框中 选择“标准双通道 PCI IDE 控制器” 单击 下一步 完成驱动程序的更新。在提示 是否重新启动计算机的对话框中 选择“否”。
7、更改电源模式。打开“计算机管理”---“设备管理器” 将 “计算机”下面的“ACPI Uniprocessor PC” 更改为“Advanced Configuration and Power Interface (ACPI) PC”。方法同6。在提示 是否重新启动计算机的对话框中 选择“是”重新启动电脑。重启以后,会提示找到新的硬件,计算机会自动装完驱动程序。
注意:第6、7步是保证以后工作站换主板能否启动成功的关键所在。一定要保证“IDE控制器”为“标准双通道 PCI IDE 控制器”,电源模式为“Advanced Configuration and Power Interface (ACPI) PC”。否则以后换到别的主板上面不一定能进入桌面。
8、删除QOS,打开本地连接属性,将里面的Qos 数据包计划程序卸载掉。如果没卸载的话,将来上传到服务器上面,工作站有可能会在滚动条这里进不了系统。
好了,下面开始安装 锐起客户端
9、按照正常方式安装 “锐起无盘XP 客户端”。安装完成以后,在出现的“系统配置”对话框中选择“使用网络连接”为“本地连接”,在“服务器IP地址”处输入锐起无盘服务器的IP地址即上面提到的“1921681100”或“1921681110”。并且一定要勾选“启用换主板及换网卡启动功能”,以保证以后换主板或不同的网卡上面能够正常启动工作站。在下面的列表框中勾选您所要用到的网卡。全部设置完成以后单击“确定”完成安装过程。
10、破解客户端。打开“计算机管理”---“服务”找到并停止两个锐起服务,然后把客户端破解文件“richdisksys”复制到“C:\windows\system32\drivers”下面替换掉原来的文件。然后重新启动刚才停掉的两个锐起服务。至此,锐起无盘XP 客户端安装完成。
重新启动计算机以后,会提示找到新硬件,按照提示直接下一步完成安装即可。也许重新启动计算机以后还会出现找到新硬件提示,再次单击下一步完成安装即可。
11、清除所有的临时文件,禁用页面文件,做好简单的系统优化,为上传系统做好准备。
三、工作站上传、调式
1、将工作站由硬盘启动改为网络启动。进入BIOS设置找到 “LAN BOOT”之类,由“Disabled”改为“Enabled” ,具体可参考主板说明文件。按F10保存退出。如是8139类的网卡可在开机显示”SHIFT + F10”的时候,按住右“SHIFT”键加 “F10”进入网卡启动设置画面,在第一项中选择“PXE”,第二项选择“Int 19” 最后按“F4”保存退出。这时工作站应该能够无盘启动到显示“Richtech Diskless XP >
服务器遭受攻击后的处理流程
安全总是相对的,再安全的服务器也有可能遭受到攻击。作为一个安全运维人员,要把握的原则是:尽量做好系统安全防护,修复所有已知的危险行为,同时,在系统遭受攻击后能够迅速有效地处理攻击行为,最大限度地降低攻击对系统产生的影响。下面是我整理的服务器遭受攻击后的处理流程:
一、处理服务器遭受攻击的一般思路
系统遭受攻击并不可怕,可怕的是面对攻击束手无策,下面就详细介绍下在服务器遭受攻击后的一般处理思路。
1 切断网络
所有的攻击都来自于网络,因此,在得知系统正遭受黑客的攻击后,首先要做的就是断开服务器的网络连接,这样除了能切断攻击源之外,也能保护服务器所在网络的其他主机。
2 查找攻击源
可以通过分析系统日志或登录日志文件,查看可疑信息,同时也要查看系统都打开了哪些端口,运行哪些进程,并通过这些进程分析哪些是可疑的程序。这个过程要根据经验和综合判断能力进行追查和分析。下面的章节会详细介绍这个过程的处理思路。
3 分析入侵原因和途径
既然系统遭到入侵,那么原因是多方面的,可能是系统漏洞,也可能是程序漏洞,一定要查清楚是哪个原因导致的,并且还要查清楚遭到攻击的途径,找到攻击源,因为只有知道了遭受攻击的原因和途径,才能删除攻击源同时进行漏洞的修复。
4 备份用户数据
在服务器遭受攻击后,需要立刻备份服务器上的用户数据,同时也要查看这些数据中是否隐藏着攻击源。如果攻击源在用户数据中,一定要彻底删除,然后将用户数据备份到一个安全的地方。
5 重新安装系统
永远不要认为自己能彻底清除攻击源,因为没有人能比黑客更了解攻击程序,在服务器遭到攻击后,最安全也最简单的方法就是重新安装系统,因为大部分攻击程序都会依附在系统文件或者内核中,所以重新安装系统才能彻底清除攻击源。
6 修复程序或系统漏洞
在发现系统漏洞或者应用程序漏洞后,首先要做的就是修复系统漏洞或者更改程序bug,因为只有将程序的漏洞修复完毕才能正式在服务器上运行。
7 恢复数据和连接网络
将备份的数据重新复制到新安装的服务器上,然后开启服务,最后将服务器开启网络连接,对外提供服务。
二、检查并锁定可疑用户
当发现服务器遭受攻击后,首先要切断网络连接,但是在有些情况下,比如无法马上切断网络连接时,就必须登录系统查看是否有可疑用户,如果有可疑用户登录了系统,那么需要马上将这个用户锁定,然后中断此用户的远程连接。
1 登录系统查看可疑用户
通过root用户登录,然后执行“w”命令即可列出所有登录过系统的用户,如图1-11所示。
通过这个输出可以检查是否有可疑或者不熟悉的用户登录,同时还可以根据用户名以及用户登录的源地址和它们正在运行的进程来判断他们是否为非法用户。
2 锁定可疑用户
一旦发现可疑用户,就要马上将其锁定,例如上面执行“w”命令后发现nobody用户应该是个可疑用户(因为nobody默认情况下是没有登录权限的),于是首先锁定此用户,执行如下 *** 作:
[root@server ~]# passwd -l nobody
锁定之后,有可能此用户还处于登录状态,于是还要将此用户踢下线,根据上面“w”命令的输出,即可获得此用户登录进行的pid值, *** 作如下:
[root@server ~]# ps -ef|grep @pts/3
531 6051 6049 0 19:23 00:00:00 sshd: nobody@pts/3
[root@server ~]# kill -9 6051
这样就将可疑用户nobody从线上踢下去了。如果此用户再次试图登录它已经无法登录了。
3 通过last命令查看用户登录事件
last命令记录着所有用户登录系统的日志,可以用来查找非授权用户的登录事件,而last命令的输出结果来源于/var/log/wtmp文件,稍有经验的入侵者都会删掉/var/log/wtmp以清除自己行踪,但是还是会露出蛛丝马迹在此文件中的。
三、查看系统日志
查看系统日志是查找攻击源最好的方法,可查的'系统日志有/var/log/messages、/var/log/secure等,这两个日志文件可以记录软件的运行状态以及远程用户的登录状态,还可以查看每个用户目录下的bash_history文件,特别是/root目录下的bash_history文件,这个文件中记录着用户执行的所有历史命令。
四、检查并关闭系统可疑进程
检查可疑进程的命令很多,例如ps、top等,但是有时候只知道进程的名称无法得知路径,此时可以通过如下命令查看:
首先通过pidof命令可以查找正在运行的进程PID,例如要查找sshd进程的PID,执行如下命令:
[root@server ~]# pidof sshd
13276 12942 4284
然后进入内存目录,查看对应PID目录下exe文件的信息:
[root@server ~]# ls -al /proc/13276/exe
lrwxrwxrwx 1 root root 0 Oct 4 22:09 /proc/13276/exe -> /usr/sbin/sshd
这样就找到了进程对应的完整执行路径。如果还有查看文件的句柄,可以查看如下目录:
[root@server ~]# ls -al /proc/13276/fd
通过这种方式基本可以找到任何进程的完整执行信息,此外还有很多类似的命令可以帮助系统运维人员查找可疑进程。例如,可以通过指定端口或者tcp、udp协议找到进程PID,进而找到相关进程:
[root@server ~]# fuser -n tcp 111
111/tcp: 1579
[root@server ~]# fuser -n tcp 25
25/tcp: 2037
[root@server ~]# ps -ef|grep 2037
root 2037 1 0 Sep23 00:00:05 /usr/libexec/postfix/master
postfix 2046 2037 0 Sep23 00:00:01 qmgr -l -t fifo -u
postfix 9612 2037 0 20:34 00:00:00 pickup -l -t fifo -u
root 14927 12944 0 21:11 pts/1 00:00:00 grep 2037
在有些时候,攻击者的程序隐藏很深,例如rootkits后门程序,在这种情况下ps、top、netstat等命令也可能已经被替换,如果再通过系统自身的命令去检查可疑进程就变得毫不可信,此时,就需要借助于第三方工具来检查系统可疑程序,例如前面介绍过的chkrootkit、RKHunter等工具,通过这些工具可以很方便的发现系统被替换或篡改的程序。
五、检查文件系统的完好性
检查文件属性是否发生变化是验证文件系统完好性最简单、最直接的方法,例如可以检查被入侵服务器上/bin/ls文件的大小是否与正常系统上此文件的大小相同,以验证文件是否被替换,但是这种方法比较低级。此时可以借助于Linux下rpm这个工具来完成验证, *** 作如下:
[root@server ~]# rpm -Va
L c /etc/pamd/system-auth
S5 c /etc/security/limitsconf
S5T c /etc/sysctlconf
S5T /etc/sgml/docbook-simplecat
S5T c /etc/logindefs
S5 c /etc/openldap/ldapconf
S5T c /etc/sudoers
5T c /usr/lib64/security/classpathsecurity
L c /etc/pamd/system-auth
S5 c /etc/security/limitsconf
S5 c /etc/ldapconf
S5T c /etc/ssh/sshd_config
对于输出中每个标记的含义介绍如下:
S 表示文件长度发生了变化
M 表示文件的访问权限或文件类型发生了变化
5 表示MD5校验和发生了变化
D 表示设备节点的属性发生了变化
L 表示文件的符号链接发生了变化
U 表示文件/子目录/设备节点的owner发生了变化
G 表示文件/子目录/设备节点的group发生了变化
T 表示文件最后一次的修改时间发生了变化
如果在输出结果中有“M”标记出现,那么对应的文件可能已经遭到篡改或替换,此时可以通过卸载这个rpm包重新安装来清除受攻击的文件。
不过这个命令有个局限性,那就是只能检查通过rpm包方式安装的所有文件,对于通过非rpm包方式安装的文件就无能为力了。同时,如果rpm工具也遭到替换,就不能通过这个方法了,此时可以从正常的系统上复制一个rpm工具进行检测。
;可怜的MM!重装QQ堂,玩QQ堂时,保持防火墙,QQ堂,网络连接三个程序!
其他程序在任务管理器那里结束程序!
如果还是不行的话就联络我!
QQ:我用户名的数字!
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)