文档写好有一段时间了,可一直不敢上传,对服务器安全了解得越多,就越觉得自己很肤浅,很多都还没入门,发上来在这么多大神面前搬门弄斧,一不小心可能就会给劈得渣都不剩了。
在编写的过程中,有不少地方心里明白是怎么回事,要怎么去分析和处理,但就是不知道怎么用文字表述出来(真是书到用时方狠少啊),文笔有限也请大家见谅。
有的地方想深入一些说说,讲一些所以然出来,但个人实力有限,我也只是知其然而已。现在也只能厚着脸皮讲一讲自己在服务器日常管理的一些方法,和近段时间碰到一些问题的分析处理方式,而一些其他的攻击方法,那也只有碰到后才能根据实际情况来作出处理,现在没有碰到也不知道怎么讲那些分析处理方法,文中提出的一些内容仅供参考,大家可以做为一种操作的思路。
上一文《服务器安全部署文档》中,只是写了怎么部署服务器才能更安全些,但为什么要这样设置,为什么要用McAfee防火墙等,却没有详细的进行描述,不过想想,如果真的再讲细一点,那文档的长度可能还要多一半,大家就真的看得更头晕了,呵呵……不过本文会对其中一小部分内容重新进行说明,补充一下。
好了就不再啰嗦了,转入正题。
目录
1. 前言 3
2. 部署环境 3
2.1 服务器环境信息 3
3. 安全检查 4
3.1. 检查VirusScan控制台 4
3.2. 检查McAfee HIP防火墙 6
3.3. 检查Windows防火墙 9
3.4. 检查IIS相关设置和网站目录访问权限 10
3.5. 检查管理员帐号 14
3.6. 检查Windows日志 15
3.7. 检查IIS网站访问日志 16
3.8. 检查FTP日志 17
3.9. 检查网站相关日志 17
3.10. 检查服务器运行进程 19
4. 备份数据 21
5. 相关说明 21
1.前言
服务器做好了安全部署以后,如果没有做好日常维护的话,那就等于将围着篱笆的羊群放在空旷的草原上而不去理它,当有一天狼发现了篱笆存在问题,扒开篱笆闯进羊群尽情享受时,而主人却远在天边而不知。而做好日常维护的话,就可以比较及时发现问题并修复漏洞,减少损失。
2. 部署环境
略(请参考服务器部署文档)
3. 安全检查
3.1. 检查McAfee的VirusScan控制台
可能有朋友会问,为什么使用McAfee而不用其他工具?这是因为McAfee有访问保护这个功能,只要开启了对应的安全策略,那么不过通授权(访问保护里设置的排除进程)的所有软件,都无法进行对应的操作。比如开启了“禁止在 Windows 文件夹中创建新的可执行文件”或自定义一个策略,禁止在服务器上所有目录创建dll与exe文件,那么别人在黑服务器时,调用了一些方法可能就无法执行了。万一他们使用了我们开放的一些服务上传了木马或入侵进来的,这种安全策略也会给他们在进行提权操作时带来很大的困难。
在启用这些策略后,我们在添加排除进程时,必须将不了解不熟悉的进程全部排除在外,有一些进程不是必须要用到的,临时开放后就要将它删除,才能让服务器更加安全。当然不怕神一样的敌人,就怕猪一样的队友,服务器管理糊乱设置,看到日志中的阻止项就顺手加入排除进程的话,那我也无话可说了。
打开VirusScan控制台
检查相关项是否正常开启
检查访问保护日志
查看是否有新禁用或阻止记录,查看该记录是什么帐户操作的,是否影响网站的运行,然后再考虑是否加入到规则列表中,一般来说阻止项不影响网站或服务运行的,全部不用理睬。
从日志这里,你可以看到是什么用户在操作的,运行的是那个程序,做什么操作的时候给阻止的。一般来说我们服务器是做网站用的,如果这里禁用的是SYSTEM或IIS的相关帐号,那么认真看看这些程序是不是网站运行必须的,是的话就放行,不是的就不用理它。而管理员帐号的操作,如果是自己操作时产生的,就临时放行一下就可以了,如果不是的话,就要查查是不是可能给入侵了。
如果需要添加的,就加入到访问保护的排除进程规则中
添加后再测试一下看看是否正常,如果还不行,再打开查看一下日志,将新日志记录所禁止的进程添加到对应策略里。
3.2. 检查McAfee HIP防火墙
McAfee HIP防火墙可以直接监控服务器所有端口对内对外的所有访问,可以直接禁用指定软件使用某个端口,可即時防御和阻挡已知的、零时差、阻断服务 (DoS)、分散式阻断服务 (DDoS)、SYN Flood 与加密式攻击等。
如果启用了应用程序策略,还可以直接控制服务器所有软件的使用与运行。
双击防火墙图标打开防火墙软件
查看IPS政策防入侵防火墙是否开启
检查防火墙是否启用,并查看里面已设置好的规则里是否有新添加的项,判断这些项设置是否正常
查看活动记录,开启纪录所有允许项目,看看有没有新的端口有访问链接,并判断是否充许,如果不允许的话,在防火墙规则中手动添加进去
手动添加阻止规则
再次查看活动记录,该商品的访问已给阻止
如果想服务器更安全的话,还可以开启应用策略功能,这样的话服务器里运行任何软件都需要经过授权了,虽然会比较麻烦,但系统也会更加安全可靠,具体怎么设置大家可以在虚拟机上测试一下就知道了。
3.3. 检查Windows防火墙
打开Windows防火墙,查看该防火墙是否开启(虽然已经有McAfee防火墙在了,但系统自带防火墙还要须要开启,以防止万一不小心关闭了其中一个防火墙时,另外一个还处于开启状态)
检查防火墙端口开启情况,是否是自己设定那些,有没有新增开启端口,有的话做出相应判断并咨询服务器的其他管理人员。
3.4. 检查IIS相关设置和网站目录访问权限
主要检查几个网站的目录设置,查看是否开启了目录写入权限,然后对所有有写入权限的文件夹检查其是否有可执行权限
同时检查网站有没有多出新的目录(有的目录可能是开发人员随意添加的而服务器管理员又不清楚,有的可能是黑客添加的),这些目录权限设置如何等。
除了检查写入权限外,也检查一下是否添加了新的帐户,如果根目录有写入权限的话就得小心了,另外如果多了新的帐户也要注意一下是否是其他管理员添加的
检查可写入目录是否有可执行权限
将网站的相关文件夹都按上面方法检查一下,另外对于JS、CSS、Images、配置、日志、HTML等不用执行的目录,虽然没有设置有写入权限,最好也将它们设置成无脚本执行限制
3.5. 检查管理员帐号
打开服务器管理器,检查帐号是否为默认的几个,是否有多出新的帐号来(一般服务器给入侵后,都会另外创建了一些新帐号或将一些原本隶属于Guest组的帐号提升为管理员或User等组权限)
由于在新的虚拟机上测试并写本文档,IIS访问帐号权限使用的是应用程序池帐号,所以这里就不像上一遍文章那样有很多帐号
查看Administrator帐号隶属组是否为空
检查DisableGuest帐号是否隶属于Guests,且帐号是否是禁用状态
如果还有其他帐号,也做以上检查
3.6. 检查Windows日志
日志文件对我们是非常重要的,可以从中查看各种帐户的操作痕迹,所以最好将日志存储路径重新修改一下,另外日志目录的SYSTEM帐号权限也设置成可以只读与添加,而不能修改,这样万一给入侵了,也删除、修改不了日志文件。(对于日志路径修改的文章网上很多,这里就不再详细描述了)
我们检查日志,主要查看日志中的警告和错误信息,从中分析出那些是由于代码问题引发的异常(将这些异常发给相关同事进行修复),那些是系统错误(判断是防火墙规则引起的还是服务或程序出错,判断需不需要进行相应处理),那些是黑客在进行入侵攻击(分析出攻击方式后,可以在相关的代码页面重新进行检查处理,以免有个别页面存在漏洞而导致入侵成功)……对于日志中显示的异常,其实有不少记录并不是代码自身引起的,比较常见的是有人使用XSS方式攻击提交引起的异常,对于这些异常可以不用去理会它,只要做好页面提交入口的SQL注入与XSS攻击过滤操作就没有问题。
另外,正常的信息
有空的话也要抽时间看看,可以分析出很多已通过防火墙规则的各种操作,查看是否有入侵已经成功(比如查看一些正常进入后台访问的IP是否是其他地区的,再查看后台相关日志看是那位同事操作等)。
对于安全事件日志,查看审核成功与失败的记录都要认真看看,主要注意下面内容:正常或失败的登陆与注销时间,看看是否是服务器管理员自己上来的,看看是否有非自己创建的帐号;留意是否存在批处理登陆事件(及有可能入侵成功了);各种帐号管理事件与安全组管理事件(入侵成功后可能会创建帐号、修改密码或删除帐号等操作,这些都会被记录下来);审核策略更改事件(是否是管理员自己更改的,如果不是自己的是其他管理员的话,检查一下更改了什么)。具体可以百度一下《审核WINDOWS安全日志》认真研究一下各种审核事件说明。
3.7. 检查IIS网站访问日志
对于网站访问日志的检查分析,网上有不少的介绍,这里我就不再重复了,主要说说我自己的见解吧。
IIS日志会将用户访问网站的所有链接忠诚的记录下来,如果你的站点用的是GET方式提交参数的话,那么可以很容易从日志中相看到各种SQL注入、XSS的攻击方法。用POST方式提交的话,那就看不到这些内容了。我们检查日志主要是查找各种非正常访问方式。
比如:从日志中查找一些攻击常用的特殊字符,如,1=1,1
暂无评论内容