作為服務器的日常管理,入侵檢測是一項非常重要的工作,在平常的檢測過程中,主要包含日常的服務器安全例行檢查和遭到入侵時的入侵檢查,也就是分為在入侵進行時的安全檢查和在入侵前後的安全檢查。在明白了防範技術後,
方法/步驟
查看服務器狀態:
打開進程管理器,查看服務器性能,觀察CPU和內存使用狀況。查看是否有CPU和內存佔用過高等異常情況。
檢查系統帳號
打開計算機管理,展開本地用戶和組選項,查看組選項,查看administrators組是否添加有新帳號,檢查是否有克隆帳號。
檢查當前進程情況
切換“任務管理器”到進程,查找有無可疑的應用程序或後臺進程在運行。用進程管理器查看進程時裡面會有一項taskmgr,這個是進程管理器自身的進程。如果正在運行windows更新會有一項wuauclt.exe進程。對於拿不準的進程或者說不知道是服務器上哪個應用程序開啟的進程,可以在網絡上搜索一下該進程名加以確定[進程知識庫:通常的後門如果有進程的話,一般會取一個與系統進程類似的名稱,如svch0st.exe,此時要仔細辨別[通常迷惑手段是變字母o為數字0,變字母l為數字1。
查看當前端口開放情況
使用activeport,查看當前的端口連接情況,尤其是注意與外部連接著的端口情況,看是否有未經允許的端口與外界在通信。如有,立即關閉該端口並記錄下該端口對應的程序並記錄,將該程序轉移到其他目錄下存放以便後來分析。打開計算機管理==》軟件環境==》正在運行任務在(此處可以查看進程管理器中看不到的隱藏進程),查看當前運行的程序,如果有不明程序,記錄下該程序的位置,打開任務管理器結束該進程,對於採用了守護進程的後門等程序可嘗試結束進程樹,如仍然無法結束,在註冊表中搜索該程序名,刪除掉相關鍵值,切換到安全模式下刪除掉相關的程序文件。
檢查系統服務
運行services.msc,檢查處於已啟動狀態的服務,查看是否有新加的未知服務並確定服務的用途。對於不清楚的服務打開該服務的屬性,查看該服務所對應的可執行文件是什麼,如果確定該文件是系統內的正常使用的文件,可粗略放過。查看是否有其他正常開放服務依存在該服務上,如果有,可以粗略的放過。如果無法確定該執行文件是否是系統內正常文件並且沒有其他正常開放服務依存在該服務上,可暫時停止掉該服務,然後測試下各種應用是否正常。對於一些後門由於採用了hook系統API技術,添加的服務項目在服務管理器中是無法看到的,這時需要打開註冊表中的HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices項進行查找,通過查看各服務的名稱、對應的執行文件來確定是否是後門、木馬程序等。
明白瞭如何做好入侵檢測,保障網站安全的技術後,下面將分享如何利用應用發佈網站:
下載安裝登錄花生殼。
正常登錄後,會顯示登錄帳號下的域名,選擇需要設置的域名右鍵,點擊花生殼管理,
對域名設置端口映射時,應用名稱處可隨意填寫,內網主機處填寫網站服務器的內網IP地址,內網端口號處填寫網站搭建時開放的端口號,信息填寫完成後,點擊開啟外網http80端口,設置成功後點擊確認,設置成功後,會自動生成外網訪問地址,如圖
在外網直接使用生成的外網訪問地址進行訪問
在做好網站入侵檢測安全之後,如何讓我們的域名訪問更加穩定。
方法是:添加nat123域名負載均衡。步驟:
添加動態域名解析,啟用多點登錄(啟用負載均衡和故障轉移)。
動態域名解析記錄後,可在多機登錄/動態解析圖標右鍵/本地設置。可設置是否離線(本地是否解析),及解析的優先級和解析權重。
設置多點解析後,可保存以在動態域名解析監控列表查看到多條解析記錄。登錄點設置了離線的不顯示。
