对于主机是否被入侵问题,很多时候运维人员并不知晓。只有当黑客采取破坏行为,造成了肉眼可见的损失后,运维人员才能发现,例如网站被劫持、篡改,服务器被勒索、删除数据等恶意破坏操作。作为优秀的运维人员,应当定期对服务器进行安全检查,及时发现入侵攻击事件。
那么如何检查服务器是否被入侵攻击呢?
其实不难,护卫神建议从以下方面进行检查:系统账户、系统日志、系统进程、系统服务、IIS程序池、IIS组件。
1、 系统账户
黑客入侵后,一般都会创建自己的管理账户,或是将GUEST账户启用并提权为管理员。
因此我们首先到系统账户处检查是否有可疑账户。不过对于影子账户肉眼无法看见,可以通过网上的一些教程进行判断(比较复杂,且需要逐个账户肉眼检查)。
2、 系统日志
系统日志主要分析远程登录日志。如果黑客没有清理日志,可以从系统日志提取到黑客登录时间和登录IP。同样的,需要肉眼逐条查看,有点耗费精力。
3、 系统进程
查看正在运行的系统进程是否有可疑进程,这步操作要求运维人员对主机常有的进程有一定的了解。
4、 系统服务
查看系统服务是否有可疑服务,尤其是已经启动和自动启动的服务。需要运维人员对主机常有的系统服务有一定的了解。
5、 IIS程序池
主要检查程序池是否以LocalSystem标识启动,如果以此标识启动程序池,那网站直接就有了系统最高管理权限,入侵轻而易举。
6、 IIS组件
检查是否植入了陌生组件,陌生组件一般都用于非法用途,例如劫持网站。需要运维人员对IIS常有组件有一定的了解。
总体而言,人工检查服务器是否被入侵,是一项非常繁琐的工作,而且稍不注意就会遗漏关键线索。建议使用《护卫神.防入侵系统》的“安全巡检防护”替代人工检查(如下图一),软件定期自动安全巡检,有问题及时通知管理员,非常方便。
(图一:主机安全巡检防护)
如上图所示,设置每隔24小时巡检一次系统,巡检范围非常广泛,涉及:系统文件、系统服务、网站安全、PHP安全、功能角色、系统组件、系统用户、系统进程、注册表、其他。
当发现异常时,立即向管理员发送消息通知(短信、微信和邮件三种方式),如下图二:
(图二:主机安全事件预警)
有了《护卫神.防入侵系统》,安全运维服务器是不是变得非常轻松了?
再也不需要人工肉眼检查服务器是否被入侵了,全自动化操作,并且检查得还更仔细。
如果你也有此需求,赶紧部署吧。
