文檔寫好有一段時間了���,可一直不敢上傳,對服務(wù)器安全了解得越多�����,就越覺得自己很膚淺���,很多都還沒入門����,發(fā)上來在這么多大神面前搬門弄斧,一不小心可能就會給劈得渣都不剩了�。
在編寫的過程中���,有不少地方心里明白是怎么回事���,要怎么去分析和處理,但就是不知道怎么用文字表述出來(真是書到用時方狠少啊),文筆有限也請大家見諒。
有的地方想深入一些說說�����,講一些所以然出來,但個人實力有限���,我也只是知其然而已?��,F(xiàn)在也只能厚著臉皮講一講自己在服務(wù)器日常管理的一些方法,和近段時間碰到一些問題的分析處理方式����,而一些其他的攻擊方法,那也只有碰到后才能根據(jù)實際情況來作出處理��,現(xiàn)在沒有碰到也不知道怎么講那些分析處理方法��,文中提出的一些內(nèi)容僅供參考�����,大家可以做為一種操作的思路���。
上一文《服務(wù)器安全部署文檔》中�,只是寫了怎么部署服務(wù)器才能更安全些���,但為什么要這樣設(shè)置,為什么要用McAfee防火墻等��,卻沒有詳細(xì)的進(jìn)行描述��,不過想想���,如果真的再講細(xì)一點(diǎn),那文檔的長度可能還要多一半,大家就真的看得更頭暈了,呵呵......不過本文會對其中一小部分內(nèi)容重新進(jìn)行說明����,補(bǔ)充一下��。
好了就不再啰嗦了�,轉(zhuǎn)入正題�����。
目錄
1. 前言 3
2. 部署環(huán)境 3
2.1 服務(wù)器環(huán)境信息 3
3. 安全檢查 4
3.1. 檢查VirusScan控制臺 4
3.2. 檢查McAfee HIP防火墻 6
3.3. 檢查Windows防火墻 9
3.4. 檢查IIS相關(guān)設(shè)置和網(wǎng)站目錄訪問權(quán)限 10
3.5. 檢查管理員帳號 14
3.6. 檢查Windows日志 15
3.7. 檢查IIS網(wǎng)站訪問日志 16
3.8. 檢查FTP日志 17
3.9. 檢查網(wǎng)站相關(guān)日志 17
3.10. 檢查服務(wù)器運(yùn)行進(jìn)程 19
4. 備份數(shù)據(jù) 21
5. 相關(guān)說明 21
1.前言
服務(wù)器做好了安全部署以后�����,如果沒有做好日常維護(hù)的話,那就等于將圍著籬笆的羊群放在空曠的草原上而不去理它�,當(dāng)有一天狼發(fā)現(xiàn)了籬笆存在問題,扒開籬笆闖進(jìn)羊群盡情享受時�,而主人卻遠(yuǎn)在天邊而不知���。而做好日常維護(hù)的話,就可以比較及時發(fā)現(xiàn)問題并修復(fù)漏洞���,減少損失。
2. 部署環(huán)境
略(請參考服務(wù)器部署文檔)
3. 安全檢查
3.1. 檢查McAfee的VirusScan控制臺
可能有朋友會問,為什么使用McAfee而不用其他工具?這是因為McAfee有訪問保護(hù)這個功能,只要開啟了對應(yīng)的安全策略�����,那么不過通授權(quán)(訪問保護(hù)里設(shè)置的排除進(jìn)程)的所有軟件,都無法進(jìn)行對應(yīng)的操作。比如開啟了“禁止在 Windows 文件夾中創(chuàng)建新的可執(zhí)行文件”或自定義一個策略,禁止在服務(wù)器上所有目錄創(chuàng)建dll與exe文件,那么別人在黑服務(wù)器時�,調(diào)用了一些方法可能就無法執(zhí)行了�����。萬一他們使用了我們開放的一些服務(wù)上傳了木馬或入侵進(jìn)來的,這種安全策略也會給他們在進(jìn)行提權(quán)操作時帶來很大的困難����。
在啟用這些策略后��,我們在添加排除進(jìn)程時����,必須將不了解不熟悉的進(jìn)程全部排除在外�����,有一些進(jìn)程不是必須要用到的�,臨時開放后就要將它刪除,才能讓服務(wù)器更加安全����。當(dāng)然不怕神一樣的敵人�����,就怕豬一樣的隊友,服務(wù)器管理糊亂設(shè)置��,看到日志中的阻止項就順手加入排除進(jìn)程的話�����,那我也無話可說了�。
打開VirusScan控制臺
檢查相關(guān)項是否正常開啟
檢查訪問保護(hù)日志
查看是否有新禁用或阻止記錄��,查看該記錄是什么帳戶操作的�,是否影響網(wǎng)站的運(yùn)行,然后再考慮是否加入到規(guī)則列表中,一般來說阻止項不影響網(wǎng)站或服務(wù)運(yùn)行的,全部不用理睬。
從日志這里����,你可以看到是什么用戶在操作的�,運(yùn)行的是那個程序,做什么操作的時候給阻止的���。一般來說我們服務(wù)器是做網(wǎng)站用的���,如果這里禁用的是SYSTEM或IIS的相關(guān)帳號,那么認(rèn)真看看這些程序是不是網(wǎng)站運(yùn)行必須的����,是的話就放行����,不是的就不用理它���。而管理員帳號的操作�,如果是自己操作時產(chǎn)生的�,就臨時放行一下就可以了,如果不是的話���,就要查查是不是可能給入侵了。
如果需要添加的����,就加入到訪問保護(hù)的排除進(jìn)程規(guī)則中
添加后再測試一下看看是否正常,如果還不行��,再打開查看一下日志��,將新日志記錄所禁止的進(jìn)程添加到對應(yīng)策略里�。
3.2. 檢查McAfee HIP防火墻
McAfee HIP防火墻可以直接監(jiān)控服務(wù)器所有端口對內(nèi)對外的所有訪問,可以直接禁用指定軟件使用某個端口�����,可即時防御和阻擋已知的、零時差�、阻斷服務(wù) (DoS)、分散式阻斷服務(wù) (DDoS)����、SYN Flood 與加密式攻擊等。
如果啟用了應(yīng)用程序策略���,還可以直接控制服務(wù)器所有軟件的使用與運(yùn)行���。
雙擊防火墻圖標(biāo)打開防火墻軟件
查看IPS政策防入侵防火墻是否開啟
檢查防火墻是否啟用,并查看里面已設(shè)置好的規(guī)則里是否有新添加的項����,判斷這些項設(shè)置是否正常
查看活動記錄,開啟紀(jì)錄所有允許項目�����,看看有沒有新的端口有訪問鏈接���,并判斷是否充許�����,如果不允許的話��,在防火墻規(guī)則中手動添加進(jìn)去
手動添加阻止規(guī)則
再次查看活動記錄����,該商品的訪問已給阻止
如果想服務(wù)器更安全的話,還可以開啟應(yīng)用策略功能����,這樣的話服務(wù)器里運(yùn)行任何軟件都需要經(jīng)過授權(quán)了,雖然會比較麻煩�,但系統(tǒng)也會更加安全可靠,具體怎么設(shè)置大家可以在虛擬機(jī)上測試一下就知道了����。
3.3. 檢查Windows防火墻
打開Windows防火墻�,查看該防火墻是否開啟(雖然已經(jīng)有McAfee防火墻在了,但系統(tǒng)自帶防火墻還要須要開啟����,以防止萬一不小心關(guān)閉了其中一個防火墻時,另外一個還處于開啟狀態(tài))
檢查防火墻端口開啟情況��,是否是自己設(shè)定那些,有沒有新增開啟端口��,有的話做出相應(yīng)判斷并咨詢服務(wù)器的其他管理人員��。
3.4. 檢查IIS相關(guān)設(shè)置和網(wǎng)站目錄訪問權(quán)限
主要檢查幾個網(wǎng)站的目錄設(shè)置�,查看是否開啟了目錄寫入權(quán)限,然后對所有有寫入權(quán)限的文件夾檢查其是否有可執(zhí)行權(quán)限
同時檢查網(wǎng)站有沒有多出新的目錄(有的目錄可能是開發(fā)人員隨意添加的而服務(wù)器管理員又不清楚��,有的可能是黑客添加的)�����,這些目錄權(quán)限設(shè)置如何等����。
除了檢查寫入權(quán)限外,也檢查一下是否添加了新的帳戶�����,如果根目錄有寫入權(quán)限的話就得小心了����,另外如果多了新的帳戶也要注意一下是否是其他管理員添加的
檢查可寫入目錄是否有可執(zhí)行權(quán)限
將網(wǎng)站的相關(guān)文件夾都按上面方法檢查一下���,另外對于JS���、CSS�、Images����、配置、日志�����、HTML等不用執(zhí)行的目錄��,雖然沒有設(shè)置有寫入權(quán)限��,最好也將它們設(shè)置成無腳本執(zhí)行限制
3.5. 檢查管理員帳號
打開服務(wù)器管理器���,檢查帳號是否為默認(rèn)的幾個,是否有多出新的帳號來(一般服務(wù)器給入侵后���,都會另外創(chuàng)建了一些新帳號或?qū)⒁恍┰倦`屬于Guest組的帳號提升為管理員或User等組權(quán)限)
由于在新的虛擬機(jī)上測試并寫本文檔��,IIS訪問帳號權(quán)限使用的是應(yīng)用程序池帳號��,所以這里就不像上一遍文章那樣有很多帳號
查看Administrator帳號隸屬組是否為空
檢查DisableGuest帳號是否隸屬于Guests�,且?guī)ぬ柺欠袷墙脿顟B(tài)
如果還有其他帳號,也做以上檢查
3.6. 檢查Windows日志
日志文件對我們是非常重要的���,可以從中查看各種帳戶的操作痕跡�,所以最好將日志存儲路徑重新修改一下��,另外日志目錄的SYSTEM帳號權(quán)限也設(shè)置成可以只讀與添加����,而不能修改,這樣萬一給入侵了�,也刪除、修改不了日志文件���。(對于日志路徑修改的文章網(wǎng)上很多���,這里就不再詳細(xì)描述了)
我們檢查日志,主要查看日志中的警告和錯誤信息�����,從中分析出那些是由于代碼問題引發(fā)的異常(將這些異常發(fā)給相關(guān)同事進(jìn)行修復(fù))���,那些是系統(tǒng)錯誤(判斷是防火墻規(guī)則引起的還是服務(wù)或程序出錯���,判斷需不需要進(jìn)行相應(yīng)處理)����,那些是黑客在進(jìn)行入侵攻擊(分析出攻擊方式后�����,可以在相關(guān)的代碼頁面重新進(jìn)行檢查處理���,以免有個別頁面存在漏洞而導(dǎo)致入侵成功)……對于日志中顯示的異常����,其實有不少記錄并不是代碼自身引起的�,比較常見的是有人使用XSS方式攻擊提交引起的異常,對于這些異?�?梢圆挥萌ダ頃?��,只要做好頁面提交入口的SQL注入與XSS攻擊過濾操作就沒有問題。
另外���,正常的信息有空的話也要抽時間看看�����,可以分析出很多已通過防火墻規(guī)則的各種操作����,查看是否有入侵已經(jīng)成功(比如查看一些正常進(jìn)入后臺訪問的IP是否是其他地區(qū)的,再查看后臺相關(guān)日志看是那位同事操作等)�。
對于安全事件日志,查看審核成功與失敗的記錄都要認(rèn)真看看���,主要注意下面內(nèi)容:正?�;蚴〉牡顷懪c注銷時間��,看看是否是服務(wù)器管理員自己上來的���,看看是否有非自己創(chuàng)建的帳號;留意是否存在批處理登陸事件(及有可能入侵成功了)�����;各種帳號管理事件與安全組管理事件(入侵成功后可能會創(chuàng)建帳號����、修改密碼或刪除帳號等操作����,這些都會被記錄下來)����;審核策略更改事件(是否是管理員自己更改的,如果不是自己的是其他管理員的話����,檢查一下更改了什么)。具體可以百度一下《審核WINDOWS安全日志》認(rèn)真研究一下各種審核事件說明���。
3.7. 檢查IIS網(wǎng)站訪問日志
對于網(wǎng)站訪問日志的檢查分析�����,網(wǎng)上有不少的介紹�,這里我就不再重復(fù)了����,主要說說我自己的見解吧。
IIS日志會將用戶訪問網(wǎng)站的所有鏈接忠誠的記錄下來,如果你的站點(diǎn)用的是GET方式提交參數(shù)的話��,那么可以很容易從日志中相看到各種SQL注入����、XSS的攻擊方法���。用POST方式提交的話�����,那就看不到這些內(nèi)容了����。我們檢查日志主要是查找各種非正常訪問方式���。
比如:從日志中查找一些攻擊常用的特殊字符����,如',1=1,1>0,update,insert,<,>,#,$,{,sp_,xp_,exe,dll等���,檢查一下圖片擴(kuò)展名的記錄是否有參數(shù)存在(檢查是否存在上傳漏洞)���,當(dāng)然也可以下個分析工具或自己寫一個����。
而訪問日志通常不是孤立的����,要與其他的相關(guān)日志結(jié)合起來分析。
下面舉一個例子給大家說明一下:
在2月10號的時候�����,我檢查了公司的后臺操作日志�,發(fā)現(xiàn)有幾個上海IP的訪問記錄(說明:公司網(wǎng)站的后端是獨(dú)立域名,別人是不知道的��,而公司在上海也沒有其他人員���,另外我開發(fā)的后臺管理系統(tǒng)每個頁面都經(jīng)過加密處理���,不是正常登陸后從頁面生成的URL點(diǎn)擊的話,是無操作訪問權(quán)限的����,每個管理員在后臺的所有操作,框架都會認(rèn)真的全部記錄下來(包括瀏覽頁面記錄))
后臺管理員操作與訪問日志信息:
發(fā)現(xiàn)后我就很奇怪,馬上查看對應(yīng)的登陸日志與IIS日志
并沒有找到登陸日志記錄
而IIS日志就發(fā)現(xiàn)有不少對應(yīng)的記錄����,比如上面用戶操作日志記錄對應(yīng)的這一條(注:IIS日志記錄的時間時區(qū)不是中國所在的東八區(qū),所以時間查看時要加上8)
由于KeyEncrypt這一串加密后的編碼是維一的����,所以一查就查到了一條對應(yīng)的公司IP訪問記錄
然后順滕摸瓜��,再反過來查詢用戶操作日志上����,這個時間是誰在操作
再然后就直接找那個同事,看看他的機(jī)子是否中毒了�,是否給人劫持了瀏覽器
事到這里大家以為已經(jīng)告一段落了,而同事也在重裝系統(tǒng)中~~~
而我重新再按上面手段檢查時發(fā)現(xiàn)�,有很多同事都有這樣的記錄,來訪IP都是上海與深圳電信�、聯(lián)通幾個IP段的地址,而前端的頁面也發(fā)現(xiàn)了同樣的IP���,而對應(yīng)訪問鏈接的IP全國各地的客戶都有,不可能大家都中毒了��,而且這些訪問的所有特點(diǎn)都是大家訪問了指定頁面后,過上幾分鐘或半個小時���,就有一條或多條同樣路徑的訪問記錄......突然間有股毛骨悚然的感覺�����,我們上網(wǎng)還有什么隱私?每訪問一個頁面都有人監(jiān)控到����,而且同時會瀏覽一下看看我們?nèi)チ四抢?����。到了這里我也不知講什么了(大家可以試試查查自己的服務(wù)器日志����,看看有沒有下面幾個IP就知道了)��,這到底是所使用的瀏覽器暴露了我們的訪問還是防火墻�?還是其他的軟件呢?這個還得進(jìn)一步研究才知道����。
認(rèn)真查了一下,主要有這幾個IP段:101.226.102.* 101.226.33.* 101.226.51.* 101.226.65.* 101.226.66.* 101.226.89.* 112.64.235.* 112.65.193.* 115.239.212.* 180.153.114.* 180.153.161.* 180.153.163.* 180.153.201.* 180.153.206.* 180.153.211.* 180.153.214.* 183.60.35.* 183.60.70.* 222.73.76.*
雖然這次發(fā)現(xiàn)后臺地址暴露了�,也沒有給他們成功訪問進(jìn)入到系統(tǒng),不過為了保險起見�,后臺登陸馬上加了登陸需要IP授權(quán)方式(需要獲取到手機(jī)短信驗證碼,提交后獲取當(dāng)前用戶IP授權(quán)方式——能接收短信的手機(jī)是后臺系統(tǒng)錄入員工手機(jī)號碼)
日志的分析由于大家的系統(tǒng)不一樣�,不能直接套用,所以沒有固定的模式����,需要根據(jù)具體的情況來對應(yīng)操作��,我們要學(xué)習(xí)的是日志分析的一種思路��,這樣才能更好的應(yīng)用到自己的工作中����。
大家應(yīng)該多百度一下��,看看其他朋友是怎么分析日志的,這樣才能更好的提升自己。
其他日志分析例子:https://www.jb51.net/hack/648537.html
3.8. 檢查FTP日志
FTP日志主要檢查是否有人在嘗試入侵,用什么帳號嘗試�����,是否登陸成功了��,做過什么操作等
3.9. 檢查網(wǎng)站相關(guān)日志
如果你的網(wǎng)站前后端操作���、支付以及相關(guān)的業(yè)務(wù)接口等都有日志記錄的話���,也要認(rèn)真的檢查一下。
首先查查看是否有異常記錄,有的話發(fā)給相關(guān)的人員進(jìn)行修復(fù)�����。
而網(wǎng)站后端����,主要檢查登陸的管理員訪問的IP地址是否是公司所在地的���,有沒有外地IP��,有的話是否是公司員工等;有沒有非法登陸,訪問了那些頁面,做過什么操作。
網(wǎng)站前端與業(yè)務(wù)接口相關(guān)日志主要檢查業(yè)務(wù)邏輯�����、充值等相關(guān)信息,具體得根據(jù)各自不同的業(yè)務(wù)而定。
3.10. 檢查服務(wù)器運(yùn)行進(jìn)程
在服務(wù)器安裝好以后����,最好馬上將服務(wù)器正在運(yùn)行的進(jìn)程拷屏并保存下來����,在平常維護(hù)服務(wù)器時���,可以拿出來和當(dāng)前正在運(yùn)行的進(jìn)程進(jìn)行對比,看看有沒有多出一些不認(rèn)識的進(jìn)程,有的話百度一下看看是什么軟件���,有什么作用,是否是危險的后門程序等��。
4. 備份數(shù)據(jù)
做好數(shù)據(jù)庫的自動備份操作,經(jīng)常檢查一下當(dāng)天的備份是否運(yùn)行成功(有時會因為數(shù)據(jù)滿了或其他異常導(dǎo)致沒有備份成功)���,萬一備份失敗而數(shù)據(jù)庫又發(fā)生問題的話�,嘿嘿~~~會發(fā)生什么事情就不言而預(yù)了。如果空間大的話�,而數(shù)據(jù)又非常重要,那每天就做多幾次備份或數(shù)據(jù)同步等操作就保險多了����。如果大多數(shù)朋友都只有一臺或幾臺獨(dú)立的服務(wù)器,那除了自動備份外����,每天壓縮數(shù)據(jù)庫后下載到本地備份還是很有必要的。
定期備份網(wǎng)站和相關(guān)圖片���。
定期備份前面所說的各種日志(有時要查看分析一些信息時就要用到����,比如給入侵一段時間后才發(fā)現(xiàn)����,這時就要慢慢翻看歷史日志了,看是那里出現(xiàn)的漏洞引起的�����,好進(jìn)行修復(fù))�,并清理已備份好的日志文件(有的朋友常期不清理日志,有時會因為日志存放空間爆滿而發(fā)生錯誤)
5. 相關(guān)說明
1��、防黑的工作是任重而道遠(yuǎn)的����,除了要做好安全設(shè)置外,平時還得細(xì)分的做好服務(wù)器相關(guān)的檢查維護(hù)工作�����。
2��、可以定期使用各種黑客工具��,嘗試攻擊自己的服務(wù)器�,查看是否有漏洞存在。認(rèn)真到各大論壇����、網(wǎng)站學(xué)習(xí)各種不同的攻擊技巧,只有了解對手的攻擊手段�,才能做好防護(hù)工作。
3�、在檢查過程中,發(fā)現(xiàn)有不熟悉的設(shè)置改變了�����,需要立即聯(lián)系相關(guān)同事咨問����,確保服務(wù)器安全。
4��、服務(wù)器設(shè)置方面,所有防火墻提示的操作先禁用�,當(dāng)發(fā)現(xiàn)某個服務(wù)或什么運(yùn)行不了時再開放,這樣才不會將服務(wù)器一些不必要的端口給開放出去�。
5、當(dāng)查出有問題時�,需要詳細(xì)分析所有新舊日志,查看他是如果進(jìn)入的�����,進(jìn)行了什么操作�����,才能制定對應(yīng)的策略�����,防止下一次再給入侵�����。
6��、服務(wù)器的日志的分析是靈活多變的�����,不同的問題分析方式方法也不一樣,而且需要不同日志結(jié)合起來綜合分析�����。這需要不斷的學(xué)習(xí)以及經(jīng)驗的積累��。
7����、當(dāng)然如果你能了解網(wǎng)站的程序架構(gòu)的話�,對網(wǎng)站的安全性會更有幫助。
由于文筆有限�����,本文寫的肯定還有不少遺漏的地方�����,也請各位大大指出一下�����,最后也希望本文能對你有所幫助。
如果你覺本篇文章有幫到你�,也請幫忙點(diǎn)推薦。
版權(quán)聲明:
本文由AllEmpty發(fā)布于博客園�����,本文版權(quán)歸作者和博客園共有���,歡迎轉(zhuǎn)載����,但未經(jīng)作者同意必須保留此段聲明�����,且在文章頁面明顯位置給出原文鏈接��,如有問題�,可以通過1654937#qq.com 聯(lián)系我,非常感謝�����。
發(fā)表本編內(nèi)容���,只要主為了和大家共同學(xué)習(xí)共同進(jìn)步���,有興趣的朋友可以加加Q群:327360708 或Email給我(1654937#qq.com)�,大家一起探討�����,由于本人工作很繁忙�,如果疑問請先留言���,回復(fù)不及時也請諒解�。
