|
上海网事无忧计算机科技发展有限公司是一家采用世界高新技术结晶,研究、推广和发展新技术的高科技公司。网事无忧自成立以来已经为数以千计的客户提供网络技术应用服务,服务领域涵盖:网络布线,局域网维护,IT外包服务,数据恢复,网站创意与制作、OA办公设备维护等,尤其在局域网建设方面,更是赢得众多客户的广泛赞誉。
|
|
| 企业精神宗旨 |
|
|
|
|
◆专业专注
专业专注,没有达不到的高度! |
|
网事无忧工程师长期从事IT技术工作,积累了丰富的解决各类问题的经验,可以迅速判断电脑/网络故障点,并提出最快的问题解决方案。我们建立了强大的技术问题解决处理管理系统,每一次的问题的发现,问题的现象,此问题牵扯的其他问题(现象及解决描述)解决均会记录下来,录入数据库,以备再碰到类似问题调用参考。寻找最佳解决途径及方案,前车之鉴,后事之师!专注专业,成就事业! |
|
◆高效创新
理解impossible(不可能)——I'm possible
(我是可能的) |
|
●只要努力,没有不可能
技术问题错宗复杂,变化很多,在没有任何经验借鉴的情况下只有努力,再努力...
为我们的客户解决问题,就是解决自己的问题,增加自己的经验...
●创新自信:电脑网络由人控制,坚信没有解决不了的问题
网事无忧员工不仅要能解决未知问题,而且要及时解决从没有碰到的问题
●态度决定一切,沟通解决一切
|
|
|
 |
|
|
| |
|
入侵检测和数据备份
入侵检测工作
作为服务器的日常管理,入侵检测是一项非常重要的工作,在平常的检测过程中,主要包含日常的服务器安全例行检查和遭到入侵时的入侵检查,也就是分为在入侵进行时的安全检查和在入侵前后的安全检查。系统的安全性遵循木桶原理,木桶原理指的是:一个木桶由许多块木板组成,如果组成木桶的这些木板长短不一,那么这个木桶的最大容量不取决于长的木板,而取决于最短的那块木板。应用到安全方面也就是说系统的安全性取决于系统中最脆弱的地方,这些地方是日常的安全检测的重点所在。
日常的安全检测
日常安全检测主要针对系统的安全性,工作主要按照以下步骤进行:
1.查看服务器状态:
打开进程管理器,查看服务器性能,观察cpu和内存使用状况。查看是否有cpu和内存占用过高等异常情况。
2.检查当前进程情况
切换“任务管理器”到进程,查找有无可疑的应用程序或后台进程在运行。用进程管理器查看进程时里面会有一项taskmgr,这个是进程管理器自身的进程。如果正在运行windows更新会有一项wuauclt.exe进程。对于拿不准的进程或者说不知道是服务器上哪个应用程序开启的进程,可以在网络上搜索一下该进程名加以确定[进程知识库:http:
//www.dofile.com/]。通常的后门如果有进程的话,一般会取一个与系统进程类似的名称,如svch0st.exe,此时要仔细辨别[通常迷惑手段是变字母o为数字0,变字母l为数字1]
3.检查系统帐号
打开计算机管理,展开本地用户和组选项,查看组选项,查看administrators组是否添加有新帐号,检查是否有克隆帐号。
4.查看当前端口开放情况
使用activeport,查看当前的端口连接情况,尤其是注意与外部连接着的端口情况,看是否有未经允许的端口与外界在通信。如有,立即关闭该端口并记录下该端口对应的程序并记录,将该程序转移到其他目录下存放以便后来分析。打开计算机管理==》软件环境==》正在运行任务[在此处可以查看进程管理器中看不到的隐藏进程],查看当前运行的程序,如果有不明程序,记录下该程序的位置,打开任务管理器结束该进程,对于采用了守护进程的后门等程序可尝试结束进程树,如仍然无法结束,在注册表中搜索该程序名,删除掉相关键值,切换到安全模式下删除掉相关的程序文件。
5.检查系统服务
运行services.msc,检查处于已启动状态的服务,查看是否有新加的未知服务并确定服务的用途。对于不清楚的服务打开该服务的属性,查看该服务所对应的可执行文件是什么,如果确定该文件是系统内的正常使用的文件,可粗略放过。查看是否有其他正常开放服务依存在该服务上,如果有,可以粗略的放过。如果无法确定该执行文件是否是系统内正常文件并且没有其他正常开放服务依存在该服务上,可暂时停止掉该服务,然后测试下各种应用是否正常。对于一些后门由于采用了hook系统api技术,添加的服务项目在服务管理器中是无法看到的,这时需要打开注册表中的hkey_local_machinesystemcurrentcontrolsetservices项进行查找,通过查看各服务的名称、对应的执行文件来确定是否是后门、木马程序等。
6.查看相关日志
运行eventvwr.msc,粗略检查系统中的相关日志记录。在查看时在对应的日志记录上点右键选“属性”,在“筛选器”中设置一个日志筛选器,只选择错误、警告,查看日志的来源和具体描述信息。对于出现的错误如能在服务器常见故障排除中找到解决办法则依照该办法处理该问题,如果无解决办法则记录下该问题,详细记录下事件来源、id号和具体描述信息,以便找到问题解决的办法。
7.检查系统文件
主要检查系统盘的exe和dll文件,建议系统安装完毕之后用dir *.exe /s
>1.txt将c盘所有的exe文件列表保存下来,然后每次检查的时候再用该命令生成一份当时的列表,用fc比较两个文件,同样如此针对dll文件做相关检查。需要注意的是打补丁或者安装软件后重新生成一次原始列表。检查相关系统文件是否被替换或系统中是否被安装了木马后门等恶意程序。必要时可运行一次杀毒程序对系统盘进行一次扫描处理。
8.检查安全策略是否更改
打开本地连接的属性,查看“常规”中是否只勾选了“tcp/ip协议”,打开
“tcp/ip”协议设置,点“高级”==》“选项”,查看“ip安全机制”是否是设定的ip策略,查看“tcp/ip”筛选允许的端口有没有被更改。打开“管理工具”=》“本地安全策略”,查看目前使用的ip安全策略是否发生更改。
9.检查目录权限
重点查看系统目录和重要的应用程序权限是否被更改。需要查看的目录有
c:;c:winnt;
c:winntsystem32;c:winntsystem32inetsrv;c:winntsystem32inetsrvdata;
c:documents and settings;
然后再检查serv-u安装目录,查看这些目录的权限是否做过变动。检查system32下的一些重要文件是否更改过权限,包括:cmd,net,ftp,tftp,cacls等文件。
10.检查启动项
主要检查当前的开机自启动程序。可以使用areporter来检查开机自启动的程序。
|
|
|
|
|
| |
| |
|
 |
|
