自从来了这家公司,就开始了解到什么叫做世界不安全,平均一两星期一次的被攻击网站打不开让菜鸟级的我压力山大。
最开始的怀疑是IIS不稳定,IIS进程池无法回收……等7788的原因,(之前公司用的是apache,本人未用过IIS也未了解过IIS),决定放弃IIS改装apache,过程中无意查看了一下80端口的使用情况,结果刷出千多行信息来,隐约觉得是不是被攻击了,于是把首页代码删除,就只输出一段“系统维护中”,居然就这样坏打正着的把第一回难关给过了,后来再遇此情况基本上也都能这样解决。
再偶后有一次偶遇服务器出问题,叫了工程师看顺便被指点了一下,说你们有人尝试暴力破解,最好把ftp端口给换了。一直纳闷他从什么地方向看到这些信息,通过多方查找最终发现,原来有IIS日志、系统日志这些东西。一看日志里面超多警告,来源全是MSFTPSVC 描述:“登录错误,未知的用户名密码……”,基本上每天每秒都在进行着。于是赶紧换了ftp端口,从此这个就消停了。再后来又查到最好把对外的一些默认商品都修改成非默认的,以降低风险,就把远程登录的端口也给改了。
再之后又出现了一次网站打不开的情况,远程上不去,服务器的控制面板打不开。还好开通了云主机监控,一看当前CPU使用率,果断打电话让人重启主机,重启完事后回复正常,再去控制面板一查带宽占用,已经冲到顶了,到此时基本上应该可以确定是被攻击。
小知识: 1. 查看端口占用命令
>netstat -aon|findstr "80"; //查看端口占用情况
TCP 0.0.0.0:80 0.0.0.0:0 LISTENING 772
>tasklist|findstr "772" //查看进程对应的程序
httpd.exe 772 Services 0 16,564 K
右键我的电脑=>管理=>系统工具=>事件查看器=>系统
3. windows远程桌面端口修改:3.1 打开注册表:开始菜单=>运行 输入regedit
3.2 找到HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\Wds\Repwd\Tds\Tcp
以及HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations
下PortNumber键的键值:0xd3d,是16进制,也就是10进制的3389,修改成想要的端口(记得先查端口是否被占用)
3.3 在系统或者您自己安装的防火墙上打开这个例外端口
扫一扫
453
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
