肉鸡检查和防护,提供一些思路与方法,供参考:

账户方面:

Windows

(1)   检查服务器内是否有异常的账户,查看下服务器内是否有非系统和用户本身创建的账户,一般***创建的账   户账户名后会有$这个字符,有此类账户存在,请立即禁用或者删除掉;

(2)   ***也可能在您服务器内创建隐藏用户,隐藏账户在本地用户内是查看不到的,您可以在服务器内     点击开始-运行-输入regedt32.exe,依次选择HKEY_LOCAL_MACHINE/SAM/SAM,                默认是看不到里面的内容,这个时候点到SAM,鼠标右键选择权限,选择administrator,将权限勾选为完全控制,确定。然后点开始-运行,输入regedit,选择 HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account,打开显示的就是你的机子的所有用户名,如出现本地账户中没有的账

          户,即为隐藏账户,可以删除下,这样就可以删除隐藏用户了(建议您在操作修改注册表前先备份下,以免操作出错)


Linux

(1)使用last命令查看下服务器近期登录的账户记录,或者查看/var/log/secure 日志,如果有除root外的用户登录过,

     检查下 /etc/passwd 这个文件,看是否有异常账户,有的话使用命令“usermod  -L 用户名”禁用下用户或者使用命令“userdel -r 用户名”删除      

     下用户  

    (2)检查下服务器内部账户(如管理员账户,mysql账户,sql server账户,ftp账户)是否密码设置的较为简单,过于简单的密码很容易被***破解,

         请将密码设置的较为复杂些异常端口:

Windows

登录服务器点击开始-运行-输入cmd-输入 netstat  –nao 查看下服务器是否有未被授权的端口被监听,查看下对应的pid

进程号,然后服务器点击开始-->运行-->输入“msinfo32”软件环境-->正在运行的任务,通过pid号查看下运行文件的路

径,删除对应路径文件

Linux

登录服务器使用 netstat –nap查看下服务器是否有未被授权的端口被监听,查看下对应的pid,之后可以使用

ls -l /proc/$PID/exe ($PID为对应的pid )命令查看下pid对应的文件路径,删除下对应的文件

恶意程序:

Wndows

检查下您服务器内部是否有异常的启动项,首先在服务器内点击开始-所有程序-启动,此目录在默认情况下是一个空

目录,但是如果有启动程序或者.bat后缀的文件,核实下是否为您技术人员添加的,如果不是请删除下;然后再次点击

开始-运行,输入msconfig,打开系统启动项,在启动菜单栏中查看是否存在命名异常的启动项目,例如A.EXE

XXXXI1SU2.EXE等,有的话您将启动项目的勾选去掉,并到命令中显示的路径删除下文件,最后点击开始-运行,输入

regedit,依次点击HKEY_CURRENT_USER/software/micorsoft/windows/currentversion/run 看下右侧是否有启动异常的项目,有的话也删除下

并建议在服务器内安装杀毒软件对判断做下病毒查杀,清除下病毒***。

 

linux

登录服务器使用ps -aux 命令查看是否有异常进程,异常进程可以使用kill命令关闭掉,使用chkconfig --list 

令查看下开机启动项中是否有异常的启动服务,有的话使用chkconfig 服务名 off的命令关闭下,同时也看

/etc/rc.local 这个文件中是否有异常的项目,有的话注释掉;


修改远程端口并限制登录IP

Windows

修改远程端口点击开始-运行-输入regedit,打开注册表,进入如下路径:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp

HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\RDP-Tcp

修改下右侧的PortNamber

限制远程登录IP

windows 2003:打开防火墙点击例外,选择下远程桌面-点击编辑-更改范围,在自定义列表中填写上需要远程的IP

windows 2008/2012:依次打开控制面板-系统安全-Windows防火墙-高级设置-入站规则-远程桌面(TCP-In-作用域,在远程IP处填写需要远程连接的服务器IP

linux

修改远程端口您可以在服务器内编辑/etc/ssh/sshd_config文件中的Port 2222修改为其他端口即可,修改之后需要重启下ssh服务,可以使用

 /etc/init.d/sshd restart 命令重启下

限制登录IP可以编辑/etc/hosts.deny /etc/hosts.allow两个文件来限制下