Web服务器的日常维护
Web服务器的日常维护是网管的一项重要工作,主要工作有:入侵检测、数据备
份、服务器优化、 常见故障处理以及日志安排等一系统日常维护, 服务器管理工
作必须规范严谨。
一、入侵检测和数据备份
(一)入侵检测工作
作为服务器的日常管理, 入侵检测是一项非常重要的工作, 在平常的检测过
程中,主要包含日常的服务器安全例行检查和遭到入侵时的入侵检查, 也就是分
为在入侵进行时的安全检查和在入侵前后的安全检查。 系统的安全性遵循木桶原
理,木桶原理指的是: 一个木桶由许多块木板组成, 如果组成木桶的这些木板长
短不一,那么这个木桶的最大容量不取决于长的木板, 而取决于最短的那块木板。
应用到安全方面也就是说系统的安全性取决于系统中最脆弱的地方, 这些地方是
日常的安全检测的重点所在。
日常的安全检测
日常安全检测主要针对系统的安全性,工作主要按照以下步骤进行:
1 、查看服务器状态:
打开进程管理器, 查看服务器性能, 观察 CPU和内存使用状况。 查看是否有
CPU和内存占用过高等异常情况。
2 、检查当前进程情况
切换“任务管理器”到进程,查找有无可疑的应用程序或后台进程在运行。
用进程管理器查看进程时里面会有一项 taskmgr ,这个是进程管理器自身的进
程。如果正在运行 windows 更新会有一项 wuauclt.exe 进程。对于拿不准的进程
或者说不知道是服务器上哪个应用程序开启的进程, 可以在网络上搜索一下该进
程名加以确定 [ 进程知识库: / ] 。通常的后门如果有进程
的话,一般会取一个与系统进程类似的名称,如 svch0st.exe ,此时要仔细辨别
[ 通常迷惑手段是变字母 o 为数字 0,变字母 l 为数字 1]
3 、检查系统帐号
打开计算机管理,展开本地用户和组选项,查看组选项,查看
administrators 组是否添加有新帐号,检查是否有克隆帐号。
4 、查看当前端口开放情况
使用 activeport ,查看当前的端口连接情况,尤其是注意与外部连接着的
端口情况, 看是否有未经允许的端口与外界在通信。 如有,立即关闭该端口并记
录下该端口对应的程序并记录,将该程序转移到其他目录下存放以便后来分析。
打开计算机管理 ==》软件环境 ==》正在运行任务 [ 在此处可以查看进程管理器中
看不到的隐藏进程 ] ,查看当前运行的程序,如果有不明程序,记录下该程序的
位置,打开任务管理器结束该进程, 对于采用了守护进程的后门等程序可尝试结
束进程树,如仍然无法结束,在注册表中搜索该程序名,删除掉相关键值,切换
到安全模式下删除掉相关的程序文件。
5 、检查系统服务
运行 services.msc ,检查处于已启动状态的服务,查看是否有新加的未知
服务并确定服务的用途。 对于不清楚的服务打开该服务的属性, 查看该服务所对
应的可执行文件是什么, 如果确定该文件是系统内的正常使用的文件, 可粗略放
过。查看是否有其他正常开放服务依存在该服务上,如果有,可以粗略的放过。
如果无法确定该执行文件是否是系统内正常文件并且没有其他正常开放服务依
存在该服务上, 可暂时停止掉该服务, 然后测试下各种应用是否正常。 对于一些
后门由于采用了 hook 系统 API 技术,添