一、入侵检测和数据备份 (一)入侵检测工作
作为服务器的日常管理,入侵检测是一项非常重要的工作,在平常的检测过程中,主要包含日常的服务器安全例行检查和遭到入侵时的入侵检查,也就是分为在入侵进行时的安全检查和在入侵前后的安全检查。系统的安全性遵循木桶原理,木桶原理指的是:一个木桶由许多块木板组成,如果组成木桶的这些木板长短不一,那么这个木桶的最大容量不取决于长的木板,而取决于最短的那块木板。应用到安全方面也就是说系统的安全性取决于系统中最脆弱的地方,这些地方是日常的安全检测的重点所在。 日常的安全检测
日常安全检测主要针对系统的安全性,工作主要按照以下步骤进行: 1、查看服务器状态:
打开进程管理器,查看服务器性能,观察CPU和内存使用状况。查看是否有CPU和内存占用过高等异常情况。
2、检查当前进程情况
切换“任务管理器”到进程,查找有无可疑的应用程序或后台进程在运行。用进程管理器查看进程时里面会有一项taskmgr,这个是进程管理器自身的进程。如果正在运行windows更新会有一项wuauclt.exe进程。对于拿不准的进程或者说不知道是服务器上哪个应用程序开启的进程,可以在网络上搜索一下该进程名加以确定[进程知识库:http://www.dofile.com/]。通常的后门如果有进程的话,一般会取一个与系统进程类似的名称,如svch0st.exe,此时要仔细辨别[通常迷惑手段是变字母o为数字0,变字母l为数字1] 3、检查系统帐号
打开计算机管理,展开本地用户和组选项,查看组选项,查看administrators组是否添加有新帐号,检查是否有克隆帐号。
4、查看当前端口开放情况
使用activeport,查看当前的端口连接情况,尤其是注意与外部连接着的端口情况,看是否有未经允许的端口与外界在通信。如有,立即关闭该端口并记录下该端口对应的程序并记录,将该程序转移到其他目录下存放以便后来分析。打开计算机管理==》软件环境==》正在运行任务[在此处可以查看进程管理器中看不到的隐藏进程],查看当前运行的程序,如果有不明程序,记录下该程序的位置,打开任务管理器结束该进程,对于采用了守护进程的后门等程序可尝试结服务器租用我们推荐哈尔滨思凝科技发展有限公司,哈尔滨本土IDC公司:哈尔滨思凝科技发展有限公司
业务QQ:6841845
联系电话:4009967890 0451-51685523
业务联系人:宋先生
创新科技,用心服务。打造安全、稳定、灵活、便捷的呼叫中心产品,我们一直在努力!
公司名称:哈尔滨思凝科技发展有限公司
地址:哈尔滨市道里区星光耀广场办公4号楼9层
联系人:宋先生
手机:13115550403
固定电话:0451-51685523
公司介绍:
思凝科技(Idchlj)是黑龙江的一家互联网公司,总部位于哈尔滨市道里区星光耀广场办公4号楼9层。