幾個朋友的**放在伺服器上,但他們都是沒有安全防範,隨便給了進了系統,然後還上傳檔案,被傳了一些webshell上來,差點搞成破壞。很是鬱悶啊。
入侵跡線:通過在啟動裡面增加了乙個程式來完成新增使用者許可權的操作,還有開了server-u乙個新域用來上傳檔案,遠端桌面被控制,事件日誌被刪除等等。還好沒有搞實質破壞。
解決方法:
說到原因,所有的問題就是檔案被上傳,雖說主要原因是那幾個**的問題,但伺服器也有不嚴的地方。
目前決定仍只通過伺服器增強安全設定,讓伺服器繼續裸奔,不裝防毒軟體和任何第三方防火牆。
1、目錄許可權修改:將所有盤的許可權全部收掉,基本只留管理員許可權。web目錄許可權預設只對network service和iuser可讀,部分上傳檔案目錄只對iuser可寫,但同時在iis中設定為不可執行許可權,這樣即使在檔案被上傳後,也無法執行。
2.整機增加模擬驗證,這樣正常情況下即使是asp.net,也會使用iis的匿名iuser來代替networkservice來執行,許可權更小,很多檢視服務資訊的許可權都沒有了,相對安全一些。
3、將遠端桌面登入許可權收掉,將全部組都刪除掉,只留某管理使用者,就算被新增使用者提權了也可以不讓他登陸進來。其他一些操作許可權也進行了限制。
4、重新設定埠限制。除了幾個有用埠外,其他預設封死。原來是封危險埠,但新開端口沒有封。
5、檔案許可權修改:cmd命令等只允許管理員有許可權。
6、server-u管理埠雖然是本地的,但也要修改掉,防止被放shell提權。
7、等等。。
這裡最關鍵的是第一條,控制好能夠上傳檔案的目錄,並剝奪執行許可權,保證任何webshell不被上傳。
至於其他的幾條,都是對於已經被傳了webshell的情況下,儘量減少可操作的許可權,但畢竟也已經是很危險了。
如果嚴格來說,應該是各個**的許可權分開,每個**新建乙個guest許可權的使用者,然後iis匿名設定採用該使用者,目錄許可權也可以控制在這個使用者下。這樣可以防止各**之間互相訪問。不過這個畢竟是朋友,相信大家不會故意搞破壞,所以只防範無聊入侵。
補充一點:一直堅信裸奔的系統也能做到安全,所以從來不給本來資源就不充裕的伺服器安裝各種安全軟體。當然這次事件後,我差點懷疑是否仍然能夠安全,因為畢竟不是只有自己在用,還有其他使用者。經過分析修補之後,仍然堅信,裸奔是安全的,只要利用好作業系統提供的相關控制手段,可以說系統還是基本安全的!繼續裸奔!支援的舉手!
伺服器被入侵如何排查?如何防止伺服器被入侵?
遇到很多次客戶伺服器被入侵的情況,有些伺服器被植入木馬後門 有些被檢查出有挖礦程式 有些發現登入密碼不對,被惡意登入修改了密碼,遇到了伺服器被入侵的情況應第一時間聯絡服務商售後處理將損失降低到最低程度,讓 遊戲等業務恢復。根據以往的處理經驗,總結了一些伺服器被入侵的排查方法,專門用來檢查伺服器第一時...
伺服器被入侵檢查步驟
伺服器被入侵檢查步驟 檢視 etc passwd和 etc shadow檔案是否有可疑賬號 查詢伺服器登入日誌記錄 核心啟動日誌 var log dmesg 系統報錯日誌 var log messages 郵件系統日誌 var log maillog ftp系統日誌 var log xferlog ...
伺服器被入侵(minerd挖礦程式)
一 問題說明 1 我的伺服器是使用的阿里雲的centos,收到的阿里雲發來的提示郵件如下 所謂 挖礦 實質上是用計算機解決一項複雜的數學問題,來保證位元幣網路分布式記賬系統的一致性。位元幣網路會自動調整數學問題的難度,讓整個網路約每10分鐘得到乙個合格答案。隨後位元幣網路會新生成一定量的位元幣作為賞...