肉雞檢查和防護,提供一些思路與方法,供參考:
賬戶方面:
Windows:
(1) 檢查服務器內是否有異常的賬戶,查看下服務器內是否有非系統和用戶本身創建的賬戶,一般***創建的賬 戶賬戶名後會有$這個字符,有此類賬戶存在,請立即禁用或者刪除掉;
(2) ***也可能在您服務器內創建隱藏用戶,隱藏賬戶在本地用戶內是查看不到的,您可以在服務器內 點擊開始-運行-輸入regedt32.exe,依次選擇HKEY_LOCAL_MACHINE/SAM/SAM, 默認是看不到裏面的內容,這個時候點到SAM,鼠標右鍵選擇權限,選擇administrator,將權限勾選爲完全控制,確定。然後點開始-運行,輸入regedit,選擇 HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account,打開顯示的就是你的機子的所有用戶名,如出現本地賬戶中沒有的賬
戶,即爲隱藏賬戶,可以刪除下,這樣就可以刪除隱藏用戶了(建議您在操作修改註冊表前先備份下,以免操作出錯)
Linux:
(1)使用last命令查看下服務器近期登錄的賬戶記錄,或者查看/var/log/secure 日誌,如果有除root外的用戶登錄過,
檢查下 /etc/passwd 這個文件,看是否有異常賬戶,有的話使用命令“usermod -L 用戶名”禁用下用戶或者使用命令“userdel -r 用戶名”刪除
下用戶
(2)檢查下服務器內部賬戶(如管理員賬戶,mysql賬戶,sql server賬戶,ftp賬戶)是否密碼設置的較爲簡單,過於簡單的密碼很容易被***破解,
請將密碼設置的較爲複雜些異常端口:
Windows:
登錄服務器點擊開始-運行-輸入cmd-輸入 netstat –nao 查看下服務器是否有未被授權的端口被監聽,查看下對應的pid
進程號,然後服務器點擊開始-->運行-->輸入“msinfo32”軟件環境-->正在運行的任務,通過pid號查看下運行文件的路
徑,刪除對應路徑文件
Linux:
登錄服務器使用 netstat –nap查看下服務器是否有未被授權的端口被監聽,查看下對應的pid,之後可以使用
ls -l /proc/$PID/exe ($PID爲對應的pid號 )命令查看下pid對應的文件路徑,刪除下對應的文件
惡意程序:
Wndows:
檢查下您服務器內部是否有異常的啓動項,首先在服務器內點擊開始-所有程序-啓動,此目錄在默認情況下是一個空
目錄,但是如果有啓動程序或者.bat後綴的文件,覈實下是否爲您技術人員添加的,如果不是請刪除下;然後再次點擊
開始-運行,輸入msconfig,打開系統啓動項,在啓動菜單欄中查看是否存在命名異常的啓動項目,例如A.EXE
XXXXI1SU2.EXE等,有的話您將啓動項目的勾選去掉,併到命令中顯示的路徑刪除下文件,最後點擊開始-運行,輸入
regedit,依次點擊HKEY_CURRENT_USER/software/micorsoft/windows/currentversion/run 看下右側是否有啓動異常的項目,有的話也刪除下
並建議在服務器內安裝殺毒軟件對判斷做下病毒查殺,清除下病毒***。
linux:
登錄服務器使用ps -aux 命令查看是否有異常進程,異常進程可以使用kill命令關閉掉,使用chkconfig --list 命
令查看下開機啓動項中是否有異常的啓動服務,有的話使用chkconfig 服務名 off的命令關閉下,同時也看
下/etc/rc.local 這個文件中是否有異常的項目,有的話註釋掉;
修改遠程端口並限制登錄IP
Windows:
修改遠程端口點擊開始-運行-輸入regedit,打開註冊表,進入如下路徑:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp
HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\RDP-Tcp
修改下右側的PortNamber值
限制遠程登錄IP:
windows 2003:打開防火牆點擊例外,選擇下遠程桌面-點擊編輯-更改範圍,在自定義列表中填寫上需要遠程的IP
windows 2008/2012:依次打開控制面板-系統安全-Windows防火牆-高級設置-入站規則-遠程桌面(TCP-In)-作用域,在遠程IP處填寫需要遠程連接的服務器IP
linux:
修改遠程端口您可以在服務器內編輯/etc/ssh/sshd_config文件中的Port 22將22修改爲其他端口即可,修改之後需要重啓下ssh服務,可以使用
/etc/init.d/sshd restart 命令重啓下
限制登錄IP可以編輯/etc/hosts.deny 、/etc/hosts.allow兩個文件來限制下