服务器紧急升级中.doc

服务器紧急升级中
篇一：效劳器被入侵后的紧急补救方法
效劳器被入侵后的紧急补救方法
攻击者入侵某个系统，总是由某个主要目的所驱使的。例如炫耀技术，得到企业机密数据，破坏企业正常的业务流程等等，有时也有可能在
(3)、通过Windows任务治理器，来检查是否有非法的进程或效劳在运行，并且马上完毕找到的全部非法进程。但是，一些通过特别处理的后门进程是不会消失在 Windows任务治理器中，此时，我们就可以通过使用Icesword这样的工具软件来找到这些隐蔽的进程、效劳和加载的内核模块，然后将它们全部完毕任务。
可是，有时我们并不能通过这些方式终止某些后门程序的进程，那么，我们就只能暂停业务，转到安全模式下进展操作。假如在安全模式下还不能完毕掉这些后门进程的运行，就只能对业务数据做备份后，恢复系统到某个安全的时间段，再恢复业务数据。
这样，就会造成业务中断大事，因此，在处理时速度应当尽量快，以削减由于业务中断造成的影响和损失。有时，我们还应当检测系统效劳中是否存在非法注册的后门效劳，这可以通过翻开“掌握面板”—“治理工具”中的“效劳”来检查，将找到的非法效劳全部禁用。
(4)、在查找后门进程和效劳时，应当将找到的进程和效劳名称全部记录下来，然后在系统注册表和系统分区中搜寻这些文件，将找到的与此后门相关的全部数据全部删除。还应将“开头菜单”—“全部程序”—“启动”菜单项中的内容全部删除。
(5)、分析系统日志，了解攻击者是通过什么途径入侵系统的，以及他在系统中做了什么样的操作。然后将攻击者在系统中所做的全部修改全部更正过来，假如他是利用系统或应用程序漏洞入侵系统的，就应当找到相应的漏洞补丁来修复这个漏洞。


假如目前没有这个漏洞的相关补丁，就应当使用其它安全手段，例如通过防火墙来阻挡某些IP地址的网络连接的方式，来临时防范通过这些漏洞的入侵攻击，并且要不断关注这个漏洞的最新状态，消失相关修复补丁后就应当马上修改。给系统和应用程序打补丁，我们可以通过相应的软件来自动化进展。
(6)、在完成系统修复工作后，还应当使用弱点检测工具来对系统和应用程序进展一次全面的弱点检测，以确保没有已经的系统或应用程序弱点消失。我们还应用使用手动的方式检查系统中是否添加了新的用户
帐户，以及被攻击做修改了相应的安装设置，例如修改了防火墙过滤规章，IDS/IPS的检测灵敏度，启用被攻击者禁用了的效劳和安全软件。

(1)、修改系统治理员或其它用户帐户的名称和登录密码;
(2)、修改数据库或其它应用程序的治理员和用户账户名称和登录密码;
(3)、检查防火墙规章;
(4)、假如系统中安装有杀毒软件和IDS/IPS，分别更新它们的病毒库和攻击特征库;


(5)、重新设置用户权限;
(6)、重新设置文件的访问掌握规章;
(7)、重新设置数据库的访问掌握规章;
(8)、修改系统中与网络操作相关的全部帐户的名称和登录密码等。
当我们完成上述所示的全部系统恢复和修补任务后，我们就可以对系统和效劳进展一次完全备份，并且将新的完全备份与旧的完全备份分开保存。
在这里要留意的是：对于以掌握系统为目的的入侵活动，攻击者会想方设法来隐蔽自己不被用户发觉。他们除了通过修改或删除系统和防火墙等产生的与他操作相关的日志文件外，高超的黑客还会通过一些软件来修改其所创立、修改文件的根本属性信息，这些根本属性包括文件的最终访问时间，修改时间等，以防止用户通过查看文件属性来了解系统已经被入侵。因此，在检测系统文件是否被修改时，应当使用RootKit Revealer等软件来进展文件完整性检测。
二、以得到或损坏系统中机密数据为目的的系统入侵恢复
现在，企业IT资源中什么最值钱，固然是存在于这些设备当中的各种机密数据了。目前，大局部攻击者都是以猎取企业中机密数据为目的而进展的相应系统入侵活动，以便能够通过出售这些盗取的机密数据来猎取非法利益。
假如企业的机密数据是以文件的方式直接保存在系统中某个分区的文件夹当中，而且这些文件夹又没有通过加密或其它安全手段进展爱护，那么，攻