服务器安全问题

• 服务器杀毒。
• 360safe检查服务器安全问题

a)       清理恶意插件。

b)       清理无用软件。

c)       修复系统漏洞。

d)      查杀流行木马。

e)       关闭无用进程/关闭无用启动项/关闭无用服务。

• 检查服务器安全

a)       查看WEB站点是否正常访问。

l  有没有多出新的站点？

l  站点使用的是什么数据库？

l  站点权限问题。

l  站点下是否有新上传的文件。

l  站点后台是否多个管理员操作权限。

l  检查各站点是否挂马，是否有注入漏洞，是否有JS漏洞，等等。

l  搜索站点目录下文件内容是否有“cmd/exec/serv-u”字样

l  查找.asp;.asa;.php;扩展名的文件大小大于25K的文件，打开查看是否是木马文件

l  IE打开站点时如果出现不明的加载DLL提示，立刻检查代码是否挂马，第三方的广告是否挂马，非站内URL是否被挂马。

l  可以安装“谷歌浏览器”和“360安全浏览器”会自动提示页面是否挂马，可查看挂马的文件

l  最主要的是凭感觉来发现病毒。如：服务器很慢/有隐藏的操作/aspx文件无cs文件/文件时间不对路/

l  挂马有多种方式：

• 以JS文件的形式将木马挂在页面上(asp/aspx/html/htm/php)。
• 以JS代码的形式将木马挂在页面上(asp/aspx/html/htm/php)。
• 将JS病毒代码放到CSS文件里。用” eXpreSsIon”和@import引用
• 将JS病毒代码放在JS文件里。用document.write输出调用。
• 用iframe打开有JS病毒的页面。
• 将JS病毒代码放在任意文件里，用“C:\WINDOWS\system32\inetsrv\MetaBase.Xml”用“DefaultDocFooter="FILE:C:\Inetpub\wwwroot\iisstart.htm"”来调用。
• 通过IIS的ISAPI （ISAPI扩展/ISAPI筛选器）挂马，删除无用的ISAPI即可。
• 如果在服务器上找不到病毒代码那么可能是ARP挂马
•  

b)       查看数据库是否正常访问

l  不要使用SA操作数据库。

l  新建一个通用的操作所有数据库的用户。

l  各个数据库权限问题。是否有特殊的权限？

l  数据库对应的站点是否明确，是用什么角色操作的。

l  查看执行的SQL效率，及时改进SQL的优化。

l  定期删除1个月前的数据库备份文件。

l  定期完全备份常用数据库，每天增量备份常用数据库。写成SQL维护计划，会自动备份数据。

l  如果有离职的程序员就要修改数据库登录账号密码

c)       查看系统用户和组是否正常。

l  有没有不认识的用户和组信息。

l  用户所属者。

l  各个用户对应的权限。

l  用户的密码安全度。

l  正常情况下有4个账号就是安全的。如：Administrator/ASPNET/IUSR_*/IWAM_*

 

l  如果有离职的程序员就要修改登录账号密码

d)      查看FTP账号是否正常。

l  有没有不认识的新建用户信息。

l  用户所属者。

l  各个用户对应的权限。

l  用户的密码安全度。

l  如果有离职的程序员就要修改FTP账号密码

e)       查看其它信息。

l  检查常用服务是否启动。

如：CMailServer/Serv-U/ServerSQL 2000/

l  系统最容易留后门的文件是“c:\windows\system32\sethc.exe和c:\windows\system32\dllcache\sethc.exe”，每次在登录远程的时候，要试下连续按7下“shift”键，如果出现的是

这个窗口说明sethc.exe正常，否则要先删除“c:\windows\system32\dllcache\sethc.exe”文件在删除“c:\windows\system32\sethc.exe”文件。然后复制本地的文件先上传到dllcache目录下。先删除dllcache目录下的文件是不让这个文件自动恢复。

可以禁用“控制面板-辅助功能选项-粘滞键设置-关掉使用快捷键”

 

l  一定要禁用“servers”服务。这样才能关掉隐藏共享。

如图不能存在隐藏共享：

 

l  如果服务器aspx文件中被加入了JS病毒代码。运行＂无乱码清除ＷＥＢ页中的病毒代码＂

 

可无乱码替换病毒代码。

l  打开IIS->Web服务器扩展->在服务器端的包含文件 禁用

只启用“Active ServerPages/ASP.NET v1.1/ASP.NET v2.0”就可以了。

如果使用ISAPI_Rewrite工具还要启用“ISAPI扩展服务”

l  如果服务器很慢，并且开通了IIS的SMTP服务发送EMAIL，要定期清空“c:\Inetpub\mailroot\Badmail”目录内容。可以写个CMD命令完成：del c:\Inetpub\mailroot\Badmail\*.* /f/s /q

注意在群发EMAIL的时先关闭杀毒软件对EMAIL的监视功能。

 

• IIS站点问题汇总

a)       如果站点打不开，请用FF浏览器查看出错原因，IE是无法查看到具体的出错原因的。

b)       如果出现错误第一时间将出错信息复制到baidu上查找原因。

c)       NET环配置可能出现的问题是：

• 1.1和2.0之间的对应问题，如果你站点是1.1的在站点设置里面也要版本选择1.1的
• 未知的错误可能是IIS对应目录的文件权限问题。如写Access文件/写日志文件或配置文件都需要权限。权限设置也要注意一些事项，机子不同权限也不同，操作系统不同权限也不同。

大部分机子都是需要加入“Everyone”有修改权限即可。

如果还是出错。NET就要加入“ASPNET” 有修改权限。如果是ASP的要加入“IUSR_xxxxxxx” 有修改权限。

如果还是出错需要加入“C:\WINDOWS\temp目录Everyone” 修改权限。

如果还是出错需要加入“C:\Documents and Settings\当前用户目录\Local Settings\Temp目录Everyone” 修改权限。

如果还是出错需要加入“C:\Documents and Settings\xxxxxx\ASPNET目录ASPNET” 修改权限。

• 出错“CS0016:未能写入输出文件: '*:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\TemporaryASP.NET Files\*\*.dll'--拒绝访问”

l  右键C:\Windows\Temp文件夹--属性--安全,添加一个用户"NETWORK SERVICE",(如果是.NET Framework 1.0或Win2000 则添加用户"aspnet user"),"赋予权限--完全控制

l  重新启动IIS

4.  出错“(服务器应用程序不可用)您试图在此 Web 服务器上访问的 Web 应用程序当前不可用。请点击 Web 浏览器中的”

l  站点指向新的应用程序池

l  运行“C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_regiis-r”

l  先重安装IIS，在安装NET Framework

5. “ServiceUnavailable”应该程序池用户无权限，不是IIS_WPG组。

6.  HTTP 错误401.1 - 未经授权：访问由于凭据无效被拒绝

      开始－程序－本地安全策略，在本地策略－用户权限分配中，找到从网络访问计算机这一项，添加刚才新建的IIS站点用户

d)      如果出现的问题实在是找不到原因，可以重启IIS，如果还不行就重启电脑。有很多意外的错误只能重启电脑才能解决。

e)       网站开发过重中，要时修改修改代码，NET站点如果有改动App_Code目录下的文件/Web.config文件/bin目录下的文件/.master文件都需要重新编译。如果改动的次数过多网站会打开很慢很慢。这次需要重启IIS。

f)        站点不要建太多的虚拟目录，如果虚拟目录和一般目录同名时虚拟目录优先级高，所以一般目录下的内容是访问不了的。

g)       删除windows\system32\dllcache\目录中的cacls.exe/cmd.exe/net.exe/net1.exe/ftp.exe/tftp.exe/telnet.exe/netstat.exe/regedit.exe/at.exe/attrib.exe/format.com文件．然后设置windows\system32目录中的cacls.exe/cmd.exe/net.exe/net1.exe/ftp.exe/tftp.exe/telnet.exe/netstat.exe/regedit.exe/at.exe/attrib.exe/format.com只有administrators组和system有执行和读取权限．