Schritt-für-Schritt-Anleitung zur Sicherheitsüberprüfung auf dem Win2008-Server (Anweisungen zur täglichen Wartung)

Das Dokument ist schon seit einiger Zeit geschrieben, aber ich habe mich noch nicht getraut, es hochzuladen. Je mehr ich über Serversicherheit weiß, desto oberflächlicher komme ich mir vor. Mit vielen Dingen habe ich noch nicht einmal angefangen. Wenn ich es poste und versuche, meine Fähigkeiten vor so vielen tollen Leuten zu zeigen, werde ich vielleicht in Stücke gehackt, wenn ich nicht aufpasse.

Während des Schreibprozesses gibt es viele Stellen, bei denen ich verstehe, was vor sich geht und wie ich es analysieren und damit umgehen kann, aber ich weiß einfach nicht, wie ich es in Worte fassen soll (es stimmt, dass Wissen selten eingesetzt wird, wenn es benötigt wird), also verzeihen Sie mir bitte meine begrenzten Schreibfähigkeiten.

An manchen Stellen würde ich gern ausführlicher darauf eingehen und die Gründe dafür erklären, aber meine persönlichen Fähigkeiten sind begrenzt und ich kann nur die Grundlagen kennen. Jetzt kann ich nur schamlos über einige meiner Methoden zur täglichen Serververwaltung und die Analyse- und Behandlungsmethoden einiger kürzlich aufgetretener Probleme sprechen. Was andere Angriffsmethoden betrifft, kann ich sie nur entsprechend der tatsächlichen Situation behandeln, nachdem ich auf sie gestoßen bin. Jetzt weiß ich nicht, wie ich über diese Analyse- und Behandlungsmethoden sprechen soll, da ich ihnen nicht begegnet bin. Einige der im Artikel vorgeschlagenen Inhalte dienen nur als Referenz und Sie können sie als Vorgehensweise verwenden.

Im vorherigen Artikel „Dokument zur Bereitstellung der Serversicherheit“ wurde nur beschrieben, wie der Server sicherer bereitgestellt werden kann. Es gab jedoch keine detaillierte Beschreibung, warum dies so eingerichtet werden sollte und warum die McAfee-Firewall verwendet werden sollte usw. Aber denken Sie darüber nach, wenn es wirklich detaillierter wäre, würde die Länge des Dokuments möglicherweise mehr als die Hälfte betragen, und jedem würde beim Lesen wirklich schwindelig werden, haha ​​... In diesem Artikel wird jedoch ein kleiner Teil des Inhalts erneut erläutert und ergänzt.

Okay, ich will keine weitere Zeit verschwenden, kommen wir zum Punkt.

Inhaltsverzeichnis
1. Einleitung 3
2. Einsatzumgebung 3
2.1 Informationen zur Serverumgebung 3
3. Sicherheitscheck 4
3.1. Überprüfen der VirusScan-Konsole 4
3.2. Überprüfen Sie die McAfee HIP Firewall 6
3.3. Überprüfen Sie die Windows-Firewall 9
3.4. IIS-bezogene Einstellungen und Zugriffsberechtigungen für Website-Verzeichnisse prüfen 10
3.5. Überprüfen des Administratorkontos14
3.6. Windows-Protokoll prüfen 15
3.7. IIS-Website-Zugriffsprotokoll prüfen 16
3.8. FTP-Protokoll prüfen 17
3.9. Website-bezogene Protokolle prüfen 17
3.10. Überprüfen Sie den laufenden Serverprozess 19
4. Daten sichern21
5. Zugehörige Hinweise 21

1. Einleitung

Wenn der Server nach seiner sicheren Bereitstellung nicht täglich gewartet wird, ist das so, als würde man eine eingezäunte Schafherde unbeaufsichtigt auf einer offenen Weide zurücklassen. Eines Tages entdeckt ein Wolf ein Problem mit dem Zaun, reißt den Zaun auf, bricht in die Herde ein und vergnügt sich, während der Besitzer weit weg ist und nichts davon mitbekommt. Bei guter täglicher Wartung können Probleme rechtzeitig erkannt und Schwachstellen behoben werden, wodurch Verluste reduziert werden.

2. Bereitstellungsumgebung

Ausgelassen (siehe Dokument zur Serverbereitstellung)

3. Sicherheitscheck

3.1. Überprüfen Sie die McAfee VirusScan-Konsole

Einige Freunde fragen vielleicht, warum McAfee anstelle anderer Tools verwenden? Dies liegt daran, dass McAfee über eine Zugriffsschutzfunktion verfügt. Solange die entsprechende Sicherheitsrichtlinie aktiviert ist, kann alle nicht autorisierte Software (die im Zugriffsschutz festgelegten ausgeschlossenen Prozesse) entsprechende Vorgänge nicht ausführen. Wenn Sie beispielsweise „Erstellen neuer ausführbarer Dateien in Windows-Ordnern verbieten“ aktivieren oder eine Richtlinie anpassen, um das Erstellen von DLL- und EXE-Dateien in allen Verzeichnissen auf dem Server zu verbieten, werden beim Hacken des Servers einige Methoden möglicherweise nicht ausgeführt. Falls sie einige unserer offenen Dienste nutzen, um Trojaner hochzuladen oder ins System einzudringen, wird diese Sicherheitsstrategie ihnen bei der Durchführung von Vorgängen zur Rechteausweitung ebenfalls große Schwierigkeiten bereiten.

Wenn wir nach dem Aktivieren dieser Richtlinien ausgeschlossene Prozesse hinzufügen, müssen wir alle Prozesse ausschließen, die wir nicht verstehen oder mit denen wir nicht vertraut sind. Einige Prozesse müssen nicht verwendet werden und müssen nach dem vorübergehenden Öffnen gelöscht werden, um den Server sicherer zu machen. Natürlich habe ich keine Angst vor gottgleichen Feinden, aber ich habe Angst vor schweinegleichen Teamkollegen. Wenn die Serververwaltung chaotisch ist und Sie nur Ausschlussprozesse hinzufügen, wenn Sie blockierende Elemente im Protokoll sehen, habe ich nichts zu sagen.

Öffnen Sie die VirusScan-Konsole

Überprüfen Sie, ob die entsprechenden Elemente normalerweise aktiviert sind

Überprüfen des Zugriffsschutzprotokolls

Überprüfen Sie, ob neue deaktivierte oder blockierte Datensätze vorhanden sind, prüfen Sie, welches Konto den Datensatz bedient hat, ob er den Betrieb der Website beeinträchtigt, und überlegen Sie dann, ob Sie ihn zur Regelliste hinzufügen möchten. Generell gilt: Wenn die blockierenden Elemente den Betrieb der Website oder des Dienstes nicht beeinträchtigen, ignorieren Sie sie.

Aus dem Protokoll können Sie ersehen, welcher Benutzer aktiv ist, welches Programm ausgeführt wird und welcher Vorgang blockiert wurde. Generell werden unsere Server für Websites verwendet. Wenn hier die SYSTEM- oder IIS-bezogenen Konten deaktiviert sind, prüfen Sie sorgfältig, ob diese Programme für den Betrieb der Website erforderlich sind. Wenn ja, lassen Sie sie zu, andernfalls ignorieren Sie sie. Wenn die Vorgänge des Administratorkontos durch eigene Vorgänge generiert werden, lassen Sie sie nur vorübergehend zu. Wenn nicht, prüfen Sie, ob möglicherweise eingedrungen wurde.

Wenn Sie es hinzufügen müssen, fügen Sie es den Ausschlussprozessregeln des Zugriffsschutzes hinzu

Testen Sie es nach dem Hinzufügen erneut, um zu sehen, ob es normal ist. Wenn es immer noch nicht funktioniert, öffnen Sie das Protokoll erneut und fügen Sie die durch den neuen Protokolleintrag verbotenen Prozesse der entsprechenden Richtlinie hinzu.

3.2. McAfee HIP Firewall prüfen

Die McAfee HIP Firewall kann sämtliche internen und externen Zugriffe auf alle Ports des Servers direkt überwachen, die Verwendung bestimmter Ports durch entsprechende Software direkt deaktivieren und bekannte Zero-Day-, Denial-of-Service- (DoS), Distributed-Denial-of-Service- (DDoS), SYN-Flood- und verschlüsselte Angriffe sofort abwehren und blockieren.

Wenn Anwendungsrichtlinien aktiviert sind, können Sie außerdem die Verwendung und den Betrieb der gesamten Serversoftware direkt steuern.

Doppelklicken Sie auf das Firewall-Symbol, um die Firewall-Software zu öffnen

Überprüfen Sie, ob die Anti-Intrusion-Firewall der IPS-Richtlinie aktiviert ist

Überprüfen Sie, ob die Firewall aktiviert ist und ob in den eingerichteten Regeln neu hinzugefügte Elemente vorhanden sind, um festzustellen, ob diese Elemente normal eingerichtet sind.

Überprüfen Sie das Aktivitätsprotokoll, öffnen Sie den Datensatz aller zulässigen Elemente, prüfen Sie, ob neue Ports mit Zugriffslinks vorhanden sind, und legen Sie fest, ob diese zugelassen werden sollen. Wenn nicht, fügen Sie sie manuell zu den Firewall-Regeln hinzu.

Manuelles Hinzufügen von Blockierungsregeln

Überprüfen Sie den Aktivitätsdatensatz erneut. Der Zugriff auf dieses Produkt wurde blockiert.

Wenn Sie möchten, dass der Server sicherer ist, können Sie auch die Anwendungsrichtlinienfunktion aktivieren. Auf diese Weise muss jede auf dem Server ausgeführte Software autorisiert werden. Dies ist zwar problematischer, das System ist jedoch sicherer und zuverlässiger. Sie können herausfinden, wie Sie es einrichten, indem Sie es auf einer virtuellen Maschine testen.

3.3. Überprüfen Sie die Windows-Firewall

Öffnen Sie die Windows-Firewall und prüfen Sie, ob sie eingeschaltet ist (obwohl die McAfee-Firewall bereits vorhanden ist, muss die systemeigene Firewall eingeschaltet sein, um zu verhindern, dass eine Firewall versehentlich ausgeschaltet wird, während die andere noch eingeschaltet ist).

Überprüfen Sie den Öffnungsstatus der Firewall-Ports, um zu sehen, ob es sich um die von Ihnen selbst festgelegten handelt und ob neue Ports geöffnet wurden. Wenn dies der Fall ist, treffen Sie entsprechende Entscheidungen und wenden Sie sich an andere Administratoren des Servers.

3.4. IIS-bezogene Einstellungen und Zugriffsberechtigungen für Website-Verzeichnisse prüfen

Überprüfen Sie hauptsächlich die Verzeichniseinstellungen mehrerer Websites, um festzustellen, ob die Verzeichnisschreibberechtigung aktiviert ist, und prüfen Sie dann, ob alle Ordner mit Schreibberechtigung über Ausführungsberechtigungen verfügen. Überprüfen Sie gleichzeitig, ob auf der Website neue Verzeichnisse vorhanden sind (einige Verzeichnisse können von Entwicklern ohne Wissen des Serveradministrators willkürlich hinzugefügt werden, andere können von Hackern hinzugefügt werden), wie diese Verzeichnisberechtigungen festgelegt sind usw.

Überprüfen Sie neben den Schreibberechtigungen auch, ob neue Konten hinzugefügt wurden. Wenn das Stammverzeichnis Schreibberechtigungen hat, seien Sie vorsichtig. Achten Sie bei neuen Konten außerdem darauf, ob diese von anderen Administratoren hinzugefügt wurden.

Überprüfen Sie, ob das beschreibbare Verzeichnis über Ausführungsberechtigungen verfügt

Überprüfen Sie die entsprechenden Ordner der Website gemäß der oben beschriebenen Methode. Darüber hinaus sollten Sie für Verzeichnisse, die nicht ausgeführt werden müssen, wie z. B. JS, CSS, Bilder, Konfiguration, Protokolle, HTML usw., am besten keine Einschränkungen bei der Skriptausführung festlegen, auch wenn sie keine Schreibberechtigung haben.

3.5. Überprüfen Sie das Administratorkonto

Öffnen Sie den Server-Manager und prüfen Sie, ob es sich bei den Konten um die Standardkonten handelt und ob neue Konten vorhanden sind (im Allgemeinen werden nach einem Angriff auf den Server einige neue Konten erstellt oder einige Konten, die ursprünglich zur Gruppe „Gast“ gehörten, erhalten Administrator- oder Benutzerberechtigungen).

Da dieses Dokument auf einer neuen virtuellen Maschine getestet und geschrieben wird, verwendet das IIS-Zugriffskonto das Anwendungspoolkonto. Daher gibt es nicht so viele Konten wie im vorherigen Artikel.

Überprüfen Sie, ob die Gruppe, zu der das Administratorkonto gehört, leer ist.

Überprüfen Sie, ob das DisableGuest-Konto zu Gästen gehört und ob das Konto deaktiviert ist

Wenn es andere Konten gibt, führen Sie auch die obige Prüfung durch

3.6. Windows-Protokolle prüfen

Protokolldateien sind für uns sehr wichtig. Wir können sie verwenden, um die Betriebsspuren verschiedener Konten anzuzeigen. Daher ist es am besten, den Protokollspeicherpfad zu ändern. Darüber hinaus sollten die SYSTEM-Kontoberechtigungen des Protokollverzeichnisses auf schreibgeschützt und nur hinzufügen, aber nicht nur ändern eingestellt sein. Auf diese Weise können die Protokolldateien bei einem Systemangriff nicht gelöscht oder geändert werden. (Im Internet gibt es viele Artikel zur Änderung des Protokollpfads, daher werde ich hier nicht näher darauf eingehen.)

Wir prüfen die Protokolle, wobei wir uns hauptsächlich die Warnungen und Fehlermeldungen in den Protokollen ansehen und analysieren, welche Ausnahmen durch Codeprobleme verursacht werden (senden diese Ausnahmen zur Behebung an die entsprechenden Kollegen), welche Systemfehler sind (bestimmen, ob sie durch Firewall-Regeln oder Dienst- bzw. Programmfehler verursacht werden und ob eine entsprechende Verarbeitung erforderlich ist) und welche Hackerangriffe durchführen (nach der Analyse der Angriffsmethode können Sie die entsprechenden Codeseiten erneut prüfen und verarbeiten, um Schwachstellen in einzelnen Seiten zu vermeiden, die zu einem erfolgreichen Eindringen führen) … Bei den in den Protokollen angezeigten Ausnahmen gibt es tatsächlich viele Einträge, die nicht durch den Code selbst verursacht werden. Die häufigeren sind Ausnahmen, die dadurch verursacht werden, dass jemand XSS verwendet, um die Übermittlung anzugreifen. Sie müssen diesen Ausnahmen keine Aufmerksamkeit schenken. Solange die SQL-Injection- und XSS-Angriffsfiltervorgänge am Eingang der Seitenübermittlung gut durchgeführt werden, wird es keine Probleme geben.
Wenn Sie Zeit haben, sollten Sie sich außerdem auch die Zeit nehmen, sich die normalen Informationen anzusehen. Sie können viele Vorgänge analysieren, die die Firewall-Regeln passiert haben, um festzustellen, ob ein Eindringling erfolgreich war (z. B. prüfen, ob einige IP-Adressen, die normalerweise auf den Hintergrund zugreifen, aus anderen Regionen stammen, und dann die entsprechenden Hintergrundprotokolle prüfen, um festzustellen, welcher Kollege sie ausgeführt hat usw.).

Prüfen Sie im Sicherheitsereignisprotokoll sorgfältig die Aufzeichnungen erfolgreicher und fehlgeschlagener Prüfungen und achten Sie auf Folgendes: normale oder fehlgeschlagene Anmelde- und Abmeldezeit; prüfen Sie, ob sich der Serveradministrator selbst angemeldet hat und ob Konten vorhanden sind, die nicht von ihm selbst erstellt wurden; achten Sie darauf, ob Batch-Anmeldeereignisse (und mögliche erfolgreiche Eindringversuche) vorhanden sind; verschiedene Ereignisse bei der Kontoverwaltung und der Sicherheitsgruppenverwaltung (nach einem erfolgreichen Eindringversuch können Sie Konten erstellen, Kennwörter ändern oder Konten löschen usw., was aufgezeichnet wird); Ereignisse bei Änderungen der Prüfrichtlinie (ob der Administrator sie selbst geändert hat und wenn es nicht er, sondern ein anderer Administrator war, prüfen Sie, was geändert wurde). Ausführlichere Informationen erhalten Sie, wenn Sie bei Baidu nach „Auditing WINDOWS Security Log“ suchen und die Beschreibungen der verschiedenen Prüfereignisse sorgfältig studieren.

3.7. Überprüfen Sie das IIS-Website-Zugriffsprotokoll

Im Internet gibt es viele Einführungen zur Überprüfung und Analyse von Website-Zugriffsprotokollen. Ich werde sie hier nicht wiederholen. Ich werde hauptsächlich über meine eigenen Ansichten sprechen.

IIS-Protokolle zeichnen alle Links, die Benutzer zur Website besuchen, gewissenhaft auf. Wenn Ihre Site die GET-Methode zum Senden von Parametern verwendet, können Sie in den Protokollen problemlos verschiedene SQL-Injection- und XSS-Angriffsmethoden erkennen. Wenn Sie die Übermittlung per POST durchführen, können Sie diese Inhalte nicht sehen. Wir überprüfen die Protokolle hauptsächlich, um verschiedene abnormale Zugriffsmethoden zu finden.

Beispiel: Suchen Sie im Protokoll nach einigen bei Angriffen häufig verwendeten Sonderzeichen wie ',1=1,1>0,update,insert,<,>,#,$,{,sp_,xp_,exe,dll usw. Prüfen Sie, ob der Datensatz der Bilderweiterung Parameter enthält (prüfen Sie, ob eine Upload-Sicherheitslücke besteht). Natürlich können Sie auch ein Analysetool herunterladen oder selbst eines schreiben.

Zugriffsprotokolle sind normalerweise nicht isoliert und müssen in Verbindung mit anderen verwandten Protokollen analysiert werden.

Hier ist ein Beispiel zur Veranschaulichung:

Am 10. Februar überprüfte ich das Backend-Betriebsprotokoll des Unternehmens und fand mehrere Zugriffsaufzeichnungen von Shanghaier IPs (Hinweis: Das Backend der Website des Unternehmens ist ein unabhängiger Domänenname, der anderen unbekannt ist, und das Unternehmen hat keine anderen Mitarbeiter in Shanghai. Darüber hinaus ist jede Seite des von mir entwickelten Backend-Verwaltungssystems verschlüsselt. Wenn Sie auf die von der Seite generierte URL klicken, ohne sich normal anzumelden, haben Sie keine Zugriffsrechte. Das Framework zeichnet alle Vorgänge jedes Administrators im Hintergrund sorgfältig auf (einschließlich der Aufzeichnungen zum Seitendurchsuchvorgang).)

Informationen zum Backstage-Administratorbetrieb und Zugriffsprotokoll:

Ich war sehr überrascht, als ich es fand, und überprüfte sofort das entsprechende Anmeldeprotokoll und das IIS-Protokoll

Keine Login-Log-Datensätze gefunden

Es gibt viele entsprechende Datensätze im IIS-Protokoll, wie beispielsweise den, der dem obigen Benutzerbetriebsprotokolldatensatz entspricht (Hinweis: Die Zeitzone des IIS-Protokolldatensatzes ist nicht die Zeitzone Ost-8, in der sich China befindet. Fügen Sie daher beim Überprüfen der Zeit 8 hinzu.)

Da der verschlüsselte Code von KeyEncrypt derselbe ist, wurde sofort ein entsprechender Firmen-IP-Zugriffsdatensatz gefunden.

Folgen Sie dann den Hinweisen und prüfen Sie das Benutzerprotokoll, um herauszufinden, wer zu diesem Zeitpunkt aktiv war.

Dann ging ich sofort zu diesem Kollegen, um herauszufinden, ob sein Computer infiziert war oder ob jemand seinen Browser gekapert hatte.

Alle dachten, die Sache sei erledigt, und mein Kollege war auch dabei, das System neu zu installieren~~~

Als ich mit der oben beschriebenen Methode noch einmal nachschaute, stellte ich fest, dass viele Kollegen solche Datensätze hatten. Die besuchenden IP-Adressen stammten alle aus mehreren IP-Segmenten von Shanghai Telecom, Shenzhen Telecom und China Unicom, und dieselbe IP wurde auch auf der Front-End-Seite gefunden. Die entsprechenden IP-Adressen der Zugangslinks gehörten Kunden aus dem ganzen Land. Es war unmöglich, dass alle infiziert waren. Darüber hinaus waren alle Merkmale dieser Besuche, dass, nachdem jeder die angegebene Seite besucht hatte, nach einigen Minuten oder einer halben Stunde ein oder mehrere Zugangsdatensätze desselben Pfads vorhanden waren ... Plötzlich hatte ich ein gruseliges Gefühl. Welche Privatsphäre haben wir, wenn wir im Internet surfen? Jede Seite, die wir besuchen, wird von jemandem überwacht, der auch einen Blick darauf wirft, wohin wir gehen. Ich weiß an dieser Stelle nicht, was ich sagen soll (Sie können versuchen, Ihre Serverprotokolle zu überprüfen, um festzustellen, ob die folgenden IP-Adressen vorhanden sind). Ist es der von uns verwendete Browser, der unseren Zugriff offenlegt, oder ist es die Firewall? Oder andere Software? Um das herauszufinden, sind weitere Untersuchungen erforderlich.

:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::3s::::::333:33333333333333333333ag33333333333333333333333333333 es333333333333333333333333333333 es33 nicht nicht nicht nicht nicht nicht nicht nicht nicht nicht nicht nicht nicht dann dann dann dann aber33333333333333333333 nicht3 nicht3 nicht3 nicht3 nicht3 nicht3 nicht3 nicht3 dann3 dann3 aber3 dann3 nicht nicht nicht nicht nicht nicht nicht nicht nicht nicht nicht nicht nicht nicht nicht nicht nicht nicht nicht nicht nicht nicht nicht nicht nicht nicht nicht nicht nicht nicht nicht nicht dann nichtie dasen aber aber abersossoss aberstens aberstensss aberten aber abers :::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::3s::::::333:33333333333333333333ag33333333333333333333333333333 es333333333333333333333333333333 es33 nicht nicht nicht nicht nicht nicht nicht nicht nicht nicht nicht nicht nicht dann dann dann dann aber33333333333333333333 nicht3 nicht3 nicht3 nicht3 nicht3 nicht3 nicht3 nicht3 dann3 dann3 aber3 dann3 nicht nicht nicht nicht nicht nicht nicht nicht nicht nicht nicht nicht nicht nicht nicht nicht nicht nicht nicht nicht nicht nicht nicht nicht nicht nicht nicht nicht nicht nicht nicht nicht dann nichtie dasen aber aber abersossoss aberstens aberstensss aberten aber abers :::::::::::

Obwohl die Hintergrundadresse dieses Mal offengelegt wurde, konnten sie nicht erfolgreich auf das System zugreifen. Aus Sicherheitsgründen wurde bei der Hintergrundanmeldung jedoch sofort die IP-Autorisierungsmethode hinzugefügt (Sie müssen den SMS-Bestätigungscode abrufen und nach der Übermittlung die IP-Autorisierungsmethode des aktuellen Benutzers abrufen - das Mobiltelefon, das SMS empfangen kann, ist die im Hintergrundsystem eingegebene Mobiltelefonnummer des Mitarbeiters).

Da jedes System anders ist, kann die Protokollanalyse nicht direkt angewendet werden. Es gibt also kein festes Muster. Sie muss je nach der jeweiligen Situation durchgeführt werden. Wir müssen lernen, wie wir über die Protokollanalyse nachdenken, damit wir sie besser auf unsere eigene Arbeit anwenden können.

Sie sollten weiter auf Baidu suchen, um zu sehen, wie andere Freunde Protokolle analysieren, damit Sie sich besser verbessern können.

Weitere Beispiele für Protokollanalysen: https://www.jb51.net/hack/648537.html

3.8. FTP-Protokolle prüfen

Das FTP-Protokoll prüft hauptsächlich, ob jemand versucht, einzudringen, welches Konto für den Versuch verwendet wird, ob die Anmeldung erfolgreich ist, welche Vorgänge ausgeführt wurden usw.

3.9. Überprüfen Sie die Website-bezogenen Protokolle

Wenn für die Front-End- und Back-End-Vorgänge, Zahlungen und zugehörigen Geschäftsschnittstellen Ihrer Website Protokolldatensätze vorhanden sind, sollten Sie diese ebenfalls sorgfältig prüfen.

Überprüfen Sie zunächst, ob ungewöhnliche Datensätze vorhanden sind. Wenn ja, senden Sie diese zur Reparatur an das zuständige Personal.

Dabei prüft das Backend der Webseite vor allem, ob es sich bei der vom eingeloggten Administrator aufgerufenen IP-Adresse um die des Firmenstandortes handelt, ob ausländische IP-Adressen vorhanden sind und wenn ja, ob es sich um einen Mitarbeiter der Firma handelt etc., ob unerlaubte Logins vorliegen, welche Seiten besucht wurden und welche Aktionen ausgeführt wurden.

Die mit dem Frontend und der Geschäftsschnittstelle der Website verknüpften Protokolle prüfen hauptsächlich die Geschäftslogik, das Aufladen und andere zugehörige Informationen, die vom jeweiligen Geschäft abhängen.

3.10. Überprüfen Sie den laufenden Serverprozess

Nach der Installation des Servers macht man am besten sofort einen Screenshot der auf dem Server laufenden Prozesse und speichert diesen ab. Bei der regelmäßigen Wartung des Servers kann man diesen mit den aktuell laufenden Prozessen vergleichen und feststellen, ob weitere unbekannte Prozesse vorhanden sind. Wenn ja, kann man bei Baidu nachschauen, um welche Software es sich handelt, welche Funktion sie hat, ob es sich um ein gefährliches Backdoor-Programm handelt usw.

4. Sichern Sie Ihre Daten

Führen Sie eine gute automatische Datenbanksicherung durch und prüfen Sie regelmäßig, ob die Sicherung des Tages erfolgreich war (manchmal ist die Sicherung aufgrund voller Daten oder anderer Anomalien möglicherweise nicht erfolgreich). Falls die Sicherung fehlschlägt und die Datenbank Probleme hat, können Sie vorhersagen, was passieren wird, hehe~~~. Wenn der Speicherplatz groß und die Daten sehr wichtig sind, ist es sicherer, täglich mehrere Sicherungen oder Datensynchronisierungsvorgänge durchzuführen. Wenn die meisten Deiner Freunde nur über einen oder mehrere unabhängige Server verfügen, ist es neben der automatischen Datensicherung noch notwendig, die Datenbank täglich zu komprimieren und in das lokale Backup herunterzuladen.

Sichern Sie Ihre Website und die dazugehörigen Bilder regelmäßig.

Sichern Sie regelmäßig die verschiedenen oben genannten Protokolle (manchmal müssen Sie sie verwenden, wenn Sie einige Informationen anzeigen und analysieren müssen, z. B. wenn nach einer gewissen Zeit ein Einbruch entdeckt wird. Zu diesem Zeitpunkt müssen Sie die historischen Protokolle langsam durchsehen, um festzustellen, wo die Sicherheitsanfälligkeit verursacht wird, damit Sie sie beheben können) und bereinigen Sie die gesicherten Protokolldateien (einige Freunde bereinigen die Protokolle häufig nicht und manchmal treten Fehler auf, weil der Protokollspeicherplatz voll ist).

5. Verwandte Hinweise

1. Die Arbeit zum Schutz vor Hackern ist eine langwierige und mühsame Aufgabe. Neben guten Sicherheitseinstellungen müssen Sie auch regelmäßig detaillierte Inspektions- und Wartungsarbeiten am Server durchführen.
2. Sie können regelmäßig verschiedene Hacking-Tools verwenden, um zu versuchen, Ihren eigenen Server anzugreifen und zu sehen, ob Schwachstellen vorhanden sind. Besuchen Sie ernsthaft große Foren und Websites, um verschiedene Angriffstechniken zu erlernen. Nur wenn Sie die Angriffsmethoden des Gegners verstehen, können Sie sich gut schützen.
3. Wenn Sie während des Inspektionsprozesses feststellen, dass unbekannte Einstellungen geändert wurden, müssen Sie sich umgehend an die entsprechenden Kollegen wenden, um Rücksprache zu halten und die Sicherheit des Servers zu gewährleisten.
4. Deaktivieren Sie in den Servereinstellungen zunächst alle von der Firewall angeforderten Vorgänge und aktivieren Sie diese erst, wenn Sie feststellen, dass ein bestimmter Dienst oder etwas anderes nicht ausgeführt werden kann. So vermeiden Sie das Öffnen unnötiger Ports des Servers.

5. Wenn ein Problem gefunden wird, müssen alle neuen und alten Protokolle im Detail analysiert werden, um zu überprüfen, wie der Angreifer eingedrungen ist und welche Vorgänge ausgeführt wurden, um entsprechende Strategien zur Verhinderung des nächsten Eindringens zu formulieren.
6. Die Analyse von Serverprotokollen ist flexibel und vielfältig. Unterschiedliche Probleme erfordern unterschiedliche Analysemethoden, und für eine umfassende Analyse müssen unterschiedliche Protokolle kombiniert werden. Dies erfordert kontinuierliches Lernen und Sammeln von Erfahrungen.

7. Wenn Sie die Programmarchitektur der Website verstehen, trägt dies natürlich zur Sicherheit der Website bei.

Aufgrund meiner begrenzten Schreibfähigkeiten enthält dieser Artikel sicherlich viele Auslassungen. Ich möchte Sie bitten, mich darauf hinzuweisen. Abschließend hoffe ich, dass dieser Artikel für Sie hilfreich sein kann.

Wenn Sie meinen, dass dieser Artikel für Sie hilfreich ist, empfehlen Sie ihn bitte weiter.

Urheberrechtshinweis:

Dieser Artikel wurde von AllEmpty auf Blog Garden veröffentlicht. Das Urheberrecht an diesem Artikel liegt beim Autor und bei Blog Garden. Nachdrucke sind willkommen, diese Erklärung muss jedoch ohne Zustimmung des Autors beibehalten werden und der Originallink muss an prominenter Stelle auf der Artikelseite angegeben werden. Wenn Sie Fragen haben, können Sie mich unter 1654937#qq.com kontaktieren. Vielen Dank.

Der Zweck der Veröffentlichung dieses Inhalts besteht darin, gemeinsam mit allen zu lernen und Fortschritte zu machen. Interessierte Freunde können der QQ-Gruppe beitreten: 327360708 oder mir zur Diskussion eine E-Mail (1654937#qq.com) senden. Wenn Sie aufgrund meiner arbeitsreichen Zeit Fragen haben, hinterlassen Sie bitte zuerst eine Nachricht. Bitte verzeihen Sie mir die verspätete Antwort.