服务器维护最全最详细攻略

北京国安服务器维护方案

服务器维护作用与好处

随着我国网络技术的不断更新与发展，黑客已经越来越多的出现在人们的眼前， 90年代的黑客那时候叫红客是网络正义的代名词，最有代表性的是1999年美国的轰炸机轰炸了我国驻南联盟大使馆，当时在网络上掀起了对美国霸权主义的批判浪潮。在中国大使馆被炸后的第二天，第一个中国红客网站诞生了，同时也创造出了一个新的黑客分支－红客。随后这个红客组织对美国的官方网站进行了入侵，至其网站瘫痪数小时。近几年黑客慢慢的转变到商业和破坏的道路这时候一个服务器的定时备份与安全防御就显得尤为重要，及时的备份与提前的防御可以让一个网站被黑客攻击后降损失降到最底的。

服务器防御

1. 系统文件格式

我们通常采用的文件系统是FAT或者FAT32，NTFS是微软Windows NT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。NTFS文件系统里你可以为任何一个磁盘分区单独设置访问权限。把你自己的敏感信息和服务信息分别放在不同的磁盘分区。这样即使黑客通过某些方法获得你的服务文件所在磁盘分区的访问权限，还需要想方设法突破系统的安全设置才能进一步访问到保存在其他磁盘上的敏感信息。

2. 封死不必要端口

关闭那些不必要开的服务，做好本地管理和组管理。Windows系统有很多默认的服务其实没必要开的，甚至可以说是危险的，比如：默认的共享远程注册表访问（Remote Registry Service），系统很多敏感的信息都是写在注册表里的，如pcanywhere的加密密码等。

关闭那些不必要的端口。一些看似不必要的端口，确可以向黑客透露许多操作系统的敏感信息，如windows 2000 server默认开启的IIS服务就告诉对方你的操作系统是windows 2000。69端口告诉黑客你的操作系统极有可能是linux或者unix系统，因为69是这些操作系统下默认的tftp服务使用的端口。对端口的进一步访问，还可以返回该服务器上软件及其版本的一些信息，此外，开启的端口更有可能成为黑客进入服务器的门户。

封闭端口如下：

本地安全策略: 外->本地 80 外->本地 20 外->本地 21

外->本地 PASV所用到的一些端口(SERV-U,一般开放9000-9049这50个端口)

外->本地 3389开SQL SERVER和MYSQL的端口 外->本地 1433 外->本地 3306 本地->外 80

除了明确允许的一律阻止.这 外->本地 所有协议 阻止

3. 开启事件日志

事件日志可以记录黑客的行踪，我们可以分析入侵者在我们的系统上到底做过什么手脚，给我们的系统到底造成了哪些破坏及隐患，黑客到底在我们的系统上留了什么样的后门，我们的服务器到底还存在哪些安全漏洞等等。

4. 更改管理员用户与磁盘权限

更改管理员：将administrator更改成别的名字一般黑客攻击都是测试密码首先测试你的管理员密码所以把administrator更改成别的名字在新建一个新的用户用户名是administrator密码要长复杂一些要有字母.数字.大小写等复杂字符这样即使让他猜密码也要猜上几个月. 磁盘权限设置：将所有磁盘权限全部更改成administrator组和system组权限. 对c盘进行设置：

C盘的所有子目录和子文件继承C盘的administrator(组或用户)和SYSTEM所有权限的两个权限

C:\\Program Files\\Common Files 开放Everyone 默认的读取及运行 列出文件目录 读取三个权限

C:\\WINDOWS\\ 开放Everyone 默认的读取及运行 列出文件目录 读取三个权限 C:\\WINDOWS\\Temp 开放Everyone 修改,读取及运行,列出文件目录,读取,写入权 限

在进行设置系统EXE文件权限 打开c:\\windows 搜索:

net.exe;cmd.exe;netstat.exe;regedit.exe;at.exe;cacls.exe;regsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;

ftp.exe;telnet.exe;arp.exe;edlin.exe;ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe; runonce.exe;syskey.exe

修改权限，删除所有的用户只保存Administrators 和SYSTEM为所有权限 设置完后WebShell就无法在系统目录内写入任何文件了,如木马,EXE等等.

5安装补丁

安装好Windows 2003操作系统之后，在一定要完成所有最新补丁的安装，配置好网络后，

然后点击开始选择Windows Update，安装所有的关键更新。

6安装杀毒软件与防火墙

这里安装一些免费得杀毒与防火墙即，由于硬件的防火墙成本比较高所以现在市面的免费防火墙与杀毒已经可以很好的防止一些黑客的攻击比如：360、诺顿、卡巴斯基，金山卫士等等杀毒软件。防火墙的话一般windows自带的防火墙就很好用有的特定防火墙会错封一些端口与服务.

7禁掉不必要的服务

开始菜单—>管理工具—>服务

Print Spooler

Remote Registry

TCP/IP NetBIOS Helper

Server

上是在Windows Server 2003系统上面默认启动的服务中禁用的，默认禁用的服务如没特别需要的话不要启动。

8卸载不安全组件

危险的组件是WSH和Shell，因为它可以运行你硬盘里的EXE等程序，比如它可以运行提升程序来提升SERV-U权限甚至用SERVU来运行更高权限的系统程序。

以Shell.application为例：打开注册表编辑器，开始→运行→regedit回车，编辑→查找→填写Shell.application→查找下一个，用这个方法能找到两个注册表项：{13709620-C279-11CE-A49E-444553540000}和Shell.application。为了确保万无一失，把这两个注册表项导出来，保存为 .reg 文件。 把13709620-C279-11CE-A49E-444553540000更名为709620-C279-11CE-A49E-444553540001，把Shell.application改名为Shell.application_ajiang。

那么，就把刚才导出的.reg文件里的内容按上面的对应关系替换掉，然后把修改好的.reg文件导入到注册表中（双击即可），导入了改名后的注册表项之后，别忘记了删除原有的那两个项目。这里需要注意一点，Clsid中只能是十个数字和ABCDEF六个字母。

下面是修改后的代码，两个文件合到一起了：

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\\CLSID\\{13709620-C279-11CE-A49E-444553540001}]

@=\

[HKEY_CLASSES_ROOT\\CLSID\\{13709620-C279-11CE-A49E-444553540001}\\InProcServer32]

@=\

\

[HKEY_CLASSES_ROOT\\CLSID\\{13709620-C279-11CE-A49E-444553540001}\\ProgID]

@=\

[HKEY_CLASSES_ROOT\\CLSID\\{13709620-C279-11CE-A49E-444553540001}\\TypeLib]

@=\

[HKEY_CLASSES_ROOT\\CLSID\\{13709620-C279-11CE-A49E-444553540001}\\Version]

@=\

[HKEY_CLASSES_ROOT\\CLSID\\{13709620-C279-11CE-A49E-444553540001}\\VersionIndependentProgID]

@=\

[HKEY_CLASSES_ROOT\\Shell.Application_ajiang]

@=\

[HKEY_CLASSES_ROOT\\Shell.Application_ajiang\\CLSID]

@=\

[HKEY_CLASSES_ROOT\\Shell.Application_ajiang\\CurVer]

@=\ 这样就修改好了。

9防止列出用户组系统进程和提升Serv-U权限提升

现在有的破坏工具可以利用getobject系统用户和系统进程的列表这样被黑客利用就很危险应该隐藏起来。 如下：

开始→程序→管理工具→服务，找到Workstation，停止它，禁用它。 防止Serv-U权限提升如下：

用Ultraedit打开ServUDaemon.exe查找Ascii：LocalAdministrator，和#l@$ak#.lk;0@P，修改成等长度的其它字符就可以了，ServUAdmin.exe也一样处理。

另外注意设置Serv-U所在的文件夹的权限，不要让IIS匿名用户有读取的权限，如果被人下载走修改结果照样可以分析出你的管理员名和密码。

服务器备份与日常维护

服务器的防御做好了但并不是高枕无忧了，这里还需要每天对服务器的备份和日常的管理，比如天灾机柜突然倒了服务器被摔坏了，服务器里的网站还没有备份这就是毁灭性的打击了等等一系列的情况表明我们还要对服务器进行细心的备份和维护。

1. 数据库备份

以贵公司SQL2005为例这里分为手动备份和自动备份

1.1手工备份数据库

打开数据库,选择要备份数据库,右键选择【任务】-> 【备份】,打开备份数据库页面,在【源】 选择要备份的数据库和备份类型.在备份组件选择数据库.在【备份集】填写备份名称,说明和 过期时间.这个可根据自已的需要去填写.在【目标】中选择磁盘或磁带.一般情况下都是备份 到磁盘.所以不用理会.然后点右边添加按钮,选择文件保存的路径和文件名.最后点确定完成 数据库存的备份.

1.2自动备份数据库

1.启动Sql Server Agent 服务.打开【配置工具】中的【SQL Server Configuration Manager】窗

口，点击【SQL Server 配置管理器（本地）】-- 【SQL Server2005 服务】，右面窗口显示的是

当前所有服务的运行状态，右键点击【SQL Server Agent】选择启动菜单。 2.创建作业.打开【Management Studio】，展开SQL Server 代理，右键点击【作业】选择【新

建作业】菜单。【选择页】中选择【常规】

3.添加常规.在2 中的【选择页】中选择【常规】选项，输入作业名称 4.添加步骤在2 中的【选择页】中选择【步骤】，点击窗口下方的【新建】按钮，输入步骤

名称、选择操作数据库。在命令输入框中输入作业执行的T-SQL 语句，这里备份的语句如 下：

**************************************************************** DECLARE @strPath NVARCHAR(200)

set @strPath = convert(NVARCHAR(19),getdate(),120) set @strPath = REPLACE(@strPath, ':' , '-')

set @strPath = 'D:\\bak\\' +'ZWJB' +@strPath + '.bak'

BACKUP DATABASE [zwjb_10_28] TO DISK = @strPath WITH NOINIT , NOUNLOAD , NOSKIP , STATS = 10, NOFORMAT

5.添加计划,设置频率,时间等在2 中的【选择页】中选择【计划】，点击窗口下方的【新建】

按钮，输入步骤名称、选择相关选项,确定.

6.各选项卡选择完成后,点右下角【确定】保存相关设置.完成新建作业.

这样数据库的备份就弄好了这里可以选择双备份可以先设置自动备份，然后管理人员每天在进行本地备份把数据库从服务器下载到本地，这样可以避免服务器遭遇毁灭打击的时候以免数据丢失.

服务器日常维护 1.1查看事件日志

这里用到前面开启的事件日志，每天定期的查看事件日志可以很好的了解到都有哪些人干了

哪些事，启动了什么软件，是否增加和删除了重要的用户等等。

方法：【设置】—>【控制面板】—>【管理工具】—>【事件查看器】—>双击打

开就可以查看哪些用户什么事件内干了哪些事情了。

1.2日常安全检测

（1）.查看服务器状态：

打开进程管理器，查看服务器性能，观察CPU和内存使用状况。查看是否有CPU和内存占用过高等异常情况。

（2）.检查当前进程情况

切换“任务管理器”到进程，查找有无可疑的应用程序或后台进程在运行。用进程管理器查看进程时里面会有一项taskmgr，这个是进程管理器自身的进程。 如果正在运行windows更新会有一项wuauclt.exe进程。通常的后门如果有进程的话，一般会取一个与系统进程类似的名称，如 svch0st.exe，此时要仔细辨别[通常迷惑手段是变字母o为数字0，变字母l为数字1

(3) .检查系统帐号

打开计算机管理，展开本地用户和组选项，查看组选项，查看administrators组是否添加有新帐号，检查是否有克隆帐号。

(4). 查看当前端口开放情况

查看当前的端口连接情况，尤其是注意与外部连接着的端口情况，看是否有未经允许的端口与外界在通信。如有，立即关闭该端口并记 录下该端口对应的程序并记录，将该程序转移到其他目录下存放以便后来分析。打开计算机管理==》软件环境==》正在运行任务[在此处可以查看进程管理器中 看不到的隐藏进程]，查看当前运行的程序，如果有不明程序，记录下该程序的位置，打开任务管理器结束该进程，对于采用了守护进程的后门等程序可尝试结束进 程树，如仍然无法结束，在注册表中搜索该程序名，删除掉相关键值，切换到安全模式下删除掉相关的程序文件。

(5). 检查系统服务

运行services.msc，检查处于已启动状态的服务，查看是否有新加的未知服务并确定服务的用途。对于不清楚的服务打开该服务的属性，查看该服务所 对应的可执行文件是什么，如果确定该文件是系统内的正常使用的文件，可粗略放过。查看是否有其他正常开放服务依存

在该服务上，如果有，可以粗略的放过。如 果无法确定该执行文件是否是系统内正常文件并且没有其他正常开放服务依存在该服务上，可暂时停止掉该服务，然后测试下各种应用是否正常。对于一些后门由于 采用了hook系统API技术，添加的服务项目在服务管理器中是无法看到的，这时需要打开注册表中的HKEY_LOCAL_MACHINE—SYSTEM —CurrentControlSet—Services项进行查找，通过查看各服务的名称、对应的执行文件来确定是否是后门、木马程序等。

(6).检查安全策略是否更改

打开本地连接的属性，查看“常规”中是否只勾选了“TCP/IP协议”，打开“TCP/IP”协议设置，点“高级”==》“选项”，查看“IP安全机制” 是否是设定的IP策略，查看“TCP/IP”筛选允许的端口有没有被更改。打开“管理工具”=》“本地安全策略”，查看目前使用的IP安全策略是否发生更 改。

(7). 检查启动项

主要检查当前的开机自启动程序。可以使用msconfig命令来检查开机自启动的程序，看是否有陌生程序自动启动。

(8). 定期打补丁

服务器的补丁修补、应用程序更新工作，对于新出的漏洞补丁，应用程序方面的安全更新一定要在发现的第一时间给每服务器打上应用程序的补丁。

服务器的应对措施和灾难恢复

当服务器万一遭遇黑客攻击的时候先不用慌可以用以下步骤解决。

1.1服务器应对黑客措施

对于即时发现的入侵事件，视情况严重决定处理的方式，是通过远程处理还是通过实地处理。如情况严重建议采用实地处理。如采用实地处理，在发现入侵的第一时间通知机房关闭服务器，待处理人员赶到机房时断开网线，再进入系统进行检查。如采 用远程处理，如情况严重第一时间停止所有应用服务，更改IP策略为只允许远程管理端口进行连接然后重新启动服务器，重新启动之后再远程连接上去进行处理。处理措施针对用户站点被入侵但未危及系统的情况，如果用户要求加强自己站点的安全性，可按如下方式加固用户站点的安全：

站点根目录只给administrator读取权限，权限继承下去。

wwwroot 给web用户读取、写入权限。高级里面有删除子文件夹和文件权限 logfiles给system写入权限。

database给web用户读取、写入权限。高级里面没有删除子文件夹和文件权限 如需要进一步修改，可针对用户站点的特性对于普通文件存放目录如html、js、图片文件夹只给读取权限，对asp等脚本文件给予上表中的权限。另外查看该用户站点对应的安全日志，找出漏洞原因，协助用户修补程序漏洞。

1.2服务器的数据恢复

系统崩溃或遇到其他不可恢复系统正常状态情况时，先对上次系统备份后发生的一些更改事件如应用程序、安全策略等的设置做好备份，恢复完系统后再恢复这些更改。应用程序等出错采用最近一次的备份数据恢复。在检查杀毒软件和防火墙等设置是否被修改，如果被修改就进行最近一次的正确设置。

服务器定期性能优化

服务器在用过一段时间后肯定会留下很多垃圾文件和散碎的系统文件这里就要定期的对服务器进行瘦身。

1.1整理系统空间

定期删除系统备份文件留下最新的几份备份，删除驱动备份，刪除不用的输入法，

刪除系统的帮助文件，卸载不常用的组件。最小化C盘文件。

1.2性能优化

删除多余的开机自动运行程序； 减少预读取，减少进度条等待时间； 让系统自动关闭停止响应的程序；

禁用错误报告,但在发生严重错误时通知； 关闭自动更新,改为手动更新计算机； 启用硬件和DirectX加速； 禁用关机事件跟踪； 禁用配置服务器向导；

减少开机磁盘扫描等待时间；

将处理器计划和内存使用都调到应用程序上； 调整虚拟内存；

内存优化；

修改cpu的二级缓存； 修改磁盘缓存

1.3 IIS性能优化

HKEY_LOCAL_MACHINE

SystemCurrentControlSetServicesInetInfoParametersMemoryCacheSize MemoryCacheSize的范围是从0道4GB，缺省值为3072000（3MB）。最小应设为服务器内存的10%。IIS通过高速缓 存系统句柄、目录列表以及其他常用数据的值来提高系统的性能。这个参数指明了分配给高速缓存的内存大小。如果该值为0，那就意味着“不进行任何高速缓 存”。在这种情况下系统的性能可能会降低。服务器网络通讯繁忙，并且有足够的内存空间，可以增大该值来增加效率。

1.4起用HTTP压缩

HTTP压缩是在Web服务器和浏览器间传输压缩文本内容的方法。HTTP压缩采用通用的压缩算法如zip等压缩HTML、Javas cript或CSS文件。可使用pipeboost进行设置。

内存优化；

修改cpu的二级缓存； 修改磁盘缓存

1.3 IIS性能优化

HKEY_LOCAL_MACHINE

SystemCurrentControlSetServicesInetInfoParametersMemoryCacheSize MemoryCacheSize的范围是从0道4GB，缺省值为3072000（3MB）。最小应设为服务器内存的10%。IIS通过高速缓 存系统句柄、目录列表以及其他常用数据的值来提高系统的性能。这个参数指明了分配给高速缓存的内存大小。如果该值为0，那就意味着“不进行任何高速缓 存”。在这种情况下系统的性能可能会降低。服务器网络通讯繁忙，并且有足够的内存空间，可以增大该值来增加效率。

1.4起用HTTP压缩

HTTP压缩是在Web服务器和浏览器间传输压缩文本内容的方法。HTTP压缩采用通用的压缩算法如zip等压缩HTML、Javas cript或CSS文件。可使用pipeboost进行设置。

本文来源：https://www.bwwdw.com/article/88ar.html