【51CTO獨(dú)家特稿】現(xiàn)在應(yīng)用最為廣泛的服務(wù)器架構(gòu)莫過(guò)于x86，而大小企業(yè)的運(yùn)維人員——網(wǎng)管、系統(tǒng)管理員、工程師們，大多數(shù)人接觸的也都是x86系統(tǒng)。51CTO服務(wù)器頻道昨天推薦了十大X86服務(wù)器常見故障——硬件篇，今天由系統(tǒng)頻道來(lái)介紹十大x86服務(wù)器常見故障——系統(tǒng)篇。

系統(tǒng)故障篇

Top 10 系統(tǒng)

故障回放：系統(tǒng)死機(jī)、莫名其妙的重啟、藍(lán)屏、中毒、反應(yīng)遲鈍等等跡象

藍(lán)屏

解決方案：服務(wù)器同普通PC一樣，同樣會(huì)中毒、同樣會(huì)因?yàn)槔畔⑦^(guò)多而反應(yīng)緩慢、同樣會(huì)因?yàn)槟承┫到y(tǒng)漏洞導(dǎo)致死機(jī)、藍(lán)屏。多數(shù)情況下我們只需要重裝一下系統(tǒng)就可以了，但是在日常的運(yùn)維過(guò)程中，我們要時(shí)刻進(jìn)行數(shù)據(jù)的備份工作，在系統(tǒng)安裝之前也需要通過(guò)WinPE的第三方軟件，將系統(tǒng)盤的關(guān)鍵數(shù)據(jù)予以導(dǎo)出，這個(gè)操作和普通PC類似，也較為簡(jiǎn)單，這里不再贅述。

危害程度：★

控制難度：★★

綜合評(píng)定：★☆

推薦閱讀：

1. Linux 系統(tǒng)備份——操作實(shí)踐與工具介紹
2. 使用Windows Server 2003備份功能
3. Windows Vista備份與自動(dòng)備份完全解析

#p#

Top 9低級(jí)攻擊行為

故障回放：某企業(yè)網(wǎng)安人員近期經(jīng)常截獲一些非法數(shù)據(jù)包，這些數(shù)據(jù)包多是一些端口掃描、SATAN掃描或者是IP半途掃描。它們的行為動(dòng)作基本一致：掃描間隔很長(zhǎng)，但時(shí)間很短，每天掃描1~5次，或者是掃描一次后就不在有任何的動(dòng)作，因此網(wǎng)安人員獲取的數(shù)據(jù)并沒(méi)有太多的參考價(jià)值，攻擊行為并不十分明確。

IP掃描

解決方案：在眾多的掃描事件中，如果掃描一次后就銷聲匿跡了，就目前的網(wǎng)絡(luò)設(shè)備和安全防范角度來(lái)說(shuō)，該掃描者并沒(méi)有獲得其所需要的資料，很有可能是一些黑客入門級(jí)人物在做簡(jiǎn)單練習(xí)；而如果每天都有掃描則說(shuō)明自己的網(wǎng)絡(luò)已經(jīng)被盯上，我們要做的就是盡可能的加固網(wǎng)絡(luò)，同時(shí)反向追蹤掃描地址，如果可能給掃描者一個(gè)警示信息也未嘗不可。幾乎90%的攻擊行為不會(huì)造成實(shí)質(zhì)性的威脅，它的級(jí)別也是很低的。

危害程度：★★

控制難度：★★

綜合評(píng)定：★★

推薦閱讀：

1. 黑客老鳥講入侵攻擊：掃描器詳細(xì)介紹
2. 端口·木馬·安全·掃描應(yīng)用知識(shí)

#p#

Top 8 系統(tǒng)端口

故障回放：某公司擴(kuò)大經(jīng)營(yíng)，在全國(guó)大中型城市都建立辦事處和分支機(jī)構(gòu)，這些機(jī)構(gòu)與總公司的信息數(shù)據(jù)協(xié)同辦公，由于VPN的使用成本和技術(shù)難度相對(duì)較高，于是終端服務(wù)成為該公司與分支機(jī)構(gòu)的信息橋梁。但是由于技術(shù)人員的疏忽，終端服務(wù)只是采取默認(rèn)的3389端口，于是一段時(shí)間內(nèi)，基于3389的訪問(wèn)大幅增加，這其中不乏惡意端口滲透者。終于有一天終端服務(wù)器失守，Administrator密碼被非法篡改，內(nèi)部數(shù)據(jù)嚴(yán)重流失。

更改默認(rèn)端口

解決方案：對(duì)于服務(wù)器我們只需要保證其最基本的功能，它們并不需要太多的端口做支持，因此一些不必要的、又充滿風(fēng)險(xiǎn)的端口大可以封掉，對(duì)于Windows操作系統(tǒng)我們可以借助于組策略，Linux可以在防火墻上多下點(diǎn)功夫；而一些可以改變的端口，比如終端服務(wù)的3389、Web的80端口，通過(guò)注冊(cè)表或者其他相關(guān)工具都能夠?qū)⑵湓O(shè)置成更為個(gè)性，不易猜解的秘密端口。端口關(guān)閉或者改變了，那些不友好的訪客就像無(wú)頭蒼蠅，自然無(wú)法進(jìn)入，上述故障也就不會(huì)成為服務(wù)器的安全隱患了。

危害程度：★★★

控制難度：★★☆

綜合評(píng)定：★★☆

推薦閱讀：

1. windows遠(yuǎn)程桌面端口修改
2. 135,139,445端口的關(guān)閉方法
3. Windows終端服務(wù)和遠(yuǎn)程桌面Web方式訪問(wèn)及端口更改方法

#p#

Top 7 漏洞

故障回放：B企業(yè)部署外網(wǎng)郵箱服務(wù)器，經(jīng)過(guò)多次評(píng)審選擇了“imail”作為服務(wù)器端，在一段時(shí)間的運(yùn)行與測(cè)試中，imail表現(xiàn)的表現(xiàn)上佳。但是沒(méi)過(guò)多久，imail的用戶經(jīng)常收到垃圾郵件，同時(shí)一些關(guān)鍵的、核心的資料也在悄然不覺(jué)中流失了。經(jīng)過(guò)IT部門和公安部門聯(lián)合調(diào)查，原來(lái)是負(fù)責(zé)產(chǎn)品研發(fā)的一名工程師跳槽到對(duì)手公司，這個(gè)對(duì)手公司的IT安全人員了解到B企業(yè)使用的imail服務(wù)端，于是群發(fā)攜帶弱加密算法漏洞的垃圾郵件，從而嗅探到關(guān)鍵人員的賬戶、密碼，遠(yuǎn)程竊取郵箱內(nèi)的核心資料。

安全更新

解決方案：任何系統(tǒng)和軟件，在初期設(shè)計(jì)過(guò)程中不可能想到或做到所有的事情，于是一個(gè)軟件運(yùn)作初期貌似完整、安全，但運(yùn)行的時(shí)間長(zhǎng)了就會(huì)出現(xiàn)很多無(wú)法預(yù)知的錯(cuò)誤，對(duì)于企業(yè)級(jí)網(wǎng)絡(luò)安全人員來(lái)說(shuō)，避免這些錯(cuò)誤除了重視殺毒軟件和硬件防火墻外，還要經(jīng)常性、周期性的修補(bǔ)軟件、系統(tǒng)、硬件、防火墻等安全系統(tǒng)的補(bǔ)丁，以防止一個(gè)小小的漏洞造成不可挽回的損失。

危害程度：★★★☆

控制難度：★★☆

綜合評(píng)定：★★★

相關(guān)閱讀：

1. 微軟發(fā)布14個(gè)安全補(bǔ)丁 修復(fù)34個(gè)安全漏洞
2. 系統(tǒng)更新篇：系統(tǒng)管理員天天給服務(wù)器打補(bǔ)?。?/a>
3. Windows批量升級(jí)補(bǔ)丁方法

#p#

Top 6 軟件沖突

故障回放：近日，Exchange服務(wù)器經(jīng)常出現(xiàn)藍(lán)屏現(xiàn)象，且出現(xiàn)的時(shí)間間隔不等，重新啟動(dòng)服務(wù)器后，不用進(jìn)行任何操作，系統(tǒng)和Exchange服務(wù)都會(huì)自行修復(fù)，不會(huì)有任何異常，但是短則幾分鐘，長(zhǎng)則幾小時(shí)依舊藍(lán)屏。由于時(shí)間間隔不等，懷疑是有人惡意攻擊服務(wù)器，但是事件查看器沒(méi)有任何攻擊跡象，軟件層面的過(guò)濾非常正常，對(duì)系統(tǒng)進(jìn)行病毒查殺，木馬、蠕蟲、后門、病毒均未出現(xiàn)在系統(tǒng)內(nèi)。

軟件沖突

解決方案：排除了硬件層面、人為攻擊、病毒感染等種種因此，將故障的焦點(diǎn)轉(zhuǎn)移到了系統(tǒng)本身，懷疑是某些軟件與系統(tǒng)，或者是Exchange產(chǎn)生了沖突，由于服務(wù)器本身安裝的軟件并不多，遂逐一卸載，最終得出結(jié)論卸載瑞星殺毒軟件后，系統(tǒng)和Exchange終于恢復(fù)正常，藍(lán)屏現(xiàn)象終于解決。

類似這種沖突有很多，比如紫光拼音輸入法和Explorer的沖突，某些驅(qū)動(dòng)程序之間的沖突，其實(shí)避免這些沖突最好的辦法就是盡量的少裝軟件，畢竟服務(wù)器不同于個(gè)人電腦，它更注重穩(wěn)定，少一個(gè)軟件就少了一份風(fēng)險(xiǎn)。

危害程度：★★★☆

控制難度：★★★

綜合評(píng)定：★★★☆

相關(guān)閱讀：

1. Oracle 10g中安裝Perl環(huán)境所產(chǎn)生的沖突
2. Vista與DHCP服務(wù)器沖突 河南ADSL用戶無(wú)法上網(wǎng)

#p#

Top 5 服務(wù)故障

故障回放：C公司W(wǎng)eb網(wǎng)站的導(dǎo)航信息出現(xiàn)了一些變化，這個(gè)信息Web管理人員并不經(jīng)常訪問(wèn)，沒(méi)有引起太多注意。后來(lái)IIS管理員在日志巡檢時(shí)發(fā)現(xiàn)這個(gè)問(wèn)題，并進(jìn)一步判斷網(wǎng)絡(luò)有入侵的痕跡，經(jīng)過(guò)多番追蹤，將目光鎖定在系統(tǒng)服務(wù)身上。經(jīng)查，系統(tǒng)服務(wù)總數(shù)量并沒(méi)有變化，但是一個(gè)早已被禁用的服務(wù)被莫名其妙的開啟，同時(shí)其指向的路徑和文件名也正常服務(wù)大相徑庭。不用說(shuō)，IIS被入侵，黑客為了能繼續(xù)操作該服務(wù)器，將系統(tǒng)服務(wù)做了手腳，將其指定為其所需的黑客程序。

惡意篡改

解決方案：對(duì)于這種故障有時(shí)我們并不能快速的察覺(jué)，因?yàn)樗](méi)有對(duì)網(wǎng)絡(luò)和系統(tǒng)造成物理或邏輯的傷害，所以我們只能通過(guò)有效的審核工作來(lái)排查系統(tǒng)的異常變化，同時(shí)我們還需要經(jīng)常性為當(dāng)前系統(tǒng)服務(wù)建立一個(gè)批處理文件，一旦出現(xiàn)服務(wù)被篡改，我們又不能快速確定那個(gè)服務(wù)出現(xiàn)故障時(shí)，我們就可以快速的執(zhí)行這個(gè)批處理文件，恢復(fù)到備份前的正常服務(wù)狀態(tài)。

危害程度：★★★☆

控制難度：★★★☆

綜合評(píng)定：★★★☆

相關(guān)閱讀：

1. “拯救網(wǎng)站運(yùn)維趙明”——網(wǎng)站防篡改系統(tǒng)的部署與應(yīng)用
2. 網(wǎng)站防篡改 立即部署WEB應(yīng)用防火墻
3. Twitter遭自稱伊朗黑客攻擊 首頁(yè)被篡改(圖)

#p#

Top 4資料泄密

故障回放：A公司的廠區(qū)規(guī)模非常大，作為制造型企業(yè)每天都有貨物的進(jìn)出，且該公司的筆記本數(shù)量遠(yuǎn)超于臺(tái)式機(jī)，為了方便員工辦公需求，A公司決定在整個(gè)工廠區(qū)部署無(wú)線網(wǎng)絡(luò)，為了保證信號(hào)的強(qiáng)度，A公司在多個(gè)區(qū)域部署了全向和定向天線。如此一來(lái)，公司理貨的速度和效率大幅提高，筆記本用戶的流動(dòng)性也發(fā)揮了更大的作用。但是無(wú)線網(wǎng)絡(luò)的覆蓋面太大也給其競(jìng)爭(zhēng)對(duì)手流下了可乘之機(jī)。B公司就派人隱匿在A公司的附近，伺機(jī)截取無(wú)線網(wǎng)絡(luò)的密碼，并進(jìn)一步獲知其敏感數(shù)據(jù)。

竊取無(wú)線密碼

解決方案：類似這樣的監(jiān)聽不計(jì)其數(shù)，不僅僅是無(wú)線網(wǎng)絡(luò)，有線網(wǎng)絡(luò)同樣由此困惑。監(jiān)聽者有的是為了獲得一些明文的資料，當(dāng)然這些資料的可利用性不是很高；還有的已經(jīng)翻譯出相關(guān)的網(wǎng)絡(luò)密碼，又想獲知更深層的數(shù)據(jù)，于是在進(jìn)出口附近架設(shè)監(jiān)聽。預(yù)防這種監(jiān)聽我們要將網(wǎng)絡(luò)按照一定規(guī)則劃分成多個(gè)VLAN，將重要服務(wù)予以隔離；然后將網(wǎng)內(nèi)所有的重要數(shù)據(jù)進(jìn)行加密傳輸，即使被惡意監(jiān)聽也很難反轉(zhuǎn)成可用信息，再有使用“蜜罐”技術(shù)營(yíng)造出一個(gè)充滿漏洞的偽終端，勾引監(jiān)聽者迷失方向，最后我們還需要使用antisniffer工具對(duì)網(wǎng)絡(luò)定期實(shí)施反監(jiān)聽，嗅探網(wǎng)絡(luò)中的異常數(shù)據(jù)。

危害程度：★★★☆

控制難度：★★★★☆

綜合評(píng)定：★★★★

相關(guān)閱讀：

1. "GSM網(wǎng)應(yīng)該被關(guān)閉" 黑客輕松演示監(jiān)聽GSM手機(jī)
2. 局域網(wǎng)監(jiān)聽的原理、實(shí)現(xiàn)與防范
3. 無(wú)線“蹭網(wǎng)卡”熱賣 任意密碼5分鐘破解

#p#

Top 3 密碼

故障回放：某IT人員離職，新的工作與前公司的操作模式有相同之處，于是“想?yún)⒖?rdquo;一下前公司的一些商業(yè)數(shù)據(jù)。正所謂“近水樓臺(tái)先得月”，由于這名IT人員了解前公司的管理員賬戶和密碼規(guī)則，于是暴力破解開始了。首先他生成了100GB的暴力字典，這個(gè)字典囊括了前公司所要求的密碼規(guī)則，再找來(lái)一臺(tái)四核服務(wù)器，以每秒破解千萬(wàn)組密碼的速度瘋狂的拆解，N個(gè)晝夜以后，密碼終于告破，那些被“參考”的商業(yè)資料直接導(dǎo)致這名IT人員前公司近百萬(wàn)的損失。

暴力破解密碼

解決方案：管理員設(shè)置密碼最重要的一點(diǎn)就是復(fù)雜，舉個(gè)例子：D級(jí)破解（每秒可破解10,000,000組密碼），暴力破解8位普通大小寫字母需要62天，數(shù)字＋大小寫字母要253天，而使用數(shù)字＋大小寫字母＋標(biāo)點(diǎn)則要23年，這只是8位密碼，但是我們覺(jué)得還不夠，如今固態(tài)硬盤的崛起使得破解密碼的速度更快，因此，我們推薦密碼長(zhǎng)度最少為10位，且為數(shù)字＋大小寫字母＋特殊符號(hào)的組合，密碼最長(zhǎng)使用期限不要超過(guò)30天，并設(shè)置帳戶鎖定時(shí)間和帳戶鎖定閾值，這個(gè)能很好的保護(hù)密碼安全。

危害程度：★★★★

控制難度：★★★★★

綜合評(píng)定：★★★★☆

相關(guān)閱讀：

1. 路由器密碼忘記 五步暴力破解
2. 密碼規(guī)則：25年來(lái)駭客總在用四種方法破解密碼

#p#

Top 2 虛擬化

故障回放：為節(jié)約物理服務(wù)器的購(gòu)置成本，降低UPS、冷卻系統(tǒng)的電力壓力，很多公司部署了虛擬化環(huán)境，將數(shù)十臺(tái)服務(wù)整合在一臺(tái)物理服務(wù)器之上，一旦這臺(tái)物理服務(wù)器出現(xiàn)硬件層面的損壞，其所建立的虛擬的服務(wù)將均告失敗，整個(gè)公司的業(yè)務(wù)也將受到影響，對(duì)于虛擬化服務(wù)器來(lái)說(shuō)這是非常大的隱患。

虛擬化

解決方案：避免虛擬化服務(wù)器的故障的發(fā)生，我們需要為虛擬化服務(wù)做出故障集群轉(zhuǎn)移方案，一旦物理服務(wù)器出現(xiàn)損壞，另外的服務(wù)器可以迅速的予以接管，整個(gè)信息流不會(huì)中斷；在軟件層面，我們要利用虛擬化服務(wù)器的“快照”功能。在做任何關(guān)鍵的操作前，對(duì)當(dāng)前系統(tǒng)進(jìn)行一下快照，待操作結(jié)束并測(cè)試通過(guò)后，再制作一次快照，如果虛擬服務(wù)出現(xiàn)問(wèn)題，可以快速的進(jìn)行恢復(fù)，保證虛擬化服務(wù)不會(huì)出現(xiàn)任何故障。

危害程度：★★★★☆

控制難度：★★★★★

綜合評(píng)定：★★★★☆

相關(guān)閱讀：

1. 為虛擬機(jī)中運(yùn)行的VMware ESX 4進(jìn)行快照
2. 分析：Hyper-V快照如何工作？

#p#

Top 1日志 & 時(shí)間戳

故障回放：某公司W(wǎng)eb服務(wù)器遭受攻擊，管理員密碼被非法篡改，公共頁(yè)面的部分?jǐn)?shù)據(jù)被惡意替換。服務(wù)器管理人員通過(guò)相關(guān)手段收回管理員權(quán)限，重新接管服務(wù)器，并查詢黑客篡改的相關(guān)數(shù)據(jù)，很快基于Web頁(yè)面的非法改動(dòng)全部恢復(fù)正常，但是黑客是通過(guò)什么漏洞進(jìn)入系統(tǒng)、何時(shí)進(jìn)入系統(tǒng)、IP地址是什么、系統(tǒng)內(nèi)還殘留哪些后門程序全都不得而知，原因就是系統(tǒng)日志和時(shí)間戳被非法修改。

日志

解決方案：避免日志被非法篡改最好的方法就是將日志轉(zhuǎn)移，這就需要一臺(tái)獨(dú)立的服務(wù)器來(lái)存儲(chǔ)日志的備份，也就是我們常說(shuō)的日志服務(wù)器。這臺(tái)服務(wù)器記錄的內(nèi)容很多，包括各個(gè)應(yīng)用服務(wù)器的應(yīng)用程序、安全、系統(tǒng)等所有事件信息，還包括防火墻、路由器的操作記錄，通過(guò)軟件定期抓取日志記錄。一旦遭遇黑客的攻擊，可迅速調(diào)取所有記錄，進(jìn)行故障定位，徹底解決問(wèn)題。

危害程度：★★★★★

控制難度：★★★★★

綜合評(píng)定：★★★★★

相關(guān)閱讀：

1. 明明白白你的Linux服務(wù)器——日志篇
2. Linux日志系統(tǒng)詳細(xì)介紹