查看服务器状态:打开进程管理器,查看服务器性能,观察CPU和内存使用状况。查看是否有CPU和内存占用过高等异常情况。检查系统帐号打开计算机管理,展开本地用户和组选项,查看组选项,查看administrators组是否添加有新帐号,检查是否有克隆帐号。
检查当前进程情况切换“任务管理器”到进程,查找有无可疑的应用程序或后台进程在运行。用进程管理器查看进程时里面会有一项taskmgr,这个是进程管理器自身的进程。如果正在运行windows更新会有一项wuauclt.exe进程。对于拿不准的进程或者说不知道是服务器上哪个应用程序开启的进程,可以在网络上搜索一下该进程名加以确定[进程知识库:http://www.dofile.com/]。通常的后门如果有进程的话,一般会取一个与系统进程类似的名称,如svch0st.exe,此时要仔细辨别[通常迷惑手段是变字母o为数字0,变字母l为数字1。
查看当前端口开放情况使用activeport,查看当前的端口连接情况,尤其是注意与外部连接着的端口情况,看是否有未经允许的端口与外界在通信。如有,立即关闭该端口并记录下该端口对应的程序并记录,将该程序转移到其他目录下存放以便后来分析。打开计算机管理==》软件环境==》正在运行任务在(此处可以查看进程管理器中看不到的隐藏进程),查看当前运行的程序,如果有不明程序,记录下该程序的位置,打开任务管理器结束该进程,对于采用了守护进程的后门等程序可尝试结束进程树,如仍然无法结束,在注册表中搜索该程序名,删除掉相关键值,切换到安全模式下删除掉相关的程序文件。
检查系统服务运行services.msc,检查处于已启动状态的服务,查看是否有新加的未知服务并确定服务的用途。对于不清楚的服务打开该服务的属性,查看该服务所对应的可执行文件是什么,如果确定该文件是系统内的正常使用的文件,可粗略放过。查看是否有其他正常开放服务依存在该服务上,如果有,可以粗略的放过。如果无法确定该执行文件是否是系统内正常文件并且没有其他正常开放服务依存在该服务上,可暂时停止掉该服务,然后测试下各种应用是否正常。对于一些后门由于采用了hook系统API技术,添加的服务项目在服务管理器中是无法看到的,这时需要打开注册表中的HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices项进行查找,通过查看各服务的名称、对应的执行文件来确定是否是后门、木马程序等。
明白了如何做好入侵检测,保障网站安全的技术后,下面将分享如何利用应用发布网站:下载安装登录花生壳。正常登录后,会显示登录帐号下的域名,选择需要设置的域名右键,点击花生壳管理,对域名设置端口映射时,应用名称处可随意填写,内网主机处填写网站服务器的内网IP地址,内网端口号处填写网站搭建时开放的端口号,信息填写完成后,点击开启外网http80端口,设置成功后点击确认,设置成功后,会自动生成外网访问地址,如图在外网直接使用生成的外网访问地址进行访问
在做好网站入侵检测安全之后,如何让我们的域名访问更加稳定。方法是:添加nat123域名负载均衡。步骤:添加动态域名解析,启用多点登录(启用负载均衡和故障转移)。
动态域名解析记录后,可在多机登录/动态解析图标右键/本地设置。可设置是否离线(本地是否解析),及解析的优先级和解析权重。设置多点解析后,可保存以在动态域名解析监控列表查看到多条解析记录。登录点设置了离线的不显示。