服务器安全问题检查教程&近期请做好您的服务器安全

今天接到好朋友，小贝发来，消息，2家网吧，今天早上又报道一家。
【问题现象】
1.服务器很卡，CPU占用100之100，结束后，又会自动启动！

2.有时候客户机无法找到DHCP。




【检查方面】
1,服务器安全策略，
问题，没有发现封局域网高危端口！


2.检查用户名
问题，发现有一个陌生的用户名！



3.检查系统日志
问题，发现很多登入，审核失败，密码错误，应该是有人一直在
爆破密码，一直解决不了，而且时间固定在凌晨，很有可能在黑！
还有一个日志清除日志，这种操作，是黑客的常用操作，可是他只清理
了系统日志，审核日志没清！








4.检查服务器上，还有没有别的远程软件，检查日志，
问题，发现安装了radmin,维护大师，检查这两款软件的远程日志
我们这里只拿了radmin的日志，维护大师的日志，让这位兄弟找官方去拿去了
我们主要看文件传输的日志和密码错误日志：发现并没有什么异常
我们要看异常与否，结合，时间，密码错误，文件传输这些日志来排查
经过询问这位朋友，他说，他的用户名，端口都是修改过的。这样影子被爆还是
渺小的，我感觉好像被爆的，都是4899默认端口的。所以修改端口是必要的。




5.安装杀毒软件进行排查。
通过安装杀毒软件扫描后发现，很多异常进程。进程路径也很异常，在字体目录下


朋友告诉我，他结束了最占CPU的那个进程后，过一下又启动，

6.检查异常服务


他说的那个结束又自动启动，原来就是这个病毒，是以服务的形式启动。

【解决方案】
1.如果是正在营业，先找到最占CPU的进程，结束之，然后找到路径，删除这个文件，
然后安装杀毒软件，等人少的时候，直接重做系统。

2.封掉高危端口，封端口教程：
https://www.hxwglm.com/forum.php ... hlight=%B6%CB%BF%DA

3.远程工具，建议，只选择一样，然后把密码设置非常复杂。端口，用户名，都不要用默认的

4.只要发现任何病毒，建议直接重做系统，不要以为杀完病毒就没事了。
华夏网盟原创，转载请注明
www.hxwglm.com

服务器安全问题检查教程&近期请做好您的服务器安全

今天接到好朋友，小贝发来，消息，2家网吧，今天早上又报道一家。
【问题现象】
1.服务器很卡，CPU占用100之100，结束后，又会自动启动！

2.有时候客户机无法找到DHCP。




【检查方面】
1,服务器安全策略，
问题，没有发现封局域网高危端口！


2.检查用户名
问题，发现有一个陌生的用户名！



3.检查系统日志
问题，发现很多登入，审核失败，密码错误，应该是有人一直在
爆破密码，一直解决不了，而且时间固定在凌晨，很有可能在黑！
还有一个日志清除日志，这种操作，是黑客的常用操作，可是他只清理
了系统日志，审核日志没清！








4.检查服务器上，还有没有别的远程软件，检查日志，
问题，发现安装了radmin,维护大师，检查这两款软件的远程日志
我们这里只拿了radmin的日志，维护大师的日志，让这位兄弟找官方去拿去了
我们主要看文件传输的日志和密码错误日志：发现并没有什么异常
我们要看异常与否，结合，时间，密码错误，文件传输这些日志来排查
经过询问这位朋友，他说，他的用户名，端口都是修改过的。这样影子被爆还是
渺小的，我感觉好像被爆的，都是4899默认端口的。所以修改端口是必要的。




5.安装杀毒软件进行排查。
通过安装杀毒软件扫描后发现，很多异常进程。进程路径也很异常，在字体目录下


朋友告诉我，他结束了最占CPU的那个进程后，过一下又启动，

6.检查异常服务


他说的那个结束又自动启动，原来就是这个病毒，是以服务的形式启动。

【解决方案】
1.如果是正在营业，先找到最占CPU的进程，结束之，然后找到路径，删除这个文件，
然后安装杀毒软件，等人少的时候，直接重做系统。

2.封掉高危端口，封端口教程：
https://www.hxwglm.com/forum.php ... hlight=%B6%CB%BF%DA

3.远程工具，建议，只选择一样，然后把密码设置非常复杂。端口，用户名，都不要用默认的

4.只要发现任何病毒，建议直接重做系统，不要以为杀完病毒就没事了。
华夏网盟原创，转载请注明
www.hxwglm.com