武汉江岸区百独服务器代维口碑怎么样

武汉江岸区百独服务器代维口碑怎么样

一、入侵检测和数据备份  
 （一）入侵检测工作   
 作为服务器的日常管理，入侵检测是一项非常重要的工作，在平常的检测过程中，主要包含日常的服务器安全例行检查 
和遭到入侵时的入侵检查，也就是分为在入侵进行时的安全检查和在入侵前后的安全检查。系统的安全性遵循木桶原理，木桶原理指的是：一个木桶由许多块木板组成，如果组成木桶的这些木板长短不一，那么这个木桶的最大容量不取决于长的木板，而取决于最短的那块木板。应用到安全方面也就是说系统的安全性取决于系统中最脆弱的地方，这些地方是日常的安全 检测的重点所在。   
 日常的安全检测   
 日常安全检测主要针对系统的安全性，工作主要按照以下步骤进行：   
 1、查看服务器状态：  
打开进程管理器，查看服务器性能，观察CPU和内存使用状况。查看是否有CPU和内存占用过高等异常情况。   
 2、检查当前进程情况  
切换“任务管理器”到进程，查找有无可疑的应用程序或后台进程在运行。用进程管理器查看进程时里面会有一项 
taskmgr，这个是进程管理器自身的进程。如果正在运行windows更新会有一项***进程。对于拿不准的进程或者说不知道是服务器上哪个应用程序开启的进程，可以在网络上搜索一下该进程名加以确定[进程知识库： 
***]。通常的后门如果有进程的话，一般会取一个与系统进程类似的名称，如***，此时要仔细辨别[通常迷惑手段是变字母o为数字0，变字母l为数字1]   
 3、检查系统帐号  
打开计算机管理，展开本地用户和组选项，查看组选项，查看administrators组是否添加有新帐号，检查是否有克隆 帐号。   
 4、查看当前端口开放情况  
使用activeport，查看当前的端口连接情况，尤其是注意与外部连接着的端口情况，看是否有未经允许的端口与外界 
在通信。如有，立即关闭该端口并记录下该端口对应的程序并记录，将该程序转移到其他目录下存放以便后来分析。打开计算机管理==》软件环境==》正在运行任务[在此处可以查看进程管理器中看不到的隐藏进程]，查看当前运行的程序，如果有 不明程序，记录下该程序的位置，打开任务管理器结束该进程，对于采用了守护进程的后门等程序可尝试结束进程树，如仍 然无法结束，在注册表中搜索该程序名，删除掉相关键值，切换到安全模式下删除掉相关的程序文件。   
 5、检查系统服务  
运行***，检查处于已启动状态的服务，查看是否有新加的未知服务并确定服务的用途。对于不清楚的服务 
打开该服务的属性，查看该服务所对应的可执行文件是什么，如果确定该文件是系统内的正常使用的文件，可粗略放过。查 看是否有其他正常开放服务依存在该服务上，如果有，可以粗略的放过。如果无法确定该执行文件是否是系统内正常文件并且没有其他正常开放服务依存在该服务上，可暂时停止掉该服务，然后测试下各种应用是否正常。对于一些后门由于采用了 hook系统API技术，添加的服务项目在服务管理器中是无法看到的，这时需要打开注册表中的 
HKEY_LOCAL_MACHINE—SYSTEM—CurrentControlSet—Services项进行查找，通过查看各服务的名称、对应的执行文件来确 定是否是后门、木马程序等。

以上信息由湖北五五互联科技有限公司发布，详情请登录