大假归来，如何检查服务器安全运维工作

假期总是让人流连忘返，然而，美好的时光总是短暂，随着假期的结束，我们也迎来了新的工作篇章。作为主机运维人员，返岗首要之务便是全面审视服务器安全运维状态，确保所有运维流程无误执行，并排查任何潜在的安全隐患。那么，具体应如何高效检查主机运维状况呢？

 

一、 检查硬件状态

主要检查服务器各硬件是否正常运行、是否有报警日志、温度是否偏高。

 

二、 检查系统状态

主要检查CPU、内存、带宽、IO等负载是否正常，检查磁盘可用空间是否充足。同时还需检查系统日志，分析有无报警信息。

 

三、 检查业务系统

检查服务器上的网站或其他应用是否正常运行，对CPU、内存、带宽、IO的使用率是否偏高。

 

四、 检查数据备份

检查数据备份任务是否按预期计划执行，备份结果是否完整。

 

五、 检查安全威胁

安全威胁检查是最重要也是最复杂的，涉及方面很多：系统账户、系统日志、系统进程、系统服务、IIS程序池、IIS组件、WebShell等等。

首先到系统账户处检查是否有可疑账户以及新增账户。

然后分析系统日志，看看有无可疑登录日志，以判断服务器是否被非法登录。

然后查看正在运行的系统进程是否有可疑进程。

然后查看系统服务是否有可疑服务，尤其是已经启动和自动启动的服务。

然后检查程序池是否以LocalSystem标识启动，如果以此标识启动程序池，那网站直接就有了系统最高管理权限，入侵将变得轻而易举。

然后检查是否植入了陌生组件，陌生组件一般都用于非法用途，例如劫持网站。

最后再对网站进行一次webshell查杀，防止黑客上传木马后门。

 

总体而言，人工检查服务器是否被入侵，是一项非常繁琐的工作，而且稍不注意就会遗漏关键线索。建议使用《护卫神.防入侵系统》的“安全巡检防护”替代人工检查（如下图一），软件定期自动安全巡检，有问题及时通知管理员，非常方便。

 （图一：主机安全巡检）

 

如上图所示，设置每隔24小时巡检一次系统，巡检范围非常广泛，涉及：系统文件、系统服务、网站安全、PHP安全、功能角色、系统组件、系统用户、系统进程、注册表、其他。

 

当发现异常时，立即向管理员发送消息通知（短信、微信和邮件三种方式），如下图二：

  

（图二：主机安全事件预警）

 

有了《护卫神.防入侵系统》，安全运维服务器是不是变得非常轻松了？

再也不需要人工肉眼检查服务器是否被入侵了，全自动化操作，并且检查得还更仔细。

如果您也有此需求，赶紧部署吧。

 

原文地址：https://www.hws.com/help/tech/1863.html