查看相关日志运行eventvwr.msc,粗略检查系统中的相关日志记录。在查看时在对应的日志记录上点右键选“属性”,在“筛选器”中设置一个日志筛选器,只选择错误、警告,查看日志的来源和具体描述信息。对于出现的错误如能在服务器常见故障排除中找到解决办法则依照该办法处理该问题,如果无解决办法则记录下该问题,详细记录下事件来源、ID号和具体描述信息,以便找到问题解决的办法。
检查系统文件主要检查系统盘的exe和dll文件,建议系统安装完毕之后用dir *.exe /s >1.txt将C盘所有的exe文件列表保存下来,然后每次检查的时候再用该命令生成一份当时的列表,用fc比较两个文件,同样如此针对dll文件做相关检查。需要注意的是打补丁或者安装软件后重新生成一次原始列表。检查相关系统文件是否被替换或系统中是否被安装了木马后门等恶意程序。必要时可运行一次杀毒程序对系统盘进行一次扫描处理。
检查安全策略是否更改打开本地连接的属性,查看“常规”中是否只勾选了“TCP/IP协议”,打开“TCP/IP”协议设置,点“高级”==》“选项”,查看“IP安全机制”是否是设定的IP策略,查看“TCP/IP”筛选允许的端口有没有被更改。打开“管理工具”=》“本地安全策略”,查看目前使用的IP安全策略是否发生更改。
检查目录权限重点查看系统目录和重要的应用程序权限是否被更改。需要查看的目录有c:;c:winnt;C:winntsystem32;c:winntsystem32inetsrv;c:winntsystem32inetsrvdata;c:documents and Settings;然后再检查serv-u安装目录,查看这些目录的权限是否做过变动。检查system32下的一些重要文件是否更改过权限,包括:cmd,net,ftp,tftp,cacls等文件。
发现入侵时的应对措施对于即时发现的入侵事件,以下情况针对系统已遭受到破坏情况下的处理,系统未遭受到破坏或暂时无法察觉到破坏先按照上述的检查步骤检查一遍后再酌情考虑以下措施。系统遭受到破坏后应立即采取以下措施:视情况严重决定处理的方式,是通过远程处理还是通过实地处理。如情况严重建议采用实地处理。如采用实地处理,在发现入侵的第一时间通知机房关闭服务器,待处理人员赶到机房时断开网线,再进入系统进行检查。如采用远程处理,如情况严重第一时间停止所有应用服务,更改IP策略为只允许远程管理端口进行连接然后重新启动服务器,重新启动之后再远程连接上去进行处理,重启前先用AReporter检查开机自启动的程序。然后再进行安全检查。
如何在应用nat123正确合理的使用映射。使我们的网站更加稳定。如果是使用自己的域名,且使用了cname指向,确保每个cname指向地址的唯一性。每个映射的cname都是不同的,都是唯一的。错误的cname指向会导致域名解析不稳定。修改映射不会改变cname地址,新增映射的cname是不同的。
使用时部分环境可能会有遇到经常掉线,不稳定现象,表现为:明明客户端正常登录状态,映射图标状态提示也正常,但映射后的应用不能连接,或访问网站提示“该网站的客户端未登陆”,或浏览器访问域名端口提示“网络异常,已掉线”。出现一次有可能是本地网络异常引起,如有多次出现,使用稳定模式(应急模式)配置解决。稳定模式(应急模式)配置方法:主面板/系统设置/启用应急模式(稳定模式)。启用后重启服务马上生效或等待10分钟内生效。