Web服務(wù)器常規維護

　　一、入侵檢測和數據備份

　　(一)入侵檢測工作

　　作為服務(wù)器的日常管理，入侵檢測是一項非常重要的工作，在平常的檢測過(guò)程中，主要包含日常的服務(wù)器安全例行檢查和遭到入侵時(shí)的入侵檢查，也就是分為在入侵進(jìn)行時(shí)的安全檢查和在入侵前后的安全檢查。系統的安全性遵循木桶原理，木桶原理指的是：一個(gè)木桶由許多塊木板組成，如果組成木桶的這些木板長(cháng)短不一，那么這個(gè)木桶的最大容量不取決于長(cháng)的木板，而取決于最短的那塊木板。應用到安全方面也就是說(shuō)系統的安全性取決于系統中最脆弱的地方，這些地方是日常的安全檢測的重點(diǎn)所在。

　　日常的安全檢測

　　日常安全檢測主要針對系統的安全性，工作主要按照以下步驟進(jìn)行：

　　1、查看服務(wù)器狀態(tài) 打開(kāi)進(jìn)程管理器，查看服務(wù)器性能，觀(guān)察CPU和內存使用狀況。查看是否有CPU和內存占用過(guò)高等異常情況。

　　2、檢查當前進(jìn)程情況 切換“任務(wù)管理器”到進(jìn)程，查找有無(wú)可疑的應用程序或后臺進(jìn)程在運行。用進(jìn)程管理器查看進(jìn)程時(shí)里面會(huì )有一項taskmgr，這個(gè)是進(jìn)程管理器自身的進(jìn)程。如果正在運行windows更新會(huì )有一項wuauclt.exe進(jìn)程。對于拿不準的進(jìn)程或者說(shuō)不知道是服務(wù)器上哪個(gè)應用程序開(kāi)啟的進(jìn)程，可以在網(wǎng)絡(luò )上搜索一下該進(jìn)程名加以確定[進(jìn)程知識庫]通常的后門(mén)如果有進(jìn)程的話(huà)，一般會(huì )取一個(gè)與系統進(jìn)程類(lèi)似的名稱(chēng)，如svch0st.exe，此時(shí)要仔細辨別[通常迷惑手段是變字母o為數字0，變字母l為數字1]

　　3、檢查系統帳號 打開(kāi)計算機管理，展開(kāi)本地用戶(hù)和組選項，查看組選項，查看administrators組是否添加有新帳號，檢查是否有克隆帳號。

　　4、查看當前端口開(kāi)放情況 使用activeport，查看當前的端口連接情況，尤其是注意與外部連接著(zhù)的端口情況，看是否有未經(jīng)允許的端口與外界在通信。如有，立即關(guān)閉該端口并記錄下該端口對應的程序并記錄，將該程序轉移到其他目錄下存放以便后來(lái)分析。打開(kāi)計算機管理==》軟件環(huán)境==》正在運行任務(wù)[在此處可以查看進(jìn)程管理器中看不到的隱藏進(jìn)程]，查看當前運行的程序，如果有不明程序，記錄下該程序的位置，打開(kāi)任務(wù)管理器結束該進(jìn)程，對于采用了守護進(jìn)程的后門(mén)等程序可嘗試結束進(jìn)程樹(shù)，如仍然無(wú)法結束，在注冊表中搜索該程序名，刪除掉相關(guān)鍵值，切換到安全模式下刪除掉相關(guān)的程序文件。

　　5、檢查系統服務(wù) 運行services.msc，檢查處于已啟動(dòng)狀態(tài)的服務(wù)，查看是否有新加的未知服務(wù)并確定服務(wù)的用途。對于不清楚的服務(wù)打開(kāi)該服務(wù)的屬性，查看該服務(wù)所對應的可執行文件是什么，如果確定該文件是系統內的正常使用的文件，可粗略放過(guò)。查看是否有其他正常開(kāi)放服務(wù)依存在該服務(wù)上，如果有，可以粗略的放過(guò)。如果無(wú)法確定該執行文件是否是系統內正常文件并且沒(méi)有其他正常開(kāi)放服務(wù)依存在該服務(wù)上，可暫時(shí)停止掉該服務(wù)，然后測試下各種應用是否正常。對于一些后門(mén)由于采用了hook系統API技術(shù)，添加的服務(wù)項目在服務(wù)管理器中是無(wú)法看到的，這時(shí)需要打開(kāi)注冊表中的HKEY_LOCAL_MACHINE—SYSTEM—CurrentControlSet—Services項進(jìn)行查找，通過(guò)查看各服務(wù)的名稱(chēng)、對應的執行文件來(lái)確定是否是后門(mén)、木馬程序等。

　　6、查看相關(guān)日志 運行eventvwr.msc，粗略檢查系統中的相關(guān)日志記錄。在查看時(shí)在對應的日志記錄上點(diǎn)右鍵選“屬性”，在“篩選器”中設置一個(gè)日志篩選器，只選擇錯誤、警告，查看日志的來(lái)源和具體描述信息。對于出現的錯誤如能在服務(wù)器常見(jiàn)故障排除中找到解決辦法則依照該辦法處理該問(wèn)題，如果無(wú)解決辦法則記錄下該問(wèn)題，詳細記錄下事件來(lái)源、ID號和具體描述信息，以便找到問(wèn)題解決的辦法。

　　7、檢查系統文件 主要檢查系統盤(pán)的exe和dll文件，建議系統安裝完畢之后用dir *.exe /s >1.txt將C盤(pán)所有的exe文件列表保存下來(lái)，然后每次檢查的時(shí)候再用該命令生成一份當時(shí)的列表，用fc比較兩個(gè)文件，同樣如此針對dll文件做相關(guān)檢查。需要注意的是打補丁或者安裝軟件后重新生成一次原始列表。檢查相關(guān)系統文件是否被替換或系統中是否被安裝了木馬后門(mén)等惡意程序。必要時(shí)可運行一次殺毒程序對系統盤(pán)進(jìn)行一次掃描處理。

　　8、檢查安全策略是否更改 打開(kāi)本地連接的屬性，查看“常規”中是否只勾選了“TCP/IP協(xié)議”，打開(kāi)“TCP/IP”協(xié)議設置，點(diǎn)“高級”==》“選項”，查看“IP安全機制”是否是設定的IP策略，查看“TCP/IP”篩選允許的端口有沒(méi)有被更改。打開(kāi)“管理工具”=》“本地安全策略”，查看目前使用的IP安全策略是否發(fā)生更改。

　　9、檢查目錄權限 重點(diǎn)查看系統目錄和重要的應用程序權限是否被更改。需要查看的目錄有c:;c:winnt; C:winntsystem32;c:winntsystem32inetsrv;c:winntsystem32inetsrvdata;c:documents and Settings;然后再檢查serv-u安裝目錄，查看這些目錄的權限是否做過(guò)變動(dòng)。檢查system32下的一些重要文件是否更改過(guò)權限，包括：cmd，net，ftp，tftp，cacls等文件。

　　10、檢查啟動(dòng)項 主要檢查當前的開(kāi)機自啟動(dòng)程序�？梢允褂肁Reporter來(lái)檢查開(kāi)機自啟動(dòng)的程序。

　　發(fā)現入侵時(shí)的應對措施

　　對于即時(shí)發(fā)現的入侵事件，以下情況針對系統已遭受到破壞情況下的處理，系統未遭受到破壞或暫時(shí)無(wú)法察覺(jué)到破壞，先按照上述的檢查步驟檢查一遍后再酌情考慮以下措施。系統遭受到破壞后應立即采取以下措施： 視情況嚴重決定處理的方式，是通過(guò)遠程處理還是通過(guò)實(shí)地處理。如情況嚴重建議采用實(shí)地處理。如采用實(shí)地處理，在發(fā)現入侵的第一時(shí)間通知機房關(guān)閉服務(wù)器，待處理人員趕到機房時(shí)斷開(kāi)網(wǎng)線(xiàn)，再進(jìn)入系統進(jìn)行檢查。如采用遠程處理，如情況嚴重第一時(shí)間停止所有應用服務(wù)，更改IP策略為只允許遠程管理端口進(jìn)行連接然后重新啟動(dòng)服務(wù)器，重新啟動(dòng)之后再遠程連接上去進(jìn)行處理，重啟前先用AReporter檢查開(kāi)機自啟動(dòng)的程序。然后再進(jìn)行安全檢查。 以下處理措施針對用戶(hù)站點(diǎn)被入侵但未危及系統的情況，如果用戶(hù)要求加強自己站點(diǎn)的安全性，可按如下方式加固用戶(hù)站點(diǎn)的安全：

　　站點(diǎn)根目錄----只給administrator讀取權限，權限繼承下去。 wwwroot ------給web用戶(hù)讀取、寫(xiě)入權限。高級里面有刪除子文件夾和文件權限 logfiles------給system寫(xiě)入權限。 database------給web用戶(hù)讀取、寫(xiě)入權限。高級里面沒(méi)有刪除子文件夾和文件權限

　　如需要進(jìn)一步修改，可針對用戶(hù)站點(diǎn)的特性對于普通文件存放目錄如html、js、圖片文件夾只給讀取權限，對asp等腳本文件給予上表中的權限。另外查看該用戶(hù)站點(diǎn)對應的安全日志，找出漏洞原因，協(xié)助用戶(hù)修補程序漏洞。

　　(二)數據備份和數據恢復

　　數據備份工作大致如下： 1、每月備份一次系統數據。

　　2、備份系統后的兩周單獨備份一次應用程序數據，主要包括IIS、serv-u、數據庫等數據。

　　3、確保備份數據的安全，并分類(lèi)放置這些數據備份。因基本上采用的都是全備份方法，對于數據的保留周期可以只保留該次備份和上次備份數據兩份即可。

　　數據恢復工作：

　　1、系統崩潰或遇到其他不可恢復系統正常狀態(tài)情況時(shí)，先對上次系統備份后發(fā)生的一些更改事件如應用程序、安全策略等的設置做好備份，恢復完系統后再恢復這些更改。

　　2、應用程序等出錯采用最近一次的備份數據恢復相關(guān)內容。

　　二、服務(wù)器性能優(yōu)化

　　1、整理系統空間：

　　刪除系統備份文件，刪除驅動(dòng)備份，刪除不用的輸入法，刪除系統的幫助文件，卸載不常用的組件。最小化C盤(pán)文件。

　　2、性能優(yōu)化：

　　刪除多余的開(kāi)機自動(dòng)運行程序; 減少預讀取，減少進(jìn)度條等待時(shí)間; 讓系統自動(dòng)關(guān)閉停止響應的程序; 禁用錯誤報告,但在發(fā)生嚴重錯誤時(shí)通知; 關(guān)閉自動(dòng)更新,改為手動(dòng)更新計算機; 啟用硬件和DirectX加速; 禁用關(guān)機事件跟蹤; 禁用配置服務(wù)器向導; 減少開(kāi)機磁盤(pán)掃描等待時(shí)間;

　　將處理器計劃和內存使用都調到應用程序上; 調整虛擬內存; 內存優(yōu)化; 修改cpu的二級緩存; 修改磁盤(pán)緩存。

　　IIS性能優(yōu)化

　　1、調整IIS高速緩存

　　HKEY_LOCAL_MACHINE SystemCurrentControlSetServicesInetInfoParametersMemoryCacheSize MemoryCacheSize的范圍是從0道4GB，缺省值為3072000(3MB)。一般來(lái)說(shuō)此值最小應設為服務(wù)器內存的10%。IIS通過(guò)高速緩存系統句柄、目錄列表以及其他常用數據的值來(lái)提高系統的性能。這個(gè)參數指明了分配給高速緩存的內存大小。如果該值為0，那就意味著(zhù)“不進(jìn)行任何高速緩存”。在這種情況下系統的性能可能會(huì )降低。如果你的服務(wù)器網(wǎng)絡(luò )通訊繁忙，并且有足夠的內存空間，可以考慮增大該值。必須注意的是修改注冊表后，需要重新啟動(dòng)才能使新值生效。

　　2、不要關(guān)閉系統服務(wù): “Protected Storage”

　　3、對訪(fǎng)問(wèn)流量進(jìn)行限制

　　(1)對站點(diǎn)訪(fǎng)問(wèn)人數進(jìn)行限制 (2)站點(diǎn)帶寬限制。保持HTTP連接。 (3)進(jìn)程限制, 輸入CPU的耗用百分比

　　4、提高IIS的處理效率

　　應用程序設置”處的“應用程序保護”下拉按鈕，從彈出的下拉列表中，選中“低(IIS進(jìn)程)”選項,IIS服務(wù)器處理程序的效率可以提高20%左右。但此設置會(huì )帶來(lái)嚴重的安全問(wèn)題，不值得推薦。

　　5、將IIS服務(wù)器設置為獨立的服務(wù)器

　　(1)提高硬件配置來(lái)優(yōu)化IIS性能 硬盤(pán)：硬盤(pán)空間被NT和IIS服務(wù)以如下兩種方式使用：一種是簡(jiǎn)單地存儲數據;另一種是作為虛擬內存使用。如果使用Ultra2的SCSI硬盤(pán)，可以顯著(zhù)提高IIS的性能 (2)可以把NT服務(wù)器的頁(yè)交換文件分布到多個(gè)物理磁盤(pán)上，注意是多個(gè)“物理磁盤(pán)”，分布在多個(gè)分區上是無(wú)效的。另外，不要將頁(yè)交換文件放在與WIndows NT引導區相同的分區中 (3)使用磁盤(pán)鏡像或磁盤(pán)帶區集可以提高磁盤(pán)的讀取性能 (4)最好把所有的數據都儲存在一個(gè)單獨的分區里。然后定期運行磁盤(pán)碎片整理程序以保證在存儲Web服務(wù)器數據的分區中沒(méi)有碎片。使用NTFS有助于減少碎片。推薦使用Norton的Speeddisk，可以很快的整理NTFS分區。

　　6、起用HTTP壓縮

　　HTTP壓縮是在Web服務(wù)器和瀏覽器間傳輸壓縮文本內容的方法。HTTP壓縮采用通用的壓縮算法如gzip等壓縮HTML、Javas cript或CSS文件�？墒褂胮ipeboost進(jìn)行設置。

　　7、起用資源回收

　　使用IIS5 Recycle定時(shí)回收進(jìn)程資源。

【W(wǎng)eb服務(wù)器常規維護】相關(guān)文章：

java實(shí)現web服務(wù)器的方法10-14

Linux系統Web服務(wù)器性能測試01-23

有關(guān)web服務(wù)器硬件配置的進(jìn)階知識08-20

服務(wù)器常規維修與判斷方法10-10

服務(wù)器日常維護常識之硬件維護04-29

服務(wù)器日常維護的常識之硬件維護06-20

服務(wù)器硬件管理和維護方法09-12

機房服務(wù)器硬件維護方法大全07-18

Web Workers加速移動(dòng)Web應用07-01

十種家庭電腦硬件設備常規維護方法06-19