相关疑难解决方法(0)

这是关于服务器安全的规范问题- 响应违规事件（黑客攻击）
另请参见：

• 保护 LAMP 服务器的技巧
• 在 Root 妥协后重新安装？

规范版本
我怀疑我的一台或多台服务器受到了黑客、病毒或其他机制的危害：

• 我的第一步是什么？当我到达现场时，我是否应该断开服务器，保留“证据”，还有其他初步考虑吗？
• 如何让服务重新上线？
• 如何防止同样的事情立即再次发生？
• 是否有从这次事件中学习的最佳实践或方法？
• 如果我想制定一个事件响应计划，我该从哪里开始？这应该是我的灾难恢复或业务连续性计划的一部分吗？

原版

2011.01.02 - 我在周日晚上 9.30 上班的路上，因为我们的服务器不知何故遭到入侵，导致对我们的供应商的 DOS攻击。访问 Internet 的服务器已关闭，这意味着我们的 5-600 多个客户站点现已关闭。现在这可能是 FTP 黑客攻击，或者某处代码中的一些弱点。我不确定，直到我到达那里。

我怎样才能快速追踪到这个？如果我不尽快备份服务器，我们将面临大量诉讼。任何帮助表示赞赏。我们正在运行 Open SU​​SE 11.0。

---

2011.01.03 - 感谢大家的帮助。幸运的是，我不是唯一负责这个服务器的人，只是最近的人。我们设法解决了这个问题，尽管它可能不适用于不同情况下的许多其他问题。我会详细说明我们做了什么。

我们从网络上拔掉了服务器。它正在印度尼西亚的另一台服务器上执行（试图执行）拒绝服务攻击，而犯罪方也在那里。

我们首先试图确定这是来自服务器上的哪个位置，考虑到我们服务器上有 500 多个站点，我们预计会在一段时间内兼职。然而，在 SSH 访问仍然存在的情况下，我们运行了一个命令来查找在攻击开始时编辑或创建的所有文件。幸运的是，有问题的文件是在寒假期间创建的，这意味着当时在服务器上创建的其他文件并不多。

然后，我们能够识别ZenCart网站内上传的图像文件夹内的违规文件。

在短暂的休息之后，我们得出结论，由于文件位置的原因，它一定是通过文件上传工具上传的，但该工具没有得到足够的保护。经过一番谷歌搜索，我们发现 ZenCart 管理面板中存在一个安全漏洞，允许上传文件以获取唱片公司的图片。（它从未真正使用过的部分），发布此表单只是上传了任何文件，它没有检查文件的扩展名，甚至没有检查用户是否已登录。

这意味着可以上传任何文件，包括用于攻击的 PHP 文件。我们在受感染站点上使用 ZenCart 保护漏洞，并删除了有问题的文件。

工作完成了，我在凌晨 2 点回家

---

道德 - 始终为 ZenCart 或任何其他 CMS 系统应用安全补丁。当安全更新发布时，全世界都意识到了这个漏洞。- 总是做备份，备份你的备份。- 雇用或安排在这种时候会在那里的人。防止任何人依赖服务器故障上的恐慌帖子。

这是一个关于 IPv4 子网的规范问题。

有关的：

• IPv6 子网划分是如何工作的，它与 IPv4 子网划分有何不同？

子网划分是如何工作的，您是如何手动或在头脑中完成的？ 有人可以从概念上和几个例子来解释吗？Server Fault 有很多子网划分作业问题，因此我们可以使用答案将它们指向 Server Fault 本身。

• 如果我有一个网络，我如何弄清楚如何拆分它？
• 如果给我一个网络掩码，我怎么知道它的网络范围是什么？
• 有时有一个斜线后跟一个数字，那个数字是什么？
• 有时有一个子网掩码，也有一个通配符掩码，它们看起来是一样的，但它们是不同的？
• 有人提到了一些关于了解二进制的事情？

此 Wiki 的目的是促进使用命令打开常用应用程序，而无需多次单击鼠标 - 从而节省监控和排除 Windows 机器故障的时间。

回答条目需要指定

• 应用名称
• 命令
• 截图（可选）

命令的快捷方式

• && - 命令链
• %SYSTEMROOT%\System32\rcimlby.exe -LaunchRA - 远程协助 (Windows XP)
• appwiz.cpl - 程序和功能（以前称为“添加或删除程序”）
• appwiz.cpl @,2 - 打开和关闭 Windows 功能（添加/删除 Windows 组件窗格）
• arp - 显示和修改地址解析协议 (ARP) 使用的 IP 到物理地址转换表
• at - 在不使用计划任务的情况下在本地或远程计划任务
• bootsect.exe -更新硬盘分区的主引导代码以在 BOOTMGR 和 NTLDR 之间切换
• cacls - 更改目录、其子内容或文件的访问控制列表 (ACL) 权限
• calc - 计算器
• chkdsk - 检查/修复磁盘表面是否存在物理错误或坏扇区
• cipher - 显示或更改 NTFS 分区上目录 [文件] 的加密
• cleanmgr.exe - 磁盘清理
• clip - 将命令行工具的输出重定向到 Windows 剪贴板
• cls - 清除命令行屏幕
• cmd /k …

如需更全面的监控工具及其功能列表，请查看此 Wikipedia 页面。

正如问题所述，用于此任务的最常用工具是什么，它们的优点和缺点是什么？

我想开始为系统管理员收集良好的免费备忘单资源。请添加您最喜欢的。来自维基百科“备忘单”文章：

在更一般的用法中，“备忘单”是对术语、命令或符号的任何简短（一页或两页）参考，其中期望用户理解此类术语的使用等，但不一定要记住所有这些。

作为程序员，我们倾向于认为系统管理员是理所当然的。有几次我没有一个好的系统管理员，这让我很感激你们所做的事情。当我们冒险进入没有系统管理员的环境时，您能给我们提供哪些智慧之言？

由于不需要详尽讨论的原因，我发现自己负责 10 个服务器：

• 一个域控制器-~500 台主机/~350 个用户
• IIS Web 服务器-这是我们赚钱的地方
• SQL server-皇冠上的明珠
• 交换服务器
• 用于数据输入的 Linux 框
• 影音服务器
• 备份服务器
• 其他几个抛来抛去

我工作的公司相信每个人都是可以替代的，因此相信他们可以为任何职位支付最低工资。IT 经理和系统管理员最近辞职了，我想我是唯一一个在招募志愿者时没有大步倒退的人。这也解释了为什么有我背景的人会担任这个职位。这就是现实，正如我所希望的那样。

我应该做什么来保持这些系统运行？没有留下任何书面程序，我在过去两个月里把 A+ 和 Network+ 证书都塞满了，但这给我留下了一些理论和实践经验。

我正在自学powershell，但从这里到那里还有很长的路要走。我没有脚本或编程经验。

我应该执行哪些任务？我应该实施哪些实践？

我知道我可能已经受不了了，但是让我渡过难关的救生索会有所帮助。

对于软件开发人员，有些书是你绝对必须阅读的。

每个程序员都应该阅读的最有影响力的书是什么？

系统管理员呢？有没有类似的书单？

根据Windows和Linux线程，您认为哪些命令在Mac OS X 服务器（或客户端）中最有用？

你使用维基格式吗？如果有，是什么产品？（MediaWiki、Confluence、Sharepoint 等）

您是否创建了知识库？（面向问题/解决方案的简短文档。）

您在创建有效的文档时遇到了哪些挑战，因此您在休假时不会接到电话？

对我来说，我发现完成文档通常涉及一定程度的组织“惯性”。似乎是不同类型的人可以完成一项任务，然后考虑他们如何完成任务并描述它以便其他人可以完成 - 对你来说是一种“变元”的力量，并不是每个人都愿意这样做。

更新

到目前为止的答案包括

• 合流
• 维基百科
• 雾虫
• Mediawiki（带有 fckeditor 等插件）
• 共享点
• 维基百科
• Word/Excel/Visio 文档
• 记录的脚本

编辑：你不是用你的监控系统隐式记录你的网络吗？Nagios 一直鼓励使用parent指令来反映您的网络结构，notes_url指令旨在允许您链接到 wiki 或其他基于浏览器的文档。因此，此处的“文档”分为监控系统的“活动文档”和 wiki 中更详细的离线文档。因为我花了很多时间盯着 Nagios，所以努力让它尽可能提供信息是有意义的。