Skip to main content

 路由器设置 > 路由器问答 >

服务器全部被入侵应该如何补救

2012-05-13 23:36 浏览:

问:我在三个不同机房放的三台服务器在一周之内都中毒了,系统里面被建立了隐藏账户,服务器上还被上传了一些练起八糟的文件,服务器上装的正版诺顿32也无法正常启动,快疯了!!!三台服务器几乎都一样,一扫描一千多个文件被感染,我的系统就开放了一个服务,端口也就那3,4个,请问我该怎么设置安全策略,才能防止服务器被入侵???高手救命啊,服务器系统是windows server 2003 企业版。

答:如果目前这三台服务器可以暂时下架,首先就是先下架,备份出重要数据,然后重做系统。然后打补丁到最新。优化系统,不要的服务可以关闭。严格控制账号和密码。如果是远程登录建议还是修改掉默认的3389端口和强账号与口令。如果是设置成内网IP,然后通过NAT转换,通过VPN管理就更好了。另外
你现在的系统,为了安全,建议重新部署,因为你不知道是否还被留有后门。

1、重新部署系统,打补丁,进行系统安全优化,禁用不需要的帐号,管理员用户改名和设备密码复杂度。关闭不需要的服务,修改远程默认端口。开启日志和审计功能

2、安装一具靠谱的杀毒 软件。并定时更新,可以在一定程度上杀掉被上传的木马。本机安装ARP防火墙,防止ARP欺骗。许多人系统本向没有问题,被人在局域网安装欺骗工具照片把密码搞走。。

3、开启IP策略筛选,只对外开放特定的端口。

4、检查你的应用,不要有漏洞。比如WEB和数据库,不然一样被入侵。

5、对你的系统进行外部的自扫描和安全评估。对应用、数据、系统进行安全扫描。

6、网络中服务器与其他终端网络隔离,建DMZ区域。

还有许多可做的事。定期检查系统用户、进程、服务、启动、日志等信息。发现异常。马上处理。