怎样做好机器安全性监控工作
常规的服务器监控服务有越来越多.当服务(http,smtp 等)出现故障时,您会收到警报.但这足以让您保持服务器的安全性吗?如果您的服务器非常容易受到新软件漏洞的影响,或者有人试图强行您的密码该怎么办?这就是服务器安全性监控很重要的的原因.
根据监视服务器的安全性事件,您将能够防止出现安全性问题,而不仅仅是在发生不良事件时对其做出反应.作为香港专精的IDC机房基础服务商,巨牛科技除提供香港服务器租赁以外,还为各种在线业务服务提供服务器管理服务,其中服务器安全性监控是大家提供服务的重要部分,通常大家为客户服务器提供的安全性监控服务包含:
一、待安全性更新
运用程序和实际操作系统供应商几乎每周都会发布安全性更新(例如:microsoft 每周2发布补丁 - 称为 “补丁周2”).一旦供应商发布这些补丁,公众就可以获得漏洞的详细数据,包括黑客.因此,一旦安全性补丁可用,应当立即运用它们.否则流量攻击者可能会利用现在公开的漏洞侵进您的服务器.这就是为什么大家监控所有客户服务器以获取新的安全性版本,并在 24 小时内运用它们.这包括:实际操作系统更新,服务包更新,网站 运用程序更新以及客户使用的任何其他特殊软件.
2、新的未修补漏洞
尽大多数新漏洞都是由客户和安全性研究人员发现的,他们等待运用程序开发人员在漏洞公开之前发布补丁.但是,有些情况下,在官方补丁可用之前,漏洞将被公开.这些漏洞被称为零日漏洞,实际上是无法防护的.这就是为什么新漏洞监控是大家服务器管理服务的重要组成部分.如果大家发现新的威胁,大家会以1种方式保护大家的客户:使用官方或非官方补丁;使用服务器或 网站 运用程序防火墙阻止常见的漏洞利用方法;禁用易受流量攻击的作用,直到官方补丁修补完成.
1、服务器流量攻击风险
流量攻击者使用全自动化工具执行各种漏洞,试图侵进服务器.重要的是检测这些流量攻击并及时阻止它们.通常大家在服务器管理服务中,以两种方式对抗全自动化流量攻击:
• 预防性服务器强化 - 许多流量攻击使用标准端口或常见模式来发起流量攻击,您可以关闭不常用且易受到攻击利用的端口.大家以这种屏蔽常见流量攻击的方式来配置大家的客户服务器.
• 主动流量攻击监控和防护 - 某些流量攻击可以根据防火墙.在这种情况下,大家会收到服务器中 “异常” 活动的警报,并立即阻断流量攻击者 ip.然后,大家使用流量攻击签名进一步强化防火墙.
4、服务器黑客侵入或网站感染
如果最糟糕的情况怎么办?如果你的所有防护都被破坏而且流量攻击者确实进进了服务器怎么办?您应该首要时间踢出黑客侵入者,锁定网站或服务器,评估损坏情况,清理混乱,并让服务器恢复在线状态.在巨牛科技,大家客户服务器的最后一道监控是黑客侵入检测.这包括:
• 文件系统监控:在服务器中创建新文件(上载或编辑)时,恶意软件扫描程序会检查病毒内容并向大家发出警报.
• 网络监控:如果 ip 或 ip 组以不寻常的方式执行(例如,许多开放连接,暴力等),大家将登录服务器并阻止流量攻击者 ip.
• 身份验证监控:大家寻找管理员帐户的成功登录.如果大家看到一个不熟悉的 ip 登录到服务器,大家立即进进服务器,踢出黑客侵入者并警告服务器所有者(因为它通常表明有人窃取了密码).
• 核心文件更改监控:流量攻击者经常用受感染的文件替换系统文件.因此,大家监控核心系统文件,如果它在大家不知情的情况下发生变化,大家将登录服务器并开展调查.
• 进程监控:流量攻击者经常将其恶意进程伪装成系统服务.因此,如果大家注意到一个引用异常文件或绑定到非标准端口的进程,大家会采取措施.
• 受保护的目录监控:合法程序没有理由进进管理员文件夹.大家在系统中安装特殊工具,如果大家看到一个不寻常的文件夹访问,大家可以快速发现异常.
• rootkit 和病毒监控:流量攻击者可能会在各种系统位置将后门留给系统.这就是大家定期扫描整个服务器以获取内核 rootkit 和隐躲病毒的的原因.
快速反应对于此类监测非常重要.在许多情况下,大家已经能够根据阻止持续的流量攻击来防止服务器破坏成功.
总之,服务器所有者经常忽视安全性监控的重要性.及时的服务器更新,补丁和事件反应可以防止服务器或网站泄露.巨牛科技在此为您详细介绍了大家协助监控客户服务器安全性事件的4种方式,以及它如何帮助保护服务器.