1、日志查看包括系统日志、IIS以及SQL等的日志、防火墙日志、自动备份程序的工作日志;检查日志中异常内容;日志是否有明显时间中断现象;是否出现某些日志被清空的现象;有无伪造日志的迹象。以上要经常检查即可积累经验。 2、检查账户列表、系统服务列表、自动加载的程序列表; 3、检查异常文件。可结合上述的文件日期、文件列表进行快速排查。还可针对特定木马程序的文件名进行搜索(如ca.exe cca.exe findpass.exe pulist.exe 3389.exe等),特别要注意搜索带有数字“0”或“1”的文件。另外用搜索文件功能,查找所有2K-20K、日期为半个月左右的所有文件,以便从中发现可疑文件。另外,必要时可根据特定木马程序的特征字串,对站点目录下相关类型的文件进行内容搜索。对于各分区根目录下的文件也要特别注意! 4、不定期用光盘PE系统引导,用ERDCommander查看硬盘目录下是否有可疑文件、检查硬盘系统注册表是否有不明自动加载项目以及常用文件扩展名关联是否更改、是否存在不明用户等。 5、检查日志备份、数据库备份之类的自动备份工具是否工作正常。 6、检查防火墙规则,查看是否有新添加的规则、不明规则;检查关键规则是否存在修改;不定期用配置好的规则备份恢复一次。 7、定期修改管理员密码以及其他相关管理密码,并在异地做好物理记录。 8、检查系统安全补丁的升级情况。使用自动升级功能时,要检查自动升级是否生效,必要时建议不定期手工进行一次系统升级。6 M& T* ?5 C6 o- r, u4 S7 z o
9、查找WEBSHELL。考虑到多数情况下的入侵者水平,最多也就用用海阳,而且最多也就把部分版权信息去掉,搜索所有内容包含lcx的.ASP文件。如果你了解到最近有其他的程序后门,可以使用相应的关键字搜索是否存在相关文件。为保证可*,搜索内容应该由简单的LCX扩展到wscript.shell等更加广泛与匹配的关键词的查找3 ?7 I" U7 \ W9 L7 x# T3 N' m
10、审核文件及目录权限。仔细检查重要的目录或文件的权限是否适当。
6 D$ I% m3 m: y# d3 N' C- ~11、审查应用程序及系统的升级情况。如系统安全补丁、Serv-U等工具是否必需升级。
g2 [9 H2 }: Y& }( r+ n6 t12、审查IP过滤策略。如果TCP过滤未开,IPSEC未指派则非常危险
( [6 i" q8 @; B2 x |