服务器用什么杀毒软件?
问题一:Windows服务器用什么杀毒软件好? 你好,服务器安装杀毒软件一般有如下两个用途:
1、仅作为服务器上的防病毒用
2、组建网络杀毒平台,服务客户端
所以,对于你的问题:
一、如果仅用在服务器上杀毒用
那么需要看你的服务器配置,一般服务器采用的是Xeon(至强)处理器,Intel高端平台,内存也会很高,所以安装任何杀毒软件对系统性能没有差别很大的影响。例如使用腾讯电脑管家(下载地址:guanjiaqq/),内存占用仅在40M左右,按照8G服务器标配内存计算机,占用仅05%。
二、如果是组建网络杀毒平台
那么建议购买杀软的服务器版,这个需要具体与杀毒厂商对接,他们会安排专人为你的服务器实施部署杀毒软件。
有其他问题欢迎到电脑管家企业平台咨询,我们将竭诚为您服务!
问题二:服务器上用什么免费的杀毒软件好 金山毒霸或红雨伞
问题三:服务器上面用什么杀毒软件好啊 您好
1,服务器上同样是windows系统,建议可以到电脑管家官网安装一个腾讯电脑管家。
2,因为它是查杀防护2合1的杀毒软件,占内存非常小,可以让您的服务器利用最大化。
3,虽然它体积比较小,但是不要认为电脑管家查杀病毒能力不行,电脑管家拥有4+1杀毒引擎,近日刚通过了世界顶尖终端安全应用程序工业级兼容性和可靠性认证机构OPSWAT的测试,杀毒能力领先全球。
4,并且拥有多达16层实时防护功能,全方位保护您的服务器不遭受病毒入侵!非常给力。
如果还有其他疑问和问题,欢迎再次来电脑管家企业平台进行提问,我们将尽全力为您解答疑难
问题四:服务器上用什么杀毒软件好 服务器没必要装啊,给电脑装一个就行啦。杀毒软件有很多啊。你可以安装腾讯电脑管家试试,既可以杀毒 又可以清理垃圾,自带杀毒保护,漏洞修复功能,还有应用宝,测网速,硬件检测,无线网助手等等多种功能,做的非常简单便捷,一看就明了。还有广告过滤哦,有了它方便多啦!
问题五:在服务器上最好用什么杀毒软件 PC杀毒软件也可以装,但意义不会很大。
服务器主要针对网页木马,你可以用护卫神云查杀看看。
问题六:服务器杀毒软件哪个好 建议您使用腾讯电脑管家,腾讯电脑管家是采用“ 4+1 ”核“芯”杀毒引擎的专业杀毒软件,所以腾讯电脑管家在不连接网络的情况下也是可以使用本地查杀引擎进行杀毒的,腾讯电脑管家还有清理垃圾、电脑加速、修复漏洞、软件管理、电脑诊所等电脑管理功能,您可以点击这里下载最新版的腾讯电脑管家:最新版腾讯电脑管家下载
问题七:服务器用什么杀毒软件比较好 试试腾讯电脑管家,已经正式通过了“全球最严谨反病毒评测”,斩获AV-TEST证书。至此,腾讯电脑管家已经相继通过了Checkmark(西海岸)、VB100、AVC三项国际最权威的反病毒测试,包揽“四大满贯”,杀毒实力跻身全球第一阵营
问题八:windows 服务器需要杀毒软件吗 其实从安全的角度来说,您不用大费周章地去想你要装什么样的杀毒软件,其实就装一个安全卫士基本的就可以了,查查木马、病毒等之类的,其实杀毒软件都大同 小异。
远程安全以及数据安全方面,还是得靠您自己来做,所以不必要花费太多的时间在杀毒软件上面。
1、远程登陆安全,允许哪些用户登陆,从哪里登陆,限制某条件登陆等,
2、文件的权限是否可以提权,特别是网站的权限是否恰当,这个要做一定的检查,
3、端口的使用是否开放,哪些端口允许开放,哪些端口不能开放,就用系统自带的安全策略做就得了。
4、数据的安全,备份以及监控等操作都必须做到位,
5、值得一提,您当前使用的用户名与密码是否安全?有没有过于简单?
服务器杀毒软件只是辅助检查有没有文件感染病毒以及有没有木马等,安全方面使用自己自带的工具就可以满足的了。所以没有必要花太多费用与精力在挑选服务器杀毒软件上面。
问题九:服务器上用什么杀毒软件比较好? 你可以直接用服务器安全狗,他可以防御网络攻击、防暴力破解、防入侵篡改、还有杀毒等功能,可是试一下。
问题十:公司服务器用什么杀毒软件比较好 windows的,用默认的吧,或者赛门铁克、麦咖啡,趋势之类的。
服务器被攻击怎么办
安装软件防火墙, 可以对一定的攻击行为进行拦截和防御。可以用安全狗来防护,防黑抗攻击杀病毒。
查看系统日志,日记服务可以记录黑客的行踪,通过日志看下入侵者在系统上做过什么手脚,在系统上留了哪些后门,给系统造成了哪些破坏及隐患,服务器到底还存在哪些安全漏洞等,建议可以查看下日志。
做好数据备份。及时做好服务器系统备份,万一遭到破坏也可及时恢复。
对服务器进行整体扫描,看下有什么问题,漏洞之类的,及时修复。
服务器被DDOS攻击 要怎么办
DoS(Denial of Service)是一种利用合理的服务请求占用过多的服务资源,从而使合法用户无法得到服务响应的网络攻击行为。
被DoS攻击时的现象大致有:
被攻击主机上有大量等待的TCP连接;
被攻击主机的系统资源被大量占用,造成系统停顿;
网络中充斥着大量的无用的数据包,源地址为假地址;
高流量无用数据使得网络拥塞,受害主机无法正常与外界通讯;
利用受害主机提供的服务或传输协议上的缺陷,反复高速地发出特定的服务请求,使受害主机无法及时处理所有正常请求;
严重时会造成系统死机。
到目前为止,防范DoS特别是DDoS攻击仍比较困难,但仍然可以采取一些措施以降低其产生的危害。对于中小型网站来说,可以从以下几个方面进行防范:
主机设置:
即加固操作系统,对各种操作系统参数进行设置以加强系统的稳固性。重新编译或设置Linux以及各种BSD系统、Solaris和Windows等操作系统内核中的某些参数,可在一定程度上提高系统的抗攻击能力。
例如,对于DoS攻击的典型种类—SYN Flood,它利用TCP/IP协议漏洞发送大量伪造的TCP连接请求,以造成网络无法连接用户服务或使操作系统瘫痪。该攻击过程涉及到系统的一些参数:可等待的数据包的链接数和超时等待数据包的时间长度。因此,可进行如下设置:
关闭不必要的服务;
将数据包的连接数从缺省值128或512修改为2048或更大,以加长每次处理数据包队列的长度,以缓解和消化更多数据包的连接;
将连接超时时间设置得较短,以保证正常数据包的连接,屏蔽非法攻击包;
及时更新系统、安装补丁。
防火墙设置:
仍以SYN Flood为例,可在防火墙上进行如下设置:
禁止对主机非开放服务的访问;
限制同时打开的数据包最大连接数;
限制特定IP地址的访问;
启用防火墙的防DDoS的属性;
严格限制对外开放的服务器的向外访问,以防止自己的服务器被当做工具攻击他人。
此外,还可以采取如下方法:
Random Drop算法。当流量达到一定的阀值时,按照算法规则丢弃后续报文,以保持主机的处理能力。其不足是会误丢正常的数据包,特别是在大流量数据包的攻击下,正常数据包犹如九牛一毛,容易随非法数据包被拒之网外;
SYN Cookie算法,采用6次握手技术以降低受攻击率。其不足是依据列表查询,当数据流量增大时,列表急剧膨胀,计算量随之提升,容易造成响应延迟乃至系统瘫痪。
由于DoS攻击种类较多,而防火墙只能抵挡有限的几种。
路由器设置:
以Cisco路由器为例,可采取如下方法:
Cisco Express Forwarding(CEF);
使用Unicast reverse-path;
访问控制列表(ACL)过滤;
设置数据包流量速率;
升级版本过低的IOS;
为路由器建立log server。
其中,使用CEF和Unicast设置时要特别注意,使用不当会造成路由器工作效率严重下降。升级IOS也应谨慎。
路由器是网络的核心设备,需要慎重设置,最好修改后,先不保存,以观成效。Cisco路由器有两种配置,startup config和running config,修改的时候改变的是running config,>>
云服务器被黑客入侵攻击了怎么办
重启系统从做重设root密码端口不要默认
服务器被攻击怎么办
1、查看下是什么类型的攻击。检查下系统日志,看下攻击者都去了哪些地方
2、关闭不必要的服务和端口
3、整体扫描下服务器,看下存在什么问题, 有漏洞及时打补丁;检查是否有影子账户,不是自己建立的账号;内容是否又被修改的痕迹等,如果发现问题及时进行清理。
4、重新设置账户密码,以及设置账户权限。
5、对服务器上的安全软件进行升级,或者是对防护参数进行重新设置,使他符合当时的环境。如果服务器上没有安装防护软件,可以看下安全狗软件。还可以将服务器添加到安全狗服云平台上,这样当有攻击发生时,可以快速知道,并进行处理等。
6、如果是大流量攻击,可以看下DOSS流量清洗,这个很多安全厂商都有这个服务,包括安全狗,安全宝、加速乐等。
7定期备份数据文件。如果之前有做备份,可以对重要数据进行替换。
如何查看服务器是否被攻击
netstat -anp grep 'tcp\udp' awk '{print $5}' cut -d: -f1 sort uniq -c sort –n该命令将显示已登录的是连接到服务器的最大数量的IP的列表。DDOS变得更为复杂,因为攻击者在使用更少的连接,更多数量IP的攻击服务器的情况下,你得到的连接数量较少,即使你的服务器被攻击了。有一点很重要,你应该检查当前你的服务器活跃的连接信息,执行以下命令:netstat -n grep :80 wc –l
服务器被攻击怎么办
查看下是什么类型的攻击。
1、检查下系统日志,看下攻击者都去了哪些地方
2、关闭不必要的服务和端口
3、整体扫描下服务器,看下存在什么问题, 有漏洞及时打补丁;检查是否有影子账户,不是自己建立的账号;内容是否又被修改的痕迹等,如果发现问题及时进行清理。
4、重新设置账户密码,以及设置账户权限。
5、对服务器上的安全软件进行升级,或者是对防护参数进行重新设置,使他符合当时的环境。如果服务器上没有安装防护软件,可以看下安全狗软件。
如果是大流量攻击,可以看下DOSS流量清洗,这个很多安全厂商都有这个服务,包括安全狗,安全宝、加速乐等。
6、如果之前有做备份,建议对重要数据进行替换。
服务器被攻击怎么办
查看下系统日志,系统会记录下所有用户使用系统的情形,包括登陆使用情况,攻击路线等。
检测下服务器上的网站,看下网站是被挂马等,看下服务器上的内容是否有被篡改的,及时处理。
及时为服务器打上补丁,避免漏洞被利用;
对服务器安全而言,安装防火墙是非常必要的。防火墙对于非法访问、攻击、篡改等都具有很好的预防、防护作用。防火墙有硬件防火墙和软件防火墙之分。软防可以看下安全狗,可以对服务器和网站进行安全防护。(如果你有成本,有需要,也可以看下硬防)
安装服务器杀毒软件(服务器安全狗有杀毒功能),并定期或及时升级杀毒软件,以及每天自动更新病毒库。
关闭不需要的服务和端口。在服务器使用过程中,可以关闭一些不需要的服务和端口。因为开启太多的服务,会占用系统的资源,而且也会增加系统安全威胁。
建议定期度服务器数据库进行备份。
账户密码设置的复杂些,并定期修改密码。账号和密码保护可以说是服务器系统的第一道防线,目前网上大部分对服务器系统的攻击都是从截获或猜测密码开始。
服务器被黑客攻击怎么办
1、检查系统日志,查看下是什么类型的攻击,看下攻击者都去了哪些地方。内容是否又被修改的痕迹等,如果发现问题及时进行清理。
2、关闭不必要的服务和端口
3、定期整体扫描下服务器,看下存在什么问题, 有漏洞及时打补丁;检查是否有影子账户,不是自己建立的账号等。
4、重新设置账户密码,密码设置的复杂些;以及设置账户权限。
5、对服务器上的安全软件进行升级,或者是对防护参数进行重新设置,使他符合当时的环境。如果没有安装,可以安装个服务器安全狗,同时,还可以将服务器添加到安全狗服云平台上,这样当有攻击发生时,可以快速知道,并进行处理等。6、检测网站,是否又被挂马、被篡改、挂黑链等,如果有,及时清理。
7、如果是大流量攻击,可以看下DOSS流量清洗,这个很多安全厂商都有这个服务。
8、定期备份数据文件。如果之前有做备份,可以对重要数据进行替换。
如何防范服务器被攻击
一,首先服务器一定要把administrator禁用,设置一个陷阱账号:"Administrator"把它权限降至最低,然后给一套非常复杂的密码,重新建立
一个新账号,设置上新密码,权限为administraor
然后删除最不安全的组件:
建立一个BAT文件,写入
regsvr32/u C:\WINDOWS\System32\wshomocx
del C:\WINDOWS\System32\wshomocx
regsvr32\u C:\WINDOWS\system32\shell32dll
del C:\WINDOWS\system32\shell32dll
二,IIS的安全:
1、不使用默认的Web站点,如果使用也要将 将IIS目录与系统磁盘分开。
2、删除IIS默认创建的Inetpub目录(在安装系统的盘上)。
3、删除系统盘下的虚拟目录,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
4、删除不必要的IIS扩展名映射。
右键单击“默认Web站点→属性→主目录→配置”,打开应用程序窗口,去掉不必要的应用程序映射。主要为shtml, shtm, stm
5、更改IIS日志的路径
右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性
6、如果使用的是2000可以使用iislockdown来保护IIS,在2003运行的IE60的版本不需要。
八、其它
1、 系统升级、打操作系统补丁,尤其是IIS 60补丁、SQL SP3a补丁,甚至IE 60补丁也要打。同时及时跟踪最新漏洞补丁;
2、停掉Guest 帐号、并给guest 加一个异常复杂的密码,把Administrator改名或伪装!
3、隐藏重要文件/目录
可以修改注册表实现完全隐藏:“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi
-dden\SHOWALL”,鼠标右击 “CheckedValue”,选择修改,把数值由1改为0
4、启动系统自带的Internet连接防火墙,在设置服务选项中勾选Web服务器。
5、防止SYN洪水攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为SynAttackProtect,值为2
EnablePMTUDiscovery 值为0
NoNameReleaseOnDemand 值为1
EnableDeadGWDetect 值为0
KeepAliveTime 值为300,000
PerformRouterDiscovery 值为0
EnableICMPRedirects 值为0
6 禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic>>
服务器被攻击了,被黑了怎么处理
你指的是账号密码被盗了吗?还是说服务器被远程入侵做不好的事情了?
第一种情况:如果是账号密码被盗,马上联系所在的服务器运营商,让机房网维技术马上帮你把服务器破密,更换服务器密码,而且要换一个难一点的更加安全的密码
第二种情况:如果是被入侵,先马上联系服务器运营商,让他帮你先把服务器的IP先封掉,防止继续被利用,让后让技术帮你把服务器重装系统,重新把账号密码更换掉,这样服务器就可以重新恢复安全了
腾正科技-嘉辉,希望我的回答能帮到你!
当服务器被攻击时,最容易被人忽略的地方,就是记录文件,服务器的记录文件了黑客活动的蛛丝马迹。在这里,我为大家介绍一下两种常见的网页服务器中最重要的记录文件,分析服务器遭到攻击后,黑客在记录文件中留下什么记录。
目前最常见的网页服务器有两种:Apache和微软的Internet Information Server (简称IIS)。这两种服务器都有一般版本和SSL认证版本,方便黑客对加密和未加密的服务器进行攻击。
IIS的预设记录文件地址在 c:winntsystem32logfilesw3svc1的目录下,文件名是当天的日期,如yymmddlog。系统会每天产生新的记录文件。预设的格式是W3C延伸记录文件格式(W3C Extended Log File Format),很多相关软件都可以解译、分析这种格式的档案。记录文件在预设的状况下会记录时间、客户端IP地址、method(GET、POST等)、URI stem(要求的资源)、和HTTP状态(数字状态代码)。这些字段大部分都一看就懂,可是HTTP状态就需要解读了。一般而言,如果代码是在200到299代表成功。常见的200状态码代表符合客户端的要求。300到399代表必须由客户端采取动作才能满足所提出的要求。400到499和500到599代表客户端和服务器有问题。最常见的状态代码有两个,一个是404,代表客户端要求的资源不在服务器上,403代表的是所要求的资源拒绝服务。Apache记录文件的预设储存位置在/usr/local/apache/logs。最有价值的记录文件是access_log,不过 ssl_request_log和ssl_engine_log也能提供有用的资料。 access_log记录文件有七个字段,包括客户端IP地址、特殊人物识别符、用户名称、日期、Method Resource Protocol(GET、POST等;要求哪些资源;然后是协议的版本)、HTTP状态、还有传输的字节。
我在这里所用的是与黑客用的相似的模拟攻击网站方式和工具。(注意:在本文中所介绍的方法请大家不要试用,请大家自觉遵守网络准则!)
分析过程
网页服务器版本是很重要的信息,黑客一般先向网页服务器提出要求,让服务器送回本身的版本信息。只要把「HEAD / HTTP/10」这个字符串用常见的netcat utility(相关资料网址:http://wwwl0phtcom/~weld/netcat/)和OpenSSL binary(相关资料网址:http://wwwopensslorg/)送到开放服务器的通讯端口就成了。注意看下面的示范:
C:>nc -n 100255 80
HEAD / HTTP/10
HTTP/11 200 OK
Server: Microsoft-IIS/40
Date: Sun, 08 Mar 2001 14:31:00 GMT
Content-Type: text/html
Set-Cookie: ASPSESSIONIDGQQQQQPA=IHOJAGJDECOLLGIBNKMCEEED; path=/
Cache-control: private
这种形式的要求在IIS和Apache的记录文件中会生成以下记录:
IIS: 15:08:44 111280 HEAD /Defaultasp 200
Linux: 111280 - - [08/Mar/2001:15:56:39 -0700] "HEAD / HTTP/10" 200 0
虽然这类要求合法,看似很平常,不过却常常是网络攻击的前奏曲。access_log和IIS的记录文件没有表明这个要求是连到SSL服务器还是一般的网页服务器,可是Apache的 ssl_request_log和ssl_engine_log(在/usr/local/apache/logs目录下)这两个记录文件就会记录是否有联机到SSL服务器。请看以下的ssl_request_log记录文件:
[07/Mar/2001:15:32:52 -0700] 111150 SSLv3 EDH-RSA-DES-CBC3-SHA "HEAD / HTTP/10" 0
第三和第四个字段表示客户端使用的是哪种加密方式。以下的ssl_request_log分别记录从OpenSSL、 Internet Explorer和Netscape客户端程序发出的要求。
[07/Mar/2001:15:48:26 -0700] 111150 SSLv3 EDH-RSA-DES-CBC3-SHA "GET / HTTP/10" 2692
[07/Mar/2001:15:52:51 -0700] 100255 TLSv1 RC4-MD5 "GET / HTTP/11" 2692
[07/Mar/2001:15:54:46 -0700] 111150 SSLv3 EXP-RC4-MD5 "GET / HTTP/10" 2692
[07/Mar/2001:15:55:34 –0700] 111280 SSLv3 RC4-MD5 “GET / HTTP/10” 2692
另外黑客通常会复制一个网站(也就是所谓的镜射网站。),来取得发动攻击所需要的信息。网页原始码中的批注字段常有目录、文件名甚至密码的有用资料。复制网站常用的工具包括窗口系统的Teleport Pro(网址:http://wwwtenmaxcom/teleport/pro/homehtm)和Unix系统的wget(网址:http://wwwgnuorg/manual/wget/)。在这里我为大家分析wget和TeleportPro这两个软件攻击网页服务器后记录文件中的内容。这两个软件能全面快速搜寻整个网站,对所有公开的网页提出要求。只要检查一下记录文件就知道,要解译镜射这个动作是很简单的事。以下是IIS的记录文件:
16:28:52 111280 GET /Defaultasp 200
16:28:52 111280 GET /robotstxt 404
16:28:52 111280 GET /header_protecting_your_privacygif 200
16:28:52 111280 GET /header_fec_reqsgif 200
16:28:55 111280 GET /photo_contribs_sidebarjpg 200
16:28:55 111280 GET /g2klogo_white_bgdgif 200
16:28:55 111280 GET /header_contribute_on_linegif 200
注:111280这个主机是Unix系统的客户端,是用wget软件发出请求。
16:49:01 111150 GET /Defaultasp 200
16:49:01 111150 GET /robotstxt 404
16:49:01 111150 GET /header_contribute_on_linegif 200
16:49:01 111150 GET /g2klogo_white_bgdgif 200
16:49:01 111150 GET /photo_contribs_sidebarjpg 200
16:49:01 111150 GET /header_fec_reqsgif 200
16:49:01 111150 GET /header_protecting_your_privacygif 200
注:111150系统是窗口环境的客户端,用的是TeleportPro发出请求。
注意:以上两个主机都要求robotstxt这个档,其实这个档案是网页管理员的工具,作用是防止wget和TeleportPro这类自动抓文件软件对某些网页从事抓取或搜寻的动作。如果有人提出robotstxt档的要求,常常代表是要镜射整个网站。但,TeleportPro和wget这两个软件都可以把要求robotstxt这个文件的功能取消。另一个侦测镜射动作的方式,是看看有没有同一个客户端IP反复提出资源要求。
黑客还可以用网页漏洞稽核软件:Whisker(网址:http://wwwwiretripnet/),来侦查网页服务器有没有安全后门(主要是检查有没有cgi-bin程序,这种程序会让系统产生安全漏洞)。以下是IIS和Apache网页服务器在执行Whisker后产生的部分记录文件。
IIS:
13:17:56 111150 GET /SiteServer/Publishing/viewcodeasp 404
13:17:56 111150 GET /msadc/samples/adctestasp 200
13:17:56 111150 GET /advworks/equipment/catalog_typeasp 404
13:17:56 111150 GET /iisadmpwd/aexp4bhtr 200
13:17:56 111150 HEAD /scripts/samples/detailsidc 200
13:17:56 111150 GET /scripts/samples/detailsidc 200
13:17:56 111150 HEAD /scripts/samples/ctguestbidc 200
13:17:56 111150 GET /scripts/samples/ctguestbidc 200
13:17:56 111150 HEAD /scripts/tools/newdsnexe 404
13:17:56 111150 HEAD /msadc/msadcsdll 200
13:17:56 111150 GET /scripts/iisadmin/bdirhtr 200
13:17:56 111150 HEAD /carbodll 404
13:17:56 111150 HEAD /scripts/proxy/ 403
13:17:56 111150 HEAD /scripts/proxy/w3proxydll 500
13:17:56 111150 GET /scripts/proxy/w3proxydll 500
Apache:
111150 - - [08/Mar/2001:12:57:28 -0700] "GET /cfcachemap HTTP/10" 404 266
111150 - - [08/Mar/2001:12:57:28 -0700] "GET /cfide/Administrator/startstophtml HTTP/10" 404 289
111150 - - [08/Mar/2001:12:57:28 -0700] "GET /cfappman/indexcfm HTTP/10" 404 273
111150 - - [08/Mar/2001:12:57:28 -0700] "GET /cgi-bin/ HTTP/10" 403 267
111150 - - [08/Mar/2001:12:57:29 -0700] "GET /cgi-bin/dbmlparserexe HTTP/10" 404 277
111150 - - [08/Mar/2001:12:57:29 -0700] "HEAD /_vti_infhtml HTTP/10" 404 0
111150 - - [08/Mar/2001:12:57:29 -0700] "HEAD /_vti_pvt/ HTTP/10" 404 0
111150 - - [08/Mar/2001:12:57:29 -0700] "HEAD /cgi-bin/webdistcgi HTTP/10" 404 0
111150 - - [08/Mar/2001:12:57:29 -0700] "HEAD /cgi-bin/handler HTTP/10" 404 0
111150 - - [08/Mar/2001:12:57:29 -0700] "HEAD /cgi-bin/wrap HTTP/10" 404 0
111150 - - [08/Mar/2001:12:57:29 -0700] "HEAD /cgi-bin/pfdisplaycgi HTTP/10" 404 0
大家要侦测这类攻击的关键,就在于从单一IP地址发出大量的404 HTTP状态代码。只要注意到这类信息,就可以分析对方要求的资源;于是它们就会拼命要求提供 cgi-bin scripts(Apache 服务器的 cgi-bin 目录;IIS服务器的 scripts目录)。
小结
网页如果被人探访过,总会在记录文件留下什么线索。如果网页管理员警觉性够高,应该会把分析记录文件作为追查线索,并且在检查后发现网站真的有漏洞时,就能预测会有黑客攻击网站。
接下来我要向大家示范两种常见的网页服务器攻击方式,分析服务器在受到攻击后黑客在记录文件中痕迹。
(1)MDAC攻击
MDAC攻击法可以让网页的客户端在IIS网页服务器上执行命令。如果有人开始攻击IIS服务器,记录文件就会记下客户端曾经呼叫msadcsdll文档:
17:48:49 12128 GET /msadc/msadcsdll 200
17:48:51 12128 POST /msadc/msadcsdll 200
(2)利用原始码漏洞
第二种攻击方式也很普遍,就是会影响ASP和Java网页的暴露原始码漏洞。最晚被发现的安全漏洞是 +htr 臭虫,这个bug会显示ASP原始码。 如果有人利用这个漏洞攻击,就会在IIS的记录文件里面留下这些线索:
17:50:13 111280 GET /defaultasp+htr 200
网页常会只让有权限的使用者进入。接下来我们要让各位看 Apache的access_log记录文件会在登录失败时留下什么线索:
12128 - user [08/Mar/2001:18:58:29 -0700] "GET /private/ HTTP/10" 401 462
注:第三栏里面的使用者名称是「user」。还有要注意HTTP的状态代号是401,代表非法存取。
1、首先在clamav官网上下载安装包,在官网download的界面里下载,可以看到当前最新的稳定版本。点击名称下载即可。
2、然后解压安装。在安装之前先创建一个clamav的用户组和组成员。
3、解压安装:这一步最好在root权限下进行,安装杀毒软件查杀的就是root下的文件。依次执行中的指令进行config、编译、安装。
4、然后执行make,没有报错,编译成功。然后make install,目前clamav的安装就完成了。
5、使用clamsan扫描一下,发现出现下面的错误。仔细查看了一下,目前没有可用的病毒库。
6、这时创建几个目录并设定权限。设置配置文件。
7、更新配置文件,在配置文件中加入下面的内容。需要把freshclamconf和clamdconf配置文件中的Example那一行去掉。
8、最后更新病毒库,这个需要一段时间。更新完成后,再次执行第5个步骤的命令进行扫描,就可以了。
0条评论