問：服務(wù)器有被入侵的跡象,請教安全設(shè)置方法

.最近我的服務(wù)器總感覺有不太正常,經(jīng)常發(fā)現(xiàn)有一些程序被打開或者就是一登陸遠(yuǎn)程就提示一些錯誤,查看了一下GUEST帳號被設(shè)置成ADMIN權(quán)限了,還關(guān)聯(lián)了我另外一個帳號.這樣應(yīng)該是被入侵了吧,我已經(jīng)關(guān)閉GUEST帳戶,有沒有什么好的安全設(shè)置辦法.

guest被提為admin?

有點顯然吧

若服務(wù)器在身邊，可以先斷網(wǎng)，做一次徹底的清查

第一步：看帳號

最好看看是不是有隱藏賬號

不認(rèn)識的賬號，不知道密碼的賬號，統(tǒng)統(tǒng)kill掉

第二步：察看進程和服務(wù)

有可疑進程，先不要關(guān)（由于不了解關(guān)啦會不會有更大麻煩！）

看看ｍｓｃｏｎｆｉｇ里邊有沒有不認(rèn)識的進程在開機啟動。

看看系統(tǒng)服務(wù)又沒有多余的服務(wù)項。

最好能用ｒｏｏｔｋｉｔ察看下是否有隱藏注冊表或程序項　，利用ｒｏｏｔｋｉｔ技術(shù)隱藏的用超級巡警也可以查出來　。

這一步只是了解情況

接著第三步，看網(wǎng)絡(luò)連接情況　

因為網(wǎng)絡(luò)連接是服務(wù)器最主要的功能之一，也是入侵者必占有的方向之一。就單獨提出來

大致了解情況后就動手把

該關(guān)的關(guān)，改刪的刪

＋＋＋＋＋＋＋＋＋＋＋＋＋＋

需要注意的是。若你是遠(yuǎn)程控制的一定要小心些，機子關(guān)機或重起你可都看不到阿，再次能不能進入系統(tǒng)也是有點不能保證的。赫赫，

－－－－－－－－－－－－

由于不了解你的情況

這下邊就說說防護：

１：防火墻一定要有。并且配置好適當(dāng)?shù)囊?guī)則

２：最好能裝個不錯的殺毒軟件，帶主動防御的比較好。（要設(shè)好信任程序阿）

３：設(shè)置好權(quán)限，比如ｃ盤就不要允許除超級管理員外的任何人刪除東西，但可以保留一些賬號有修改的權(quán)利，有相當(dāng)于power用戶組的權(quán)利。赫赫，具體的還要你配置的。

其他的及時打補丁升級病毒庫，保留日志我就不說啦，呵呵，要不就能發(fā)布一片文章拉

就這些拉，若有問題歡迎繼續(xù)交流討論

轉(zhuǎn)載請注明出處：http://blog.csdn.net/clin003

???????????????????????????

一個小技巧，通過sql一個過程調(diào)用提升本地權(quán)限的 辦法

如果有sql server的管理員（sa）帳號,并且可以登錄,嘗試用下面的方法:

--用管理員連接sql,在查詢分析器中執(zhí)行:

--添加用戶
exec master.dbo.xp_cmdshell 'net user clin003 123 /add'

--設(shè)置為administrators組
exec master.dbo.xp_cmdshell 'net localgroup administrators cli003 /add'

這樣你就在服務(wù)器上創(chuàng)建了一個名為clin003,密碼為123的管理員用戶,用他登錄系統(tǒng)改你原來管理員的密碼就可以了