上海臻万信息技术有限公司 专业提供:服务器托管 企业邮局 服务器代维 网络布线 企业网站建设   企业网络运维管理 硬件防火墙  上网行为管理 VPS虚拟主机

上海臻万信息技术有限公司

上海服务器托管 www.beeteam.net
随笔 - 16, 文章 - 0, 评论 - 2, 引用 - 0
数据加载中……

2010年11月26日

上海双线服务器托管4000元起

张江双线机房 服务器托管

¥600.00 ¥850.00 ¥1000.00 ¥1600.00

外高桥北机房 服务器托管

¥650.00 ¥850.00 ¥1100.00 ¥2000.00

上海真如机房 服务器托管

¥700.00 ¥900.00 ¥1200.00  

外 高 桥机房 服务器托管

¥650.00 ¥800.00 ¥1000.00 ¥1600.00

上海全华机房 服务器托管

¥600.00 ¥700.00 ¥1200.00 ¥1600.00

上海武胜机房 服务器托管

¥750.00 ¥1100.00 ¥1500.00 ¥2500.00

北京上地BGP  服务器托管

¥600.00 ¥800.00 ¥1000.00 ¥1100.00


服务器托管特价产品
服务器型号
1u 2u 4u 8u

北京洋桥BGP 服务器托管

¥600.00 ¥800.00 ¥1000.00 ¥1400.00

上海联通双线 服务器托管

¥450.00 ¥680.00 ¥1000.00 ¥1400.00

上海漕宝机房 服务器托管

¥450.00 ¥680.00 ¥1000.00 ¥1400.00

上海漕河泾机房 服务器托管

¥450.00 ¥680.00 ¥1000.00 ¥1400.00

怒江多线机房 服务器托管

¥450.00 ¥680.00 ¥1000.00 ¥1400.00

 

 

服务器托管说明


 

如果您选择了我们的主机托管服务,您还可以选择如下优惠服务包:
只需加1200元/年 即可实现7x24小时实时监控
只需加1000元/年 即可防范ARP攻击服务
只需加3000元/年 即可获得安全防护服务
只需加5000元/年 即可防范1G规模DDOS攻击服务
只需加5000元/年 即可获得专业系统维护服务。

上海服务器托管 http://www.beeteam.cn/webbuild/server-colocation.html

posted @ 2010-11-26 22:32 beeteam 阅读(57) | 评论 (0)编辑 收藏

2010年9月8日

linux服务器基本安全配置手册

     摘要: 假如你想要搭建一个Linux服务器,并且希望可以长期维护的话,就需要考虑安全性能与速度等众多因素。一份正确的linux基本安全配置手册就显得格外重要。在我本文中就向大家介绍在edhat/centos 4,5下的Linux服务器基本安全配置手册。安装注意1.删除系统特殊的的用户帐号:禁止所有默认的被操作系统本身启动的且不需要的帐号,当你第一次装上系统时就应该做此检查,Linux提供了各种帐号,你可能...  阅读全文

posted @ 2010-09-08 12:02 beeteam 阅读(44) | 评论 (0)编辑 收藏

Linux命令行大扫盲

     摘要: 在Linux的世界中最不能缺少的就是Linux命令行的应用。Linux命令行可以帮助我们十分迅速的找的想要的、完成想做的、批量完成各种繁琐的事情。是一个不折不扣的系统管理与应用的利器。本文主要向大家介绍最常见的几个Linux命令,进行一次大型的Linux命令扫盲。   su   su命令是最基本的命令之一,常用于不同用户间切换。例如,如果登录为 user1,要切换为user2,...  阅读全文

posted @ 2010-09-08 12:00 beeteam 阅读(71) | 评论 (0)编辑 收藏

简单五步清除DLL木马

互联网安全日新月异的发展,越来越多的安全产品摆在人们眼前,安全厂商为了更好的保护用户的网络安全而进行一次次的技术革新。但是正所谓有光的地方就有阴影,黑客们的技术也在不断发展,为了在NT系统下能够继续隐藏进程,木马的开发者们开始利用DLL(DynamicLinkLibrary动态链接库)文件,起初他们只是将自己的木马写成DLL形式来替换系统中负责WinSocket1.x的函数调用wsock32.dll(WinSocket2中则由WS2_32.DLL负责),这样通过对约定函数的操作和对未知函数的转发(DLL木马替换wsock32.dll时会将之更名,以便实现日后的函数转发)来实现远程控制的功能。

但是随着MS数字签名技术和文件恢复功能的出台,这种DLL马的生命力也日渐衰弱了,于是在开发者的努力下出现了时下的主流木马–动态嵌入式DLL木马,将DLL木马嵌入到正在运行的系统进程中.explorer.exe、svchost.exe、smss.exe等无法结束的系统关键进程是DLL马的最爱,这样这样在任务管理器里就不会出现我们的DLL文件,而是我们DLL的载体EXE文件.当然通过进一步的加工DLL木马还可以实现另外的一些如端口劫持/复用(也就是所谓的无端口)、注册为系统服务、开多线程保护、等功能。简而言之,就是DLL木马达到了前所未有的隐蔽程度。

那么我们如何来发现并清除DLL木马呢?

一、从DLL木马的DLL文件入手,我们知道system32是个捉迷藏的好地方,许多木马都削尖了脑袋往那里钻,DLL马也不例外,针对这一点我们可以在安装好系统和必要的应用程序后,对该目录下的EXE和DLL文件作一个记录:运行CMD–转换目录到system32–dir*.exe>exeback.txt&dir*.dll>dllback.txt,这样所有的EXE和DLL文件的名称都被分别记录到exeback.txt和dllback.txt中,日后如发现异常但用传统的方法查不出问题时,则要考虑是不是系统中已经潜入DLL木马了.这是我们用同样的命令将system32下的EXE和DLL文件记录到另外的exeback1.txt和dllback1.txt中,然后运行CMD–fcexeback.txtexeback1.txt>diff.txt&fcdllback.txtdllback1.txt>diff.txt.(用FC命令比较前后两次的DLL和EXE文件,并将结果输入到diff.txt中),这样我们就能发现一些多出来的DLL和EXE文件,然后通过查看创建时间、版本、是否经过压缩等就能够比较容易地判断出是不是已经被DLL木马光顾了。没有是最好,如果有的话也不要直接DLL掉,我们可以先把它移到回收站里,若系统没有异常反应再将之彻底删除或者提交给杀毒软件公司。

二、上文也曾提到一些系统关键进程是这类木马的最爱,所以一旦我们怀疑系统已经进驻了DLL木马,我们当然要对这些关键进程重点照顾了,怎么照顾?这里推荐一个强大的脱壳工具工具Procedump.exe他可以帮您看出进程到底调用了那些DLL文件,但是由于有的进程调用的DLL文件非常多,使得靠我们自己去一个核对变的不太现实,所以我们会用到一个shotgun写的NT进程/内存模块查看器ps.exe,用命令ps.exe/a/m>nowdlls.txt将系统目前调用地所有DLL文件地名称保存到nowdlls.txt,然后我们再用fc将之于事先备份dllback.txt比较一下,这样也能够缩小排查范围。

三、还记得木马的特征之一端口么?所有的木马只要进行连接,只要它接受/发送数据则必然会打开端口,DLL木马也不例外,这也为我们发现他们提供了一条线索,我们可以使用foundstone的进程端口查看工具Fport.exe来查看与端口对应的进程,这样可以将范围缩小到具体的进程,然后结合Procedump来查找DLL木马就比较容易了.当然有如上文提到的有些木马会通过端口劫持或者端口重用的方法来进行通信,139、80、1443、等常见端口则是木马的最爱。因为即使即使用户使用端口扫描软件检查自己的端口,发现的也是类似TCPUserIP:1026ControllerIP:80ESTABLISHED的情况,稍微疏忽一点,您就会以为是自己在浏览网页(防火墙也会这么认为的)。所以光看端口还不够,我们要对端口通信进行监控,这就是第四点要说的。

四、我们可以利用嗅探器来了解打开的端口到底在传输些什么数据。通过将网卡设为混杂模式就可以接受所有的IP报文,嗅探程序可以从中选择值得关注的部分进行分析,剩下的无非是按照RFC文档对协议进行解码。这样就可以确定木马使用的端口。

五、通常说道查杀木马我们会习惯性地到注册表碰碰运气,以前可能还蛮有效的,但如果碰到注册为系统服务的木马(原理:在NT/2K/XP这些系统中,系统启动时会加载指定的服务程序)这时候检查:启动组/注册表/autoexec.bat/win.ini/sysytem.ini/wininit.ini/*.inf(例如autorun.inf)/config.sys等文件就发现不了丝毫的异样,这时候我们就应该查看一下系统服务了:右击我的电脑–管理–服务和应用程序–服务,这时您会看到100多个服务,,当然如果您以前曾经用导出列表功能对服务备份过,则用文件比较的方法会很容易发现哪些是外来客,这时您可以记录下服务加载的是那个文件,然后用ResourceKits里提供的srvinstw.exe来移除该服务并清除被加载的文件。

通过以上五步,基本能发现并清除狡猾的动态嵌入式DLL木马了,也许您也发现如果适当地做一些备份,会对我们的查找木马的过程有很大的帮助,当然也会减轻不少工作的压力。


www.beeteam.net 

posted @ 2010-09-08 11:59 beeteam 阅读(73) | 评论 (0)编辑 收藏

2010年8月23日

如何手动移除恶意软件?

问:我有一个关于.eml文件的问题。它在我系统的多个文件夹中,但我不能成功地删除它们。该文件也会自己复制到USB设备上。由于它的影响,我的应用程序都不能正常运作。为了防止它影响网络上的其他设备,您有什么方法可以帮助我处理掉电脑上的这个文件呢? 

  :首先,将你的电脑与网络断开,以防止恶意软件复制受感染的文件到网络设备上。无论什么恶意软件感染了你的系统,它都有可能在你的系统上执行,并有能力阻止被人移除。你可能会将你的电脑恢复到你认为好的状态。如果那样也不管用,你就需要了解该如何手动从你的硬盘驱动中移除恶意软件。

 

  要手动将恶意软件从系统中移除,要遵行以下基本歩骤:

 

  1. 在未感染的计算机上,下载恶意软件移除工具,如McAfee Stinger(或从主要反病毒厂商那下载类似的工具),然后将它存储在USB驱动器中。根据某个特定的恶意软件,你可能还需要其他类似的工具。从你组织中的反恶意软件/反病毒软件中下载安装程序和更新文件。
  2. 在安全模式下启动你的电脑。
  3. 在受感染的计算机上运行McAfee Stinger,以移除恶意软件。如果McAfee Stinger不能移除该恶意软件,你需要使用之前下载的其他移除工具。如果这些工具都不行,你就需要手动修复相关的文件。在微软的官方网站上,有一些很好的指导和建议;你可以看看Windows XP恶意软件移除指南。
  4. 在计算机上安装或更新反恶意软件或反病毒软件之后,进行系统扫描。

  为了防止以后再发生类似的事情,你需要确保你经常登陆的账户没有提升的或管理员级别的权限(精明的黑客可以很容易地利用管理级别的用户帐号),并且要安装和及时更新反恶意软件。如果你要用具有权限的账户登录,你需要联系你的IT部门,让他们解除你的账户权限。

posted @ 2010-08-23 16:38 beeteam 阅读(161) | 评论 (0)编辑 收藏

2010年8月17日

黑客常用技术揭密:隐藏账户

当黑客入侵一台主机后,会想方设法保护自己的“劳动成果”,因此会在肉鸡上留下种种后门来长时间得控制肉鸡,其中使用最多的就是账户隐藏技术。在肉鸡上建立一个隐藏的账户,以备需要的时候使用。账户隐藏技术可谓是最隐蔽的后门,一般用户很难发现系统中隐藏账户的存在,因此危害性很大,本文就对隐藏账户这种黑客常用的技术进行揭密。

  在隐藏系统账户之前,我们有必要先来了解一下如何才能查看系统中已经存在的账户。在系统中可以进入“命令提示符”,控制面板的“计算机管理”,“注册表”中对存在的账户进行查看,而管理员一般只在“命令提示符”和“计算机管理”中检查是否有异常,因此如何让系统账户在这两者中隐藏将是本文的重点。

  一、“命令提示符”中的阴谋

  其实,制作系统隐藏账户并不是十分高深的技术,利用我们平时经常用到的“命令提示符”就可以制作一个简单的隐藏账户。

  点击“开始”→“运行”,输入“CMD”运行“命令提示符”,输入“net user piao$ 123456 /add”,回车,成功后会显示“命令成功完成”。接着输入“net localgroup administrators piao$ /add”回车,这样我们就利用“命令提示符”成功得建立了一个用户名为“piao$”,密码为“123456”的简单“隐藏账户”,并且把该隐藏账户提升为了管理员权限。

  我们来看看隐藏账户的建立是否成功。在“命令提示符”中输入查看系统账户的命令“net user”,回车后会显示当前系统中存在的账户。从返回的结果中我们可以看到刚才我们建立的“piao$”这个账户并不存在。接着让我们进入控制面板的“管理工具”,打开其中的“计算机”,查看其中的“本地用户和组”,在“用户”一项中,我们建立的隐藏账户“piao$”暴露无疑。

  可以总结得出的结论是:这种方法只能将账户在“命令提示符”中进行隐藏,而对于“计算机管理”则无能为力。因此这种隐藏账户的方法并不是很实用,只对那些粗心的管理员有效,是一种入门级的系统账户隐藏技术。

二、在“注册表”中玩转账户隐藏

  从上文中我们可以看到用命令提示符隐藏账户的方法缺点很明显,很容易暴露自己。那么有没有可以在“命令提示符”和“计算机管理”中同时隐藏账户的技术呢?答案是肯定的,而这一切只需要我们在“注册表”中进行一番小小的设置,就可以让系统账户在两者中完全蒸发。

  1、峰回路转,给管理员注册表操作权限

  在注册表中对系统账户的键值进行操作,需要到“HKEY_LOCAL_MACHINE\SAM\SAM”处进行修改,但是当我们来到该处时,会发现无法展开该处所在的键值。这是因为系统默认对系统管理员给予“写入D AC”和“读取控制”权限,没有给予修改权限,因此我们没有办法对“SAM”项下的键值进行查看和修改。不过我们可以借助系统中另一个“注册表编辑器”给管理员赋予修改权限。

  点击“开始”→“运行”,输入“regedt32.exe”后回车,随后会弹出另一个“注册表编辑器”,和我们平时使用的“注册表编辑器”不同的是它可以修改系统账户操作注册表时的权限(为便于理解,以下简称regedt32.exe)。

  在regedt32.exe中来到“HKEY_LOCAL_MACHINE\SAM\SAM”处,点击“安全”菜单→“权限”,在弹出的“SAM的权限”编辑窗口中选中“administrators”账户,在下方的权限设置处勾选“完全控制”,完成后点击“确定”即可。然后我们切换回“注册表编辑器”,可以发现“HKEY_LOCAL_MACHINE\SAM\SAM”下面的键值都可以展开了。

  提示:上文中提到的方法只适用于Windows NT/2000系统。在Windows XP系统中,对于权限的操作可以直接在注册表中进行,方法为选中需要设置权限的项,点击右键,选择“权限”即可。

  2、偷梁换柱,将隐藏账户替换为管理员

  成功得到注册表操作权限后,我们就可以正式开始隐藏账户的制作了。来到注册表编辑器的“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names”处,当前系统中所有存在的账户都会在这里显示,当然包括我们的隐藏账户。点击我们的隐藏账户“piao$”,在右边显示的键值中的“类型”一项显示为0x3e9,向上来到“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\”处,可以找到“000003E9”这一项,这两者是相互对应的,隐藏账户“piao$”的所有信息都在“000003E9”这一项中。同样的,我们可以找到“administrator”账户所对应的项为“000001F4”。

  将“piao$”的键值导出为piao$.reg,同时将“000003E9”和“000001F4”项的F键值分别导出为user.reg,admin.reg。用“记事本”打开admin.reg,将其中“F”值后面的内容复制下来,替换user.reg中的“F”值内容,完成后保存。接下来进入“命令提示符”,输入“net user piao$ /del”将我们建立的隐藏账户删除。最后,将piao$.reg和user.reg导入注册表,至此,隐藏账户制作完成。

  3、过河拆桥,切断删除隐藏账户的途径

  虽然我们的隐藏账户已经在“命令提示符”和“计算机管理”中隐藏了,但是有经验的系统管理员仍可能通过注册表编辑器删除我们的隐藏账户,那么如何才能让我们的隐藏账户坚如磐石呢?

  打开“regedt32.exe”,来到“HKEY_LOCAL_MACHINE\SAM\SAM”处,设置“SAM”项的权限,将“administrators”所拥有的权限全部取消即可。当真正的管理员想对“HKEY_LOCAL_MACHINE\SAM\SAM”下面的项进行操作的时候将会发生错误,而且无法通过“regedt32.exe”再次赋予权限。这样没有经验的管理员即使发现了系统中的隐藏账户,也是无可奈何的。

三.专用工具,使账户隐藏一步到位

  虽然按照上面的方法可以很好得隐藏账户,但是操作显得比较麻烦,并不适合新手,而且对注册表进行操作危险性太高,很容易造成系统崩溃。因此我们可以借助专门的账户隐藏工具来进行隐藏工作,使隐藏账户不再困难,只需要一个命令就可以搞定。

  我们需要利用的这款工具名叫“HideAdmin”,下载下来后解压到c盘。

  然后运行“命令提示符”,输入“HideAdmin piao$ 123456”即可,如果显示“Create a hiden Administrator piao$ Successed!”,则表示我们已经成功建立一个账户名为piao$,密码为123456的隐藏账户。利用这款工具建立的账户隐藏效果和上文中修改注册表的效果是一样的。

  四、把“隐藏账户”请出系统

  隐藏账户的危害可谓十分巨大。因此我们有必要在了解了账户隐藏技术后,再对相应的防范技术作一个了解,把隐藏账户彻底请出系统

  1、添加“$”符号型隐藏账户

  对于这类隐藏账户的检测比较简单。一般黑客在利用这种方法建立完隐藏账户后,会把隐藏账户提升为管理员权限。那么我们只需要在“命令提示符”中输入“net localgroup administrators”就可以让所有的隐藏账户现形。如果嫌麻烦,可以直接打开“计算机管理”进行查看,添加“$”符号的账户是无法在这里隐藏的。

  2、修改注册表型隐藏账户

  由于使用这种方法隐藏的账户是不会在“命令提示符”和“计算机管理”中看到的,因此可以到注册表中删除隐藏账户。来到“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names”,把这里存在的账户和“计算机管理”中存在的账户进行比较,多出来的账户就是隐藏账户了。想要删除它也很简单,直接删除以隐藏账户命名的项即可。

  3、无法看到名称的隐藏账户

  如果黑客制作了一个修改注册表型隐藏账户,在此基础上删除了管理员对注册表的操作权限。那么管理员是无法通过注册表删除隐藏账户的,甚至无法知道黑客建立的隐藏账户名称。不过世事没有绝对,我们可以借助“组策略”的帮助,让黑客无法通过隐藏账户登陆。点击“开始”→“运行”,输入“gpedit.msc”运行“组策略”,依次展开“计算机配置”→“Windows 设置”→“安全设置”→“本地策略”→“审核策略”,双击右边的“审核策略更改”,在弹出的设置窗口中勾选“成功”,然后点“确定”。对“审核登陆事件”和“审核过程追踪”进行相同的设置。

  4、开启登陆事件审核功能

  进行登陆审核后,可以对任何账户的登陆操作进行记录,包括隐藏账户,这样我们就可以通过“计算机管理”中的“事件查看器”准确得知隐藏账户的名称,甚至黑客登陆的时间。即使黑客将所有的登陆日志删除,系统还会记录是哪个账户删除了系统日志,这样黑客的隐藏账户就暴露无疑了。

  5、通过事件查看器找到隐藏帐户

  得知隐藏账户的名称后就好办了,但是我们仍然不能删除这个隐藏账户,因为我们没有权限。但是我们可以在“命令提示符”中输入“net user 隐藏账户名称 654321”更改这个隐藏账户的密码。这样这个隐藏账户就会失效,黑客无法再用这个隐藏账户登陆。

上海臻万信息技术有限公司 专业从事网络安全,服务器代维等网络综合服务 www.beeteam.cn

posted @ 2010-08-17 16:52 beeteam 阅读(259) | 评论 (0)编辑 收藏

Linux系统调用存在的一些问题及对策

Linux进程监控方法和工具都是基于调用操作系统给我们提供的相应的API接口函数或者系统调用来实现的。我们所得到的只是接口函数处理后的结果,不能够主动地从操作系统内核的进程数据结构当中获取我们需要的信息。

  因而,它们具有如下一些问题:

  1、传统的进程监控方法运行效率比较低,同时反应时间也比较长,实时性能差。

  2、不能够实时、高效地向用户报告当前系统运行的安全状况,就算系统中有不法进程在运行,系统也不能识别出来。

  3、不能给用户捕捉不法进程的行为提供证据和进程的活动轨迹。当一个不法进程运行并对系统产生破坏时,用户即使通过察看进程列表找到了不合法的进程,也不清楚到底从进程开始运行直到捕捉到这样一个不法进程这样一段时间内,进程都对系统造成了哪些破坏,比如说,访问、修改了哪些重要的系统文件,占用了哪些系统资源等等。这些都给以后的恢复和处理工作带来了很大的问题。

  4、执行程序工作在用户态,本身就不安全,入侵系统的黑客可以轻松地找到这些进程监控程序的磁盘映像,进行删除甚至替换,从而会给系统带来不可估量的损失。这一点尤其需要强调,比如说,黑客入侵系统成功,就可以植入他们所改写的ps程序以替换原来系统的ps程序,这样就使得用户不能通过该工具得知系统中当前运行的不法进程,这样无论黑客如何植入木马或者其他程序,用户都无法知道,从而无法采取措施终止这些行为。不言而喻,这样的后果是很严重的。而在我们下面所要介绍的一种运行于内核的进程监控程序当中,黑客根本无法或者很难深入内核来破坏该进程监控程序,从而使其能够很好地保证自身的安全。

  基于上述种种不足,我们提出了在Linux内核中实现进程实时监控的原理和技术。该技术主要分为以下几个步骤:

  首先,在“干净”的系统环境下,全面地运行系统中的安全进程,分析和搜集Linux环境下这些进程的相关信息(包括进程ID号、进程名称、进程可执行映像、进程的开始时间、进程的父进程等主要信息),形成一张“系统安全进程列表”,作为进程监控的依据。

  接着,监控代码在进程调度过程中实时地搜集系统中运行进程的信息。如果发现进程不在 “系统安全进程列表”当中,则马上通过终端输出该进程的PID号、名称、进程的可执行映像等信息,或者通过声音向用户报警,等待用户处理,在这个等待的过程中,终止调度该进程,直到用户做出响应(放行该进程或者杀死该进程)。

  在第二步当中,如果超级用户(系统管理员)放行了该进程,则可以将该进程加入“系统安全进程列表”,以完善该列表;如果是一般用户在使用过程当中放行了某个进程,那么,需要将该用户的用户名和身份记录下来,并且将放行的进程记录下来存为日志,那么,当超级用户(系统管理员)无论是在审核用户行为还是在修改“系统安全进程列表”时,都是一个有力的依据。

  另外,在系统运行过程当中,如果发现“系统安全进程列表”当中的某些重要的进程 (包括kswapd、bdflush等)不在运行,则马上将该进程“遗失”的信息存入文件,以备在系统的恢复过程当中,对它们进行针对性的恢复,根据不同的情况,有的需要马上停机,恢复进程,有的则可以现场恢复。


www.beeteam.net  上海臻万信息技术有限公司

posted @ 2010-08-17 16:49 beeteam 阅读(219) | 评论 (0)编辑 收藏

如何选择系统管理工具?

根据调查数据显示,目前微软领先于其他系统管理厂商,超过48%的受访者选择系统中心操作管理器(SCOM)和系统中心虚拟机管理器(SCVMM)这样一些软件。虽然厂商捆绑的概念令许多IT专业人士感到厌恶,但专家仍表示,微软可以对那些Windows服务器厂商产生积极的影响,因为一旦安装了这些软件,监测、维护和环境管理就能实现简化。 

  美国科罗拉多州Kroll Factual Data公司的程序设计技术总监Chris Steffen 表示,“为了将产品整合成监控套件,微软已经做出了巨大的努力”。他说,“我认为,他们完全有理由这么做。”

 

  Parker也同意Steffen的观点。他说,“过去,这些产品最大的问题之一是确定你得到信息的重要性。如果你可以信任微软在这方面的努力,那这可能就是这些产品最大的亮点所在了。”

 

  如何选择合适的系统管理工具,这本身就已是一个很难的问题,更何况企业通常还需要基于当前的环境、业务需求和技术能力对工具进行评估。根据我们的调查数据,82%的IT专业人士认为特性和功能是最重要的选择标准,而50%的受访者认为价格是最重要的因素。其它的选择标准还有:集成度(22%)、易于安装和使用(19%),与工具供应商(15%)之前的关系也是重要的考虑因素。

 

  “对我来说,在互操作性实现之后,系统管理工具用起来非常容易”,Steffen说,“因为我们可以在这个框架上把所需的监控加进去,所以我们正沿着所设定的管理道路向前推进。”

 

  然而,仅仅选择一个系统管理工具是不够的。一个公司必须有实施和使用工具的专业技能,这对小公司而言是一个巨大的技术挑战,因此他们通常会选择较为简单的“点解决方案”。但是,这对许多大企业而言也是一个很棘手的成本问题,因为在所选框架内实现所有的监测目标将相当繁琐复杂。

 

  “如果你完成了所有伤脑筋的设置,那么这很有希望能管理监控环境中你需要的所有信息”,Steffen说,“如果你为多个不同的产品多次设置它,那么这恐怕会是最坏的情况。”

 

  虽然系统管理工具正推动着更强大的一体化和异构性的出现,但在实现过程中您可能需要多种工具,甚至需要为特定的环境提供相应的工具,牢记这一点非常重要。我们的目标不是要展现一个无处不包的工具,而是要选择一个可以完成日常管理工作的工具。例如,系统中心套件上的系统管理工具会覆盖管理员每天都要做的所有基本任务,但对某些无需太多监控和管理的网络交换机而言,使用点工具对其进行管理可能更容易实现。

 

系统管理的未来

 

  专家们希望在未来可以看到更高水平的互操作性,使系统管理产品可以支持数据中心里不断增加的各种设备。微软已经公开了SCOM外部管理包,SCVMM也支持VMware VI3一类的多厂商虚拟化平台,这是两个成功的例子。此外,管理工具最终应提供更多的移动性选择,允许管理员通过移动设备(如iPhone)访问报警系统、仪表及其它细节管理设备。

 

  但系统管理工具中最值得注意的一个方向也许是自动化进程的智能改进,即允许系统管理工具做出更好的决策,并在没有管理员监管和默许的情况下采取行动。


www.beeteam.net 上海臻万信息技术有限公司

posted @ 2010-08-17 16:45 beeteam 阅读(86) | 评论 (0)编辑 收藏

2010年8月12日

从注册表切断一切黑客入侵的路径

在网络给我们的工作学习带来极大方便的同时,病毒、木马、后门以及黑客程序也严重影响着信息的安全。这些程序感染计算机的一个共同特点是在注册表中写入信息,来达到如自动运行、破坏和传播等目的。以下是笔者在网上收集的,通过修改注册表来对付病毒、木马、后门以及黑客程序,保证个人计算机的安全。

1.清理访问“网络邻居”后留下的字句信息

在HEKY_CURRENT_USERNetworkRecent下,删除下面的主键。

2.取消登陆时自动拨号

在 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionNetworkRealModeNet 下修改右边窗口中的“autologon”为“01 00 00 00 00”。

3.取消登录时选择用户

已经删除了所有用户,但登录时还要选择用户,我们要取消登录时选择用户,就要在HKEY_LOCAL_MACHINENetworkLogon 下,在右边的窗口中,修改"UserProfiles"值为"0"。

4.隐藏上机用户登录的名字

在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionWinlogon下在右边的窗口中新建字符串"DontDisplayLastUserName",设值为"1"。

5.预防Acid Battery v1.0木马的破坏

在 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下若在右边窗口中如发现了“Explorer”键值,则说明中了YAI木马,将它删除。

6.预防YAI木马的破坏

在 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下若在右边窗口中如发现了“Batterieanzeige”键值,则说明中了YAI木马,将它删除。

7.预防Eclipse 2000木马的破坏

在 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下若在右边窗口中如发现了“bybt”键值,则将它删除。

然后在 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下删除右边的键值“cksys”,重新启动电脑。

8.预防BO2000的破坏

在 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下若在右边窗口中如发现了“umgr32.exe”键值,则说明中了BO2000,将它删除。

9.预防爱虫的破坏

在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下若在右边窗口中如发现了“MSKernel32”键值,就将它删除。

10.禁止出现IE菜单中“工具”栏里“interner选项”
 
把c:windowssystem下的名为inetcpl.cpl更名为inetcpl.old或则别的名字后就会出现禁止使用的情况把名字再换回来,就可以恢复使用。

11.预防BackDoor的破坏

在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下若在右边窗口中如发现了“Notepad”键值,就将它删除。

12.预防WinNuke的破坏

在HKEY_LOCAL_MACHINESystemCurrentControlSetServicesVxDMSTCP下在右边的窗口中新建或修改字符串“BSDUrgent”,设其值为0。

13.预防KeyboardGhost的破坏

在 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下如发现 KG.EXE这一键值,就将它删除,并查找KG.exe文件和kg.dat文件,将它们都删除。

14.查找NetSpy黑客程序

在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下,在右边的窗口中寻找键"NetSpy",如果存在,就说明已经装有NetSpy黑客程序,把它删除。  


www.beeteam.net

posted @ 2010-08-12 09:16 beeteam 阅读(197) | 评论 (0)编辑 收藏

抵御黑客入侵防护服务器安全的七个技巧

你的服务器上是否存有一些不能随意公开的重要数据呢?当然有吧?而最近,偏偏服务器遭受的风险又特别大,越来越多的病毒、心怀不轨的黑客,以及那些商业间谍都将服务器当作目标。很显然,服务器的安全问题一刻都忽视不得。

  不可能在一篇文章中谈遍电脑安全问题,毕竟,市面上的已有许多这方面的书籍,不过,我倒是可以告诉你七个维护服务器安全的技巧。

  技巧一:从基本做起

  从基本做起是最保险的方式。你必须将服务器上含有机密数据的区域通通转换成NTFS格式;同理,防毒程序也必须按时更新。建议同时在服务器和桌面电脑上安装防毒软件。这些软件还应该设定成每天自动下载最新的病毒定义文件。另外,Exchange Server(邮件服务器)也应该安装防毒软件,这类软件可扫描所有寄进来的电子邮件,寻找被病毒感染的附件,若发现病毒,邮件马上会被隔离,减低使用者被感染的机会。

  另一个保护网络的好方法是依员工上班时间来限定使用者登录网络的权限。例如,上白天班的员工不该有权限在三更半夜登录网络。

  最后,存取网络上的任何数据皆须通过密码登录。强迫大家在设定密码时,必须混用大小写字母、数字和特殊字符。在Windows NT Server Resource Kit里就有这样的工具软件。你还应该设定定期更新密码,且密码长度不得少于八个字符。若你已经做了这些措施,但还是担心密码不安全,你可以试试从网络下载一些黑客工具,然后测试一下这些密码到底有多安全。

  技巧二:保护备份

  大多数人都没有意识到,备份本身就是一个巨大的安全漏洞,怎么说呢?试想,大多数的备份工作多在晚上10点或11点开始,依数据多寡,备份完成后大概也是夜半时分了。现在,想像一下,现在是凌晨四点,备份工作已经结束。有心人士正好可趁此时偷走备份磁盘,并在自己家中或是你竞争对手办公室里的服务器上恢复。不过,你可以阻止这种事情发生。首先,你可利用密码保护你的磁盘,若你的备份程序支持加密功能,你还可以将数据进行加密。其次,你可以将备份完成的时间定在你早上进办公室的时间,这样的话,即使有人半夜想溜进来偷走磁盘的话也无法了,因为磁盘正在使用中;如果窃贼强行把磁盘拿走,他一样无法读取那些损毁的数据。

  技巧三:使用RAS的回拨功能

  Windows NT最酷的功能之一就是支持服务器远端存取(RAS),不幸的是,RAS服务器对黑客来说实在太方便了,他们只需要一个电话号码、一点耐心,然后就能通过RAS进入主机。不过你可以采取一些方法来保护RAS服务器的安全。

  你所采用的技术主要端赖于远端存取者的工作方式。如果远端用户经常是从家里或是固定的地方上网,建议你使用回拨功能,它允许远端用户登录后即挂断,然后RAS服务器会拨出预设的电话号码接通用户,因为此一电话号码已经预先在程序中了,黑客也就没有机会指定服务器回拨的号码了。

  另一个办法是限定远端用户只能存取单一服务器。你可以将用户经常使用到的数据复制到RAS服务器的一个特殊共用点上,再将远端用户的登录限制在一台服务器上,而非整个网络。如此一来,即使黑客入侵主机,他们也只能在单一机器上作怪,间接达到减少破坏的程度。

  最后还有一个技巧就是在RAS服务器上使用“另类”网络协议。很都以TCP/IP协议当作RAS协议。利用TCP/IP协议本身的性质与接受程度,如此选择相当合理,但是RAS还支持IPX/SPX和NetBEUI协议,如果你使用NetBEUI当作RAS协议,黑客若一时不察铁定会被搞得晕头转向.

技巧四:考虑工作站的安全问题

  在服务器安全的文章里提及工作站安全感觉似乎不太搭边,但是,工作站正是进入服务器的大门,加强工作站的安全能够提高整体网络的安全性。对于初学者,建议在所有工作站上使用Windows 2000。Windows 2000是一个非常安全的操作系统,如果你没有Windows 2000,那至少使用Windows NT。如此你便能将工作站锁定,若没有权限,一般人将很难取得网络配置信息。

  另一个技巧是限制使用者只能从特定工作站登录。还有一招是将工作站当作简易型的终端机(dumb terminal)或者说,智慧型的简易终端机。换言之,工作站上不会存有任何数据或软件,当你将电脑当作dumb terminal使用时,服务器必须执行Windows NT 终端服务程序,而且所有应用程序都只在服务器上运作,工作站只能被动接收并显示数据而已。这意味着工作站上只有安装最少的Windows版本,和一份微软Terminal Server Client。这种方法应该是最安全的网络设计方案。

  技巧五:执行最新修补程序

  微软内部有一组人力专门检查并修补安全漏洞,这些修补程序(补丁)有时会被收集成service pack(服务包)发布。服务包通常有两种不同版本:一个任何人都可以使用的40位的版本,另一个是只能在美国和加拿大发行的128位版本。128位的版本使用128位的加密算法,比40位的版本要安全得多。

  一个服务包有时得等上好几个月才发行一次,但要是有严重点的漏洞被发现,你当然希望立即进行修补,不想苦等姗姗来迟的服务包。好在你并不需要等待,微软会定期将重要的修补程序发布在它的FTP站上,这些最新修补程序都尚未收录到最新一版的服务包里,我建议你经常去看看最新修补程序,记住,修补程序一定要按时间顺序来使用,若使用错乱的话,可能导致一些文件的版本错误,也可能造成Windows当机。

  技巧六:颁布严格的安全政策

  另一个提高安全性的方式就是制定一强有力的安全策略,确保每一个人都了解,并强制执行。若你使用Windows 2000 Server,你可以将部分权限授权给特定代理人,而无须将全部的网管权利交出。即使你核定代理人某些权限,你依然可县制其权限大小,例如无法开设新的使用者帐号,或改变权限等。

  技巧七:防火墙,检查,再检查

  最后一个技巧是仔细检查防火墙的设置。防火墙是网络规划中很重要的一部份,因为它能使公司电脑不受外界恶意破坏。

  首先,不要公布非必要的IP地址。你至少要有一个对外的IP地址,所有的网络通讯都必须经由此地址。如果你还有DNS注册的Web服务器或是电子邮件服务器,这些IP地址也要穿过防火墙对外公布。但是,工作站和其他服务器的IP地址则必须隐藏。

  你还可以查看所有的通讯端口,确定不常用的已经全数关闭。例如,TCP/IP port 80是用于HTTP流量,因此不能堵掉这个端口,也许port 81应该永远都用不着吧,所以就应该关掉。你可以在网络上查到每个端口的详细用途。

  服务器安全问题是个大议题,你总不希望重要数据遭病毒/黑客损毁,或被人偷走做为不利你的用途,本文介绍了7个重要的安全检查关卡,你不妨试试看。


www.beeteam.net

posted @ 2010-08-12 09:11 beeteam 阅读(397) | 评论 (0)编辑 收藏

上海臻万信息技术有限公司 专业提供:服务器托管 企业邮局 服务器代维 网络布线 企业网站建设   企业网络运维管理 硬件防火墙  上网行为管理 VPS虚拟主机