這2天被勒索病毒鬧的沸沸揚揚,很遺憾沒有看到中毒的機器什麼樣,看了新聞才知道,這是種廣播式的病毒,通過445漏洞入侵,主要入侵的版本是WIN10以下的系統,包括WIN2008。
碰巧這時候,單位小機房多臺服務器有被認為入侵的痕跡,今天就說說我是如何簡單防範黑客入侵的。平時都在寫代碼維護系統等,沒太多時間關注服務器,那麼LINUX服務器機房就一臺,安裝的系統也就是個PHP網站,是AWS主機開了防火牆,基本不需要做什麼安全設置,所以就談談WIN2008吧。也很簡單,高手可以路過了。
首先下載個小工具,ScanPort,大概看一下服務器有沒有被入侵。
那麼掃描對應的服務器IP地址,假設你的服務器是內網 192.168.1.1 ,一般情況下都是外網IP地址
如果掃描結果裡有很多奇怪的端口:40001,40002等等,可以判斷被入侵。一般正常的情況WEB服務器都是80,33891433等等常用端口。
如果服務器已經被入侵,請及時開啟防火牆,修改遠程桌面端口3389,然後防火牆只允許該端口通過。殺毒後修改密碼。這只是防止黑客再登錄你的服務器,並不是真正的解決問題,最好的方式還是重新裝系統,然後檢查WEB網站的漏洞等等。
那麼沒有被入侵的情況,我們按照下面的方式,來簡單的防範黑客被入侵。
1、開啟防火牆
2、修改3389遠程桌面端口
首先打開註冊表:運行--cmd--regedit:
找到註冊表:
1, HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\Wds\Repwd\Tds\Tcp
2, HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-TCP
這裡有一個:PortNumber,雙擊打開,以十進制顯示:3389,修改成55555,保存刷新註冊表;
這裡注意,修改的端口號必須小於 65535
3、windows防火牆高級安全設置裡,新建入站規則,允許55555端口,其它的規則都可以禁用了。
4、開啟80端口,也就是網站端口,或者你的應用需要的其它端口號即可。
5、windows 2008 在線升級,升級後可以避免一些高級軟硬件通過系統漏洞直接入侵。
最後用 ScanPort 掃描一下,如果只有你開啟的端口,那麼簡單的防範入侵完畢了。
最後提醒大家,密碼不要太簡單,也用不著太複雜,然後自己都忘記了,就尷尬了。現在通過windows弱口令入侵幾乎很少,一般都是通過sqlserver弱口令,或者mysql弱口令,還有就是web網站的漏洞,上傳漏洞,sql注入漏洞等等。 最難防範的就是web網站本身的漏洞,因為IIS裡的網站可能會很多很雜,很難判斷哪些代碼有漏洞。所以有條件的可以用專業的web網站漏洞掃描軟件或者硬件來評估一下自己的服務器。
我是大桔子哥哥,業餘運維歡迎您來噴~~~