对外发包检查-培训-20111028

关于服务器发包处理流程•以下简单说明服务器关于发包的处理流程步骤：•1接到监控部门故障工单，首先断网2断网之后及时通知客户3客户将服务器账号密码以工单形式提交，获取相关信息后，及时登陆服务器，对服务器做相关检查4检查完毕，生成检查报告(使用新的检查报告模板)，检查完后所有检查报告以附件形式上传至工作站相关记录5服务器检查报告发送至监控值班工作人员之后，等待监控部门处理通知，并将监控部门处理意见反馈至客户处理流程•接到网络监控部门的故障受理工单（对外发包），•1首先看到的是在故障类型栏目中选择的是断网，通过此IP在网站后台查询该VPS所在宿主机，打开VC控制台，找到该VPS，选择编辑设置，将网络适配器取消连接“确定”即可处理流程处理流程•2完成断网后，根据工单下的客户联系方式及时电话联系并通知客户，通过电话向客户解释断网原因，并向客户索取服务器账号以及密码（以工单形式提交），方便登陆服务器检查原因。联系客户完毕，将此问题在工作站上做记录（方便其他同事受理客户工单时更加快捷知道断网的原因）•（备注：如果电话联系不上客户，需在工作站上注明是否同客户取得联系并说明断网缘由）处理流程•3客户将服务器账号密码以工单形式提交，获取相关信息后，及时登陆服务器，对服务器做相关检查•主要检查内容：（1）系统帐号（2）系统木马（3）黑客工具（端口扫描木马程序ARP挂马工具）（1）系统帐号•在这个时候首先你要检查你的用户，当多了一些从来没有的帐号或GUEST被激活那肯定是有黑客进入了，但无这个现象的时候也要检查是否有隐藏用户，现在黑客进入你主机后会建立一个隐藏用户，特征为用户名带$符号，检查方法为：点开始——运行，输入regedit，选择HKEY_LOCAL_MACHINE，点SAM——SAM，默认是看不到下面的内容，这个时候点到SAM，点安全——权限，选择administrator权限为完全控制，确定。然后点开始——运行，输入regedit，选择HKEY_LOCAL_MACHINE\SAM\SAMDomainsAccountUsersNames，下面显示的就是你的机子的所有用户名，如出现带$符号的用户，立即删除，这样就可以确保你主机没有非法用户了（1）系统帐号•一般来说：黑客成功入侵服务器之后，在离开服务器之前都会做善后处理，清理自己的登陆历史；包括相关系统日志，不过几乎很少黑客这样去做，通常在C:\DocumentsandSettings目录下都会发现系统账号的登陆信息，甚至是在服务器上做过什么操作，都可以详细查看。（2）系统木马•在你服务开启以后，进入DOS界面，输入netstat-an,下面显示的就是你主机的所有连接，查看是否有你所不熟悉的端口连接，例如一些著名的木马端口：木马冰河7626、黑洞2004、灰鸽子8225等等，不过现在的一些木马都可以自定义端口了，所以看到不熟悉的端口连接都要小心了，如没发现有特殊的端口连接也不表示你就没有中木马，这个时候就要输入netstat-A，查看TCP端口里的LISTENING，那些端口都是等待连接的端口，同样发现特殊的就要小心了。（2）系统木马•如何发现自己有没有中木马呢？这就要你在任务管理器里看进程了，木马都是注册为服务后台运行的，这时候你可能会问进程里有很多程序名啊，分不清哪些是正常的，这里我会在下面提供所有正常运行的程序的解释，大家对照看就行了，如果不在下面的解释里的程序，那就有可能是木马，例如现在的ANGEL后门，它在进程里就为angel.exe，当发现不知道的程序名的时候，很简单你在C盘下搜索该名字，那么就会找到它所在的文件夹，而即使发现它所在文件夹，为何又删除不了在进程里也不让结束呢？因为它已经注册为服务，只有在你的服务里把它先停止掉，才可以删除，例如ANGEL后门这个，你进入服务后就可以找到它，把它停止再卸载就可以了（2）系统木马（3）黑客工具（端口扫描木马程序ARP挂马工具）•常见的黑客工具包括：端口扫描工具（常见：135端口445端口1433端口3306端口3389端口）如果客户的服务器开放这些端口，都会被黑客使用扫描工具进行扫描，进而获取相关权限，达到入侵服务器的目的•木马程序（常见冰河木马灰鸽子特洛伊木马）（3）黑客工具（端口扫描木马程序ARP挂马工具）（3）黑客工具（端口扫描木马程序ARP挂马工具）（3）黑客工具（端口扫描木马程序ARP挂马工具）•ARP挂马工具（服务器感染ARP病毒之后，通常冒充网关地址，对同一网段内的其他服务器发送arp欺骗包，导致局域网内部服务器无法连接网络），发现此类中ARP机器，接到通知后应立即断网。断网后及时联系客户清理此类病毒，由于ARP病毒系系统病毒，一般清理难度较大，通常建议客户通过系统视图备份一下服务器系统盘以及桌面上的重要数据，重新安装一下操作系统。（3）黑客工具（端口扫描木马程序ARP挂马工具）待客户操作系统安装完成后，及时联网即可。在此期间，需要将相关操作信息在工作站上做详细记录并说明。处理流程•4检查完毕，生成检查报告(使用新的检查报告模板)，检查完后所有检查报告以附件形式上传至230.4相关记录最后处理过的同事负责填写处理结果并将服务器检查报告发送至监控值班和主管。处理流程5服务器检查报告发送至监控值班工作人员之后，等待监控部门处理通知，并将监控部门处理意见反馈至客户。