如何做好 Web 服务器的日常维护Web 服务器的日常维护是网管的一项重要工作,主要工作有:入侵检测、数据备份、服务器优化、常见故障处理以及日志安排等一系统日常维护,服务器管理工作必须规范严谨一、入侵检测和数据备份(一)入侵检测工作作为服务器的日常管理,入侵检测是一项非常重要的工作,在平常的检测过程中,主要包含日常的服务器安全例行检查和遭到入侵时的入侵检查,也就是分为在入侵进行时的安全检查和在入侵前后的安全检查系统的安全性遵循木桶原理,木桶原理指的是:一个木桶由许多块木板组成, 如果组成木桶的这些木板长短不一,那么这个木桶的最大容量不取决于长的木板, 而取决于最短的那块木板应用到安全方面也就是说系统的安全性取决于系统中最脆弱的地方,这些地方是日常的安全检测的重点所在日常的安全检测日常安全检测主要针对系统的安全性,工作主要按照以下步骤进行:1、查看服务器状态:打开进程管理器,查看服务器性能,观察CPU 和内存使用状况查看是否有CPU 和内存占用过高等异常情况2、检查当前进程情况切换 “ 任务管理器 ” 到进程,查找有无可疑的应用程序或后台进程在运行用进程管理器查看进程时里面会有一项taskmgr,这个是进程管理器自身的进程。
如果正在运行windows更新会有一项wuauclt.exe 进程对于拿不准的进程或者说不知道是服务器上哪个应用程序开启的进程,可以在网络上搜索一下该进程名加以确定进程知识库:http:/ 通常的后门如果有进程的话,一般会取一个与系统进程类似的名称,如 svch0st.exe,此时要仔细辨别通常迷惑手段是变字母o 为数字 0,变字母l 为数字 1 3、检查系统帐号打开计算机管理,展开本地用户和组选项,查看组选项,查看administrators 组是否添加有新帐号,检查是否有克隆帐号4、查看当前端口开放情况使用 activeport,查看当前的端口连接情况,尤其是注意与外部连接着的端口情况,看是否有未经允许的端口与外界在通信如有, 立即关闭该端口并记录下该端口对应的程序并记录,将该程序转移到其他目录下存放以便后来分析打开计算机管理=软件环境 =正在运行任务 在此处可以查看进程管理器中看不到的隐藏进程,查看当前运行的程序,如果有不明程序, 记录下该程序的位置,打开任务管理器结束该进程,对于采用了守护进程的后门等程序可尝试结束进程树,如仍然无法结束, 在注册表中搜索该程序名,删除掉相关键值,切换到安全模式下删除掉相关的程序文件。
5、检查系统服务运行 services.msc,检查处于已启动状态的服务,查看是否有新加的未知服务并确定服务的用途 对于不清楚的服务打开该服务的属性,查看该服务所对应的可执行文件是什么,如果确定该文件是系统内的正常使用的文件,可粗略放过 查看是否有其他正常开放服务依存在该服务上, 如果有, 可以粗略的放过如果无法确定该执行文件是否是系统内正常文件并且没有其他正常开放服务依存在该服务上,可暂时停止掉该服务,然后测试下各种应用是否正常对于一些后门由于采用了hook 系统 API 技术,添加的服务项目在服务管理器中是无法看到的,这时需要打开注册表中的HKEY_LOCAL_MACHINESYSTEM CurrentControlSet Services项进行查找, 通过查看各服务的名称、对应的执行文件来确定是否是后门、木马程序等6、查看相关日志运行 eventvwr.msc,粗略检查系统中的相关日志记录在查看时在对应的日志记录上点右键选 “ 属性 ” ,在 “ 筛选器 ” 中设置一个日志筛选器,只选择错误、警告,查看日志的来源和具体描述信息 对于出现的错误如能在服务器常见故障排除中找到解决办法则依照该办法处理该问题,如果无解决办法则记录下该问题,详细记录下事件来源、ID 号和具体描述信息,以便找到问题解决的办法。
7、检查系统文件主要检查系统盘的exe和 dll 文件,建议系统安装完毕之后用dir *.exe /s 1.txt 将 C 盘所有的 exe文件列表保存下来,然后每次检查的时候再用该命令生成一份当时的列表,用fc比较两个文件,同样如此针对dll 文件做相关检查需要注意的是打补丁或者安装软件后重新生成一次原始列表 检查相关系统文件是否被替换或系统中是否被安装了木马后门等恶意程序必要时可运行一次杀毒程序对系统盘进行一次扫描处理8、检查安全策略是否更改打开本地连接的属性,查看“ 常规 ” 中是否只勾选了“ TCP/IP 协议 ” ,打开 “ TCP/IP ”协议设置,点 “ 高级 ”= “ 选项 ” ,查看 “IP 安全机制 ” 是否是设定的IP 策略,查看 “TCP/IP”筛选允许的端口有没有被更改打开“ 管理工具 ”=“ 本地安全策略 ” ,查看目前使用的IP 安全策略是否发生更改9、检查目录权限重点查看系统目录和重要的应用程序权限是否被更改需要查看的目录有c:; c:winnt; C:winntsystem32; c:winntsystem32/inetsrv; c:winntsystem32/inetsrvdata; c:documents and Settings; 然后再检查serv-u 安装目录,查看这些目录的权限是否做过变动。
检查system32 下的一些重要文件是否更改过权限,包括:cmd,net,ftp,tftp ,cacls等文件10、检查启动项主要检查当前的开机自启动程序可以使用AReporter 来检查开机自启动的程序发现入侵时的应对措施对于即时发现的入侵事件,以下情况针对系统已遭受到破坏情况下的处理,系统未遭受到破坏或暂时无法察觉到破坏,先按照上述的检查步骤检查一遍后再酌情考虑以下措施系统遭受到破坏后应立即采取以下措施:视情况严重决定处理的方式,是通过远程处理还是通过实地处理如情况严重建议采用实地处理 如采用实地处理,在发现入侵的第一时间通知机房关闭服务器,待处理人员赶到机房时断开网线,再进入系统进行检查如采用远程处理,如情况严重第一时间停止所有应用服务,更改IP 策略为只允许远程管理端口进行连接然后重新启动服务器,重新启动之后再远程连接上去进行处理,重启前先用AReporter 检查开机自启动的程序然后再进行安全检查以下处理措施针对用户站点被入侵但未危及系统的情况,如果用户要求加强自己站点的安全性,可按如下方式加固用户站点的安全:站点根目录 -只给 administrator 读取权限,权限继承下去。
wwwroot - 给 web 用户读取、写入权限高级里面有删除子文件夹和文件权限logfiles- 给 system写入权限database-给 web 用户读取、写入权限高级里面没有删除子文件夹和文件权限如需要进一步修改,可针对用户站点的特性对于普通文件存放目录如html、js、图片文件夹只给读取权限,对 asp等脚本文件给予上表中的权限另外查看该用户站点对应的安全日志,找出漏洞原因,协助用户修补程序漏洞二)数据备份和数据恢复数据备份工作大致如下:1、每月备份一次系统数据2、备份系统后的两周单独备份一次应用程序数据,主要包括IIS、serv-u、数据库等数据3、确保备份数据的安全,并分类放置这些数据备份因基本上采用的都是全备份方法,对于数据的保留周期可以只保留该次备份和上次备份数据两份即可数据恢复工作:1、系统崩溃或遇到其他不可恢复系统正常状态情况时,先对上次系统备份后发生的一些更改事件如应用程序、安全策略等的设置做好备份,恢复完系统后再恢复这些更改2、应用程序等出错采用最近一次的备份数据恢复相关内容二、服务器性能优化1、整理系统空间:删除系统备份文件,删除驱动备份,刪除不用的输入法,刪除系统的帮助文件,卸载不常用的组件。
最小化C 盘文件2、性能优化:删除多余的开机自动运行程序;减少预读取,减少进度条等待时间;让系统自动关闭停止响应的程序;禁用错误报告,但在发生严重错误时通知;关闭自动更新,改为手动更新计算机;启用硬件和DirectX 加速;禁用关机事件跟踪;禁用配置服务器向导;减少开机磁盘扫描等待时间;将处理器计划和内存使用都调到应用程序上;调整虚拟内存;内存优化;修改 cpu的二级缓存;修改磁盘缓存IIS 性能优化1、调整 IIS 高速缓存HKEY_LOCAL_MACHINE SystemCurrentControlSetServicesInetInfoParametersMemoryCacheSize MemoryCacheSize的范围是从 0 道 4GB,缺省值为3072000(3MB )一般来说此值最小应设为服务器内存的10%IIS 通过高速缓存系统句柄、目录列表以及其他常用数据的值来提高系统的性能这个参数指明了分配给高速缓存的内存大小如果该值为0,那就意味着 “ 不进行任何高速缓存” 在这种情况下系统的性能可能会降低如果你的服务器网络通讯繁忙,并且有足够的内存空间,可以考虑增大该值必须注意的是修改注册表后,需要重新启动才能使新值生效。
2、不要关闭系统服务: “ Protected Storage”3、对访问流量进行限制(1)对站点访问人数进行限制(2)站点带宽限制保持HTTP 连接3)进程限制 , 输入 CPU 的耗用百分比4、提高 IIS 的处理效率应用程序设置” 处的 “ 应用程序保护” 下拉按钮, 从弹出的下拉列表中,选中 “ 低 ( IIS 进程)”选项 ,IIS 服务器处理程序的效率可以提高20%左右但此设置会带来严重的安全问题,不值得推荐5、将 IIS 服务器设置为独立的服务器(1)提高硬件配置来优化IIS 性能硬盘:硬盘空间被NT 和 IIS 服务以如下两种方式使用:一种是简单地存储数据;另一种是作为虚拟内存使用如果使用Ultra2 的 SCSI 硬盘,可以显著提高IIS 的性能(2)可以把 NT 服务器的页交换文件分布到多个物理磁盘上,注意是多个“ 物理磁盘 ” ,分布在多个分区上是无效的另外, 不要将页交换文件放在与WIndows NT 引导区相同的分区中(3)使用磁盘镜像或磁盘带区集可以提高磁盘的读取性能(4)最好把所有的数据都储存在一个单独的分区里然后定期运行磁盘碎片整理程序以保证在存储Web 服务器数据的分区中没有碎片。
使用NTFS 有助于减少碎片推荐使用Norton 的 Speeddisk,可以很快的整理NTFS 分区6、起用 HTTP 压缩HTTP 压缩是在Web 服务器和浏览器间传输压缩文本内容的方法HTTP 压缩采用通用的压缩算法如gzip 等压缩 HTML 、 Javas cript 或 CSS文件可使用pipeboost进行设置7、起用资源回收使用 IIS5 Recycle 定时回收进程资源三、服务器常见故障排除1、 ASP “ 请求的资源正在使用中” 的解决办法:该问题一般与杀毒软件有关,在服务器上安装个人版杀毒软件所致出现这种错误可以通过卸载杀毒软件解决,也可尝试重新注册vbs cript.dll 和 jscript.dll 来解决,在命令行下运行: regsvr32 vbscript.dll 和 regsvr32 jscript.dll 即可2、 ASP500 错误解决办法:首先确定该问题是否是单一站点存在还是所有站点存在,如果是单一站点存在该问题,则是网站程序的问题,可打开该站点的错误提示,把IE 的“ 显示友好HTTP 错误 ” 信息取消,查看具体错误信息,然后对应修改相关程序如是所有站点存在该问题,并且HTML 页面没有出现该问题,相关日志出现“ 服务器无法加载应用程序,/LM/W3SVC/1/ROOT,。
错误是,不支持此接口 , ” 那十有八九是服务器系统中的ASP 相关组件出现了问题,重新启动IIS服务, 尝试是否可以解决该问题,无法解决重新启动系统尝试是否可解决该问题,如无法解决可重新修复一下ASP 组件:首先删除com 组件中的关于。