来源: 互联网  发布时间: 2013-12-24

在长期管理维护服务器系统的过程中，相信许多网络管理人员都总结出了一套行之有效的管理经验，善于使用这些经验技巧可以大幅度提高服务器系统的管理效率。可是，在我们接触了Windows Server 2008服务器系统后，如果再沿袭以前的管理经验来维护Windows Server 2008服务器时，就会发现许多经验已经失效了。为了更好地管理维护Windows Server 2008服务器系统，我们就需要总结挖掘出适合新系统环境下的管理技巧；现在，我们就为各位朋友推荐几则新的服务器管理维护技巧，希望能给各位朋友带来不一样的视觉冲击!

　　1、简化服务器系统登录密码

　　在局域网域工作环境中，任何一位员工要登录进域控制器中时，常常需要输入非常复杂的密码，但许多员工都建议网络管理员尽量将服务器系统的登录密码设置得比较简单一点，因为许多员工平时工作十分繁忙，平时根本记不清楚既有大小写字母又有阿拉伯数字的复杂登录密码；不过，网络管理员准备在Windows Server 2008服务器系统中尝试将密码设置得比较简单一点的时候，服务器系统却弹出提示说禁止创建比较简单的服务器系统登录密码，面对这种错误现象，作为网络管理员的我们该采取什么措施来实现简化服务器系统登录密码的目的呢?

　　其实，出现上面的错误提示，主要就是Windows Server 2008服务器系统对安全性进行了大大强化，可以这样说新版服务器系统的安全性超过了以往任何一个旧版本的服务器系统；要想让Windows Server 2008服务器系统允许我们创建比较简单的登录密码时，我们必须采用手工方法，对该系统环境下的密码策略进行合适修改，下面就是具体的修改步骤：

　　首先以超级管理员权限登录进Windows Server 2008服务器系统，在该系统桌面中打开“开始”菜单，并在系统的“开始”菜单中依次点选“设置”/“控制面板”命令，在弹出的本地服务器系统控制面板窗口中，找到其中的“管理工具”图标，并用鼠标双击该图标，进入服务器系统的管理工具列表界面；

　　其次用鼠标双击其中的“本地安全策略”图标，在其后弹出的本地安全策略窗口中，将鼠标定位于左侧列表区域中的“账户策略”节点选项上，再选中该节点下面的“密码策略”选项，在对应“密码策略”选项的右侧显示区域中，找到“密码必须符合复杂性要求”目标组策略选项，并用鼠标右键单击该选项，从弹出的快捷菜单中执行“属性”命令，打开“密码必须符合复杂性要求”目标组策略选项的属性设置窗口(如图1所示)；

　　

　　在该设置窗口中仔细检查“已禁用”选项有没有被选中，要是发现它还没有被选中的话，我们必须及时将它重新选中，再单击一下该对话框中的“确定”按钮，这么一来我们日后就能在Windows Server 2008服务器系统中设置相对简单一些的系统登录密码了。

    

    来源: 互联网  发布时间: 2013-12-24

因此，现在采用IIS作为Web服务器软件的单位还是很多的。默认情况下，这些服务器必须允许公众访问其资源。但我们发现，许多单位在防御攻击上的时间花费甚至远远多于维护和提供Web服务的时间。

    不过，这里的攻击静悄悄。除非你单位的Web站点成为毁灭性攻击的受害者，或者受到某种恶意代码的注入，一般来说，黑客会以一种不易觉察的方式攻入你的服务器，这是由于服务器可能收到的绝对通信量造成的。不过，你绝对不会无动于衷的，只要稍作设置，就可以为黑客的损害制造点儿麻烦，使其无法隐藏其罪恶，而且对你自己来说，也易于发现其行径。笔者在这儿要介绍的是方法是要对你的Web服务器的日志文件增加点儿安全性。

    如果一个黑客攻击你的Web服务器，或者即使你只是想检查一下其安全状态，那么Web日志将成为你查找信息的首选。默认情况下，你可以在%SYSTEMROOT%/System32/logfiles处找到这些日志文件。

    不过，这个位置众所周知，已成众矢之的，因此你应该将日志文件移到一个非系统驱动器上，这个驱动器并没有保存、维护你的Web站点。要改变日志文件的位置，你需要先以管理员身份登录到Web服务器上，你可以遵循如下的步骤：

    1. 单击“开始”，找到“我的电脑”,右击，选择“资源管理器”。

    2. 找到你想重新放置日志文件的驱动器和文件夹。

    3. 也可以在右侧的窗口窗格中右击，选择“新建文件夹”

    4. 为此新文件夹起一个名字(例如，zclIISlogs)，并按下回车键

    5. 单击“开始”/“控制面板”，单击“管理工具”，单击“Internet信息服务(IIS)管理器”如图：

    6. 在你的web站点上右击，选择“属性”，如图：

    7. 在“网站”选项卡上，单击“活动日志格式”后的“属性”按钮，弹出下面的窗口，如图：

    在“日志文件目录”下，找到并单击“浏览”按钮，找到刚才创建的用于存储IIS日志文件的文件夹。如图：

    8. 单击三次“确定”。

    如果用户有多个站点，就需要为每一个站点重复这些步骤。不过，不要忘了你需要手动将以前的日志文件从原来的位置移动到新的文件夹。

    既然日志文件已经有了新的位置，你需要为这个目录分配恰当的许可权限。请遵循下面的步骤：

    1. 在刚才创建的文件夹上右击，选择“属性”。

    2. 单击“安全”选项卡,如图：

    单击“高级”按钮，弹出新的对话框。

3. 如图，取消选择“允许父项的继承权限传播到该对象和所有子对象。”

    4. 这时候会弹出一个警告窗口：如图，

    单击“清除”。

    5. 单击“添加”按钮，如图：

    单击“高级”按钮，弹出下图：

    选择“administrators”系统管理员账户，单击“确定”。

    6. 单击“administrators”，将其设置为“完全控制”。

    单击“确定”即可。

    结束语

    日志文件可以成为我们研究那些试图捣毁Web服务器事件的唯一途径。我们应该改变其位置，对其进行监视，并且能够每天将其传输到一个远离站点的新位置。

    

    来源: 互联网  发布时间: 2013-12-24

在这里，我为大家介绍一下两种常见的网页服务器中最重要的记录文件，分析服务器遭到攻击后，黑客在记录文件中会留下什么记录。目前最常见的网页服务器有两种：Apache和微软的Internet Information Server（简称IIS），这两种服务器都有一般版本和SSL认证版本。本文将使用和现实黑客的攻击手段类似的攻击方法去测试服务器并分析相关文件，有条件的朋友可在自己的机器上测试。
IIS的预设记录文件地址在C:\winnt\system32\logfiles\w3svc1目录下，文件名是当天的日期，如yymmdd.log，系统会每天产生新的记录文件。预设的格式是W3C延伸记录文件格式（W3C Extended Log File Format），很多相关软件都可以分析这种格式的档案。记录文件在预设的状况下会记录时间、客户端IP地址、Method（GET、POST等）、URI stem（要求的资源）和HTTP状态（数字状态代码）。这些字段大部分都一看就懂，只是HTTP状态需要有大概的了解。

小知识：一般而言，如果代码是在200到299代表成功。常见的200状态码代表符合客户端的要求；300到399代表必须由客户端采取动作才能满足所提出的要求；400到499和500到599代表客户端和服务器有问题。最常见的状态代码有两个，一个是404，代表客户端要求的资源不在服务器上，403代表的是所要求的资源拒绝服务。

Apache记录文件的预设储存位置在/usr/local/apache/logs，最有价值的记录文件是Access_log，不过 SSL_request_log和SSL_engine_log也能提供有用的资料。 Access_log记录文件有七个字段，包括客户端IP地址、特殊人物识别符、用户名称、日期、Method Resource Protocol（GET、POST等；要求哪些资源；协议版本）、HTTP状态、还有传输的字节。

常规探测手段的记录分析
网页服务器版本是很重要的信息，黑客一般先向网页服务器提出要求，让服务器送回本身的版本信息：只要把「HEAD / HTTP/1.0」这个字符串用常见的Netcat utility（相关资料网址http://www.l0pht.com/~weld/netcat/）和OpenSSL binary（相关资料网址http://www.openssl.org/）送到开放服务器的通讯端口就成了。注意看下面的示范：

C:>nc -n 10.0.2.55 80
HEAD / HTTP/1.0
HTTP/1.1 200 OK
Server: Microsoft-IIS/4.0
Date: Sun, 08 Mar 2004 14:31:00 GMT
Content-Type: text/html
Set-Cookie: ASPSESSIONIDGQQQQQPA=IHOJAGJDECOLLGIBNKMCEEED; path=/
Cache-control: private

　　这种形式的要求在IIS和Apache的记录文件中会生成以下记录：

IIS: 15:08:44 11.1.2.80 HEAD /Default.asp 200
Linux: 11.1.2.80 - - [08/Mar/2004:15:56:39 -0700] "HEAD / HTTP/1.0" 200 0

　　虽然这类要求合法，看似很平常，不过却常常是网络攻击的前奏曲。Access_log和IIS的记录文件没有表明这个要求是连到SSL服务器还是一般的网页服务器，可是Apache的 SSL_request_log和SSL_engine_log（在/usr/local/apache/logs目录下）记录文件就会记录是否有联机到SSL服务器。请看以下的SSL_request_log记录文件：

[07/Mar/2004:15:32:52 -0700] 11.1.1.50 SSLv3 EDH-RSA-DES-CBC3-SHA "HEAD / HTTP/1.0" 0

　　第三和第四个字段表示客户端使用的是哪种加密方式，以下的SSL_request_log分别记录从OpenSSL、Internet Explorer和Netscape客户端程序发出的要求：
[07/Mar/2004:15:48:26 -0700] 11.1.1.50 SSLv3 EDH-RSA-DES-CBC3-SHA "GET / HTTP/1.0" 2692
[07/Mar/2004:15:52:51 -0700] 10.0.2.55 TLSv1 RC4-MD5 "GET / HTTP/1.1" 2692
[07/Mar/2004:15:54:46 -0700] 11.1.1.50 SSLv3 EXP-RC4-MD5 "GET / HTTP/1.0" 2692
[07/Mar/2004:15:55:34 –0700] 11.1.2.80 SSLv3 RC4-MD5 “GET / HTTP/1.0” 2692
     另外黑客通常会复制目标网站，也就是所谓的镜射网站，用它来取得发动攻击所需要的信息。网页原始码中的批注字段常有目录、文件名甚至密码的有用资料。复制网站常用的工具包括窗口系统的Teleport Pro（网址http://www.tenmax.com/teleport/pro/home.htm）和Unix系统的Wget（网址http://www.gnu.org/manual/wget/）。在这里我为大家分析Wget和TeleportPro这两个软件攻击网页服务器后记录文件中的内容：这两个软件能全面快速搜寻整个网站，对所有公开的网页提出要求。只要检查一下记录文件就知道，要知道这是镜射这个动作是很简单的事。以下是IIS的记录文件：

16:28:52 11.1.2.80 GET /Default.asp 200
16:28:52 11.1.2.80 GET /robots.txt 404
16:28:52 11.1.2.80 GET /header_protecting_your_privacy.gif 200
16:28:52 11.1.2.80 GET /header_fec_reqs.gif 200
16:28:55 11.1.2.80 GET /photo_contribs_sidebar.jpg 200
16:28:55 11.1.2.80 GET /g2klogo_white_bgd.gif 200
16:28:55 11.1.2.80 GET /header_contribute_on_line.gif 200

这里的11.1.2.80这个主机是Unix系统的客户端，是用Wget软件发出请求。
16:49:01 11.1.1.50 GET /Default.asp 200
16:49:01 11.1.1.50 GET /robots.txt 404
16:49:01 11.1.1.50 GET /header_contribute_on_line.gif 200
16:49:01 11.1.1.50 GET /g2klogo_white_bgd.gif 200
16:49:01 11.1.1.50 GET /photo_contribs_sidebar.jpg 200
16:49:01 11.1.1.50 GET /header_fec_reqs.gif 200
16:49:01 11.1.1.50 GET /header_protecting_your_privacy.gif 200
这里的11.1.1.50系统是窗口环境的客户端，用的是TeleportPro发出的请求。

　　小提示：以上两个主机都要求Robots.txt这个文档，其实这个档案是网页管理员的工具，作用是防止Wget和TeleportPro这类自动抓文件软件对某些网页从事抓取或搜寻的动作。如果有人提出Robots.txt档的要求，常常代表是要镜射整个网站。但TeleportPro和Wget这两个软件都可以把要求Robots.txt这个文件的功能取消。

黑客还可以用网页漏洞稽核软件Whisker（网址http://www.wiretrip.net/）来侦查网页服务器有没有安全后门。以下是IIS和Apache网页服务器在执行Whisker后产生的部分记录文件：

IIS：
13:17:56 11.1.1.50 GET /SiteServer/Publishing/viewcode.asp 404
13:17:56 11.1.1.50 GET /msadc/samples/adctest.asp 200
13:17:56 11.1.1.50 GET /advworks/equipment/catalog_type.asp 404
13:17:56 11.1.1.50 GET /iisadmpwd/aexp4b.htr 200
13:17:56 11.1.1.50 HEAD /scripts/samples/details.idc 200
13:17:56 11.1.1.50 GET /scripts/samples/details.idc 200
13:17:56 11.1.1.50 HEAD /scripts/samples/ctguestb.idc 200
13:17:56 11.1.1.50 GET /scripts/samples/ctguestb.idc 200
13:17:56 11.1.1.50 HEAD /scripts/tools/newdsn.exe 404
13:17:56 11.1.1.50 HEAD /msadc/msadcs.dll 200
13:17:56 11.1.1.50 GET /scripts/iisadmin/bdir.htr 200
13:17:56 11.1.1.50 HEAD /carbo.dll 404
13:17:56 11.1.1.50 HEAD /scripts/proxy/ 403
13:17:56 11.1.1.50 HEAD /scripts/proxy/w3proxy.dll 500
13:17:56 11.1.1.50 GET /scripts/proxy/w3proxy.dll 500

Apache：
11.1.1.50 - - [08/Mar/2004:12:57:28 -0700] "GET /cfcache.map HTTP/1.0" 404 266
11.1.1.50 - - [08/Mar/2004:12:57:28 -0700] "GET /cfide/Administrator/startstop.html HTTP/1.0" 404 289
11.1.1.50 - - [08/Mar/2004:12:57:28 -0700] "GET /cfappman/index.cfm HTTP/1.0" 404 273
11.1.1.50 - - [08/Mar/2004:12:57:28 -0700] "GET /cgi-bin/ HTTP/1.0" 403 267
11.1.1.50 - - [08/Mar/2004:12:57:29 -0700] "GET /cgi-bin/dbmlparser.exe HTTP/1.0" 404 277
11.1.1.50 - - [08/Mar/2004:12:57:29 -0700] "HEAD /_vti_inf.html HTTP/1.0" 404 0
11.1.1.50 - - [08/Mar/2004:12:57:29 -0700] "HEAD /_vti_pvt/ HTTP/1.0" 404 0
11.1.1.50 - - [08/Mar/2004:12:57:29 -0700] "HEAD /cgi-bin/webdist.cgi HTTP/1.0" 404 0
11.1.1.50 - - [08/Mar/2004:12:57:29 -0700] "HEAD /cgi-bin/handler HTTP/1.0" 404 0
11.1.1.50 - - [08/Mar/2004:12:57:29 -0700] "HEAD /cgi-bin/wrap HTTP/1.0" 404 0
11.1.1.50 - - [08/Mar/2004:12:57:29 -0700] "HEAD /cgi-bin/pfdisplay.cgi HTTP/1.0" 404 0

　　大家要侦测这类攻击的关键就在于从单一IP地址发出大量的404 HTTP状态代码。只要注意到这类信息，就可以分析对方要求的资源，于是它们就会拼命要求提供Cgi-bin scripts（Apache服务器的cgi-bin目录；IIS服务器的Scripts目录）。

　　网页如果被人探访过，总会在记录文件留下什么线索。如果网页管理员警觉性够高，应该会把分析记录文件作为追查线索，并且在检查后发现网站真的有漏洞时，就能预测会有黑客攻击网站。

直接攻击及记录分析
　　接下来我要向大家示范两种常见的网页服务器攻击方式，分析服务器在受到攻击后黑客在记录文件中痕迹。

1．MDAC攻击

　　MDAC攻击法可以让网页的客户端在IIS网页服务器上执行命令。如果有人开始攻击IIS服务器，记录文件就会记下客户端曾经呼叫Msadcs.dll文档：

17:48:49 12.1.2.8 GET /msadc/msadcs.dll 200
17:48:51 12.1.2.8 POST /msadc/msadcs.dll 200

2．利用原始码漏洞

　　第二种攻击方式也很普遍，就是会影响ASP和Java网页的暴露原始码漏洞。古老的安全漏洞是+.htr臭虫，这个BUG会显示ASP原始码。如果有人利用这个漏洞攻击，就会在IIS的记录文件里面留下这些线索：

17:50:13 11.1.2.80 GET /default.asp+.htr 200

3．权限问题
　　网页常会只让有权限的使用者进入，接下来我们要让各位看 Apache的Access_log记录文件会在登录失败时留下什么线索：

12.1.2.8 - user [08/Mar/2004:18:58:29 -0700] "GET /private/ HTTP/1.0" 401 462

第三栏里面的使用者名称是「user」。还有要注意HTTP的状态代号是401，代表非法存取。

Apache和IIS的类比和相关的攻击与记录就分析到这里，这里只是引用了几个比较常见的，同时又能体现出两者差异和共同点的例子，大家完全可以根据自己喜欢的方式去测试服务器，比如现在流行的SQL注入和上传漏洞等，相信这样才能真正做到攻防对抗！