服务器安全 老被攻击怎么办

最近发现一些客户机器经常有密码被人修改，或者远程端口连接不上等安全性的问题。

笔者就自己平常的经验来总结一下安全的一些操作，这次主要说服务器，分windows和linux。

windows安全注意事项：

1、远程端口3389修改掉（经常成为扫描肉鸡的扫描端口）

2、杀毒软件，推荐360，
      一般操作：电脑体检，修复漏洞，优化加速优化启动项，快速查杀，
      功能大全有防黑加固，可疑禁用装完系统默认共享的目录，
      有任务管理器可以查看进程那些是正常的，那些是危险的，
      系统急救箱，断网急救箱，强力卸载，文件粉碎机，
3、windows自带防火墙windows firewall
      1.windows2003的系统就添加你需要使用的应用程序或者软件、端口除外，别的都拒绝；
      2.windows2008的系统添加入口和出口规则，主要针对相应端口；

4.启用网卡属性TCPIP筛选，允许相应的端口；

5.修改默认管理员administrator的名字，尽量不要使用通常大家用的admin之类的；

6.修改管理员密码。不求数量，但求复杂。
 不要过于好记的类似：Admin@123、1qaz2wsx、admin123这些都是黑客破解字典的密码所包含的。

7.更改应用程序默认的端口；例如mysql：3306、sqlserver：1433 都可以修改成别的，相应连接开发应用的app之类的连接管道东西。

8.数据库及时备份，及时更新系统补丁。

linux完全注意事项：

1、在尽可能的情况下禁用root远程登录，用普通账户远程登录，然后再切换root进行日常操作。
2、root和其他用户的密码要复杂。
3、修改ssh默认的22端口；
4、使用iptables进行策略控制；
5、关闭没必要的服务，这里涉及到命令chkconfig的使用方法；
 chkconfig --list 列出linux从0到6几个开机模式的各个服务的开机启动或者关闭
 chkconfig --add XXX 添加启动项
 chkconfig --del XXX 删除启动项
 chkconfig --level 35 XXX on/off 指定在第三和第五启动模式中开启或关闭XXX服务
6、修改应用程序默认端口：例如mysql：3306
7、检查/etc/rc.local 有没有异常的启动
8、检查crontab有没有异常的启动

如果已经中毒了：
   windows除了以上windows的操作，msconfig手动检查启动项，禁用可疑的；
       检查C盘目录，目录一般为：C:\Windows ；C:\WindowsC:\Windows\System32；C:\Windows\System32\Tasks；用户桌面目录； 360一般都可以杀出来，再不行就看最新的文件，
       杀完毒，都清理好以后，用户账户和密码，远程端口号都要一一全部修改掉。

   linux除了以上，就得需要命令来查找木马所在地方。
       ps -ef 查看可疑进程
       netstat -an 查看可疑的端口
       top 查看可疑进程利用cpu或者内存的利用率
       强调linux系统中是不可能有.exe或者.bat的文件的，如果有一般都是病毒，别人给你传上去的。

       总结,黑客攻击电脑一般首先都是扫描常用服务的端口，如3389、1433、25、等，如果你修改掉就加强了；然后用户账户、密码一定要复杂，而不能是通用的复杂；再就是软件、网站程序之类的漏洞，例如jsp、asp、php 后门之类的漏洞；目录权限；重点要说，笔者强烈建议不要安装多家厂商的杀毒软件，这样对机器性能不好，杀毒软件好使就行；检查好后系统一定要重启检查是否还存在漏洞。当然重装是最简单的、最好、最安全的办法，但还是建议重装前看看服务器大概出的是什么问题，找找原因。要不然后续问题可能会不断重复。

       最后祝愿大家之后可以使服务器的安全性加强，减少攻击。所谓道高一尺魔高一丈，不断学习，才是王道！

       如有什么不明白的，有什么意见，建议之类的，可以发表评论，笔者希望大家能够共同探讨网络安全。