1、拒絕不明服務的啟動
某天發現服務器突然變得“反應遲鈍”了,這是怎麼回事呢?出現這種現象,多半是非法攻擊者通過入侵服務器系統在服務器中啟用了某個特殊的網絡服務,如果不及時停止,服務器系統資源很快就會消耗殆盡。
其實,利用Windows 2000 Server系統內置的“net start”命令,你就可以清楚地知道當前系統開啟了哪些服務並及時禁止來路不明的服務。先打開系統的運行對話框,然後在其中輸入“cmd”命令,單擊回車鍵後,屏幕將會被切換到MS-DOS狀態。在DOS命令行下,你可以直接執行“net start”命令,隨後系統將自動把當前已經啟動的服務都列出來(如圖1所示);仔細檢查有哪些服務屬於來歷不明的,然後在命令行中執行“net stop server”命令(其中Server就是具體的某項不明服務),將該不明服務暫時停止掉。
2、強行指定密碼策略
為防止登錄服務器的賬號被其他不法分子“盜竊”,你可以利用“net accounts”命令,來強制登錄用戶改變不良的密碼使用習慣。例如“強迫”密碼的位數最少不能少於幾位,“強迫”用戶必須定期更改密碼。
例如要求服務器登錄用戶創建訪問賬號時密碼的位數不少於6位,可以直接在DOS命令行中輸入“Net Accounts /MinPWLen:6”命令,單擊回車鍵後,新賬號的密碼位數都將被“強迫”不少於6位數。
如果要“強迫”用戶必須在指定時間內及時修改密碼的話,可以執行如下命令“Net Accounts /minpwage:n”(其中n為具體的天數);例如,要求用戶每隔6天就要修改一次密碼的話,只要執行“Net Accounts /minpwage:6”就可以了。如果要指定用戶在某一時間段內必須修改密碼的話,可以執行“Net Accounts /minpwage:n1 /maxpwage:n2”命令,其中“n1”為最少需要多少天,“n2”為最多需要多少天。
3、檢查誰在暗中連接
倘若你懷疑自己的服務器已經被黑客偷偷“種”上了木馬程序,或者懷疑服務器系統已經感染上了病毒,但手頭暫時又沒有專業的木馬或病毒查殺工具時,你完全可以通過Windows 2000 Server系統內置的網絡命令“netstat”,來檢查究竟是誰在暗中連接你的服務器。
netstat命令可以讓你清楚地了解到服務器是如何和Internet直接連接的,而且該命令能夠詳細地列出當前服務器中的所有連接信息,包括網絡接口信息、網絡連接信息、路由表信息等。
用命令的方法檢查網絡連接時,可以直接在DOS命令中輸入“netstat -a”字符串,單擊回車鍵後,你將會在圖2所示的網絡連接列表中,看到究竟是誰在暗中連接你的服務器。從圖2界面不難看出,目前已經有來自“61.51.100.13”主機的4932端口、來自“218.83.185.252”主機的50486端口與服務器建立了HTTP方式的連接。
此外,如果你發現在“Local address”一列處,有來歷不明的端口被打開,例如冰河木馬的7626端口,就表明你的服務器中已經有木馬存在了。此時必須及時斷開服務器與Internet之間的連接,並用木馬查殺工具或病毒查殺工具來將服務器中的木馬清除掉,以確保服務器的安全。總之,用好“netstat”命令,你就能完全監控服務器的連接狀態,從而實現控制服務器安全的目的。
4、檢查賬號異常情況
許多黑客都喜歡通過“克隆”登錄賬號的方法,來偷偷破壞服務器系統。這些黑客經常采用的手段,就是先將服務器中一個不經常用到的缺省賬號激活,然後通過專業的工具將該缺省賬號“升級”為管理員權限。乍一看上去該缺省賬號與平時沒什麼區別,不過經過“升級”之後,它卻變成了服務器的最大安全隱患。你可以通過“net user”命令,來及時檢查服務器賬號的異常情況。
首先在DOS命令行中執行“net user”命令,隨後你就能知道服務器中包含了哪些用戶賬號。接著運行“net user 用戶名”命令,逐一查看每一個用戶賬號到底屬於什麼權限。例如,要查看Guest賬號的權限時,可以直接執行“net user guest”命令,在彈出的界面中,查看一下Guest賬號是否已經變成了“administrator”組中的一員,如果是的話,那十有八九是服務器系統已經遭到了黑客的攻擊。此時你就不要再猶豫了,直接運行“net user guest /delete”命令,將該賬號刪除掉即可。
5、將服務器隱藏起來
為了防止黑客或其他非法攻擊者輕易搜索到局域網服務器的名字,你可以巧妙使用“net config”命令,將服務器的名稱暫時隱藏起來。如此一來局域網中的非法用戶,即使通過網上鄰居窗口,也無法找到服務器的“身影”了,服務器遭受外來攻擊的危險性將會大大下降。
要用命令隱藏服務器的名稱時,可以直接在DOS命令行中輸入“net config server /hidden:yes”(其中server是服務器的計算機名稱),回車後,服務器的計算機名稱就會從網上鄰居窗口中自動消失,這樣黑客就無法知道服務器的名稱是什麼了,更不要談如何去攻擊它了。