1、现在应用最为广泛的服务器架构莫过于 x86,而大小企业的运维人员 网管、系统管理员、工程师们,大多数人接触的也都是 x86 系统。由于 X86 服务器和台式机有着很多相似之处,其常见故障也有相似的症状与排障手法。本文介绍十大 x86 服务器最为常见的系统软件故障。【51CTO 独家特稿】现在应用最为广泛的服务器架构莫过于 x86,而大小企业的运维人员网管、系统管理员、工程师们,大多数人接触的也都是 x86 系统。 51CTO 服务器频道昨天推荐了 十大 X86 服务器常见故障 硬件篇,今天由系统频道来介绍十大 x86 服务器常见故障 系统篇。系统故障篇Top 10 系统故障回放:系统死机、莫名
2、其妙的重启、蓝屏、中毒、反应迟钝等等迹象蓝屏解决方案:服务器同普通 PC 一样,同样会中毒、同样会因为垃圾信息过多而反应缓慢、同样会因为某些系统漏洞导致死机、蓝屏。多数情况下我们只需要重装一下系统就可以了,但是在日常的运维过程中,我们要时刻进行数据的备份工作,在系统安装之前也需要通过WinPE 的第三方软件,将系统盘的关键数据予以导出,这个操作和普通 PC 类似,也较为简单,这里不再赘述。危害程度:控制难度:综合评定:Top 9 低级攻击行为故障回放:某企业网安人员近期经常截获一些非法数据包,这些数据包多是一些端口扫描、SATAN 扫描或者是 IP 半途扫描。它们的行为动作基本一致:扫描间隔很
3、长,但时间很短,每天扫描 15 次,或者是扫描一次后就不在有任何的动作,因此网安人员获取的数据并没有太多的参考价值,攻击行为并不十分明确。IP 扫描解决方案:在众多的扫描事件中,如果扫描一次后就销声匿迹了,就目前的网络设备和安全防范角度来说,该扫描者并没有获得其所需要的资料,很有可能是一些黑客入门级人物在做简单练习;而如果每天都有扫描则说明自己的网络已经被盯上,我们要做的就是尽可能的加固网络,同时反向追踪扫描地址,如果可能给扫描者一个警示信息也未尝不可。几乎 90%的攻击行为不会造成实质性的威胁,它的级别也是很低的。危害程度:控制难度:综合评定:Top 8 系统端口故障回放:某公司扩大经营,在
4、全国大中型城市都建立办事处和分支机构,这些机构与总公司的信息数据协同办公,由于 VPN 的使用成本和技术难度相对较高,于是终端服务成为该公司与分支机构的信息桥梁。但是由于技术人员的疏忽,终端服务只是采取默认的 3389端口,于是一段时间内,基于 3389 的访问大幅增加,这其中不乏恶意端口渗透者。终于有一天终端服务器失守,Administrator 密码被非法篡改,内部数据严重流失。更改默认端口解决方案:对于服务器我们只需要保证其最基本的功能,它们并不需要太多的端口做支持,因此一些不必要的、又充满风险的端口大可以封掉,对于 Windows 操作系统我们可以借助于组策略,Linux 可以在防火墙
5、上多下点功夫;而一些可以改变的端口,比如终端服务的3389、Web 的 80 端口,通过注册表或者其他相关工具都能够将其设置成更为个性,不易猜解的秘密端口。端口关闭或者改变了,那些不友好的访客就像无头苍蝇,自然无法进入,上述故障也就不会成为服务器的安全隐患了。危害程度:控制难度:综合评定:Top 7 漏洞故障回放:B 企业部署外网邮箱服务器,经过多次评审选择了“imail”作为服务器端,在一段时间的运行与测试中,imail 表现的表现上佳。但是没过多久,imail 的用户经常收到垃圾邮件,同时一些关键的、核心的资料也在悄然不觉中流失了。经过 IT 部门和公安部门联合调查,原来是负责产品研发的一
6、名工程师跳槽到对手公司,这个对手公司的 IT 安全人员了解到 B 企业使用的 imail 服务端,于是群发携带弱加密算法漏洞的垃圾邮件,从而嗅探到关键人员的账户、密码,远程窃取邮箱内的核心资料。安全更新解决方案:任何系统和软件,在初期设计过程中不可能想到或做到所有的事情,于是一个软件运作初期貌似完整、安全,但运行的时间长了就会出现很多无法预知的错误,对于企业级网络安全人员来说,避免这些错误除了重视杀毒软件和硬件防火墙外,还要经常性、周期性的修补软件、系统、硬件、防火墙等安全系统的补丁,以防止一个小小的漏洞造成不可挽回的损失。危害程度:控制难度:综合评定:Top 6 软件冲突故障回放:近日,Ex
7、change 服务器经常出现蓝屏现象,且出现的时间间隔不等,重新启动服务器后,不用进行任何操作,系统和 Exchange 服务都会自行修复,不会有任何异常,但是短则几分钟,长则几小时依旧蓝屏。由于时间间隔不等,怀疑是有人恶意攻击服务器,但是事件查看器没有任何攻击迹象,软件层面的过滤非常正常,对系统进行病毒查杀,木马、蠕虫、后门、病毒均未出现在系统内。软件冲突解决方案:排除了硬件层面、人为攻击、病毒感染等种种因此,将故障的焦点转移到了系统本身,怀疑是某些软件与系统,或者是 Exchange 产生了冲突,由于服务器本身安装的软件并不多,遂逐一卸载,最终得出结论卸载瑞星杀毒软件后,系统和 Excha
8、nge 终于恢复正常,蓝屏现象终于解决。类似这种冲突有很多,比如紫光拼音输入法和 Explorer 的冲突,某些驱动程序之间的冲突,其实避免这些冲突最好的办法就是尽量的少装软件,毕竟服务器不同于个人电脑,它更注重稳定,少一个软件就少了一份风险。危害程度:控制难度:综合评定:Top 5 服务故障故障回放:C 公司 Web 网站的导航信息出现了一些变化,这个信息 Web 管理人员并不经常访问,没有引起太多注意。后来 IIS 管理员在日志巡检时发现这个问题,并进一步判断网络有入侵的痕迹,经过多番追踪,将目光锁定在系统服务身上。经查,系统服务总数量并没有变化,但是一个早已被禁用的服务被莫名其妙的开启,
9、同时其指向的路径和文件名也正常服务大相径庭。不用说,IIS 被入侵,黑客为了能继续操作该服务器,将系统服务做了手脚,将其指定为其所需的黑客程序。恶意篡改解决方案:对于这种故障有时我们并不能快速的察觉,因为它并没有对网络和系统造成物理或逻辑的伤害,所以我们只能通过有效的审核工作来排查系统的异常变化,同时我们还需要经常性为当前系统服务建立一个批处理文件,一旦出现服务被篡改,我们又不能快速确定那个服务出现故障时,我们就可以快速的执行这个批处理文件,恢复到备份前的正常服务状态。危害程度:控制难度:综合评定:Top 4 资料泄密故障回放:A 公司的厂区规模非常大,作为制造型企业每天都有货物的进出,且该公
10、司的笔记本数量远超于台式机,为了方便员工办公需求,A 公司决定在整个工厂区部署无线网络,为了保证信号的强度,A 公司在多个区域部署了全向和定向天线。如此一来,公司理货的速度和效率大幅提高,笔记本用户的流动性也发挥了更大的作用。但是无线网络的覆盖面太大也给其竞争对手流下了可乘之机。B 公司就派人隐匿在 A 公司的附近,伺机截取无线网络的密码,并进一步获知其敏感数据。窃取无线密码解决方案:类似这样的监听不计其数,不仅仅是无线网络,有线网络同样由此困惑。监听者有的是为了获得一些明文的资料,当然这些资料的可利用性不是很高;还有的已经翻译出相关的网络密码,又想获知更深层的数据,于是在进出口附近架设监听。
11、预防这种监听我们要将网络按照一定规则划分成多个 VLAN,将重要服务予以隔离;然后将网内所有的重要数据进行加密传输,即使被恶意监听也很难反转成可用信息,再有使用“蜜罐” 技术营造出一个充满漏洞的伪终端,勾引监听者迷失方向,最后我们还需要使用 antisniffer 工具对网络定期实施反监听,嗅探网络中的异常数据。危害程度:控制难度:综合评定:Top 3 密码故障回放:某 IT 人员离职,新的工作与前公司的操作模式有相同之处,于是“想参考”一下前公司的一些商业数据。正所谓“近水楼台先得月” ,由于这名 IT 人员了解前公司的管理员账户和密码规则,于是暴力破解开始了。首先他生成了 100GB 的暴
12、力字典,这个字典囊括了前公司所要求的密码规则,再找来一台四核服务器,以每秒破解千万组密码的速度疯狂的拆解,N 个昼夜以后,密码终于告破,那些被“参考” 的商业资料直接导致这名 IT 人员前公司近百万的损失。暴力破解密码解决方案:管理员设置密码最重要的一点就是复杂,举个例子:D 级破解(每秒可破解10,000,000 组密码),暴力破解 8 位普通大小写字母需要 62 天,数字大小写字母要253 天,而使用数字大小写字母标点则要 23 年,这只是 8 位密码,但是我们觉得还不够,如今固态硬盘的崛起使得破解密码的速度更快,因此,我们推荐密码长度最少为 10位,且为数字大小写字母特殊符号的组合,密码
13、最长使用期限不要超过 30 天,并设置帐户锁定时间和帐户锁定阈值,这个能很好的保护密码安全。危害程度:控制难度:综合评定:Top 2 虚拟化故障回放:为节约物理服务器的购置成本,降低 UPS、冷却系统的电力压力,很多公司部署了虚拟化环境,将数十台服务整合在一台物理服务器之上,一旦这台物理服务器出现硬件层面的损坏,其所建立的虚拟的服务将均告失败,整个公司的业务也将受到影响,对于虚拟化服务器来说这是非常大的隐患。虚拟化解决方案:避免虚拟化服务器的故障的发生,我们需要为虚拟化服务做出故障集群转移方案,一旦物理服务器出现损坏,另外的服务器可以迅速的予以接管,整个信息流不会中断;在软件层面,我们要利用虚
14、拟化服务器的“快照” 功能。在做任何关键的操作前,对当前系统进行一下快照,待操作结束并测试通过后,再制作一次快照,如果虚拟服务出现问题,可以快速的进行恢复,保证虚拟化服务不会出现任何故障。危害程度:控制难度:综合评定:Top 1 日志 & 时间戳故障回放:某公司 Web 服务器遭受攻击,管理员密码被非法篡改,公共页面的部分数据被恶意替换。服务器管理人员通过相关手段收回管理员权限,重新接管服务器,并查询黑客篡改的相关数据,很快基于 Web 页面的非法改动全部恢复正常,但是黑客是通过什么漏洞进入系统、何时进入系统、IP 地址是什么、系统内还残留哪些后门程序全都不得而知,原因就是系统日志和时间戳被非法修改。日志解决方案:避免日志被非法篡改最好的方法就是将日志转移,这就需要一台独立的服务器来存储日志的备份,也就是我们常说的日志服务器。这台服务器记录的内容很多,包括各个应用服务器的应用程序、安全、系统等所有事件信息,还包括防火墙、路由器的操作记录,通过软件定期抓取日志记录。一旦遭遇黑客的攻击,可迅速调取所有记录,进行故障定位,彻底解决问题。危害程度:控制难度:综合评定:
