对外发包检查-培训.pptVIP

关于服务器发包处理流程 以下简单说明服务器关于发包的处理流程步骤： 1??接到监控部门故障工单，首先断网2??断网之后及时通知客户3??客户将服务器账号密码以工单形式提交，获取相关信息后，及时登陆服务器，对服务器做相关检查4??检查完毕，生成检查报告(使用新的检查报告模板)，检查完后所有检查报告以附件形式上传至工作站相关记录?5?服务器检查报告发送至?监控值班工作人员之后，等待监控部门处理通知，并将监控部门处理意见反馈至客户 处理流程 接到网络监控部门的故障受理工单（对外发包）， 1 首先看到的是在故障类型栏目中选择的是断网，通过此IP在网站后台查询该VPS所在宿主机，打开VC控制台，找到该VPS，选择编辑设置，将网络适配器取消连接“确定”即可 处理流程 处理流程 2 完成断网后，根据工单下的客户联系方式及时电话联系并通知客户，通过电话向客户解释断网原因，并向客户索取服务器账号以及密码（以工单形式提交），方便登陆服务器检查原因。联系客户完毕，将此问题在工作站上做记录（方便其他同事受理客户工单时更加快捷知道断网的原因） （备注：如果电话联系不上客户，需在工作站上注明是否同客户取得联系并说明断网缘由） 处理流程 3 客户将服务器账号密码以工单形式提交，获取相关信息后，及时登陆服务器，对服务器做相关检查 主要检查内容： （1）系统帐号 （2）系统木马 （3）黑客工具（端口扫描 木马程序 ARP挂马工具） （1）系统帐号 在这个时候首先你要检查你的用户，当多了一些从来没有的帐号或GUEST被激活那肯定是有黑客进入了，但无这个现象的时候也要检查是否有隐藏用户，现在黑客进入你主机后会建立一个隐藏用户，特征为用户名带$符号，检查方法为：点开始——运行，输入regedit，选择HKEY_LOCAL_MACHINE，点SAM——SAM，默认是看不到下面的内容，这个时候点到SAM，点安全——权限，选择administrator权限为完全控制，确定。然后点开始——运行，输入regedit，选择HKEY_LOCAL_MACHINE\SAM\SAMDomainsAccountUsersNames，下面显示的就是你的机子的所有用户名，如出现带$符号的用户，立即删除，这样就可以确保你主机没有非法用户了 （1）系统帐号 一般来说：黑客成功入侵服务器之后，在离开服务器之前都会做善后处理，清理自己的登陆历史；包括相关系统日志，不过几乎很少黑客这样去做，通常在C:\Documents and Settings 目录下都会发现系统账号的登陆信息，甚至是在服务器上做过什么操作，都可以详细查看。 （2）系统木马 在你服务开启以后，进入DOS界面，输入netstat -an ,下面显示的就是你主机的所有连接，查看是否有你所不熟悉的端口连接，例如一些著名的木马端口：木马冰河7626、黑洞2004 、灰鸽子8225 等等，不过现在的一些木马都可以自定义端口了，所以看到不熟悉的端口连接都要小心了，如没发现有特殊的端口连接也不表示你就没有中木马，这个时候就要输入netstat -A，查看TCP端口里的LISTENING，那些端口都是等待连接的端口，同样发现特殊的就要小心了。 （2）系统木马 如何发现自己有没有中木马呢？这就要你在任务管理器里看进程了，木马都是注册为服务后台运行的，这时候你可能会问进程里有很多程序名啊，分不清哪些是正常的，这里我会在下面提供所有正常运行的程序的解释，大家对照看就行了，如果不在下面的解释里的程序，那就有可能是木马，例如现在的ANGEL后门，它在进程里就为angel.exe，当发现不知道的程序名的时候，很简单你在C盘下搜索该名字，那么就会找到它所在的文件夹，而即使发现它所在文件夹，为何又删除不了在进程里也不让结束呢？因为它已经注册为服务，只有在你的服务里把它先停止掉，才可以删除，例如ANGEL后门这个，你进入服务后就可以找到它，把它停止再卸载就可以了 （2）系统木马 （3）黑客工具（端口扫描 木马程序 ARP挂马工具） 常见的黑客工具包括：端口扫描工具（常见：135 端口 445端口 1433端口 3306端口3389 端口）如果客户的服务器开放这些端口，都会被黑客使用扫描工具进行扫描，进而获取相关权限，达到入侵服务器的目的 木马程序 （常见冰河木马 灰鸽子 特洛伊木马） （3）黑客工具（端口扫描 木马程序 ARP挂马工具） （3）黑客工具（端口扫描 木马程序 ARP挂马工具） （3）黑客工具（端口扫描 木马程序 ARP挂马工具） ARP挂马工具 （服务器感染ARP病毒之后，通常冒充网关地址，对同一网段内的其他服务器发送arp欺骗包，导致局域网内部服务器无法连接网络），发现此类中AR