1、改变帐号所属用户组为最低权限组,并禁用上述帐号。但不要删除,方便查找日志及文件等排查,以备收集入侵证据和防范。如果直接删除将给工作带来麻烦。
2、彻底检查注册表SAM键值,检查是否存在隐藏帐号、克隆帐号等高权限帐号。
3、改变服务器远程访问端口,开启防火墙及安全策略,为彻底检查服务器系统及服务器安全部署争取时间,避免服务器被重复入侵而引起更严重问题。
4、及时更新系统相关补丁,此步骤必须认真选择性更新,按造安全等级、时间、涉及服务器相关服务的影响、中断等因素综合考虑。不要盲目的默认更新,因服务器系统安全还没有彻底清查,微软很多的补丁本身就可能造成系统文件二次感染或被二次利用以及新的漏洞出现。
5、整理服务器,全面安全部署。包含:IIS、MSSQL、MYSQL、ACL体系、端口过滤、TCP/IP协议规则控制、FTP等。如有其它第三方软件尤其系统层的也要严查执行权限,比如虚拟主机系统。
6、 服务器经过全面安全部署之后,并做脚本环境安全检测确定无问题了。逐步优化调整架构,彻底优化服务器性能。比如MSSQL应运行于普通指定可控账户,而不 能运行于默认的SYSTEM帐号,程序和数据库存出应该分离。ASP、PHP、 环境安全,执行权限、写权限、读权限分离,至少做到1by1体系, 让所有的网站的后门程序瘫痪或控制与站点内部,不会危及服务器层面。
7、最后删除相关入侵账户,善后。养成良好的服务器安全管理习惯。服务器也是机器,服务器的安全关键在是管理员的安全意识。