怎樣做好服務器安全監控工作

　　常規的服務器監控服務有很多。當服務(HTTP，SMTP 等)出現故障時，您會收到警報。但這足以讓您保持服務器的安全嗎?如果您的服務器容易受到新軟件漏洞的影響，或者有人試圖強行破解您的密碼該怎麼辦?這就是服務器安全監控很重要的原因。

　　通過監視服務器的安全事件，您將能夠防止出現安全問題，而不僅僅是在發生不良事件時對其做出反應。作爲香港專業的數據中心基礎服務商，數分科技除提供香港服務器租用以外，還爲各種在線業務提供服務器管理服務，其中服務器安全監控是我們提供服務的重要部分，通常我們爲客戶服務器提供的安全監控服務包含：

　　一、待安全更新

　　應用程序和操作系統供應商幾乎每週都會發布安全更新(例如：Microsoft 每週二發佈補丁 - 稱爲 “補丁週二”)。一旦供應商發佈這些補丁，公衆就可以獲得漏洞的詳細信息，包括黑客。因此，一旦安全補丁可用，應當立即應用它們。否則攻擊者可能會利用現在公開的漏洞侵入您的服務器。這就是爲什麼我們監控所有客戶服務器以獲取新的安全版本，並在 數分 24 小時內應用它們。這包括：操作系統更新，服務包更新，Web 應用程序更新以及客戶使用的任何其他特殊軟件。

　　二、新的未修補漏洞

　　絕大多數新漏洞都是由用戶和安全研究人員發現的，他們等待應用程序開發人員在漏洞公開之前發佈補丁。但是，有些情況下，在官方補丁可用之前，漏洞將被公開。這些漏洞被稱爲零日漏洞，實際上是無法防禦的。這就是爲什麼新漏洞監控是我們服務器管理服務的重要組成部分。如果我們發現新的威脅，我們會以三種方式保護我們的客戶：使用官方或非官方補丁;使用服務器或 Web 應用程序防火牆阻止常見的漏洞利用方法;禁用易受攻擊的功能，直到官方補丁修補完成。

　　三、服務器攻擊風險

　　攻擊者使用自動化工具運行各種漏洞，試圖侵入服務器。重要的是檢測這些攻擊並及時阻止它們。通常我們在服務器管理服務中，以兩種方式對抗自動化攻擊：

　　• 預防性服務器強化 - 許多攻擊使用標準端口或常見模式來發起攻擊，您可以關閉不常用且易被攻擊利用的端口。我們以這種屏蔽常見攻擊的方式來配置我們的客戶服務器。

　　• 主動攻擊監控和防禦 - 某些攻擊可以通過防火牆。在這種情況下，我們會收到服務器中 “異常” 活動的警報，並立即阻斷攻擊者 IP。然後，我們使用攻擊簽名進一步強化防火牆。

　　四、服務器入侵或網站感染

　　如果最糟糕的情況怎麼辦?如果你的所有防禦都被破壞並且攻擊者確實進入了服務器怎麼辦?您應該第一時間踢出入侵者，鎖定網站或服務器，評估損壞情況，清理混亂，並讓服務器恢復在線狀態。在數分科技，我們客戶服務器的最後一道監控是入侵檢測。這包括：

　　• 文件系統監控：在服務器中創建新文件(上載或編輯)時，惡意軟件掃描程序會檢查病毒內容並向我們發出警報。

　　• 網絡監控：如果 IP 或 IP 組以不尋常的方式運行(例如，許多開放連接，暴力破解等)，我們將登錄服務器並阻止攻擊者 IP。

　　• 身份驗證監控：我們尋找管理員帳戶的成功登錄。如果我們看到一個不熟悉的 IP 登錄到服務器，我們立即進入服務器，踢出入侵者並警告服務器所有者(因爲它通常表明有人竊取了密碼)。

　　• 關鍵文件更改監控：攻擊者經常用受感染的文件替換系統文件。因此，我們監控關鍵系統文件，如果它在我們不知情的情況下發生變化，我們將登錄服務器並進行調查。

　　• 進程監控：攻擊者經常將其惡意進程僞裝成系統服務。因此，如果我們注意到一個引用異常文件或綁定到非標準端口的進程，我們會採取措施。

　　• 受保護的目錄監控：合法程序沒有理由進入管理員文件夾。我們在系統中安裝特殊工具，如果我們看到一個不尋常的文件夾訪問，我們可以快速發現異常。

　　• Rootkit 和病毒監控：攻擊者可能會在各種系統位置將後門留給系統。這就是我們定期掃描整個服務器以獲取內核 rootkit 和隱藏病毒的原因。

　　快速反應對於此類監測非常重要。在許多情況下，我們已經能夠通過阻止持續的攻擊來防止服務器破壞成功。

       總之，服務器所有者經常忽視安全監控的重要性。及時的服務器更新，補丁和事件響應可以防止服務器或網站泄露。數分科技在此爲您詳細介紹了我們協助監控客戶服務器安全事件的四種方式，以及它如何幫助保護服務器。