記一次服務(wù)器被攻擊后的安全設(shè)置總結(jié)

引子

這個(gè)月月初我剛好在配置一臺(tái)新服務(wù)器練練手辽狈，公司大牛知道后讓我注意看一下事件查看器。之后在日志的記錄里我發(fā)現(xiàn)了一些讓我震驚的事！Ｈ迓濉！
在我配置完服務(wù)器的隔天開始就有不少人每隔一段時(shí)間試圖爆破服務(wù)器和SqlServer的密碼狼速。事實(shí)上我在服務(wù)器安全和運(yùn)維方面知之甚少琅锻。在請(qǐng)教了公司大牛后我總結(jié)了一些經(jīng)驗(yàn)，現(xiàn)在分享一下唐含。

本文會(huì)詳細(xì)介紹一些服務(wù)器安全性的設(shè)置浅浮，適用于個(gè)人網(wǎng)站和中小公司的
服務(wù)器管理者閱讀。

我的服務(wù)器環(huán)境是win2008 r2+SqlServer捷枯，所以本文中的例子主要針對(duì)win系列+SqlServer滚秩。不過如果你是unix系列的服務(wù)器，些許也能提供一些思路淮捆。

1. 不要用默認(rèn)的administrator作為管理員的用戶名

這樣駭客除了要爆破你的密碼郁油，還得知道你的用戶名。
我的建議是：登錄后第一件事就是新建一個(gè)管理員用戶攀痊，
注銷當(dāng)前administrator的登錄桐腌，用新的管理員用戶重新登錄，
這時(shí)禁用原來的administrator用戶苟径。

net user administrator /active:no

最后再重啟一次案站。

這樣就省去了SqlServer登陸權(quán)限的問題。
如果你已經(jīng)用administrator作管理員用戶名了棘街，且SqlServer設(shè)置的登陸權(quán)限是administrator蟆盐。那么就比較麻煩了，以下提供兩個(gè)方案：
1.徹底除去病根法：把SqlServer的所有權(quán)限設(shè)置為新的用戶名遭殉，并刪除administrator這個(gè)用戶名石挂。
2.緩一緩：新建一個(gè)自定義管理員用戶。把原先的administrator設(shè)置為禁止登錄险污，之后都用新用戶名登錄痹愚。如果SqlServer在使用過程中需要administrator的權(quán)限，再解除administrator的禁止登錄。使用完后拯腮，記得恢復(fù)禁止登錄窖式。

2.確認(rèn)自己的本地防火墻已經(jīng)打開

我的阿里云服務(wù)器在創(chuàng)建后是默認(rèn)關(guān)閉了防火墻的，需要我手動(dòng)設(shè)置疾瓮。
所以這點(diǎn)稍微需要注意一下脖镀，有的服務(wù)器初始時(shí)默認(rèn)是關(guān)閉防火墻的。

3.修改默認(rèn)的遠(yuǎn)程登陸端口號(hào)

win2008 r2服務(wù)器默認(rèn)的遠(yuǎn)程登陸端口為3389狼电。
3389端口是各掃描器的重點(diǎn)照顧對(duì)象蜒灰，一旦你的服務(wù)器被發(fā)現(xiàn)開了3389端口，駭客就知道這個(gè)ip有一臺(tái)在線的可遠(yuǎn)程訪問的服務(wù)器肩碟，然后就會(huì)開始爆破登錄密碼强窖。

1-1023是計(jì)算機(jī)保留的端口。1024-65535是留給用戶自定義的端口削祈。
你可以在1024-65535中找一個(gè)作為自己的遠(yuǎn)程登陸端口翅溺。

修改步驟：

首先修改注冊(cè)表中的值

1.打開“開始→運(yùn)行”，輸入“regedit”髓抑，打開注冊(cè)表咙崎。

2.選擇路徑：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp，
在右邊窗口找到PortNamber值吨拍，右擊修改成自己的想要的端口號(hào)褪猛，修改的時(shí)候要點(diǎn)十進(jìn)制。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp 
同上也需要修改默認(rèn)端口

注意：注冊(cè)表的修改需要重啟服務(wù)器后才生效羹饰。這里先不重啟繼續(xù)下一步伊滋。

2.添加與修改防火墻的規(guī)則

打開控制面板\所有控制面板項(xiàng)\Windows 防火墻\高級(jí)設(shè)置
點(diǎn)左側(cè)：入站規(guī)則->新建規(guī)則
現(xiàn)在開始要注意了，不能有操作失誤队秩，否則會(huì)把自己擋在防火墻外笑旺。
要?jiǎng)?chuàng)建的規(guī)則類型：端口 ->下一步
勾TCP、特定本地端口填你在注冊(cè)表中自定義的那個(gè)端口號(hào) ->下一步
允許連接 ->下一步
三個(gè)都勾上 ->下一步
最后名字和描述馍资，寫明是遠(yuǎn)程登錄的端口筒主。完成。
可以查看一下規(guī)則是否添加到列表中了鸟蟹。

3.重啟服務(wù)器物舒，等一會(huì)兒。（如果你使用的是阿里云戏锹，請(qǐng)?jiān)诎踩M策略中開放相應(yīng)的端口）

4.登錄
現(xiàn)在登錄服務(wù)器的時(shí)候，ip后需要加上你自定義的端口號(hào)
ip：端口號(hào)

5.禁用3389端口
回到控制面板\所有控制面板項(xiàng)\Windows 防火墻\高級(jí)設(shè)置
找到Open RDP Port 3389這條規(guī)則火诸，右擊禁用規(guī)則锦针。

ok！到這里你已經(jīng)學(xué)會(huì)如何自定義遠(yuǎn)程登錄端口了。

4.換個(gè)復(fù)雜的密碼

特殊符號(hào)+數(shù)字+字母（大小寫）奈搜，亂打出一組悉盆。
不同應(yīng)用的密碼不能相同。
用戶名也可以設(shè)復(fù)雜一點(diǎn)馋吗。

5.設(shè)置SqlServer的登錄規(guī)則

如果你的服務(wù)器上的數(shù)據(jù)庫(kù)需要與其他服務(wù)器的數(shù)據(jù)庫(kù)對(duì)接焕盟，傳輸資料。
就需要打開1433端口宏粤。

對(duì)于SqlServer脚翘，我們可以設(shè)置只有特定ip才能登錄數(shù)據(jù)庫(kù)。（即使知道了密碼绍哎，ip不對(duì)還是登錄不上）

步驟：

SqlServer的默認(rèn)登錄端口是1433来农，
還是來到防火墻
控制面板\所有控制面板項(xiàng)\Windows 防火墻\高級(jí)設(shè)置。
入站規(guī)則->新建規(guī)則
端口->下一步
勾TCP崇堰、特定本地端口填1433 ->下一步
允許連接 ->下一步
三個(gè)都勾上 ->下一步
最后名字和描述沃于，寫明是SqlServer登錄的端口。
在列表中找到剛才設(shè)置的這一天規(guī)則
右擊屬性
作用域->遠(yuǎn)程IP地址->以下IP地址->添加->'遠(yuǎn)程對(duì)接服務(wù)器的ip'

6.定期查看日志和更換密碼

其實(shí)這條才是重點(diǎn)海诲，問題都是在日志中發(fā)現(xiàn)的繁莹。
打開服務(wù)器管理器\事件查看器\Windows日志

就以我的這條日志為例，
在應(yīng)用程序日志的MSSQLSERVER來源中特幔，
可以看到有ip為120.76.163.62的人或程序在一段時(shí)間內(nèi)連續(xù)嘗試用帳戶名sa在不斷嘗試爆破密碼咨演。

再來看這條安全日志，
一大早5敬辣、6點(diǎn)就有人在嘗試用administrator的默認(rèn)賬戶來爆破服務(wù)器登錄密碼雪标。 -_-|||

總之你需要去定期看看日志，奇怪的時(shí)間段溉跃、奇怪的ip村刨、奇怪的行為都將引起你的重視。上面介紹的預(yù)防方法或許有一天都會(huì)失效撰茎，重要的是你有沒有養(yǎng)成安全的意識(shí)嵌牺、檢查的習(xí)慣。

其實(shí)在阿里云官網(wǎng)的控制器中也有很多安全方面的設(shè)置龄糊，下期我會(huì)試著整理一下逆粹。

ps：攻擊我的服務(wù)器的ip有不少也是來自阿里云的服務(wù)器，這些駭客應(yīng)該也利用了阿里云的服務(wù)器炫惩。截圖中攻擊者的ip僻弹，應(yīng)該也只是肉雞。