【51CTO獨家特稿】現在應用最為廣泛的服務器架構莫過于x86，而大小企業的運維人員——網管、系統管理員、工程師們，大多數人接觸的也都是x86系統。51CTO服務器頻道昨天推薦了十大X86服務器常見故障——硬件篇，今天由系統頻道來介紹十大x86服務器常見故障——系統篇。

系統故障篇

Top 10 系統

故障回放：系統死機、莫名其妙的重啟、藍屏、中毒、反應遲鈍等等跡象

藍屏

解決方案：服務器同普通PC一樣，同樣會中毒、同樣會因為垃圾信息過多而反應緩慢、同樣會因為某些系統漏洞導致死機、藍屏。多數情況下我們只需要重裝一下系統就可以了，但是在日常的運維過程中，我們要時刻進行數據的備份工作，在系統安裝之前也需要通過WinPE的第三方軟件，將系統盤的關鍵數據予以導出，這個操作和普通PC類似，也較為簡單，這里不再贅述。

危害程度：★

控制難度：★★

綜合評定：★☆

推薦閱讀：

1. Linux 系統備份——操作實踐與工具介紹
2. 使用Windows Server 2003備份功能
3. Windows Vista備份與自動備份完全解析

#p#

Top 9低級攻擊行為

故障回放：某企業網安人員近期經常截獲一些非法數據包，這些數據包多是一些端口掃描、SATAN掃描或者是IP半途掃描。它們的行為動作基本一致：掃描間隔很長，但時間很短，每天掃描1~5次，或者是掃描一次后就不在有任何的動作，因此網安人員獲取的數據并沒有太多的參考價值，攻擊行為并不十分明確。

IP掃描

解決方案：在眾多的掃描事件中，如果掃描一次后就銷聲匿跡了，就目前的網絡設備和安全防范角度來說，該掃描者并沒有獲得其所需要的資料，很有可能是一些黑客入門級人物在做簡單練習；而如果每天都有掃描則說明自己的網絡已經被盯上，我們要做的就是盡可能的加固網絡，同時反向追蹤掃描地址，如果可能給掃描者一個警示信息也未嘗不可。幾乎90%的攻擊行為不會造成實質性的威脅，它的級別也是很低的。

危害程度：★★

控制難度：★★

綜合評定：★★

推薦閱讀：

1. 黑客老鳥講入侵攻擊：掃描器詳細介紹
2. 端口·木馬·安全·掃描應用知識

#p#

Top 8 系統端口

故障回放：某公司擴大經營，在全國大中型城市都建立辦事處和分支機構，這些機構與總公司的信息數據協同辦公，由于VPN的使用成本和技術難度相對較高，于是終端服務成為該公司與分支機構的信息橋梁。但是由于技術人員的疏忽，終端服務只是采取默認的3389端口，于是一段時間內，基于3389的訪問大幅增加，這其中不乏惡意端口滲透者。終于有一天終端服務器失守，Administrator密碼被非法篡改，內部數據嚴重流失。

更改默認端口

解決方案：對于服務器我們只需要保證其最基本的功能，它們并不需要太多的端口做支持，因此一些不必要的、又充滿風險的端口大可以封掉，對于Windows操作系統我們可以借助于組策略，Linux可以在防火墻上多下點功夫；而一些可以改變的端口，比如終端服務的3389、Web的80端口，通過注冊表或者其他相關工具都能夠將其設置成更為個性，不易猜解的秘密端口。端口關閉或者改變了，那些不友好的訪客就像無頭蒼蠅，自然無法進入，上述故障也就不會成為服務器的安全隱患了。

危害程度：★★★

控制難度：★★☆

綜合評定：★★☆

推薦閱讀：

1. windows遠程桌面端口修改
2. 135,139,445端口的關閉方法
3. Windows終端服務和遠程桌面Web方式訪問及端口更改方法

#p#

Top 7 漏洞

故障回放：B企業部署外網郵箱服務器，經過多次評審選擇了“imail”作為服務器端，在一段時間的運行與測試中，imail表現的表現上佳。但是沒過多久，imail的用戶經常收到垃圾郵件，同時一些關鍵的、核心的資料也在悄然不覺中流失了。經過IT部門和公安部門聯合調查，原來是負責產品研發的一名工程師跳槽到對手公司，這個對手公司的IT安全人員了解到B企業使用的imail服務端，于是群發攜帶弱加密算法漏洞的垃圾郵件，從而嗅探到關鍵人員的賬戶、密碼，遠程竊取郵箱內的核心資料。

安全更新

解決方案：任何系統和軟件，在初期設計過程中不可能想到或做到所有的事情，于是一個軟件運作初期貌似完整、安全，但運行的時間長了就會出現很多無法預知的錯誤，對于企業級網絡安全人員來說，避免這些錯誤除了重視殺毒軟件和硬件防火墻外，還要經常性、周期性的修補軟件、系統、硬件、防火墻等安全系統的補丁，以防止一個小小的漏洞造成不可挽回的損失。

危害程度：★★★☆

控制難度：★★☆

綜合評定：★★★

相關閱讀：

1. 微軟發布14個安全補丁 修復34個安全漏洞
2. 系統更新篇：系統管理員天天給服務器打補丁？
3. Windows批量升級補丁方法

#p#

Top 6 軟件沖突

故障回放：近日，Exchange服務器經常出現藍屏現象，且出現的時間間隔不等，重新啟動服務器后，不用進行任何操作，系統和Exchange服務都會自行修復，不會有任何異常，但是短則幾分鐘，長則幾小時依舊藍屏。由于時間間隔不等，懷疑是有人惡意攻擊服務器，但是事件查看器沒有任何攻擊跡象，軟件層面的過濾非常正常，對系統進行病毒查殺，木馬、蠕蟲、后門、病毒均未出現在系統內。

軟件沖突

解決方案：排除了硬件層面、人為攻擊、病毒感染等種種因此，將故障的焦點轉移到了系統本身，懷疑是某些軟件與系統，或者是Exchange產生了沖突，由于服務器本身安裝的軟件并不多，遂逐一卸載，最終得出結論卸載瑞星殺毒軟件后，系統和Exchange終于恢復正常，藍屏現象終于解決。

類似這種沖突有很多，比如紫光拼音輸入法和Explorer的沖突，某些驅動程序之間的沖突，其實避免這些沖突最好的辦法就是盡量的少裝軟件，畢竟服務器不同于個人電腦，它更注重穩定，少一個軟件就少了一份風險。

危害程度：★★★☆

控制難度：★★★

綜合評定：★★★☆

相關閱讀：

1. Oracle 10g中安裝Perl環境所產生的沖突
2. Vista與DHCP服務器沖突 河南ADSL用戶無法上網

#p#

Top 5 服務故障

故障回放：C公司Web網站的導航信息出現了一些變化，這個信息Web管理人員并不經常訪問，沒有引起太多注意。后來IIS管理員在日志巡檢時發現這個問題，并進一步判斷網絡有入侵的痕跡，經過多番追蹤，將目光鎖定在系統服務身上。經查，系統服務總數量并沒有變化，但是一個早已被禁用的服務被莫名其妙的開啟，同時其指向的路徑和文件名也正常服務大相徑庭。不用說，IIS被入侵，黑客為了能繼續操作該服務器，將系統服務做了手腳，將其指定為其所需的黑客程序。

惡意篡改

解決方案：對于這種故障有時我們并不能快速的察覺，因為它并沒有對網絡和系統造成物理或邏輯的傷害，所以我們只能通過有效的審核工作來排查系統的異常變化，同時我們還需要經常性為當前系統服務建立一個批處理文件，一旦出現服務被篡改，我們又不能快速確定那個服務出現故障時，我們就可以快速的執行這個批處理文件，恢復到備份前的正常服務狀態。

危害程度：★★★☆

控制難度：★★★☆

綜合評定：★★★☆

相關閱讀：

1. “拯救網站運維趙明”——網站防篡改系統的部署與應用
2. 網站防篡改 立即部署WEB應用防火墻
3. Twitter遭自稱伊朗黑客攻擊 首頁被篡改(圖)

#p#

Top 4資料泄密

故障回放：A公司的廠區規模非常大，作為制造型企業每天都有貨物的進出，且該公司的筆記本數量遠超于臺式機，為了方便員工辦公需求，A公司決定在整個工廠區部署無線網絡，為了保證信號的強度，A公司在多個區域部署了全向和定向天線。如此一來，公司理貨的速度和效率大幅提高，筆記本用戶的流動性也發揮了更大的作用。但是無線網絡的覆蓋面太大也給其競爭對手流下了可乘之機。B公司就派人隱匿在A公司的附近，伺機截取無線網絡的密碼，并進一步獲知其敏感數據。

竊取無線密碼

解決方案：類似這樣的監聽不計其數，不僅僅是無線網絡，有線網絡同樣由此困惑。監聽者有的是為了獲得一些明文的資料，當然這些資料的可利用性不是很高；還有的已經翻譯出相關的網絡密碼，又想獲知更深層的數據，于是在進出口附近架設監聽。預防這種監聽我們要將網絡按照一定規則劃分成多個VLAN，將重要服務予以隔離；然后將網內所有的重要數據進行加密傳輸，即使被惡意監聽也很難反轉成可用信息，再有使用“蜜罐”技術營造出一個充滿漏洞的偽終端，勾引監聽者迷失方向，最后我們還需要使用antisniffer工具對網絡定期實施反監聽，嗅探網絡中的異常數據。

危害程度：★★★☆

控制難度：★★★★☆

綜合評定：★★★★

相關閱讀：

1. "GSM網應該被關閉" 黑客輕松演示監聽GSM手機
2. 局域網監聽的原理、實現與防范
3. 無線“蹭網卡”熱賣 任意密碼5分鐘破解

#p#

Top 3 密碼

故障回放：某IT人員離職，新的工作與前公司的操作模式有相同之處，于是“想參考”一下前公司的一些商業數據。正所謂“近水樓臺先得月”，由于這名IT人員了解前公司的管理員賬戶和密碼規則，于是暴力破解開始了。首先他生成了100GB的暴力字典，這個字典囊括了前公司所要求的密碼規則，再找來一臺四核服務器，以每秒破解千萬組密碼的速度瘋狂的拆解，N個晝夜以后，密碼終于告破，那些被“參考”的商業資料直接導致這名IT人員前公司近百萬的損失。

暴力破解密碼

解決方案：管理員設置密碼最重要的一點就是復雜，舉個例子：D級破解（每秒可破解10,000,000組密碼），暴力破解8位普通大小寫字母需要62天，數字＋大小寫字母要253天，而使用數字＋大小寫字母＋標點則要23年，這只是8位密碼，但是我們覺得還不夠，如今固態硬盤的崛起使得破解密碼的速度更快，因此，我們推薦密碼長度最少為10位，且為數字＋大小寫字母＋特殊符號的組合，密碼最長使用期限不要超過30天，并設置帳戶鎖定時間和帳戶鎖定閾值，這個能很好的保護密碼安全。

危害程度：★★★★

控制難度：★★★★★

綜合評定：★★★★☆

相關閱讀：

1. 路由器密碼忘記 五步暴力破解
2. 密碼規則：25年來駭客總在用四種方法破解密碼

#p#

Top 2 虛擬化

故障回放：為節約物理服務器的購置成本，降低UPS、冷卻系統的電力壓力，很多公司部署了虛擬化環境，將數十臺服務整合在一臺物理服務器之上，一旦這臺物理服務器出現硬件層面的損壞，其所建立的虛擬的服務將均告失敗，整個公司的業務也將受到影響，對于虛擬化服務器來說這是非常大的隱患。

虛擬化

解決方案：避免虛擬化服務器的故障的發生，我們需要為虛擬化服務做出故障集群轉移方案，一旦物理服務器出現損壞，另外的服務器可以迅速的予以接管，整個信息流不會中斷；在軟件層面，我們要利用虛擬化服務器的“快照”功能。在做任何關鍵的操作前，對當前系統進行一下快照，待操作結束并測試通過后，再制作一次快照，如果虛擬服務出現問題，可以快速的進行恢復，保證虛擬化服務不會出現任何故障。

危害程度：★★★★☆

控制難度：★★★★★

綜合評定：★★★★☆

相關閱讀：

1. 為虛擬機中運行的VMware ESX 4進行快照
2. 分析：Hyper-V快照如何工作？

#p#

Top 1日志 & 時間戳

故障回放：某公司Web服務器遭受攻擊，管理員密碼被非法篡改，公共頁面的部分數據被惡意替換。服務器管理人員通過相關手段收回管理員權限，重新接管服務器，并查詢黑客篡改的相關數據，很快基于Web頁面的非法改動全部恢復正常，但是黑客是通過什么漏洞進入系統、何時進入系統、IP地址是什么、系統內還殘留哪些后門程序全都不得而知，原因就是系統日志和時間戳被非法修改。

日志

解決方案：避免日志被非法篡改最好的方法就是將日志轉移，這就需要一臺獨立的服務器來存儲日志的備份，也就是我們常說的日志服務器。這臺服務器記錄的內容很多，包括各個應用服務器的應用程序、安全、系統等所有事件信息，還包括防火墻、路由器的操作記錄，通過軟件定期抓取日志記錄。一旦遭遇黑客的攻擊，可迅速調取所有記錄，進行故障定位，徹底解決問題。

危害程度：★★★★★

控制難度：★★★★★

綜合評定：★★★★★

相關閱讀：

1. 明明白白你的Linux服務器——日志篇
2. Linux日志系統詳細介紹