本周我的网站无缘无故消失了两次。我登录我的服务器(Windows Server 2003 Service Pack 2)并重新启动 World Web Publishing 服务,网站仍然无法访问。我尝试重新启动 DNS 和 Cold Fusion 等其他一些服务,但网站仍然无法访问。
最后我重新启动了服务器,网站又重新出现了。
昨晚网站又瘫痪了。这次我登录网站查看了事件日志。
可怕的东西!
以下有数百个:
Event Type: Information
Event Source: TermService
Event Category: None
Event ID: 1012
Date: 30/01/2012
Time: 15:25:12
User: N/A
Computer: SERVER51338
Description:
Remote session from client name a exceeded the maximum allowed failed logon attempts. The session was forcibly terminated.
频率大约为每分钟 3-5 次。在我的网站崩溃时,出现了以下情况:
Event Type: Information
Event Source: W3SVC
Event Category: None
Event ID: 1074
Date: 30/01/2012
Time: 19:36:14
User: N/A
Computer: SERVER51338
Description:
A worker process with process id of '6308' serving application pool 'DefaultAppPool' has requested a recycle because the worker process reached its allowed processing time limit.
这显然是导致网络服务瘫痪的原因。
其中有以下几个:
Event Type: Error
Event Source: TermDD
Event Category: None
Event ID: 50
Date: 30/01/2012
Time: 20:32:51
User: N/A
Computer: SERVER51338
Description:
The RDP protocol component "DATA ENCRYPTION" detected an error in the protocol stream and has disconnected the client.
Data:
0000: 00 00 04 00 02 00 52 00 ......R.
0008: 00 00 00 00 32 00 0a c0 ....2..À
0010: 00 00 00 00 32 00 0a c0 ....2..À
0018: 00 00 00 00 00 00 00 00 ........
0020: 00 00 00 00 00 00 00 00 ........
0028: 92 01 00 00 ...
不再存在第一种错误类型。
我担心有人试图强行进入我的服务器。我已禁用除 IIS 帐户和管理员(我已重命名)之外的所有帐户。我还将密码更改为更安全的密码。
我不知道为什么这次暴力攻击会导致 Web 服务停止,也不知道为什么重新启动服务不能解决问题。
我应该怎么做才能确保我的服务器是安全的,我应该怎么做才能确保网络服务器不再瘫痪?
谢谢。
答案1
也许吧,但要将它们视为症状并确保理论合适。
回收事件只是一条“应用程序池已达到其 1740 分钟限制”消息。这意味着您的网站已运行了 29 小时(假设它具有默认回收设置),然后回收时间限制开始生效。
默认情况下,回收会在旧进程消失之前启动新进程。这意味着服务中断的可能性很小(取决于新进程初始化所需的时间),但并非不存在。
但真的很难将其与任何形式的 RDP 暴力破解联系起来,不是吗?除了事件关联之外还有什么吗?
答案2
增加网站上的 IIS 日志记录。您应该能够获取一些信息。
答案3
我要做的第一件事是更改默认 RDP 端口,不要使用默认的 3389 端口。如果服务器直接或通过端口转发暴露在互联网上,您永远都不应该使用默认 RDP 端口。这只会自找麻烦。更改端口不会让您更安全 - 至少在技术上 - 但它可以阻止许多蠕虫/扫描仪等检测到它。
检查安全事件日志(假设它未被篡改),并查看是否有任何通过 RDP 成功登录的事件。这些将是事件 528,登录类型为 10。如果有除您之外的其他用户成功登录,那么您必须假设服务器已被入侵。入侵的目的可能是在您的 Web 服务器上安装恶意软件。如果它被入侵,您要么需要重新安装,要么进行非常仔细的评估以查找任何类型的 root 工具包、木马等。
我还会评估 IIS 日志,查看攻击来自何处,并阻止该 IP 进入防火墙(假设您有防火墙)。有些设备会始终阻止可疑 IP 范围,这显然是一种更好的方法。
最后,我建议安装一个事件日志监控产品。我们创建了一个名为事件哨兵,它可以实时监控事件日志。我们有一个免费的社区版本,名为 EventSentry Light,它至少可以在您发现的事件发生时通过电子邮件提醒您。这样,您可以采取自动措施,也可以立即采取行动。
祝你好运。