假期總是讓人流連忘返，然而，美好的時(shí)光總是短暫，隨著假期的結(jié)束，我們也迎來(lái)了新的工作篇章。作為主機(jī)運(yùn)維人員，返崗首要之務(wù)便是全面審視服務(wù)器安全運(yùn)維狀態(tài)，確保所有運(yùn)維流程無(wú)誤執(zhí)行，并排查任何潛在的安全隱患。那么，具體應(yīng)如何高效檢查主機(jī)運(yùn)維狀況呢？

一、 檢查硬件狀態(tài)

主要檢查服務(wù)器各硬件是否正常運(yùn)行、是否有報(bào)警日志、溫度是否偏高。

二、 檢查系統(tǒng)狀態(tài)

主要檢查CPU、內(nèi)存、帶寬、IO等負(fù)載是否正常，檢查磁盤(pán)可用空間是否充足。同時(shí)還需檢查系統(tǒng)日志，分析有無(wú)報(bào)警信息。

三、 檢查業(yè)務(wù)系統(tǒng)

檢查服務(wù)器上的網(wǎng)站或其他應(yīng)用是否正常運(yùn)行，對(duì)CPU、內(nèi)存、帶寬、IO的使用率是否偏高。

四、 檢查數(shù)據(jù)備份

檢查數(shù)據(jù)備份任務(wù)是否按預(yù)期計(jì)劃執(zhí)行，備份結(jié)果是否完整。

五、 檢查安全威脅

安全威脅檢查是最重要也是最復(fù)雜的，涉及方面很多：系統(tǒng)賬戶、系統(tǒng)日志、系統(tǒng)進(jìn)程、系統(tǒng)服務(wù)、IIS程序池、IIS組件、WebShell等等。

首先到系統(tǒng)賬戶處檢查是否有可疑賬戶以及新增賬戶。

然后分析系統(tǒng)日志，看看有無(wú)可疑登錄日志，以判斷服務(wù)器是否被非法登錄。

然后查看正在運(yùn)行的系統(tǒng)進(jìn)程是否有可疑進(jìn)程。

然后查看系統(tǒng)服務(wù)是否有可疑服務(wù)，尤其是已經(jīng)啟動(dòng)和自動(dòng)啟動(dòng)的服務(wù)。

然后檢查程序池是否以LocalSystem標(biāo)識(shí)啟動(dòng)，如果以此標(biāo)識(shí)啟動(dòng)程序池，那網(wǎng)站直接就有了系統(tǒng)最高管理權(quán)限，入侵將變得輕而易舉。

然后檢查是否植入了陌生組件，陌生組件一般都用于非法用途，例如劫持網(wǎng)站。

最后再對(duì)網(wǎng)站進(jìn)行一次webshell查殺，防止黑客上傳木馬后門(mén)。

總體而言，人工檢查服務(wù)器是否被入侵，是一項(xiàng)非常繁瑣的工作，而且稍不注意就會(huì)遺漏關(guān)鍵線索。建議使用《護(hù)衛(wèi)神.防入侵系統(tǒng)》的“安全巡檢防護(hù)”替代人工檢查（如下圖一），軟件定期自動(dòng)安全巡檢，有問(wèn)題及時(shí)通知管理員，非常方便。

 （圖一：主機(jī)安全巡檢）

如上圖所示，設(shè)置每隔24小時(shí)巡檢一次系統(tǒng)，巡檢范圍非常廣泛，涉及：系統(tǒng)文件、系統(tǒng)服務(wù)、網(wǎng)站安全、PHP安全、功能角色、系統(tǒng)組件、系統(tǒng)用戶、系統(tǒng)進(jìn)程、注冊(cè)表、其他。

當(dāng)發(fā)現(xiàn)異常時(shí)，立即向管理員發(fā)送消息通知（短信、微信和郵件三種方式），如下圖二：

（圖二：主機(jī)安全事件預(yù)警）

有了《護(hù)衛(wèi)神.防入侵系統(tǒng)》，安全運(yùn)維服務(wù)器是不是變得非常輕松了？

再也不需要人工肉眼檢查服務(wù)器是否被入侵了，全自動(dòng)化操作，并且檢查得還更仔細(xì)。

如果您也有此需求，趕緊部署吧。