對外發(fā)包檢查培訓(xùn)

1、關(guān)于服務(wù)器發(fā)包處理流程以下簡單說明服務(wù)器關(guān)于發(fā)包的處理流程步驟：11接到監(jiān)控部門故障工單，首先斷網(wǎng)2斷網(wǎng)之后及時通知客戶3客戶將服務(wù)器賬號密碼以工單形式提交，獲取相關(guān)信息后，及時登陸服務(wù)器，對服務(wù)器做相關(guān)檢查4檢查完畢，生成檢查報告(使用新的檢查報告模板)，檢查完后所有檢查報告以附件形式上傳至工作站相關(guān)記錄5服務(wù)器檢查報告發(fā)送至監(jiān)控值班工作人員之后，等待監(jiān)控部門處理通知，并將監(jiān)控部門處理意見反饋至客戶2處理流程 接到網(wǎng)絡(luò)監(jiān)控部門的故障受理工單（對外發(fā)包），1 首先看到的是在故障類型欄目中選擇的是斷網(wǎng)，通過此IP在網(wǎng)站后臺查詢該VPS所在宿主機，打開VC控制臺，找到該VPS，選擇編輯設(shè)置，將網(wǎng)絡(luò)

2、適配器取消連接“確定”即可3處理流程4處理流程2 完成斷網(wǎng)后，根據(jù)工單下的客戶聯(lián)系方式及時電話聯(lián)系并通知客戶，通過電話向客戶解釋斷網(wǎng)原因，并向客戶索取服務(wù)器賬號以及密碼（以工單形式提交），方便登陸服務(wù)器檢查原因。聯(lián)系客戶完畢，將此問題在工作站上做記錄（方便其他同事受理客戶工單時更加快捷知道斷網(wǎng)的原因）（備注：如果電話聯(lián)系不上客戶，需在工作站上注明是否同客戶取得聯(lián)系并說明斷網(wǎng)緣由）5處理流程3 客戶將服務(wù)器賬號密碼以工單形式提交，獲取相關(guān)信息后，及時登陸服務(wù)器，對服務(wù)器做相關(guān)檢查主要檢查內(nèi)容：（1）系統(tǒng)帳號（2）系統(tǒng)木馬（3）黑客工具（端口掃描 木馬程序 ARP掛馬工具）6（1）系統(tǒng)帳號在這個時

3、候首先你要檢查你的用戶，當(dāng)多了一些從來沒有的帳號或GUEST被激活那肯定是有黑客進(jìn)入了，但無這個現(xiàn)象的時候也要檢查是否有隱藏用戶，現(xiàn)在黑客進(jìn)入你主機后會建立一個隱藏用戶，特征為用戶名帶$符號，檢查方法為：點開始運行，輸入regedit，選擇HKEY_LOCAL_MACHINE，點SAMSAM，默認(rèn)是看不到下面的內(nèi)容，這個時候點到SAM，點安全權(quán)限，選擇administrator權(quán)限為完全控制，確定。然后點開始運行，輸入regedit，選擇HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames，下面顯示的就是你的機子的所有用戶名，如出現(xiàn)帶$符號的用戶，立

4、即刪除，這樣就可以確保你主機沒有非法用戶了7（1）系統(tǒng)帳號一般來說：黑客成功入侵服務(wù)器之后，在離開服務(wù)器之前都會做善后處理，清理自己的登陸歷史；包括相關(guān)系統(tǒng)日志，不過幾乎很少黑客這樣去做，通常在C:Documents and Settings 目錄下都會發(fā)現(xiàn)系統(tǒng)賬號的登陸信息，甚至是在服務(wù)器上做過什么操作，都可以詳細(xì)查看。8（2）系統(tǒng)木馬在你服務(wù)開啟以后，進(jìn)入DOS界面，輸入netstat -an ,下面顯示的就是你主機的所有連接，查看是否有你所不熟悉的端口連接，例如一些著名的木馬端口：木馬冰河7626、黑洞2004 、灰鴿子8225 等等，不過現(xiàn)在的一些木馬都可以自定義端口了，所以看到不熟悉

5、的端口連接都要小心了，如沒發(fā)現(xiàn)有特殊的端口連接也不表示你就沒有中木馬，這個時候就要輸入netstat -A，查看TCP端口里的LISTENING，那些端口都是等待連接的端口，同樣發(fā)現(xiàn)特殊的就要小心了。9（2）系統(tǒng)木馬如何發(fā)現(xiàn)自己有沒有中木馬呢？這就要你在任務(wù)管理器里看進(jìn)程了，木馬都是注冊為服務(wù)后臺運行的，這時候你可能會問進(jìn)程里有很多程序名啊，分不清哪些是正常的，這里我會在下面提供所有正常運行的程序的解釋，大家對照看就行了，如果不在下面的解釋里的程序，那就有可能是木馬，例如現(xiàn)在的ANGEL后門，它在進(jìn)程里就為angel.exe，當(dāng)發(fā)現(xiàn)不知道的程序名的時候，很簡單你在C盤下搜索該名字，那么就會找到

6、它所在的文件夾，而即使發(fā)現(xiàn)它所在文件夾，為何又刪除不了在進(jìn)程里也不讓結(jié)束呢？因為它已經(jīng)注冊為服務(wù)，只有在你的服務(wù)里把它先停止掉，才可以刪除，例如ANGEL后門這個，你進(jìn)入服務(wù)后就可以找到它，把它停止再卸載就可以了 10（2）系統(tǒng)木馬11（3）黑客工具（端口掃描 木馬程序 ARP掛馬工具）常見的黑客工具包括：端口掃描工具（常見：135 端口 445端口 1433端口 3306端口3389 端口）如果客戶的服務(wù)器開放這些端口，都會被黑客使用掃描工具進(jìn)行掃描，進(jìn)而獲取相關(guān)權(quán)限，達(dá)到入侵服務(wù)器的目的木馬程序 （常見冰河木馬 灰鴿子 特洛伊木馬）12（3）黑客工具（端口掃描 木馬程序 ARP掛馬工具）1

7、3（3）黑客工具（端口掃描 木馬程序 ARP掛馬工具）14（3）黑客工具（端口掃描 木馬程序 ARP掛馬工具）ARP掛馬工具 （服務(wù)器感染ARP病毒之后，通常冒充網(wǎng)關(guān)地址，對同一網(wǎng)段內(nèi)的其他服務(wù)器發(fā)送arp欺騙包，導(dǎo)致局域網(wǎng)內(nèi)部服務(wù)器無法連接網(wǎng)絡(luò)），發(fā)現(xiàn)此類中ARP機器，接到通知后應(yīng)立即斷網(wǎng)。斷網(wǎng)后及時聯(lián)系客戶清理此類病毒，由于ARP病毒系系統(tǒng)病毒，一般清理難度較大，通常建議客戶通過系統(tǒng)視圖備份一下服務(wù)器系統(tǒng)盤以及桌面上的重要數(shù)據(jù)，重新安裝一下操作系統(tǒng)。15（3）黑客工具（端口掃描 木馬程序 ARP掛馬工具）待客戶操作系統(tǒng)安裝完成后，及時聯(lián)網(wǎng)即可。在此期間，需要將相關(guān)操作信息在工作站上做詳細(xì)記錄并說明。16處理流程4 檢查完畢，生成檢查報告(使用新的檢查報告模板)，檢查完后所有檢查報告以附件形式上傳至230.