十大x86服務(wù)器常見故障

現(xiàn)在應(yīng)用最為廣泛的服務(wù)器架構(gòu)莫過于x86,而大小企業(yè)的運(yùn)維人員一一網(wǎng)管、系統(tǒng)管理員、工程師們，大多數(shù)人接觸的也都是x86系統(tǒng)。由于X86服務(wù)器和臺(tái)式機(jī)有著很多相似之處，其常見故障也有相似的癥狀與排障手法。本文介紹十大x86服務(wù)器最為常見的系統(tǒng)軟件故障。【51CTO獨(dú)家特稿】現(xiàn)在應(yīng)用最為廣泛的服務(wù)器架構(gòu)莫過于x86,而大小企業(yè)的運(yùn)維人員——網(wǎng)管、系統(tǒng)管理員、工程師們，大多數(shù)人接觸的也都是x86系統(tǒng)。51CTO服務(wù)器頻道昨天推薦了十大X86服務(wù)器常見故障一一硬件篇，今天由系統(tǒng)頻道來介紹十大x86服務(wù)器常見故障系統(tǒng)篇。系統(tǒng)故障篇Top10系統(tǒng)故障回放：系統(tǒng)死機(jī)、莫名其妙的重啟、藍(lán)屏、中毒、反應(yīng)遲鈍等等跡象Aproblemhasbeendetectedandha*5hutdowntoprevientdamagetoyourooniput-ef'.PFN_LIST_CORRUPTLfthisisthefirsttime弓應(yīng)anthismtoperrorscreen,restartyourcoftiputer.ifthisscreenAggie,followtheseHeps;checktomakesureanynewhardwareor*softwareispr&perlyinstall&d.ifthisisanewinstalllatiortHy&urhai'dwareorsoftwaremanufacturerforanywirtchw?updatesyoumightneed.ifproblemsccirtinue,,d-i^ableorrertK-veanyne>vlyinstalledhardwareorsoftware□DisableBIOSmemc-ryoptionssuchascachingorwhajdowing,ifyoutous&Safe幅&toranovaordisableccfliponenrts,restartyourcomputer,pressF8seiectAdvancedstartupoptions,andthenselectSafeMode.Technicalinfcrmation:"占STOPrOxCiOOO口。物(0^00000099,OxDQOOOOOGhOkOOGOOOOO,0^00000000)beginningdunpofphysicalfliemoryPhysicalfliemc-rydumpccmplete.ContactyaursysteinadhiioistratorartechnicalsupportgroupForfurtherassistance.藍(lán)屏解決方案：服務(wù)器同普通PC一樣，同樣會(huì)中毒、同樣會(huì)因?yàn)槔畔⑦^多而反應(yīng)緩慢、同樣會(huì)因?yàn)槟承┫到y(tǒng)漏洞導(dǎo)致死機(jī)、藍(lán)屏。多數(shù)情況下我們只需要重裝一下系統(tǒng)就可以了，但是在日常的運(yùn)維過程中，我們要時(shí)刻進(jìn)行數(shù)據(jù)的備份工作，在系統(tǒng)安裝之前也需要通過WinPE的第三方軟件，將系統(tǒng)盤的關(guān)鍵數(shù)據(jù)予以導(dǎo)出，這個(gè)操作和普通PC類似，也較為簡(jiǎn)單，這里不再贅述。危害程度：★

綜合評(píng)定：★☆Top9低級(jí)攻擊行為故障回放：某企業(yè)網(wǎng)安人員近期經(jīng)常截獲一些非法數(shù)據(jù)包，這些數(shù)據(jù)包多是一些端口掃描、SATAN掃描或者是IP半途掃描。它們的行為動(dòng)作基本一致：掃描間隔很長(zhǎng)，但時(shí)間很短，每天掃描1~5次，或者是掃描一次后就不在有任何的動(dòng)作，因此網(wǎng)安人員獲取的數(shù)據(jù)并沒有太多的參考價(jià)值，攻擊行為并不十分明確。IF地址|返回...|地址熟I誅聳.?.|返回時(shí)間127.0.0.1127.0.0.T127.~0?0~3127.00.4127.0.0.1127.0.0.T127.~0?0~3127.00.4127.C0.5m.0.0.67Z7272727272127.0.0.7戲127.0.0.872127.0.0.9127.0.0.10■127.Q-QL1T127.O~0.12■27.G.0.127.0.0.15127.0.0.167272727272727272127.0.0.1772127.0.0.1872127.0.0.19其127.O'.0.2072地址存在1DC：=il.<10地址存在local.<10地址存在1ocal."710地址存在Ideal.-^10地址存在10C：=il.,X10地址存在10C：=il.:頌地址存在10C：dl.<10地址存在10C：dl.<10跪址存在10C：dl.<10詢址存在10C：dl.3io地址存在10C：dl."7io地址存在1DC：dl.310地址存在1DC：=il.<10地扯存在lucal.:<10地址存在1DC：=il.■<io地址存在1DC：=il._^10地址存在1DC：=il.<10地址存在local.<10地址存在10C：=il."710地址存在1II.11-1—1—10C：=il.<10:?IP掃描解決方案：在眾多的掃描事件中，如果掃描一次后就銷聲匿跡了，就目前的網(wǎng)絡(luò)設(shè)備和安全防范角度來說，該掃描者并沒有獲得其所需要的資料，很有可能是一些黑客入門級(jí)人物在做簡(jiǎn)單練習(xí)；而如果每天都有掃描則說明自己的網(wǎng)絡(luò)已經(jīng)被盯上，我們要做的就是盡可能的加固網(wǎng)絡(luò)，同時(shí)反向追蹤掃描地址，如果可能給掃描者一個(gè)警示信息也未嘗不可。幾乎90%的攻擊行為不會(huì)造成實(shí)質(zhì)性的威脅，它的級(jí)別也是很低的。危害程度：★★控制難度：★★綜合評(píng)定：★★Top8系統(tǒng)端口故障回放：某公司擴(kuò)大經(jīng)營(yíng)，在全國(guó)大中型城市都建立辦事處和分支機(jī)構(gòu)，這些機(jī)構(gòu)與總公司的信息數(shù)據(jù)協(xié)同辦公，由于VPN的使用成本和技術(shù)難度相對(duì)較高，于是終端服務(wù)成為該公司與分支機(jī)構(gòu)的信息橋梁。但是由于技術(shù)人員的疏忽，終端服務(wù)只是采取默認(rèn)的3389端口，于是一段時(shí)間內(nèi)，基于3389的訪問大幅增加，這其中不乏惡意端口滲透者。終于有一天終端服務(wù)器失守，Administrator密碼被非法篡改，內(nèi)部數(shù)據(jù)嚴(yán)重流失。更改默認(rèn)端口解決方案：對(duì)于服務(wù)器我們只需要保證其最基本的功能，它們并不需要太多的端口做支持，因此一些不必要的、又充滿風(fēng)險(xiǎn)的端口大可以封掉，對(duì)于Windows操作系統(tǒng)我們可以借助于組策略，Linux可以在防火墻上多下點(diǎn)功夫；而一些可以改變的端口，比如終端服務(wù)的3389、Web的80端口，通過注冊(cè)表或者其他相關(guān)工具都能夠?qū)⑵湓O(shè)置成更為個(gè)性，不易猜解的秘密端口。端口關(guān)閉或者改變了，那些不友好的訪客就像無頭蒼蠅，自然無法進(jìn)入，上述故障也就不會(huì)成為服務(wù)器的安全隱患了。危害程度：★★★控制難度：★★☆綜合評(píng)定：★★☆Top7漏洞故障回放：B企業(yè)部署外網(wǎng)郵箱服務(wù)器，經(jīng)過多次評(píng)審選擇了“imai作^服務(wù)器端，在一段時(shí)間的運(yùn)行與測(cè)試中，imail表現(xiàn)的表現(xiàn)上佳。但是沒過多久，imail的用戶經(jīng)常收到垃圾郵件，同時(shí)一些關(guān)鍵的、核心的資料也在悄然不覺中流失了。經(jīng)過IT部門和公安部門聯(lián)合調(diào)查，原來是負(fù)責(zé)產(chǎn)品研發(fā)的一名工程師跳槽到對(duì)手公司，這個(gè)對(duì)手公司的IT安全人員了解到B企業(yè)使用的imail服務(wù)端，于是群發(fā)攜帶弱加密算法漏洞的垃圾郵件，從而嗅探到關(guān)鍵人員的賬戶、密碼，遠(yuǎn)程竊取郵箱內(nèi)的核心資料。LatestSecurityUpdate?MS09-028-addressesavulnerabilityinMicrosoftWindows(KB971633)MS09-029-addressesavulnerabilityinMicrosoftWindows(KB961371)MS09-030-addressesavulnerabilityinMicrosoftOffice(KB969516)MS09-031-addressesavulnerabilityinMicrosoftISAServer(KB970953)MS09-032-addressesavulnerabilityinMicrosoftInternetExplorer(KB973346)MS09-033-addressesavulnerabilityinMicrosoftVirtualPC(KB969856)安全更新解決方案：任何系統(tǒng)和軟件，在初期設(shè)計(jì)過程中不可能想到或做到所有的事情，于是一個(gè)軟件運(yùn)作初期貌似完整、安全，但運(yùn)行的時(shí)間長(zhǎng)了就會(huì)出現(xiàn)很多無法預(yù)知的錯(cuò)誤，對(duì)于企業(yè)級(jí)網(wǎng)絡(luò)安全人員來說，避免這些錯(cuò)誤除了重視殺毒軟件和硬件防火墻外，還要經(jīng)常性、周期性的修補(bǔ)軟件、系統(tǒng)、硬件、防火墻等安全系統(tǒng)的補(bǔ)丁，以防止一個(gè)小小的漏洞造成不可挽回的損失。危害程度：★★★☆控制難度：★★☆綜合評(píng)定：★★★Top6軟件沖突故障回放：近日，Exchange服務(wù)器經(jīng)常出現(xiàn)藍(lán)屏現(xiàn)象，且出現(xiàn)的時(shí)間間隔不等，重新啟動(dòng)服務(wù)器后，不用進(jìn)行任何操作，系統(tǒng)和Exchange服務(wù)都會(huì)自行修復(fù)，不會(huì)有任何異常，但是短則幾分鐘，長(zhǎng)則幾小時(shí)依舊藍(lán)屏。由于時(shí)間間隔不等，懷疑是有人惡意攻擊服務(wù)器，但是事件查看器沒有任何攻擊跡象，軟件層面的過濾非常正常，對(duì)系統(tǒng)進(jìn)行病毒查殺，木馬、蠕蟲、后門、病毒均未出現(xiàn)在系統(tǒng)內(nèi)。軟件沖突解決方案：排除了硬件層面、人為攻擊、病毒感染等種種因此，將故障的焦點(diǎn)轉(zhuǎn)移到了系統(tǒng)本身，懷疑是某些軟件與系統(tǒng)，或者是Exchange產(chǎn)生了沖突，由于服務(wù)器本身安裝的軟件并不多，遂逐一卸載，最終得出結(jié)論卸載瑞星殺毒軟件后，系統(tǒng)和Exchange終于恢復(fù)正常，藍(lán)屏現(xiàn)象終于解決。類似這種沖突有很多，比如紫光拼音輸入法和Explorer的沖突，某些驅(qū)動(dòng)程序之間的沖突，其實(shí)避免這些沖突最好的辦法就是盡量的少裝軟件，畢竟服務(wù)器不同于個(gè)人電腦，它更注重穩(wěn)定，少一個(gè)軟件就少了一份風(fēng)險(xiǎn)。危害程度：★★★☆控制難度：★★★綜合評(píng)定：★★★☆Top5服務(wù)故障故障回放：C公司W(wǎng)eb網(wǎng)站的導(dǎo)航信息出現(xiàn)了一些變化，這個(gè)信息Web管理人員并不經(jīng)常訪問，沒有引起太多注意。后來IIS管理員在日志巡檢時(shí)發(fā)現(xiàn)這個(gè)問題，并進(jìn)一步判斷網(wǎng)絡(luò)有入侵的痕跡，經(jīng)過多番追蹤，將目光鎖定在系統(tǒng)服務(wù)身上。經(jīng)查，系統(tǒng)服務(wù)總數(shù)量并沒有變化，但是一個(gè)早已被禁用的服務(wù)被莫名其妙的開啟，同時(shí)其指向的路徑和文件名也正常服務(wù)大相徑庭。不用說，IIS被入侵，黑客為了能繼續(xù)操作該服務(wù)器，將系統(tǒng)服務(wù)做了手腳，將其指定為其所需的黑客程序。

，?啷曝.二-心憧點(diǎn)韋柱霍案■：苦百度媛慕心.科，?啷曝.二-心憧點(diǎn)韋柱霍案■：苦百度媛慕心.科S互部鋼礎(chǔ)邳一―首英召比附站親要.0行以■下加陛項(xiàng)"Microsol：torpor孫。甘中的Wm@g5^ed!3Aafp^rCffre*.如果部5任該場(chǎng)站更牌幗畫樣尤許遠(yuǎn)礦心EWE快瓶審橫樣案■Wfriife］叫Inl-Mnell-Mpkir-errt—：—t.：■二■■:—..■?n未國(guó)同頁(yè)的灑息"!、君5就□湖南通管局?口打電話給ECP,他說他不甫楚要打電話蛤地區(qū)峋通管同.fr=?僉解決方案：對(duì)于這種故障有時(shí)我們并不能快速的察覺，因?yàn)樗]有對(duì)網(wǎng)絡(luò)和系統(tǒng)造成物理或邏輯的傷害，所以我們只能通過有效的審核工作來排查系統(tǒng)的異常變化，同時(shí)我們還需要經(jīng)常性為當(dāng)前系統(tǒng)服務(wù)建立一個(gè)批處理文件，一旦出現(xiàn)服務(wù)被篡改，我們又不能快速確定那個(gè)服務(wù)出現(xiàn)故障時(shí)，我們就可以快速的執(zhí)行這個(gè)批處理文件，恢復(fù)到備份前的正常服務(wù)狀態(tài)。危害程度：★★★☆控制難度：★★★☆綜合評(píng)定：★★★☆Top4資料泄密故障回放：A公司的廠區(qū)規(guī)模非常大，作為制造型企業(yè)每天都有貨物的進(jìn)出，且該公司的筆記本數(shù)量遠(yuǎn)超于臺(tái)式機(jī)，為了方便員工辦公需求，A公司決定在整個(gè)工廠區(qū)部署無線網(wǎng)絡(luò)，為了保證信號(hào)的強(qiáng)度，A公司在多個(gè)區(qū)域部署了全向和定向天線。如此一來，公司理貨的速度和效率大幅提高，筆記本用戶的流動(dòng)性也發(fā)揮了更大的作用。但是無線網(wǎng)絡(luò)的覆蓋面太大也給其競(jìng)爭(zhēng)對(duì)手流下了可乘之機(jī)。B公司就派人隱匿在A公司的附近，伺機(jī)截取無線網(wǎng)絡(luò)的密碼，并進(jìn)一步獲知其敏感數(shù)據(jù)。竊取無線密碼解決方案：類似這樣的監(jiān)聽不計(jì)其數(shù)，不僅僅是無線網(wǎng)絡(luò)，有線網(wǎng)絡(luò)同樣由此困惑。監(jiān)聽者有的是為了獲得一些明文的資料，當(dāng)然這些資料的可利用性不是很高；還有的已經(jīng)翻譯出相關(guān)的網(wǎng)絡(luò)密碼，又想獲知更深層的數(shù)據(jù)，于是在進(jìn)出口附近架設(shè)監(jiān)聽。預(yù)防這種監(jiān)聽我們要將網(wǎng)絡(luò)按照一定規(guī)則劃分成多個(gè)VLAN，將重要服務(wù)予以隔離；然后將網(wǎng)內(nèi)所有的重要數(shù)據(jù)進(jìn)行加密傳輸，即使被惡意監(jiān)聽也很難反轉(zhuǎn)成可用信息，再有使用''蜜罐〃技術(shù)營(yíng)造出一個(gè)充滿漏洞的偽終端，勾引監(jiān)聽者迷失方向，最后我們還需要使用antisniffer工具對(duì)網(wǎng)絡(luò)定期實(shí)施反監(jiān)聽，嗅探網(wǎng)絡(luò)中的異常數(shù)據(jù)。危害程度：★★★☆控制難度：★★★★☆綜合評(píng)定：★★★★Top3密碼故障回放：某IT人員離職，新的工作與前公司的操作模式有相同之處，于是''想?yún)⒖肌ㄒ幌虑肮镜囊恍┥虡I(yè)數(shù)據(jù)。正所謂''近水樓臺(tái)先得月〃，由于這名IT人員了解前公司的管理員賬戶和密碼規(guī)則，于是暴力破解開始了。首先他生成了100GB的暴力字典，這個(gè)字典囊括了前公司所要求的密碼規(guī)則，再找來一臺(tái)四核服務(wù)器，以每秒破解千萬組密碼的速度瘋狂的拆解，N個(gè)晝夜以后，密碼終于告破，那些被''參考〃的商業(yè)資料直接導(dǎo)致這名IT人員前公司近百萬的損失。

暴力破解密碼解決方案：管理員設(shè)置密碼最重要的一點(diǎn)就是復(fù)雜，舉個(gè)例子：D級(jí)破解（每秒可破解10,000,000組密碼），暴力破解8位普通大小寫字母需要62天，數(shù)字+大小寫字母要253天，而使用數(shù)字+大小寫字母+標(biāo)點(diǎn)則要23年，這只是8位密碼，但是我們覺得還不夠，如今固態(tài)硬盤的崛起使得破解密碼的速度更快，因此，我們推薦密碼長(zhǎng)度最少為10位，且為數(shù)字+大小寫字母+特殊符號(hào)的組合，密碼最長(zhǎng)使用期限不要超過30天，并設(shè)置帳戶鎖定時(shí)間和帳戶鎖定閾值，這個(gè)能很好的保護(hù)密碼安全。危害程度：★★★★控制難度：★★★★★綜合評(píng)定：★★★★☆Top2虛擬化故障回放：為節(jié)約物理服務(wù)器的購(gòu)置成本，降低UPS、冷卻系統(tǒng)的電力壓力，很多公司部署了虛擬化環(huán)境，將數(shù)十臺(tái)服務(wù)整合在一臺(tái)物理服務(wù)器之上，一旦這臺(tái)物理服務(wù)器出現(xiàn)硬件層面的損壞，其所建立的虛擬的服務(wù)將均告