hazymat's questions

最近，我们的一位客户接受了另一家（第三方）IT 审计公司的 IT 网络审计。结果总体不错，尽管他们指出我们在 Windows Server 上使用 iSCSI 客户端作为连接 NAS 的一种方式，而不是在 NAS 上创建 SMB 共享。他们认为这是一个坏主意：

“iSCSI 和勒索软件攻击也存在安全风险，可能会对 iSCSI 磁盘进行非法加密，导致数据无法读取。从安全角度来看，建议停用这种数据共享方法并采用共享方法。”

他们这是什么意思？它是否指的是 iSCSI 在比 SMB （应用程序）更低的 OSI 层（会话）上运行，并且 iSCSI 磁盘以与本地连接磁盘相同的方式呈现给应用程序层，因此更容易妥协？

如果是这样，正确吗？

我不是安全取证专家，尽管我们的工作通常是取证性质的。我的理解是，勒索软件攻击给定 Win 机器可访问的 SMB 共享上的数据的可能性与攻击 iSCSI 磁盘的可能性一样。

我的理解是正确的，还是我错过了什么？

问题的附加背景

1. CHAP 密码是在 iSCSI 服务器上设置的，所以我认为他们提出的观点与安装了 iSCSI 客户端的 Win 服务器的妥协有关。

2. 只连接了一个 iSCSI 客户端，并且采用了非常强大的“网络卫生”来确保此密码在任何时候都不会输入到网络上或网络外的任何其他服务器或机器中。

3. 通常，我们倾向于坚持使用 iSCSI 来使 NAS 磁盘可用于 Windows Server 我们发现，当 Windows 处理文件系统时，DACL 中的高级访问控制条目 (ACE) 没有任何问题。例如，QNAP 的实施过去在 ACE 排序方面存在问题，这可能是有问题的。我们还发现了在子对象上设置 CONTAINER_INHERIT_ACE 的错误（已传达给 QNAP，但至今仍未解决）。这一点与这个问题并不严格相关，但为我们为什么更喜欢 iSCSI 提供了一些背景信息。

4. 与我的上述观点相反，在这个特定客户的情况下，有问题的 iSCSI 附加磁盘使用 ReFS 进行格式化，因为它用作 Veeam 备份存储。尽管技术上没有要求，但出于性能原因，Veeam 建议使用 ReFS 而不是 NTFS，因此我们倾向于使用此选项。（这是一篇很好的文章，解释了用于备份的 ReFS 与 NTFS。）这些收益只有在我们使用 iSCSI 时才有可能，而不是在我们将 NAS 移动到 SMB 时。

5. 我已经阅读了一些关于这个主题的内容，并且找不到任何支持证据表明 iSCSI 比通过网络共享连接更容易受到勒索软件的影响，但我仍然持开放态度。

我将 Windows Server Backup 连接到 2 个 NAS 设备（通过 iSCSI），每个设备都位于不同的建筑物中以实现弹性。

我想从 WSB 备份到两个目标。WSB 支持多个目标，但是MS 建议通过将一个物理磁盘移到异地来轮换备份目标，然后定期切换它们。大概适用于 USB 磁盘而不是固定的网络连接目标。

相反，我显然想同时备份两者，但上面的文章表明这​​不受支持。一个可接受的折衷方案可能是交替备​​份到每个目标。

上述文章指出；

• 要强制将备份保存到特定磁盘，您可以分离或禁用备份系列中的所有其他磁盘。

也许为了实现我的目标，我可以创建一个运行脚本的计划任务，该脚本使一个目标脱机（在磁盘管理中）并使另一个目标重新联机。

尽管可能是一个可接受的解决方案，但上述内容有些笨拙。

有没有更好的办法？

请不要推荐替代产品。我的问题是针对 Windows Server Backup 的，我想在此限制内找到最强大的解决方案。

系统管理员早就知道快照，或者现在称为“检查点”，非常适合开发/测试，但不适合在生产中使用，因为它们需要一系列 VHDX 文件，从而使服务器更慢且更容易受到影响到腐败。并且可能出于其他原因。

但是我想知道在实验室环境中设置一些虚拟机（运行 2016 服务器），安装 AD 和其他一些服务，同时检查所有这些是否明智，然后当我对配置通过删除应合并 VHDX 文件的先前检查点将这些部署到生产中。

我想知道这样做是否会有效地消除具有检查点的机器可能存在的所有可能的性能问题。

我在网上没有找到讨论这个问题的文章。

这是针对刚刚将教室搬到新站点上的新建筑物的学校（出于紧急原因），我们有暑假将他们的域迁移到我从头开始设置的新域，所以我想要在将其投入生产之前花一些时间使配置变得完美。他们已经经历了足够多的动荡，而没有糟糕地实施新的 AD 域！

笔记

• 我知道 Server 2016 的新“生产”检查点，它使用 VSS 并允许应用程序一致的检查点。老实说，我并不完全理解这意味着什么，但我认为它甚至可以让回滚 SQL 或 Exchange 服务器成为可能。

• 我也知道微软已经建议不要在 Active Directory 域控制器的生产中使用检查点，尽管我身体里的每一根骨头都对这个建议持怀疑态度。2007 年，我根据所有最佳实践建议在 VMWare 虚拟机上为 150 个用户运行了一个 Exchange 服务器，并且由于硬件由它决定，所以多年来它运行起来就像一个梦想。

我喜欢首字母缩略词 RAT（远程访问木马），因为它类似于另一种你需要从厨房中清除的东西，并且因为当你摆脱一个并找到它造成的孔并修复孔并设置陷阱和花时间进入老鼠的思想，直到你用混凝土重建你的房子，你仍然无法真正摆脱自己。

在 .htaccess 中，处理受损服务器的建议临时措施可能是：

RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REMOTE_ADDR} !123.456.789.000
RewriteRule .* /nopost.html [R=301,L]

一些老鼠在你的厨房拉屎，一些老鼠帮助其他老鼠，还有一些偷你的食物。

鉴于 access.log 显示了在这些注入的 base64 编码文件上发生的全部 POST 请求，假设上述阻止 POST 请求将解决这些害虫进一步繁殖的问题是否正确，更不用说它们不会被允许同时在厨房地板上张贴便便？

还是它会阻止老鼠的沉积？

我的问题是关于防止 php 脚本发送邮件。它已被标记为另一个关于服务器安全的更一般问题的副本，但这不是这个问题的意义所在。

在与以某种方式将流氓 base64 编码的 php 文件注入我的 Debian / Apache / PHP 服务器上的各种 web 目录的黑客进行了长期而激烈的斗争之后，（这场激烈的斗争涉及首先修补现有脚本和更改 ftp 密码、Web 服务密码和 mysql密码，然后从头开始重建站点，安装maldet - 这已经遏制了问题但没有完全消除它 - 最后通过停止服务（但不卸载）完全关闭postfix，然后在防火墙处阻止来自服务器的端口25流量）我仍然有问题。

我的问题消失了好几个月，根据 mxtoolbox，服务器自动从黑名单中删除。但今天我收到一封 mxtoolbox 电子邮件，说我的服务器再次被许多服务列入黑名单。鉴于我已禁用传出端口 25 流量，我不完全理解这是怎么可能的。

当出现问题时，我的 postfix mailq 会填满来自我服务器上给定网络用户的数十万封电子邮件。

我的问题是这样的：

1. 鉴于我已禁用端口 25 流量 iptables -A OUTPUT -p tcp --dport 25 -j REJECT，mxtoolbox 怎么可能报告我的服务器仍在发送垃圾邮件？当我检查 mailq 时，邮件已备份。当我启动 postfix 时，mailq 中的项目并没有像我预期的那样发送，我(delivery temporarily suspended: connect to 127.0.0.1[127.0.0.1]:10024: Connection refused)在每个条目旁边看到。

2. 通过查看 mailq 中的垃圾邮件中的行来确定 RAT 的位置后X-PHP-Originating-Script，我可以找到并销毁有问题的文件，这可以在 5 天到数月之间的任何时间解决问题。如何完全阻止任何 php 脚本发送邮件？如果我进入disable_functions = mail我的 php.ini 文件，我知道这会阻止使用内部函数，但不会阻止垃圾邮件发送者可以利用的自定义函数。

3. 我还有什么做错的？

警告：我知道 #2 并不能从根本上解决我的问题，但是在我了解了几年以来，我已经听取了建议并以我所了解的许多方式加强了我的服务器的安全性，我正在努力“处理邮件信誉问题”而不是“解决所有安全问题期间”。

这是我关于 ServerFault的最后一个相关问题的后续。

我托管了一个面向公众的 Web 服务器，运行 Debian Wheezy，以及最新版本的 Postfix、Apache、PHP、Spamassassin、ClamAV、rootkit Hunter。Apache 配置了一些虚拟主机，每个虚拟主机都与一个用户绑定，并由 suExec 和 Suhosin 保护。这些网站运行 Wordpress 和 ModX，根据平均法则，考虑到这台服务器上的安装数量，至少 20% 的网站在任何给定时间都会存在某种漏洞，无论是来自 CMS 本身还是来自外部-of-date 插件。

我收到了来自优秀 MX Toolbox 网站的通知，该网站针对 100 多个黑名单监控 IP 地址。

当我听到我的 IP 地址再次被添加到给定的黑名单时，我立即 ssh 进入，暂停 Postfix

postfix stop

稍等几秒，查看邮件队列

mailq

由此我可以立即知道垃圾邮件的源用户/虚拟主机，因为所有邮件都来自“random-name@mywebsite.com”，其中“mywebsite.com”是托管在导致问题的虚拟主机上的域。

然后我使用出色的 maldet 运行手动恶意软件检测扫描，问题就消失了。如果我修补网站上所有已知的插件和软件，问题就会消失大约 6 个月。如果我不这样做，它会在大约一周内恢复。

出于测试目的，我已经让 Postfix 停止了几个月，但一些木马显然绕过了邮件服务器并直接发送邮件。（我从服务器资源监控、黑名单监视和退回到我域的垃圾邮件中知道这一点。更不用说 Postfix mailq 会填满例如 65,000 封未发送的邮件。）

由于我更关心邮件的真实性而不是通过我托管的网站发送电子邮件的能力，因此我采取了许多步骤，即确保我的每个域的 SPF 记录不会将我自己的服务器识别为该域的权威邮件来源. 至少这意味着我的域名不会被自动列入黑名单。

我的问题。有没有一种巧妙的方法可以简单地使用 IPTABLES 阻止所有外发电子邮件？我的意思不仅仅是阻止使用电子邮件服务器 Postfix 发送的邮件，而是所有可能最终导致我的服务器被列入黑名单的流量？

在我找到解决此问题的其他方法之前，我不介意禁止网站发送任何邮件。这并不理想，因为我使用一些来创建自己的业务，但同时我可以找到其他解决方案。