可以修改注冊(cè)表實(shí)現(xiàn)完全隱藏:“HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/Current-Version/Explorer/Advanced/Folder/Hi-dden/SHOWALL”�����,鼠標(biāo)右擊“CheckedValue”�,選擇修改���,把數(shù)值由1改為0
2���、啟動(dòng)系統(tǒng)自帶的Internet連接防火墻����,在設(shè)置服務(wù)選項(xiàng)中勾選Web服務(wù)器����。
4. 禁止響應(yīng)ICMP路由通告報(bào)文
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters/Interfaces
5. 防止ICMP重定向報(bào)文的攻擊
6. 不支持IGMP協(xié)議
運(yùn)行中輸入 Dcomcnfg.exe��。 回車, 單擊“控制臺(tái)根節(jié)點(diǎn)”下的“組件服務(wù)”。 打開(kāi)“計(jì)算機(jī)”子文件夾。
對(duì)于本地計(jì)算機(jī),請(qǐng)以右鍵單擊“我的電腦”���,然后選擇“屬性”。選擇“默認(rèn)屬性”選項(xiàng)卡����。
注:3-6項(xiàng)內(nèi)容我采用的是Server2000設(shè)置����,沒(méi)有測(cè)試過(guò)對(duì)2003是否起作用�。但有一點(diǎn)可以肯定我用了一段的時(shí)間沒(méi)有發(fā)現(xiàn)其它副面的影響。
3、刪除系統(tǒng)盤(pán)下的虛擬目錄�����,如:_vti_bin�����、IISSamples、Scripts��、IIShelp、IISAdmin���、IIShelp��、MSADC。
右鍵單擊“默認(rèn)Web站點(diǎn)→屬性→主目錄→配置”,打開(kāi)應(yīng)用程序窗口���,去掉不必要的應(yīng)用程序映射。主要為.shtml, .shtm, .stm
UrlScan是一個(gè)ISAPI篩選器��,它對(duì)傳入的HTTP數(shù)據(jù)包進(jìn)行分析并可以拒絕任何可疑的通信量�。目前最新的版本是2.5,如果是2000Server需要先安裝1.0或2.0的版本�。下載地址見(jiàn)頁(yè)未的鏈接
但如果你在服務(wù)器運(yùn)行ASP.NET程序�����,并要進(jìn)行調(diào)試你需打開(kāi)要%WINDIR%/System32/Inetsrv/URLscan
文件夾中的URLScan.ini 文件,然后在UserAllowVerbs節(jié)添加DEBUG謂詞�����,注意此節(jié)是區(qū)分大小寫(xiě)的���。
如果你的網(wǎng)頁(yè)使用了非ASCII代碼�����,你需要在Option節(jié)中將AllowHighBitCharacters的值設(shè)為1
8、利用WIS (Web Injection Scanner)工具對(duì)整個(gè)網(wǎng)站進(jìn)行SQL Injection 脆弱性掃描.
右擊實(shí)例選屬性-常規(guī)-網(wǎng)絡(luò)配置中選擇TCP/IP協(xié)議的屬性,選擇隱藏 SQL Server 實(shí)例��,并改原默認(rèn)的1433端口����。
添加—名稱設(shè)為Web篩選器—點(diǎn)擊添加—在描述中輸入Web服務(wù)器—將源地址設(shè)為任何IP地址——將目標(biāo)地址設(shè)為我的IP地址——協(xié)議類型設(shè)為T(mén)cp——IP協(xié)議端口第一項(xiàng)設(shè)為從任意端口��,第二項(xiàng)到此端口80——點(diǎn)擊完成——點(diǎn)擊確定�。
添加—名稱設(shè)為所有入站篩選器—點(diǎn)擊添加—在描述中輸入所有入站篩選—將源地址設(shè)為任何IP地址——將目標(biāo)地址設(shè)為我的IP地址——協(xié)議類型設(shè)為任意——點(diǎn)擊下一步——完成——點(diǎn)擊確定�����。
3����、在管理篩選器操作選項(xiàng)下點(diǎn)擊添加——下一步——名稱中輸入阻止——下一步——選擇阻止——下一步——完成——關(guān)閉管理IP篩選器表和篩選器操作窗口
4、右擊IP安全策略——?jiǎng)?chuàng)建IP安全策略——下一步——名稱輸入數(shù)據(jù)包篩選器——下一步——取消默認(rèn)激活響應(yīng)原則——下一步——完成
5�、在打開(kāi)的新IP安全策略屬性窗口選擇添加——下一步——不指定隧道——下一步——所有網(wǎng)絡(luò)連接——下一步——在IP篩選器列表中選擇新建的Web篩選器——下一步——在篩選器操作中選擇許可——下一步——完成——在IP篩選器列表中選擇新建的阻止篩選器——下一步——在篩選器操作中選擇阻止——下一步——完成——確定
6、在IP安全策略的右邊窗口中右擊新建的數(shù)據(jù)包篩選器��,點(diǎn)擊指派�����,不需要重啟�����,IPSec就可生效.
如果你按本文去操作�����,建議每做一項(xiàng)更改就測(cè)試一下服務(wù)器�,如果有問(wèn)題可以馬上撤消更改。而如果更改的項(xiàng)數(shù)多����,才發(fā)現(xiàn)出問(wèn)題����,那就很難判斷問(wèn)題是出在哪一步上了���。
2、將當(dāng)前開(kāi)放的端口抓圖或記錄下來(lái)�����,保存��,方便以后對(duì)照查看是否開(kāi)放了不明的端口。當(dāng)然如果你能分辨每一個(gè)進(jìn)程����,和端口這一步可以省略。
一.使用FileSystemObject組件
1.可以通過(guò)修改注冊(cè)表���,將此組件改名�����,來(lái)防止此類木馬的危害.
HKEY_CLASSES_ROOT/Scripting.FileSystemObject/
改名為其它的名字���,如:改為FileSystemObject_good
自己以后調(diào)用的時(shí)候使用這個(gè)就可以正常調(diào)用此組件了.
2.也要將clsid值也改一下
HKEY_CLASSES_ROOT/Scripting.FileSystemObject/CLSID/項(xiàng)目的值
可以將其刪除,來(lái)防止此類木馬的危害.
3.注銷此組件命令:RegSrv32 /u C:/WINNT/SYSTEM/scrrun.dll
如果想恢復(fù)的話只需要去掉 /U 即可重新再注冊(cè)以上相關(guān)ASP組件
4.禁止Guest用戶使用scrrun.dll來(lái)防止調(diào)用此組件命令:
cacls C:/WINNT/system32/scrrun.dll /e /d guests
二.使用WScript.Shell組件
1.可以通過(guò)修改注冊(cè)表�,將此組件改名,來(lái)防止此類木馬的危害.
HKEY_CLASSES_ROOT/WScript.Shell/
及
HKEY_CLASSES_ROOT/WScript.Shell.1/
改名為其它的名字��,如:改為WScript.Shell_ChangeName或WScript.Shell.1_ChangeName
自己以后調(diào)用的時(shí)候使用這個(gè)就可以正常調(diào)用此組件了
2.也要將clsid值也改一下
HKEY_CLASSES_ROOT/WScript.Shell/CLSID/項(xiàng)目的值
HKEY_CLASSES_ROOT/WScript.Shell.1/CLSID/項(xiàng)目的值
也可以將其刪除���,來(lái)防止此類木馬的危害�。
三.使用Shell.Application組件
1.可以通過(guò)修改注冊(cè)表����,將此組件改名�����,來(lái)防止此類木馬的危害���。
HKEY_CLASSES_ROOT/Shell.Application/
及
HKEY_CLASSES_ROOT/Shell.Application.1/
改名為其它的名字,如:改為Shell.Application_ChangeName或Shell.Application.1_ChangeName
自己以后調(diào)用的時(shí)候使用這個(gè)就可以正常調(diào)用此組件了
2.也要將clsid值也改一下
HKEY_CLASSES_ROOT/Shell.Application/CLSID/項(xiàng)目的值
HKEY_CLASSES_ROOT/Shell.Application/CLSID/項(xiàng)目的值
也可以將其刪除�����,來(lái)防止此類木馬的危害�����。
3.禁止Guest用戶使用shell32.dll來(lái)防止調(diào)用此組件命令:
cacls C:/WINNT/system32/shell32.dll /e /d guests
四.調(diào)用cmd.exe
禁用Guests組用戶調(diào)用cmd.exe命令:
cacls C:/WINNT/system32/Cmd.exe /e /d guests
五.其它危險(xiǎn)組件處理:
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
按常規(guī)一般來(lái)說(shuō)是不會(huì)做到以上這些組件的�����。直接刪除掉.如果有部分網(wǎng)頁(yè)ASP程序利用了上面的組件的話呢���,只需在將寫(xiě)ASP代碼的時(shí)候用我們更改后的組件名稱即可正常使用。當(dāng)然如果你確信你的ASP程序中沒(méi)有用到以上組件���,還是直接刪除心中踏實(shí)一些.
快速刪除方法:
開(kāi)始------->運(yùn)行--------->Regedit����,打開(kāi)注冊(cè)表編輯器,按Ctrl+F查找���,依次輸入以上Wscript.Shell等組件名稱以及相應(yīng)的ClassID�,然后進(jìn)行刪除或者更改名稱.
防范數(shù)據(jù)庫(kù)下載
方法一:修改數(shù)據(jù)庫(kù)文件名和路徑.
注意:同時(shí)要修改conn.asp的相應(yīng)路徑.
缺點(diǎn): 如果有列網(wǎng)站目錄權(quán)限,還可以找到數(shù)據(jù)庫(kù)路徑,然后下載下來(lái)研究的.
方法二:數(shù)據(jù)庫(kù)名后綴改為ASA����、ASP等
注意:也要在conn.asp中修改相應(yīng)的數(shù)據(jù)庫(kù)名.
方法三:數(shù)據(jù)庫(kù)名前加“#”
注意:需要把數(shù)據(jù)庫(kù)文件前名加上#、然后修改數(shù)據(jù)庫(kù)連接文件(如conn.asp)中的數(shù)據(jù)庫(kù)地.
缺點(diǎn):如果知道了數(shù)據(jù)庫(kù)的絕對(duì)地址,可以把# 改成%23 還是可以下載下來(lái)研究的.
當(dāng)然以上三種方法綜合起來(lái)安全性相對(duì)更高一些.
方法四:數(shù)據(jù)庫(kù)放在WEB目錄外
操作:假如你的web目錄是D:/web ,可以把數(shù)據(jù)庫(kù)放到D:/data這個(gè)文
件夾里,然后在D:/web 里的數(shù)據(jù)庫(kù)連接頁(yè)面中修改數(shù)據(jù)庫(kù)連接地址為:"../data/數(shù)據(jù)庫(kù)名" 的形式.這樣數(shù)據(jù)庫(kù)可以正常調(diào)用,但數(shù)據(jù)庫(kù)無(wú)法下載.因?yàn)樗辉赪EB目錄里
缺點(diǎn):適合有服務(wù)器控制權(quán)的用戶,不適合購(gòu)買虛擬空間的用戶.
方法五:添加數(shù)據(jù)庫(kù)名的如MDB的擴(kuò)展映射防下載(推薦)
實(shí)現(xiàn)方法:
我們?cè)贗IS屬性---主目錄---配置---映射---應(yīng)用程序擴(kuò)展那里添加.mdb文件的應(yīng)用解析�����。注意這里的選擇的DLL(或EXE等)也不是任意的����,選擇不當(dāng),MDB文件還是可以被下載的,注意不要選擇asp.dll等�。你可以自己多測(cè)試下,然后下載一下試試,一直不能下載mdb為止.
注:至于選擇的解析文件大家可以自已測(cè)試,只要訪問(wèn)數(shù)據(jù)庫(kù)時(shí)出現(xiàn)無(wú)法找到該頁(yè)就可以了.
優(yōu)點(diǎn):
只要修改一處,整個(gè)站點(diǎn)的數(shù)據(jù)庫(kù)都可以防止被下載�。不用修改代碼就算暴露目標(biāo)數(shù)據(jù)庫(kù)地址也可以防止下載。
缺點(diǎn):這個(gè)方法就是通過(guò)修改IIS設(shè)置來(lái)實(shí)現(xiàn)���,所以要有IIS控制權(quán)的朋友才行����,不適合購(gòu)買虛擬主機(jī)用戶.
服務(wù)器防黑安全設(shè)置
愛(ài)國(guó)者安全網(wǎng)
www.
專業(yè)的黑客安全技術(shù)培訓(xùn)基地
多抽出一分鐘時(shí)間學(xué)習(xí).讓你的生命更加精彩.
動(dòng)畫(huà)教程只是起到技術(shù)交流作用.請(qǐng)大家不用利用此方法對(duì)國(guó)內(nèi)的網(wǎng)絡(luò)做破壞.
國(guó)人應(yīng)該團(tuán)結(jié)起來(lái)一致對(duì)外才是我們的責(zé)任.由此動(dòng)畫(huà)造成的任何后果和本站無(wú)關(guān).
-------------------------------------------------------------------------
動(dòng)畫(huà)名稱:服務(wù)器防黑安全設(shè)置
主題:服務(wù)器防黑安全設(shè)置
測(cè)試環(huán)境:Windows 2003 系統(tǒng)
為了給大家成功演示這個(gè)服務(wù)器防黑安全設(shè)置教程,是由頂邦互聯(lián)公司提供的一臺(tái)剛裝好系統(tǒng)的新服務(wù)器�;
今天是2008年01月16日,在這里華夏黑客聯(lián)盟提前祝愿大家2008年新年快樂(lè)�!
前言:
使用NTFS格式分區(qū)
把硬盤(pán)的所有分區(qū)都改成NTFS格式。NTFS文件系統(tǒng)要比FAT,FAT32的文件系統(tǒng)安全得多���。這點(diǎn)不必多說(shuō)��,想必大家得服務(wù)器都已經(jīng)是NTFS的了���。
C盤(pán)轉(zhuǎn)換為NTFS格式
@ ECHO OFF
@ ECHO.
@ ECHO. 說(shuō) 明
@ ECHO ---------------------------------------------------------------
@ ECHO NTFS格式是WinXP推薦使用的格式。轉(zhuǎn)換為NTFS格式能提高硬盤(pán)存儲(chǔ)的
@ ECHO 效率���,并可設(shè)置訪問(wèn)權(quán)限以保護(hù)文件�����。但NTFS格式的分區(qū)在DOS/WIN9X
@ ECHO 下均不能被識(shí)別���,可能會(huì)給初級(jí)用戶造成不便。如無(wú)必要請(qǐng)不要轉(zhuǎn)換��。
@ ECHO ---------------------------------------------------------------
@ ECHO.
pause
convert c:/fs:ntfs
新建一個(gè)記事本
然后復(fù)制上面的命令并粘貼到記事本里去
然后重命名為*.bat即可����,運(yùn)行批處理,重啟電腦后生效����,重啟后電腦就會(huì)變成NTFS格式。
通過(guò)以上的批處理���,就可以把你的系統(tǒng)轉(zhuǎn)換成NTFS格式���。
這里我就不多說(shuō)了
NTFS權(quán)限設(shè)置,請(qǐng)記住分區(qū)的時(shí)候把所有的硬盤(pán)都分為NTFS分區(qū)���,然后我們可以確定每個(gè)分區(qū)對(duì)每個(gè)用戶開(kāi)放的權(quán)限�����?���!疚募▕A)上右鍵→屬性→安全】在這里管理NTFS文件(夾)權(quán)限。
關(guān)于系統(tǒng)安全���,我這里先給大家講解計(jì)算機(jī)端口的安全
為了讓你的系統(tǒng)變?yōu)殂~墻鐵壁�,應(yīng)該封閉這些端口�����,主要有:TCP 135��、139����、445、593�、1025 端口和 UDP 135、137�、138、445 端口�,一些流行病毒的后門(mén)端口(如 TCP 2745、3127���、6129 端口)���,以及遠(yuǎn)程服務(wù)訪問(wèn)端口3389��。
教程不做語(yǔ)音了�����,大家認(rèn)真看我的操作吧
首先要看看你的電腦打開(kāi)135,139����,445的端口沒(méi)有,運(yùn)行--CMD--輸入netstat -an就可以看到����。
開(kāi)始菜單,運(yùn)行�,輸入cmd,然后再輸入netstat -an
這樣可以查看本機(jī)所有開(kāi)放的端口以后監(jiān)聽(tīng)的Ip等信息���。
1�����、netstat 的一些常用選項(xiàng)
·netstat –s
本選項(xiàng)能夠按照各個(gè)協(xié)議分別顯示其統(tǒng)計(jì)數(shù)據(jù)���。如果我們的應(yīng)用程序(如Web瀏覽器)運(yùn)行速度比較慢�,或者不能顯示W(wǎng)eb頁(yè)之類的數(shù)據(jù)��,那么我們就可以用本選項(xiàng)來(lái)查看一下所顯示的信息���。我們需要仔細(xì)查看統(tǒng)計(jì)數(shù)據(jù)的各行�����,找到出錯(cuò)的關(guān)鍵字�,進(jìn)而確定問(wèn)題所在���。
·netstat –e
本選項(xiàng)用于顯示關(guān)于以太網(wǎng)的統(tǒng)計(jì)數(shù)據(jù)����。它列出的項(xiàng)目包括傳送的數(shù)據(jù)報(bào)的總字節(jié)數(shù)�����、錯(cuò)誤數(shù)�、刪除數(shù)、數(shù)據(jù)報(bào)的數(shù)量和廣播的數(shù)量���。這些統(tǒng)計(jì)數(shù)據(jù)既有發(fā)送的數(shù)據(jù)報(bào)數(shù)量�,也有接收的數(shù)據(jù)報(bào)數(shù)量。這個(gè)選項(xiàng)可以用來(lái)統(tǒng)計(jì)一些基本的網(wǎng)絡(luò)流量)��。
·netstat –r
本選項(xiàng)可以顯示關(guān)于路由表的信息��,類似于后面所講使用route print命令時(shí)看到的 信息�����。除了顯示有效路由外����,還顯示當(dāng)前有效的連接��。
·netstat –a
本選項(xiàng)顯示一個(gè)所有的有效連接信息列表���,包括已建立的連接(ESTABLISHED)�����,也包括監(jiān)聽(tīng)連接請(qǐng)求(LISTENING)的那些連接��。
·netstat –n
顯示所有已建立的有效連接�。
135端口的打開(kāi)方法:?jiǎn)?dòng)“Distributed Transaction Coordinator”服務(wù)�,運(yùn)行dcomcnfg��,
展開(kāi)“組件服務(wù)”→“計(jì)算機(jī)”���,在“我的電腦”上點(diǎn)右鍵選“屬性”,切換到“默認(rèn)屬性”�����,
打勾“啟用分布式COM”����;然后切換到“默認(rèn)協(xié)議”,添加“面向連接的TCP/IP”���。
139端口的打開(kāi)方法:網(wǎng)上鄰居--屬性--本地連接--屬性--Internet協(xié)議(TCP/IP)--高級(jí)--WINS�;
如果你填寫(xiě)了本地連接的IP����,你就啟動(dòng)TCP/IP上的NetBIOS。
如果你沒(méi)有填寫(xiě)本地連接的IP�����,在NETBIOS設(shè)置里面選默認(rèn)。
445端口的打開(kāi)方法:開(kāi)始-運(yùn)行輸入regedit.確定后定位到
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/NetBT/Parameters
刪除“SMBDeviceEnabled”的DWORD值���。
下面說(shuō)一下常見(jiàn)的漏洞的端口如何關(guān)閉:
1.關(guān)閉139端口:右擊網(wǎng)上鄰居--屬性--右擊本地連接--屬性--internet協(xié)議/(TCP/IP)--屬性--高級(jí)--WINS--禁用TCP/IP上的NETBIOS--確定���。
2.右擊-網(wǎng)上鄰居-屬性/本地連接-屬性,在microsoft網(wǎng)絡(luò)客戶端前的小勾去掉����。接著也把microsoft網(wǎng)絡(luò)的文件和打印機(jī)共享的小勾也去掉。
3.關(guān)閉445端口:打開(kāi)注冊(cè)表編輯器,在[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/NetBT/Parameters]下增加一個(gè)dword鍵項(xiàng),命名為"SmbDeviceEnabled"(不包含引號(hào)),將值設(shè)為0���。
重啟電腦之后,445就關(guān)閉了�。
4。關(guān)閉3389端口:右擊我的電腦���,點(diǎn)屬性--遠(yuǎn)程�����,把允許從這臺(tái)計(jì)算機(jī)發(fā)送遠(yuǎn)程協(xié)助邀請(qǐng)前的勾去掉����。
5。關(guān)閉135端口:
如何關(guān)閉135端口
Windows XP系統(tǒng)
運(yùn)行dcomcnfg�����,展開(kāi)“組件服務(wù)”→“計(jì)算機(jī)”�����,在“我的電腦”上點(diǎn)右鍵選“屬性”��,切換到“默認(rèn)屬性”����,取消“啟用分布式COM”;然后切換到“默認(rèn)協(xié)議”��,刪除“面向連接的TCP/IP”����。
以上選項(xiàng)有對(duì)應(yīng)的注冊(cè)表鍵值,因此也可通過(guò)注冊(cè)表來(lái)修改:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Ole/EnableDCOM的值改為“N”
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Rpc/DCOM Protocols 中刪除“ncacn_ip_tcp”
此外���,還需要停用“Distributed Transaction Coordinator”服務(wù)���。
重啟之后, 135端口就沒(méi)有了。
大多數(shù)的系統(tǒng)重裝后���,都會(huì)開(kāi)放135�����、445���、139等
第一:安裝補(bǔ)丁
服務(wù)器安裝好操作系統(tǒng)之后,最好能在托管之前就完成補(bǔ)丁的安裝���,系統(tǒng)補(bǔ)丁打好���,雖然不升級(jí)漏洞不一定會(huì)被別人利用,但升級(jí)一下總有好處�����。
第二:殺毒軟件要裝好
不要指望殺毒軟件殺掉所有的木馬����,因?yàn)锳SP木馬的特征是可以通過(guò)一定手段來(lái)避開(kāi)殺毒軟件的查殺��。
免殺的馬當(dāng)然可以過(guò)殺毒軟件,所以說(shuō)殺毒軟件也不是萬(wàn)能的����。
第三:注意你所使用的程序要注意升級(jí)
打上網(wǎng)上一些服務(wù)器安全補(bǔ)丁,關(guān)閉一些有害端口�����,修改一些有用端口����,還要裝上一些輔助防毒軟件。這里我推薦使用幾個(gè)工具:
1���、關(guān)閉一些經(jīng)常被黑客利用入侵的端口;
2�、3389默認(rèn)端口修改���,把遠(yuǎn)程桌面改一個(gè)不常用的靠后的端口��,別人就是掃描也要一段時(shí)間;
3����、在局域網(wǎng)中隱藏計(jì)算機(jī)��,還有一些東西你自己看著用;
4、360安全衛(wèi)士�,保護(hù)全部打開(kāi),還要注意設(shè)好arp防火墻���,要手動(dòng)設(shè)置網(wǎng)關(guān)mac和ip,如果真的有不懂的人��,cmd下arp -a����,你就可以查到網(wǎng)關(guān)����。這個(gè)東西對(duì)arp掛馬有很好好的效果;
現(xiàn)在講講基于Windows的tcp/ip的過(guò)濾。
控制面板——網(wǎng)絡(luò)和撥號(hào)連接——本地連接——INTERNET協(xié)議(tcp/ip)--屬性--高級(jí)---選項(xiàng)-tcp/ip篩選--屬性!!
然后添加需要的tcp 和UDP端口就可以了~如果對(duì)端口不是很了解的話�����,不要輕易進(jìn)行過(guò)濾����,不然可能會(huì)導(dǎo)致一些程序無(wú)法使用���。
只添加80��,21��,3389
修改之后���,重啟生效��。
==服務(wù)器正在重啟���。。�����。
雖然在命令下查看到有些端口仍然開(kāi)放著�����,但是剛才的設(shè)置已經(jīng)生效了�,你不相信的話,可以用掃描工具掃描一下
如果懷疑安全性��,不防可以先手動(dòng)關(guān)掉這些危險(xiǎn)的端口�,前面已經(jīng)有文字說(shuō)明了,大家可以按照前面說(shuō)的做
這里節(jié)約時(shí)間就不多說(shuō)了
權(quán)限設(shè)置
磁盤(pán)權(quán)限
系統(tǒng)盤(pán)及所有磁盤(pán)只給 Administrators 組和 SYSTEM 的完全控制權(quán)限
系統(tǒng)盤(pán)/Documents and Settings 目錄只給 Administrators 組和 SYSTEM 的完全控制權(quán)限
系統(tǒng)盤(pán)/Documents and Settings/All Users 目錄只給 Administrators 組和 SYSTEM 的完全控制權(quán)限
接著剛才做���,剛才我的網(wǎng)絡(luò)有問(wèn)題�,不好意思。
系統(tǒng)盤(pán)/Inetpub 目錄及下面所有目錄����、文件只給 Administrators 組和 SYSTEM 的完全控制權(quán)限
系統(tǒng)盤(pán)/Windows/System32/cacls.exe、cmd.exe��、net.exe���、net1.exe 文件只給 Administrators 組和 SYSTEM 的完全控制權(quán)限
禁用不必要的服務(wù)
開(kāi)始菜單—>管理工具—>服務(wù)
Print Spooler
Remote Registry
TCP/IP NetBIOS Helper
Server
以上是在Windows Server 2003 系統(tǒng)上面默認(rèn)啟動(dòng)的服務(wù)中禁用的�����,默認(rèn)禁用的服務(wù)如沒(méi)特別需要的話不要啟動(dòng)���。
改名或卸載不安全組件
卸載最不安全的組件
最簡(jiǎn)單的辦法是直接卸載后刪除相應(yīng)的程序文件。將下面的代碼保存為一個(gè).BAT文件
regsvr32/u C:/WINDOWS/System32/wshom.ocx
del C:/WINDOWS/System32/wshom.ocx
regsvr32/u C:/WINDOWS/system32/shell32.dll
del C:/WINDOWS/system32/shell32.dll
然后運(yùn)行一下�����,WScript.Shell, Shell.application, WScript.Network就會(huì)被卸載了��??赡軙?huì)提示無(wú)法刪除文件,不用管它��,重啟一下服務(wù)器�����,你會(huì)發(fā)現(xiàn)這三個(gè)都提示“×安全”了���。
防止列出用戶組和系統(tǒng)進(jìn)程
在一些ASP大馬中利用getobject("WINNT")獲得了系統(tǒng)用戶和系統(tǒng)進(jìn)程的列表��,這個(gè)列表可能會(huì)被黑客利用�����,我們應(yīng)當(dāng)隱藏起來(lái)��,方法是:
【開(kāi)始→程序→管理工具→服務(wù)】���,找到Workstation,停止它��,禁用它���。
防止Serv-U權(quán)限提升
其實(shí)����,注銷了Shell組件之后,侵入者運(yùn)行提升工具的可能性就很小了�,但是prel等別的腳本語(yǔ)言也有shell能力,為防萬(wàn)一����,還是設(shè)置一下為好。
用Ultraedit打開(kāi)ServUDaemon.exe查找Ascii:LocalAdministrator�,和#l@$ak#.lk;0@P,修改成等長(zhǎng)度的其它字符就可以了���,ServUAdmin.exe也一樣處理����。
另外注意設(shè)置Serv-U所在的文件夾的權(quán)限����,不要讓IIS匿名用戶有讀取的權(quán)限,否則人家下走你修改過(guò)的文件����,照樣可以分析出你的管理員名和密碼。
服務(wù)器上不要裝SERV-U之類的FTP軟件,就是裝了�,你上傳下載完馬上停掉,我總覺(jué)得有的人的服務(wù)器被攻擊與這個(gè)有關(guān)�����。我沒(méi)用這個(gè)SERV-U���,用的是在網(wǎng)上下的一個(gè)很小的軟件FTP-SERVER,要用要開(kāi)隨便��,很方便的�。
還要養(yǎng)成一個(gè)好習(xí)慣,遠(yuǎn)程連接上服務(wù)器之后先要查看一下有哪些用戶與你的服務(wù)器連接上了��,計(jì)算機(jī)里是不是添加了一些黑客用戶��。
最后講備份����,網(wǎng)站的數(shù)據(jù)庫(kù)要經(jīng)常備份,不能放在服務(wù)器上����,放到另一個(gè)安全的地方。系統(tǒng)可以裝一個(gè)一鍵備份的軟件,你遠(yuǎn)程一樣備份還原���,備份還原之后服務(wù)器可以自動(dòng)重啟�����,不需要你人工干預(yù)�。
注意:把用戶組里面默認(rèn)的管理員用戶名修改名稱�,可以防止別人入侵提升管理員權(quán)限等
網(wǎng)站的備份也要有計(jì)劃,但做好這個(gè)你要有條件�。數(shù)據(jù)庫(kù)出了問(wèn)題,你馬上轉(zhuǎn)移一下�����,基本不會(huì)影響網(wǎng)站運(yùn)行;網(wǎng)站出了問(wèn)題也馬上可以指到另一臺(tái)服務(wù)器或空間��,其實(shí)這個(gè)并花不了多少錢(qián)�����,現(xiàn)在空間便宜��,效率是低一點(diǎn)��,但不會(huì)影響搜索的收錄。
利用ASP漏洞攻擊的常見(jiàn)方法及防范
一般情況下���,黑客總是瞄準(zhǔn)論壇等程序�����,因?yàn)檫@些程序都有上傳功能�,他們很容易的就可以上傳ASP木馬��,即使設(shè)置了權(quán)限���,木馬也可以控制當(dāng)前站點(diǎn)的所有文件了。另外�,有了木馬就然后用木馬上傳提升工具來(lái)獲得更高的權(quán)限,我們關(guān)閉shell組件的目的很大程度上就是為了防止攻擊者運(yùn)行提升工具��。
如果論壇管理員關(guān)閉了上傳功能����,則黑客會(huì)想辦法獲得超管密碼,比如�����,如果你用動(dòng)網(wǎng)論壇并且數(shù)據(jù)庫(kù)忘記了改名,人家就可以直接下載你的數(shù)據(jù)庫(kù)了�����,然后距離找到論壇管理員密碼就不遠(yuǎn)了����。
作為管理員,我們首先要檢查我們的ASP程序�,做好必要的設(shè)置,防止網(wǎng)站被黑客進(jìn)入���。另外就是防止攻擊者使用一個(gè)被黑的網(wǎng)站來(lái)控制整個(gè)服務(wù)器��,因?yàn)槿绻愕姆?wù)器上還為朋友開(kāi)了站點(diǎn)���,你可能無(wú)法確定你的朋友會(huì)把他上傳的論壇做好安全設(shè)置。這就用到了前面所說(shuō)的那一大堆東西���,做了那些權(quán)限設(shè)置和防提升之后��,黑客就算是進(jìn)入了一個(gè)站點(diǎn)��,也無(wú)法破壞這個(gè)網(wǎng)站以外的東西�����。
最好講一下如何通過(guò)禁用注冊(cè)表和命令提示符來(lái)保護(hù)服務(wù)器安全
關(guān)掉這些�����,即使別人拿到了你網(wǎng)站的webshell����,也無(wú)法獲得權(quán)限。
如果你要用到的時(shí)候再打開(kāi)也行��,不需要用的時(shí)候最好關(guān)掉���,或者把這些重要的東西重命名
其實(shí)關(guān)于系統(tǒng)安全方面的知識(shí)有很多,我會(huì)打包幾個(gè)這方面的知識(shí)給大家做參考
如果大家用我這里的文件設(shè)置服務(wù)器����,這樣您的服務(wù)器基本上是安全的了。
如何更改3389端口保護(hù)系統(tǒng)安全
