知識寶典

您現在的位置:AG亚游会首頁>知識寶典>常見問題

常見問題

預防服務器攻擊從係統安全和網站程序安全防入

時間:2016-01-12 13:42:52 來源: 新疆AG亚游会電子技術有限公司 點擊數:628

一、基本的服務器係統安全設置
1、安裝係統補丁
2、安裝殺毒軟件
雖然殺毒軟件有時候不能解決問題,但是殺毒軟件避免了很多問題。前段時間搞木馬免殺對殺毒軟件有一定深入了解,單獨殺病毒軟件時代已過時了,建議用瑞星殺木馬很厲害、卡巴斯基也不錯。不要指望殺毒軟件殺掉所有的木馬,因為ASP木馬的特征是可以通過一定手段來避開殺毒軟件的查殺。
3、刪除默認共享、禁用某些服務
如:Remote Registry、Task Scheduler、Telnet、Print Spooler、Server、TCP/IPNetBiosesHelper等
4、刪除一些不必要的用戶,給administrator改名,密碼設定複雜密碼。
5、在組策略設定“帳戶鎖定策略”輸錯5次,帳號鎖定30分鍾。防別人爆力猜解密碼。
6、安裝防火牆,計算機上都有一些服務,不管是服務器係統還是個人係統。而每一種服務都對應著一個甚至多個端口。而你開的端口越多,被攻擊的風險越大,關閉137、138、139和445端口,所以你要盡量少開端口。但有的朋友對計算機網絡不是非常熟悉,不知道如何關閉端口,就需要使用防火牆來把AG亚游会的計算機與互聯網上的黑客相隔離。ARP防火牆。
7、如果沒有裝防火牆就用netstat ?na查係統開放那些端口,可以用IPSec(IP安全策略來阻力這些端口)。
8、因為是服務器都要開放遠程桌麵服務,方便管理,設定遠程桌麵連接權限,把遠程桌麵器權限隻允許幾個用戶,把administrators這組權 限拿掉。好處黑客通過Webshell在你的服務器建一個管理員帳號也無法遠程桌麵到你的服務器。最好方法啟用基於IPSEC安全協商加強遠程桌麵服務 (3389端口),就算你放開3389端口也知道你的用戶及密碼,也法遠程連到你的服務器。最好把3389端口改成其他端口,通過修改注冊表實現。如:10001。
9、啟動係統審核策略,將審核登錄事件、審核對象訪問、審核係統事件和審核帳戶登錄事件啟用成功方式的審核,有黑客入侵可以查到日誌。
10、禁用Guests組用戶調用cmd.exe命令,命令:cacls C:\WINNT\system32\Cmd.exe /e /d guests
11、每天檢查網站主目錄有沒有產生木馬文件,如php和asp結尾不熟悉的文件,如發現木馬文件服務器被入侵了,及時處理查找從那裏入侵的。
12、定期檢查有沒有後門的隱藏帳號和克隆帳號。

二、網站安全相關設置
1、係統盤及目錄權限設定:administrators組 全部權限,system 全部權限,將C盤的所有子目錄和子文件繼承C盤的administrator(組或用戶)和SYSTEM所有權限的兩個權限,然後做如下修改:C:\Program Files\Common Files 開放Everyone 默認的讀取及運行列出文件目錄 讀取三個權限,C:\WINDOWS\ 開放Everyone 默認的讀取及運行列出文件目錄 讀取三個權限,C:\WINDOWS\Temp 開放Everyone 修改,讀取及運行,列出文件目錄,讀取,寫入權限,這樣設置完這後AG亚游会的服務器就很安全了.這樣asp木馬無法在係統目錄下運行了。係統盤\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe 文件隻給 Administrators 組和 SYSTEM 的完全控製權限。
2、如果服務器裏有多個網站,為了防止旁注給每個網站新建一個用戶,隻加入guests組,每個網站匿名用戶啟用相對應的用戶。
3、每個網站主目錄設定權限隻允許administrators和system組完全控製權限,網站用戶隻讀和執行權限,對於要上傳文件目錄權限設定隻讀和寫入,但是不要執行權限,這樣上傳了木馬也運行不了。
4、改名或卸載不安全組件
在IIS係統上,大部分木馬都是ASP寫的,因此,ASP組件的安全是非常重要的。
ASP木馬實際上大部分通過調用Shell.Application、WScript.Shell、WScript.Network、FSO、Adodb.Stream組件來實現其功能,除了FSO之外,其他的大多可以直接禁用。
WScript.Shell組件使用這個命令刪除:regsvr32 WSHom.ocx /u
WScript.Network組件使用這個命令刪除:regsvr32 wshom.ocx /u
Shell.Application可以使用禁止Guest用戶使用shell32.dll來防止調用此組件。使用命令:cacls C:\windows\system32\shell32.dll /e /d guests
5、SQL Server2005數據庫管理也要設定複雜密碼,mssql的sa用戶,刪除不必要的存儲過程,因為有些存儲過程能很容易地被人利用起來提升權限或進行破壞。如:不需要擴展存儲過程xp_cmdshell請把它去掉。xp_cmdshell根本就是一個大後門等, 使用IPSec策略阻止所有地址訪問本機的TCP1433與UDP1434端口,SQL裏麵用戶權限細化。
6、很多WEB服務器都會安裝FTP服務器,方便上傳更新網站,防止Serv-U權限提升,FTP用戶是明文驗證的,被別人嗅探到有寫的權限FTP帳號就可以提權,最好用IPSec安全策略加強安全,不用FTP時關閉FTP服務。
7、網站管理後台及上傳頁入口不要取常見的文件名。
8、用一些黑客工具檢測你的網站有沒有漏洞和注入點,發現及時修複。常用的工具如啊D注入、明小子等。
9、隻保留要用的應用程序映射
絕對不要使用IIS默認安裝的WEB目錄,而需要在E盤新建立一個目錄。然後在IIS管理器中右擊主機->屬性->WWW服務編輯->主目錄配置->應用程序映射,隻保留asp和asa,其餘全部刪除。
10、定期做好備份。
三、被入侵後緊急補救方法
1、建立被入侵係統後被修改部分的截圖,以便事後分析和留作證據。Kz6中國紅客聯盟-全球最大的紅客組織
2、立即停止網站服務及相應的服務。
3、在Windows係統下,通過網絡監控軟件或 “netstat -an”命令來查看係統目前的網絡連接情況,如果發現不正常的網絡連接,應當立即斷開與它的連接。
4、入侵後一般留有木馬文件,找到幾個木馬文件,什麽時間創建的,再通過分析係統日誌文件,這些木馬文件由那個用戶生成的,找到被入侵漏洞。
5、通過備份恢複被修改的網頁。
6、修複係統或應用程序漏洞後,應該有相應的方法來防止此類事件的再次發生。
7、升級殺毒軟件特征庫,再對全盤殺毒。
8、最後,使用係統或相應的應用程序檢測軟件對係統或服務進行一次徹底的弱點檢測,在檢測之前要確保其檢測特征庫是最新的。所有工作完成後,還應當在後續的一段時間內,安排專人對此係統進行實時監控,以確信係統已經不會再次被此類入侵事件攻擊。
9、一般攻擊者攻擊係統都就會在係統中安裝相應的後門程序。同時,為了防止被係統用戶或管理員發現,攻擊者就會千方百計地隱藏他在係統中的操作痕跡,以及隱藏他所安裝的後門,查找後門程序。
(Top) 返回頁麵頂端【責任編輯:MF
Copyright © 2009-2016 新疆AG亚游会電子技術有限公司 版權所有
總部:烏魯木齊鯉魚山北路298號領世華府三號樓1204室 電話:0991-5563214 新ICP備11001697號
點擊這裏給我發消息
點擊這裏給我發消息
點擊這裏給我發消息
點擊這裏給我發消息