一.設(shè)置嚴密的權(quán)限�。
上傳的目錄只給寫入�、讀取權(quán)限����,絕對不能給執(zhí)行的權(quán)限。
每個網(wǎng)站使用獨立的用戶名和密碼�,權(quán)限設(shè)置為Guest。
命令: net localgroup users myweb /del
設(shè)置MSSQL�����、Apache����、MySQL以Guest權(quán)限運行:在運行中打:service.msc,選擇相應(yīng)的服務(wù)����,以一個Guest權(quán)限的賬戶運行。
二.防止SQL注入
以前用的通用防注入模塊�,后來在多次與黑客血與淚的較量中�����。我明白了通用防注入模塊是沒用的,如果人家CC我的網(wǎng)站��,通用防注入模塊會讓自己網(wǎng)站卡死����。
使用專門的Web應(yīng)用防火墻是個比較明智的選擇�����。硬件防火墻動輒就是幾十萬�����,我沒那么多錢��,那不是俺們能用的起的�����。俺還是喜歡用免費的軟件“銥迅網(wǎng)站防火墻”����,標(biāo)準版可以注冊后免費獲得�。
三.防止IIS 6.0 的0day攻擊
0day 之一:
IIS的致命傷���,很多網(wǎng)站都是這樣被黑客入侵的:黑客建立一個叫aaa.asp的目錄�����,然后在aaa.asp的目錄里面放一個圖片木馬��,黑客訪問aaa.asp/xxx.jpg就能訪問木馬了��。
0day之二:
黑客上傳aaa.asp;bbb,jpg這樣的文件到服務(wù)器中�,這可不是jpg啊��,IIS 6會在分號的地方截斷���,把jpg當(dāng)asp執(zhí)行的
解決方案1:編碼的時候禁止目錄中包含” . “號和文件名中包含” ; “號
解決方案2:如果網(wǎng)站已經(jīng)用戶過多�,不能修改代碼了���,可以考慮前面提到的銥迅網(wǎng)站防火墻�。
四.檢測黑客攻擊痕跡
1.檢測shift后門:
遠程3389連接���,連續(xù)按Shift鍵5次����,如果沒有跳出粘滯鍵菜單�,說明被安裝后門了。在windows文件夾中����,搜索sethc.exe 并刪除之。
2.查看Document and Settings目錄
如果發(fā)現(xiàn)有可疑用戶的文件夾�,說明就被黑客入侵了。
五.刪除危險組件
1.刪除Wscript
regsvr32/u C:\windows\System32\wshom.ocx
del C:\windows\System32\wshom.ocx
regsvr32/u C:\windows\system32\shell32.dll
del C:\windows\system32\shell32.dll
2.刪除MSSQL危險存儲過程
MS SQL SERVER2000
使用系統(tǒng)帳戶登陸查詢分析器
運行以下腳本
use master
exec sp_dropextendedproc 'xp_cmdshell'
exec sp_dropextendedproc 'xp_enumgroups'
exec sp_dropextendedproc 'xp_loginconfig'
exec sp_dropextendedproc 'xp_enumerrorlogs'
exec sp_dropextendedproc 'xp_getfiledetails'
exec sp_dropextendedproc 'Sp_OACreate'
exec sp_dropextendedproc 'Sp_OADestroy'
exec sp_dropextendedproc 'Sp_OAGetErrorInfo'
exec sp_dropextendedproc 'Sp_OAGetProperty'
exec sp_dropextendedproc 'Sp_OAMethod'
exec sp_dropextendedproc 'Sp_OASetProperty'
exec sp_dropextendedproc 'Sp_OAStop'
exec sp_dropextendedproc 'xp_regaddmultistring'
exec sp_dropextendedproc 'xp_regdeletekey'
exec sp_dropextendedproc 'xp_regdeletevalue'
exec sp_dropextendedproc 'xp_regenumvalues'
exec sp_dropextendedproc 'xp_regremovemultistring'
exec sp_dropextendedproc 'xp_regwrite'
drop procedure sp_makewebtask
go
刪除所有危險的擴展.
exec sp_dropextendedproc 'xp_cmdshell' [刪除此項擴展后,將無法遠程連接數(shù)據(jù)庫]
以下3個存儲過程會在SQL SERVER恢復(fù)備份時被使用,非必要請勿刪除
#exec sp_dropextendedproc 'xp_dirtree' [刪除此項擴展后,將無法新建或附加數(shù)據(jù)庫]
#exec sp_dropextendedproc 'Xp_regread' [刪除此項擴展后, 還原數(shù)據(jù)庫輔助]
#exec sp_dropextendedproc 'xp_fixeddrives' [刪除此項擴展后,將無法還原數(shù)據(jù)庫]
今天就說到這里�����,希望對廣大的站長能有所幫助��!
svr32/u C:\windows\System32\wshom.ocx
del C:\windows\System32\wshom.ocx
regsvr32/u C:\windows\system32\shell32.dll
del C:\windows\system32\shell32.dll
2.刪除MSSQL危險存儲過程
MS SQL SERVER2000
使用系統(tǒng)帳戶登陸查詢分析器
運行以下腳本
use master
exec sp_dropextendedproc 'xp_cmdshell'
exec sp_dropextendedproc 'xp_enumgroups'
exec sp_dropextendedproc 'xp_loginconfig'
exec sp_dropextendedproc 'xp_enumerrorlogs'
exec sp_dropextendedproc 'xp_getfiledetails'
exec sp_dropextendedproc 'Sp_OACreate'
exec sp_dropextendedproc 'Sp_OADestroy'
exec sp_dropextendedproc 'Sp_OAGetErrorInfo'
exec sp_dropextendedproc 'Sp_OAGetProperty'
exec sp_dropextendedproc 'Sp_OAMethod'
exec sp_dropextendedproc 'Sp_OASetProperty'
exec sp_dropextendedproc 'Sp_OAStop'
exec sp_dropextendedproc 'xp_regaddmultistring'
exec sp_dropextendedproc 'xp_regdeletekey'
exec sp_dropextendedproc 'xp_regdeletevalue'
exec sp_dropextendedproc 'xp_regenumvalues'
exec sp_dropextendedproc 'xp_regremovemultistring'
exec sp_dropextendedproc 'xp_regwrite'
drop procedure sp_makewebtask
go
刪除所有危險的擴展.
exec sp_dropextendedproc 'xp_cmdshell' [刪除此項擴展后,將無法遠程連接數(shù)據(jù)庫]
以下3個存儲過程會在SQL SERVER恢復(fù)備份時被使用,非必要請勿刪除
#exec sp_dropextendedproc 'xp_dirtree' [刪除此項擴展后,將無法新建或附加數(shù)據(jù)庫]
#exec sp_dropextendedproc 'Xp_regread' [刪除此項擴展后, 還原數(shù)據(jù)庫輔助]
#exec sp_dropextendedproc 'xp_fixeddrives' [刪除此項擴展后,將無法還原數(shù)據(jù)庫]
億恩科技mszdt.com
如有意者
聯(lián)系海洋QQ1359731023
電話0371-63322216
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強���!虛擬主機域名注冊頂級提供商!15年品質(zhì)保障�!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
