一.設(shè)置嚴密的權(quán)限�����。
上傳的目錄只給寫入���、讀取權(quán)限��,絕對不能給執(zhí)行的權(quán)限���。
每個網(wǎng)站使用獨立的用戶名和密碼,權(quán)限設(shè)置為Guest��。
命令: net localgroup users myweb /del
設(shè)置MSSQL����、Apache����、MySQL以Guest權(quán)限運行:在運行中打:service.msc,選擇相應(yīng)的服務(wù)��,以一個Guest權(quán)限的賬戶運行。
二.防止SQL注入
以前用的通用防注入模塊�,后來在多次與黑客血與淚的較量中�。我明白了通用防注入模塊是沒用的,如果人家CC我的網(wǎng)站��,通用防注入模塊會讓自己網(wǎng)站卡死���。
使用專門的Web應(yīng)用防火墻是個比較明智的選擇�����。硬件防火墻動輒就是幾十萬�����,我沒那么多錢���,那不是俺們能用的起的。俺還是喜歡用免費的軟件“銥迅網(wǎng)站防火墻”����,標(biāo)準(zhǔn)版可以注冊后免費獲得。
三.防止IIS 6.0 的0day攻擊
0day 之一:
IIS的致命傷����,很多網(wǎng)站都是這樣被黑客入侵的:黑客建立一個叫aaa.asp的目錄,然后在aaa.asp的目錄里面放一個圖片木馬����,黑客訪問aaa.asp/xxx.jpg就能訪問木馬了。
0day之二:
黑客上傳aaa.asp;bbb,jpg這樣的文件到服務(wù)器中�,這可不是jpg啊,IIS 6會在分號的地方截斷����,把jpg當(dāng)asp執(zhí)行的
解決方案1:編碼的時候禁止目錄中包含” . “號和文件名中包含” ; “號
解決方案2:如果網(wǎng)站已經(jīng)用戶過多,不能修改代碼了���,可以考慮前面提到的銥迅網(wǎng)站防火墻���。
四.檢測黑客攻擊痕跡
1.檢測shift后門:
遠程3389連接���,連續(xù)按Shift鍵5次,如果沒有跳出粘滯鍵菜單�����,說明被安裝后門了�。在windows文件夾中�����,搜索sethc.exe 并刪除之�。
2.查看Document and Settings目錄
如果發(fā)現(xiàn)有可疑用戶的文件夾���,說明就被黑客入侵了�����。
五.刪除危險組件
1.刪除Wscript
regsvr32/u C:\windows\System32\wshom.ocx
del C:\windows\System32\wshom.ocx
regsvr32/u C:\windows\system32\shell32.dll
del C:\windows\system32\shell32.dll
2.刪除MSSQL危險存儲過程
MS SQL SERVER2000
使用系統(tǒng)帳戶登陸查詢分析器
運行以下腳本
use master
exec sp_dropextendedproc 'xp_cmdshell'
exec sp_dropextendedproc 'xp_enumgroups'
exec sp_dropextendedproc 'xp_loginconfig'
exec sp_dropextendedproc 'xp_enumerrorlogs'
exec sp_dropextendedproc 'xp_getfiledetails'
exec sp_dropextendedproc 'Sp_OACreate'
exec sp_dropextendedproc 'Sp_OADestroy'
exec sp_dropextendedproc 'Sp_OAGetErrorInfo'
exec sp_dropextendedproc 'Sp_OAGetProperty'
exec sp_dropextendedproc 'Sp_OAMethod'
exec sp_dropextendedproc 'Sp_OASetProperty'
exec sp_dropextendedproc 'Sp_OAStop'
exec sp_dropextendedproc 'xp_regaddmultistring'
exec sp_dropextendedproc 'xp_regdeletekey'
exec sp_dropextendedproc 'xp_regdeletevalue'
exec sp_dropextendedproc 'xp_regenumvalues'
exec sp_dropextendedproc 'xp_regremovemultistring'
exec sp_dropextendedproc 'xp_regwrite'
drop procedure sp_makewebtask
go
刪除所有危險的擴展.
exec sp_dropextendedproc 'xp_cmdshell' [刪除此項擴展后,將無法遠程連接數(shù)據(jù)庫]
以下3個存儲過程會在SQL SERVER恢復(fù)備份時被使用,非必要請勿刪除
#exec sp_dropextendedproc 'xp_dirtree' [刪除此項擴展后,將無法新建或附加數(shù)據(jù)庫]
#exec sp_dropextendedproc 'Xp_regread' [刪除此項擴展后, 還原數(shù)據(jù)庫輔助]
#exec sp_dropextendedproc 'xp_fixeddrives' [刪除此項擴展后,將無法還原數(shù)據(jù)庫]
今天就說到這里�,希望對廣大的站長能有所幫助�!
svr32/u C:\windows\System32\wshom.ocx
del C:\windows\System32\wshom.ocx
regsvr32/u C:\windows\system32\shell32.dll
del C:\windows\system32\shell32.dll
2.刪除MSSQL危險存儲過程
MS SQL SERVER2000
使用系統(tǒng)帳戶登陸查詢分析器
運行以下腳本
use master
exec sp_dropextendedproc 'xp_cmdshell'
exec sp_dropextendedproc 'xp_enumgroups'
exec sp_dropextendedproc 'xp_loginconfig'
exec sp_dropextendedproc 'xp_enumerrorlogs'
exec sp_dropextendedproc 'xp_getfiledetails'
exec sp_dropextendedproc 'Sp_OACreate'
exec sp_dropextendedproc 'Sp_OADestroy'
exec sp_dropextendedproc 'Sp_OAGetErrorInfo'
exec sp_dropextendedproc 'Sp_OAGetProperty'
exec sp_dropextendedproc 'Sp_OAMethod'
exec sp_dropextendedproc 'Sp_OASetProperty'
exec sp_dropextendedproc 'Sp_OAStop'
exec sp_dropextendedproc 'xp_regaddmultistring'
exec sp_dropextendedproc 'xp_regdeletekey'
exec sp_dropextendedproc 'xp_regdeletevalue'
exec sp_dropextendedproc 'xp_regenumvalues'
exec sp_dropextendedproc 'xp_regremovemultistring'
exec sp_dropextendedproc 'xp_regwrite'
drop procedure sp_makewebtask
go
刪除所有危險的擴展.
exec sp_dropextendedproc 'xp_cmdshell' [刪除此項擴展后,將無法遠程連接數(shù)據(jù)庫]
以下3個存儲過程會在SQL SERVER恢復(fù)備份時被使用,非必要請勿刪除
#exec sp_dropextendedproc 'xp_dirtree' [刪除此項擴展后,將無法新建或附加數(shù)據(jù)庫]
#exec sp_dropextendedproc 'Xp_regread' [刪除此項擴展后, 還原數(shù)據(jù)庫輔助]
#exec sp_dropextendedproc 'xp_fixeddrives' [刪除此項擴展后,將無法還原數(shù)據(jù)庫]
億恩科技mszdt.com
如有意者
聯(lián)系海洋QQ1359731023
電話0371-63322216
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強!虛擬主機域名注冊頂級提供商����!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
