網站服務器提高安全性方案
從系統安全和網站程序安全防***:
一、基本的服務器系統安全設置
1、安裝系統補丁
2、安裝殺毒軟件
雖然殺毒軟件有時候不能解決問題,但是殺毒軟件避免了很多問題。前段時間搞***免殺對殺毒軟件有一定深入瞭解,單獨殺病毒軟件時代已過時了,建議用瑞星殺***很厲害、卡巴斯基也不錯。不要指望殺毒軟件殺掉所有的***,因爲ASP***的特徵是可以通過一定手段來避開殺毒軟件的查殺。
3、刪除默認共享、禁用某些服務
如:Remote Registry、Task Scheduler、Telnet、Print Spooler、Server、TCP/IPNetBIOSHelper等
4、刪除一些不必要的用戶,給administrator改名,密碼設定複雜密碼。
5、在組策略設定“帳戶鎖定策略”輸錯5次,帳號鎖定30分鐘。防別人爆力猜解密碼。
6、安裝防火牆,計算機上都有一些服務,不管是服務器系統還是個人系統。而每一種服務都對應着一個甚至多個端口。而你開的端口越多,被***的風險越大,關閉137、138、139和445端口,所以你要儘量少開端口。但有的朋友對計算機網絡不是非常熟悉,不知道如何關閉端口,就需要使用防火牆來把我們的計算機與互聯網上的***相隔離。ARP防火牆。
7、如果沒有裝防火牆就用netstat –na查系統開放那些端口,可以用IPSec(IP安全策略來阻力這些端口)。
8、因爲是服務器都要開放遠程桌面服務,方便管理,設定遠程桌面連接權限,把遠程桌面器權限只允許幾個用戶,把administrators這組權 限拿掉。好處***通過Webshell在你的服務器建一個管理員帳號也無法遠程桌面到你的服務器。最好方法啓用基於IPSEC安全協商加強遠程桌面服務 (3389端口),就算你放開3389端口也知道你的用戶及密碼,也法遠程連到你的服務器。最好把3389端口改成其他端口,通過修改註冊表實現。如:10001。
9、啓動系統審覈策略,將審覈登錄事件、審覈對象訪問、審覈系統事件和審覈帳戶登錄事件啓用成功方式的審覈,有******可以查到日誌。
10、禁用Guests組用戶調用cmd.exe命令,命令:cacls C:\WINNT\system32\Cmd.exe /e /d guests
11、每天檢查網站主目錄有沒有產生***文件,如php和asp結尾不熟悉的文件,如發現***文件服務器被***了,及時處理查找從那裏***的。
12、定期檢查有沒有後門的隱藏帳號和克隆帳號。
二、網站安全相關設置
1、系統盤及目錄權限設定:administrators組 全部權限,system 全部權限,將C盤的所有子目錄和子文件繼承C盤的administrator(組或用戶)和SYSTEM所有權限的兩個權限,然後做如下修改:C:\Program Files\Common Files 開放Everyone 默認的讀取及運行列出文件目錄 讀取三個權限,C:\WINDOWS\ 開放Everyone 默認的讀取及運行列出文件目錄 讀取三個權限,C:\WINDOWS\Temp 開放Everyone 修改,讀取及運行,列出文件目錄,讀取,寫入權限,這樣設置完這後我們的服務器就很安全了.這樣asp***無法在系統目錄下運行了。系統盤\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe 文件只給 Administrators 組和 SYSTEM 的完全控制權限。
2、如果服務器裏有多個網站,爲了防止旁註給每個網站新建一個用戶,只加入guests組,每個網站匿名用戶啓用相對應的用戶。
3、每個網站主目錄設定權限只允許administrators和system組完全控制權限,網站用戶只讀和執行權限,對於要上傳文件目錄權限設定只讀和寫入,但是不要執行權限,這樣上傳了***也運行不了。
4、改名或卸載不安全組件
在IIS系統上,大部分***都是ASP寫的,因此,ASP組件的安全是非常重要的。
ASP***實際上大部分通過調用Shell.Application、WScript.Shell、WScript.Network、FSO、Adodb.Stream組件來實現其功能,除了FSO之外,其他的大多可以直接禁用。
WScript.Shell組件使用這個命令刪除:regsvr32 WSHom.ocx /u
WScript.Network組件使用這個命令刪除:regsvr32 wshom.ocx /u
Shell.Application可以使用禁止Guest用戶使用shell32.dll來防止調用此組件。使用命令:cacls C:\windows\system32\shell32.dll /e /d guests
5、SQL Server2005數據庫管理也要設定複雜密碼,mssql的sa用戶,刪除不必要的存儲過程,因爲有些存儲過程能很容易地被人利用起來提升權限或進行破壞。如:不需要擴展存儲過程xp_cmdshell請把它去掉。xp_cmdshell根本就是一個大後門等, 使用IPSec策略阻止所有地址訪問本機的TCP1433與UDP1434端口,SQL裏面用戶權限細化。
6、很多WEB服務器都會安裝FTP服務器,方便上傳更新網站,防止Serv-U權限提升,FTP用戶是明文驗證的,被別人嗅探到有寫的權限FTP帳號就可以提權,最好用IPSec安全策略加強安全,不用FTP時關閉FTP服務。
7、網站管理後臺及上傳頁入口不要取常見的文件名。
8、用一些***工具檢測你的網站有沒有漏洞和注入點,發現及時修復。常用的工具如啊D注入、明小子等。
9、只保留要用的應用程序映射
絕對不要使用IIS默認安裝的WEB目錄,而需要在E盤新建立一個目錄。然後在IIS管理器中右擊主機->屬性->WWW服務編輯->主目錄配置->應用程序映射,只保留asp和asa,其餘全部刪除。
10、定期做好備份。
三、被***後緊急補救方法
1、建立被***系統後被修改部分的截圖,以便事後分析和留作證據。Kz6中國紅客聯盟-全球最大的紅客組織
2、立即停止網站服務及相應的服務。Kz6中國紅客聯盟-全球最大的紅客組織
3、在Windows系統下,通過網絡監控軟件或 “netstat -an”命令來查看系統目前的網絡連接情況,如果發現不正常的網絡連接,應當立即斷開與它的連接。Kz6中國紅客聯盟-全球最大的紅客組織
4、***後一般留有***文件,找到幾個***文件,什麼時間創建的,再通過分析系統日誌文件,這些***文件由那個用戶生成的,找到被***漏洞。
5、通過備份恢復被修改的網頁。
6、修復系統或應用程序漏洞後,應該有相應的方法來防止此類事件的再次發生。
7、升級殺毒軟件特徵庫,再對全盤殺毒。Kz6中國紅客聯盟-全球最大的紅客組織
8、最後,使用系統或相應的應用程序檢測軟件對系統或服務進行一次徹底的弱點檢測,在檢測之前要確保其檢測特徵庫是最新的。所有工作完成後,還應當在後續的一段時間內,安排專人對此係統進行實時監控,以確信系統已經不會再次被此類***事件***。Kz6中國紅客聯盟-全球最大的紅客組織
9、一般***者***系統都就會在系統中安裝相應的後門程序。同時,爲了防止被系統用戶或管理員發現,***者就會千方百計地隱藏他在系統中的操作痕跡,以及隱藏他所安裝的後門,查找後門程序。Kz6中國紅客聯盟-全球最大的紅客組織