主講:Max(小郭)
Max(348484347) 14:32:56
獨立的服務器有多好處
Max(348484347) 14:33:17
特別是可以自由的控制網站的設置 IIS配置等等
正式開始
Max(348484347) 14:36:48
通常掛馬的代碼是 □<iframe ...
Max(348484347) 14:36:57
和 <script ...
Max(348484347) 14:37:19
大家都知道GOOGLE 是可以辨別JS 並且訪問到的
Max(348484347) 14:37:28
百度也是可以的
Max(348484347) 14:37:46
只是沒有象GOOGLE 那樣可以識別出木馬
Max(348484347) 14:38:08
現在網絡安全對SEO的影響越來越大,且不說服務器關掉或者網速慢會影響巨大,單單就網站掛馬這樣的事情,就對網站傷害很大
Max(348484347) 14:38:38
我們有服務器的人通常是馬上刪除代碼
Max(348484347) 14:38:57
但是這些對認真清楚木馬是沒有好處的 下面會講到爲什麼
Max(348484347) 14:39:25
我想說的是
Max(348484347) 14:39:30
大家對自己的後臺瞭解嗎?
Max(348484347) 14:39:40
網站的後臺的安全隱患知道多少呢
Max(348484347) 14:39:43
很簡單
Max(348484347) 14:39:55
大家回去打開自己的後臺
Max(348484347) 14:40:22
拿一個ASP文件 一個PHP文件 一個CER文件 一個APSX文件
Max(348484347) 14:40:40
找到上傳的地方 試着將這些文件上傳
Max(348484347) 14:40:44
看看是否成功
Max(348484347) 14:40:55
如果直接成功
Max(348484347) 14:41:09
那你的網站就只能用極度危險來形容
Max(348484347) 14:41:27
當然後臺入侵的方式當然不只是這些
Max(348484347) 14:41:34
像DEDE的後臺
Max(348484347) 14:41:41
功能相當的強大
Max(348484347) 14:41:53
可以直接操作文件
Max(348484347) 14:42:11
也就給黑客有了可趁之機
Max(348484347) 14:42:18
恩 上面問的好
Max(348484347) 14:42:24
怎麼找ASP木訥
Max(348484347) 14:42:50
我先總體概述 稍後教大家我的方法
Max(348484347) 14:43:06
WEB服務器主要是面向互聯網的。所以,其是企業衆多信息化應用中最容易受到攻擊的。現在企 業的WEB應用越來越多,特別是其也逐漸在成爲其他信息化應用的進口。
Max(348484347) 14:43:41
一臺服務器的安全
Max(348484347) 14:43:52
不是取決於殺毒軟件的多少
Max(348484347) 14:44:02
而是取決於服務安裝的多少
Max(348484347) 14:44:02
而是取決於服務安裝的多少
Max(348484347) 14:44:09
那麼我給大家總結出第一點
Max(348484347) 14:44:46
1、服務器裝越少的軟件 越安全
Max(348484347) 14:45:14
許多入侵到SYSTEM的權限 都是考服務來經行的
Max(348484347) 14:45:22
比如FTP的提權
Max(348484347) 14:45:42
大家知道SERVU安裝成服務的權限就是SYSTEM
Max(348484347) 14:46:02
而黑客可以通過控制腳本 來控制SERVU
Max(348484347) 14:46:22
前幾天幫朋友檢測了一個虛擬機
Max(348484347) 14:46:43
竟然很輕易的就拿到整個服務器的權限 而方式就是SERVU的提權
Max(348484347) 14:46:55
還有很多 記得我早期的時候
Max(348484347) 14:47:05
做一個新華網分站的檢測
Max(348484347) 14:47:29
也是通過某個服務取得整個服務器的權限
Max(348484347) 14:48:01
還有MSSQL
Max(348484347) 14:48:03
MYSQL
Max(348484347) 14:48:16
這些的權限都是SYSTEM 也都是黑客們的最愛
Max(348484347) 14:48:54
所以要做好服務器安全 或者裝最少的服務 或者 做好各個服務的安全設置
Max(348484347) 14:49:13
我的建議是
Max(348484347) 14:49:19
有企業級別的用戶
Max(348484347) 14:49:45
可以將數據庫服務 郵件服務 歸到一起 將WEB服務獨立出來
Max(348484347) 14:50:01
兩個服務器一臺專門WEB 一臺專門輔助服務
Max(348484347) 14:50:17
這樣的安全係數是很高的 很多我接觸的企業也都是這麼做的
Max(348484347) 14:50:33
第二
Max(348484347) 14:50:40
學會看系統日誌
Max(348484347) 14:50:48
大家對WINDOWS很熟悉了
Max(348484347) 14:51:01
不過我想真正懂得分析系統日誌的人沒有幾個
Max(348484347) 14:51:40
建議大家回去查些資料 瞭解服務器的日誌 的語法
Max(348484347) 14:51:56
對以後掌握服務器安全都是很重要的
Max(348484347) 14:51:57
記得
Max(348484347) 14:52:13
當年幫一個企業找木馬
Max(348484347) 14:52:22
花了9牛二虎之力
Max(348484347) 14:52:25
都沒有找出來
Max(348484347) 14:52:37
最後還是分析系統日誌得到最後的結果~~~
Max(348484347) 14:52:51
當然這個不是一兩天的事情
Max(348484347) 14:52:59
比如 200 0 0
Max(348484347) 14:53:07
這樣的格式代表的是什麼
Max(348484347) 14:53:11
200 0 64
Max(348484347) 14:53:16
代表的是什麼
Max(348484347) 14:53:30
這些基本的掌握對SEO也是有很大的幫助
Max(348484347) 14:53:44
如果大家在自己的系統日誌裏面看到 BAIDU 200 0 0
Max(348484347) 14:53:51
那你就應該很開心了
Max(348484347) 14:54:03
這就代表百度跟你的網頁會話成功
Max(348484347) 14:54:07
也就是說採集到了
Max(348484347) 14:54:12
等等
Max(348484347) 14:54:22
猶豫時間關係不能講太多
Max(348484347) 14:54:32
第三
Max(348484347) 14:54:55
警惕你的網站代碼
Max(348484347) 14:55:06
入侵網站 到 服務器
Max(348484347) 14:55:17
都是經歷網站這個途徑
Max(348484347) 14:55:53
大部分是由於代碼設計不當所引起的
Max(348484347) 14:56:06
直接導致的結果是
Max(348484347) 14:56:11
黑客入侵手段
Max(348484347) 14:56:41
如
Max(348484347) 14:56:48
COOKIE的欺騙進入後臺
Max(348484347) 14:57:03
FORM表單的隱藏域的修改
Max(348484347) 14:57:08
緩存溢出
Max(348484347) 14:57:12
等等
Max(348484347) 14:57:26
記得最嚴重的就是SQL注入
Max(348484347) 14:57:44
05年到現在最流行的入侵方式就是SQL注入
Max(348484347) 14:57:59
記得那是我還爲了這個查了很多資料
Max(348484347) 14:58:05
而現在網絡上到處都是
Max(348484347) 14:58:40
SQL就是可以不需要通過系統的驗證
Max(348484347) 14:59:03
來或取主要信息
Max(348484347) 14:59:27
總體概述講完
Max(348484347) 14:59:34
不懂大家是否理解
Max(348484347) 14:59:44
下面我們就通過主要的實例
Max(348484347) 14:59:52
來具體操作服務器
Max(348484347) 14:59:57
設置安全
Max(348484347) 15:00:26
1、還是禁用系統 不必要的服務
Max(348484347) 15:00:36
這些服務器具體有這些
Max(348484347) 15:00:54
Computer Browser:維護網絡計算機更新,禁用
Distributed File System:局域網管理共享文件,不需要就禁用
Distributed linktracking client:用於局域網更新連接信息,不需要就禁用
Error reporting service:禁止發送錯誤報告
Microsoft Search:提供快速的單詞搜索,不需要可禁用
NT LMSecuritysupportprovide:telnet服務和MicrosoftSerch用的,不需要就禁用
PrintSpooler:如果沒有打印機可禁用
RemoteRegistry:禁止遠程修改註冊表
RemoteDesktop Help Session Manager:禁止遠程協助
Workstation :禁止
Max(348484347) 15:01:39
關閉的步驟是
Max(348484347) 15:01:44
我的電腦右鍵-》管理-》服務 把不需要的服務的啓動類型改爲禁用就可以了
Max(348484347) 15:02:12
2、主要文件的權限分配
Max(348484347) 15:02:30
設置磁盤權限:系統盤及所有磁盤只給 Administrators 組和 SYSTEM 的完全控制權限
Max(348484347) 15:03:00
/Documents and Settings 目錄只給 Administrators 組和 SYSTEM 的完全控制權限
Max(348484347) 15:03:15
Documents and Settings/All Users 目錄只給 Administrators 組和 SYSTEM 的完全控制 權限
Max(348484347) 15:03:32
每一步都不能少
Max(348484347) 15:03:45
Windows/System32/cacls.exe、cmd.exe、net.exe、net1.exe、regedit.exe、at.exe、 attrib.exe、format.com 文件只給 Administrators 組和 SYSTEM 的完全控制權限
Max(348484347) 15:04:35
還有就是MSSQL
Max(348484347) 15:05:19
MSSQL升級到最新版本
Max(348484347) 15:05:38
如 2000sp4 2005 等都是很好
Max(348484347) 15:05:50
安裝完成後
Max(348484347) 15:05:55
關閉SQL服務
Max(348484347) 15:06:09
找到xplog71.dll
Max(348484347) 15:07:01
刪除 或者 重命名
Max(348484347) 15:07:19
Use Master
Exec sp_dropextendedproc N’xp_cmdshell’
Go
Max(348484347) 15:07:41
在查詢分析器中 執行這個代碼 去除 XP_CMDSHELL的過程
Max(348484347) 15:08:30
MYSQL
Max(348484347) 15:08:37
升級到最新版本
Max(348484347) 15:09:15
如果就本地使用
Max(348484347) 15:09:30
最好禁止MYSQL的遠程鏈接
Max(348484347) 15:09:55
設置 除了root用戶外的其他任何用戶不允許訪問mysql主數據庫中的user表;
Max(348484347) 15:10:53
不許將process或super權限付給非管理用戶,該mysqladmin processlist可以列舉出當前執行的查詢文本;super權限可用於切斷客戶端連接、改變服務器運行參數狀態、控制拷貝複製數據庫的服務器;
Max(348484347) 15:12:15
由於MYSQL的緩衝區溢出漏洞很好的屏蔽
Max(348484347) 15:12:25
所以建議用最新版的MYSQL 5.1的
Max(348484347) 15:12:38
當然 上面有會員說注入漏洞
Max(348484347) 15:12:58
注入漏洞是由於WEB代碼段的原因
Max(348484347) 15:13:13
導致敏感信息泄露
Max(348484347) 15:13:33
最好大家都學會檢測SQL漏洞
Max(348484347) 15:13:37
怎麼檢測
Max(348484347) 15:13:39
很簡單
Max(348484347) 15:13:49
上網搜索下 明小子注入工具
Max(348484347) 15:14:15
在地址攔輸入你要檢測的網站
Max(348484347) 15:14:55
服務器常用的後門
Max(348484347) 15:15:10
WIN2003
Max(348484347) 15:15:16
功能強大
Max(348484347) 15:15:24
後門當然是多種多樣
Max(348484347) 15:15:31
黑客較勁腦子
Max(348484347) 15:15:39
想出各種各樣的後門
Max(348484347) 15:15:48
讓管理員不容易發現
Max(348484347) 15:16:06
常用的有腳本後門
Max(348484347) 15:16:22
大家在運行那裏 輸入 gpedit,msc
Max(348484347) 15:16:28
可以看到計算機管理
Max(348484347) 15:16:36
每個用戶都有個登陸腳本
Max(348484347) 15:17:53
VBS腳本同樣是系統級別的
Max(348484347) 15:17:23
(圖片不發了) 腳本 - 登陸/註銷 選項
Max(348484347) 15:18:08
只要在這裏添加VBS添加計算機賬戶的代碼
Max(348484347) 15:18:27
你每次登陸都會自動添加黑客的賬戶
Max(348484347) 15:18:27
你每次登陸都會自動添加黑客的賬戶
Max(348484347) 15:18:41
無論你怎麼刪除都是刪除不了
Max(348484347) 15:18:53
還有 SETHC
Max(348484347) 15:19:08
大家在連接 3389端口的時候
Max(348484347) 15:19:17
連續按5次的SHIFT
Max(348484347) 15:19:46
系統會自動激活SYSTEM32目錄下的 SETHC.EXE 這個文件
Max(348484347) 15:20:07
也就是黑客直接不需要知道密碼就可以運行你的系統文件
Max(348484347) 15:20:18
大家想想 如果把這個文件替換成黑客的木馬
Max(348484347) 15:20:23
那麼後果是什麼
Max(348484347) 15:20:47
防止這個後門的方法也很簡單
Max(348484347) 15:21:13
到這個SYSTEM32目錄下 找到SETCH.EXE
Max(348484347) 15:21:20
刪除它
Max(348484347) 15:21:41
然後 系統文件保護機制會自動檢測被刪除的系統文件
Max(348484347) 15:21:46
就會自動恢復
Max(348484347) 15:21:50
黑客就無法替換
Max(348484347) 15:21:58
還有GUEST賬戶
Max(348484347) 15:22:42
GUEST賬戶
Max(348484347) 15:22:51
只要在註冊表下進行操作
Max(348484347) 15:23:23
設置成管理員 而且在賬戶管理中 GUEST賬戶還是禁用的
Max(348484347) 15:23:34
這樣也同樣不容易被發現
Max(348484347) 15:23:38
防範的方法
Max(348484347) 15:24:02
登陸註冊表 刪除GUEST對應的鍵值
Max(348484347) 15:24:14
通常是 0x1F5
Max(348484347) 15:24:30
還有很多很多後門
Max(348484347) 15:24:43
我就講了這些常用的
Max(348484347) 15:25:18
還有很多後門 還有待於A5安全人員的研究 在以後的時間裏會公佈給大家
Max(348484347) 15:25:39
讓大家能容易的掌握各樣技術 防範黑客的入侵
Max(348484347) 15:27:14
大家不要着急
Max(348484347) 15:27:25
技術不是一天兩天就學會的
Max(348484347) 15:27:40
我希望大家以後既然作爲站長 不單單做SEO
Max(348484347) 15:27:54
更多的來學習下服務器的安全
Max(348484347) 15:28:11
畢竟被黑客入侵 對網站可是致命的
Max(348484347) 15:28:20
大家以後有什麼問題 就儘量找A5
Max(348484347) 15:28:30
我們會全力爲大家服務
Max(348484347) 15:28:49
感謝JACK和A5
Max(348484347) 15:28:58
今天就到這裏
Max(348484347) 15:29:02
大家有什麼問題提問吧
講課結束!
A5 安全小組講座:服務器和網站安全
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.