主讲:Max(小郭)
Max(348484347) 14:32:56
独立的服务器有多好处
Max(348484347) 14:33:17
特别是可以自由的控制网站的设置 IIS配置等等
正式开始
Max(348484347) 14:36:48
通常挂马的代码是 □<iframe ...
Max(348484347) 14:36:57
和 <script ...
Max(348484347) 14:37:19
大家都知道GOOGLE 是可以辨别JS 并且访问到的
Max(348484347) 14:37:28
百度也是可以的
Max(348484347) 14:37:46
只是没有象GOOGLE 那样可以识别出木马
Max(348484347) 14:38:08
现在网络安全对SEO的影响越来越大,且不说服务器关掉或者网速慢会影响巨大,单单就网站挂马这样的事情,就对网站伤害很大
Max(348484347) 14:38:38
我们有服务器的人通常是马上删除代码
Max(348484347) 14:38:57
但是这些对认真清楚木马是没有好处的 下面会讲到为什么
Max(348484347) 14:39:25
我想说的是
Max(348484347) 14:39:30
大家对自己的后台了解吗?
Max(348484347) 14:39:40
网站的后台的安全隐患知道多少呢
Max(348484347) 14:39:43
很简单
Max(348484347) 14:39:55
大家回去打开自己的后台
Max(348484347) 14:40:22
拿一个ASP文件 一个PHP文件 一个CER文件 一个APSX文件
Max(348484347) 14:40:40
找到上传的地方 试着将这些文件上传
Max(348484347) 14:40:44
看看是否成功
Max(348484347) 14:40:55
如果直接成功
Max(348484347) 14:41:09
那你的网站就只能用极度危险来形容
Max(348484347) 14:41:27
当然后台入侵的方式当然不只是这些
Max(348484347) 14:41:34
像DEDE的后台
Max(348484347) 14:41:41
功能相当的强大
Max(348484347) 14:41:53
可以直接操作文件
Max(348484347) 14:42:11
也就给黑客有了可趁之机
Max(348484347) 14:42:18
恩 上面问的好
Max(348484347) 14:42:24
怎么找ASP木讷
Max(348484347) 14:42:50
我先总体概述 稍后教大家我的方法
Max(348484347) 14:43:06
WEB服务器主要是面向互联网的。所以,其是企业众多信息化应用中最容易受到攻击的。现在企 业的WEB应用越来越多,特别是其也逐渐在成为其他信息化应用的进口。
Max(348484347) 14:43:41
一台服务器的安全
Max(348484347) 14:43:52
不是取决于杀毒软件的多少
Max(348484347) 14:44:02
而是取决于服务安装的多少
Max(348484347) 14:44:02
而是取决于服务安装的多少
Max(348484347) 14:44:09
那么我给大家总结出第一点
Max(348484347) 14:44:46
1、服务器装越少的软件 越安全
Max(348484347) 14:45:14
许多入侵到SYSTEM的权限 都是考服务来经行的
Max(348484347) 14:45:22
比如FTP的提权
Max(348484347) 14:45:42
大家知道SERVU安装成服务的权限就是SYSTEM
Max(348484347) 14:46:02
而黑客可以通过控制脚本 来控制SERVU
Max(348484347) 14:46:22
前几天帮朋友检测了一个虚拟机
Max(348484347) 14:46:43
竟然很轻易的就拿到整个服务器的权限 而方式就是SERVU的提权
Max(348484347) 14:46:55
还有很多 记得我早期的时候
Max(348484347) 14:47:05
做一个新华网分站的检测
Max(348484347) 14:47:29
也是通过某个服务取得整个服务器的权限
Max(348484347) 14:48:01
还有MSSQL
Max(348484347) 14:48:03
MYSQL
Max(348484347) 14:48:16
这些的权限都是SYSTEM 也都是黑客们的最爱
Max(348484347) 14:48:54
所以要做好服务器安全 或者装最少的服务 或者 做好各个服务的安全设置
Max(348484347) 14:49:13
我的建议是
Max(348484347) 14:49:19
有企业级别的用户
Max(348484347) 14:49:45
可以将数据库服务 邮件服务 归到一起 将WEB服务独立出来
Max(348484347) 14:50:01
两个服务器一台专门WEB 一台专门辅助服务
Max(348484347) 14:50:17
这样的安全系数是很高的 很多我接触的企业也都是这么做的
Max(348484347) 14:50:33
第二
Max(348484347) 14:50:40
学会看系统日志
Max(348484347) 14:50:48
大家对WINDOWS很熟悉了
Max(348484347) 14:51:01
不过我想真正懂得分析系统日志的人没有几个
Max(348484347) 14:51:40
建议大家回去查些资料 了解服务器的日志 的语法
Max(348484347) 14:51:56
对以后掌握服务器安全都是很重要的
Max(348484347) 14:51:57
记得
Max(348484347) 14:52:13
当年帮一个企业找木马
Max(348484347) 14:52:22
花了9牛二虎之力
Max(348484347) 14:52:25
都没有找出来
Max(348484347) 14:52:37
最后还是分析系统日志得到最后的结果~~~
Max(348484347) 14:52:51
当然这个不是一两天的事情
Max(348484347) 14:52:59
比如 200 0 0
Max(348484347) 14:53:07
这样的格式代表的是什么
Max(348484347) 14:53:11
200 0 64
Max(348484347) 14:53:16
代表的是什么
Max(348484347) 14:53:30
这些基本的掌握对SEO也是有很大的帮助
Max(348484347) 14:53:44
如果大家在自己的系统日志里面看到 BAIDU 200 0 0
Max(348484347) 14:53:51
那你就应该很开心了
Max(348484347) 14:54:03
这就代表百度跟你的网页会话成功
Max(348484347) 14:54:07
也就是说采集到了
Max(348484347) 14:54:12
等等
Max(348484347) 14:54:22
犹豫时间关系不能讲太多
Max(348484347) 14:54:32
第三
Max(348484347) 14:54:55
警惕你的网站代码
Max(348484347) 14:55:06
入侵网站 到 服务器
Max(348484347) 14:55:17
都是经历网站这个途径
Max(348484347) 14:55:53
大部分是由于代码设计不当所引起的
Max(348484347) 14:56:06
直接导致的结果是
Max(348484347) 14:56:11
黑客入侵手段
Max(348484347) 14:56:41
如
Max(348484347) 14:56:48
COOKIE的欺骗进入后台
Max(348484347) 14:57:03
FORM表单的隐藏域的修改
Max(348484347) 14:57:08
缓存溢出
Max(348484347) 14:57:12
等等
Max(348484347) 14:57:26
记得最严重的就是SQL注入
Max(348484347) 14:57:44
05年到现在最流行的入侵方式就是SQL注入
Max(348484347) 14:57:59
记得那是我还为了这个查了很多资料
Max(348484347) 14:58:05
而现在网络上到处都是
Max(348484347) 14:58:40
SQL就是可以不需要通过系统的验证
Max(348484347) 14:59:03
来或取主要信息
Max(348484347) 14:59:27
总体概述讲完
Max(348484347) 14:59:34
不懂大家是否理解
Max(348484347) 14:59:44
下面我们就通过主要的实例
Max(348484347) 14:59:52
来具体操作服务器
Max(348484347) 14:59:57
设置安全
Max(348484347) 15:00:26
1、还是禁用系统 不必要的服务
Max(348484347) 15:00:36
这些服务器具体有这些
Max(348484347) 15:00:54
Computer Browser:维护网络计算机更新,禁用
Distributed File System:局域网管理共享文件,不需要就禁用
Distributed linktracking client:用于局域网更新连接信息,不需要就禁用
Error reporting service:禁止发送错误报告
Microsoft Search:提供快速的单词搜索,不需要可禁用
NT LMSecuritysupportprovide:telnet服务和MicrosoftSerch用的,不需要就禁用
PrintSpooler:如果没有打印机可禁用
RemoteRegistry:禁止远程修改注册表
RemoteDesktop Help Session Manager:禁止远程协助
Workstation :禁止
Max(348484347) 15:01:39
关闭的步骤是
Max(348484347) 15:01:44
我的电脑右键-》管理-》服务 把不需要的服务的启动类型改为禁用就可以了
Max(348484347) 15:02:12
2、主要文件的权限分配
Max(348484347) 15:02:30
设置磁盘权限:系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限
Max(348484347) 15:03:00
/Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限
Max(348484347) 15:03:15
Documents and Settings/All Users 目录只给 Administrators 组和 SYSTEM 的完全控制 权限
Max(348484347) 15:03:32
每一步都不能少
Max(348484347) 15:03:45
Windows/System32/cacls.exe、cmd.exe、net.exe、net1.exe、regedit.exe、at.exe、 attrib.exe、format.com 文件只给 Administrators 组和 SYSTEM 的完全控制权限
Max(348484347) 15:04:35
还有就是MSSQL
Max(348484347) 15:05:19
MSSQL升级到最新版本
Max(348484347) 15:05:38
如 2000sp4 2005 等都是很好
Max(348484347) 15:05:50
安装完成后
Max(348484347) 15:05:55
关闭SQL服务
Max(348484347) 15:06:09
找到xplog71.dll
Max(348484347) 15:07:01
删除 或者 重命名
Max(348484347) 15:07:19
Use Master
Exec sp_dropextendedproc N’xp_cmdshell’
Go
Max(348484347) 15:07:41
在查询分析器中 执行这个代码 去除 XP_CMDSHELL的过程
Max(348484347) 15:08:30
MYSQL
Max(348484347) 15:08:37
升级到最新版本
Max(348484347) 15:09:15
如果就本地使用
Max(348484347) 15:09:30
最好禁止MYSQL的远程链接
Max(348484347) 15:09:55
设置 除了root用户外的其他任何用户不允许访问mysql主数据库中的user表;
Max(348484347) 15:10:53
不许将process或super权限付给非管理用户,该mysqladmin processlist可以列举出当前执行的查询文本;super权限可用于切断客户端连接、改变服务器运行参数状态、控制拷贝复制数据库的服务器;
Max(348484347) 15:12:15
由于MYSQL的缓冲区溢出漏洞很好的屏蔽
Max(348484347) 15:12:25
所以建议用最新版的MYSQL 5.1的
Max(348484347) 15:12:38
当然 上面有会员说注入漏洞
Max(348484347) 15:12:58
注入漏洞是由于WEB代码段的原因
Max(348484347) 15:13:13
导致敏感信息泄露
Max(348484347) 15:13:33
最好大家都学会检测SQL漏洞
Max(348484347) 15:13:37
怎么检测
Max(348484347) 15:13:39
很简单
Max(348484347) 15:13:49
上网搜索下 明小子注入工具
Max(348484347) 15:14:15
在地址拦输入你要检测的网站
Max(348484347) 15:14:55
服务器常用的后门
Max(348484347) 15:15:10
WIN2003
Max(348484347) 15:15:16
功能强大
Max(348484347) 15:15:24
后门当然是多种多样
Max(348484347) 15:15:31
黑客较劲脑子
Max(348484347) 15:15:39
想出各种各样的后门
Max(348484347) 15:15:48
让管理员不容易发现
Max(348484347) 15:16:06
常用的有脚本后门
Max(348484347) 15:16:22
大家在运行那里 输入 gpedit,msc
Max(348484347) 15:16:28
可以看到计算机管理
Max(348484347) 15:16:36
每个用户都有个登陆脚本
Max(348484347) 15:17:53
VBS脚本同样是系统级别的
Max(348484347) 15:17:23
(图片不发了) 脚本 - 登陆/注销 选项
Max(348484347) 15:18:08
只要在这里添加VBS添加计算机账户的代码
Max(348484347) 15:18:27
你每次登陆都会自动添加黑客的账户
Max(348484347) 15:18:27
你每次登陆都会自动添加黑客的账户
Max(348484347) 15:18:41
无论你怎么删除都是删除不了
Max(348484347) 15:18:53
还有 SETHC
Max(348484347) 15:19:08
大家在连接 3389端口的时候
Max(348484347) 15:19:17
连续按5次的SHIFT
Max(348484347) 15:19:46
系统会自动激活SYSTEM32目录下的 SETHC.EXE 这个文件
Max(348484347) 15:20:07
也就是黑客直接不需要知道密码就可以运行你的系统文件
Max(348484347) 15:20:18
大家想想 如果把这个文件替换成黑客的木马
Max(348484347) 15:20:23
那么后果是什么
Max(348484347) 15:20:47
防止这个后门的方法也很简单
Max(348484347) 15:21:13
到这个SYSTEM32目录下 找到SETCH.EXE
Max(348484347) 15:21:20
删除它
Max(348484347) 15:21:41
然后 系统文件保护机制会自动检测被删除的系统文件
Max(348484347) 15:21:46
就会自动恢复
Max(348484347) 15:21:50
黑客就无法替换
Max(348484347) 15:21:58
还有GUEST账户
Max(348484347) 15:22:42
GUEST账户
Max(348484347) 15:22:51
只要在注册表下进行操作
Max(348484347) 15:23:23
设置成管理员 而且在账户管理中 GUEST账户还是禁用的
Max(348484347) 15:23:34
这样也同样不容易被发现
Max(348484347) 15:23:38
防范的方法
Max(348484347) 15:24:02
登陆注册表 删除GUEST对应的键值
Max(348484347) 15:24:14
通常是 0x1F5
Max(348484347) 15:24:30
还有很多很多后门
Max(348484347) 15:24:43
我就讲了这些常用的
Max(348484347) 15:25:18
还有很多后门 还有待于A5安全人员的研究 在以后的时间里会公布给大家
Max(348484347) 15:25:39
让大家能容易的掌握各样技术 防范黑客的入侵
Max(348484347) 15:27:14
大家不要着急
Max(348484347) 15:27:25
技术不是一天两天就学会的
Max(348484347) 15:27:40
我希望大家以后既然作为站长 不单单做SEO
Max(348484347) 15:27:54
更多的来学习下服务器的安全
Max(348484347) 15:28:11
毕竟被黑客入侵 对网站可是致命的
Max(348484347) 15:28:20
大家以后有什么问题 就尽量找A5
Max(348484347) 15:28:30
我们会全力为大家服务
Max(348484347) 15:28:49
感谢JACK和A5
Max(348484347) 15:28:58
今天就到这里
Max(348484347) 15:29:02
大家有什么问题提问吧
讲课结束!
