<!-- /* Font Definitions */ @font-face {font-family:宋體; panose-1:2 1 6 0 3 1 1 1 1 1; mso-font-alt:SimSun; mso-font-charset:134; mso-generic-font-family:auto; mso-font-pitch:variable; mso-font-signature:3 135135232 16 0 262145 0;} @font-face {font-family:"/@宋體"; panose-1:2 1 6 0 3 1 1 1 1 1; mso-font-charset:134; mso-generic-font-family:auto; mso-font-pitch:variable; mso-font-signature:3 135135232 16 0 262145 0;} /* Style Definitions */ p.MsoNormal, li.MsoNormal, div.MsoNormal {mso-style-parent:""; margin:0cm; margin-bottom:.0001pt; text-align:justify; text-justify:inter-ideograph; mso-pagination:none; font-size:10.5pt; mso-bidi-font-size:12.0pt; font-family:"Times New Roman"; mso-fareast-font-family:宋體; mso-font-kerning:1.0pt;} h1 {mso-margin-top-alt:auto; margin-right:0cm; mso-margin-bottom-alt:auto; margin-left:0cm; mso-pagination:widow-orphan; mso-outline-level:1; font-size:24.0pt; font-family:宋體; mso-bidi-font-family:宋體;} /* Page Definitions */ @page {mso-page-border-surround-header:no; mso-page-border-surround-footer:no;} @page Section1 {size:595.3pt 841.9pt; margin:72.0pt 90.0pt 72.0pt 90.0pt; mso-header-margin:42.55pt; mso-footer-margin:49.6pt; mso-paper-source:0; layout-grid:15.6pt;} div.Section1 {page:Section1;} /* List Definitions */ @list l0 {mso-list-id:1437629728; mso-list-type:hybrid; mso-list-template-ids:34394228 -1556155800 67698713 67698715 67698703 67698713 67698715 67698703 67698713 67698715;} @list l0:level1 {mso-level-number-format:japanese-counting; mso-level-tab-stop:18.0pt; mso-level-number-position:left; margin-left:18.0pt; text-indent:-18.0pt;} ol {margin-bottom:0cm;} ul {margin-bottom:0cm;} -->
老站長傳授網站防黑經驗
一.
設置嚴密的權限。
上傳的目錄只給寫入、讀取權限,絕對不能給執行的權限。
每個網站使用獨立的用戶名和密碼,權限設置爲
Guest
。
命令
: net
localgroup users myweb /del
設置
MSSQL
、
Apache
、
MySQL
以
Guest
權限運行:在運行中打
:service.msc
,選擇相應的服務,以一個
Guest
權限的賬戶運行。
二
.
防止
SQL
注入
以前用的通用防注入模塊,後來在多次與黑客血與淚的較量中。我明白了通用防注入模塊是沒用的,如果人家
CC
我的網站,通用防注入模塊會讓自己網站卡死!!
使用專門的
Web
應用防火牆是個比較明智的選擇。硬件防火牆動輒就是幾十萬,我沒那麼多錢,那不是俺們能用的起的。俺還是喜歡用免費的軟件
“
銥迅網站防火牆
”
,標準版可以註冊後免費獲得。
三
.
防止
IIS 6.0
的
0day
攻擊
0day
之一:
IIS
的致命傷,很多網站都是這樣被黑客入侵的:黑客建立一個叫
aaa.asp
的目錄,然後在
aaa.asp
的目錄裏面放一個圖片木馬,黑客訪問
aaa.asp/xxx.jpg
就能訪問木馬了。
0day
之二:
黑客上傳
aaa.asp;bbb,jpg
這樣的文件到服務器中,這可不是
jpg
啊,
IIS 6
會在分號的地方截斷,把
jpg
當
asp
執行的
解決方案
1:
編碼的時候禁止目錄中包含
” . “
號和文件名中包含
” ; “
號
解決方案
2
:如果網站已經用戶過多,不能修改代碼了,可以考慮前面提到的銥迅網站防火牆。
四
.
檢測黑客攻擊痕跡
1.
檢測
shift
後門:
遠程
3389
連接,連續按
Shift
鍵
5
次,如果沒有跳出粘滯鍵菜單,說明被安裝後門了。在
windows
文件夾中,搜索
sethc.exe
並刪除之。
2.
查看
Document and
Settings
目錄
如果發現有可疑用戶的文件夾,說明就被黑客入侵了。
五
.
刪除危險組件
1.
刪除
Wscript
regsvr32/u C:/windows/System32/wshom.ocx
del C:/windows/System32/wshom.ocx
regsvr32/u C:/windows/system32/shell32.dll
del C:/windows/system32/shell32.dll
2.
刪除
MSSQL
危險存儲過程
MS SQL SERVER2000
使用系統帳戶登陸查詢分析器
運行以下腳本
use master
exec sp_dropextendedproc 'xp_cmdshell'
exec sp_dropextendedproc 'xp_enumgroups'
exec sp_dropextendedproc 'xp_loginconfig'
exec sp_dropextendedproc 'xp_enumerrorlogs'
exec sp_dropextendedproc 'xp_getfiledetails'
exec sp_dropextendedproc 'Sp_OACreate'
exec sp_dropextendedproc 'Sp_OADestroy'
exec sp_dropextendedproc 'Sp_OAGetErrorInfo'
exec sp_dropextendedproc 'Sp_OAGetProperty'
exec sp_dropextendedproc 'Sp_OAMethod'
exec sp_dropextendedproc 'Sp_OASetProperty'
exec sp_dropextendedproc 'Sp_OAStop'
exec sp_dropextendedproc 'xp_regaddmultistring'
exec sp_dropextendedproc 'xp_regdeletekey'
exec sp_dropextendedproc 'xp_regdeletevalue'
exec sp_dropextendedproc 'xp_regenumvalues'
exec sp_dropextendedproc 'xp_regremovemultistring'
exec sp_dropextendedproc 'xp_regwrite'
drop procedure sp_makewebtask
go
刪除所有危險的擴展
.
exec sp_dropextendedproc 'xp_cmdshell' [
刪除此項擴展後
,
將無法遠程連接數據庫
]
以下
3
個存儲過程會在
SQL SERVER
恢復備份時被使用
,
非必要請勿刪除
#exec sp_dropextendedproc 'xp_dirtree' [
刪除此項擴展後
,
將無法新建或附加數據庫
]
#exec sp_dropextendedproc 'Xp_regread' [
刪除此項擴展後
,
還原數據庫輔助
]
#exec sp_dropextendedproc 'xp_fixeddrives' [
刪除此項擴展後
,
將無法還原數據庫
]
現在的 shift 後門都是高防的 我使用的是直接調用真正粘滯鍵的 shift 後門外觀上和功能上都沒有任何問題,那樣檢測是沒有用的。而且採用鏡像劫持,即使你刪掉 sethc.exe 也沒 用啊 刪除的擴展還是可以還原的。所以要想安全,就必須時刻警惕黑客的入侵。不能放過任何一個細節。很可能是你某個細節出錯就導致整個服務器的淪陷。安全不能掉 以輕心啊
呵呵 我的後門是自己寫的 五次 shift 後調用我的程序,程序是隱藏運行的,不過他會調用原來的真正的粘滯鍵,這樣電腦上顯示的是真正的粘滯鍵,但我的後門已經啓用了。快捷鍵調出 來就可以用了。至於映像劫持是我附加的功能。我也不怎麼用。殺軟到沒測試。不過瑞星測試下無任何攔截。其他殺軟沒測試
使用權限最高的賬戶
一、結束
explorer
進程
taskkill /f /im explorer.exe
二、用計劃任務啓動交互式的界面
at 13:30 /interactive explorer.exe
必須開啓
Task
Scheduler
服務,默認是開啓的。這樣當到了
13:30
的時候,
explorer
進程會以
system
用戶啓動,桌面會被重新加載,變成
system
用戶的桌面。