老站長傳授網站防黑經驗

<!-- /* Font Definitions */ @font-face {font-family:宋體; panose-1:2 1 6 0 3 1 1 1 1 1; mso-font-alt:SimSun; mso-font-charset:134; mso-generic-font-family:auto; mso-font-pitch:variable; mso-font-signature:3 135135232 16 0 262145 0;} @font-face {font-family:"/@宋體"; panose-1:2 1 6 0 3 1 1 1 1 1; mso-font-charset:134; mso-generic-font-family:auto; mso-font-pitch:variable; mso-font-signature:3 135135232 16 0 262145 0;} /* Style Definitions */ p.MsoNormal, li.MsoNormal, div.MsoNormal {mso-style-parent:""; margin:0cm; margin-bottom:.0001pt; text-align:justify; text-justify:inter-ideograph; mso-pagination:none; font-size:10.5pt; mso-bidi-font-size:12.0pt; font-family:"Times New Roman"; mso-fareast-font-family:宋體; mso-font-kerning:1.0pt;} h1 {mso-margin-top-alt:auto; margin-right:0cm; mso-margin-bottom-alt:auto; margin-left:0cm; mso-pagination:widow-orphan; mso-outline-level:1; font-size:24.0pt; font-family:宋體; mso-bidi-font-family:宋體;} /* Page Definitions */ @page {mso-page-border-surround-header:no; mso-page-border-surround-footer:no;} @page Section1 {size:595.3pt 841.9pt; margin:72.0pt 90.0pt 72.0pt 90.0pt; mso-header-margin:42.55pt; mso-footer-margin:49.6pt; mso-paper-source:0; layout-grid:15.6pt;} div.Section1 {page:Section1;} /* List Definitions */ @list l0 {mso-list-id:1437629728; mso-list-type:hybrid; mso-list-template-ids:34394228 -1556155800 67698713 67698715 67698703 67698713 67698715 67698703 67698713 67698715;} @list l0:level1 {mso-level-number-format:japanese-counting; mso-level-tab-stop:18.0pt; mso-level-number-position:left; margin-left:18.0pt; text-indent:-18.0pt;} ol {margin-bottom:0cm;} ul {margin-bottom:0cm;} -->

老站長傳授網站防黑經驗

一.   設置嚴密的權限。
上傳的目錄只給寫入、讀取權限，絕對不能給執行的權限。
每個網站使用獨立的用戶名和密碼，權限設置爲 Guest 。
命令 : net localgroup users myweb /del
設置 MSSQL 、 Apache 、 MySQL 以 Guest 權限運行：在運行中打 :service.msc ，選擇相應的服務，以一個 Guest 權限的賬戶運行。

二 . 防止 SQL 注入
以前用的通用防注入模塊，後來在多次與黑客血與淚的較量中。我明白了通用防注入模塊是沒用的，如果人家 CC 我的網站，通用防注入模塊會讓自己網站卡死！！

使用專門的 Web 應用防火牆是個比較明智的選擇。硬件防火牆動輒就是幾十萬，我沒那麼多錢，那不是俺們能用的起的。俺還是喜歡用免費的軟件 “ 銥迅網站防火牆 ” ，標準版可以註冊後免費獲得。

三 . 防止 IIS 6.0 的 0day 攻擊
0day 之一：
IIS 的致命傷，很多網站都是這樣被黑客入侵的：黑客建立一個叫 aaa.asp 的目錄，然後在 aaa.asp 的目錄裏面放一個圖片木馬，黑客訪問 aaa.asp/xxx.jpg 就能訪問木馬了。
0day 之二：
黑客上傳 aaa.asp;bbb,jpg 這樣的文件到服務器中，這可不是 jpg 啊， IIS 6 會在分號的地方截斷，把 jpg 當 asp 執行的

解決方案 1: 編碼的時候禁止目錄中包含 ” . “ 號和文件名中包含 ” ; “ 號
解決方案 2 ：如果網站已經用戶過多，不能修改代碼了，可以考慮前面提到的銥迅網站防火牆。

四 . 檢測黑客攻擊痕跡
1. 檢測 shift 後門：
遠程 3389 連接，連續按 Shift 鍵 5 次，如果沒有跳出粘滯鍵菜單，說明被安裝後門了。在 windows 文件夾中，搜索 sethc.exe 並刪除之。
2. 查看 Document and Settings 目錄
如果發現有可疑用戶的文件夾，說明就被黑客入侵了。

五 . 刪除危險組件
    1. 刪除 Wscript
        regsvr32/u C:/windows/System32/wshom.ocx
del C:/windows/System32/wshom.ocx
regsvr32/u C:/windows/system32/shell32.dll
del C:/windows/system32/shell32.dll                 
2. 刪除 MSSQL 危險存儲過程
MS SQL SERVER2000
使用系統帳戶登陸查詢分析器
運行以下腳本
use master
exec sp_dropextendedproc 'xp_cmdshell'
exec sp_dropextendedproc 'xp_enumgroups'
exec sp_dropextendedproc 'xp_loginconfig'
exec sp_dropextendedproc 'xp_enumerrorlogs'
exec sp_dropextendedproc 'xp_getfiledetails'
exec sp_dropextendedproc 'Sp_OACreate'
exec sp_dropextendedproc 'Sp_OADestroy'
exec sp_dropextendedproc 'Sp_OAGetErrorInfo'
exec sp_dropextendedproc 'Sp_OAGetProperty'
exec sp_dropextendedproc 'Sp_OAMethod'
exec sp_dropextendedproc 'Sp_OASetProperty'
exec sp_dropextendedproc 'Sp_OAStop'
exec sp_dropextendedproc 'xp_regaddmultistring'
exec sp_dropextendedproc 'xp_regdeletekey'
exec sp_dropextendedproc 'xp_regdeletevalue'
exec sp_dropextendedproc 'xp_regenumvalues'
exec sp_dropextendedproc 'xp_regremovemultistring'
exec sp_dropextendedproc 'xp_regwrite'
drop procedure sp_makewebtask
go
刪除所有危險的擴展 .
exec sp_dropextendedproc 'xp_cmdshell' [ 刪除此項擴展後 , 將無法遠程連接數據庫 ]
以下 3 個存儲過程會在 SQL SERVER 恢復備份時被使用 , 非必要請勿刪除
#exec sp_dropextendedproc 'xp_dirtree' [ 刪除此項擴展後 , 將無法新建或附加數據庫 ]
#exec sp_dropextendedproc 'Xp_regread' [ 刪除此項擴展後 , 還原數據庫輔助 ]
#exec sp_dropextendedproc 'xp_fixeddrives' [ 刪除此項擴展後 , 將無法還原數據庫 ]

 

 

 

現在的 shift 後門都是高防的 我使用的是直接調用真正粘滯鍵的 shift 後門外觀上和功能上都沒有任何問題，那樣檢測是沒有用的。而且採用鏡像劫持，即使你刪掉 sethc.exe 也沒 用啊 刪除的擴展還是可以還原的。所以要想安全，就必須時刻警惕黑客的入侵。不能放過任何一個細節。很可能是你某個細節出錯就導致整個服務器的淪陷。安全不能掉 以輕心啊

 

呵呵 我的後門是自己寫的 五次 shift 後調用我的程序，程序是隱藏運行的，不過他會調用原來的真正的粘滯鍵，這樣電腦上顯示的是真正的粘滯鍵，但我的後門已經啓用了。快捷鍵調出 來就可以用了。至於映像劫持是我附加的功能。我也不怎麼用。殺軟到沒測試。不過瑞星測試下無任何攔截。其他殺軟沒測試

 

 

 

使用權限最高的賬戶

 

 

一、結束 explorer 進程
taskkill /f /im explorer.exe

二、用計劃任務啓動交互式的界面
at 13:30 /interactive explorer.exe

必須開啓 Task Scheduler 服務，默認是開啓的。這樣當到了 13:30 的時候， explorer 進程會以 system 用戶啓動，桌面會被重新加載，變成 system 用戶的桌面。