|
主题:[转帖] 网站防黑客终极方法 [收藏主题] |
作为一名老站长、一个与黑客作战多年的老站长,今天也来谈谈防止网站被黑的经验。黑客并不可怕,可怕的是不知道怎么防黑客!!!
一.设置严密的权限。 上传的目录只给写入、读取权限,绝对不能给执行的权限。 每个网站使用独立的用户名和密码,权限设置为Guest。 命令: net localgroup users myweb /del 设置MSSQL、Apache、MySQL以Guest权限运行:在运行中打:service.msc,选择相应的服务,以一个Guest权限的账户运行。 二.防止SQL注入 以前用的通用防注入模块,后来在多次与黑客血与泪的较量中。我明白了通用防注入模块是没用的,如果人家CC我的网站,通用防注入模块会让自己网站卡死!! 使用专门的Web应用防火墙是个比较明智的选择。硬件防火墙动辄就是几十万,我没那么多钱,那不是俺们能用的起的。俺还是喜欢用免费的软件“铱迅网站防火墙”,标准版可以注册后免费获得。 三.防止IIS 6.0 的0day攻击 0day 之一: IIS的致命伤,很多网站都是这样被黑客入侵的:黑客建立一个叫aaa.asp的目录,然后在aaa.asp的目录里面放一个图片木马,黑客访问aaa.asp/xxx.jpg就能访问木马了。 0day之二: 黑客上传aaa.asp;bbb,jpg这样的文件到服务器中,这可不是jpg啊,IIS 6会在分号的地方截断,把jpg当asp执行的 解决方案1:编码的时候禁止目录中包含” . “号和文件名中包含” ; “号 解决方案2:如果网站已经用户过多,不能修改代码了,可以考虑前面提到的铱迅网站防火墙。 四.检测黑客攻击痕迹 1.检测shift后门: 远程3389连接,连续按Shift键5次,如果没有跳出粘滞键菜单,说明被安装后门了。在windows文件夹中,搜索sethc.exe 并删除之。 2.查看Document and Settings目录 如果发现有可疑用户的文件夹,说明就被黑客入侵了。 五.删除危险组件 1.删除Wscript regsvr32/u C:\windows\System32\wshom.ocx del C:\windows\System32\wshom.ocx regsvr32/u C:\windows\system32\shell32.dll del C:\windows\system32\shell32.dll 2.删除MSSQL危险存储过程 MS SQL SERVER2000 使用系统帐户登陆查询分析器 运行以下脚本 use master exec sp_dropextendedproc 'xp_cmdshell' exec sp_dropextendedproc 'xp_enumgroups' exec sp_dropextendedproc 'xp_loginconfig' exec sp_dropextendedproc 'xp_enumerrorlogs' exec sp_dropextendedproc 'xp_getfiledetails' exec sp_dropextendedproc 'Sp_OACreate' exec sp_dropextendedproc 'Sp_OADestroy' exec sp_dropextendedproc 'Sp_OAGetErrorInfo' exec sp_dropextendedproc 'Sp_OAGetProperty' exec sp_dropextendedproc 'Sp_OAMethod' exec sp_dropextendedproc 'Sp_OASetProperty' exec sp_dropextendedproc 'Sp_OAStop' exec sp_dropextendedproc 'xp_regaddmultistring' exec sp_dropextendedproc 'xp_regdeletekey' exec sp_dropextendedproc 'xp_regdeletevalue' exec sp_dropextendedproc 'xp_regenumvalues' exec sp_dropextendedproc 'xp_regremovemultistring' exec sp_dropextendedproc 'xp_regwrite' drop procedure sp_makewebtask go 删除所有危险的扩展. exec sp_dropextendedproc 'xp_cmdshell' [删除此项扩展后,将无法远程连接数据库] 以下3个存储过程会在SQL SERVER恢复备份时被使用,非必要请勿删除 #exec sp_dropextendedproc 'xp_dirtree' [删除此项扩展后,将无法新建或附加数据库] #exec sp_dropextendedproc 'Xp_regread' [删除此项扩展后, 还原数据库辅助] #exec sp_dropextendedproc 'xp_fixeddrives' [删除此项扩展后,将无法还原数据库] |
|
支持(0) | 反对(0) 顶端 底部 |
<上一主题 | 下一主题 > |