账号通
    

账号  

密码  

1946

查看

1

回复
主题:[转帖] 网站防黑客终极方法 [收藏主题]  
k52086 当前离线

1156

主题

0

广播

0

粉丝
添加关注
级别:八年级

用户积分:5486 分
登录次数:192 次
注册时间:2008/12/18
最后登录:2011/3/10
k52086 发表于:2009/11/13 11:29:00   | 只看该作者 查看该作者主题 楼主 
  作为一名老站长、一个与黑客作战多年的老站长,今天也来谈谈防止网站被黑的经验。黑客并不可怕,可怕的是不知道怎么防黑客!!!
.设置严密的权限。

上传的目录只给写入、读取权限,绝对不能给执行的权限。

每个网站使用独立的用户名和密码,权限设置为Guest

命令: net localgroup users myweb /del

设置MSSQLApacheMySQLGuest权限运行:在运行中打:service.msc,选择相应的服务,以一个Guest权限的账户运行。



.防止SQL注入

以前用的通用防注入模块,后来在多次与黑客血与泪的较量中。我明白了通用防注入模块是没用的,如果人家CC我的网站,通用防注入模块会让自己网站卡死!!



使用专门的Web应用防火墙是个比较明智的选择。硬件防火墙动辄就是几十万,我没那么多钱,那不是俺们能用的起的。俺还是喜欢用免费的软件“铱迅网站防火墙”,标准版可以注册后免费获得。



.防止IIS 6.0 0day攻击

0day 之一:

IIS的致命伤,很多网站都是这样被黑客入侵的:黑客建立一个叫aaa.asp的目录,然后在aaa.asp的目录里面放一个图片木马,黑客访问aaa.asp/xxx.jpg就能访问木马了。

0day之二:

黑客上传aaa.asp;bbb,jpg这样的文件到服务器中,这可不是jpg啊,IIS 6会在分号的地方截断,把jpgasp执行的



解决方案1:编码的时候禁止目录中包含” . “号和文件名中包含” ; “

解决方案2:如果网站已经用户过多,不能修改代码了,可以考虑前面提到的铱迅网站防火墙。



.检测黑客攻击痕迹

1.检测shift后门:

远程3389连接,连续按Shift5次,如果没有跳出粘滞键菜单,说明被安装后门了。在windows文件夹中,搜索sethc.exe 并删除之。

2.查看Document and Settings目录

如果发现有可疑用户的文件夹,说明就被黑客入侵了。



.删除危险组件

   1.删除Wscript

      regsvr32/u C:\windows\System32\wshom.ocx

del
C:\windows\System32\wshom.ocx
regsvr32/u C:\windows\system32\shell32.dll

del
C:\windows\system32\shell32.dll        
2.删除MSSQL危险存储过程

MS SQL SERVER2000

使用系统帐户登陆查询分析器

运行以下脚本

use master

exec sp_dropextendedproc 'xp_cmdshell'

exec sp_dropextendedproc 'xp_enumgroups'

exec sp_dropextendedproc 'xp_loginconfig'

exec sp_dropextendedproc 'xp_enumerrorlogs'

exec sp_dropextendedproc 'xp_getfiledetails'

exec sp_dropextendedproc 'Sp_OACreate'

exec sp_dropextendedproc 'Sp_OADestroy'

exec sp_dropextendedproc 'Sp_OAGetErrorInfo'

exec sp_dropextendedproc 'Sp_OAGetProperty'

exec sp_dropextendedproc 'Sp_OAMethod'

exec sp_dropextendedproc 'Sp_OASetProperty'

exec sp_dropextendedproc 'Sp_OAStop'

exec sp_dropextendedproc 'xp_regaddmultistring'

exec sp_dropextendedproc 'xp_regdeletekey'

exec sp_dropextendedproc 'xp_regdeletevalue'

exec sp_dropextendedproc 'xp_regenumvalues'

exec sp_dropextendedproc 'xp_regremovemultistring'

exec sp_dropextendedproc 'xp_regwrite'

drop procedure sp_makewebtask

go

删除所有危险的扩展.

exec sp_dropextendedproc 'xp_cmdshell' [删除此项扩展后,将无法远程连接数据库]

以下3个存储过程会在SQL SERVER恢复备份时被使用,非必要请勿删除

#exec sp_dropextendedproc 'xp_dirtree' [删除此项扩展后,将无法新建或附加数据库]

#exec sp_dropextendedproc 'Xp_regread' [删除此项扩展后, 还原数据库辅助]

#exec sp_dropextendedproc 'xp_fixeddrives' [删除此项扩展后,将无法还原数据库]

 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
sheng10 当前离线

473

主题

0

广播

0

粉丝
添加关注
级别:四年级

用户积分:2258 分
登录次数:61 次
注册时间:2009/1/8
最后登录:2012/5/29
sheng10 发表于:2009/11/13 15:38:00   | 只看该作者 查看该作者主题 沙发 

学习了好东西啊

 

 

 

 

 

 

 

 

 

 

 

http://www.qqnc9.cn/

 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
<上一主题 | 下一主题 >
Powered By KesionCMS Version X1
厦门科汛软件有限公司 © 2006-2016 页面执行0.09375秒 powered by KesionCMS 9.0