如何防范服務(wù)器被攻擊？

一，首先服務(wù)器一定要把a(bǔ)dministrator禁用，設(shè)置一個(gè)陷阱賬號(hào):"Administrator"把它權(quán)限降至最低,然后給一套非常復(fù)雜的密碼，重新建立

創(chuàng)新互聯(lián)建站-專業(yè)網(wǎng)站定制、快速模板網(wǎng)站建設(shè)、高性價(jià)比和縣網(wǎng)站開發(fā)、企業(yè)建站全套包干低至880元,成熟完善的模板庫,直接使用。一站式和縣網(wǎng)站制作公司更省心,省錢,快速模板網(wǎng)站建設(shè)找我們，業(yè)務(wù)覆蓋和縣地區(qū)。費(fèi)用合理售后完善，十年實(shí)體公司更值得信賴。

一個(gè)新賬號(hào)，設(shè)置上新密碼，權(quán)限為administraor

然后刪除最不安全的組件：

建立一個(gè)BAT文件,寫入

regsvr32/u C:\WINDOWS\System32\wshom.ocx

del C:\WINDOWS\System32\wshom.ocx

regsvr32\u C:\WINDOWS\system32\shell32.dll

del C:\WINDOWS\system32\shell32.dll

二，IIS的安全：

1、不使用默認(rèn)的Web站點(diǎn)，如果使用也要將 將IIS目錄與系統(tǒng)磁盤分開。

2、刪除IIS默認(rèn)創(chuàng)建的Inetpub目錄(在安裝系統(tǒng)的盤上)。

3、刪除系統(tǒng)盤下的虛擬目錄，如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。

4、刪除不必要的IIS擴(kuò)展名映射。

右鍵單擊“默認(rèn)Web站點(diǎn)→屬性→主目錄→配置”，打開應(yīng)用程序窗口，去掉不必要的應(yīng)用程序映射。主要為.shtml, .shtm, .stm

5、更改IIS日志的路徑

右鍵單擊“默認(rèn)Web站點(diǎn)→屬性-網(wǎng)站-在啟用日志記錄下點(diǎn)擊屬性

6、如果使用的是2000可以使用iislockdown來保護(hù)IIS，在2003運(yùn)行的IE6.0的版本不需要。

八、其它

1、 系統(tǒng)升級(jí)、打操作系統(tǒng)補(bǔ)丁，尤其是IIS 6.0補(bǔ)丁、SQL SP3a補(bǔ)丁，甚至IE 6.0補(bǔ)丁也要打。同時(shí)及時(shí)跟蹤最新漏洞補(bǔ)丁;

2、停掉Guest 帳號(hào)、并給guest 加一個(gè)異常復(fù)雜的密碼，把Administrator改名或偽裝!

3、隱藏重要文件/目錄

可以修改注冊(cè)表實(shí)現(xiàn)完全隱藏:“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi

-dden\SHOWALL”，鼠標(biāo)右擊 “CheckedValue”，選擇修改，把數(shù)值由1改為0

4、啟動(dòng)系統(tǒng)自帶的Internet連接防火墻，在設(shè)置服務(wù)選項(xiàng)中勾選Web服務(wù)器。

5、防止SYN洪水攻擊

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名為SynAttackProtect，值為2

EnablePMTUDiscovery 值為0

NoNameReleaseOnDemand 值為1

EnableDeadGWDetect 值為0

KeepAliveTime 值為300,000

PerformRouterDiscovery 值為0

EnableICMPRedirects 值為0

6. 禁止響應(yīng)ICMP路由通告報(bào)文

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface

新建DWORD值，名為PerformRouterDiscovery 值為0

7. 防止ICMP重定向報(bào)文的攻擊

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

將EnableICMPRedirects 值設(shè)為0

8. 不支持IGMP協(xié)議

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名為IGMPLevel 值為0

9、禁用DCOM:

運(yùn)行中輸入 Dcomcnfg.exe。 回車， 單擊“控制臺(tái)根節(jié)點(diǎn)”下的“組件服務(wù)”。 打開“計(jì)算機(jī)”子文件夾。

對(duì)于本地計(jì)算機(jī)，請(qǐng)以右鍵單擊“我的電腦”，然后選擇“屬性”。選擇“默認(rèn)屬性”選項(xiàng)卡。

清除“在這臺(tái)計(jì)算機(jī)上啟用分布式 COM”復(fù)選框。

10.禁用服務(wù)里的

Workstation 這服務(wù)開啟的話可以利用這個(gè)服務(wù)，可以獲取服務(wù)器所有帳號(hào).

11阻止IUSR用戶提升權(quán)限

三，這一步是比較關(guān)鍵的（禁用CMD運(yùn)行）

運(yùn)行-gpedit.msc-管理模板-系統(tǒng)

-阻止訪問命令提示符

-設(shè)置

-已啟用(E)

-也停用命令提示符腳本處理嗎?

(是)

四，防止SQL注入

打開SQL Server，在master庫用查詢分析器執(zhí)行以下語句:

exec sp_dropextendedproc 'xp_cmdshell

使用了以上幾個(gè)方法后，能有效保障你的服務(wù)器不會(huì)隨便被人黑或清玩家數(shù)據(jù)，當(dāng)然我技術(shù)有限，有的高手還有更多方法入侵你的服務(wù)器，這

需要大家加倍努力去學(xué)習(xí)防黑技術(shù)，也希望高手們對(duì)我的評(píng)論給予指點(diǎn)，修正出更好的解決方案，對(duì)玩家的數(shù)據(jù)做出更有力的保障~~~

服務(wù)器遭受攻擊后的處理流程

服務(wù)器遭受攻擊后的處理流程

安全總是相對(duì)的，再安全的服務(wù)器也有可能遭受到攻擊。作為一個(gè)安全運(yùn)維人員，要把握的原則是：盡量做好系統(tǒng)安全防護(hù)，修復(fù)所有已知的危險(xiǎn)行為，同時(shí)，在系統(tǒng)遭受攻擊后能夠迅速有效地處理攻擊行為，最大限度地降低攻擊對(duì)系統(tǒng)產(chǎn)生的影響。下面是我整理的服務(wù)器遭受攻擊后的處理流程：

一、處理服務(wù)器遭受攻擊的一般思路

系統(tǒng)遭受攻擊并不可怕，可怕的是面對(duì)攻擊束手無策，下面就詳細(xì)介紹下在服務(wù)器遭受攻擊后的一般處理思路。

1. 切斷網(wǎng)絡(luò)

所有的攻擊都來自于網(wǎng)絡(luò)，因此，在得知系統(tǒng)正遭受黑客的攻擊后，首先要做的就是斷開服務(wù)器的網(wǎng)絡(luò)連接，這樣除了能切斷攻擊源之外，也能保護(hù)服務(wù)器所在網(wǎng)絡(luò)的其他主機(jī)。

2. 查找攻擊源

可以通過分析系統(tǒng)日志或登錄日志文件，查看可疑信息，同時(shí)也要查看系統(tǒng)都打開了哪些端口，運(yùn)行哪些進(jìn)程，并通過這些進(jìn)程分析哪些是可疑的程序。這個(gè)過程要根據(jù)經(jīng)驗(yàn)和綜合判斷能力進(jìn)行追查和分析。下面的章節(jié)會(huì)詳細(xì)介紹這個(gè)過程的處理思路。

3. 分析入侵原因和途徑

既然系統(tǒng)遭到入侵，那么原因是多方面的，可能是系統(tǒng)漏洞，也可能是程序漏洞，一定要查清楚是哪個(gè)原因?qū)е碌模⑶疫€要查清楚遭到攻擊的途徑，找到攻擊源，因?yàn)橹挥兄懒嗽馐芄舻脑蚝屯緩剑拍軇h除攻擊源同時(shí)進(jìn)行漏洞的修復(fù)。

4. 備份用戶數(shù)據(jù)

在服務(wù)器遭受攻擊后，需要立刻備份服務(wù)器上的用戶數(shù)據(jù)，同時(shí)也要查看這些數(shù)據(jù)中是否隱藏著攻擊源。如果攻擊源在用戶數(shù)據(jù)中，一定要徹底刪除，然后將用戶數(shù)據(jù)備份到一個(gè)安全的地方。

5. 重新安裝系統(tǒng)

永遠(yuǎn)不要認(rèn)為自己能徹底清除攻擊源，因?yàn)闆]有人能比黑客更了解攻擊程序，在服務(wù)器遭到攻擊后，最安全也最簡(jiǎn)單的方法就是重新安裝系統(tǒng)，因?yàn)榇蟛糠止舫绦蚨紩?huì)依附在系統(tǒng)文件或者內(nèi)核中，所以重新安裝系統(tǒng)才能徹底清除攻擊源。

6. 修復(fù)程序或系統(tǒng)漏洞

在發(fā)現(xiàn)系統(tǒng)漏洞或者應(yīng)用程序漏洞后，首先要做的就是修復(fù)系統(tǒng)漏洞或者更改程序bug，因?yàn)橹挥袑⒊绦虻穆┒葱迯?fù)完畢才能正式在服務(wù)器上運(yùn)行。

7. 恢復(fù)數(shù)據(jù)和連接網(wǎng)絡(luò)

將備份的數(shù)據(jù)重新復(fù)制到新安裝的服務(wù)器上，然后開啟服務(wù)，最后將服務(wù)器開啟網(wǎng)絡(luò)連接，對(duì)外提供服務(wù)。

二、檢查并鎖定可疑用戶

當(dāng)發(fā)現(xiàn)服務(wù)器遭受攻擊后，首先要切斷網(wǎng)絡(luò)連接，但是在有些情況下，比如無法馬上切斷網(wǎng)絡(luò)連接時(shí)，就必須登錄系統(tǒng)查看是否有可疑用戶，如果有可疑用戶登錄了系統(tǒng)，那么需要馬上將這個(gè)用戶鎖定，然后中斷此用戶的遠(yuǎn)程連接。

1. 登錄系統(tǒng)查看可疑用戶

通過root用戶登錄，然后執(zhí)行“w”命令即可列出所有登錄過系統(tǒng)的用戶，如圖1-11所示。

通過這個(gè)輸出可以檢查是否有可疑或者不熟悉的用戶登錄，同時(shí)還可以根據(jù)用戶名以及用戶登錄的源地址和它們正在運(yùn)行的進(jìn)程來判斷他們是否為非法用戶。

2. 鎖定可疑用戶

一旦發(fā)現(xiàn)可疑用戶，就要馬上將其鎖定，例如上面執(zhí)行“w”命令后發(fā)現(xiàn)nobody用戶應(yīng)該是個(gè)可疑用戶(因?yàn)閚obody默認(rèn)情況下是沒有登錄權(quán)限的)，于是首先鎖定此用戶，執(zhí)行如下操作：

[root@server ~]# passwd -l nobody

鎖定之后，有可能此用戶還處于登錄狀態(tài)，于是還要將此用戶踢下線，根據(jù)上面“w”命令的輸出，即可獲得此用戶登錄進(jìn)行的pid值，操作如下：

[root@server ~]# ps -ef|grep @pts/3

531 6051 6049 0 19:23 ? 00:00:00 sshd: nobody@pts/3

[root@server ~]# kill -9 6051

這樣就將可疑用戶nobody從線上踢下去了。如果此用戶再次試圖登錄它已經(jīng)無法登錄了。

3. 通過last命令查看用戶登錄事件

last命令記錄著所有用戶登錄系統(tǒng)的日志，可以用來查找非授權(quán)用戶的登錄事件，而last命令的輸出結(jié)果來源于/var/log/wtmp文件，稍有經(jīng)驗(yàn)的入侵者都會(huì)刪掉/var/log/wtmp以清除自己行蹤，但是還是會(huì)露出蛛絲馬跡在此文件中的。

三、查看系統(tǒng)日志

查看系統(tǒng)日志是查找攻擊源最好的方法，可查的'系統(tǒng)日志有/var/log/messages、/var/log/secure等，這兩個(gè)日志文件可以記錄軟件的運(yùn)行狀態(tài)以及遠(yuǎn)程用戶的登錄狀態(tài)，還可以查看每個(gè)用戶目錄下的.bash_history文件，特別是/root目錄下的.bash_history文件，這個(gè)文件中記錄著用戶執(zhí)行的所有歷史命令。

四、檢查并關(guān)閉系統(tǒng)可疑進(jìn)程

檢查可疑進(jìn)程的命令很多，例如ps、top等，但是有時(shí)候只知道進(jìn)程的名稱無法得知路徑，此時(shí)可以通過如下命令查看：

首先通過pidof命令可以查找正在運(yùn)行的進(jìn)程PID，例如要查找sshd進(jìn)程的PID，執(zhí)行如下命令：

[root@server ~]# pidof sshd

13276 12942 4284

然后進(jìn)入內(nèi)存目錄，查看對(duì)應(yīng)PID目錄下exe文件的信息：

[root@server ~]# ls -al /proc/13276/exe

lrwxrwxrwx 1 root root 0 Oct 4 22:09 /proc/13276/exe - /usr/sbin/sshd

這樣就找到了進(jìn)程對(duì)應(yīng)的完整執(zhí)行路徑。如果還有查看文件的句柄，可以查看如下目錄：

[root@server ~]# ls -al /proc/13276/fd

通過這種方式基本可以找到任何進(jìn)程的完整執(zhí)行信息，此外還有很多類似的命令可以幫助系統(tǒng)運(yùn)維人員查找可疑進(jìn)程。例如，可以通過指定端口或者tcp、udp協(xié)議找到進(jìn)程PID，進(jìn)而找到相關(guān)進(jìn)程：

[root@server ~]# fuser -n tcp 111

111/tcp: 1579

[root@server ~]# fuser -n tcp 25

25/tcp: 2037

[root@server ~]# ps -ef|grep 2037

root 2037 1 0 Sep23 ? 00:00:05 /usr/libexec/postfix/master

postfix 2046 2037 0 Sep23 ? 00:00:01 qmgr -l -t fifo -u

postfix 9612 2037 0 20:34 ? 00:00:00 pickup -l -t fifo -u

root 14927 12944 0 21:11 pts/1 00:00:00 grep 2037

在有些時(shí)候，攻擊者的程序隱藏很深，例如rootkits后門程序，在這種情況下ps、top、netstat等命令也可能已經(jīng)被替換，如果再通過系統(tǒng)自身的命令去檢查可疑進(jìn)程就變得毫不可信，此時(shí)，就需要借助于第三方工具來檢查系統(tǒng)可疑程序，例如前面介紹過的chkrootkit、RKHunter等工具，通過這些工具可以很方便的發(fā)現(xiàn)系統(tǒng)被替換或篡改的程序。

五、檢查文件系統(tǒng)的完好性

檢查文件屬性是否發(fā)生變化是驗(yàn)證文件系統(tǒng)完好性最簡(jiǎn)單、最直接的方法，例如可以檢查被入侵服務(wù)器上/bin/ls文件的大小是否與正常系統(tǒng)上此文件的大小相同，以驗(yàn)證文件是否被替換，但是這種方法比較低級(jí)。此時(shí)可以借助于Linux下rpm這個(gè)工具來完成驗(yàn)證，操作如下：

[root@server ~]# rpm -Va

....L... c /etc/pam.d/system-auth

S.5..... c /etc/security/limits.conf

S.5....T c /etc/sysctl.conf

S.5....T /etc/sgml/docbook-simple.cat

S.5....T c /etc/login.defs

S.5..... c /etc/openldap/ldap.conf

S.5....T c /etc/sudoers

..5....T c /usr/lib64/security/classpath.security

....L... c /etc/pam.d/system-auth

S.5..... c /etc/security/limits.conf

S.5..... c /etc/ldap.conf

S.5....T c /etc/ssh/sshd_config

對(duì)于輸出中每個(gè)標(biāo)記的含義介紹如下：

? S 表示文件長(zhǎng)度發(fā)生了變化

? M 表示文件的訪問權(quán)限或文件類型發(fā)生了變化

? 5 表示MD5校驗(yàn)和發(fā)生了變化

? D 表示設(shè)備節(jié)點(diǎn)的屬性發(fā)生了變化

? L 表示文件的符號(hào)鏈接發(fā)生了變化

? U 表示文件/子目錄/設(shè)備節(jié)點(diǎn)的owner發(fā)生了變化

? G 表示文件/子目錄/設(shè)備節(jié)點(diǎn)的group發(fā)生了變化

? T 表示文件最后一次的修改時(shí)間發(fā)生了變化

如果在輸出結(jié)果中有“M”標(biāo)記出現(xiàn)，那么對(duì)應(yīng)的文件可能已經(jīng)遭到篡改或替換，此時(shí)可以通過卸載這個(gè)rpm包重新安裝來清除受攻擊的文件。

不過這個(gè)命令有個(gè)局限性，那就是只能檢查通過rpm包方式安裝的所有文件，對(duì)于通過非rpm包方式安裝的文件就無能為力了。同時(shí)，如果rpm工具也遭到替換，就不能通過這個(gè)方法了，此時(shí)可以從正常的系統(tǒng)上復(fù)制一個(gè)rpm工具進(jìn)行檢測(cè)。

;

Windows服務(wù)器如何做好安全防護(hù)？

系統(tǒng)安全：

1.設(shè)置較為復(fù)雜的主機(jī)密碼，建議8位數(shù)以上，大小寫混合帶數(shù)字、特殊字符，不要使用123456、password等弱口令。

2.開啟系統(tǒng)自動(dòng)更新功能，定期給系統(tǒng)打補(bǔ)丁。

3.windows主機(jī)安裝安全狗、360主機(jī)衛(wèi)士等防入侵的產(chǎn)品。

4.做好網(wǎng)站的注入漏洞檢查，做好網(wǎng)站目錄訪問權(quán)限控制。(建議將網(wǎng)站設(shè)置為只讀狀態(tài)，對(duì)需要上傳附件等目錄單獨(dú)開通寫權(quán)限功能，對(duì)上傳文件目錄設(shè)置為禁止腳本執(zhí)行權(quán)限)

5.如果用于網(wǎng)站服務(wù)，建議安裝我們預(yù)裝“網(wǎng)站管理助手”的操作系統(tǒng)模板，該系統(tǒng)我們做過安全加固，比純凈版要更安全。新建網(wǎng)站強(qiáng)烈建議用網(wǎng)站管理助手創(chuàng)建，本系統(tǒng)創(chuàng)建的網(wǎng)站會(huì)相互隔離，避免一個(gè)網(wǎng)站被入侵就導(dǎo)致其他網(wǎng)站也受影響。

6.關(guān)閉不需要的服務(wù)，如server,worksation等服務(wù)一般用不上，建議禁用。

7.啟用TCP/IP篩選功能,關(guān)閉危險(xiǎn)端口,防止遠(yuǎn)程掃描、蠕蟲和溢出攻擊。 比如mssql數(shù)據(jù)庫的1433端口，一般用不上遠(yuǎn)程連接的話，建議封掉，只允許本機(jī)連接。

8.如果自己安裝數(shù)據(jù)庫，建議修改為普通用戶運(yùn)行，默認(rèn)是system權(quán)限運(yùn)行的，非常不安全。查看幫助

9.如果是自主安裝純凈版的系統(tǒng)，建議修改掉3389、22等默認(rèn)端口，用其他非標(biāo)準(zhǔn)端口可以減少被黑的幾率。

電腦服務(wù)器安全需要怎么進(jìn)行防護(hù)？

可以通過以下途徑對(duì)電腦服務(wù)器進(jìn)行安全防護(hù)：

1、開啟電腦服務(wù)器安全防火墻；

2、開啟安全病毒防護(hù)保護(hù)；

3、設(shè)置較為復(fù)雜的管理員登陸密碼。

網(wǎng)頁題目：服務(wù)器安全防范流程 服務(wù)器網(wǎng)絡(luò)安全防護(hù)措施
網(wǎng)頁網(wǎng)址：http://chinadenli.net/article4/ddihpoe.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供企業(yè)網(wǎng)站制作、網(wǎng)站內(nèi)鏈、網(wǎng)站導(dǎo)航、微信小程序、全網(wǎng)營銷推廣、網(wǎng)站策劃

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)