注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

冷月寒星

 
 
 

日志

 
 

老站长传授网站防黑经验  

2010-08-05 16:29:43|  分类: 黑客技术 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
一.设置严密的权限。 
上传的目录只给写入、读取权限,绝对不能给执行的权限。 
每个网站使用独立的用户名和密码,权限设置为Guest。 
命令: net localgroup users myweb /del 
设置MSSQL、Apache、MySQL以Guest权限运行:在运行中打:service.msc,选择相应的服务,以一个Guest权限的账户运行。

二.防止SQL注入 
以前用的通用防注入模块,后来在多次与黑客血与泪的较量中。我明白了通用防注入模块是没用的,如果人家CC我的网站,通用防注入模块会让自己网站卡死!!

使用专门的Web应用防火墙是个比较明智的选择。硬件防火墙动辄就是几十万,我没那么多钱,那不是俺们能用的起的。俺还是喜欢用免费的软件“铱迅网站防火墙”,标准版可以注册后免费获得。

三.防止IIS 6.0 的0day攻击 
0day 之一: 
IIS的致命伤,很多网站都是这样被黑客入侵的:黑客建立一个叫aaa.asp的目录,然后在aaa.asp的目录里面放一个图片木马,黑客访问aaa.asp/xxx.jpg就能访问木马了。 
0day之二: 
黑客上传aaa.asp;bbb,jpg这样的文件到服务器中,这可不是jpg啊,IIS 6会在分号的地方截断,把jpg当asp执行的

解决方案1:编码的时候禁止目录中包含” . “号和文件名中包含” ; “号 
解决方案2:如果网站已经用户过多,不能修改代码了,可以考虑前面提到的铱迅网站防火墙。

四.检测黑客攻击痕迹 
1.检测shift后门: 
远程3389连接,连续按Shift键5次,如果没有跳出粘滞键菜单,说明被安装后门了。在windows文件夹中,搜索sethc.exe 并删除之。 
2.查看Document and Settings目录 
如果发现有可疑用户的文件夹,说明就被黑客入侵了。

五.删除危险组件 
    1.删除Wscript 
        regsvr32/u C:\windows\System32\wshom.ocx 
del C:\windows\System32\wshom.ocx 
regsvr32/u C:\windows\system32\shell32.dll 
del C:\windows\system32\shell32.dll                 
2.删除MSSQL危险存储过程 
MS SQL SERVER2000 
使用系统帐户登陆查询分析器 
运行以下脚本 
use master 
exec sp_dropextendedproc 'xp_cmdshell' 
exec sp_dropextendedproc 'xp_enumgroups' 
exec sp_dropextendedproc 'xp_loginconfig' 
exec sp_dropextendedproc 'xp_enumerrorlogs' 
exec sp_dropextendedproc 'xp_getfiledetails' 
exec sp_dropextendedproc 'Sp_OACreate' 
exec sp_dropextendedproc 'Sp_OADestroy' 
exec sp_dropextendedproc 'Sp_OAGetErrorInfo' 
exec sp_dropextendedproc 'Sp_OAGetProperty' 
exec sp_dropextendedproc 'Sp_OAMethod' 
exec sp_dropextendedproc 'Sp_OASetProperty' 
exec sp_dropextendedproc 'Sp_OAStop' 
exec sp_dropextendedproc 'xp_regaddmultistring' 
exec sp_dropextendedproc 'xp_regdeletekey' 
exec sp_dropextendedproc 'xp_regdeletevalue' 
exec sp_dropextendedproc 'xp_regenumvalues' 
exec sp_dropextendedproc 'xp_regremovemultistring' 
exec sp_dropextendedproc 'xp_regwrite' 
drop procedure sp_makewebtask 
go 
删除所有危险的扩展. 
exec sp_dropextendedproc 'xp_cmdshell' [删除此项扩展后,将无法远程连接数据库] 
以下3个存储过程会在SQL SERVER恢复备份时被使用,非必要请勿删除 
#exec sp_dropextendedproc 'xp_dirtree' [删除此项扩展后,将无法新建或附加数据库] 
#exec sp_dropextendedproc 'Xp_regread' [删除此项扩展后, 还原数据库辅助] 
#exec sp_dropextendedproc 'xp_fixeddrives' [删除此项扩展后,将无法还原数据库]
  评论这张
 
阅读(117)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2018