防服务器如何攻击

1. 服务器怎么防攻击

在频频恶意攻击用户、系统漏洞层出不穷的今天，作为网络治理员、系统治理员虽然在服务器的安全上都下了不少功夫，诸如及时打上系统安全补丁、进行一些常规的安全配置，但有时仍不安全。因此必须恶意用户入侵之前，通过一些系列安全设置，来将入侵者们挡在“安全门”之外，下面就将我在3A网络服务器上做的一些最简单、最有效的防(Overflow)溢出、本地提供权限攻击类的解决办法给大家分享，小弟亲自操刀，基本没出过安全故障！

一、如何防止溢出类攻击
1.尽最大的可能性将系统的漏洞补丁都打完，最好是比如Microsoft Windows Server系列的系统可以将自动更新服务打开，然后让服务器在您指定的某个时间段内自动连接到Microsoft Update网站进行补丁的更新。假如您的服务器为了安全起见 禁止了对公网外部的连接的话，可以用Microsoft WSUS服务在内网进行升级。

2.停掉一切不需要的系统服务以及应用程序，最大限能的降底服务器的被攻击系数。比如前阵子的MSDTC溢出，就导致很多服务器挂掉了。其实假如 WEB类服务器根本没有用到MSDTC服务时，您大可以把MSDTC服务停掉，这样MSDTC溢出就对您的服务器不构成任何威胁了。

3.启动TCP/IP端口的过滤，仅打开常用的TCP如21、80、25、110、3389等端口;假如安全要求级别高一点可以将UDP端口关闭，当然假如这样之后缺陷就是如在服务器上连外部就不方便连接了，这里建议大家用IPSec来封UDP。在协议筛选中”只答应”TCP协议(协议号为：6)、 UDP协议(协议号为：17)以及RDP协议(协议号为：27)等必需用协议即可;其它无用均不开放。

4.启用IPSec策略:为服务器的连接进行安全认证，给服务器加上双保险。如三所说，可以在这里封掉一些危险的端品诸如:135 145 139 445 以及UDP对外连接之类、以及对通读进行加密与只与有信任关系的IP或者网络进行通讯等等。(注:其实防反弹类木马用IPSec简单的禁止UDP或者不常用TCP端口的对外访问就成了,关于IPSec的如何应用这里就不再敖续，可以到服安讨论Search “IPSec”，就 会有N多关于IPSec的应用资料..)

二、删除、移动、更名或者用访问控制表列Access Control Lists (ACLs)控制要害系统文件、命令及文件夹：

1.黑客通常在溢出得到shell后，来用诸如net.exe net1.exe ipconfig.exe user.exe query.exe regedit.exe regsvr32.exe 来达到进一步控制服务器的目的如:加账号了，克隆治理员了等等;这里可以将这些命令程序删除或者改名。(注重:在删除与改名时先停掉文件复制服务 (FRS)或者先将 %windir%\system32\dllcache\下的对应文件删除或改名。

2.也或者将这些.exe文件移动到指定的文件夹,这样也方便以后治理员自己使用

3.访问控制表列ACLS控制：找到%windir%\system32下找到cmd.exe、cmd32.exe net.exe net1.exe ipconfig.exe tftp.exe ftp.exe user.exe reg.exe regedit.exe regedt32.exe regsvr32.exe 这些黑客常用的文件，在“属性”→“安全”中对他们进行访问的ACLs用户进 行定义，诸如只给administrator有权访问，假如需要防范一些溢出攻击、以及溢出成功后对这些文件的非法利用，那么只需要将system用户在 ACLs中进行拒绝访问即可。

4.假如觉得在GUI下面太麻烦的话，也可以用系统命令的CACLS.EXE来对这些.exe文件的Acls进行编辑与修改，或者说将他写成一个.bat批处理 文件来执行以及对这些命令进行修改。(具体用户自己参见cacls /? 帮助进行）

5.对磁盘如C/D/E/F等进行安全的ACLS设置从整体安全上考虑的话也是很有必要的，另外非凡是win2k，对Winnt、Winnt\System、Document and Setting等文件夹。

6.进行注册表的修改禁用命令解释器: (假如您觉得用⑤的方法太烦琐的话，那么您不防试试下面一劳永逸的办法来禁止CMD的运行，通过修改注册表，可以禁止用户使用命令解释器 (CMD.exe)和运行批处理文件(.bat文件)。具体方法:新建一个双字节(REG_DWord)执行 HKEY_CURRENT_USER\Software\PolicIEs\ Microsoft\Windows\System\DisableCMD，修改其值为1，命令解释器和批处理文件都不能被运行。修改其值为2，则只是禁止命令解释器的运行,反之将值改为0，则是打开CMS命令解释器。假如您赚手动太麻烦的话,请将下面的代码保存为*.reg文件，然后导入。

7.对一些以System权限运行的系统服务进行降级处理。(诸如:将Serv-U、Imail、IIS、php、Mssql、Mysql等一系列以 System权限运行的服务或者应用程序换成其它administrators成员甚至users权限运行，这样就会安全得多了…但前提是需要对这些基本运行状态、调用API等相关情况较为了解. )

2. 如何防范服务器被攻击

一，首先服务器一定要把administrator禁用，设置一个陷阱账号:"Administrator"把它权限降至最低,然后给一套非常复杂的密码，重新建立
一个新账号，设置上新密码，权限为administraor

然后删除最不安全的组件：

建立一个BAT文件,写入
regsvr32/u C:\WINDOWS\System32\wshom.ocx
del C:\WINDOWS\System32\wshom.ocx
regsvr32\u C:\WINDOWS\system32\shell32.dll
del C:\WINDOWS\system32\shell32.dll

二，IIS的安全：

1、不使用默认的Web站点，如果使用也要将 将IIS目录与系统磁盘分开。

2、删除IIS默认创建的Inetpub目录(在安装系统的盘上)。

3、删除系统盘下的虚拟目录，如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。

4、删除不必要的IIS扩展名映射。

右键单击“默认Web站点→属性→主目录→配置”，打开应用程序窗口，去掉不必要的应用程序映射。主要为.shtml, .shtm, .stm

5、更改IIS日志的路径

右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性

6、如果使用的是2000可以使用iislockdown来保护IIS，在2003运行的IE6.0的版本不需要。

八、其它

1、 系统升级、打操作系统补丁，尤其是IIS 6.0补丁、SQL SP3a补丁，甚至IE 6.0补丁也要打。同时及时跟踪最新漏洞补丁;

2、停掉Guest 帐号、并给guest 加一个异常复杂的密码，把Administrator改名或伪装!

3、隐藏重要文件/目录

可以修改注册表实现完全隐藏:“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi

-dden\SHOWALL”，鼠标右击 “CheckedValue”，选择修改，把数值由1改为0

4、启动系统自带的Internet连接防火墙，在设置服务选项中勾选Web服务器。

5、防止SYN洪水攻击

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名为SynAttackProtect，值为2

EnablePMTUDiscovery 值为0

NoNameReleaseOnDemand 值为1

EnableDeadGWDetect 值为0

KeepAliveTime 值为300,000

PerformRouterDiscovery 值为0

EnableICMPRedirects 值为0

6. 禁止响应ICMP路由通告报文

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface

新建DWORD值，名为PerformRouterDiscovery 值为0

7. 防止ICMP重定向报文的攻击

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

将EnableICMPRedirects 值设为0

8. 不支持IGMP协议

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名为IGMPLevel 值为0

9、禁用DCOM:

运行中输入 Dcomcnfg.exe。 回车， 单击“控制台根节点”下的“组件服务”。 打开“计算机”子文件夹。

对于本地计算机，请以右键单击“我的电脑”，然后选择“属性”。选择“默认属性”选项卡。

清除“在这台计算机上启用分布式 COM”复选框。

10.禁用服务里的
Workstation 这服务开启的话可以利用这个服务，可以获取服务器所有帐号.

11阻止IUSR用户提升权限

三，这一步是比较关键的（禁用CMD运行）

运行-gpedit.msc-管理模板-系统
-阻止访问命令提示符
-设置
-已启用(E)
-也停用命令提示符脚本处理吗?
(是)

四，防止SQL注入

打开SQL Server，在master库用查询分析器执行以下语句:

exec sp_dropextendedproc 'xp_cmdshell'

使用了以上几个方法后，能有效保障你的服务器不会随便被人黑或清玩家数据，当然我技术有限，有的高手还有更多方法入侵你的服务器，这

需要大家加倍努力去学习防黑技术，也希望高手们对我的评论给予指点，修正出更好的解决方案，对玩家的数据做出更有力的保障~~~

3. 网站入侵一句话木马原理及防范

一句话木马原理及防范

一、一句话木马原理

一句话木马，顾名思义，就是一段非常简短的代码，通常只有一行，用于实现远程执行命令或控制服务器的功能。它常见于网站入侵中，是黑客常用的攻击手段之一。

1. 一句话木马的形式

一句话木马根据服务器端脚本语言的不同，分为多种类型，如ASP、PHP、ASPX等。这些木马通常以特定的脚本标签包裹一段执行请求的代码，例如：

• ASP一句话木马：<%execute request("value")%>
• PHP一句话木马：<?php @eval($_POST['value']); ?>

其中，“value”是黑客设定的密码或参数名，用于接收客户端提交的控制数据。

2. 工作原理

一句话木马的工作原理相对简单：当黑客将这段代码插入到服务器端的某个文件中（如ASP、PHP文件），该文件就变成了一个木马服务端。黑客通过客户端（如Web浏览器、专用黑客工具等）向这个木马服务端提交控制数据，这些数据经过服务端处理后，会执行相应的入侵操作。

具体来说，黑客提交的数据会构成完整的脚本功能语句，并由服务器端的解释器执行。这样，黑客就可以远程控制服务器，执行各种命令，如查看文件、修改数据、上传下载文件等。

3. 连接成功的条件

一句话木马能够连接成功，通常需要满足两个前提条件：

• 服务器端没有禁止相关的组件或函数。例如，ASP一句话木马需要服务器端创建Adodb.Stream组件来写入WebShell代码，如果该组件被禁用，则无法写入。
• 权限问题。黑客需要拥有足够的权限来写入和执行木马代码。如果当前的虚拟目录禁止了user组或everyone写入，那么木马将无法成功写入。

二、防范一句话木马

为了防范一句话木马攻击，可以采取以下措施：

1. 安装安全杀毒软件

在服务器上安装专业的安全杀毒软件，如安全狗、360、护卫神等。这些软件能够实时监控服务器的运行状态，检测并阻止恶意代码的执行。同时，它们还能提供漏洞扫描、入侵检测等功能，帮助管理员及时发现并修复潜在的安全隐患。

2. 定期备份服务器数据

定期备份服务器数据是防止数据丢失的重要措施。一旦服务器被黑客入侵并造成数据损坏或丢失，可以通过备份数据来恢复系统。因此，建议管理员定期备份服务器数据，并存储在安全的位置。

3. 禁止相关权限

为了降低被一句话木马攻击的风险，可以禁止服务器里相关的权限。例如，禁止写入PHP等脚本文件，或者限制特定目录的访问权限。这样可以减少黑客利用漏洞写入木马代码的机会。

4. 加强代码审计和漏洞修复

定期对网站代码进行审计和漏洞修复是防范一句话木马的重要手段。通过代码审计，可以发现并修复潜在的代码漏洞和安全隐患。同时，及时关注并修复已知的漏洞，也可以降低被黑客利用的风险。

5. 使用防火墙和入侵检测系统

在服务器前端部署防火墙和入侵检测系统（IDS），可以进一步提高服务器的安全性。防火墙可以阻止未经授权的访问和攻击，而IDS则可以实时监测并报告可疑的网络活动。这些措施可以共同构建一个更加安全的网络环境。

6. 提高安全意识

最后，提高安全意识也是防范一句话木马的重要一环。管理员应该了解常见的网络攻击手段和防御方法，并时刻保持警惕。同时，定期对员工进行安全培训和教育，提高他们的安全意识和防范能力。

综上所述，防范一句话木马需要从多个方面入手，包括安装安全杀毒软件、定期备份服务器数据、禁止相关权限、加强代码审计和漏洞修复、使用防火墙和入侵检测系统以及提高安全意识等。只有综合运用这些措施，才能有效地降低被一句话木马攻击的风险。