老站长传授网站防黑经验
2010-06-24 12:36
148 查看
<!--
/* Font Definitions */
@font-face
{font-family:宋体;
panose-1:2 1 6 0 3 1 1 1 1 1;
mso-font-alt:SimSun;
mso-font-charset:134;
mso-generic-font-family:auto;
mso-font-pitch:variable;
mso-font-signature:3 135135232 16 0 262145 0;}
@font-face
{font-family:"/@宋体";
panose-1:2 1 6 0 3 1 1 1 1 1;
mso-font-charset:134;
mso-generic-font-family:auto;
mso-font-pitch:variable;
mso-font-signature:3 135135232 16 0 262145 0;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{mso-style-parent:"";
margin:0cm;
margin-bottom:.0001pt;
text-align:justify;
text-justify:inter-ideograph;
mso-pagination:none;
font-size:10.5pt;
mso-bidi-font-size:12.0pt;
font-family:"Times New Roman";
mso-fareast-font-family:宋体;
mso-font-kerning:1.0pt;}
h1
{mso-margin-top-alt:auto;
margin-right:0cm;
mso-margin-bottom-alt:auto;
margin-left:0cm;
mso-pagination:widow-orphan;
mso-outline-level:1;
font-size:24.0pt;
font-family:宋体;
mso-bidi-font-family:宋体;}
/* Page Definitions */
@page
{mso-page-border-surround-header:no;
mso-page-border-surround-footer:no;}
@page Section1
{size:595.3pt 841.9pt;
margin:72.0pt 90.0pt 72.0pt 90.0pt;
mso-header-margin:42.55pt;
mso-footer-margin:49.6pt;
mso-paper-source:0;
layout-grid:15.6pt;}
div.Section1
{page:Section1;}
/* List Definitions */
@list l0
{mso-list-id:1437629728;
mso-list-type:hybrid;
mso-list-template-ids:34394228 -1556155800 67698713 67698715 67698703 67698713 67698715 67698703 67698713 67698715;}
@list l0:level1
{mso-level-number-format:japanese-counting;
mso-level-tab-stop:18.0pt;
mso-level-number-position:left;
margin-left:18.0pt;
text-indent:-18.0pt;}
ol
{margin-bottom:0cm;}
ul
{margin-bottom:0cm;}
-->
设置严密的权限。
上传的目录只给写入、读取权限,绝对不能给执行的权限。
每个网站使用独立的用户名和密码,权限设置为
Guest
。
命令
: net
localgroup users myweb /del
设置
MSSQL
、
Apache
、
MySQL
以
Guest
权限运行:在运行中打
:service.msc
,选择相应的服务,以一个
Guest
权限的账户运行。
二
.
防止
SQL
注入
以前用的通用防注入模块,后来在多次与黑客血与泪的较量中。我明白了通用防注入模块是没用的,如果人家
CC
我的网站,通用防注入模块会让自己网站卡死!!
使用专门的
Web
应用防火墙是个比较明智的选择。硬件防火墙动辄就是几十万,我没那么多钱,那不是俺们能用的起的。俺还是喜欢用免费的软件
“
铱迅网站防火墙
”
,标准版可以注册后免费获得。
三
.
防止
IIS 6.0
的
0day
攻击
0day
之一:
IIS
的致命伤,很多网站都是这样被黑客入侵的:黑客建立一个叫
aaa.asp
的目录,然后在
aaa.asp
的目录里面放一个图片木马,黑客访问
aaa.asp/xxx.jpg
就能访问木马了。
0day
之二:
黑客上传
aaa.asp;bbb,jpg
这样的文件到服务器中,这可不是
jpg
啊,
IIS 6
会在分号的地方截断,把
jpg
当
asp
执行的
解决方案
1:
编码的时候禁止目录中包含
” . “
号和文件名中包含
” ; “
号
解决方案
2
:如果网站已经用户过多,不能修改代码了,可以考虑前面提到的铱迅网站防火墙。
四
.
检测黑客攻击痕迹
1.
检测
shift
后门:
远程
3389
连接,连续按
Shift
键
5
次,如果没有跳出粘滞键菜单,说明被安装后门了。在
windows
文件夹中,搜索
sethc.exe
并删除之。
2.
查看
Document and
Settings
目录
如果发现有可疑用户的文件夹,说明就被黑客入侵了。
五
.
删除危险组件
1.
删除
Wscript
regsvr32/u C:/windows/System32/wshom.ocx
del C:/windows/System32/wshom.ocx
regsvr32/u C:/windows/system32/shell32.dll
del C:/windows/system32/shell32.dll
2.
删除
MSSQL
危险存储过程
MS SQL SERVER2000
使用系统帐户登陆查询分析器
运行以下脚本
use master
exec sp_dropextendedproc 'xp_cmdshell'
exec sp_dropextendedproc 'xp_enumgroups'
exec sp_dropextendedproc 'xp_loginconfig'
exec sp_dropextendedproc 'xp_enumerrorlogs'
exec sp_dropextendedproc 'xp_getfiledetails'
exec sp_dropextendedproc 'Sp_OACreate'
exec sp_dropextendedproc 'Sp_OADestroy'
exec sp_dropextendedproc 'Sp_OAGetErrorInfo'
exec sp_dropextendedproc 'Sp_OAGetProperty'
exec sp_dropextendedproc 'Sp_OAMethod'
exec sp_dropextendedproc 'Sp_OASetProperty'
exec sp_dropextendedproc 'Sp_OAStop'
exec sp_dropextendedproc 'xp_regaddmultistring'
exec sp_dropextendedproc 'xp_regdeletekey'
exec sp_dropextendedproc 'xp_regdeletevalue'
exec sp_dropextendedproc 'xp_regenumvalues'
exec sp_dropextendedproc 'xp_regremovemultistring'
exec sp_dropextendedproc 'xp_regwrite'
drop procedure sp_makewebtask
go
删除所有危险的扩展
.
exec sp_dropextendedproc 'xp_cmdshell' [
删除此项扩展后
,
将无法远程连接数据库
]
以下
3
个存储过程会在
SQL SERVER
恢复备份时被使用
,
非必要请勿删除
#exec sp_dropextendedproc 'xp_dirtree' [
删除此项扩展后
,
将无法新建或附加数据库
]
#exec sp_dropextendedproc 'Xp_regread' [
删除此项扩展后
,
还原数据库辅助
]
#exec sp_dropextendedproc 'xp_fixeddrives' [
删除此项扩展后
,
将无法还原数据库
]
现在的
shift
后门都是高防的
我使用的是直接调用真正粘滞键的
shift
后门外观上和功能上都没有任何问题,那样检测是没有用的。而且采用镜像劫持,即使你删掉
sethc.exe
也没
用啊
删除的扩展还是可以还原的。所以要想安全,就必须时刻警惕黑客的入侵。不能放过任何一个细节。很可能是你某个细节出错就导致整个服务器的沦陷。安全不能掉
以轻心啊
呵呵
我的后门是自己写的
五次
shift
后调用我的程序,程序是隐藏运行的,不过他会调用原来的真正的粘滞键,这样电脑上显示的是真正的粘滞键,但我的后门已经启用了。快捷键调出
来就可以用了。至于映像劫持是我附加的功能。我也不怎么用。杀软到没测试。不过瑞星测试下无任何拦截。其他杀软没测试
使用权限最高的账户
一、结束
explorer
进程
taskkill /f /im explorer.exe
二、用计划任务启动交互式的界面
at 13:30 /interactive explorer.exe
必须开启
Task
Scheduler
服务,默认是开启的。这样当到了
13:30
的时候,
explorer
进程会以
system
用户启动,桌面会被重新加载,变成
system
用户的桌面。
/* Font Definitions */
@font-face
{font-family:宋体;
panose-1:2 1 6 0 3 1 1 1 1 1;
mso-font-alt:SimSun;
mso-font-charset:134;
mso-generic-font-family:auto;
mso-font-pitch:variable;
mso-font-signature:3 135135232 16 0 262145 0;}
@font-face
{font-family:"/@宋体";
panose-1:2 1 6 0 3 1 1 1 1 1;
mso-font-charset:134;
mso-generic-font-family:auto;
mso-font-pitch:variable;
mso-font-signature:3 135135232 16 0 262145 0;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{mso-style-parent:"";
margin:0cm;
margin-bottom:.0001pt;
text-align:justify;
text-justify:inter-ideograph;
mso-pagination:none;
font-size:10.5pt;
mso-bidi-font-size:12.0pt;
font-family:"Times New Roman";
mso-fareast-font-family:宋体;
mso-font-kerning:1.0pt;}
h1
{mso-margin-top-alt:auto;
margin-right:0cm;
mso-margin-bottom-alt:auto;
margin-left:0cm;
mso-pagination:widow-orphan;
mso-outline-level:1;
font-size:24.0pt;
font-family:宋体;
mso-bidi-font-family:宋体;}
/* Page Definitions */
@page
{mso-page-border-surround-header:no;
mso-page-border-surround-footer:no;}
@page Section1
{size:595.3pt 841.9pt;
margin:72.0pt 90.0pt 72.0pt 90.0pt;
mso-header-margin:42.55pt;
mso-footer-margin:49.6pt;
mso-paper-source:0;
layout-grid:15.6pt;}
div.Section1
{page:Section1;}
/* List Definitions */
@list l0
{mso-list-id:1437629728;
mso-list-type:hybrid;
mso-list-template-ids:34394228 -1556155800 67698713 67698715 67698703 67698713 67698715 67698703 67698713 67698715;}
@list l0:level1
{mso-level-number-format:japanese-counting;
mso-level-tab-stop:18.0pt;
mso-level-number-position:left;
margin-left:18.0pt;
text-indent:-18.0pt;}
ol
{margin-bottom:0cm;}
ul
{margin-bottom:0cm;}
-->
老站长传授网站防黑经验
一.设置严密的权限。
上传的目录只给写入、读取权限,绝对不能给执行的权限。
每个网站使用独立的用户名和密码,权限设置为
Guest
。
命令
: net
localgroup users myweb /del
设置
MSSQL
、
Apache
、
MySQL
以
Guest
权限运行:在运行中打
:service.msc
,选择相应的服务,以一个
Guest
权限的账户运行。
二
.
防止
SQL
注入
以前用的通用防注入模块,后来在多次与黑客血与泪的较量中。我明白了通用防注入模块是没用的,如果人家
CC
我的网站,通用防注入模块会让自己网站卡死!!
使用专门的
Web
应用防火墙是个比较明智的选择。硬件防火墙动辄就是几十万,我没那么多钱,那不是俺们能用的起的。俺还是喜欢用免费的软件
“
铱迅网站防火墙
”
,标准版可以注册后免费获得。
三
.
防止
IIS 6.0
的
0day
攻击
0day
之一:
IIS
的致命伤,很多网站都是这样被黑客入侵的:黑客建立一个叫
aaa.asp
的目录,然后在
aaa.asp
的目录里面放一个图片木马,黑客访问
aaa.asp/xxx.jpg
就能访问木马了。
0day
之二:
黑客上传
aaa.asp;bbb,jpg
这样的文件到服务器中,这可不是
jpg
啊,
IIS 6
会在分号的地方截断,把
jpg
当
asp
执行的
解决方案
1:
编码的时候禁止目录中包含
” . “
号和文件名中包含
” ; “
号
解决方案
2
:如果网站已经用户过多,不能修改代码了,可以考虑前面提到的铱迅网站防火墙。
四
.
检测黑客攻击痕迹
1.
检测
shift
后门:
远程
3389
连接,连续按
Shift
键
5
次,如果没有跳出粘滞键菜单,说明被安装后门了。在
windows
文件夹中,搜索
sethc.exe
并删除之。
2.
查看
Document and
Settings
目录
如果发现有可疑用户的文件夹,说明就被黑客入侵了。
五
.
删除危险组件
1.
删除
Wscript
regsvr32/u C:/windows/System32/wshom.ocx
del C:/windows/System32/wshom.ocx
regsvr32/u C:/windows/system32/shell32.dll
del C:/windows/system32/shell32.dll
2.
删除
MSSQL
危险存储过程
MS SQL SERVER2000
使用系统帐户登陆查询分析器
运行以下脚本
use master
exec sp_dropextendedproc 'xp_cmdshell'
exec sp_dropextendedproc 'xp_enumgroups'
exec sp_dropextendedproc 'xp_loginconfig'
exec sp_dropextendedproc 'xp_enumerrorlogs'
exec sp_dropextendedproc 'xp_getfiledetails'
exec sp_dropextendedproc 'Sp_OACreate'
exec sp_dropextendedproc 'Sp_OADestroy'
exec sp_dropextendedproc 'Sp_OAGetErrorInfo'
exec sp_dropextendedproc 'Sp_OAGetProperty'
exec sp_dropextendedproc 'Sp_OAMethod'
exec sp_dropextendedproc 'Sp_OASetProperty'
exec sp_dropextendedproc 'Sp_OAStop'
exec sp_dropextendedproc 'xp_regaddmultistring'
exec sp_dropextendedproc 'xp_regdeletekey'
exec sp_dropextendedproc 'xp_regdeletevalue'
exec sp_dropextendedproc 'xp_regenumvalues'
exec sp_dropextendedproc 'xp_regremovemultistring'
exec sp_dropextendedproc 'xp_regwrite'
drop procedure sp_makewebtask
go
删除所有危险的扩展
.
exec sp_dropextendedproc 'xp_cmdshell' [
删除此项扩展后
,
将无法远程连接数据库
]
以下
3
个存储过程会在
SQL SERVER
恢复备份时被使用
,
非必要请勿删除
#exec sp_dropextendedproc 'xp_dirtree' [
删除此项扩展后
,
将无法新建或附加数据库
]
#exec sp_dropextendedproc 'Xp_regread' [
删除此项扩展后
,
还原数据库辅助
]
#exec sp_dropextendedproc 'xp_fixeddrives' [
删除此项扩展后
,
将无法还原数据库
]
现在的
shift
后门都是高防的
我使用的是直接调用真正粘滞键的
shift
后门外观上和功能上都没有任何问题,那样检测是没有用的。而且采用镜像劫持,即使你删掉
sethc.exe
也没
用啊
删除的扩展还是可以还原的。所以要想安全,就必须时刻警惕黑客的入侵。不能放过任何一个细节。很可能是你某个细节出错就导致整个服务器的沦陷。安全不能掉
以轻心啊
呵呵
我的后门是自己写的
五次
shift
后调用我的程序,程序是隐藏运行的,不过他会调用原来的真正的粘滞键,这样电脑上显示的是真正的粘滞键,但我的后门已经启用了。快捷键调出
来就可以用了。至于映像劫持是我附加的功能。我也不怎么用。杀软到没测试。不过瑞星测试下无任何拦截。其他杀软没测试
使用权限最高的账户
一、结束
explorer
进程
taskkill /f /im explorer.exe
二、用计划任务启动交互式的界面
at 13:30 /interactive explorer.exe
必须开启
Task
Scheduler
服务,默认是开启的。这样当到了
13:30
的时候,
explorer
进程会以
system
用户启动,桌面会被重新加载,变成
system
用户的桌面。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 老站长传授网站防黑经验
- 资深老站长传授网站服务器防黑经验
- 我来传授网站WebSite几个防黑经验
- 个人站长的网站运营经验小结
- 做个人网站经验谈(在265站长大会上)
- 【站长分享】网站建设经验 原题:草根到知名的转变:我是通过激情和意念坚持下来的-
- 新站长建设像淘宝网这样的网站的一些经验分享
- 运维运营一个网站的经验总结
- 2015年个人收获-成果、经验分享(项目经理、集成资质、网站开发、服务器等)
- 网络推广经验:网站需必备的四要素体现!
- 针对最近爆出很多网站被ddos攻击 写给各位站长
- 我做为程序员站长这样推广自己的网站
- 10个帮程序员和站长减压放松的良心网站!
- 面向站长和网站管理员的Web缓存加速指南[翻译]
- 建站经验 一个成熟的大型网站系统架构演化之路
- [ZZ]成功站长必看:购物网站的经营要素
- 站长如何分析竞争对手的网站
- 成人网站性能提升20倍之经验谈