好象伺服器安全是一個永恆不變的話題。
伺服器一般是遊戲伺服器和網站伺服器,今天我們就說說網站伺服器的安全吧。
工具/原料
伺服器
步驟/方法
首先,防漏洞
對於漏洞,廣大人民最常用的就是打補丁。雖然打補丁能防住一些攻擊者的攻擊,但對於一些未被公佈的0day漏洞。打補丁又有什麼用呢?如09年1月份的本地提權0day,漏洞利用程式都快氾濫成災了。那段時間大家都在努力地拿webshell爭取能拿到更多的肉雞,我也不例外,我拿到很多webshell之後,就拼命地提權開遠端桌面服務,拿N多臺伺服器,可見0day漏洞的可怕,但有一臺伺服器例外了,我在進行提權時,總是失敗…… 搞得我想放棄…… 心想會不會網頁不是在IIS下解析的?帶著疑問,我輸入 tasklist /v 找到IIS的程序,再輸入netstat –ano 把找到的PID和開80埠PID 對比,結果一樣啊!靠!難道漏洞被補了?自己去微軟轉了一圈也沒發現出什麼補丁。後來我發現了一個程序 是某某公司出的防火牆。去百度一查,發現該防火牆有防溢位功能,無奈啊……只好收手。學了2年的Hacking發現很多漏洞都出在溢位上,所以我們必須裝個防溢位的東西。除了本地溢位提權外還有寫入啟動項提權拉,什麼SU提權拉,和Pcanywhere之類的,由於這些東西都是攻擊者常用的鬼把戲,所以儘量不要裝這些東西,SU可以找微軟的FTP替上,Pcanywhere,VNC,Radmin之類的,我們可以用微軟的遠端桌面服務替上。還有WScript.Shell元件定要刪,沒了WScript.Shell看攻擊者們還搞個毛哩!!!最好把net.exe和net1.exe也給禁了吧!!!哈哈,夠狠的 。(大家以後抓不到雞,別拿番茄和雞蛋扔我哈)
第二呢
就是限制目錄拉,我們可以把伺服器上網站的目錄分開來,並不讓IIS帳戶和USER帳戶對其他資料夾或盤有讀取或寫入的許可權,這樣就算網站被掛馬了,也不怕伺服器上的其他網站跟著遭殃。對於一些專門用來儲存使用者上傳檔案或圖片的目錄,不能給指令碼檔案執行許可權,這樣就算專門用來儲存使用者上傳檔案或圖片的目錄出現N多木馬也無所謂。
第三呢
就是防掃描,伺服器只需開21,80,1433,3306,就行了。其他的全給防火牆堵上就行了。還有就是攻擊者經常用 啊D注入工具 中的網站管理入口檢查來掃描網站目錄的某些資訊,所以我們可以把404頁面改成其他的頁面 或把資料包的頭幾個404給改成其他的,這樣一般的攻擊者會遇難而退。我們也可以把網站管理入口改成其他的,而且把網站管理入口給洩露出來,那麼80%以上的攻擊者會退出。
注意事項
注意備份