网站服务器提高安全性方案
从系统安全和网站程序安全防入侵:
一、基本的服务器系统安全设置
1、安装系统补丁
2、安装杀毒软件
虽然杀毒软件有时候不能解决问题,但是杀毒软件避免了很多问题。前段时间搞木马免杀对杀毒软件有一定深入了解,单独杀病毒软件时代已过时了,建议用瑞星杀木马很厉害、卡巴斯基也不错。不要指望杀毒软件杀掉所有的木马,因为
ASP木马的特征是可以通过一定手段来避开杀毒软件的查杀。
3、删除默认共享、禁用某些服务
如:
Remote Registry、Task Scheduler、Telnet、Print Spooler、Server、
TCP/IPNetBIOSHelper等
4、删除一些不必要的用户
,给administrator改名,密码设定复杂密码。
5、在组策略设定
“帐户锁定策略”输错5次,帐号锁定30分钟。防别人爆力猜解密码。
6、安装防火墙,计算机上都有一些服务,不管是服务器系统还是个人系统。而每一种服务都对应着一个甚至多个端口。而你开的端口越多,被攻击的风险越大,关闭
137、138、139和445端口,所以你要尽量少开端口。但有的朋友对计算机网络不是非常熟悉,不知道如何关闭端口,就需要使用防火墙来把我们的计算机与互联网上的黑客相隔离。ARP防火墙。
7、如果没有装防火墙就用
netstat –na查系统开放那些端口,可以用IPSec(IP安全策略来阻力这些端口)。
8、因为是服务器都要开放远程桌面服务,方便管理,设定远程桌面连接权限,把远程桌面器权限只允许几个用户,把
administrators这组权 限拿掉。好处黑客通过Webshell在你的服务器建一个管理员帐号也无法远程桌面到你的服务器。最好方法启用基于IPSEC安全协商加强远程桌面服务 (3389端口),就算你放开3389端口也知道你的用户及密码,也法远程连到你的服务器。最好把3389端口改成其他端口,通过修改注册表实现。如:10001。
9、启动系统审核策略,将审核登录事件、审核对象访问、审核系统事件和审核帐户登录事件启用成功方式的审核,有黑客入侵可以查到日志。
10、禁用
Guests组用户调用cmd.exe命令,命令:cacls C:\WINNT\system32\Cmd.exe /e /d guests
11、每天检查网站主目录有没有产生木马文件,如
php和asp结尾不熟悉的文件,如发现木马文件服务器被入侵了,及时处理查找从那里入侵的。
12、定期检查有没有后门的隐藏帐号和克隆帐号。
二、网站安全相关设置
1、系统盘及目录权限设定:
administrators组 全部权限,system 全部权限,将C盘的所有子目录和子文件继承C盘的administrator(组或用户)和SYSTEM所有权限的两个权限,然后做如下修改:C:\Program Files\Common Files 开放Everyone 默认的读取及运行列出文件目录 读取三个权限,C:\WINDOWS\ 开放Everyone 默认的读取及运行列出文件目录 读取三个权限,C:\WINDOWS\Temp 开放Everyone 修改,读取及运行,列出文件目录,读取,写入权限,这样设置完这后我们的服务器就很安全了.这样asp木马无法在系统目录下运行了。系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe 文件只给 Administrators 组和 SYSTEM 的完全控制权限。
2、如果服务器里有多个网站,为了防止旁注给每个网站新建一个用户,只加入
guests组,每个网站匿名用户启用相对应的用户。
3、每个网站主目录设定权限只允许
administrators和system组完全控制权限,网站用户只读和执行权限,对于要上传文件目录权限设定只读和写入,但是不要执行权限,这样上传了木马也运行不了。
4、改名或卸载不安全组件
在
IIS系统上,大部分木马都是ASP写的,因此,ASP组件的安全是非常重要的。
ASP木马实际上大部分通过调用Shell.Application、WScript.Shell、WScript.Network、FSO、Adodb.Stream组件来实现其功能,除了FSO之外,其他的大多可以直接禁用。
WScript.Shell组件使用这个命令删除:regsvr32 WSHom.ocx /u
WScript.Network组件使用这个命令删除:regsvr32 wshom.ocx /u
Shell.Application可以使用禁止Guest用户使用shell32.dll来防止调用此组件。使用命令:cacls C:\windows\system32\shell32.dll /e /d guests
5、
SQL Server2005数据库管理也要设定复杂密码,mssql的sa用户,删除不必要的存储过程,因为有些存储过程能很容易地被人利用起来提升权限或进行破坏。如:不需要扩展存储过程xp_cmdshell请把它去掉。xp_cmdshell根本就是一个大后门等, 使用
IPSec策略阻止所有地址访问本机的TCP1433与UDP1434端口,SQL里面用户权限细化。
6、很多
WEB服务器都会安装FTP服务器,方便上传更新网站,防止Serv-U权限提升,FTP用户是明文验证的,被别人嗅探到有写的权限FTP帐号就可以提权,最好用IPSec安全策略加强安全,不用FTP时关闭FTP服务。
7、网站管理后台及上传页入口不要取常见的文件名。
8、用一些黑客工具检测你的网站有没有漏洞和注入点,发现及时修复。常用的工具如啊
D注入、明小子等。
9、只保留要用的应用程序映射
绝对不要使用
IIS默认安装的WEB目录,而需要在E盘新建立一个目录。然后在IIS管理器中右击主机->属性->WWW服务编辑->主目录配置->应用程序映射,只保留asp和asa,其余全部删除。
10、定期做好备份。
三、被入侵后紧急补救方法
1、建立被入侵系统后被修改部分的截图,以便事后分析和留作证据。
Kz6中国红客联盟-全球最大的红客组织
2、立即停止网站服务及相应的服务。
Kz6中国红客联盟-全球最大的红客组织
3、在
Windows系统下,通过网络监控软件或 “netstat -an”命令来查看系统目前的网络连接情况,如果发现不正常的网络连接,应当立即断开与它的连接。Kz6中国红客联盟-全球最大的红客组织
4、入侵后一般留有木马文件,找到几个木马文件,什么时间创建的,再通过分析系统日志文件,这些木马文件由那个用户生成的,找到被入侵漏洞。
5、通过备份恢复被修改的网页。
6、修复系统或应用程序漏洞后,应该有相应的方法来防止此类事件的再次发生。
7、升级杀毒软件特征库,再对全盘杀毒。
Kz6中国红客联盟-全球最大的红客组织
8、最后,使用系统或相应的应用程序检测软件对系统或服务进行一次彻底的弱点检测,在检测之前要确保其检测特征库是最新的。所有工作完成后,还应当在后续的一段时间内,安排专人对此系统进行实时监控,以确信系统已经不会再次被此类入侵事件攻击。
Kz6中国红客联盟-全球最大的红客组织
9、一般攻击者攻击系统都就会在系统中安装相应的后门程序。同时,为了防止被系统用户或管理员发现,攻击者就会千方百计地隐藏他在系统中的操作痕迹,以及隐藏他所安装的后门,查找后门程序。
Kz6中国红客联盟-全球最大的红客组织