设置安全的服务器,防止被入侵

原创 2011年01月14日 09:33:00

再发一遍~10大国外代理服务器网站1http://www.stayinvisible.com/index.pl/proxy_list 不使用软盘加载驱动安装系统的方法--使用nLite集成驱动整合驱动程序到系统安装盘---图片多是因为适应不同用户的需求,其实操作过程很简单,也就是点几下鼠标的Windows2003添加新用户创建一个新用户1、先进入计算机管理(ComputerManagement):开始-管dns服务器地址如何查询问:DNS即域名解析服务器,在某些应用程序中如果手工设定合适的DNS服务器IP地址,则可避免程序自动既然是我们的防范是从入侵者角度来进行考虑,那么我们就首先需要知道入侵者的入侵方式。目前较为流行web入侵方式都是通过寻找程序的漏洞先得到网站的webshell然后再根据服务器的配置来找到相应的可以利用的方法进行提权,进而拿下服务器权限的。所以配合服务器来设置防止webshell是有效的方法。

  一、防止数据库被非法下载

  应当说,有一点网络安全的管理员,都会把从网上下载的网站程序的默认数据库路径进行更改。当然也有一部分管理员非常粗心,拿到程序直接在自己的服务器上进行安装,甚至连说明文件都不进行删除,更不要说更改数据库路径了。这样黑客就可以通过直接从源码站点下载网站源程序,然后在本地测试找到默认的数据库,再通过下载数据库读取里面的用户信息和资料(一般是经过MD5加密的)找到管理入口进行登陆获得webshell。还有一种情况是由于程序出错暴出了网站数据库的路径,那么怎么防止这种情况的发生呢?我们可以添加mdb的扩展映射。如下图所示:

  打开IIS添加一个MDB的映射,让mdb解析成其他下载不了的文件:“IIS属性”—“主目录”—“配置”—“映射”—“应用程序扩展”里面添加.mdb文件应用解析,至于用于解析它的文件大家可以自己进行选择,只要访问数据库文件出现无法访问就可以了。

  这样做的好处是:1只是要是mdb后缀格式的数据库文件就肯定下载不了;2对服务器上所有的mdb文件都起作用,对于虚拟主机管理员很有用处。

  二、防止上传

  针对以上的配置如果使用的是MSSQL的数据库,只要存在注入点,依然可以通过使用注入工具进行数据库的猜解。倘若上传文件根本没有身份验证的话,我们可以直接上传一个asp的木马就得到了服务器的webshell。

  对付上传,我们可以总结为:可以上传的目录不给执行权限,可以执行的目录不给上传权限。Web程序是通过IIS用户运行的,我们只要给IIS用户一个特定的上传目录有写入权限,然后又把这个目录的脚本执行权限去掉,就可以防止入侵者通过上传获得webshell了。配置方法:首先在IIS的web目录中,打开权限选项卡、只给IIS用户读取和列出目录权限,然后进入上传文件保存和存放数据库的目录,给IIS用户加上写入权限,最后在这两个目录的“属性”—“执行权限”选项把“纯脚本”改为“无”即可。见下图

  最后提醒一点,在你设置以上权限的时候,一定要注意到设置好父目录的继承。避免所做的设置白费。

  三、MSSQL注入

  对于MSSQL数据库的防御,我们说,首先要从数据库连接帐户开始。数据库不要用SA帐户。使用SA帐户连接数据库对服务器来说就是一场灾难。一般来说可以使用DB_OWNER权限帐户连接数据库,如果可以正常运行,使用public用户最安全的。设置成dbo权限连接数据库之后,入侵者基本就只能通过猜解用户名和密码或者是差异备份来获得webshell了,对于前者,我们可以通过加密和修改管理后台的默认登陆地址来防御。对于差异备份,我们知道它的条件是有备份的权限,并且要知道web的目录。寻找web目录我们说通常是通过遍历目录进行寻找或者直接读取注册表来实现。无路这两个方法的哪一种,都用到了xp_regread和xp_dirtree两个扩展存储过程,我们只需要删除这两个扩展存储就可以了,当然也可以把对应的dll文件也一起删除。

  但是如果是由于程序出错自己暴出了web目录,就没有办法了。所以我们还要让帐户的权限更低,无法完成备份操作。具体操作如下:在这个帐户的属性—数据库访问选项里只需要对选中对应的数据库并赋予其DBO权限,对于其他数据库不要操作。接着还要到该数据库—属性—权限把该用户的备份和备份日志的权限去掉,这样入侵者就不能通过差异备份获得webshell了。

企业网站如何加强安全防止被入侵

普通的企业网站建设由于功能比较简单,常见的就是公司简介,产品以及新闻模块,由于大多企业网站只是简单的展示作用,所以对安全这方面并不是很重视,导致常常后台用户名和密码都是admin,这样的网站后台黑客只...
  • mixiage
  • mixiage
  • 2013年12月31日 09:38
  • 823

怎么保证远程登录服务器安全

远程登录进行服务器的管理和维护是管理员的日常工作之一,如何保障远登录的安全性也是大家必须要考虑的问题。本文将从帐户管理和登录工具的安全部署两个方面入手,谈谈如何实现服务的安全登录。   一、严密...
  • sunfor
  • sunfor
  • 2013年03月08日 14:57
  • 6338

入侵取证调查

0x00 前言 在我们日常运维中,难免有几个网站或者主机被入侵,这时就出现应急响应需求。那么我们应该怎样着手分析昵?本文将为你细细道来,其中由于都是文字描述思路,所以各位要有耐心读完全文。但是这个思路...
  • qq_29277155
  • qq_29277155
  • 2016年04月11日 22:05
  • 3349

网站入侵检测之全方位突破安全狗

一、前言 安全狗是一款大家熟悉的服务器安全加固产品,据称已经拥有50W的用户量。 最近经过一些研究,发现安全狗的一些防护功能,例如SQL注入、文件上传、防webshell等都可以被绕过,下...
  • xysoul
  • xysoul
  • 2015年05月03日 19:02
  • 2673

入侵服务器的一种方法

实现通过远程命令行来实现对服务器入侵的一种方法
  • zhang_ruiqiang
  • zhang_ruiqiang
  • 2016年12月19日 19:05
  • 3279

入侵Windows服务器的流程

一般情况下,黑客往往喜欢通过文章的上所示的流程图对Windows服务器进行攻击,从而提高入侵服务器的效率。 ·通过端口139进入共享磁盘。139端口是为“NetBIOS Session Servic...
  • wangthunder2012
  • wangthunder2012
  • 2015年10月26日 18:54
  • 1773

【边尝试边写博客】入侵学校服务器

现在是凌晨1点,2016年2月16 无聊中看了一下学校主页,就想试着入侵一下学校网站。 其实对入侵并没有什么研究,毕竟这行见不得光。 但是~对计算机的基础还是有的,于是前期设想如下: 1.找到管理员后...
  • senblingbling
  • senblingbling
  • 2016年02月16日 01:11
  • 2491

入侵Tomcat服务器一次实战描述

到网上随便逛逛,我就会发现用JSP制作的电子商务网站多如牛毛,从JSP日渐繁荣的局面来看,适合于各种平台而且免费的Tomcat逐渐成为WEB服务器的一种选择。eBay.com与Dell计算机等知名网站...
  • sinat_31998357
  • sinat_31998357
  • 2015年10月21日 11:58
  • 1644

网站安全配置Nginx防止网站被攻击

网站安全配置(Nginx)防止网站被攻击(包括使用了CDN加速之后的配置方法)分类:服务器配置 标签:nginx 360网站卫士 CDN 10,216 views人浏览 网站被攻击是一个永恒不变的话...
  • u011078940
  • u011078940
  • 2016年05月16日 16:45
  • 7165

Linux服务器安全配置

众所周知,网络安全是一个非常重要的课题,而服务器是网络安全中最关键的环节。Linux被认为是一个比较安全的Internet服务器,作为一种开放源代码操作系统,一旦Linux系统中发现有安全漏洞,Int...
  • hanzheng260561728
  • hanzheng260561728
  • 2016年05月31日 20:55
  • 11482
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:设置安全的服务器,防止被入侵
举报原因:
原因补充:

(最多只允许输入30个字)