老站长传授网站防黑经验

<!-- /* Font Definitions */ @font-face {font-family:宋体; panose-1:2 1 6 0 3 1 1 1 1 1; mso-font-alt:SimSun; mso-font-charset:134; mso-generic-font-family:auto; mso-font-pitch:variable; mso-font-signature:3 135135232 16 0 262145 0;} @font-face {font-family:"/@宋体"; panose-1:2 1 6 0 3 1 1 1 1 1; mso-font-charset:134; mso-generic-font-family:auto; mso-font-pitch:variable; mso-font-signature:3 135135232 16 0 262145 0;} /* Style Definitions */ p.MsoNormal, li.MsoNormal, div.MsoNormal {mso-style-parent:""; margin:0cm; margin-bottom:.0001pt; text-align:justify; text-justify:inter-ideograph; mso-pagination:none; font-size:10.5pt; mso-bidi-font-size:12.0pt; font-family:"Times New Roman"; mso-fareast-font-family:宋体; mso-font-kerning:1.0pt;} h1 {mso-margin-top-alt:auto; margin-right:0cm; mso-margin-bottom-alt:auto; margin-left:0cm; mso-pagination:widow-orphan; mso-outline-level:1; font-size:24.0pt; font-family:宋体; mso-bidi-font-family:宋体;} /* Page Definitions */ @page {mso-page-border-surround-header:no; mso-page-border-surround-footer:no;} @page Section1 {size:595.3pt 841.9pt; margin:72.0pt 90.0pt 72.0pt 90.0pt; mso-header-margin:42.55pt; mso-footer-margin:49.6pt; mso-paper-source:0; layout-grid:15.6pt;} div.Section1 {page:Section1;} /* List Definitions */ @list l0 {mso-list-id:1437629728; mso-list-type:hybrid; mso-list-template-ids:34394228 -1556155800 67698713 67698715 67698703 67698713 67698715 67698703 67698713 67698715;} @list l0:level1 {mso-level-number-format:japanese-counting; mso-level-tab-stop:18.0pt; mso-level-number-position:left; margin-left:18.0pt; text-indent:-18.0pt;} ol {margin-bottom:0cm;} ul {margin-bottom:0cm;} -->

老站长传授网站防黑经验

一.   设置严密的权限。
上传的目录只给写入、读取权限，绝对不能给执行的权限。
每个网站使用独立的用户名和密码，权限设置为 Guest 。
命令 : net localgroup users myweb /del
设置 MSSQL 、 Apache 、 MySQL 以 Guest 权限运行：在运行中打 :service.msc ，选择相应的服务，以一个 Guest 权限的账户运行。

二 . 防止 SQL 注入
以前用的通用防注入模块，后来在多次与黑客血与泪的较量中。我明白了通用防注入模块是没用的，如果人家 CC 我的网站，通用防注入模块会让自己网站卡死！！

使用专门的 Web 应用防火墙是个比较明智的选择。硬件防火墙动辄就是几十万，我没那么多钱，那不是俺们能用的起的。俺还是喜欢用免费的软件 “ 铱迅网站防火墙 ” ，标准版可以注册后免费获得。

三 . 防止 IIS 6.0 的 0day 攻击
0day 之一：
IIS 的致命伤，很多网站都是这样被黑客入侵的：黑客建立一个叫 aaa.asp 的目录，然后在 aaa.asp 的目录里面放一个图片木马，黑客访问 aaa.asp/xxx.jpg 就能访问木马了。
0day 之二：
黑客上传 aaa.asp;bbb,jpg 这样的文件到服务器中，这可不是 jpg 啊， IIS 6 会在分号的地方截断，把 jpg 当 asp 执行的

解决方案 1: 编码的时候禁止目录中包含 ” . “ 号和文件名中包含 ” ; “ 号
解决方案 2 ：如果网站已经用户过多，不能修改代码了，可以考虑前面提到的铱迅网站防火墙。

四 . 检测黑客攻击痕迹
1. 检测 shift 后门：
远程 3389 连接，连续按 Shift 键 5 次，如果没有跳出粘滞键菜单，说明被安装后门了。在 windows 文件夹中，搜索 sethc.exe 并删除之。
2. 查看 Document and Settings 目录
如果发现有可疑用户的文件夹，说明就被黑客入侵了。

五 . 删除危险组件
    1. 删除 Wscript
        regsvr32/u C:/windows/System32/wshom.ocx
del C:/windows/System32/wshom.ocx
regsvr32/u C:/windows/system32/shell32.dll
del C:/windows/system32/shell32.dll                 
2. 删除 MSSQL 危险存储过程
MS SQL SERVER2000
使用系统帐户登陆查询分析器
运行以下脚本
use master
exec sp_dropextendedproc 'xp_cmdshell'
exec sp_dropextendedproc 'xp_enumgroups'
exec sp_dropextendedproc 'xp_loginconfig'
exec sp_dropextendedproc 'xp_enumerrorlogs'
exec sp_dropextendedproc 'xp_getfiledetails'
exec sp_dropextendedproc 'Sp_OACreate'
exec sp_dropextendedproc 'Sp_OADestroy'
exec sp_dropextendedproc 'Sp_OAGetErrorInfo'
exec sp_dropextendedproc 'Sp_OAGetProperty'
exec sp_dropextendedproc 'Sp_OAMethod'
exec sp_dropextendedproc 'Sp_OASetProperty'
exec sp_dropextendedproc 'Sp_OAStop'
exec sp_dropextendedproc 'xp_regaddmultistring'
exec sp_dropextendedproc 'xp_regdeletekey'
exec sp_dropextendedproc 'xp_regdeletevalue'
exec sp_dropextendedproc 'xp_regenumvalues'
exec sp_dropextendedproc 'xp_regremovemultistring'
exec sp_dropextendedproc 'xp_regwrite'
drop procedure sp_makewebtask
go
删除所有危险的扩展 .
exec sp_dropextendedproc 'xp_cmdshell' [ 删除此项扩展后 , 将无法远程连接数据库 ]
以下 3 个存储过程会在 SQL SERVER 恢复备份时被使用 , 非必要请勿删除
#exec sp_dropextendedproc 'xp_dirtree' [ 删除此项扩展后 , 将无法新建或附加数据库 ]
#exec sp_dropextendedproc 'Xp_regread' [ 删除此项扩展后 , 还原数据库辅助 ]
#exec sp_dropextendedproc 'xp_fixeddrives' [ 删除此项扩展后 , 将无法还原数据库 ]

 

 

 

现在的 shift 后门都是高防的 我使用的是直接调用真正粘滞键的 shift 后门外观上和功能上都没有任何问题，那样检测是没有用的。而且采用镜像劫持，即使你删掉 sethc.exe 也没 用啊 删除的扩展还是可以还原的。所以要想安全，就必须时刻警惕黑客的入侵。不能放过任何一个细节。很可能是你某个细节出错就导致整个服务器的沦陷。安全不能掉 以轻心啊

 

呵呵 我的后门是自己写的 五次 shift 后调用我的程序，程序是隐藏运行的，不过他会调用原来的真正的粘滞键，这样电脑上显示的是真正的粘滞键，但我的后门已经启用了。快捷键调出 来就可以用了。至于映像劫持是我附加的功能。我也不怎么用。杀软到没测试。不过瑞星测试下无任何拦截。其他杀软没测试

 

 

 

使用权限最高的账户

 

 

一、结束 explorer 进程
taskkill /f /im explorer.exe

二、用计划任务启动交互式的界面
at 13:30 /interactive explorer.exe

必须开启 Task Scheduler 服务，默认是开启的。这样当到了 13:30 的时候， explorer 进程会以 system 用户启动，桌面会被重新加载，变成 system 用户的桌面。