服务器被黑善后工作

http://r2.mcafeefans.com/?p=2795 

同事Surp4ss发了篇文章给我，我以为让我学习下，我大致看了下，觉得Surp4ss貌似不是这个意思啊，要是让我学习不是打我脸么？我问Surp4ss，你不会叫我写一篇一样的文章吧？

      我又猜对了，原文是这样的http://www.91ri.org/6344.html

      原文我没有细看，看了算不算抄袭？总之标题的意思大致就是服务器被黑了，如何去善后，避免再被日。

      我把下面的内容阅读者定义为个人网站管理员、企事业单位网站管理员、政府部门网站管理员，这是区域，如果从认知面来讲，不管你新手还是高手，都适合一看。黑阔什么的看不看无所谓，看了也不能提高你的技能值，小黑阔倒是可以看看，我不介意。

序

       目前被日的服务器主要分两种，一种是被日的，一种是常被日的。

       被日的主要主要集中在这么几个情况，用虚拟主机的，被旁注，属于运气不好也无奈，一旦运气不好就碰上，属于间歇性，跟大姨妈一样，有时候来，有时候几个月都不来一次；还有就是用VPS或云主机的。

       虚拟主机和VPS主要是个人或小企业用，一般公司都没有专业的技术做安全，被黑后第一感觉，原来真的有黑客存在啊，我估计是这个想法。虚拟主机我就不讲了，没法讲，唯一的善后就是要么关站要么自己搞安全，买个VPS或者自己搞个服务器，然后再反复让黑阔盯上，反复被黑，反复提高安全水平。

      当然这么学太慢了，看看我的善后就行了，也可以解决防护工作。

      目前这年头用云主机的我不得不说你就是个奇葩，目前值得推荐的云只有私有云，公有云比如盛大的云主机就是个垃圾，每个月每天可能要交各种费用，各种欠费，叫你买的时候各种心动，各种诱惑，买了以后比当年移动还无耻，各种欠费，各种重启，各种关机。

      当然最不要脸的就是阿里云主机了，宣传是最安全的，我认识好多用户，他们第一选择阿里云主机的期望点就是貌似能解决大流量攻击。解决个屁，大流量来了就给你关机，说到底是你被攻击影响人家其他客户，关机情理之中。但是他们从来不在合同里明确这一点。然后是一些其他云，比如西部数码的云主机，动不动号称8M独享，实际上你流量已超过5M就给你重启，重启两次直接关机。

      在各种云后台的售后服务都有一堆需要付费的服务，比如安全啊，加固啊。

      你觉得在给你生成2003系统，系统版本不是R2的公司，他们有多好的安全能力？连技术对比性都没有提供个毛的安全服务啊。然后又不给你接口，提供自己安装原版的机会，系统一开始就是个废品。

      以上几行都是偶尔被日的服务器，下面说常被日的。

      常被日的都是独立服务器，服务器性能越好，被日的几率越高，原因主要是以下这么几点：

      要解释这么几点首先要了解黑客日站的目的。

      第一种就是打包你网站，打包你数据库，这种一般都是有价值的数据库或者有价值的网站独立开发或二次独立开发的网站。能打包你数据库的无非就是有大量会员，会员几乎是实名的，比如房产二手交易，租房。

      比如像58、赶集这些被N多黑阔盯上，然后就是地方性的知名房产网站，即便有20万会员，一个会员卖5元，也有100万，不盯你盯谁啊。还有就是一些OA之类的网站，大部分OA是内部的，如果公司相对大点还是会提供一些端口可以外部访问，这个主要是竞争对手定向打击。这两种情况都不是黑阔个人行为，都是属于赏金猎手之类的，招募型的，一个纯黑阔是不可能具备把一个会员卖到5元钱的能力，5毛钱差不多。

      第二种就是修改你数据库，比如公务员考试、高校考试或者一些考勤系统，这种目的很单纯，就是收钱改成绩，改考勤，考勤的比较少，改成绩的是普遍。

      第三种就是网站不大不小，流量还不少，PR之类的也相对较高，比如世博会、西博会之类的，流量偶尔大，其他时间都小，但是PR都高，主要是进了服务器做黑链，明链。

      第四种就是纯粹在学习的小菜鸟，通过SEO抓漏洞，抓到你，你今天就遭殃，有点道德的加个txt，没有道德的，加个shell，更无耻的就是给你放一堆蠕虫。

      第五种就比较牛叉了，把你的服务器当他的个人电脑一样用，连Office都能给你装上去，基本就把你当跳板或者傀儡机，跳板就是因为你网速快，方便他扫站更快，傀儡就是你性能好，带宽大，想打谁打谁，一打打冒烟的那种，当然打的时候你网站也卡的要死。

      了解这五种情况就知道为什么性能越好，被日的几率越高了，垃圾玩意谁用你服务器去做跳板和傀儡啊。

      至于善后，简单的讲就是有钱的上个WAF，比如铱迅的，被绕过的几率还是比较小的。

      只要是WAF就会被绕过，刚起步的公司，定位单一，功能单一，但是被利用的机会最小，公司大了，研发团队一多，管理和维护就有点乱了，经常会出现一些低级错误，反而被绕过，所以铱迅这种不大不小的公司正合适。

      有问题至少更新快，你不着急，人家厂家比你用户还着急，大的公司就不一样了，提交bug上去，开会半个月，讨论半个月，解决半个月，测试半个月，再搞半个月公关工作再发布，尼玛黄花菜都凉了。

      没钱的就看我下面的文章，然后清理干净，至少让黑阔黑的不是那么爽快，折腾久了就跟你成朋友了，就不黑你了，还尼玛给你当免费安全顾问，保镖。

      当然有价值数据的网站，不管你有没有钱，有没有预算，没有办法没有机会都要想办法创造机会上WAF。

清理篇

      被黑了以后首先要清理，清理能断网的就要断网，避免在清理的时候被人家再日进去。

      我曾经就遇到一会，当然是给一个只能远程的连接的客户的服务器处理的，正清理呢，那个傻逼创建个远程用户连上来了，还把我踢下线，我上去把他踢下线，准备禁用他的账户，他就上来又把我踢下线。

      很拽有没有？然后我又上去把他踢下线，继续禁用账户，他又上来了，我就立马把他注销掉，上来又注销掉，既然知道他会上来，我就开着任务管理器，打开用户哪一项，他上来我就能看到，看到就注销，然后慢悠悠的把他禁用掉，然后去写组策略去了。当然他先打开任务管理器，看到我上线就把我踢了，苦逼的就是我了，所以这个时候经验就起着非常显著的作用了。

      如果是本地的服务器，比如放在公司或者内部机房的服务器，那么就断网处理吧，如果是托管的，很多政府部门的服务器也是托管的，按照下面的方式处理吧。

1.打开百度或谷歌，Bing也可以，搜索关键字“向日葵”；

2.进入向日葵官网，给服务器装上向日葵远程控制服务端，然后本地装好客户端，连上去；

3.连上以后就可以把3389的远程连接关闭了。

      然后就可以做剩下的事情了，之所以推荐“向日葵”主要有以下两点：

1，免费

2，微软证书认证，不会存在64位 2008 Server 蓝屏不兼容之类的问题

      他的安全性和可用性比RAdmin或者VNC更具有优势。

      清理具体分两个方面，一个方面是清理服务器上所有已知的Webshell和后门蠕虫病毒还有一些残留的黑客工具；另外一个方面就是加固你的服务器，不过要加固，得找到一些服务器或者你的网站程序漏洞的原因，加固会更好，所以对于新手可以按照先清理后加固的步骤做。

      如果已经是高手，一般都是一边加固一边清理，更容易发现问题的所在。

 

具体如何清理？

      第一种是用工具，第二种是凭经验，我们先说第一种。

      扫描木马或者Webshell可以先用QQ安全管家或者360安全卫士，安装好以后要先更新病毒库，安装的时候最好选用多引擎，我要不要给你们上点图？光看字我自己也没有耐心看下去了，因为有时候我会被应邀给一些杂志写文章，所以习惯了拖拉，码字赚稿费的习惯。本来有价值的东西是精简，直击要害，但是他们主编不认这个，一定要码字。

      当我这个习惯杨成以后，这些杂志社就贱贱的告诉我，按篇算钱，一篇多少，不管你写多长都是那么多，所以我也贱贱的告诉他们，老子封笔不给你们杂志社写了。

      比较关键的就是用这两种工具清理一部分或者说完成大部分工作以后，记得要卸载，因为这两个玩意不适合服务器，本身也有漏洞和“0day”被利用，清理可以，当报表就是累赘。

      我这里就拿QQ安全管家的截图来说明，因为我电脑上只装了这个，装这个就是为了QQ等级加速，作为一个早年就做互联网的成员，在我成为皇冠之前，我的好友前面已经有27个皇冠，我只能靠这个多一天的手段现在勉强排到了好友里面的23位，好了，干活。

      如下图所示，只有红色的四个框框的功能有用。

      我们从左到右，标记为1234，先3电脑加速，清理可疑的没有必要的启动项，可以帮助你找出一些木马的服务和启动项，可以让你一目了然的知道你的服务器到底被日到了什么程度。

      然后是2清理垃圾，这个主要是清理temp里面的后门的缓存和一些下载者，然后就是杀毒，先快速扫描，知道下具体情况，有没有被种了后门，如果种了后门，一般内存会快速反映出来。

      QQ安全管家的杀毒可以帮助你清理一些他能查出来的木马和蠕虫，和一些没有加密的Webshell，尤其是一些图片小马，找的还是比较全的。

      在清理完一定要看查杀日志，根据所在目录，比如那些网站的那些目录存在的网马比较多，做好记录，这样好分析如何加固，那些网站需要做一些比较彻底的加固。

      最后一个步骤就是打开软件管理，把一些常用的软件升级安装或者覆盖安装一次，比如Winrar，这个是最容易被植入免杀木马的，解压一次挂一次，压缩一次挂一次。

后期彻底清理

      前面是快速简单的清理，后面需要完全的清理需要用到更专业的工具，主要是杀Webshell。

      第一种推荐的工具是黑阔阿D写的WebShellKill，库比较全，用起来很方便，根据阿D同学写了那么多黑客工具的经验，还给马分了几个级别，貌似5是危害最大的，右键可以选中查看或删除，这个工具最烂的地方就是没有日志。

       清理的时候一般是在桌面建立一个shell文件夹，然后根据标识的路径创建层级的各个文件夹，按照原始的根目录放进去，便于做审计，也可以了解一些后门，用于学习和提高水平。

      因为写这个工具的同学原来就写了很多黑客工具，有的也插入了后门，所以用不用看你，不要看我，实在不行用了之后删除了再用利剑（利剑是个不错的系统安全工具，清理木马非常方便，比较遗憾是他支持2008及以上的系统，因为这货貌似5年不更新了，后面会介绍）检查一遍。

      另外一个工具是铱迅的Webshell扫描器，不放在首位推荐有以下几个原因

1.这货也几年没更新了；

2.这货误报高，扫出来是很全，但很多得自己看代码判断；

3.这货需要装.net才能运行，好在Server系统基本都有装，还好。

      而最后还是要推荐的理由有以下原因：

1.因为阿D同学的工具可能存在风险，我不能推荐一个就不推荐了；

2.只要是高危的webshell，扫出来的99%不会是误报；

3.其实要判断是不是误报很简单，我教你就是了。

      好吧，我们来看图，这货是长这样滴：

      这个扫描没有资源管理器，没WebshellKill方便，主要得点击“查看扫描结果”，打开将会是一个网页，如下：

      你需要根据路径去，找到那个文件，查看代码和根据这个报告提供的一些信息直接判断，然后删除文件或删除部分植入的一句话之类的代码，干起来比较费事。要下载慢慢点击 http://www.yxlink.com/technology.php?cateid=31

      这么做以后基本就完成一半，还得确定服务器是否还有后门，服务型的哦，就要用到利剑这个工具了，如下图：

      这个工具非常干净整洁，要告诉大家怎么用至少一万字，大家也不想看，所以还是看视频吧，给你们个传送门，反正那个视频是我做的：http://pan.baidu.com/share/link?shareid=384676&uk=520545988

      另外这个工具你们如果搜索“利剑”智慧搜索到李云龙，所以这个传送门里面有。

      貌似2008系统就悲催了，你可以用另外一个模仿利剑的工具，以前用的不怎么稳定，现在貌似还好，如下：

      可以去作者博客下载 http://www.xuetr.com/?p=191

      用法和利剑类似，冰刃那种垃圾玩意就不推荐了，我这种专业级选手用着都痛苦，更别说你们了，当然你用的很爽也不用来跟我叫板，我又不羡慕，好用就行。

      还有一种是用命令行，在上面那个百度网盘的传送门里面的视频也有介绍。

加固篇

      基本清理完就要开始加固了。

      加固分两个步骤，第一个步骤是应用层的，第二个步骤是应用层和系统层面的。

      当然在这两个步骤之前，如果是Windows，请打好补丁吧，如果是2008，补丁安装不上或者无法使用Windows Update，请开放下系统盘根目录的user权限，默认就好，不用勾选修改之类的权限。

      系统盘不给user只是为了探针上好看而已，没有多少的作用，其实重要的是不要给”ProgramFiles”或者“systemroot:\Users”的user权限而已，因为大多数鸟人喜欢在桌面上建立一个记事本，上面标注了mysql账号密码，sql账号密码，唧唧歪歪一堆账号信息，一个低权限的webshell一看，奶奶的，全有，你不死谁死？

      Windows的NTFS是分继承和不继承的，所以即便你拉开C盘，去掉User，默认人家有User权限的还是有User权限。

      应用层上我只讲两个地方，一个是asp，一个是php，jsp、tomcat、ngnix之类的我不讲的，这类需要服务支持或咨询，请联系我。

      跑asp只需要来宾用户权限，即guests用户组，跑php需要users用户组。

      首先你要把应用和网站分开，一般的做法是在系统根目录下建立一个APP的文件夹，然后在这个里面建立Mysql、PHP、SQL之类的文件夹，为什么一定要建立一个叫“APP”的文件夹呢？这是一个流派的习惯，表示这个服务器是我的人，人家进去以后一般不会放毒放蠕虫搞破坏。

      这个目录要administrators、system、user权限，user权限不给写入和修改权限。

      然后在分别安装你需要的应用。

      这个看起来好像是刚装好系统开始建立应用系统哦，是的，一般有的人上面已经不看了，已经把系统重装好了，有的应用权限，系统权限太烂了，不如从来一次，所以我就这么讲开始。

      然后拿一个分区放你所有的网站，这个分区只放网站，不要放乱七八糟的东西，如果原来有，请转移到其他盘符，然后右键这个盘符，点安全，然后删掉所有权限，只保留administrators和system，其实除系统盘之外的分区都应该是这样权限的根目录权限，尤其是网站备份目录。你打包好的东西别人都懒得打包就给你整站打包下走了。

      然后根据应用级别来建立不同的网站总目录，比如asp的程序，在根目录建立一个“wwwroot”，php的程序建立一个“phproot”，jsp的建立一个“allroot”的目录。

      这些文件夹建立后验证下是否只继承有administrators和system权限。

      好了，这里打开计算机管理中的用户，开始为你的每个网站建立一个guests权限的账户，所在组加上IIS_WPG用户组，因为你还需要为每个网站建立一个不同的应用池，这里只说IIS，ngnix、tomcat的请联系我，联系我之前请仔细确定以下你的网银里有没有至少1000的人民币。

      免费也是可以的，满足以下其中一个条件：

      我朋友；

      我客户；

      我朋友给你写的介绍信；

      如果是漂亮的女孩子，也请满足以上条件之一，不要想借机上位做我的女朋友、情人、老婆之类的，我对IT女孩没兴趣，我早就死了这条心。想想我近视，你近视，看起来好有缘分哦，我颈椎有问题，你颈椎也有问题，更有缘分哦，尼玛生个孩子一出来就颈椎有问题，又近视就是个悲剧了。

      建立的用户比如下图这样的：

      上图中只有4个选项卡，请启动你的“workstation”服务，再启动“server”服务，就如下图，会多好几个选项卡，请找到“中断服务配置文件”选项卡，狠狠的戳中“拒绝这个用户登录到任何终端服务器”，勾上他，即便提权到系统管理员用户组，他也一定无法3389连接你的服务器。

      之所以要你启动上面那两个服务，因为一般的管理员都把这两个服务给禁用了，其实这两个服务禁用不禁用无所谓，无非就是通过探针或者Webshell查询不了你的服务器上有哪些用户而已，就这么个作用。

      我觉得如果人家已经能成功上传webshell，你离被日已经不远了，无非就是搞的人家黑的很不爽，然后日进服务器以后搞几下破坏，你又高潮了，拍桌子了，砸键盘了。

      我觉得做安全要么做到滴水不漏，要么做到别人进来也是惺惺相惜的感觉，由日站转变成切磋，还是友情的那种。

      要做到这一点只有两个方法，一个是装逼，一个是装傻。

      每个IIS调用的账号的密码都可以是一样的，或者有规律的，比如这个app_74it，他的密码其实就是74it-app。

      这种密码就是方便自己，不用去忘记，也不用去记忆，更不用拿个本本抄下来。这种账号别人知道密码也没用。

      记住每个网站用一个不同的账号，每个网站有一个独立的应用池。这有两个好处：

1，不会被人轻易旁注；

2，当你打开任务管理器，查看所有用户的进程，点开以用户排序，如果这些app开头的账户跑的进程不是w3wp.exe，如果不是，你就可以快速知道被日了，不用每天上去把所有东西和日志检查一遍；

3，你还可以知道每个网站占用的资源到底有多少，如果服务器卡，你可以快速找到根源（这个好处是福利，不算）。

      好了，开始建立网站，如果是asp的程序，我们当然进入wwwroot目录创建每个网站相应的文件夹，因为前面有旁注的一部分防护，所以这里也要利用好。

      比如一个dq110.com的网站你就不要建立一个dq100的文件夹，你应该建立一个dq100suouoguouso283com的文件夹，拆分中间再随机，不要让别人猜中目录，增大旁注的机会。

      因为很多时候我们还是怕麻烦的，比如我有一个www.dq110.com和bbs.dq110.com，你可能就用统一个账号，不是分开的，那么这两个网站其实跑起来是一个用户，这样就可以进入薄弱的www.dq110.com去旁注更安全的bbs.dq110.com的网站了。这样别人猜不中目录，也不容易进入另外一个网站目录尝试旁注成功了。

      有时候我们的网站会备份，很多二逼会把备份自己放在网站根目录，我可以明确的告诉你有扫描器可以猜解你的xxx.rar、xxx.zip的，直接就网站打包，配置文件一看，就知道数据库密码了，要是远程端口一开，一个管理员马上就诞生了。我不会告诉你很多大站，名站就存在这种秀逗的管理员。

      所以进入网站目录在建立一个wwwroot或phproot之类的文件夹，以这个文件夹做根目录，备份什么的就放上层目录吧，至少iis的权限是访问不了的。

      建立好根目录，然后给这个目录分配那个单一专用的账号，添加权限为默认，如下图所示，因为这个网站是wordpress的，所以如果没有users是跑不起来的，这个users的权限也是如此。

      然后复制你的网站源码到该目录，这个不用讲了，然后进入IIS管理器，创建网站，步骤如下：

      如果没有特殊需求，请下拉选择那个IP地址，不要默认“全部未分配”，未分配你妹啊，设置主机头，下一步；

      选择你的根目录，默认允许匿名访问网站；

      对于动态脚本的网站只勾选下面两项，即便是aspx也不用勾选第三个带执行玩意的东西，“下一步”完成；

      然后就进入网站管理你的网站了，根据程序需求开放单独目录的“写入”和“修改”两个权限，比如你使用cms的程序，有的新闻或者文档的目录是要建立新的静态页面的，这个目录可以修改可以写入，但是要把执行给去掉，这个需要点开“高级”才能这么做，如下图，进入高级设置后点开那个来宾点“编辑”：

      在下面的选项中如此做，在“遍历文件夹/运行文件”权限勾选“拒绝”：

      还有一种做法，更细致一点，往上跳两步，如下图，把红色框的钩去掉，会弹出一个对话框，点“复制..”：

      否则权限项目下的当前用户全部都没有了，因为另外一个是“删除..”按钮，双击来宾账户，如下了：

      这样在允许列表中就不是灰色的了，把“完全控制”和刚才那项的钩去掉即可。

       从上图中可以看出NTFS其实很细致，做这个权限需要明白两点，如果这个目录不是上传附件的目录，那就最好不要给“创建文件/写入数据”这个权限，如果这个是附件目录，就不要给“遍历文件夹/运行文件”的权限。

      这个很好解释，第一种无需解释，第二种即便这个目录支持解析asp等动态脚本，即便黑客创建成功了一个php的webshell，也是执行不了php语句的，只会当记事本一样的把他读取出来。

      除此之外还有一种方式，也有必要介绍一下，如下图在IIS中展开网站，选中附件的文件夹，右键点“属性”；

      在如下图中，把他的权限修改为“无”，这样也不会解析asp或者php之类的脚本了，当然也不会影响附件下载。

      这种方式适合10个左右的网站来操作，如果上百个，请联系我，我们谈谈上一台WAF的事情。

      这个我就讲到这里，具体请在虚拟机多测试，多尝试，IIS其实安全性挺高的，至少我原来做的麦粉社区流量高的时候没被人日过，只被人DDos过。

      这是应用层的防护，为了更好的保障，我们下面讲系统层和应用层的防护。

      顺便说一下，那些还在试用asp的同学，不要把mdb数据库后缀改成asa了，虽然这样mdb不会被直接下载了，但是这样会被轻易的插入一句话，然后传大马上去了。

      如果你不放心mdb还是可能被下载，你可以建立一个空的记事本文件，把后缀改为dll，如下图：

      然后进入你的asp网站的iis管理或者直接iis管理的网站右键属性，在主目录中点配置，然后添加一个mdb。

      如果你的2003更新了R2，里面会有一个.mdb的扩展，可以把他的调用为你的那个nomdb.dll文件，这样mdb文件即不会被下载也不会被当作一句话母体来调用，必要的时候别人访问这个文件，还会生成一个错误日志，起到告警作用。

系统层防护

      其实这个方法还可以解决几百个网站放在一个服务器上的安全问题，不过前提是你得把所有的网站归类划分好，否则也会做很多条规则，类似在前进的道路上。

      说道规则，我们这里讲McAfee

      说道McAfee，我的ePO知识虽然没有官方中国区那几个厂家的SE精通，但是这几个SE对规则的灵活使用却没有我精通了，至少其中的两位SE是这么评价我的。再怎么说我也是麦粉网的创始人，在McAfee很火的时候,被收购的时候，即便目前没落了，老子的麦粉网的中文信息量还是国内最全最大的。

      当然卡饭论坛再牛逼，上面无非就是盗版信息，变态的规则包，不实际没法用的规则包下载，还有啥呢？

      不吹了，只讲原理，实际应用自行测试再使用，先截图几个，看看默认规则的启用和调配：

      虽然服务器上病毒入口不多，但是必要的地方还是要加以防护；

      这个就启用这两个；

       这里没启用是我把共享禁用了，如果你没禁用或者不知道怎么禁用，那就把这两条勾选上，报告可以不开；

      有的贱人会改你网卡信息来插木马，我不得不佩服；

      虚拟机什么的不管，其实也没用，通用最大保护就这么几个，第三条在配好系统和应用建议开启，更新系统的时候暂时关闭下这条规则即可，还有一种方法是不启用这个，然后在自定义规则中针对iis去做几条防护即可。

      开始讲自定义：

      如下图，一般情况下iis服务器就做这么7条即可，我是这么分的，0开头是针对系统，1开头是针对iis。

      下面讲第一条，这个规则不能阻挡黑客利用cmdshell创建管理员，不能阻挡SQL提权管理员，他只有一个用处就是建立不了那种劫持的、用户管理中删除不了的管理员，能做到这点就足够了，因为创建的账户和注册表屁关系没有；

      下面讲第二条，如果你的iis没有用aspx，要阻止的部分可以改为*.vb，这个主要也是防止加用户的一部分；

      下面讲第三条，这个不能防止黑客上传个别的文件名的cmd.exe，但是至少系统自身的是保护了的，当你需要用cmd的时候要么关闭这个规则，要么用powershell，会调用powershell的马还不多，哈哈；

        下面继续第四条，这个在一定程度上防止了黑客上传cmd.exe之类的文件，你可以在这个基础上补充*.cmd\*.bat之类的规则；

      第五条开始iis的规则，iis主要依托应用池，应用池的进程就是w3wp.exe，如果你的服务器上还跑了ngnix和tomcat，可以在后面加个逗号，然后加上“ngninx.exe,java.exe”，启用这个规则后，如果你用风讯之类的asp的cms，在后台就修改不了配置文件了，上服务器手动改吧你。

      然后那种把mdb改成asa后缀的会使劲触发这个规则，赶紧改会mdb吧。

      下面第六条，这个是针对php的，我在php前面加了*，其实后面也可以加*，因为现在还有集中类似.5php的文件可以当php执行，看你的php应用是什么版本了。

      第七条是针对第五条的补充，当然还可以补充更多的。

      看了这么多条，你知道改怎么做了吧？比如用到aspx的，还可以把.config之类的加上，动态的脚本就是调用数据库嘛，就数据库会变化和修改，这些文件本身是不需要改动的。

      所以针对系统和应用层就是这个原则。

      从理论上讲，McAfee的规则也是可以防Struts漏洞的，至于怎么做，我都没空去搭tomcat环境，后面告诉大家吧。

      安全的服务器有三要素：

      安全干净的服务器环境，跟环境无关的东西不要安装；

      端口可以开，但不属于连接范围的IP最好要限制；

      把QQ安全管家、360安全卫士给老子卸载掉。

      最后再说明一个事实，IIS防火墙和防篡改之类的软件和设备是最没用的。

      @Surp4ss，上半部已写完，目测1万字，没有做多大的保留，McAfee可以到我论坛找找，也许能下载到。