1. 如何防範伺服器被攻擊
一,首先伺服器一定要把administrator禁用,設置一個陷阱賬號:"Administrator"把它許可權降至最低,然後給一套非常復雜的密碼,重新建立
一個新賬號,設置上新密碼,許可權為administraor
然後刪除最不安全的組件:
建立一個BAT文件,寫入
regsvr32/u C:\WINDOWS\System32\wshom.ocx
del C:\WINDOWS\System32\wshom.ocx
regsvr32\u C:\WINDOWS\system32\shell32.dll
del C:\WINDOWS\system32\shell32.dll
二,IIS的安全:
1、不使用默認的Web站點,如果使用也要將 將IIS目錄與系統磁碟分開。
2、刪除IIS默認創建的Inetpub目錄(在安裝系統的盤上)。
3、刪除系統盤下的虛擬目錄,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
4、刪除不必要的IIS擴展名映射。
右鍵單擊「默認Web站點→屬性→主目錄→配置」,打開應用程序窗口,去掉不必要的應用程序映射。主要為.shtml, .shtm, .stm
5、更改IIS日誌的路徑
右鍵單擊「默認Web站點→屬性-網站-在啟用日誌記錄下點擊屬性
6、如果使用的是2000可以使用iislockdown來保護IIS,在2003運行的IE6.0的版本不需要。
八、其它
1、 系統升級、打操作系統補丁,尤其是IIS 6.0補丁、SQL SP3a補丁,甚至IE 6.0補丁也要打。同時及時跟蹤最新漏洞補丁;
2、停掉Guest 帳號、並給guest 加一個異常復雜的密碼,把Administrator改名或偽裝!
3、隱藏重要文件/目錄
可以修改注冊表實現完全隱藏:「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi
-dden\SHOWALL」,滑鼠右擊 「CheckedValue」,選擇修改,把數值由1改為0
4、啟動系統自帶的Internet連接防火牆,在設置服務選項中勾選Web伺服器。
5、防止SYN洪水攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名為SynAttackProtect,值為2
EnablePMTUDiscovery 值為0
NoNameReleaseOnDemand 值為1
EnableDeadGWDetect 值為0
KeepAliveTime 值為300,000
PerformRouterDiscovery 值為0
EnableICMPRedirects 值為0
6. 禁止響應ICMP路由通告報文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
新建DWORD值,名為PerformRouterDiscovery 值為0
7. 防止ICMP重定向報文的攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
將EnableICMPRedirects 值設為0
8. 不支持IGMP協議
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名為IGMPLevel 值為0
9、禁用DCOM:
運行中輸入 Dcomcnfg.exe。 回車, 單擊「控制台根節點」下的「組件服務」。 打開「計算機」子文件夾。
對於本地計算機,請以右鍵單擊「我的電腦」,然後選擇「屬性」。選擇「默認屬性」選項卡。
清除「在這台計算機上啟用分布式 COM」復選框。
10.禁用服務里的
Workstation 這服務開啟的話可以利用這個服務,可以獲取伺服器所有帳號.
11阻止IUSR用戶提升許可權
三,這一步是比較關鍵的(禁用CMD運行)
運行-gpedit.msc-管理模板-系統
-阻止訪問命令提示符
-設置
-已啟用(E)
-也停用命令提示符腳本處理嗎?
(是)
四,防止SQL注入
打開SQL Server,在master庫用查詢分析器執行以下語句:
exec sp_dropextendedproc 'xp_cmdshell'
使用了以上幾個方法後,能有效保障你的伺服器不會隨便被人黑或清玩家數據,當然我技術有限,有的高手還有更多方法入侵你的伺服器,這
需要大家加倍努力去學習防黑技術,也希望高手們對我的評論給予指點,修正出更好的解決方案,對玩家的數據做出更有力的保障~~~
2. 如何攻擊伺服器
Web伺服器將成為下一代黑客施展妖術的對象。在很大程度上,進行這種攻擊只需一個Web瀏覽器和一個創造性的頭腦。以前,黑客的攻擊對象集中在操作系統和網路協議上,但隨著這些攻擊目標的弱點和漏洞逐漸得到修補,要進行這類攻擊已經變得非常困難。操作系統正在變得更加穩健,對攻擊的抵抗能力日益提高。隨著身份驗證和加密功能漸漸被內置到網路協議中,網路協議也變得更加安全。此外,防火牆也越來越智能,成為網路和系統的外部保護屏障。
另一方面,電子商務技術正在日益普及開來,其復雜性有增無減。基於Web的應用程序正在與基本的操作系統和後端資料庫更加緊密地集成在一起。遺憾的是,人們在基於Web的基礎設施安全性方面所做的工作還很不夠。Web伺服器和Web應用程序中的弱點被發現的速度為何這么快呢?
有很多因素促成了這種Web黑客活動的快速增加。其中最主要的原因是防火牆允許所有的Web通信都可以進出網路,而防火牆無法防止對Web伺服器程序及其組件或Web應用程序的攻擊。第二個原因是,Web伺服器和基於Web的應用程序有時是在「功能第一,安全其次」的思想指導下開發出來的。
當您的Web伺服器面臨巨大威脅時,怎樣保障它們的安全呢?這就需要您不斷了解新信息,新情況,每天跟蹤您所用伺服器的有關網站,閱讀相關新聞並向它進行咨詢。為了讓你著手這方面的工作,下面介紹黑客對NT系統的四種常用攻擊手段,同時介紹如何防止這類攻擊。
Microsoft IIS ism.dll緩沖區溢出受影響的伺服器:運行IIS 4.0並帶有「Service Pack 3/4/5」的Windows NT伺服器MicrosoftIIS緩沖區溢出這一安全弱點是Web伺服器無時不有的重大缺陷之一。該弱點被稱為IIS eEye,這個名稱來自發現此問題的一個小組。在實施緩沖區溢出攻擊時,黑客向目標程序或服務輸入超出程序處理能力的數據,導致程序突然終止。另外,還可以通過設置,在執行中的程序終止運行前,用輸入的內容來覆蓋此程序的某些部分,這樣就可以在伺服器的安全許可權環境下執行任意黑客命令。
eEye發現,IIS用來解釋HTR文件的解釋程序是ism.dll,它對緩沖區溢出攻擊的抵抗力十分脆弱。如果攻擊者將一個以.htr結尾的超長文件名(大約3,000個字元,或更多)傳遞給IIS,那麼輸入值將在ism.dll中造成輸入緩沖區溢出,並導致IIS崩潰。如果攻擊者輸入的不是一串字母而是可執行代碼(通常稱為「雞蛋」或「外殼代碼」),那麼在IIS終止之前將執行該代碼。由eEye小組發現的這一攻擊方法
包括三個步驟:
1.創建一個用於偵聽任意TCP埠上連接活動的程序。一旦接收到連接信號,該程序將執行一個Windows命令外殼程序(cmd.exe),並將該外殼與連接綁定在一起。這個程序是經過修改的Netcat。Netcat是一個流行的網路連接實用程序,其源代碼可以免費獲得。
2.在IIS的ism.dll中製造緩沖區溢出,並使IIS從外部Web站點下載偵聽程序(由步驟1產生)。
3.執行剛下載的程序(由步驟2產生),該程序將等待傳入的連接並使攻擊者進入Windows命令外殼程序中。
由於緩沖區溢出導致IIS在崩潰之前轉而運行Windows命令外殼,所以該外殼程序將在IIS的安全許可權背景下運行,而該安全許可權背景等價於NT Administrator許可權。這樣,攻擊者要做的只是與被攻擊的IIS伺服器的偵聽埠建立連接,然後等著出現c:>提示就萬事大吉了。現在,攻擊者擁有對整個NT伺服器的管理許可權,可以做任何事,比如,添加新用戶、修改伺服器的內容、格式化驅動器,甚至將該伺服器用作攻擊其它系統的踏腳石。
運行IIS 4.0並帶有「Service Pack 3/4/5」的Windows NT伺服器容易受到此類攻擊。Microsoft已經發布了對該弱點的修補程序。Windows NT Service Pack 6也已經修補了該問題。
3. 黑客攻擊網站伺服器是什麼意思
黑客攻擊手段可分為非破壞性攻擊和破壞性攻擊兩類。非破壞性攻擊一般是為了擾亂系統的運行,並不盜竊系統資料,通常採用拒絕服務攻擊或信息炸彈;破壞性攻擊是以侵入他人電腦系統、盜竊系統保密信息、破壞目標系統的數據為目的。
黑客攻擊網站十大原因
1.桌面漏洞
Internet Explorer、Firefox和Windows操作系統中包含很多可以被黑客利用的漏洞,特別是在用戶經常不及時安裝補丁的情況下。黑客會利用這些漏洞在不經用戶同意的情況下自動下載惡意軟體代碼——也稱作隱藏式下載。
2.伺服器漏洞
由於存在漏洞和伺服器管理配置錯誤,Internet Information Server(IIS)和Apache網路伺服器經常被黑客用來攻擊。
3.Web伺服器虛擬託管
同時託管幾個甚至數千個網站的伺服器也是惡意攻擊的目標。
4.顯性/開放式代理
被黑客控制的計算機可以被設置為代理伺服器,躲避URL過濾對通信的控制,進行匿名上網或者充當非法網站數據流的中間人。
5.HTML可以從網頁內完全不同的伺服器嵌入對象
用戶可以從特定網站請求瀏覽網頁,只自動地從Google分析伺服器等合法網站下載對象;廣告伺服器;惡意軟體下載網站;或者被重新導向至惡意軟體網站。
6.普通用戶對安全狀況不了解
多數用戶不了解三種SSL瀏覽器檢查的原因;不了解如何驗證所下載程序的合法性;不了解計算機是否不正常;在家庭網路內不使用防火牆;也不知道如何區分釣魚網頁和合法網頁。
7.移動代碼在網站上被廣泛使用
在瀏覽器中禁用JavaScript、Java applets、.NET應用、Flash或ActiveX似乎是個好主意,因為它們都會在您的計算機上自動執行腳本或代碼,但是如果禁用這些功能,很多網站可能無法瀏覽。這為編碼糟糕的Web應用開啟了大門,它們接受用戶輸入並使用Cookies,就像在跨站點腳本(XSS)中一樣。在這種情況下,某些需要訪問與其他開放頁面的數據(Cookies)Web應用會出現混亂。任何接受用戶輸入的Web應用(博客、Wikis、評論部分)可能會在無意中接受惡意代碼,而這些惡意代碼可以被返回給其他用戶,除非用戶的輸入被檢查確認為惡意代碼。
8.全天候高速寬頻互聯網接入的廣泛採用
多數企業網路都受防火牆的保護,而無網路地址轉換(NAT)防火牆的家庭用戶很容易受到攻擊而丟失個人信息;充當分布式拒絕訪問服務(DDOS)的僵屍計算機;安裝託管惡意代碼的Web伺服器——家庭用戶可能不會對這些狀況有任何懷疑。
9.對HTTP和HTTPS的普遍訪問
訪問互聯網必須使用Web,所有計算機都可以通過防火牆訪問HTTP和HTTPS(TCP埠80和443)。可以假定所有計算機都能夠訪問外部網路。很多程序都通過HTTP訪問互聯網,例如IM和P2P軟體。此外,這些被劫持的軟體打開了發送僵屍網路命令的通道。
10.在郵件中採用嵌入式HTML
由於SMTP電子郵件網關會在一定程度上限制可以郵件的發送,黑客已經不經常在電子郵件中發送惡意代碼。相反,電子郵件中的HTML被用於從Web上獲取惡意軟體代碼,而用戶可能根本不知道已經向可以網站發送了請求。
抵禦Web威脅的十大方法
1.阻止對惡意軟體伺服器的訪問
當台式機用戶從未知的惡意軟體伺服器請求HTTP和HTTPS網頁時,立即阻止此請求,節約帶寬並掃描資源。
2.把移動代碼限制到值得信任的網站
腳本和活躍代碼等移動代碼可以讓網路更加豐富有趣,但也黑客滲透桌面計算機和運行可執行代碼或應用來執行文件中嵌入的腳本。
3.在Web網關處掃描
不要認為您的所有桌面都是最新的,運行反病毒程序(AVP)或訪問計算機管理完善。在惡意軟體嘗試進入您的網路而不是已經進入桌面之前就要進行集中掃描,從而輕松地控制所有進入的Web通信(HTTP、HTTPS和FTP)。
4.使用不同廠商的產品進行桌面和Web網關掃描
現在的攻擊在發布之前都針對流行的AVP進行測試。通過惡意軟體掃描的多樣化增加阻止威脅的機會。
5.定期更新桌面和伺服器補丁
多數攻擊和威脅都利用應用和系統漏洞散播。降低已知漏洞給您的計算機帶來的風險。
6.安裝反病毒軟體並保持更新
自引導區病毒出現之日起,安裝反病毒軟體已經成為標準的程序,用來檢查進入的文件、掃描內存和當前文件。任何運行Windows的計算機都應當安裝最新的反病毒軟體。如果「壞東西」已經突破所有其他網路保護,這就是最後的防線。此外,反病毒軟體可以很好地抵禦通過非網路方法傳播的惡意軟體,例如光碟或USB快閃記憶體。
7.只訪問通過所有瀏覽器檢查的HTTPS網站
多數用戶不了解三種SSL瀏覽器檢查的重要性,或者不理解不要訪問未通過所有三項檢查的網站。SSL檢查是過期證書;不值得信任的發布者;以及證書與所請求URL之間的主機名不匹配。
8.只從值得信任的網站下載可執行程序
社會工程在互聯網上非常活躍!一種發布惡意軟體的有效方式是把其捆綁到看似有用的程序中。執行以後,惡意軟體就會為所欲為。這種攻擊類型也稱作特洛伊木馬攻擊。
9.不要訪問把IP地址用作伺服器的網站
最近的攻擊越來越多地利用安裝有簡單Web伺服器的家用計算機。受害者的機器通常通過IP地址而不是DNS主機名被導向新的家庭計算機伺服器。合法網站的URL會使用主機名。
10.仔細地輸入網址避免錯誤
用戶永遠不要試圖訪問惡意軟體網站,但意外總是有可能發生。錯誤地輸入網址通常會登錄某些坐等您上門的網站。如果您的瀏覽器未安裝所有補丁,您很可能在下載過程中下載到惡意軟體。