安裝操作系統後,最好在托管前完成補丁安裝。配置好網絡後,如果是2000,壹定要安裝SP4。如果是2003年,最好安裝SP1,然後點擊開始→Windows Update安裝所有關鍵更新。
至於殺毒軟件,我用的是兩個型號,壹個是瑞星,壹個是諾頓。瑞星殺木馬比諾頓強。我測試過病毒包,瑞星要殺的多很多。但是如果安裝了瑞星,就會出現ASP無法動態訪問的問題。這時候就需要再次修復了。具體操作步驟如下:
關閉防病毒軟件的所有實時監控和腳本監控。
╭═══════════════╮╭═══════════════╮
在Dos命令行中輸入以下命令,然後按Enter鍵:
Regsvr32jscript.dll(命令功能:修復Java動態鏈接庫)
Regsvr32vbscript.dll(命令功能:修復VB動態鏈接庫)
╰═══════════════╯╰═══════════════╯
不要指望殺毒軟件能查殺所有木馬,因為ASP木馬的特點是可以通過壹定的手段避開殺毒軟件的查殺。
>屏蔽在2003年可以用自己的防火墻解決,比過濾更好更靈活。桌面->;在線鄰居->屬性->本地連接->點擊右鍵;(右擊)屬性-->高級-->(選中)互聯網連接防火墻-->;建立
選擇要在服務器上使用的服務端口。
例如,WEB服務器應該提供WEB(80)、FTP(21)服務和遠程桌面管理(3389)。
在FTP服務器、WEB服務器(HTTP)和遠程桌面前打上復選標記。
如果您想要提供服務的端口不在其中,您也可以單擊“添加”按鈕來添加它。具體參數可以參考系統中的原始參數。
然後單擊確定。註意:如果遠程管理該服務器,請確認是否選擇或添加了遠程管理端口。
權限設置
權限設置原則
WINDOWS用戶,大部分時間在WINNT系統中,根據用戶(組)劃分權限。開始→程序→管理工具→計算機管理→本地用戶和組管理系統用戶和用戶組。
NTFS權限設置,請記得將所有硬盤分區成NTFS分區,然後我們才能確定每個分區對每個用戶開放的權限。右鍵單擊文件(文件夾)→屬性→安全性在此管理NTFS文件(文件夾)權限。
IIS匿名用戶,每個IIS站點或虛擬目錄都可以設置壹個匿名訪問用戶(暫且稱之為“IIS匿名用戶”)。當用戶訪問。妳網站的ASP文件,權限這個。ASP文件是這個“IIS匿名用戶”的權限。
權限設置
磁盤權限
系統盤和所有盤只給管理員組和系統完全控制權限。
系統盤\文檔和設置目錄只授予管理員組和系統完全控制權限。
系統盤\文檔和設置\所有用戶目錄僅授予管理員組和系統完全控制權限。
系統盤\Inetpub目錄和以下所有目錄和文件僅給予管理員組和系統完全控制權限。
系統盤\Windows\System32\cacls.exe、cmd.exe、net.exe和net1.exe文件只給管理員組和系統完全控制權限。
開始菜單->管理工具->開始;服務
打印假脫機系統
遠程註冊表
TCP/IP NetBIOS助手
計算機網絡服務器
以上在Windows Server 2003系統上默認啟動的服務中是禁用的,默認禁用的服務如果沒有特殊需要,應該不會啟動。
重命名或卸載不安全的組件。
不安全的組件不足為奇。
在阿江探頭1.9中增加了不安全元件檢測功能(其實是參考7i24的代碼寫的,只是界面改的友好壹點,檢測方法基本和his壹樣)。這個功能讓很多站長大吃壹驚,因為他發現自己的服務器支持很多不安全的組件。
事實上,只要設置了上述權限,FSO、XML和strem就不再是不安全的組件,因為它們沒有權限步出自己的文件夾或站點。不要害怕那段快樂的時光,有了殺毒軟件妳還怕什麽時候?
最危險的組件是WSH和Shell,因為它可以在妳的硬盤上運行EXE等程序。例如,它可以運行升級程序來增強SERV-U的權限,甚至使用SERVU來運行具有更高權限的系統程序。
仔細決定是否卸載組件。
組件的出現是為了應用,而不是為了不安全。所有的組件都有其用途,所以在卸載壹個組件之前,壹定要確定它不是妳的網站程序所需要的,或者即使卸載了,也是無關緊要的。否則妳只能保留這個組件,在妳的ASP程序本身上下功夫,不讓別人進來,而不是不讓別人進來然後外殼。
例如,FSO和XML是最常用的組件之壹,許多程序都會使用它們。壹些主機管理程序和壹些打包程序將使用WSH組件。
最簡單的方法就是直接卸載並刪除相應的程序文件。將以下代碼保存為. BAT文件。(以WIN2000為例。如果使用2003,系統文件夾應該是C:\WINDOWS\)。
regsvr 32/u C:\ WINNT \ System32 \ wshom . ocx
del C:\WINNT\System32\wshom.ocx
regsvr 32/u C:\ WINNT \ system32 \ shell 32 . dll
德爾C:\WINNT\system32\shell32.dll
然後運行它,wscript。貝殼貝殼。應用程序和wscript。網絡將被卸載。可能會提示您不能刪除該文件。別擔心。重啟服務器,妳會發現這三個都有“×安全”的提示。
重命名不安全的組件
需要註意的是,組件的名字和Clsid要改,而且要徹底改。下面以Shell.application為例介紹壹下方法。
打開註冊表編輯器,開始→運行→regedit回車,然後編輯→查找→填入Shell.application→查找下壹個。此方法可以找到兩個註冊表項:“”和“Shell.application”。為了確保安全,請導出這兩個註冊表項,並將其另存為。註冊文件。
比如我們要做這樣的改變。
13709620-C279-11ce-A49E-444553540000更名為13709620-C279-11ce-A49E-444553544。
Shell.application更名為Shell.application _阿江。
然後,替換。reg文件只是按照上面的對應關系導出,然後導入修改過的。reg文件到註冊表中(雙擊)。導入重命名的註冊表項後,不要忘記刪除原來的兩項。這裏需要註意的是,Clsid只能包含十個數字和六個字母ABCDEF。
以下是我修改的代碼(我把兩個文件合並了):
Windows註冊表編輯器5.00版
[HKEY _類_根\CLSID\]
@=Shell自動化服務
[HKEY _類_根\CLSID\\InProcServer32]
@ = C:\ \ WINNT \ \ system32 \ \ shell 32 . dll
ThreadingModel =公寓
[HKEY _類_根\CLSID\\ProgID]
@=Shell。申請_阿江. 1
[HKEY _類_根\ CLSID \ \類型庫]
@=
[HKEY _類_根\ CLSID \ \版本]
@=1.1
[HKEY _類_根\ CLSID \ \ VersionIndependentProgID]
@=Shell。申請_阿江
[HKEY _類_根\外殼。申請_阿江]
@=Shell自動化服務
[HKEY _類_根\外殼。申請_阿江\CLSID]
@=
[HKEY _類_根\外殼。申請_阿江\曲線]
@=Shell。申請_阿江. 1
妳可以把這個存成. reg文件試試,但是不要就此打住,因為萬壹黑客也看了我的文章,他會試試我改的名字。
在阿江ASP probe 1.9中,系統用戶和系統進程的列表是通過使用getobject(WINNT)和7i24的方法獲得的。這個列表可能會被黑客利用,我們應該把它藏起來。這些方法如下:
開始→程序→管理工具→服務,找到工作站,停止並禁用它。
防止serv-u的特權提升。
其實取消shell組件後,入侵者運行提升工具的可能性很小,但其他腳本語言如prel也有Shell能力,還是設置壹下以防萬壹比較好。
用Ultraedit打開ServUDaemon.exe,找到Ascii:LocalAdministrator和#l@$ak#。lk;0@P,就改成其他等長的字符,ServUAdmin.exe也會這麽做。
另外,註意設置Serv-U所在文件夾的權限,不要讓IIS匿名用戶有讀取權限,否則別人會下載妳修改的文件,妳還是可以分析出妳的管理員名和密碼的。
ASP漏洞攻擊的常用方法及防範
壹般來說,黑客攻擊的目標總是論壇等程序,因為這些程序具有上傳功能,可以輕松上傳ASP木馬,即使設置了權限,木馬也可以控制當前站點的所有文件。另外,如果妳有壹匹特洛伊馬,妳可以用它來上傳提升工具以獲得更高的權限。關閉外殼組件的目的是為了在很大程度上防止攻擊者運行提升工具。
如果論壇管理員關閉了上傳功能,黑客就會試圖獲取超級密碼。比如妳用了動態論壇,忘記給數據庫改名了,人家可以直接下載妳的數據庫,然後就離找到論壇管理員的密碼不遠了。
作為管理員,首先要檢查自己的ASP程序,進行必要的設置,防止網站被黑。另壹個是防止攻擊者利用被黑的網站控制整個服務器,因為如果妳的服務器上有壹個朋友的站點,妳可能不確定妳的朋友會對他上傳的論壇進行安全設置。這個用了很多上面提到的東西。經過那些權限設置和推廣防範,黑客即使進入壹個站點,也無法破壞站點外的東西。
系統配置命令
winver-檢查Windows版本。
Wmimgmt.msc -開放式窗口管理體系結構(WMI)。
Wupdmgr - windows更新程序
Wscript - windows腳本主機設置
寫字板
winmsd-系統信息
Wiaacmgr -掃描儀和照相機向導
Winchat - XP自帶局域網聊天。
Mem。exe-顯示內存使用情況。
Msconfig -系統配置實用程序
Mplayer2 -簡單Windows Media Player(Windows Media Player 6.4)
畫板
MSTSC-遠程桌面連接
Mplayer2 -媒體播放器
放大鏡工具
MMC-打開控制臺。
同步命令
dxdiag-檢查DirectX信息並診斷DirectX。
Drwtsn32 -系統醫生
設備管理器
DFRG。磁盤碎片整理程序
Diskmgmt.msc -磁盤管理工具
DCOMNFG-打開系統組件服務。
DDE共享-打開DDE***享受設置。
Dvd播放-DVD播放器
停止信使服務。
啟動信使服務。
記事本-打開記事本。
NSLookup-網絡管理工具向導
Ntbackup -系統備份和還原
講述人-屏幕“講述人”
Ntmsmgr.msc -移動存儲管理器
Ntmsoprq.msc -移動存儲管理員操作請求
Netstat-an-(tc)命令來檢查接口。
創建壹個公文包
系統配置編輯器
文件簽名驗證程序
Sndrec32 -記錄器
Shrpubw -創建* *共享文件夾。
Secpol.msc -本地安全策略
syskey——系統加密,壹旦加密就無法解鎖,保護windows xp系統的雙重密碼。
Services.msc -本地服務設置
Sndvol32 -音量控制程序
Sfc.exe系統文件檢查器
Sfc /scannow - windows文件保護
Tsshutdn - 60秒倒計時關機命令
tourstart-xp xp介紹XP(安裝後漫遊XP程序)
taskmgr-任務管理器
Eventvwr -事件查看器
eudcedit-構詞程序
瀏覽器-打開瀏覽器。
打包程序-對象包裝
Perfmon.msc -計算機性能監控程序
項目經理
註冊表編輯器
Rsop.msc -組策略結果集
Regedt32 -註冊表編輯器
Rononce-p-15秒關閉。
Regsvr32/u *。停止運行dll文件。
zipfldr.dll-取消郵政編碼支持。
Cmd.exe命令提示符
Chkdsk.exe-Chkdsk磁盤檢查
Certmgr.msc -證書管理實用程序
calc-啟動計算器。
charmap-啟動字符映射表。
Cliconfg - SQL SERVER客戶端網絡實用工具
Clipbrd -剪貼板查看器
CONF-啟動網絡會議。
計算機管理碩士
Cleanmgr -垃圾處理
Ciadv.msc -索引服務程序
OSK-打開屏幕鍵盤。
Odbcad32 - ODBC數據源管理器
oobe/msoobe/a-檢查XP是否已激活。
Lusrmgr.msc -本地用戶和組
註銷-註銷命令。
Iexpress -創建自解壓工具向導
Nslookup - IP地址檢測器
Fsmgmt.msc - *** *享受文件夾管理器
uti liman-助理工具經理
Gpedit.msc -組策略