ITPub博客

首页 > IT基础架构 > 服务器/存储 > 怎么做好服务器安全防御的配置?

怎么做好服务器安全防御的配置?

原创 服务器/存储 作者:Charlotte 时间:2019-04-25 17:19:08 0 删除 编辑

第一防漏洞,对于漏洞广大人民最常用的就是打补丁。虽然打补丁能防住一些攻击者的攻击,但对于一些未被公布的0day漏洞。打补丁又有什么用呢?如09年1月份的本地提权0day,漏洞利用程序都快泛滥成灾了。那段时间大家都在努力地拿webshell争取能拿到更多的肉鸡,我也不例外,我拿到很多webshell之后,就拼命地提权开远程桌面服务,拿N多台服务器,可见0day漏洞的可怕,但有一台服务器例外了,我在进行提权时,总是失败…… 搞得我想放弃…… 心想会不会网页不是在IIS下解析的?带着疑问,我输入 tasklist /v 找到IIS的进程,再输入netstat –ano 把找到的PID和开80端口PID 对比,结果一样啊!靠!难道漏洞被补了?自己去微软转了一圈也没发现出什么补丁。后来我发现了一个进程 是某某公司出的防火墙。去百度一查,发现该防火墙有防溢出功能,无奈啊……只好收手。学了2年的Hacking发现很多漏洞都出在溢出上,所以我们必须装个防溢出的东西。除了本地溢出提权外还有写入启动项提权拉,什么SU提权拉,和Pcanywhere之类的,由于这些东西都是攻击者常用的鬼把戏,所以尽量不要装这些东西,SU可以找微软的FTP替上,Pcanywhere,VNC,Radmin之类的,我们可以用微软的远程桌面服务替上。还有WScript.Shell组件定要删,没了WScript.Shell看攻击者们还搞个毛哩!!!最好把net.exe和net1.exe也给禁了吧!!!哈哈,够狠的 。(大家以后抓不到鸡,别拿番茄和鸡蛋扔我哈)  
       第二就是限制目录拉,我们可以把服务器上网站的目录分开来,并不让IIS帐户和USER帐户对其他文件夹或盘有读取或写入的权限,这样就算网站被挂马了,也不怕服务器上的其他网站跟着遭殃。对于一些专门用来储存用户上传文件或图片的目录,不能给脚本文件执行权限,这样就算专门用来储存用户上传文件或图片的目录出现N多木马也无所谓。
       第三就是防扫描,服务器只需开21,80,1433,3306,就行了。其他的全给防火墙堵上就行了。还有就是攻击者经常用 啊D注入工具 中的网站管理入口检查来扫描网站目录的某些信息,所以我们可以把404页面改成其他的页面 或把数据包的头几个404给改成其他的,这样一般的攻击者会遇难而退。我们也可以把网站管理入口改成其他的,而且把网站管理入口给泄露出来,那么80%以上的攻击者会退出。
       第四防社会工程学,所谓社会工程学呢,我就不多做介绍了,相信看过 凯文•米特尼克的《欺骗的艺术》的人都很清楚。对于有装mssql或mysql的服务器,要把连接数据帐号的权限弄低点,有条件的可以再去租个服务器来搞站库分离,对于一些危险的储存过程要删掉,至于怎么删,大家可以到华夏找找看或去百度搜下就一大堆。数据库密或帐号要设置得和系统帐号密不一样。系统帐号和密千万不能随便找个记上就直接放在服务器,万一被XX可别哭爹喊娘啊。  

       第五漏洞的修补,漏洞的修补针对网站程序,补丁去网上找就有了,在打补丁之前,先看下数据库有没有被插马,没有就拿干净的备份直接覆盖网站程序,但不要覆盖数据库,不然到时候可别哭得惊天动地的啊,如果数据库被插马了,那就清除之,再拿干净的备份直接覆盖网站程序者乎!







来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/69915003/viewspace-2642548/,如需转载,请注明出处,否则将追究法律责任。

请登录后发表评论 登录
全部评论
新春四月 无论您做哪个行业 选择靠谱的合作商 鼎峰科技 做您身边最有质量最有保障的服务器商 为您的互联网创业保驾护航 机房千万家 稳定第一家 号 3237660738

注册时间:2019-03-30

  • 博文量
    21
  • 访问量
    13147