忘记密码   免费注册 查看新帖 | 论坛精华区

ChinaUnix.net

  平台 论坛 博客 认证专区 大话IT HPC论坛 徽章 文库 沙龙 自测 下载 频道自动化运维 虚拟化 储存备份 C/C++ PHP MySQL 嵌入式 Linux系统
最近访问板块 发新帖
查看: 2452 | 回复: 3

[其他] 服务器被黑的防范措施 [复制链接]

论坛徽章:
0
发表于 2017-07-01 09:44 |显示全部楼层
在频频恶意攻击用户、系统漏洞层出不穷的今天,作为网络治理员、系统治理员虽然在服务器的安全上都下了不少功夫,诸如及时打上系统安全补丁、进行一些常规的安全配置,但有时仍不安全。因此必须恶意用户入侵之前,通过一些系列安全设置,来将入侵者们挡在“安全门”之外,下面就将我在3A网络服务器上做的一些最简单、最有效的防(Overflow)溢出、本地提供权限攻击类的解决办法给大家分享,小弟亲自操刀,基本没出过安全故障!

一、如何防止溢出类攻击


1.尽最大的可能性将系统的漏洞补丁都打完,最好是比如Microsoft Windows Server系列的系统可以将自动更新服务打开,然后让服务器在您指定的某个时间段内自动连接到Microsoft Update网站进行补丁的更新。假如您的服务器为了安全起见 禁止了对公网外部的连接的话,可以用Microsoft WSUS服务在内网进行升级。

2.停掉一切不需要的系统服务以及应用程序,最大限能的降底服务器的被攻击系数。比如前阵子的MSDTC溢出,就导致很多服务器挂掉了。其实假如 WEB类服务器根本没有用到MSDTC服务时,您大可以把MSDTC服务停掉,这样MSDTC溢出就对您的服务器不构成任何威胁了。

3.启动TCP/IP端口的过滤,仅打开常用的TCP2180251103389等端口;假如安全要求级别高一点可以将UDP端口关闭,当然假如这样之后缺陷就是如在服务器上连外部就不方便连接了,这里建议大家用IPSec来封UDP。在协议筛选中”只答应”TCP协议(协议号为:6)UDP协议(协议号为:17)以及RDP协议(协议号为:27)等必需用协议即可;其它无用均不开放。

4.启用IPSec策略:为服务器的连接进行安全认证,给服务器加上双保险。如三所说,可以在这里封掉一些危险的端品诸如:135 145 139 445 以及UDP对外连接之类、以及对通读进行加密与只与有信任关系的IP或者网络进行通讯等等。(:其实防反弹类木马用IPSec简单的禁止UDP或者不常用TCP端口的对外访问就成了,关于IPSec的如何应用这里就不再敖续,可以到服安讨论Search IPSec”,就 会有N多关于IPSec的应用资料..)


二、删除、移动、更名或者用访问控制表列Access Control Lists (ACLs)控制要害系统文件、命令及文件夹:

1.黑客通常在溢出得到shell后,来用诸如net.exe net1.exe ipconfig.exe user.exe query.exe regedit.exe regsvr32.exe 来达到进一步控制服务器的目的如:加账号了,克隆治理员了等等;这里可以将这些命令程序删除或者改名。(注重:在删除与改名时先停掉文件复制服务 (FRS)或者先将 %windir%\system32\dllcache\下的对应文件删除或改名。

2.也或者将这些.exe文件移动到指定的文件夹,这样也方便以后治理员自己使用

3.访问控制表列ACLS控制:找到%windir%\system32下找到cmd.execmd32.exe net.exe net1.exe ipconfig.exe tftp.exe ftp.exe user.exe reg.exe regedit.exe regedt32.exe regsvr32.exe 这些黑客常用的文件,在“属性”→“安全”中对他们进行访问的ACLs用户进 行定义,诸如只给administrator有权访问,假如需要防范一些溢出攻击、以及溢出成功后对这些文件的非法利用,那么只需要将system用户在 ACLs中进行拒绝访问即可。

4.假如觉得在GUI下面太麻烦的话,也可以用系统命令的CACLS.EXE来对这些.exe文件的Acls进行编辑与修改,或者说将他写成一个.bat批处理 文件来执行以及对这些命令进行修改。(具体用户自己参见cacls /? 帮助进行)

5.对磁盘如C/D/E/F等进行安全的ACLS设置从整体安全上考虑的话也是很有必要的,另外非凡是win2k,对WinntWinnt\SystemDocument and Setting等文件夹。

6.进行注册表的修改禁用命令解释器: (假如您觉得用⑤的方法太烦琐的话,那么您不防试试下面一劳永逸的办法来禁止CMD的运行,通过修改注册表,可以禁止用户使用命令解释器 (CMD.exe)和运行批处理文件(.bat文件)。具体方法:新建一个双字节(REG_DWord)执行 HKEY_CURRENT_USER\Software\PolicIEs\ Microsoft\Windows\System\DisableCMD,修改其值为1,命令解释器和批处理文件都不能被运行。修改其值为2,则只是禁止命令解释器的运行,反之将值改为0,则是打开CMS命令解释器。假如您赚手动太麻烦的话,请将下面的代码保存为*.reg文件,然后导入。

7.对一些以System权限运行的系统服务进行降级处理。(诸如:Serv-UImailIISPhpMssqlMysql等一系列以 System权限运行的服务或者应用程序换成其它administrators成员甚至users权限运行,这样就会安全得多了…但前提是需要对这些基本运行状态、调用API等相关情况较为了解. )

论坛徽章:
130
操作系统版块每日发帖之星
日期:2016-05-11 17:06:57操作系统版块每日发帖之星
日期:2016-05-11 17:06:57数据库技术版块每日发帖之星
日期:2016-05-11 17:07:05操作系统版块每日发帖之星
日期:2016-05-11 17:06:57操作系统版块每日发帖之星
日期:2016-05-11 17:06:57综合交流区版块每日发帖之星
日期:2016-05-11 17:07:052022北京冬奥会纪念版徽章
日期:2015-08-07 17:10:57IT运维版块每日发帖之星
日期:2016-05-11 17:06:49操作系统版块每日发帖之星
日期:2016-05-11 17:06:57综合交流区版块每日发帖之星
日期:2016-05-11 17:07:05操作系统版块每日发帖之星
日期:2016-05-11 17:06:57程序设计版块每日发帖之星
日期:2016-05-11 17:06:57
发表于 2017-07-19 15:53 |显示全部楼层
linux用户是不是可以藐视本文了么
来自安卓客户端来自客户端

论坛徽章:
73
15-16赛季CBA联赛之山西
日期:2017-10-17 13:03:2815-16赛季CBA联赛之福建
日期:2015-12-26 16:27:2715-16赛季CBA联赛之广东
日期:2015-12-26 16:27:3815-16赛季CBA联赛之山西
日期:2015-12-28 12:10:1015-16赛季CBA联赛之佛山
日期:2015-12-28 13:15:4015-16赛季CBA联赛之上海
日期:2015-12-29 18:17:4215-16赛季CBA联赛之北京
日期:2016-01-06 13:53:16CU十四周年纪念徽章
日期:2016-01-21 09:53:4415-16赛季CBA联赛之广夏
日期:2016-01-21 09:53:5015-16赛季CBA联赛之吉林
日期:2015-12-22 14:49:3515-16赛季CBA联赛之佛山
日期:2015-12-22 14:49:12神斗士
日期:2015-11-17 10:31:59
发表于 2017-07-20 22:37 |显示全部楼层
说的好,有没有linux版本的

论坛徽章:
23
天蝎座
日期:2014-05-13 18:05:59IT运维版块每日发帖之星
日期:2015-11-26 06:20:00操作系统版块每月发帖之星
日期:2015-12-02 14:57:54IT运维版块每月发帖之星
日期:2016-01-07 23:01:56IT运维版块每周发帖之星
日期:2016-01-07 23:04:2615-16赛季CBA联赛之青岛
日期:2016-01-23 07:58:272016猴年福章徽章
日期:2016-02-18 15:30:3415-16赛季CBA联赛之北控
日期:2016-03-23 14:20:06IT运维版块每日发帖之星
日期:2016-04-01 06:20:0015-16赛季CBA联赛之吉林
日期:2016-06-28 13:51:54IT运维版块每日发帖之星
日期:2015-11-23 06:20:00IT运维版块每日发帖之星
日期:2015-11-23 06:20:00
发表于 2017-09-12 08:16 |显示全部楼层
1 楼主第一个思路屏蔽端口是可以用于linux的,至于第二个思路纯粹是windows操作了

2.至于第二个方法其实是初级管理员才会做的工作,这种替换文件的方法,对于带网络感染和自身复制的病毒,一点用处都没用,还大量耗费人工时间,要是管理windows服务器上百台你还让不让人活,要是没有saltstack这类工具帮忙,估计得哭死。
比如威金,现在变种威金一旦中毒后,会大量下载木马程序和攻击程序,对整个内网进行攻击,虽然现在windows7以上系统在这一块安全提高不少,但是像碰到敲诈勒索软件,微软也只能通过打补丁解决。其实微软最大的共享漏斗就是他那个破server服务进程,这是我一直认为最垃圾的服务,不知道微软故意留bug还是怎样。这是很多病毒喜欢攻破的地方,一旦攻破,就能让病毒在整个内网甚至互联网传播。要把微软一些服务给禁止,这才是王道,最小化服务启动原则才是最安全的。
您需要登录后才可以回帖 登录 | 注册

本版积分规则

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号 北京市公安局海淀分局网监中心备案编号:11010802020122
广播电视节目制作经营许可证(京) 字第1234号 中国互联网协会会员  联系我们:
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP