【正文】 1審查應(yīng)用程序及系統(tǒng)的升級(jí)情況如系統(tǒng)安全補(bǔ)丁、ServU等工具是否必需升級(jí)。如果你了解到最近有其他的程序后門(mén)，可以使用相應(yīng)的關(guān)鍵字搜索是否存在相關(guān)文件。檢查系統(tǒng)安全補(bǔ)丁的升級(jí)情況使用自動(dòng)升級(jí)功能時(shí)，要檢查自動(dòng)升級(jí)是否生效，必要時(shí)建議不定期手工進(jìn)行一次系統(tǒng)升級(jí)。更新規(guī)則檢查防火墻規(guī)則，查看是否有新添加的規(guī)則、不明規(guī)則；檢查關(guān)鍵規(guī)則是否存在修改；不定期用配置好的規(guī)則備份恢復(fù)一次。對(duì)于各分區(qū)根目錄下的文件也要特別注意！？？ 不定期用光盤(pán)PE系統(tǒng)引導(dǎo)用ERDCommander查看硬盤(pán)目錄下是否有可疑文件、檢查硬盤(pán)系統(tǒng)注冊(cè)表是否有不明自動(dòng)加載項(xiàng)目以及常用文件擴(kuò)展名關(guān)聯(lián)是否更改、是否存在不明用戶等。另外用搜索文件功能，查找所有2K20K、日期為半個(gè)月左右的所有文件，以便從中發(fā)現(xiàn)可疑文件。檢查列表檢查賬戶列表、系統(tǒng)服務(wù)列表、自動(dòng)加載的程序列表；檢查異常文件可結(jié)合上述的文件日期、文件列表進(jìn)行快速排查。PerformRouterDiscovery =dword:00000000七、日常安全檢查日志查看包括系統(tǒng)日志、IIS以及SQL等的日志、防火墻日志、自動(dòng)備份程序的工作日志；檢查日志中異常內(nèi)容；日志是否有明顯時(shí)間中斷現(xiàn)象；是否出現(xiàn)某些日志被清空的現(xiàn)象；有無(wú)偽造日志的跡象。禁止路由發(fā)現(xiàn)功能。TcpMaxSendFree=\39。在有大量 RAM 的機(jī)器上，增加該設(shè)置可以提高 SYN 攻擊期間的響應(yīng)性能。TcpNumConnections=\39。同時(shí)打開(kāi)的TCP連接數(shù)，這里可以根據(jù)情況進(jìn)行控制。啟用網(wǎng)卡上的安全過(guò)濾\39。DynamicBacklogGrowthDelta=dword:0000000a以下部分需要根據(jù)實(shí)際情況手動(dòng)修改\39。對(duì)于網(wǎng)絡(luò)繁忙或者易遭受SYN攻擊\39。每次增加的自由連接數(shù)據(jù)。增加5000個(gè)，這里設(shè)為20000。最大動(dòng)態(tài)Backlog。默認(rèn)值為0，對(duì)于網(wǎng)絡(luò)繁忙或者易遭受SYN攻擊的系統(tǒng)，建議為20。默認(rèn)項(xiàng)值為0，表示動(dòng)態(tài)Backlog分配的自由連接的最小數(shù)目。EnableDynamicBacklog=dword:00000001\39。配置激活動(dòng)態(tài)Backlog。范圍140000，這里設(shè)置為1000，數(shù)值越大在連接越多時(shí)允許更多連接。BacklogIncrement=dword:00000003\39。缺省為3，范圍120，數(shù)值越大在連接越多時(shí)提升性能。TcpTimedWaitDelay=dword:0000001e[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\NetBT\\Parameters]\39。缺省為240秒，最低為30秒，最高為300秒。DisableIPSourceRouting=dword:0000002\39。禁止IP源路由。當(dāng)可用的backlog變?yōu)?時(shí)，此參數(shù)用于控制syn攻擊保護(hù)的開(kāi)啟，微軟站點(diǎn)安全推薦為5。微軟站點(diǎn)安全推薦為3。設(shè)置TCP重傳單個(gè)數(shù)據(jù)段的次數(shù)。微軟站點(diǎn)安全推薦為2。這個(gè)值可以根據(jù)遭受攻擊規(guī)模修改。項(xiàng)值為1，消耗時(shí)間為9秒。項(xiàng)值為2，消耗時(shí)間為21秒。設(shè)置等待SYNACK時(shí)間。這里使用微軟建議值，服務(wù)器為80，高級(jí)服務(wù)器為400。TcpMaxHalfOpen=dword:00000064\39。這里使用微軟建議值，服務(wù)器設(shè)為100，高級(jí)服務(wù)器設(shè)為500。同時(shí)允許打開(kāi)的半連接數(shù)量。這里需要注意的是，設(shè)為2后在某種特殊數(shù)據(jù)包下會(huì)導(dǎo)致系統(tǒng)重啟。安全級(jí)別更高，對(duì)何種狀況下認(rèn)為是攻擊，則需要根據(jù)下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值\39。啟動(dòng)syn攻擊保護(hù)?？梢杂脕?lái)提高傳輸效率，如出現(xiàn)故障或安全起見(jiàn)，設(shè)項(xiàng)值為0，表示使用固定MTU值576bytes。禁止進(jìn)行最大包長(zhǎng)度路徑檢測(cè)。該選項(xiàng)決定TCP間隔多少時(shí)間來(lái)確定當(dāng)前連接還處于連接狀態(tài)，不設(shè)該值，則系統(tǒng)每隔2小時(shí)對(duì)TCP是否有閑置連接進(jìn)行檢查，這里設(shè)置時(shí)間為5分鐘。注意系統(tǒng)必須安裝SP2以上NonameReleaseOnDemand=dword:00000001\39。不允許釋放NETBIOS名。此類(lèi)報(bào)文有可能用以攻擊，所以系統(tǒng)應(yīng)該拒絕接受ICMP重定向報(bào)文。EnableDeadGWDetect=dword:00000000\39。關(guān)閉無(wú)效網(wǎng)關(guān)的檢查。如按照如下進(jìn)行安全設(shè)置，經(jīng)過(guò)測(cè)試，可承受大約1萬(wàn)個(gè)包的攻擊量。這里我給大家簡(jiǎn)單介紹一下如何在Win2000環(huán)境下通過(guò)修改注冊(cè)表，增強(qiáng)系統(tǒng)的抗DoS能力。如果通過(guò)對(duì)服務(wù)器設(shè)置不能有效解決，那么就可以考慮購(gòu)買(mǎi)抗DDOS防火墻了。這樣我們可以利用w2k自帶的遠(yuǎn)程訪問(wèn)與路由或者IP策略等本身自帶的工具解決掉這些攻擊。防范DDOS攻擊并不一定非要用防火墻。系統(tǒng)服務(wù)列表可對(duì)“已啟動(dòng)”和“自動(dòng)”的服務(wù)類(lèi)型進(jìn)行排序，然后抓圖保存。任務(wù)管理器任務(wù)列表可以采用抓圖的方法保存任務(wù)管理器的任務(wù)列表；建議采用專(zhuān)門(mén)的導(dǎo)出詳細(xì)的進(jìn)程及模塊列表備查！文件列表全部配置完畢，制作系統(tǒng)目錄和程序目錄等位置的文件列表備份，并保存為文件。、任務(wù)列表和服務(wù)列表的生成和利用生成各種目錄列表備份對(duì)于日后查找可疑文件是非常重要的，一般在服務(wù)器部署完畢后必須立即進(jìn)行！另外加上現(xiàn)在大多數(shù)站點(diǎn)程序都會(huì)使用MD5來(lái)加密用戶密碼，加上你密碼的強(qiáng)壯性，那樣你站點(diǎn)的安全性就大大的提高了。免費(fèi)程序不要真的就免費(fèi)用，既然你可以共享原碼，那么攻擊者一樣可以分析代碼。 時(shí)間為一個(gè)特定的值，以便日后查找可疑程序時(shí)篩選方便；全部配置完畢，對(duì)系統(tǒng)目錄和程序目錄分別制作文件列表，將列表保存到隱藏分區(qū)中。對(duì)于提交有上述字串請(qǐng)示的IP，一般都是人為有意進(jìn)行，因此可令防火墻對(duì)這類(lèi)訪問(wèn)的IP進(jìn)行較長(zhǎng)時(shí)間的屏蔽。可在數(shù)據(jù)庫(kù)的配置文件中將端口改一下，比如3389，讓人家連吧：）其他如遠(yuǎn)程管理工具的端口也不建議使用默認(rèn)端口。MYSQL:3306終端服務(wù)：3389（不建議使用；建議修改）POP3:110SMTP:25WEB:805）選擇建議：（SGS系列）6）常用端口：FTP:21五、其他輔助安全措施；() （SGS系列）并認(rèn)真做好規(guī)則設(shè)置；防火墻的選擇、安裝和配置概覽：選擇：1）一定要有出站審核功能的防火墻，防止反向連接的木馬后門(mén)；2）設(shè)置適當(dāng)?shù)陌踩?jí)別，安裝初期可采用學(xué)習(xí)模式并小心配置，隨后入為最高安全級(jí)別；3）配置好防火墻規(guī)則?！　　　〈蜷_(kāi)safe_mode,　　在,　　disable_functions= passthru,exec,shell_exec,system　　　　二者選一即可,也可都選　　　　　　　　　　disable_functions= passthru,exec,shell_exec,system　　　　后面加上php處理文件的函數(shù)　　主要有　　fopen,mkdir,rmdir,chmod,unlink,dir　　fopen,fread,fclose,fwrite,file_exists　　closedir,is_dir,　　,unlink,delfile　　即成為　　disable_functions= passthru,exec,shell_exec,system,fopen,mkdir,rmdir,chmod,unlink,dir　　,fopen,fread,fclose,fwrite,file_exists　　,closedir,is_dir,　　,unlink,delfile　　ok,大功告成,php木馬拿我們沒(méi)轍了,^_^　　遺憾的是這樣的話,利用文本數(shù)據(jù)庫(kù)的那些東西就都不能用了。以上特征字符串可能是分別針對(duì)ASP和PHP的，但由于配置不復(fù)雜，因此建議不管什么類(lèi)型的后臺(tái)程序，都在防火墻上全面設(shè)置一下應(yīng)用層過(guò)濾規(guī)則！！XX 8. PHP木馬的攻擊的防御之道,如果你只允許你的php腳本程序在web目錄里操作。等等。=\39。 □Asc□\39。□net□□add□xp_cmdshell□user□ countdeleteselectinsertexec x %5c %23 %25%2523.sql .asa .mdb ...\\..\\ dir□ □password□□where□ □from□ system32winnt□update□□select□\39。%20AND%20\39。%20and%20XX 6. MSSQL Server 的基本安全策略安裝Deer Field、8Sign Firewall等具備應(yīng)用層過(guò)濾功能的防火墻，對(duì)Url提交的非法字符進(jìn)行整體過(guò)濾，可防范網(wǎng)站程序編寫(xiě)時(shí)存在的對(duì)敏感字符未過(guò)濾的漏洞。2）刪除注冊(cè)表操作功能刪除上述位置下的：xp_regaddmultistring（向注冊(cè)表添加項(xiàng)目）xp_regdeletekey（向注冊(cè)表刪除一個(gè)項(xiàng)）xp_regdeletevalue（向注冊(cè)表刪除一個(gè)鍵值）xp_regnumvalues（列舉主鍵下的鍵值）xp_regread（讀取一主鍵下的鍵值）xp_regremovemultistring（從注冊(cè)表中刪除項(xiàng)目）xp_regwrite（向注冊(cè)表中數(shù)據(jù)）3）防范跨庫(kù)查詢每個(gè)數(shù)據(jù)庫(kù)分別設(shè)置一個(gè)數(shù)據(jù)庫(kù)用戶，該用戶只能對(duì)其擁有的數(shù)據(jù)庫(kù)進(jìn)行查詢，禁止其他數(shù)據(jù)庫(kù)（包括4個(gè)系統(tǒng)數(shù)據(jù)庫(kù)Master Model Tempdb Msdb和兩個(gè)用戶數(shù)據(jù)庫(kù) Pubs t Northwind）。xp_cmdshell\39。/ScriptEnd SelectEnd IfEnd IfNext%XX 注入攻擊的防范在SQL Server 2000的安裝目錄下的\\NSSQL\\BINN文件夾中有一個(gè)危險(xiǎn)的DLL組件，建議將它改名或者徹底刪除！攻擊者可調(diào)用SQL里的Master里的擴(kuò)展存儲(chǔ)過(guò)程中的xp_cmdshell來(lái)執(zhí)行系統(tǒng)指令。Fy_Zxamp。=\39。,and,select,update,insert,delete,chr 等非法字符！\39。Fy_Cs(Fy_x)amp。Case 3 Script Language=JavaScriptalert(\39。/ScriptFy_Zxamp。Case 2 Script Language=JavaScript=\39。/Script)。請(qǐng)不要在參數(shù)中出現(xiàn)：。 的值中包含非法字符串！\\n\\n 出現(xiàn)錯(cuò)誤！參數(shù) amp。)0 or Instr(LCase(Request(Fy_Cs(Fy_x))),and)0 or Instr(LCase(Request(Fy_Cs(Fy_x))),select)0 or Instr(LCase(Request(Fy_Cs(Fy_x))),update)0 or Instr(LCase(Request(Fy_Cs(Fy_x))),chr)0 or Instr(LCase(Request(Fy_Cs(Fy_x))),delete%20from)0 or Instr(LCase(Request(Fy_Cs(Fy_x))),。出錯(cuò)時(shí)轉(zhuǎn)向的頁(yè)面On Error Resume NextFy_Url=(QUERY_STRING)Fy_a=split(Fy_Url,amp。\39。頭Fy_Cl = 1定義部份XX 1）新生成的數(shù)據(jù)庫(kù)在保證干凈的前提下，主動(dòng)在尾部合并一行ASP代碼，內(nèi)容一般可以為重定向，以免費(fèi)別人通過(guò)論壇發(fā)帖等方式嵌入有害代碼后被得到執(zhí)行；2）對(duì)MDB文件創(chuàng)建一個(gè)無(wú)效的映射，以便在IE中下載時(shí)出錯(cuò)；3）修改出錯(cuò)頁(yè)面，建議將出錯(cuò)頁(yè)面設(shè)計(jì)為正常被曝庫(kù)后的內(nèi)容，但給一個(gè)數(shù)據(jù)庫(kù)的虛假地址（最好存在相應(yīng)的虛假數(shù)據(jù)庫(kù)文件，比如一個(gè)改名后的病毒等）；4）在防火墻中對(duì)MDB類(lèi)型的擴(kuò)展名進(jìn)行過(guò)濾；5）刪除或禁用網(wǎng)站的后臺(tái)數(shù)據(jù)庫(kù)備份功能，而用本地安裝的專(zhuān)門(mén)自動(dòng)備份程序進(jìn)行自動(dòng)增量備份。？3. 到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa”項(xiàng)處找到“restrictanonymous”，將鍵值設(shè)為1，關(guān)閉IPC$共享。如果沒(méi)有AutoShareServer項(xiàng)，可自己新建一個(gè)再改鍵值。網(wǎng)絡(luò)上的任何人都可以通過(guò)共享硬