怎样的WEB服务器才安全,我急啊
刚来一家公司几天,公司的WEB服务器就被黑掉了,上面还给装了一个灰鸽子,去电信机房整了我一天才弄好,我做了如下设置:(系统是2003SERVER)
1.修改3389端口和SQLserver默认端口
2.禁止了不必要的服务
3.删除了SQLSERVER的很多扩展存储过程
4.给每个客户的文件夹分配了单独的权限
但是小弟经验不足,还是不放心,各位有没有什么高招,给我指点一下,谢谢先!
问题点数:100、回复次数:39Top
1 楼samson_www(天天向上)回复于 2006-03-07 12:19:01 得分 5
系统补丁
sa的密码要强健
程序要防止sql注入Top
2 楼cow8063(天涯远不远?不远!人在天涯,天涯怎会远)回复于 2006-03-07 14:17:27 得分 5
SQLSERVER补补..装防火墙Top
3 楼nameone(过客)回复于 2006-03-07 14:27:11 得分 5
升级系统
防火墙配置好.
Top
4 楼karykwan(独行者)回复于 2006-03-07 14:30:29 得分 10
在很多方面要注意:
服务器的权限要做好.特别是系统盘.
应用软件少装,数据库和WEB最好分开.MS SQL数据库的权限要仔细设
FTP如果是用Serv-u最好把默认用户名和密码改掉,否则6.0以下可以轻易提权
网站方面防注入,防止上传WEB木马Top
5 楼mistysunlight(为裤叉奋斗)回复于 2006-03-07 14:35:46 得分 10
这个帖子不错,很有用,实在!
我也给出我的几点看法:
数据库:
1.对SA的密码处理好
2.对于每个数据库的访问建立对应的用户,并做好该用户的权限限定
3.对于数据库,及时的更新补丁
4.一般不要让用户具有执行数据库的存储过程,自己写的除外
5.修改默认的链接端口
6.做好数据和日志文件的备份工作
服务器:
1.及时更新系统补丁
2.管理员密码处理好
3.禁用不必要的服务和端口
4.日志的备份
5.有必要的情况下安装防火墙
Top
6 楼mistysunlight(为裤叉奋斗)回复于 2006-03-07 14:38:15 得分 5
服务器的系统权限也要好好的分配
Top
7 楼flashasp(flashasp)回复于 2006-03-07 15:13:16 得分 0
我将每个盘的默认权限都设置到只留下adminstrator
然后给客户文件夹权限只加了一个独立的用户和power user权限
再装了啊一个正版的瑞星和防火墙
请问大家还有没有好的WEB服务器防御工具和漏洞扫描工具,有的话帖出来让大家学习一下,谢谢·Top
8 楼flashasp(flashasp)回复于 2006-03-07 15:25:23 得分 0
找到了一款扫描工具,应该不错的呵呵:
X-Scan 漏洞扫描工具V3.1
http://download.chinaitlab.com/testdoc/files/7021.htmlTop
9 楼flashasp(flashasp)回复于 2006-03-07 15:28:58 得分 0
抱歉,这个地址才能下
http://www.xfocus.net/tools/200407/756.htmlTop
10 楼charles_y(每天上网一小时)回复于 2006-03-07 17:35:46 得分 5
微软自己提供了一个软件,名字叫
Microsoft Baseline Security Analyzer
可以到微软的网上下载Top
11 楼cqkv(永远(科维--cqkv.com))回复于 2006-03-07 17:40:50 得分 5
回答楼主的问题:没有人用的服务器,是最安全!哈哈Top
12 楼flashasp(flashasp)回复于 2006-03-08 08:48:17 得分 0
ASP安全配置不完全手册 也不错呵呵
http://www.esoutong.com/bbs/dispbbs.asp?boardid=7&ID=117&replyID=201&skin=1Top
13 楼Cathayvip()回复于 2006-03-08 09:29:06 得分 5
删除sqlserver中的sa帐户
http://publish.it168.com/2006/0223/20060223299401.shtml?positioncode=1547Top
14 楼flashasp(flashasp)回复于 2006-03-08 09:50:42 得分 0
发现只要在2003下
删除组建
1.regsvr32 /u wshom.ocx
2.del wshom.ocx
并禁止
3.Workstation服务禁用作为防范措施
就算上传最狠的2006海洋顶端木马也运行不料呵呵
Top
15 楼flashasp(flashasp)回复于 2006-03-08 15:36:18 得分 0
我觉得现在已经基本安全了呵呵
那么如何控制黑客利用灰鸽子之类的工具和DDOC攻击??谢谢高人再指点一下,谢谢!Top
16 楼yanghuijun(会飞的鱼)回复于 2006-03-08 15:41:07 得分 5
上面的都总结得很好!!我都不用说什么了!!
别的漏洞都好防范,,例系统打补丁,密码强健性等等。。
最怕的是SQL注入,,必竟这是跟程序员写代码的经验有关系的。这种漏洞也最不好防范。。Top
17 楼sjsoo(手机之家)回复于 2006-03-08 20:00:30 得分 5
灰鸽子 你再服务器上设置不能从服务器上连接别的 端口 这个反响也没办法了 灰鸽子就是方向连接的
ddos 是没办法的 正常的连接 装硬件防火墙Top
18 楼flashasp(flashasp)回复于 2006-03-09 08:39:36 得分 0
那么如何在服务器上设置不能从服务器上连接别的端口呢,除拉21,80以外Top
19 楼flashasp(flashasp)回复于 2006-03-09 08:48:35 得分 0
这里假设你windows安装了IIS服务,mail、ftp、MS SQL、PcAnyWhere
依次为本地连接-属性
选中InterNet协议(TCP-IP)
单击属性-高级-选项
选中TCP/IP筛选,单击属性
选中启用TCP/IP筛选(所有适配器)
然后在TCP端口中选中只允许
单击添加依次添加各个服务所需的TCP端口
我这里给出常用服务的各个端口
IIS 80
FTP 21 启用后需要FTP客户端关闭PSAV才能连接
SMTP 25
POP3 110
MS SQL 1433
Mysql 3306
PcAnywhere 5631
Windows远程客户端 3389
Top
20 楼fine06(^_^)回复于 2006-03-09 08:58:31 得分 5
upTop
21 楼flashasp(flashasp)回复于 2006-03-09 09:13:54 得分 0
其他的都好了哈哈,
但是我在FTP客户端了关闭了PSAV为什么能连接上但看不到文件列表呢????????Top
22 楼terryshi(terryshi)回复于 2006-03-09 09:29:43 得分 0
既然托管,要求机房给你加防火墙啊
Top
23 楼flashasp(flashasp)回复于 2006-03-09 09:34:47 得分 0
机房就没有硬防火墙,晕哦Top
24 楼fangbuge(窗外的雨)回复于 2006-03-09 10:06:04 得分 5
http://www.microsoft.com/china/technet/security/guidance/secmod89.mspx#EKAATop
25 楼kkmnv(风来了,我走了)回复于 2006-03-09 10:15:13 得分 5
作个记号先Top
26 楼yanam(神啊帮帮我吧)回复于 2006-03-09 10:37:30 得分 5
学习一下!Top
27 楼alanzhou(为什么)回复于 2006-03-09 10:47:00 得分 0
mark,什么机房居然会没有硬防火墙?Top
28 楼flashasp(flashasp)回复于 2006-03-09 10:53:45 得分 0
继续学习。。。。。。
其他的都好了,但是我在FTP客户端了关闭了PSAV为什么能连接上但看不到文件列表呢????????Top
29 楼maip(net)回复于 2006-03-09 11:03:25 得分 5
要是哪个security老大来份实践总结就好了,我也在网上找过资料照着设置,通常都不够完全,最后还得被黑,后来用了ip安全策略后好点了,我觉得ip安全策略比启用TCP/IP筛选好用,不知道对否
我的安全策略
---------------------------------------------------
源地址 目标地址 源端口 目标端口 操作
---------------------------------------------------
任何ip 我的ip 任意 tcp 80 许可
任何ip 我的ip 任意 tcp 21 许可
任何ip 我的ip 任意 tcp 1433 许可
任何ip 我的ip 任意 tcp 3389 许可
任何ip 我的ip tcp 20 任意 许可 (的的ftp使用port模式)
任何ip 我的ip 任意 tcp 任意 tcp 拒绝
Top
30 楼kaixin110(kydk.com)回复于 2006-03-09 11:42:50 得分 0
sslTop
31 楼flashasp(flashasp)回复于 2006-03-09 13:55:18 得分 0
maip(net),ip安全策略在那里设置啊 ,等讨论完了我好好整理一下Top
32 楼hbzy123(DemoHunter)回复于 2006-03-09 13:59:40 得分 0
拔了网线 吧,最安全了。Top
33 楼xgcom(xg)回复于 2006-03-09 14:23:08 得分 0
upTop
34 楼maip(net)回复于 2006-03-09 14:54:27 得分 5
Programs > Administrative Tools > Local Security Policy > IP Security Policies on Local Machine 到这里自己创建策略,建议你找台机子做测试,不然设置错了,就得跑机房了,我当初就是-_-Top
35 楼flashasp(flashasp)回复于 2006-03-09 15:18:18 得分 0
呵呵Top
36 楼soft_fair(Baal)回复于 2006-03-09 15:29:18 得分 5
做个记号Top
37 楼flashasp(flashasp)回复于 2006-03-09 16:36:20 得分 0
终于搜到了呵呵
+++++++++++++++++++++++IP安全策略 VS 特洛伊木马 ++++++++++++++++++++++++++
当木马悄悄打开某扇“方便之门”(端口)时,不速之客就会神不知鬼不觉地侵入你的电脑。如果被种下木马其实也不必担心,首先我们要切断它们与外界的联系(就是 堵住可疑端口)。
在Win 2000/XP/2003系统中,Microsoft管理控制台(MMC)已将系统的配置功能汇集成配置模块,大大方便我们进行特殊的设置(以Telnet利用的23端口为例,笔者的操作系统为Win XP)。
操作步骤
首先单击“运行”在框中输入“mmc”后回车,会弹出“控制台1”的窗口。我们依次选择“文件→添加/删除管理单元→在独立标签栏中点击‘添加’→IP安全策略管理”,最后按提示完成操作。这时,我们已把“IP安全策略,在本地计算机”(以下简称“IP安全策略”)添加到“控制台根节点”下。
现在双击“IP安全策略”就可以新建一个管理规则了。右击“IP安全策略”,在弹出的快捷菜单中选择“创建IP安全策略”,打开IP安全策略向导,点击“下一步→名称默认为‘新IP安全策略’→下一步→不必选择‘激活默认响应规则’”(注意:在点击“下一步的同时,需要确认此时“编辑属性”被选中),然后选择“完成→在“新IP安全策略属性→添加→不必选择‘使用添加向导’”。
在寻址栏的源地址应选择“任何IP地址”,目标地址选择“我的IP地址”(不必选择镜像)。在协议标签栏中,注意类型应为TCP,并设置IP协议端口从任意端口到此端口23,最后点击“确定”即可。这时在“IP筛选器列表”中会出现一个“新IP筛选器”,选中它,切换到“筛选器操作”标签栏,依次点击“添加→名称默认为‘新筛选器操作’→添加→阻止→完成”。
新策略需要被激活才能起作用,具体方法是:在“新IP安全策略”上点右键,“指派”刚才制定的策略。
效果
现在,当我们从另一台电脑Telnet到设防的这一台时,系统会报告登录失败;用扫描工具扫描这台机子,会发现23端口仍然在提供服务。以同样的方法,大家可以把其它任何可疑的端口都封杀掉,让不速之客们大叫“不妙”去吧!
Top
38 楼dolfen(网海之豚(每天进步一点点))回复于 2006-03-09 18:08:53 得分 0
关注Top
39 楼iceblue2005gather(美丽心情)回复于 2006-03-10 16:13:46 得分 0
markTop
