云服务器促销,免费安装宝塔面板!
开启左侧

[宝塔面板] 服务器防止被黑,怎么做好安全设置呢?

[复制链接]
风雨兼程 发表于 2017-9-4 01:12:41 | 显示全部楼层 |阅读模式

本站会员必须 邮箱验证成功后 才能发帖。马上注册查阅更多教程,下载海量资源,让你轻松玩做站

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
- S7 y: D8 c/ m1 E. v  d
在频频恶意攻击用户、系统漏洞层出不穷的今天,作为网络治理员、系统治理员虽然在服务器的安全上都下了不少功夫,诸如及时打上系统安全补丁、进行一些常规的安全配置,但有时仍不安全。因此必须恶意用户入侵之前,通过一些系列安全设置,来将入侵者们挡在“安全门”之外,下面就将我在3A网络服务器上做的一些最简单、最有效的防(Overflow)溢出、本地提供权限攻击类的解决办法给大家分享,小弟亲自操刀,基本没出过安全故障!# }" |$ [" m. f% Z2 Q) E  j
& l5 t; S6 n" K4 B9 g4 Q$ @4 v
- V/ ~) B% Z# H4 v+ M
3 O! b# y- L4 [
5 I1 l8 v1 c- o' ^
一、如何防止溢出类攻击
6 [4 b/ f9 F, A. e1.尽最大的可能性将系统的漏洞补丁都打完,最好是比如Microsoft Windows Server系列的系统可以将自动更新服务打开,然后让服务器在您指定的某个时间段内自动连接到Microsoft Update网站进行补丁的更新。假如您的服务器为了安全起见 禁止了对公网外部的连接的话,可以用Microsoft WSUS服务在内网进行升级。
  O, H' f+ a7 l3 Z: ~* C$ V6 k9 |5 G
8 \- B% Y. p7 w4 j& G' H4 U4 D+ A) U# }- d

; G6 H  b2 s$ Y8 ^1 x# M  i/ D
7 ~0 _: @: I0 s/ @& V8 p9 v% F2.停掉一切不需要的系统服务以及应用程序,最大限能的降底服务器的被攻击系数。比如前阵子的MSDTC溢出,就导致很多服务器挂掉了。其实假如 WEB类服务器根本没有用到MSDTC服务时,您大可以把MSDTC服务停掉,这样MSDTC溢出就对您的服务器不构成任何威胁了。0 {: X( e8 H* @& R
/ x7 T7 G  a3 o' G$ i2 t; {" ]3 C3 a

6 l4 J* x4 I& E3 h
- T; X: r; V9 Z( a
# N4 V, j  f" M* q+ I4 Z/ k* H& ]3.启动TCP/IP端口的过滤,仅打开常用的TCP如21、80、25、110、3389等端口;假如安全要求级别高一点可以将UDP端口关闭,当然假如这样之后缺陷就是如在服务器上连外部就不方便连接了,这里建议大家用IPSec来封UDP。在协议筛选中”只答应”TCP协议(协议号为:6)、 UDP协议(协议号为:17)以及RDP协议(协议号为:27)等必需用协议即可;其它无用均不开放。
0 D7 G. I/ H8 L( M9 J5 i0 n  z! Q: k& G! n6 e6 }

# ^6 N0 ]; Q9 s; u
$ w& N# w8 ^" o' W# E
* i7 k& h* X+ H: j" ~3 K, s" e+ S4.启用IPSec策略:为服务器的连接进行安全认证,给服务器加上双保险。如三所说,可以在这里封掉一些危险的端品诸如:135 145 139 445 以及UDP对外连接之类、以及对通读进行加密与只与有信任关系的IP或者网络进行通讯等等。(注:其实防反弹类木马用IPSec简单的禁止UDP或者不常用TCP端口的对外访问就成了,关于IPSec的如何应用这里就不再敖续,可以到服安讨论Search “IPSec”,就 会有N多关于IPSec的应用资料..)
3 |4 a. c$ y: V5 c, [( U- {* U/ i  H, d5 ^
/ Z6 c  \9 R2 e# s3 E4 m; T  w# W
7 l+ K9 d4 R$ s3 c% s( W
; \% X' ~3 u* j* n- J9 n
二、删除、移动、更名或者用访问控制表列Access Control Lists (ACLs)控制要害系统文件、命令及文件夹:
2 {2 g) }! g1 ]: y9 b# e" W
- x6 J; b' K% w: k. W6 z, j0 i4 z) ?0 D" P! G$ x& D

3 O( A. Z4 C5 P3 H3 @
) C8 w- G5 r0 R8 e( y! \1.黑客通常在溢出得到shell后,来用诸如net.exe net1.exe ipconfig.exe user.exe query.exe regedit.exe regsvr32.exe 来达到进一步控制服务器的目的如:加账号了,克隆治理员了等等;这里可以将这些命令程序删除或者改名。(注重:在删除与改名时先停掉文件复制服务 (FRS)或者先将 %windir%\system32\dllcache\下的对应文件删除或改名。
/ _* S/ i. W1 e% g+ V8 d* P: _! i% k0 G( o; H

  t" h3 F8 J& o: w6 \
4 r2 }9 ?4 v+ z7 L5 G+ n  J
) [+ y9 W, P. z& U2.也或者将这些.exe文件移动到指定的文件夹,这样也方便以后治理员自己使用
4 B+ g' x  d$ |& F- k2 j9 W3 d* `' s% n5 ^

4 a: N) z4 S3 ^, ^4 \
8 h- G6 V" `4 R* H9 T( {
- }8 Q- e# E  h9 t3.访问控制表列ACLS控制:找到%windir%\system32下找到cmd.exe、cmd32.exe net.exe net1.exe ipconfig.exe tftp.exe ftp.exe user.exe reg.exe regedit.exe regedt32.exe regsvr32.exe 这些黑客常用的文件,在“属性”→“安全”中对他们进行访问的ACLs用户进 行定义,诸如只给administrator有权访问,假如需要防范一些溢出攻击、以及溢出成功后对这些文件的非法利用,那么只需要将system用户在 ACLs中进行拒绝访问即可。1 ~" I' Z+ c+ S' o4 p3 n0 u
! g4 n1 {  O% R/ q) r
7 g* R+ A( ?" a7 \- t6 d# p& r  \- z

: ]! n! Z: S  K' [; {# M3 \: @, F" ^1 i; r0 P3 c6 x8 @
4.假如觉得在GUI下面太麻烦的话,也可以用系统命令的CACLS.EXE来对这些.exe文件的Acls进行编辑与修改,或者说将他写成一个.bat批处理 文件来执行以及对这些命令进行修改。(具体用户自己参见cacls /? 帮助进行)& Y# X" @2 |  w2 c* t% w
0 ]$ E9 H+ `5 ]9 h( n
+ D4 H& U2 b1 O, p1 L% O

& X0 C3 `0 r' Q1 W' R/ `
; h% u( T' w, ]$ w/ Y; R( O5.对磁盘如C/D/E/F等进行安全的ACLS设置从整体安全上考虑的话也是很有必要的,另外非凡是win2k,对Winnt、Winnt\System、Document and Setting等文件夹。3 Y3 g% I6 G- g. ~; _1 A; `
/ P: b( u. O, [; q
, n6 s& I9 Q; D3 g) y. n0 W5 a7 H
* V$ A0 w; ]! P: }" [& ]0 @

  p7 y3 n7 p: L6.进行注册表的修改禁用命令解释器: (假如您觉得用⑤的方法太烦琐的话,那么您不防试试下面一劳永逸的办法来禁止CMD的运行,通过修改注册表,可以禁止用户使用命令解释器 (CMD.exe)和运行批处理文件(.bat文件)。具体方法:新建一个双字节(REG_DWord)执行 HKEY_CURRENT_USER\Software\PolicIEs\ Microsoft\Windows\System\DisableCMD,修改其值为1,命令解释器和批处理文件都不能被运行。修改其值为2,则只是禁止命令解释器的运行,反之将值改为0,则是打开CMS命令解释器。假如您赚手动太麻烦的话,请将下面的代码保存为*.reg文件,然后导入。  V: y0 A+ w5 t4 V4 r( b! Y
8 \( O8 p1 g; }* t9 U
$ O/ l3 n0 ], R% k

+ r  N8 I8 [/ @% s1 O7 p, Z
* C; J  A( f  r6 Z, @+ W, n. Z$ F( S7.对一些以System权限运行的系统服务进行降级处理。(诸如:将Serv-U、Imail、IIS、Php、Mssql、Mysql等一系列以 System权限运行的服务或者应用程序换成其它administrators成员甚至users权限运行,这样就会安全得多了…但前提是需要对这些基本运行状态、调用API等相关情况较为了解. )
当流科技-专业Discuz建站、仿站业务,专注处理discuz!论坛挂马,专注提供论坛托管维护服务! 提供Discuz论坛空间、VPS、云服务器!咨询QQ 569160956 778521512
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

精彩课程推荐

抱歉,当前存在网络问题或服务器繁忙,详细错

主讲:我心枫叶 Discuz!教程

Discuz!论坛网盘附件免跳转下载(手机版网

主讲:当流科技 Discuz插件

discuz论坛搬家教程,如何搬迁到新服务器?

主讲:风雨兼程 Discuz!教程

宝塔面板绑定域名无法访问后台怎么解决?

主讲:风雨兼程 服务器学院

Discuz!X3.3全新安装和升级后快速回复框丢

主讲:风雨兼程 Discuz!教程

宝塔面板phpmyadmin 数据库502 Bad Gateway

主讲:当流科技 服务器学院

Discuz! X3.4虚拟人气虚拟用户在线插件 完

主讲:执手天涯 Discuz插件

宝塔面板mysql怎么用navicat 连接数据库呢

主讲:当流科技 服务器学院

商务合作

0551-66191059
service#dangliu.net
点击这里给我发消息
dz论坛/Discuz!论坛新手

关注微信公众号

QQ扫码 加 DZ技术群