商业源码 DNS服务器的配置步骤是什么
DNS服务器是指“域名解析服务器”,而域名就是我们通常所说的“网址”。在互联网中识别和寻找不同的计算机,实际上是需要知道该计算机的IP地址才能进行访问。下面就让我给大家说说DNS服务器的配置步骤吧。
DNS服务器配置步骤将本机DNS设置为114114114114可以防止运营商弹出广告及提高网络访问速度
一、Windows XP 系统 DNS 服务器设置方法
1、在桌面中找到"网上邻居"的图标,鼠标右键点击该图标,在弹出菜单中选择"属性",如下图:
2如桌面没有"网上邻居"图标,您可以打开系统"控制面板",选择"网络和 Internet 连接",如下图:
2、在完成步骤 1 后出现"网络连接"文件夹,根据用户的宽带方式不同,会出现"本地连接"图标(下图左①)或者“ADSL 拨号”(下图右②)图标,请在图标上单击鼠标右键,在弹出菜单中选择"属性":
3、在完成步骤 2 后出现"本地连接 属性"(下图左①)或者“ADSL 拨号 属性”(下图右②)的窗口,双击" Internet 协议(TCP/IP)"选项或单击选中后再点击下方"属性"按钮,如下图:
4、在完成步骤 3 后,出现"Internet 协议(TCP/IP)属性"窗口,如下图红框标示区域输入 114DNS 为您提供的公众 DNS 服务地址:
首选 DNS 服务器:114114114114,备用 DNS 服务器:114114115115,输好后点击"确定"按钮即完成修改。
设置好后得重启一下机子,大功告捷
二、Windows 7 或 Vista 系统 DNS 服务器设置方法
1、在桌面中找到"网络"的图标,鼠标右键点击该图标,在弹出菜单中选择"属性",如下图:
如桌面没有"网上邻居"图标,您可以打开系统"控制面板",选择"网络和 Internet "项中的"查看网络状态和任务"连接,如下图:
2、在完成步骤 1 后出现"网络和共享中心"文件夹,点击左侧“更改适配器设置”,如下图:
3、在完成步骤 2 后出现"网络连接"的窗口,选择您使用的宽带连接,单击右键选择"属性"菜单,如下图:
4、在完成步骤 3 后,根据第 3 步中选择的不同会出现"本地连接 属性"(下图左①)或者“宽带连接 属性”(下图右②)的窗口,在"本地连接 属性"的窗口,双击" Internet 协议版本 4 (TCP/IPv4)"选项或单击选中后再点击下方"属性"按钮;在“宽带连接 属性”窗口中请先点击上方“网络”选项卡,然后再双击" Internet 协议版本 4 (TCP/IPv4)"选项或单击选中后点击下方"属性"按钮。如下图:
5、在完成步骤 4 后,根据第 4 步的操作不同,出现如下图 ① ②不同的"Internet 协议版本4(TCP/IPv4)属性"窗口,如图所示在红色框选区域输入 114DNS 为您提供的公众 DNS 服务地址:
1如何关闭Windows 2000下的445端口?
修改注册表,添加一个键值
Hive: HKEY_LOCAL_MACHINE
Key: System/Controlset/Services/NetBT/Parameters
Name: SMBDeviceEnabled
Type: REG_DWORD
value: 0
修改完后重启机器,运行“netstat -an”,你将会发现你的445端口已经不再Listening了。
2如何使用IPSec保护我的网络通信?
IPSec 术语
在执行以下指导步骤之前,确保您知道以下术语的含义:
身份验证:确定计算机的身份是否合法的过程。Windows 2000 IPSec 支持三种身份验证:Kerberos、证书和预共享密钥。只有当两个终结点(计算机)都位于同一个 Windows 2000 域时,Kerberos 身份验证才有效。这种类型的身份验证是首选方法。如果计算机位于不同的域中,或者至少有一台计算机不在某个域中,则必须使用证书或预共享密钥。只有当每个终结点中包含一个由另一个终结点信任的颁发机构签署的证书时,证书才有效。预共享密钥与密码有着相同的问题。它们不会在很长的时间段内保持机密性。如果终结点不在同一个域中,并且无法获得证书,则预共享密钥是唯一的身份验证选择。
加密:使准备在两个终结点之间传输的数据难以辨认的过程。通过使用充分测试的算法,每个终结点都创建和交换密钥。该过程确保只有这些终结点知道密钥,而且如果任何密钥交换序列被拦截,拦截者不会得到任何有价值的内容。
筛选器:对 Internet 协议 (IP) 地址和协议的描述,可触发 IPSec 安全关联的建立。
筛选器操作:安全要求,可在通信与筛选器列表中的筛选器相匹配时启用。
筛选器列表:筛选器的集合。
Internet 协议安全策略:规则集合,描述计算机之间的通讯是如何得到保护的。
规则:筛选器列表和筛选器操作之间的链接。当通信与筛选器列表匹配时,可触发相应的筛选器操作。IPSec 策略可包含多个规则。
安全关联:终结点为建立安全会话而协商的身份验证与加密方法的集合。
在 Microsoft 管理控制台中查找 IPSec
通过使用 Microsoft 管理控制台 (MMC) 配置 IPSec。Windows 2000 在安装过程中创建一个带有 IPSec 管理单元的 MMC。若要查找 IPSec,请单击开始,指向程序,单击管理工具,然后单击本地安全策略。在打开的 MMC 中的左窗格中,单击本地计算机上的 IP 安全策略。MMC 将在右窗格中显示现有的默认策略。
更改 IP 地址、计算机名和用户名
为了此示例的目的,假设 Alice 是一个计算机用户,该计算机名为"Alicepc"、IP 地址为 1721698231,Bob 的计算机名为"Bobslap",IP 地址为 1723167244。他们使用 Abczz 程序连接他们的计算机。
通过使用 Abczz 程序互相连接时,Alice 和 Bob 必须确保通信是被加密的。当 Abczz 建立其连接时,启动程序使用其本身上的随机高端口并连接(出于本示例中的目的)到 6667/TCP 或 6668/TCP 端口上的目标(其中,TCP 是"传输控制协议"的缩写)。通常,这些端口用作 Internet 多线交谈 (IRC)。因为 Alice 或 Bob 均可发起连接,所以该策略必须存在于两端。
创建筛选器列表
通过在 MMC 控制台中右键单击 IP 安全策略,可访问用于创建 IPSec 策略的菜单。第一个菜单项是"创建 IP 安全策略"。尽管此菜单似乎是要开始的位置,但却不应从此位置开始。在可创建策略及其相关规则之前,您需要定义筛选器列表和筛选器操作,它们是任何 IPSec 策略的必需组件。单击管理 IP 筛选器表和筛选器操作开始工作。
将显示带有两个选项卡的对话框:一个用于筛选器列表,另一个用于筛选器操作。首先,打开管理 IP 筛选器列表选项卡。已经有两个预先定义的筛选器列表,您不会使用它们。相反,您可以创建一个特定的筛选器列表,使其与要连接到的其他计算机对应。
假设您在 Alice 的计算机上创建策略:
单击添加创建新的筛选器列表。将该列表命名为"Abczz to Bob's PC"。
单击添加添加新筛选器。将启动一个向导。
单击我的 IP 地址作为源地址。
单击一个特定的 IP 地址作为目标地址,然后输入 Bob 的计算机的 IP 地址 (1723167244)。或者,如果 Bob 的计算机已在域名系统 (DNS) 或 Windows Internet 名称服务 (WINS) 中注册,则可选择特定的 DNS 名,然后输入 Bob 的计算机名,Bobslap。
Abczz 使用 TCP 进行通讯,因此单击 TCP 作为协议类型。
对于 IP 协议端口,单击从任意端口。单击到此端口,键入:6667,然后单击完成完成该向导。
重复上述步骤,但这次键入:6668作为端口号,然后单击关闭。
您的筛选器列表中包含两个筛选器:一个在端口 6667 (属于 Bob)上用于从 Alice 到 Bob 的通讯,另一个在端口 6668 (属于 Bob)上。(Bob 在自己的计算机上设置了 6667 和 6668 两个端口:一个端口用于传出的通讯,另一个用于传入的通讯。)这些筛选器是镜像的,每次创建 IPSec 筛选器时通常都需要如此。对于已镜像的每个筛选器,该列表可包含(但不显示)与其正好相反的筛选器(即目标和源地址与其相反的筛选器)。如果没有镜像筛选器,IPSec 通讯通常不成功。
创建筛选器操作
您已经定义了必须受到保护的通信的种类。现在,您必须指定安全机制。单击管理筛选器操作选项卡。列出三个默认操作。不要使用要求安全操作,您必须创建一个更严格的新操作。
若要创建新操作,请:
单击添加创建新筛选器操作。启动一个向导。将该操作命名为"Encrypt Abczz"。
对于常规选项,单击协商安全,然后单击不和不支持 IPsec 的计算机通讯。
单击 IP 通信安全性为高选项,然后单击完成以关闭该向导。
双击新的筛选器操作(前面命名的"Encrypt Abczz")。
单击清除接受不安全的通讯,但总是用 IPSec 响应复选框。这一步骤确保计算机在发送 Abczz 数据包之前必须协商 IPSec。
单击会话密钥完全向前保密以确保不重新使用密钥资料,单击确定,然后单击关闭。
创建 IPSec 策略
您已经获得了策略元素。现在,您可以创建策略本身了。右键单击 MMC 的右窗格,然后单击创建 IP 安全策略。当向导启动时:
将该策略命名为"Alice's IPSec"。
单击清除激活默认响应规则复选框。
单击编辑属性(如果未选中的话),然后完成该向导。该策略的属性对话框将打开。
为使 IPSec 策略有效,它必须至少包含一个将筛选器列表链接到筛选器操作的规则。
若要在属性对话框中指定规则,请:
单击添加以创建新规则。启动向导后,单击此规则不指定隧道。
单击局域网 (LAN) 作为网络类型。
如果 Alice 和 Bob 的计算机位于同一个 Windows 2000 域中,单击 Windows 2000 默认值(Kerberos V5 协议)作为身份验证方法。如果不在一个域中,则单击使用此字串来保护密钥交换(预共享密钥),然后输入字符串(使用您可记住的长字符串,不要有任何键入错误)。
选择前面创建的筛选器列表。在此示例中,该筛选器列表为"Abczz to Bob's PC"。然后,选择前面创建的筛选器操作。在此示例中,该筛选器操作为"Encrypt Abczz"。
完成该向导,然后单击关闭。
配置其他终结点
在 Bob 的计算机上重复上述应用于 Alice 的计算机的所有步骤。显然要进行一些必要的更改,例如,"Abczz to Bob's PC"必须更改为"Abczz to Alice's PC"。
指派策略
您已经在两个端点上定义了策略。现在,必须指派它们:
在本地安全设置 MMC 中,右键单击策略(在此示例中为 Abczz )。
单击指派。
一次只能指派一个 IPSec 策略,但是一个策略可根据需要拥有多个规则。例如,如果 Alice 还需要通过使用不同的协议保护与 Eve 的通讯,则您必须创建相应的筛选器列表和操作,并向 IPSec (属于 Alice)添加一个规则,以便将特定的筛选器列表和筛选器操作链接起来。单击为此规则使用不同的共享密钥。Alice 的策略现在有两个规则:一个用于与 Bob 进行 Abczz 通讯,另一个用于与 Eve 进行通讯。因为 Bob 和 Eve 无需安全地互相通讯,所以 Bob 的策略中未添加任何规则,Eve 的策略中包含一个用于与 Alice 进行通讯的规则。
疑难解答
使用 IPSecMon 测试策略
Windows 2000 包括一个实用程序 (IPSecMonexe),它可用于测试 IPSec 安全关联是否已成功建立。若要启动 IPSecMon,请:
单击开始,然后单击运行。
键入:ipsecmon,然后按 ENTER 键。
单击选项。
将刷新间隔更改为 1。
必须在不同终结点之间建立通讯。可能会有一个延迟,这是由于终结点需要几秒钟时间来交换加密信息并完成安全关联。可在 IPSecMon 中观察此行为。当这两个终结点都建立了它们的安全关联,可在 IPSecMon 中观察到显示此行为的条目。
如果期望的安全协商没有建立,则返回并检查每个终结点上的筛选器列表。在您方便地将源地址和目标地址或端口反向时,确保已经收到所使用协议的正确定义。您可能要考虑创建一个指定所有通信的新筛选器列表。同样,可向使用此筛选器列表的策略添加一个新规则,然后禁用现有的规则。在两个终结点上执行这些步骤。然后,可使用 ping 命令测试连接性。ping 命令在安全关联阶段可显示"Negotiating IP security"(正在协商 IP 安全),然后显示建立安全关联之后的正常结果。
NAT 与 IPSec 不兼容
如果在两个终结点之间有任何网络地址转换 (NAT),则 IPSec 不起作用。IPSec 将终结点地址作为有效负载的一部分嵌入。在将数据包发送到电缆上之前进行数据包校验和计算时,IPSec 也使用源地址。NAT 可更改出站数据包的源地址,目标在计算自己的校验和时使用头中的地址。如果数据包中携带的用初始来源计算的校验和与用目标计算的校验和不符,则目标可丢弃这些数据包。不能将 IPSec 用于任何类型的 NAT 设备。
参考
有关 Windows 2000 中 IPSec 的白皮书和详细的技术信息,请参阅以下 Microsoft Web 站点:
http://wwwmicrosoftcom/windows2000/technologies/security/defaultasp
3如何更改Terminal Server的端口
该修改需要在服务器端和客户端同时修改,如果不知道该服务器的端口号,客户端将无法连接服务器。
服务器端的修改:
Key: HKLM/SYSTEM/CurrentControlSet/Control/Terminal Server/Wds/rdpwd/Tds/tcp
Name: PortNumber
Type: DWORD
Valus:任意值
Key: HKLME/SYSTEM/CurrentControlSet/Control/Terminal Server/WinStations/RDP-Tcp
Name: PortNumber
Type: DWORD
value:和上面值一致
注:需重启后生效。
然后我们修改客户端,打开Terminal Server Client的客户端管理器,导出连接文件(后缀名为cns),用记事本打开该cns文件,搜索"Server Port",修改该值,与服务器保持一致即可(注意进制的转换)。最后导入该cns文件至Terminal Server的客户端管理器。
4如何禁止Guest访问事件日志?
在默认安装的Windows NT和Windows 2000中,Guest帐号和匿名用户可以查看系统的事件日志,可能导致许多重要信息的泄漏,建议修改注册表来禁止Guest访问事件日志。
应用日志:
Key: HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog/Application
Name: RestrictGuestAccess
Type: DWORD
value: 1
系统日志:
Key: HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog/System
Name: RestrictGuestAccess
Type: DWORD
value: 1
安全日志:
Key: HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog/Security
Name: RestrictGuestAccess
Type: DWORD
value: 1
5如何删除管理共享(C$,D$)?
我们可以用Net Share命令来删除,但是机器重启后这个共享会自动出现,这时,我们可以修改注册表。
对于服务器而言:
Key: HKLM/SYSTEM/CurrentControlSet/Services/lanmanserver/parameters
Name: AutoShareServer
Type: DWORD
value: 0
对于工作站而言:
Key: HKLM/SYSTEM/CurrentControlSet/Services/lanmanserver/parameters
Name: AutoShareWks
Type: DWORD
value: 0
修改注册表后需要重启Server服务或重新启动机器。
注:这些键值在默认情况下在主机上是不存在的,需要自己手动添加。
6如何禁止恶意用户使用FileSystemObject?
常见的有3种方法:
1、修改注册表,将FileSystemObject改成一个任意的名字,只有知道该名字的用户才可以创建该对象,
[HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{0D43FE01-F093-11CF-8940-00A0C9054228}/ProgID]
@="ScriptingFileSystemObject"
2、运行Regsvr32 scrrundll /u,所有用户无法创建FileSystemObject。
3、运行cacls %systemroot%/system32/scrrundll /d guests,匿名用户(包括IUSR_Machinename用户)无法使用FileSystemObject,我们可以对ASP文件或者脚本文件设置NTFS权限,通过验证的非Guests组用户可以使用FileSystemObject。
7如何禁止显示上次登陆的用户名?
我们可以通过修改注册表来实现:
Key: HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Winlogon
Name: DontDisplayLastUserName
Type: REG_DWORD
value: 1
8如何禁止匿名用户连接你的IPC$共享?
我们可以通过修改注册表来实现
Key:HKLM/SYSTEM/CurrentControlSet/Control/Lsa
Name: RestrictAnonymous
Type: REG_DWORD
value: 1 | 2
说明:把该值设为1时,匿名用户无法列举主机用户列表;
把该值设为2时,匿名用户无法连接你的IPS$共享,不建议使用2,否则可能会造成你的一些服务无法启动,如SQL Server
阿江的Windows 2000服务器安全设置教程
前言
其实,在服务器的安全设置方面,我虽然有一些经验,但是还谈不上有研究,所以我写这篇文章的时候心里很不踏实,总害怕说错了会误了别人的事。
本文更侧重于防止ASP漏洞攻击,所以服务器防黑等方面的讲解可能略嫌少了点。
基本的服务器安全设置
安装补丁
安装好操作系统之后,最好能在托管之前就完成补丁的安装,配置好网络后,如果是2000则确定安装上了SP4,如果是2003,则最好安装上SP1,然后点击开始→Windows Update,安装所有的关键更新。
安装杀毒软件
虽然杀毒软件有时候不能解决问题,但是杀毒软件避免了很多问题。我一直在用诺顿2004,据说2005可以杀木马,不过我没试过。还有人用瑞星,瑞星是确定可以杀木马的。更多的人说卡巴司机好,不过我没用过。
不要指望杀毒软件杀掉所有的木马,因为ASP木马的特征是可以通过一定手段来避开杀毒软件的查杀。
设置端口保护和防火墙、删除默认共享
都是服务器防黑的措施,即使你的服务器上没有IIS,这些安全措施都最好做上。这是阿江的盲区,大概知道屏蔽端口用本地安全策略,不过这方面的东西网上攻略很多,大家可以擞出来看看,晚些时候我或者会复制一些到我的网站上。
权限设置
阿江感觉这是防止ASP漏洞攻击的关键所在,优秀的权限设置可以将危害减少在一个IIS站点甚至一个虚拟目录里。我这里讲一下原理和设置思路,聪明的朋友应该看完这个就能解决问题了。
权限设置的原理
WINDOWS用户,在WINNT系统中大多数时候把权限按用户(组)来划分。在开始→程序→管理工具→计算机管理→本地用户和组管理系统用户和用户组。
NTFS权限设置,请记住分区的时候把所有的硬盘都分为NTFS分区,然后我们可以确定每个分区对每个用户开放的权限。文件(夹)上右键→属性→安全在这里管理NTFS文件(夹)权限。
IIS匿名用户,每个IIS站点或者虚拟目录,都可以设置一个匿名访问用户(现在暂且把它叫“IIS匿名用户),当用户访问你的网站的ASP文件的时候,这个ASP文件所具有的权限,就是这个“IIS匿名用户所具有的权限。
权限设置的思路
要为每个独立的要保护的个体(比如一个网站或者一个虚拟目录)创建一个系统用户,让这个站点在系统中具有惟一的可以设置权限的身份。
在IIS的站点属性或者虚拟目录属性→目录安全性→匿名访问和验证控制→编辑→匿名访问→编辑填写刚刚创建的那个用户名。
设置所有的分区禁止这个用户访问,而刚才这个站点的主目录对应的那个文件夹设置允许这个用户访问(要去掉继承父权限,并且要加上超管组和SYSTEM组)。
这样设置了之后,这个站点里的ASP程序就只有当前这个文件夹的权限了,从探针上看,所有的硬盘都是红叉叉。
我的设置方法
我是先创建一个用户组,以后所有的站点的用户都建在这个组里,然后设置这个组在各个分区没病权限。然后再设置各个IIS用户在各在的文件夹里的权限。
因为比较多,所以我很不想写,其实知道了上面的原理,大多数人都应该懂了,除非不知道怎么添加系统用户和组,不知道怎么设置文件夹权限,不知道IIS站点属性在那里。真的有那样的人,你也不要着急,要沉住气慢慢来,具体的方法其实自己也能摸索出来的,我就是这样。当然,如果我有空,我会写我的具体设置方法,很傲能还会配上。
改名或卸载不安全组件
不安全组件不惊人
我的在阿江探针19里加入了不安全组件检测功能(其实这是参考7i24的代码写的,只是把界面改的友好了一点,检测方法和他是基本一样的),这个功能让很多站长吃惊不小,因为他发现他的服务器支持很多不安全组件。
其实,只要做好了上面的权限设置,那么FSO、XML、strem都不再是不安全组件了,因为他们都没有跨出自己的文件夹或者站点的权限。那个欢乐时光更不用怕,有杀毒软件在还怕什么时光啊。
最危险的组件是WSH和Shell,因为它可以运行你硬盘里的EXE等程序,比如它可以运行提升程序来提升SERV-U权限甚至用SERVU来运行更高权限的系统程序。
卸载最不安全的组件
最简单的办法是直接卸载后删除相应的程序文件。将下面的代码保存为一个BAT文件,
regsvr32/u C:WINNTSystem32wshomocx
del C:WINNTSystem32wshomocx
regsvr32/u C:WINNTsystem32shell32dll
del C:WINNTsystem32shell32dll
然后运行一下,WScriptShell, Shellapplication, WScriptNetwork就会被卸载了。可能会提示无法删除文件,不用管它,重启一下服务器,你会发现这三个都提示“×安全了。
改名不安全组件
需要注意的是组件的名称和Clsid都要改,并且要改彻底了。下面以Shellapplication为例来介绍方法。
打开注册表编辑器开始→运行→regedit回车,然后编辑→查找→填写Shellapplication→查找下一个,用这个方法能找到两个注册表项:“{13709620-C279-11CE-A49E-444553540000}和“Shellapplication。为了确保万无一失,把这两个注册表项导出来,保存为 reg 文件。
比如我们想做这样的更改
13709620-C279-11CE-A49E-444553540000 改名为 13709620-C279-11CE-A49E-444553540001
Shellapplication 改名为 Shellapplication_ajiang
那么,就把刚才导出的reg文件里的内容按上面的对应关系替换掉,然后把修改好的reg文件导入到注册表中(双击即可),导入了改名后的注册表项之后,别忘记了删除原有的`那两个项目。这里需要注意一点,Clsid中只能是十个数字和ABCDEF六个字母。
下面是我修改后的代码(两个文件我合到一起了):
Windows Registry Editor Version 500
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}]
@="Shell Automation Service"
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}InProcServer32]
@="C:WINNTsystem32shell32dll"
"ThreadingModel"="Apartment"
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}ProgID]
@="ShellApplication_ajiang1"
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}TypeLib]
@="{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}"
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}Version]
@="11"
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}VersionIndependentProgID]
@="ShellApplication_ajiang"
[HKEY_CLASSES_ROOTShellApplication_ajiang]
@="Shell Automation Service"
[HKEY_CLASSES_ROOTShellApplication_ajiangCLSID]
@="{13709620-C279-11CE-A49E-444553540001}"
[HKEY_CLASSES_ROOTShellApplication_ajiangCurVer]
@="ShellApplication_ajiang1"
你可以把这个保存为一个reg文件运行试一下,但是可别就此了事,因为万一黑客也看了我的这篇文章,他会试验我改出来的这个名字的。
防止列出用户组和系统进程
我在阿江ASP探针19中结合7i24的方法利用getobject("WINNT")获得了系统用户和系统进程的列表,这个列表可能会被黑客利用,我们应当隐藏起来,方法是:
开始→程序→管理工具→服务,找到Workstation,停止它,禁用它。
防止Serv-U权限提升
其实,注销了Shell组件之后,侵入者运行提升工具的可能性就很小了,但是prel等别的脚本语言也有shell能力,为防万一,还是设置一下为好。
用Ultraedit打开ServUDaemonexe查找Ascii:LocalAdministrator,和#l@$ak#lk;0@P,修改成等长度的其它字符就可以了,ServUAdminexe也一样处理。
另外注意设置Serv-U所在的文件夹的权限,不要让IIS匿名用户有读取的权限,否则人家下走你修改过的文件,照样可以分析出你的管理员名和密码。
利用ASP漏洞攻击的常见方法及防范
一般情况下,黑客总是瞄准论坛等程序,因为这些程序都有上传功能,他们很容易的就可以上传ASP木马,即使设置了权限,木马也可以控制当前站点的所有文件了。另外,有了木马就然后用木马上传提升工具来获得更高的权限,我们关闭shell组件的目的很大程度上就是为了防止攻击者运行提升工具。
如果论坛管理员关闭了上传功能,则黑客会想办法获得超管密码,比如,如果你用动网论坛并且数据库忘记了改名,人家就可以直接下载你的数据库了,然后距离找到论坛管理员密码就不远了。
作为管理员,我们首先要检查我们的ASP程序,做好必要的设置,防止网站被黑客进入。另外就是防止攻击者使用一个被黑的网站来控制整个服务器,因为如果你的服务器上还为朋友开了站点,你可能无法确定你的朋友会把他上传的论坛做好安全设置。这就用到了前面所说的那一大堆东西,做了那些权限设置和防提升之后,黑客就算是进入了一个站点,也无法破坏这个网站以外的东西。
0条评论