2004年07月31日

1、将SQL Server升级到最新版本,截止到04-07-31的最新版本是sp3a,在微软官方有提供下载。

2、SA密码尽量复杂,绝对不可为空。

3、若不需要别的服务器远程连接本地SQL Server数据库,将tcp 1433和UDP 1434端口封上。

4、关闭连接帐号以及public的创建表、创建sp、备份DB权限,避免被人利用使用备份功能生成webshell。需要系统生成表的时候,再临时打开创建表的权限。

5、删除不用的示范数据库:pubs/northwind

6、删除危险的内置存储过程和ActiveX自动脚本

列表如下:

先来列出危险的内置存储过程以及对应dll文件(在master数据库的扩展存储过程中):

xp_cmdshell:xplog70.dll
xp_regaddmultistring:xpstar.dll
xp_regdeletekey:xpstar.dll
xp_regdeletevalue:xpstar.dll
xp_regenumkeys:xpstar.dll
xp_regenumvalues:xpstar.dll
xp_regread:xpstar.dll(用来读取注册表信息的,我们通过这个存储过程来得到保存在注册表中Web绝对路径。)
xp_regremovemultistring:xpstar.dll
xp_regwrite:xpstar.dll
xp_regremovemultistring:xpstar.dll

ActiveX自动脚本:

sp_OACreate:odsole70.dll
sp_OADestroy:odsole70.dll
sp_OAMethod:odsole70.dll
sp_OAGetProperty:odsole70.dll
sp_OASetProperty:odsole70.dll
sp_OAGetErrorInfo:odsole70.dll
sp_OAStop:odsole70.dll

内置存储过程(在master数据库的存储过程中):
sp_makewebtask: ….dll:(用来导出数据库中表的记录为文件,文件名你可以自己指定,比如指定为asp木马。)

以上各项全在我们封杀之列。

对于扩展存储过程例如xp_cmdshell屏蔽的方法为:sp_dropextendedproc ‘xp_cmdshell’,如果需要的话,再用sp_addextendedproc ‘xp_cmdshell’, ‘xpsql70.dll’进行恢复。如果你不知道xp_cmdshell使用的是哪个.dll文件的话,可以使用sp_helpextendedproc xp_cmdshell来查看xp_cmdshell使用的是哪个动态联接库(或在企业管理器中右键点存储过程,然后看属性)。

对于内置存储过程,如sp_makewebtask,屏蔽的方法是:Drop Procedure sp_makewebtask,恢复的方法是新建存储过程,将其原来的代码复制过去。

最后,将危险的存储过程屏蔽后,我们还需要做的步骤是将对应的dll文件进行改名或者删除,以防止获得SA的攻击者将它进行恢复。
如上的三个dll中:xplog70.dll和odsole70.dll可以被删除,而xpstar.dll还有相关未知存储过程关联,还不能删除#14

附件,快速消除危险存储过程的代码(在企业管理器的SQL查询分析器中对master表使用)
sp_dropextendedproc ‘xp_cmdshell’
Go
sp_dropextendedproc ‘xp_regaddmultistring’
Go
sp_dropextendedproc ‘xp_regdeletekey’
Go
sp_dropextendedproc ‘xp_regdeletevalue’
Go
sp_dropextendedproc ‘xp_regenumkeys’
Go
sp_dropextendedproc ‘xp_regenumvalues’
Go
sp_dropextendedproc ‘xp_regread’
Go
sp_dropextendedproc ‘xp_regremovemultistring’
Go
sp_dropextendedproc ‘xp_regwrite’
Go
sp_dropextendedproc ’sp_OACreate’
Go
sp_dropextendedproc ’sp_OADestroy’
Go
sp_dropextendedproc ’sp_OAMethod’
Go
sp_dropextendedproc ’sp_OAGetProperty’
Go
sp_dropextendedproc ’sp_OASetProperty’
Go
sp_dropextendedproc ’sp_OAGetErrorInfo’
Go
sp_dropextendedproc ’sp_OAStop’
Go
Drop Procedure sp_makewebtask

恢复的方法例子:sp_addextendedproc ‘xp_cmdshell’, ‘xpsql70.dll’

2004年07月28日

1、一个背景、一个引子

2、参与基本资格设置

3、时间段设置

4、奖励设置:基本性奖励、抽奖式奖励。集体性奖励。

5、活动流程:玩家自发选择、

6、测试和推广

7

 

《梦幻西游》暑期精彩活动——影子之战

2004-07-23 15:28:27
  《梦幻西游》开发组为广大玩家准备了丰富精彩的暑期活动啦!从7月27日到9月3日,每天下午3:00—5:00期间,凡是等级大于等于30级的玩家,均可参与新颖多变的影子之战。除了体验新奇有趣的玩法,大家更会深刻感受一场人性之战、心灵之战的强烈魅力!在此活动中,玩家的每步行动都会影响到活动的最终结果。每天,你都会经历不同的精彩!

影子之战

故事背景:

  照妖镜——天庭神器,分辨世间善恶之物,既能辨形,亦能辨心。
  大唐盛世,人间天上,五谷丰登,物质富足。然吃喝享乐之风日盛,弥漫凡间上下,心魔日渐滋生。一日,托塔李天王与王母娘娘闲谈至此,王母娘娘心中不悦,拂袖将李靖手中的照妖镜掀翻。那照妖镜坠入凡间后,变幻成无数镜子碎片。李靖大惊,惶恐退下后,急令天兵下凡搜寻镜之碎片。玩家的任务也由此展开。

活动时间:7月27日——9月3日,周一至周五每天下午3:00—5:00

特别说明:7月26日“影子之战”将率先在以下四组服务器试行开放:
  北京区--紫禁城   华南区--逍遥城
  东北区--长白山   湖北区--黄鹤楼

活动流程:
  话说宝镜碎片散落在大唐周边的地域中,吸取山野灵气幻化成妖,但她们都是善良的镜妖,有不少都帮助过当地百姓。玩家需要收服这些镜妖,以使破碎的宝镜还原。在收服镜妖的时候,玩家将面临以下两种选择:
  一种是通过不伤害善良镜妖的方式收服她们。如此,玩家可以得到善良的镜片,并且会得到善恶点的奖励(善恶点可是以后做任务链的关键指标啊!)
  另一种是通过蛮横的、与镜妖战斗的方式收服她们。这般,玩家可以获取眼前的经验和金钱奖励,但得到的只能是邪恶的镜片。

  正所谓善恶一念间。玩家究竟是要为了眼前的奖励而杀害善良的镜妖,还是会不计报酬地帮助她们?这可就全凭玩家自己的判断了。


善良的镜妖 镜妖之战

  玩家在通过两种不同的方式收服镜妖后,可将得到的镜之碎片交还给长安的镜片使者。交还任何一种镜之碎片,玩家都将得到相同的奖励。


得到影子碎片

  到下午4:00的时候,如果服务器内累计收集的镜片达到200枚,宝镜将会恢复一定的灵气,并折射出无数的影子,爆发最终的“影子之战”。

  还记得自己得到的镜片吗?对了,你当初的选择会影响到最终的影子之战。如果你上交的是邪恶的镜片,那么,将会有一个邪恶的影子在地图的某处等着你;如果你上交的是善良的镜片,那么,会有一个跟你外形一样,并且同名的善良的影子在地图的某处。玩家需要在指定的地图上找到并收服这些影子。在规定的时间内,玩家们必须同心协力才能达到任务的要求,使全服务器都得到更多的双倍练级时间!


影子现身 影子之战


妙趣横生的影子之战

活动奖励:
  收服镜妖:以善良途径收服镜妖可以获得善恶点奖励,并得到“善良的镜之碎片”;以邪恶途径收服镜妖可以获得经验奖励,并得到“邪恶的镜之碎片”。
  上交镜片:无论得到哪种镜片,都可以上交给长安天台下(371,208)的镜片使者,换取一定的经验和金钱奖励,运气好的玩家还可能得到意外物品奖励。
  影子之战:收服善良的影子可获得一定经验和金钱奖励;打败邪恶的影子可以得到善恶点奖励,并有一定几率得到物品奖励。
  双倍时间:每天下午5:00活动结束时,如果玩家们收服的影子达到一定数量,服务器内所有玩家都将获得额外的双倍时间,所有玩家收服影子达到200,服务器将额外增加1小时的双倍时间,收服影子达到280将增加2小时双倍时间。

神兽泡泡大抽奖:
  活动期间每上交一枚镜之碎片,或收服一个影子,玩家都将获得1点活动积分,每周累计积分达到20的玩家,将自动获得一次抽奖资格,有机会赢取梦幻神兽“超级泡泡”,抽奖每周为一期,活动积分超出或不足部分不会积累到下周。
  活动期间共将发放120只神兽,每周抽取20只,奖励在中奖公布后的下周二开放领取,获奖玩家可以找长安天台下的超级泡泡使者领取,每一期的奖励领取时限为三个月。

2004年07月27日

这里抛开物理安全层面不讲,主要列举软件设置和一些必须的安全管理行为。

一、备份政策

    备份政策的目的相当明确,是网站数据丢失后的最后一道防线。
    两种备份方式:本地硬盘和镜像备份。一般条件下采用前者。
    备份方式和手段:
    (1)数据库
    access类的采用taskzip定期备份数据库。
    MS SQL SERVER类采用其自带的备份工具,采用完全(每周一次)和差异备份(每天一次)结合。

    (2)网站重要文件和资源
    如录像文件,文章系统,论坛系统等。
    采用taskzip定期备份。

  (3)网站配置类
   IIS的配置可以使用IIS自带的配置和还原功能,保留好备份的MDO文件,详细见本blog中的一篇文章:http://www.donews.net/upsky/archive/2004/11/12/167396.aspx
   Server-U的配置信息保存在servUAdmin.in 和 servUDaemon.ini两个文件中,备份这两个文件即可。 

二、安装防病毒程序Norton Antivirus

    病毒防火墙的意义在于查杀黑客可能上传的木马病毒(加密后的无法查出),一般调用WSH和FSO的asp木马程序,均会被Norton查出, 同时保证用户上传文件的清洁。
    作为web服务器,安装ZoneAlarm类的软件是不现实的。
    
三、定期进行windowsupdate操作,将系统打上最新的安全补丁。

    至少每周,或者按照windowsupdate默认的更新设置运行windowsupdte。
    这是至关重要的,黑客攻击基本上是找服务器的漏洞。打上最新的安全补丁,可以使系统避免相当大比例的常见攻击。
    
四、打上web应用程序的最新补丁,如下载系统、论坛系统等,相当多的攻击是这些web程序本身的上传漏洞以及被进行SQL Injection所造成的。

五、IIS设置部分

1.将IIS安装到系统盘以外的其他分区

  可缓解目录遍历带来的风险,防止攻击者浏览 Web 服务器的目录结构。
  设置方法:xcopy c:\inetpub\wwwroot\ :\wwwroot\ /s /i /o
  然后在IIS中设置网站的主目录到新目录。

2.删除IIS默认生成的目录

包括ISS Samples,MSADC,IISHelp,Scripts,IISAdmin,Printers。

3.在IIS管理器中删除或停止默认IISAdmin Web站点

4.禁用不需要的脚本映射

若不需要下列文件扩展名,通过将下列文件扩展名映射到 404.dll或者删除进行禁用:
    索引服务 (.idq、.htw、.ida)
    服务器端包括 (.shtml、.shtm、.stm)
    Internet 数据连接器 (.idc)
    HTR 脚本 (.htr)、Internet 打印 (.printer)
    .idq、.ida: 缓冲区溢出向攻击者提供了完全控制服务器的可能性。
    .htw:用户可能无意间通过浏览器或支持 HTML 的电子邮件客户端打开恶意链接。
    .shtml、.shtm、.stm:ssiinc.dll 安全问题可向浏览器返回任何 Web 服务器中的攻击者指定内容。
    .Idc:跨站点脚本安全问题可在错误页中提供完整的 URL,使攻击者能在服务器中随意运行脚本代码。
    .htr:显示 ASP 文件的源代码。
    .printer: 向攻击者提供目标 IIS 系统的远程控制台。

5.在网站设置时,将应用程序保护设置至少为中,切不可设置为低。若设置为低,则其进程将会以系统的权限运行。


六、权限设置

重点:(1)结合NTFS的用户权限控制系统对web目录下所有的目录进行严格的权限控制。
(2)使用IIS管理器严格限制相应目录的"执行许可",一般对IUSR_ComputerName有写权限的目录不能有执行许可。


1.通过NTFS调整web目录的权限,

删除默认的Everyone组对对Web 内容目录的所有权限。
增加IUSR_ComputerName对web目录的权限,一般只是读的权限,且只对需要写权限的目录赋予写的权限。
增加system组对web目录具有完全权限,目的让server-u所支持的ftp服务(该服务注册为系统级)可以进行完全的读写,覆盖和删除。

对web目录,只给少数必须的目录设置写的权限。(数据库文件,自动生成页面的目录)  

2.通过IIS,禁止文件上传相关目录如uploadfile,uploadface等目录属性中的“执行许可”设置为“无”。

3、设置server-u的目录只有Administrator和System有读取和运行的权限。设置C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere目录只有Administrator和System有读取和运行的权限。为了避免有人获取webshell后获得这两个程序的帐号配置。

4、另外,对C盘系统盘的权限设置相当重要,能避免旁注以及降低其他攻击的可能性,方法如下:
首先去掉C盘的everyone的完全控制权限,其次将C盘的system和Administrators的权限设置为完全控制。

以下为各子目录的细化设置:
(1)、Documents and Settings目录只设置Administrators以及System的全部权限。
(2)、Documents and Settings目录下的All Users目录只有Administrators以及System的全部权限
(3)、Programe files目录也只设置Administrators以及System的全部权限。
(4)、删除windows安装目录上Creator Owner以及Power Users的所有权限,删除everyone的权限,增加Users组的读取以及运行权限(如果不增加这个Users的权限,access数据库的连接会出错)。
(5)、设置C:\Program Files\Common Files权限,加入everyone,权限为读取,列出文件夹目录,读取及运行,这个目录有数据库建立连接需要的内容,否则会出错。
(6)、把目录c:\winnt\system32给everyone赋予读取,列出文件夹目录,读取及运行即可。其实,这样做是不安全的,但是别慌,我们还没有完。在这个目录下面,我们还需要对几个特别程序进行单独的设置。首先就是cacls.exe,嘿嘿,先把这个设置了在说别的。这东东是设置权限用的,让它不继承父目录权限,并且让它拒绝任何人访问,因为我们一般不使用这个鸟东西。其他的要设置的程序列表如下:net.exe,cmd.exe,ftp.exe,tftp.exe,telnet.exe,这几个程序设置成只允许改名后的administrator访问。

七、限制访问端口,停用不需要的服务和协议

4、另外,对C盘系统盘的权限设置相当重要,能避免旁注以及降低其他攻击的可能性,方法如下:
首先去掉C盘的everyone的完全控制权限,其次将C盘的system和Administrators的权限设置为完全控制。

以下为各子目录的细化设置:
(1)、Documents and Settings目录只设置Administrators以及System的全部权限。
(2)、Documents and Settings目录下的All Users目录只有Administrators以及System的全部权限
(3)、Programe files目录也只设置Administrators以及System的全部权限。
(4)、删除windows安装目录上Creator Owner以及Power Users的所有权限,删除everyone的权限,增加Users组的读取以及运行权限(如果不增加这个Users的权限,access数据库的连接会出错)。
(5)、设置C:\Program Files\Common Files权限,加入everyone,权限为读取,列出文件夹目录,读取及运行,这个目录有数据库建立连接需要的内容,否则会出错。
(6)、把目录c:\winnt\system32给everyone赋予读取,列出文件夹目录,读取及运行即可。其实,这样做是不安全的,但是别慌,我们还没有完。在这个目录下面,我们还需要对几个特别程序进行单独的设置。首先就是cacls.exe,嘿嘿,先把这个设置了在说别的。这东东是设置权限用的,让它不继承父目录权限,并且让它拒绝任何人访问,因为我们一般不使用这个鸟东西。其他的要设置的程序列表如下:net.exe,cmd.exe,ftp.exe,tftp.exe,telnet.exe,这几个程序设置成只允许改名后的administrator访问。

七、限制访问端口,停用不需要的服务和协议

原则:只开放需要的端口,只使用需要的服务和协议,使服务器受到的攻击面尽可能的小。

1.仅开放常用端口

在本地连接属性的高级->选项->tcp/ip筛选中,只开放需要的端口,下面是常用服务所需要的一些端口:
ftp: tcp21
MS SQL Server:tcp1433 UDP1434
PC Anywhere: tcp5631 UDP5632
web访问:tcp80

其他的端口(包括所有的IP类端口)基本都可以关了。
可以使用active ports软件来查看目前网络开放的端口,以及关闭不需要的端口。
不过注意的是active ports列表中会列出除了上面几个端口以外的其他端口,基本上是系统自身运行所需要的,关闭后可能会影响系统正常运行。

2.若不需进行远程管理,停用基于Internet连接的SMB协议,停用TCP/IP服务中的NetBIOS协议

    主机枚举 (host enumeration) 攻击可通过扫描网络来确定潜在目标的 IP 地址。为了降低主机枚举成功攻击您 Web 服务器中面向 Internet 的端口的可能性,请停用除传输控制协议 (TCP) 以外的其他所有网络协议。Web 服务器的网络适配器不需要服务器信息块 (SMB) 和 NetBIOS。 注意:一旦停用 SMB和 NetBIOS,服务器将无法实现文件服务器或打印服务器的功能,您不能浏览任何网络,也无法远程控制Web 服务器。如果服务器是要求管理员在本地登录的专用 Web 服务器,这些限制不影响服务器的运行。

SMB 使用下列端口: TCP 端口 139 ,TCP 和 UDP 端口 445(SMB Direct Host),NetBIOS 使用下列端口: TCP 和UDP端口 137(NetBIOS 名称服务),TCP 和 UDP 端口 138(NetBIOS 数据报服务),TCP 和UDP 端口 139(NetBIOS 会话服务)。仅停用 NetBIOS 无法完全阻止 SMB 通信,因为如果没有标准的NetBIOS 端口,SMB 便使用 TCP 端口 445,即众所周知的 SMB Direct Host。因此必须分别停用NetBIOS 和 SMB。

设置步骤:(1)停用SMB:以 Web 服务器 Administrators 组成员的身份登录,在本地连接属性中清除“Microsoft 网络客户端”复选框。
(2)停用NetBIOS 协议 :“系统工具”->右键单击“设备管理器”,单击“查看”,然后单击“显示隐藏的设备”,展开“非即插即用驱动程序”,右键单击“NetBios over Tcpip”,选择“停用”。

本步骤将停用 TCP 端口 445 和 UDP 端口 445 中 SMB 直接主机侦听程序。此外,它也将停用 Nbt.sys驱动程序,并要求重新启动系统。 一旦重新启动系统,可能看到服务控制管理程序中的错误信息。这些信息都是停用 NetBIOS 后的预期结果。


八,其他安全设置

1.禁用空会话,防止匿名登录

    空会话是未经身份验证或匿名的用户在两台计算机间建立的会话。如果不禁用空会话,攻击者可以不通过身份验证匿名连接到您的服务器。建立空会话的攻击者将实施各种攻击手段(包括使用枚举技术)来收集目标计算机中与系统相关的信息,这些信息大大帮助了攻击者实施后续攻击。空会话返回的信息包括:域和信任的详细信息、共享、用户信息(包括组和用户权限)、注册表项。
    设置过程:“管理工具”>“本地安全策略”,在安全设置下方,双击“本地策略”,然后单击“安全选项”。 双击“对匿名连接的额外限制”,然后在“本地策略设置”中选择“没有显式匿名权限就无法访问”。 重新启动 Web 服务器,使更改生效。

2.关闭默认共享
    
    win2000安装好以后,系统会创建一些隐藏的共享,你可以在cmd下打 net share 查看他们,主要有:
C$ D$ E$ 每个分区的根目录。Win2000 Pro版中,只有Administrator 和Backup Operators组成员才可连接,Win2000 Server版本 Server Operatros组也可以连接到这些共享目录
ADMIN$ %SYSTEMROOT% 远程管理用的共享目录。它的路径永远都指向Win2000的安装路径,比如 c:\winnt
FAX$ 在Win2000 Server中,FAX$在fax客户端发传真的时候会到。
IPC$ 空连接。IPC$共享提供了登录到系统的能力。
NetLogon 这个共享在Windows 2000 服务器的Net Login 服务在处理登陆域请求时用到 PRINT$

%SYSTEMROOT%\SYSTEM32\SPOOL\DRIVERS 用户远程管理打印机

这些默认共享会被人利用进行IPC入侵。要禁止这些共享 ,打开管理工具>计算机管理>共享文件夹>共享 在相的共享文件夹上按右键,点停止共享即可,不过机器重新启动后,这些共享又会重新开启的。

彻底的解决办法是修改注册表:
打开注册表编辑器HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
在右边建立一个名为AutoShareServer的DWORD键。值为0

3.尽量不安装与Web站点服务无关的软件;
  
原因:其他应用软件有可能存在黑客熟知的安全漏洞。


九、帐号策略:

1.帐号尽可能少,且尽可能少用来登录;

  说明:网站帐号一般只用来做系统维护,多余的帐号一个也不要,因为多一个帐号就会多一份被攻破的危险。

2.除过Administrator外,有必要再增加一个属于管理员组的帐号;

  说明:两个管理员组的帐号,一方面防止管理员一旦忘记一个帐号的口令还有一个备用帐号;另方面,一旦黑客攻破一个帐号并更改口令,我们还有机会重新在短期内取得控制权。

3.所有帐号权限需严格控制,轻易不要给帐号以特殊权限;

4.将Administrator重命名,改为一个不易猜的名字。其他一般帐号也应尊循着一原则。

  说明:这样可以为黑客攻击增加一层障碍。

5.将Guest帐号禁用,同时重命名为一个复杂的名字,增加口令,并将它从Guest组删掉;

  说明:有的黑客工具正是利用了guest 的弱点,可以将帐号从一般用户提升到管理员组。

6.给所有用户帐号一个复杂的口令(系统帐号出外),长度最少在8位以上, 且必须同时包含字母、数字、特殊字符。同时不要使用大家熟悉的单词(如microsoft)、熟悉的键盘顺序(如qwert)、熟悉的数字(如2000)等。

7.口令必须定期更改(建议至少两周该一次),且最好记在心里,除此以外不要在任何地方做记录;另外,如果在日志审核中发现某个帐号被连续尝试,则必须立刻更改此帐号(包括用户名和口令);

8.在帐号属性中设立锁定次数,比如改帐号失败登录次数超过5次即锁定改帐号。这样可以防止某些大规模的登录尝试,同时也使管理员对该帐号提高警惕。

9.不让系统显示上次登陆的用户名
    默认情况下,终端服务接入服务器时,登陆对话框中会显示上次登陆的帐户明,本地的登陆对话框也是一样。这使得别人可以很容易的得到系统的一些用户名,进而作密码猜测。修改注册表可以不让对话框里显示上次登陆的用户名,具体是:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\DontDisplayLastUserName
把 REG_SZ 的键值改成 1 .

十、日志管理和分析

日志是记录入侵者行为的一个非常关键的检测证据,一些入侵者进行入侵后,往往设法在退出前清除事件日志。因此必须保护好日志。

安全日志、系统日志和应用程序日志存放在%systemroot%\system32\config下,文件名为:

SecEvent.EVT,SysEvent.EVT和AppEvent.EVT。IIS日志可以通过IIS中日志记录的属性框中得到路径并修改,FTP的日志记录为MSFTPSVC1(此为IIS自带FTP服务的日志记录,Server-U的日志存放有所不同)

对于日志的安全保护:
(1)转移IIS日志放置的默认目录。
(2)安全记录在默认情况下是没有保护的,把他设置成只有Administrator和系统帐户才有权访问。

对日志分析的有利工具:

(1)安全日志、系统日志和应用程序日志的分析工具
(2)IIS日志:利用WebLog Expert进行IIS访问日志分析

十一、入侵检测和事后检查

1.最基本的入侵检测:打开审核策略
开启安全审核是win2000最基本的入侵检测方法。当有人尝试对你的系统进行某些方式(如尝试用户密码,改变帐户策略,未经许可的文件访问等等)入侵的时候,都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道,直到系统遭到破坏。下面的这些审核是必须开启的,其他的可以根据需要增加:
策略 设置
审核系统登陆事件 成功,失败
审核帐户管理 成功,失败
审核登陆事件 成功,失败
审核对象访问 成功
审核策略更改 成功,失败
审核特权使用 成功,失败
审核系统事件 成功,失败


2.安全检查重点对象:
可疑服务
可疑帐户
可疑进程
可疑端口
日志文件
Documents and Settings目录
系统根目录可疑文件
web文件夹下可疑文件

其他:

1 .修改net命令,增加破解难度。

最后最重要的安全设置:
进行防御DDOS的注册表设置,这对防御小规模DDOS骚扰非常有必要,否则一个个人PC发出1M的流量就可以让你的服务器挂掉。

       网站安全,犹如一国国防。一个朋友在新浪做程序员告诉我,他们哪怕写一个简单的投票程序,在投入使用前的最后一道工序就是要经过新浪的程序安全检查员的详细审核。叶子猪至今,也算是经历了大大小小网站安全方面的问题,今天晚上睡觉前,突然想对叶子猪至今以来的安全问题做一个回顾,于是有以下简单的文字。
         网站的潜在安全威胁主要是以下方面:
(1)服务器软件配置不安全,导致服务器被人控制。
    比如NTFS权限设置不妥、服务器安全补丁没打、服务器软件和设置的潜在漏洞没有被堵上等等,以至于网站被人取得控制权,被人做了肉鸡。
(2)网站被DDoS攻击
    大规模的被DDoS暴力攻击,导致网络堵塞,网站瘫痪。
(3)网站应用程序的漏洞
    比如论坛系统、文章系统、图片系统等,被人利用SQL Injection破解管理员密码,取得这些系统的控制权,或者被上传ASP木马。


         目前看来,叶子猪在第一个方面做的相当不错,在第一个方面被攻破的可能性大大降低。
         第二个DDoS攻击方面,对付他没有好的方法,只有使用价格昂贵的防DDos软件和硬件,并增加带宽。但如果带宽不够,仍然无力对付。可能的话,只有去寻求冗长而没有效果的政府和法律帮助。
        第三个方面:应该是目前比较重要的一个安全问题。主要问题在于程序开发者的安全意识和编程功底。解决方法一方面是是购买稳定的经过考验的程序,另外一个方面在自主开发程序的时候,时刻提防SQL Injection攻击的可能性,对程序需求稿中对安全单独列出作为要求。
         

            在叶子猪一年来的发展过程中,引起对网站安全重视的契机有2个,一个是最初动网上传文件的漏洞,在当时并不知道原因到底是什么的情况下,花了一个多星期详细研究网站以及操作系统的安全设置和NTFS权限设置问题,虽然最后发现是动网的程序漏洞的问题,却使得我们对网站安全的了解迈出了重要的一步,对网站系统安全有了非常重要的措施,堵上了各种形形色色可能的漏洞,并列出了叶子猪网站安全设置基准清单。
         另外一个契机尤其是近来一段时间网友“一块木头”对网站实施DDoS攻击以来。让我们不得不去详细了解关于DDoS攻击的来源和防范问题,使得我们对这种攻击有了非常全面的知识上和心理上的准备,我想,如果下次再接受到这样的攻击,我们至少不会象上次那样绝望。

         不管大家对一块木头的评价如何,接下来一块木头接着对网站的安全漏洞进行比较长时间的研究和扫描,确实非常有助于我们对叶子猪网站安全水平进行评估。他发现了图片中心的注入漏洞,从而使得我们又不得不了解这方面的知识,也从而在这些方面提高了安全性。
    

         失败是成功之母,只要有正确的态度和精神来引领自己。