‹‹ 上一主题 | 下一主题 ››
发新话题
打印

[原创]服务器安全优化(Video)

lzis

晶莹剔透§烈日灼然

Rank: 1

帖子
80 
精华
0 
积分
40 
阅读权限
40 
性别
男 
来自
Tw 
在线时间
62 小时 
注册时间
2007-7-5 
最后登录
2008-4-26 
楼主 发表于 2007-7-14 22:00  只看该作者

[原创]服务器安全优化(Video)

文章作者:lzis
信息来源:邪恶八进制信息安全团队(www.eviloctal.com

http://www.lzis.com/blog/attachments/server-safe.rar

用迅雷下。
比较详细,望高手指正那里有错误,还有什么不完整的!望补充!
QQ:61803200
再三说到,本人是个小菜,如假包换的小菜.如遇睾丸三蛋以上的男人恶意评论纯属恶意炒作,。 没素质-只因我是流氓 没技术-只因我没文化

TOP

pivot

晶莹剔透§烈日灼然

Rank: 1

帖子
68 
精华
0 
积分
228 
阅读权限
40 
来自
%D6%D0%B9%FA 
在线时间
172 小时 
注册时间
2006-5-17 
最后登录
2008-9-5 
沙发 发表于 2007-7-15 00:03  只看该作者
拜阅了一下,提出几点疑问:
一,特殊字符的数据库真的不能被下载么?是否可以转码后下载?(可以用MIME限制吧?)
二,关于你BOKE的设置只能说不太能运用到虚拟主机中,只能是专门网站的服务器下设置,不然不搞死服务器管理员才怪
三,FTP和3389改了端口也未必找不到吧,终究他们是对外网开放的。(如何能设置一下IPSEC,允许某一网段可以访问该端口这样最好)
四,其实我看里面很多权限设置互相重复了,没多少必要
五,总体说来设置一半甚至不到这样的权限已经让我们中国的那些所谓黑客望而却步了。
六,感谢LZ的资料,说得比较全面,不过有些细节最好也把它做进去,比如如何删除或者删除哪些不必要的组件,servu的基本安全设置等等。
七,没了,已上仅是个人意见,欢迎指正
H.U.C For Ever

TOP

lzis

晶莹剔透§烈日灼然

Rank: 1

帖子
80 
精华
0 
积分
40 
阅读权限
40 
性别
男 
来自
Tw 
在线时间
62 小时 
注册时间
2007-7-5 
最后登录
2008-4-26 
椅子 发表于 2007-7-15 12:23  只看该作者
引用:
引用第1楼pivot于2007-07-15 00:03发表的 :
拜阅了一下,提出几点疑问:
一,特殊字符的数据库真的不能被下载么?是否可以转码后下载?(可以用MIME限制吧?)
二,关于你BOKE的设置只能说不太能运用到虚拟主机中,只能是专门网站的服务器下设置,不然不搞死服务器管理员才怪
三,FTP和3389改了端口也未必找不到吧,终究他们是对外网开放的。(如何能设置一下IPSEC,允许某一网段可以访问该端口这样最好)
四,其实我看里面很多权限设置互相重复了,没多少必要
.......
1,本身数据库就具有防下载,而且特殊字符多,要下载也不是简单的事!而且是32MD5加密~我的密码也有点变态,虽然要穷举破解~也要用上N个月的时间,而且网站后台需要服务器密码的验证!即使有帐号密码也是没用的。
2,对,我是针对自己的服务器,虽然服务器权限制变态会影响虚拟主机运营,但~不会影响服务器安全即可!
3,最起码改变了端口,扫描软件扫不到,也同时可以防止同网段的嗅探!至于IPSEC或者个人见解可能是多此一举吧~!
4,重复,是有点重复,或者这就是所谓的严密,变态。

最后,感谢这位朋友的宝贵意见!
再三说到,本人是个小菜,如假包换的小菜.如遇睾丸三蛋以上的男人恶意评论纯属恶意炒作,。 没素质-只因我是流氓 没技术-只因我没文化

TOP

eemi

晶莹剔透§烈日灼然

Rank: 1

帖子
33 
精华
0 
积分
56 
阅读权限
40 
在线时间
136 小时 
注册时间
2005-7-4 
最后登录
2008-8-30 
板凳 发表于 2007-7-15 13:21  只看该作者
没有提到关闭端口

135 没关

TOP

追寻

荣誉会员

Rank: 6Rank: 6Rank: 6

帖子
579 
精华
2 
积分
4501 
阅读权限
100 
性别
男 
在线时间
544 小时 
注册时间
2006-9-23 
最后登录
2008-9-7 
地板 发表于 2007-7-15 13:26  只看该作者
已经做了相对多的设置,135端口的可利用性也不怎么了吧?

有几台服务器的ADMINISTRATOR的密码是空?

TOP

trace

晶莹剔透§烈日灼然

Rank: 1

帖子
111 
精华
0 
积分
304 
阅读权限
40 
性别
男 
在线时间
138 小时 
注册时间
2006-4-3 
最后登录
2008-8-31 
6楼 发表于 2007-7-15 16:27  只看该作者
1.数据库防下载有个简单的方法,在IIS里右键该文件名-属性-去掉读取权限就OK了。这样在IE里打开是403,但是不影响网站运行。

2.修改3389登录端口在NMAP等扫描器下毫无意义。

3.BAT绑定也不是没办法的。
4.用ADMINISTRATOR去管理后台文件不是明智之举。

不说了,终极二字不是随便用的

TOP

lzis

晶莹剔透§烈日灼然

Rank: 1

帖子
80 
精华
0 
积分
40 
阅读权限
40 
性别
男 
来自
Tw 
在线时间
62 小时 
注册时间
2007-7-5 
最后登录
2008-4-26 
7楼 发表于 2007-7-15 16:54  只看该作者
引用:
引用第3楼eemi于2007-07-15 13:21发表的 :
没有提到关闭端口

135 没关
恩,这对,但我在本地连接连WINDOWS文件共享的服务都给卸了,连server的服务都没有,根本不会存在什么135 139了。!(个人见解)
再三说到,本人是个小菜,如假包换的小菜.如遇睾丸三蛋以上的男人恶意评论纯属恶意炒作,。 没素质-只因我是流氓 没技术-只因我没文化

TOP

Helvin

团队决策人

Rank: 9Rank: 9Rank: 9

E.S.T顾问团首席顾问

帖子
657 
精华
22 
积分
5060 
阅读权限
255 
在线时间
1814 小时 
注册时间
2005-1-7 
最后登录
2008-9-7 

优秀管理奖 运营支持奖 核心建议奖

8楼 发表于 2007-7-15 23:32  只看该作者
推荐PDF
幸福,那就是……我饿了,看别人手里拿个肉包子,那他就比我幸福;我冷了,看别人穿了一件厚棉袄,他就比我幸福;我想上茅房,就一个坑,你蹲那了,你就比我幸福。

TOP

huxin_hx

晶莹剔透§烈日灼然

Rank: 1

帖子
24 
精华
0 
积分
86 
阅读权限
40 
性别
男 
在线时间
17 小时 
注册时间
2007-6-2 
最后登录
2008-9-4 
9楼 发表于 2007-7-16 01:02  只看该作者
1.数据库防下载有个简单的方法,在IIS里右键该文件名-属性-去掉读取权限就OK了。这样在IE里打开是403,但是不影响网站运行。

2.修改3389登录端口在NMAP等扫描器下毫无意义。

3.BAT绑定也不是没办法的。
4.用ADMINISTRATOR去管理后台文件不是明智之举。

不说了,终极二字不是随便用的

TOP

追寻

荣誉会员

Rank: 6Rank: 6Rank: 6

帖子
579 
精华
2 
积分
4501 
阅读权限
100 
性别
男 
在线时间
544 小时 
注册时间
2006-9-23 
最后登录
2008-9-7 
10楼 发表于 2007-7-16 08:40  只看该作者
把访问数据库文件直接转向就可以了,毒一点的话就转到一个网马上。

附件

未命名.jpg (19 KB)

2007-7-16 08:40

未命名.jpg

TOP

Helvin

团队决策人

Rank: 9Rank: 9Rank: 9

E.S.T顾问团首席顾问

帖子
657 
精华
22 
积分
5060 
阅读权限
255 
在线时间
1814 小时 
注册时间
2005-1-7 
最后登录
2008-9-7 

优秀管理奖 运营支持奖 核心建议奖

11楼 发表于 2007-7-16 13:37  只看该作者
数据库防下载可以放在WEB目录之外,甚至一些配置文件和缓存文件/目录也可以放在WEB目录之外。
有些方法可以挫败端口扫描。

其实这些都不是安全的重点。重点是管理员素质。而且我个人不喜欢修改3389端口,也不喜欢修改SSH端口。

没有看video,最不喜欢教程做成这样的,search和索引都困难。不知道一下我制作的ISO REGTWEAKS.REG,你修改了多少
Code Language : Microsoft Registry
  1. Windows Registry Editor Version 5.00
  2.  
  3. ;禁止自动打开默认共享
  4. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
  5. \"AutoShareServer\"=dword:00000000
  6. \"AutoSharewks\"=dword:00000000
  7.  
  8. ;禁止建立空连接
  9. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
  10. \"restrictanonymous\"=dword:00000001
  11.  
  12. ;Disable Help and Support Service
  13. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\helpsvc]
  14. \"Start\"=dword:00000003
  15.  
  16. ;Set Print Spooler
  17. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spooler]
  18. \"Start\"=dword:00000003
  19.  
  20. ;Disable Wireless Zero Configuration Service
  21. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WZCSVC]
  22. \"Start\"=dword:00000003
  23.  
  24. ;Disable TCP/IP NetBIOS Helper Service
  25. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LmHosts]
  26. \"Start\"=dword:00000003
  27.  
  28. ;Disable Distributed File System
  29. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dfs]
  30. \"Start\"=dword:00000003
  31.  
  32. ;Disable Computer Browser
  33. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Browser]
  34. \"Start\"=dword:00000003
  35.  
  36. ;Disable Workstation
  37. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation]
  38. \"Start\"=dword:00000003
  39.  
  40. ;Disable Performance Logs and Alerts
  41. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SysmonLog]
  42. \"Start\"=dword:00000003
  43.  
  44. ;SMBDeviceEnabled(445端口关闭)
  45. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]
  46. \"SMBDeviceEnabled\"=dword:00000000
  47.  
  48. ;SynAttackProtect
  49. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
  50. \"SynAttackProtect\"=dword:00000001
  51. \"TcpMaxConnectResponseRetransmissions\"=dword:00000002
  52.  
  53. ;禁用错误报告,但在发生严重错误时通知我
  54. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting]
  55. \"DoReport\"=dword:00000000
Parsed in 0.013 seconds
幸福,那就是……我饿了,看别人手里拿个肉包子,那他就比我幸福;我冷了,看别人穿了一件厚棉袄,他就比我幸福;我想上茅房,就一个坑,你蹲那了,你就比我幸福。

TOP

lzis

晶莹剔透§烈日灼然

Rank: 1

帖子
80 
精华
0 
积分
40 
阅读权限
40 
性别
男 
来自
Tw 
在线时间
62 小时 
注册时间
2007-7-5 
最后登录
2008-4-26 
12楼 发表于 2007-7-17 18:46  只看该作者
引用:
引用第10楼Helvin于2007-07-16 13:37发表的 :
数据库防下载可以放在WEB目录之外,甚至一些配置文件和缓存文件/目录也可以放在WEB目录之外。
有些方法可以挫败端口扫描。

其实这些都不是安全的重点。重点是管理员素质。而且我个人不喜欢修改3389端口,也不喜欢修改SSH端口。

.......
恩,虽不是重点,本身就意识到!
再三说到,本人是个小菜,如假包换的小菜.如遇睾丸三蛋以上的男人恶意评论纯属恶意炒作,。 没素质-只因我是流氓 没技术-只因我没文化

TOP

xiao2004

荣誉会员

Rank: 6Rank: 6Rank: 6

E.S.T论坛贵宾

帖子
452 
精华
16 
积分
1802 
阅读权限
100 
性别
男 
在线时间
222 小时 
注册时间
2005-3-19 
最后登录
2008-8-12 
13楼 发表于 2007-7-22 15:43  只看该作者
引用:
引用第10楼Helvin于2007-07-16 13:37发表的 :
数据库防下载可以放在WEB目录之外,甚至一些配置文件和缓存文件/目录也可以放在WEB目录之外。
有些方法可以挫败端口扫描。

其实这些都不是安全的重点。重点是管理员素质。而且我个人不喜欢修改3389端口,也不喜欢修改SSH端口。

.......
测试过吗,真的可以放在web目录之外吗?
不知道是不是我方法不对,我测过,硬是没成功.

TOP

hack520

运维管理组

Rank: 7Rank: 7Rank: 7Rank: 7

E.S.T论坛版主

帖子
1082 
精华
6 
积分
5594 
阅读权限
150 
性别
男 
在线时间
579 小时 
注册时间
2005-3-18 
最后登录
2008-8-31 
14楼 发表于 2007-7-23 13:57  只看该作者
楼上的,数据库是可以放WEB之外的,数据库给上当前站点匿名用户的权限,再改下数据库引导文件即可,其实楼猪的文章,全面倒是全面,不必要的部分也不少。。
Www.China-Mu.Co.Kr 猪毛奇迹 1.02Q 将带给你无比的震撼。
注:此账号密码已更改,请本人与冰血联系修改密码。

TOP

光芒果

荣誉会员

Rank: 6Rank: 6Rank: 6

E.S.T论坛贵宾

帖子
832 
精华
4 
积分
5477 
阅读权限
100 
性别
男 
在线时间
161 小时 
注册时间
2005-4-27 
最后登录
2008-9-4 
15楼 发表于 2007-7-23 15:01  只看该作者
没注意看楼主的东西,数据库是可以放WEB外的,我一直这么做
select girl from Guilin where age='18-20' and bg='beautiful'--

TOP

asm

运维管理组

Rank: 7Rank: 7Rank: 7Rank: 7

E.S.T论坛版主

帖子
1645 
精华
30 
积分
9348 
阅读权限
150 
性别
男 
在线时间
966 小时 
注册时间
2006-9-21 
最后登录
2008-9-7 
16楼 发表于 2007-8-28 11:01  只看该作者
引用:
引用第15楼cnhcerkf于2007-08-28 10:47发表的 :
  貌似某sb所谓的终极安全小站已经被另一个sb xx掉了

  
什么事情都别说得那么绝,终极安全?美国军方网络都不敢这么说。。

PS:我举报是谁,但我不说。。
游戏吧  http://www.game8.cc/MyBlog    http://www.asm32.cn

TOP

verror

晶莹剔透§烈日灼然

Rank: 1

帖子
精华
0 
积分
24 
阅读权限
40 
在线时间
6 小时 
注册时间
2006-9-25 
最后登录
2008-7-17 
17楼 发表于 2007-8-28 21:30  只看该作者
引用:
引用第9楼追寻于2007-07-16 08:40发表的 :
把访问数据库文件直接转向就可以了,毒一点的话就转到一个网马上。
这个方法倒是第一次见过,学习了。
这个会不会影响网站对数据的访问?

MDB数据库一般都是小站,小站MS都是虚拟主机,没有权限设置IIS嘀哦

TOP

追寻

荣誉会员

Rank: 6Rank: 6Rank: 6

帖子
579 
精华
2 
积分
4501 
阅读权限
100 
性别
男 
在线时间
544 小时 
注册时间
2006-9-23 
最后登录
2008-9-7 
18楼 发表于 2007-8-29 13:01  只看该作者
楼上的说的啥意思。
MS虚拟机的安全做的都相当BT的说.

TOP

‹‹ 上一主题 | 下一主题 ››
发新话题