知深老站长分享网站防黑经验

　　一.设置严密的权限。

　　上传的目录只给写入、读取权限，绝对不能给执行的权限。

　　每个网站使用独立的用户名和密码，权限设置为Guest。

　　命令: net localgroup users myweb /del

　　设置MSSQL、Apache、MySQL以Guest权限运行：在运行中打:service.msc，选择相应的服务，以一个Guest权限的账户运行。

　　二.防止SQL注入

　　以前用的通用防注入模块，后来在多次与黑客血与泪的较量中。我明白了通用防注入模块是没用的，如果人家CC我的网站，通用防注入模块会让自己网站卡死!!

　　使用专门的Web应用防火墙是个比较明智的选择。硬件防火墙动辄就是几十万，我没那么多钱，那不是俺们能用的起的。俺还是喜欢用免费的软件“铱迅网站防火墙”，标准版可以注册后免费获得。

　　三.防止IIS 6.0 的0day攻击

　　0day 之一：

　　IIS的致命伤，很多网站都是这样被黑客入侵的：黑客建立一个叫aaa.asp的目录，然后在aaa.asp的目录里面放一个图片木马，黑客访问aaa.asp/xxx.jpg就能访问木马了。

　　0day之二：

　　黑客上传aaa.asp;bbb,jpg这样的文件到服务器中，这可不是jpg啊，IIS 6会在分号的地方截断，把jpg当asp执行的

　　解决方案1:编码的时候禁止目录中包含” . “号和文件名中包含” ; “号

　　解决方案2：如果网站已经用户过多，不能修改代码了，可以考虑前面提到的铱迅网站防火墙。

　　四.检测黑客攻击痕迹

　　1.检测shift后门：

　　远程3389连接，连续按Shift键5次，如果没有跳出粘滞键菜单，说明被安装后门了。在windows文件夹中，搜索sethc.exe 并删除之。

　　2.查看Document and Settings目录

　　如果发现有可疑用户的文件夹，说明就被黑客入侵了。

　　五.删除危险组件

　　1.删除Wscript

　　regsvr32/u C:\windows\System32\wshom.ocx

　　del C:\windows\System32\wshom.ocx

　　regsvr32/u C:\windows\system32\shell32.dll

　　del C:\windows\system32\shell32.dll

　　2.删除MSSQL危险存储过程

　　MS SQL SERVER2000

　　使用系统帐户登陆查询分析器

　　运行以下脚本

　　use master

　　exec sp_dropextendedproc 'xp_cmdshell'

　　exec sp_dropextendedproc 'xp_enumgroups'

　　exec sp_dropextendedproc 'xp_loginconfig'

　　exec sp_dropextendedproc 'xp_enumerrorlogs'

　　exec sp_dropextendedproc 'xp_getfiledetails'

　　exec sp_dropextendedproc 'Sp_OACreate'

　　exec sp_dropextendedproc 'Sp_OADestroy'

　　exec sp_dropextendedproc 'Sp_OAGetErrorInfo'

　　exec sp_dropextendedproc 'Sp_OAGetProperty'

　　exec sp_dropextendedproc 'Sp_OAMethod'

　　exec sp_dropextendedproc 'Sp_OASetProperty'

　　exec sp_dropextendedproc 'Sp_OAStop'

　　exec sp_dropextendedproc 'xp_regaddmultistring'

　　exec sp_dropextendedproc 'xp_regdeletekey'

　　exec sp_dropextendedproc 'xp_regdeletevalue'

　　exec sp_dropextendedproc 'xp_regenumvalues'

　　exec sp_dropextendedproc 'xp_regremovemultistring'

　　exec sp_dropextendedproc 'xp_regwrite'

　　drop procedure sp_makewebtask

　　go

　　删除所有危险的扩展.

　　exec sp_dropextendedproc 'xp_cmdshell' [删除此项扩展后,将无法远程连接数据库]

　　以下3个存储过程会在SQL SERVER恢复备份时被使用,非必要请勿删除

　　#exec sp_dropextendedproc 'xp_dirtree' [删除此项扩展后,将无法新建或附加数据库]

　　#exec sp_dropextendedproc 'Xp_regread' [删除此项扩展后, 还原数据库辅助]

　　#exec sp_dropextendedproc 'xp_fixeddrives' [删除此项扩展后,将无法还原数据库]