Dune2有幸对XX新闻网做了次应急响应和安全加固.简单记录如下:现场情况如此,前台为asp,后台为sql server,网站数据部分被删,系统及其不稳定,而且多次被恶意D.O.S。
一.
首先恢复了Web数据.
移除 bits后门 卸载 radmin
整理web目录下文件,删除大量.bak和复件文件.通过特征字符搜索,追查webshell,重新设置磁盘的用户权限,更改sql连接用户,弃用sa角色,分离为两个角色,一个用于普通用户浏览,一个用于后台管理连接数据库。
更改后台管理员密码,并建议放弃无组件上传,并增强新闻后台上传文件的过滤检查强度,设置上传图片所在目录的权限。IIS中只保留对.asp的映射,增强日志记录,禁止向用户发送详细错误报告。
二.
系统管理员用户只保留一个,重新设置密码,并设定相应的密码策略,8位以上,字母+数字+特殊字符混合.
察看可疑服务,关掉不需要的服务,开启Update自动更新.
关闭网卡绑定的文件和打印机共享,禁用tcp/ip上的netbios.
开启TCP/IP过滤,只允许tcp 80,21,1433,3389
三.
serv-u 由 5.x 更新至最新版本,更改用户名和密码,设置只有写,读,没有删除权限。
修改了LocalAdministrator的默认密码:#l@$ak#.lk;0@P,增加对43958端口访问策略
四.
去掉ping回应.
关闭了默认共享,空连接
禁止了posix,fso,wsh等危险组件
禁止远程调用cmd和修改注册表
防D.O.S安全设置
包括简单防范 Syn Flood,Netbios D.O.S,伪路由等D.O.S,并建议尽快采用硬件防火墙,以达到更好的防D.O.S的目的。
五.Sql 注入漏洞
Sql注入漏洞很多 新闻,体育等
补最新的 sql防注入补丁(自动记录入侵者ip等信息以及自动屏蔽掉攻击者ip)
六.sql server 的危险存储过程
删掉
sp_makewebtask
xp_cmdshell
xp_dirtree ///由于管理需要,后又恢复
xp_fileexist ///由于管理需要,后又恢复
xp_terminate_process
sp_oamethod
sp_oacreate
xp_regaddmultistring
xp_regdeletekey
xp_regdeletevalue
xp_regenumkeys
xp_regenumvalues
sp_add_job
sp_addtask
xp_regread
xp_regwrite
xp_readwebtask
xp_makewebtask
xp_regremovemultistring
七.安装 Mcafee 杀毒 企业版
更新病毒库
到此,基本上保证了网站的正常运行,还有很多的工作需要做,Dune2奉劝大家做一个合格的管理员,不光要技术上过硬,责任心是更重要的,不要等到出了问题再来解决,如何未雨绸缪,将危险化为最小,保证网络的正常运行是个不小的话题。。小弟,抛砖引玉,让大家见笑了。
(出处:ABC网络学院)
上一篇:快速实现双机互联的几种方案
下一篇:WEB服务器配置全攻略
|
