網站伺服器如何防入侵

    WEB伺服器的安全設定方面，最近有些深入研究，所以我寫這篇文章共享下。從兩方面設定安全防入侵。

一、基本的伺服器系統安全設定

1、安裝補丁

      安裝好作業系統之後，最好能在託管之前就完成補丁的安裝，配置好網路後，如果是2000則確定安裝上了SP4，如果是2003，則最好安裝上SP2，然後點選開始→Windows Update，安裝所有的關鍵更新。

2、安裝防毒軟體

      雖然防毒軟體有時候不能解決問題，但是防毒軟體避免了很多問題。前段時間搞木馬免殺對防毒軟體有一定深入瞭解，單獨殺病毒軟體時代已過時了，建議用瑞星殺木馬很厲害、卡巴斯基也不錯。不要指望防毒軟體殺掉所有的木馬，因為ASP木馬的特徵是可以通過一定手段來避開防毒軟體的查殺。

3、刪除預設共享、禁用某些服務

    如：Remote Registry、Task Scheduler、Telnet、Print Spooler等

4、刪除一些不必要的使用者,給administrator改名，密碼設定複雜密碼。

5、在組策略設定“帳戶鎖定策略”輸錯5次，帳號鎖定30分鐘。防別人爆力猜解密碼。

6、安裝防火牆，計算機上都有一些服務，不管是伺服器系統還是個人系統。 而每一種服務都對應著一個甚至多個埠。而你開的埠越多，被攻擊的風險越大，關閉137、138、139和445埠，所以你要儘量少開埠。但有的朋友對計算機網路不是非常熟悉，不知道如何關閉埠，就需要使用防火牆來把我們的計算機與網際網路上的黑客相隔離。

7、如果沒有裝防火牆就用netstat –na查系統開放那些埠，可以用IPSec（IP安全策略來阻力這些埠）。

   參考： http://hukunlin.blog.51cto.com/545402/144788

8、因為是伺服器都要開放遠端桌面服務，方便管理，設定遠端桌面連線許可權，把遠端桌面器許可權只允許幾個使用者，把administrators這組許可權拿掉。好處黑客通過Webshell在你的伺服器建一個管理員帳號也無法遠端桌面到你的伺服器。最好方法啟用基於IPSEC安全協商加強遠端桌面服務（3389埠），就算你放開3389埠也知道你的使用者及密碼，也法遠端連到你的伺服器。最好把3389埠改成其他埠，通過修改登錄檔實現。如：10001。

9、啟動系統稽核策略，將稽核登入事件、稽核物件訪問、稽核系統事件和稽核帳戶登入事件啟用成功方式的稽核，有黑客入侵可以查到日誌。

二、網站安全相關設定

1、在C盤安全許可權中，取消users的特殊許可權，因為這個許可權可以新建目錄，又可以新建的目錄中建立檔案。刪除everyone組許可權。

2、如果伺服器裡有多個網站，為了防止旁註給每個網站新建一個使用者，只加入guests組，每個網站匿名使用者啟用相對應的使用者。

3、每個網站主目錄設定許可權只允許administrators和system組完全控制許可權，網站使用者只讀和執行許可權，對於要上傳檔案目錄許可權設定只讀和寫入，但是不要執行許可權,這樣上傳了木馬也執行不了。

4、改名或解除安裝不安全元件

參考： http://hukunlin.blog.51cto.com/545402/327408

5、資料庫管理也要設定複雜密碼,mssql的sa使用者，mysql的root使用者，還有資料庫裡面的更深入許可權設定。

6、很多WEB伺服器都會安裝FTP伺服器，方便上傳更新網站，防止Serv-U許可權提升。

     用Ultraedit開啟ServUDaemon.exe查詢Ascii：LocalAdministrator，和#l@$ak#.lk;0@P，修改成等長度的其它字元就可以了，ServUAdmin.exe也一樣處理。

另外注意設定Serv-U所在的資料夾的許可權，不要讓IIS匿名使用者有讀取的許可權，否則人家下走你修改過的檔案，照樣可以分析出你的管理員名和密碼。

7、網站管理後臺及上傳頁入口不要取常見的檔名。

8、用一些黑客工具檢測你的網站有沒有漏洞和注入點，發現及時修復。 常用的工具如啊D注入、明小子等。

9、定期做好備份，備份重要性就不多說了，全國人們都知道這個重要，哈哈。

      以上都是伺服器防黑的措施，通過以上安全設定，我想你的伺服器很安全了，一般的黑客只會用一些工具做壞事，防這個檔次的“黑客”應改沒有什麼問題了。哈哈，當然也有更牛的黑客，網路安全是沒有絕對安全的。

本文轉自成功不僅是個人榮譽，更是對家人責任部落格51CTO部落格，原文連結http://blog.51cto.com/hukunlin/335008如需轉載請自行聯絡原作者

kunlin_hu