本套方案基於Windows2008R2,同時藉助了Mcafee企業版殺毒軟體,主要是給大家講解一個思路,希望能給需要的朋友一定的啟發。
首先要說的第一點,就是關於Mcafee,Mcafee可以達到的功能,其實系統都可以做到,只是,對一個小白使用者來說,各種複雜的系統設定實在過於頭疼,而Mcafee使用起來則相對簡單很多了,經過簡單的瞭解,一般小白都能夠正常使用,不會因為過度的安全設定而給正常操作帶來很大的不便。
接著來說說我整體的方案吧。首先呢,一些簡單必要的設定是必不可少的,常用的包括以下幾點:
1、將ASP等用不到的功能項關掉,這個每個人的伺服器需求都可能不同,自己靈活控制就可以了。
2、接著呢,我們給每一個網站單獨分配一個賬戶,這個賬戶對緩衝目錄、必要的dll所在目錄、網站目錄具有可讀取許可權,對其他地方完全不需要任何許可權了
3、處理一些需要寫入許可權的目錄。這裡以DiscuzX1.5為例,需要寫入許可權的目錄包括/data、/uc-server/data、/uc_client/data/cache,設定好寫入許可權之後,在IIS7裡面找到這些目錄,將這些目錄的指令碼執行許可權關掉。 參考>>>>
4、將遠端桌面的連接埠改成非預設的3389,同時將系統密碼改得稍微複雜點。在實際過程中我們發現,有些朋友的伺服器被黑,其實完全是被社工了而已。
5、使用Mcafee設定一下連接埠訪問規則,一般伺服器不會用來上網,只是對外提供WEB類服務,所以,直接使用Mcafee對所有連接埠直接進行封堵,禁止入站,其中對MYSQL、Memcache、遠端桌面等進行簡單例外允許存取。
6、使用Mcafee對常用危險檔案進行封堵,這裡很簡單,因為伺服器不是日常使用的,不需要經常進行軟體安裝,不會經常更改設定,所以,我們直接全域阻止exe\dll\vbs\com\bat\txt等危險格式的寫入(**\*.exe這樣是代表全域exe),具體哪些格式,你可以具體在網上收集一下。以後要安裝程式或者做出其他修改的時候,臨時停止一下Mcafee就可以了
7、使用Mcafee對DiscuzX1.5的目錄進行詳細限制,雖然前面用NTFS許可權對目錄進行了限制,但是逃不過系統出現漏洞什麼的,所以,我們還需要使用Mcafee對相關目錄進行限制,具體是除了/data、/uc-server/data、/uc_client/data/cache之外的其他目錄全部完全禁止寫入,再細化一下的話,就是進行一些常見攻擊方式的防護,比如說寫入多尾碼名檔案,我們完全可以使用Mcafee禁止DiscuzX1.5目錄下禁止寫入discuzX1.5\data\**\*.*.*,當然,你還可以自己想到一些其他的細化設定,比如說禁止data\attachment目錄寫入任何非允許附件格式的檔案。
8、阻止cmd.exe被讀取,這一點很重要,很多人通過系統組件調用cmd來提權。
9、阻止net.exe被讀取,駭客建立帳號的時候利用的就是它
10、剩下的,我們還需要對常見的附件目錄、資料庫進行定期備份
通過上面幾個簡單的設定,相信我們可以堵住絕大部分的入侵了,那些所謂的小hacker應該是很難拿下你的伺服器了。當然,上面的設定並沒有對資料庫進行防護、沒有對惡意刪除附件進行防護,這兩個方面,下一次將與大家分享簡單的防護措施。對上面各條有不清楚的,可以跟帖,我盡量回覆大家。上面的各項都是簡單說了一下思路而已,並沒有做詳細嚴謹的闡述,特此說明,請部分站長朋友不要雞蛋裡面挑骨頭,謝謝!