1、黑客攻防演示黑客攻防演示中美黑客大战中美黑客大战起因起因:2001年年4月月1日日,中美飞中美飞机相撞机相撞,中国浙江省湖洲中国浙江省湖洲籍飞行员王伟壮烈牺牲籍飞行员王伟壮烈牺牲 美国一家著名的网络安全公司宣布了美国一家著名的网络安全公司宣布了一项调查数据,称自从撞机事件发生一项调查数据,称自从撞机事件发生以来,两国网站上的黑客攻击事件每以来,两国网站上的黑客攻击事件每天都要发生天都要发生4050起,而在这之前,起,而在这之前,这个数字仅为这个数字仅为12起。起。中美黑客交锋大事记中美黑客交锋大事记(4月月27日日-5月月5日日)4月月27日日 担心中国黑客发动五一大攻击美国军方高度戒备担心中
2、国黑客发动五一大攻击美国军方高度戒备 据一位国防部官员称,为防范黑客攻击,美国太据一位国防部官员称,为防范黑客攻击,美国太平洋司令部已将其信息系统面临威胁状况的等级平洋司令部已将其信息系统面临威胁状况的等级由一般提升至由一般提升至A级,这样有关人员会随时对网站级,这样有关人员会随时对网站的运营情况进行密切关注。同时,美国军方到的运营情况进行密切关注。同时,美国军方到5月月2日左右还可能将上述威胁等级由日左右还可能将上述威胁等级由A级提升至级提升至B甚至甚至C级,一旦提升到级,一旦提升到B级,那么用户登陆所有军级,那么用户登陆所有军方网站时就会受到限制,而方网站时就会受到限制,而C级则意味着军方
3、网级则意味着军方网络系统不会保持时刻在线。威胁等级最高一级为络系统不会保持时刻在线。威胁等级最高一级为D级,届时整个军方系统将全部关闭。级,届时整个军方系统将全部关闭。4月月28日日 美政府美政府“防备中国黑客攻击防备中国黑客攻击”文件全文文件全文 美国联邦调查局下属的国家基础设施保护美国联邦调查局下属的国家基础设施保护中心中心(NIPC)在美国当地时间在美国当地时间26日日(北京时间北京时间27日日)就就“中美黑客大战中美黑客大战”发布文件。发布文件。4月月29日日 美国劳工部及卫生部网站遭到中国黑客攻美国劳工部及卫生部网站遭到中国黑客攻击击 就在美国联邦调查局就在美国联邦调查局(FBI)刚
4、刚警告称中国刚刚警告称中国黑客有可能对美国网站发动进攻之后,几黑客有可能对美国网站发动进攻之后,几个由美国政府机构运营的网站就于当地时个由美国政府机构运营的网站就于当地时间间4月月28日遭到了攻击。日遭到了攻击。4月月30日日 近日,近日,“中国红客联盟中国红客联盟”主页上张贴主页上张贴了通知,其主持人了通知,其主持人Lion召集召集“联盟联盟”全体成员全体成员4月月30日晚日晚7:00召开召开“攻击美攻击美国网络动员大会国网络动员大会”,讨论五一期间攻,讨论五一期间攻击美国网站的计划击美国网站的计划。中国红客联盟将在今晚中国红客联盟将在今晚9:00打响打响“反反击战击战”5月月1日日 中美黑
5、客大战再升级美白宫官方网站遭攻中美黑客大战再升级美白宫官方网站遭攻击击 安全专家表示,美中黑客之间的网络大战安全专家表示,美中黑客之间的网络大战在当地时间在当地时间4月月30日愈加升级,其中美国白日愈加升级,其中美国白宫的官方网站遭到电子邮件宫的官方网站遭到电子邮件“炸弹炸弹”的攻的攻击,同时若干个美国和中国网站页面均被击,同时若干个美国和中国网站页面均被改得面目全非。改得面目全非。美国能源部在新墨西哥州的一家下属网站美国能源部在新墨西哥州的一家下属网站在在2001年年4月月30日凌晨日凌晨(北京时间北京时间4月月30日下日下午午)被人用几条反美标语涂改,其它几家政被人用几条反美标语涂改,其它
6、几家政府网站,包括美国劳工部的网站也遭到了府网站,包括美国劳工部的网站也遭到了类似袭击。黑客们在美国能源部的网站上类似袭击。黑客们在美国能源部的网站上留下了留下了“伟大的中华民族万岁!伟大的中华民族万岁!”、“美美国必须对撞机事件负完全责任国必须对撞机事件负完全责任”、“抗议抗议美国向台湾出售武器,破坏世界和平!美国向台湾出售武器,破坏世界和平!”等标语。等标语。5月月2日日 中美黑客大战升级两天之内中美黑客大战升级两天之内700多家网站被黑多家网站被黑 经过一天一夜的攻击,在记者昨晚经过一天一夜的攻击,在记者昨晚10时发稿前,时发稿前,在中国红客联盟公布被黑美国站点的网站上,被在中国红客联盟
7、公布被黑美国站点的网站上,被“攻陷攻陷”的美国站点已达的美国站点已达92个,而来自网友信息,个,而来自网友信息,被黑的中国站点则已超过被黑的中国站点则已超过600个个(包括台湾地区的包括台湾地区的网站网站)。据分析,由于一些红客没能将所黑的网站。据分析,由于一些红客没能将所黑的网站及时报上,因此中美被黑站点比例大约在及时报上,因此中美被黑站点比例大约在1:3左左右。右。5月月3日日 只改页面未破坏只改页面未破坏DoS中国黑客手下留情中国黑客手下留情 据美国网络安全专家称,中国黑客在广泛扩充攻据美国网络安全专家称,中国黑客在广泛扩充攻击队伍,并在网上提供一种叫击队伍,并在网上提供一种叫“杀死美国
8、杀死美国”的黑的黑客工具,但他们只是在教人们如何涂改页面,并客工具,但他们只是在教人们如何涂改页面,并没有对网站的没有对网站的DOS(denial of service)进行破坏。进行破坏。中国黑客:美国黑客不罢手我们反击会升级中国黑客:美国黑客不罢手我们反击会升级 美国黑客对中国网站展开攻击,引起广东黑客参美国黑客对中国网站展开攻击,引起广东黑客参与与“五一大反击五一大反击”,对于此次攻击,有黑客表示,对于此次攻击,有黑客表示,目的不仅仅是反击,更多地想暴露目前中国网站目的不仅仅是反击,更多地想暴露目前中国网站存在的严重安全问题,引起各方高度关注存在的严重安全问题,引起各方高度关注。5月月4
9、日日 中国黑客对美展开反攻数千家美国网站被中国黑客对美展开反攻数千家美国网站被黑黑 在这俩天的攻击中,受损的主要是商业网在这俩天的攻击中,受损的主要是商业网站即以站即以”.com“作后缀的网站。政府作后缀的网站。政府”.gov”和机构和机构”.org”相对较少,教育部门相对较少,教育部门”.edu”并未触及。并未触及。“中国红客中国红客”自发反击今天发动自发反击今天发动“大冲锋大冲锋”5月月5日日“白宫网站再遭黑客袭击被迫关闭两个多小时白宫网站再遭黑客袭击被迫关闭两个多小时 白宫网站的新闻负责人吉米说:白宫网站的新闻负责人吉米说:“大量数据的同大量数据的同时涌入,堵塞了白宫与其互联网服务提供商
10、时涌入,堵塞了白宫与其互联网服务提供商(ISP)的连接通道。的连接通道。”白宫网站同时接到了大量要求服白宫网站同时接到了大量要求服务的请求,以至于合法用户无法登录该网站。务的请求,以至于合法用户无法登录该网站。八万中国红客发起总攻美国考虑提升戒备状态八万中国红客发起总攻美国考虑提升戒备状态 美国白宫美国白宫 美国技术政策研究中心美国技术政策研究中心打造安全的打造安全的IIS服务器服务器一一.什么是安全?什么是安全?二二.IIS安全配置安全配置1.合理配置合理配置IIS日志。日志。2.巧妙配置巧妙配置ACL(访问控制列表)。(访问控制列表)。3.开启开启TCP/IP筛选。筛选。4.发挥发挥200
11、3 Server自带防火墙的力量。自带防火墙的力量。5.删除不必要的删除不必要的IIS映射。映射。6.采用采用SSL。三三.模拟演练:黑客与网管的较量模拟演练:黑客与网管的较量 黑客:我要入侵你的服务器!黑客:我要入侵你的服务器!端口扫描端口扫描-下载数据库下载数据库-获得获得Shell-控制服务器控制服务器 网管:我要维护网管:我要维护IIS服务器的安全!服务器的安全!防范扫描防范扫描-防范下载防范下载 -扼杀扼杀Shell-掌握控制权掌握控制权一一.什么是安全?什么是安全?不存在绝对安全的计算机不存在绝对安全的计算机 理论上不存在绝对安全的计算机。理论上不存在绝对安全的计算机。因为计算机由
12、硬件和软件组成,而硬因为计算机由硬件和软件组成,而硬件由人制成,软件由人编写,不可能完美,总会出现纰漏,而任何纰漏都可件由人制成,软件由人编写,不可能完美,总会出现纰漏,而任何纰漏都可能被心怀不轨者利用。能被心怀不轨者利用。现实中存在相对安全的计算机。现实中存在相对安全的计算机。决定计算机是否安全是看管理者如何去决定计算机是否安全是看管理者如何去让它安全:避开不安全硬件因素;进行常规安全设置;了解黑客技术并有针让它安全:避开不安全硬件因素;进行常规安全设置;了解黑客技术并有针对性的加以防范。对性的加以防范。最少的服务最少的服务=最大的安全最大的安全 计算机在提供正常服务的前提下,尽可能不开放其
13、他无用的服务,让可计算机在提供正常服务的前提下,尽可能不开放其他无用的服务,让可能出现安全问题的隐患减少,提高计算机整体安全性。能出现安全问题的隐患减少,提高计算机整体安全性。安全界的木桶理论安全界的木桶理论 木桶理论:一个由许多块长短不同的木板箍成的木桶,决定其容水量大木桶理论:一个由许多块长短不同的木板箍成的木桶,决定其容水量大小的并非是其中最长的那块木板或全部木板长度的平均值,而是取决于其中小的并非是其中最长的那块木板或全部木板长度的平均值,而是取决于其中最短的那块木板。要想提高木桶整体效应,不是增加最长的那块木板的长度,最短的那块木板。要想提高木桶整体效应,不是增加最长的那块木板的长度
14、,而是要下功夫补齐最短的那块木板的长度。而是要下功夫补齐最短的那块木板的长度。决定计算机整体安全性的,不是最安全的设置或者服务,而是最容易出问决定计算机整体安全性的,不是最安全的设置或者服务,而是最容易出问题的设置或者服务。题的设置或者服务。二二.IIS安全配置安全配置1.合理配置合理配置IIS日志。日志。1)开启并配置)开启并配置IIS日志日志 IIS管理器管理器-网站网站-目标站点目标站点-属性属性-启用日志记录启用日志记录-W3C扩展日志文件扩展日志文件格式格式-属性:属性:常规选项:更改日志文件目录到特定地址,不使用默认地址。方便多网常规选项:更改日志文件目录到特定地址,不使用默认地址
15、。方便多网站服务器的管理,也能在一定程度上迷惑黑客。站服务器的管理,也能在一定程度上迷惑黑客。高级选项:通常情况下,专业服务器为提高日志记录效率和必要的时候高级选项:通常情况下,专业服务器为提高日志记录效率和必要的时候追查访问者信息,记录如下信息:日期、时间、客户追查访问者信息,记录如下信息:日期、时间、客户IP、用户名、服务名、用户名、服务名、服务器服务器IP、端口、方法(、端口、方法(Get/Post)、协议状态、主机、代理、)、协议状态、主机、代理、Cookies。2)分析)分析IIS日志日志 养成每天分析养成每天分析IIS日志,分析访问情况,发现访问异常,抓住隐藏入侵者日志,分析访问情
16、况,发现访问异常,抓住隐藏入侵者是每个专业网络工程师、网络管理员的好习惯。是每个专业网络工程师、网络管理员的好习惯。3)定期备份)定期备份IIS日志日志 根据服务器上站点多寡、访问量高低、稳定性等情况,定期备份日志。根据服务器上站点多寡、访问量高低、稳定性等情况,定期备份日志。在必要的时候,备份日志可作为排解疑难杂症的重要资料,也可作为呈堂证在必要的时候,备份日志可作为排解疑难杂症的重要资料,也可作为呈堂证供。普通独立服务器备份周期在一星期左右为佳。供。普通独立服务器备份周期在一星期左右为佳。二二.IIS安全配置安全配置2.巧妙配置巧妙配置ACL(访问控制列表)。(访问控制列表)。1)什么是)
17、什么是ACL?WindowsWindows系统中,访问控制列表系统中,访问控制列表(Access Control List(Access Control List,简称,简称ACL)ACL),用,用来定义用户来定义用户/工作组与文件、目录或其他资源相关的访问权限的一组数据。在工作组与文件、目录或其他资源相关的访问权限的一组数据。在活动目录服务中,一个活动目录服务中,一个ACLACL是一个存储访问权限与被保护对象相互之间关系的是一个存储访问权限与被保护对象相互之间关系的列表。列表。在在CiscoCisco路由器配置中,访问控制列表是使用包过滤技术,在路由器上路由器配置中,访问控制列表是使用包过滤
18、技术,在路由器上读取第三层及第四层包头中的信息,如源地址、目的地址、源端口、目的端读取第三层及第四层包头中的信息,如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。2 2)IISIIS物理文件夹的物理文件夹的ACLACL配置总则配置总则 总则:能写入不运行,能运行不写入。以以ASPASP程序为例,允许访问者写入数据的文件夹不允许运行程序为例,允许访问者写入数据的文件夹不允许运行ASPASP,允许,允许ASPASP运行的文件夹不允许写入数据运行的文件夹不允许写入数据。3 3)具体配置方
19、法)具体配置方法 IISIIS文件夹文件夹-属性属性-安全安全-添加添加Administrators组账户的完全控制权限组账户的完全控制权限-根据实际情况添加根据实际情况添加IIS访问账户(访问账户(IUSR_计算机名)的读、写权限。计算机名)的读、写权限。IISIIS管理器管理器-站点目录站点目录-根据具体情况设置各文件夹是否具有运行权限。根据具体情况设置各文件夹是否具有运行权限。二二.IIS安全配置安全配置3.3.开启开启TCP/IPTCP/IP筛选筛选 1 1)TCP/IPTCP/IP筛选的作用筛选的作用 控制入站访问的最简单高效的方法之一就是使用控制入站访问的最简单高效的方法之一就是使
20、用“TCP/IP筛选筛选”功能,功能,TCP/IP 筛选在内核模式下工作,可以对筛选在内核模式下工作,可以对 TCP/IP入站访问控制方案进行分层,入站访问控制方案进行分层,简单而高效。简单而高效。2 2)配置)配置TCP/IPTCP/IP筛选筛选 IISIIS服务器只需要服务器只需要TCP 80TCP 80端口通讯,不需要其他端口通讯,不需要其他TCPTCP或或UDPUDP端口,所以封端口,所以封锁所有无用端口:锁所有无用端口:网卡属性网卡属性-Internet-Internet协议(协议(TCP/IPTCP/IP)-属性属性-高级高级-选项选项-TCP/IP-TCP/IP筛选筛选-属性属性
21、-启用启用TCP/IPTCP/IP筛选筛选-只开放只开放TCP80TCP80端口端口-开放开放UDPUDP端口端口1(1(不可占用端口不可占用端口)二二.IIS安全配置安全配置4.发挥发挥2003 Server自带防火墙的力量。自带防火墙的力量。1)2003 Server自带防火墙介绍自带防火墙介绍 20032003自带防火墙是自带防火墙是2003 Server2003 Server一个非常实用的功能,不管对个人用户一个非常实用的功能,不管对个人用户还是企业用户都非常适用,完美的实现了简单、便捷与强大功能的结合。还是企业用户都非常适用,完美的实现了简单、便捷与强大功能的结合。对对IISIIS服
22、务器来说,服务器来说,2003 Server2003 Server自带防火墙可以非常方便地实现端口过自带防火墙可以非常方便地实现端口过滤(抵抗攻击)、禁止非法程序访问网络(扼杀后门)、记录非法访问信息滤(抵抗攻击)、禁止非法程序访问网络(扼杀后门)、记录非法访问信息(查询黑客信息)等功能。(查询黑客信息)等功能。2 2)配置)配置2003 Server2003 Server自带防火墙自带防火墙 控制面板控制面板-Windows防火墙防火墙-常规常规-启用防火墙(允许例外)启用防火墙(允许例外)-例外选例外选项卡项卡-删除全部第三方程序删除全部第三方程序-添加端口添加端口80二二.IIS安全配置
23、安全配置5.5.删除不必要的删除不必要的IISIIS映射。映射。IISIIS映射是用应用程序来解析访问者的请求,返回给访问者正常信息。一映射是用应用程序来解析访问者的请求,返回给访问者正常信息。一般情况下,般情况下,2003 Server2003 Server包含了包含了asaasa、aspasp、cercer、cdxcdx、idcidc、shtmshtm、shtmlshtml、stmstm等应用程序扩展等应用程序扩展,但在实际使用中,并不需要全部映射。不删除不使用的,但在实际使用中,并不需要全部映射。不删除不使用的映射会造成映射会造成IISIIS后门畅通无阻,造成服务器程序紊乱。后门畅通无阻
24、,造成服务器程序紊乱。以以ASPASP程序为例,正确的配置方法是:程序为例,正确的配置方法是:IISIIS管理器管理器-网站网站-目标站点目标站点-属性属性-主目录主目录-配置配置-映射映射-删除除删除除ASPASP以外的所有映射以外的所有映射6.6.采用采用SSLSSL SSLSSL是安全套接层是安全套接层(Secure Sockets Layer)(Secure Sockets Layer)的缩写,主要提供三方面的服的缩写,主要提供三方面的服务:认证用户和服务器务:认证用户和服务器,使得它们能够确信数据将被发送到正确的客户机和使得它们能够确信数据将被发送到正确的客户机和服务器上;加密数据以
25、隐藏被传送的数据;维护数据的完整性服务器上;加密数据以隐藏被传送的数据;维护数据的完整性,确保数据在确保数据在传输过程中不被改变。传输过程中不被改变。SSLSSL应用在应用在IISIIS服务器上会提供非常好的安全保护,但会影响服务器效能,服务器上会提供非常好的安全保护,但会影响服务器效能,减慢访问者访问速度,所以在一般情况下不考虑使用减慢访问者访问速度,所以在一般情况下不考虑使用SSLSSL加强服务器安全性。加强服务器安全性。三三.模拟演练:黑客与网管的较量模拟演练:黑客与网管的较量黑客黑客:我要入侵你的服务器!我要入侵你的服务器!网管网管:我要维护我要维护IISIIS服务器的安全!服务器的安
26、全!端口扫描端口扫描下载数据库下载数据库获得获得Shell控制服务器控制服务器掌握控制权掌握控制权扼杀扼杀Shell防范下载防范下载防范扫描防范扫描三三.模拟演练:黑客与网管的较量模拟演练:黑客与网管的较量黑客之端口扫描黑客之端口扫描端口:端口:计算机与外部通信的途径计算机与外部通信的途径。本地操作系统给有需求的进程分配的协议标识,。本地操作系统给有需求的进程分配的协议标识,即我们常说的端口。每个协议端口由一个正整数标识,如:即我们常说的端口。每个协议端口由一个正整数标识,如:8080(IISIIS),),2121(FTPFTP),),139139(NETBIOSNETBIOS)等。)等。端口
27、扫描:通过给远程服务器的各个端口发送不同的数据包,并记录目标服务器端口扫描:通过给远程服务器的各个端口发送不同的数据包,并记录目标服务器给予的回答,通过这种方法搜集关于目标主机的各种有用的信息,这就是端口扫给予的回答,通过这种方法搜集关于目标主机的各种有用的信息,这就是端口扫描描(小提示:端口扫描也是网管必备技能之一,用来检测主机信息)。(小提示:端口扫描也是网管必备技能之一,用来检测主机信息)。查看本地开放端口信息:可使用命令查看本地开放端口信息:可使用命令“netstat ano”查看本地端口开放信息。查看本地端口开放信息。端口扫描工具:常见的端口扫描工具有如下几种:端口扫描工具:常见的端
28、口扫描工具有如下几种:X-SCAN:国人自主开发的集端口扫描、漏洞扫描、弱口令扫描于一体的经典:国人自主开发的集端口扫描、漏洞扫描、弱口令扫描于一体的经典扫描器。扫描器。Retina:国外国外EeyeEeye公司出品的一款扫描器,可用于漏洞和端口扫描。公司出品的一款扫描器,可用于漏洞和端口扫描。SSS:Shadow Security Scanner,俄罗斯著名扫描器,俄罗斯著名扫描器,可用于漏洞和端口扫可用于漏洞和端口扫描。描。NMAP:开源的扫描工具开源的扫描工具,有,有*nix和和Windows两种版本。两种版本。三三.模拟演练:黑客与网管的较量模拟演练:黑客与网管的较量网管之防范扫描网管
29、之防范扫描 通过通过IP筛选开放固定端口。筛选开放固定端口。网卡属性网卡属性-常规常规-TCP/IP属性属性-高级高级 -选项选项-TCP/IP筛选筛选-属性属性-启用启用TCP/IP筛选筛选-添加添加TCP/UDP端口端口 通过系统自带防火墙禁止非法端口访问。通过系统自带防火墙禁止非法端口访问。控制面版控制面版-Windows防火墙防火墙-启用启用 -允许例外允许例外-例外例外-添加端口添加端口-80三三.模拟演练:黑客与网管的较量模拟演练:黑客与网管的较量黑客之下载数据库黑客之下载数据库 数据库地址扫描:数据库地址扫描:手工探测手工探测:黑客利用经验探索服务器是否存在可下载的数:黑客利用经
30、验探索服务器是否存在可下载的数据库。据库。工具探测工具探测:利用黑客工具测试服务器是否存在可下载的数:利用黑客工具测试服务器是否存在可下载的数据库。据库。查询数据库内敏感信息查询数据库内敏感信息 Dvbbs7.MDB-Dv_Log-l_content-得到账户和密码得到账户和密码三三.模拟演练:黑客与网管的较量模拟演练:黑客与网管的较量网管之防范下载网管之防范下载 修改修改MDB后缀后缀.将原本将原本Access数据库的数据库的MDB后缀修改成后缀修改成ASP或者或者ASA后缀,能有效防止黑客下载并破解该数据库,对后缀,能有效防止黑客下载并破解该数据库,对IIS服务器的安全有很好的强化作用。服
31、务器的安全有很好的强化作用。修改数据库连接文件修改数据库连接文件Conn.asp 同时修改数据库连接文件让脚本系统正常运行。同时修改数据库连接文件让脚本系统正常运行。设置数据库密码设置数据库密码:Microsoft Access-打开打开-目标数据库目标数据库-以独占方式以独占方式打开打开-工具工具-安全安全-设置设置/撤消密码撤消密码三三.模拟演练:黑客与网管的较量模拟演练:黑客与网管的较量黑客之获得黑客之获得Shell 登录后台登录后台 通过获得的账户和密码登录后台,拥有对整个脚本系统的生杀通过获得的账户和密码登录后台,拥有对整个脚本系统的生杀大权,可随意增大权,可随意增/删用户、可随意更
32、改论坛信息!删用户、可随意更改论坛信息!备份数据库获得备份数据库获得ShellShell 前台上传经过修改的前台上传经过修改的JPG程序,再到后台通过数据库备份功能程序,再到后台通过数据库备份功能将将JPG程序转换为程序转换为ASP或者或者ASA程序运行,成功获得程序运行,成功获得WebShell。获得获得WebShell以后,在网络管理员未对服务器进行正确合理的以后,在网络管理员未对服务器进行正确合理的安全配置时,可以访问整个硬盘里的全部文件,并拥有完全权限,可安全配置时,可以访问整个硬盘里的全部文件,并拥有完全权限,可读取、删除、写入、运行程序!或者挂上类似读取、删除、写入、运行程序!或者
33、挂上类似“Hackered by*”的的黑页出名。黑页出名。三三.模拟演练:黑客与网管的较量模拟演练:黑客与网管的较量网管之扼杀网管之扼杀Shell ACL设置杜绝设置杜绝Shell 通过通过ACL的设置,可成功防范黑客的入侵,在本例演示的情况的设置,可成功防范黑客的入侵,在本例演示的情况下,只需要设置下,只需要设置IIS整个目录为不可写入,单独设置数据库文件和上整个目录为不可写入,单独设置数据库文件和上传文件可写入,再到传文件可写入,再到IIS控制台中设置上传文件夹不可运行脚本即可。控制台中设置上传文件夹不可运行脚本即可。这样设置后,黑客根本无法获得这样设置后,黑客根本无法获得Shell!查
34、找、删除查找、删除Shell 在被入侵后,通过搜索可方便的找到在被入侵后,通过搜索可方便的找到Shell并进行删除。现在的并进行删除。现在的WebShell有三种形态:独立文件、插入数据库、插入有三种形态:独立文件、插入数据库、插入ASP页面页面。通。通过搜索均能找出它们并删除。过搜索均能找出它们并删除。三三.模拟演练:黑客与网管的较量模拟演练:黑客与网管的较量黑客之控制服务器黑客之控制服务器 放置后门放置后门 通过通过WebShell上传远程控制后门,并运行,可上传远程控制后门,并运行,可获得服务器的完全控制权限!随后可上传获得服务器的完全控制权限!随后可上传/运行更运行更多后门!多后门!控
35、制服务器控制服务器 黑客想做什么做什么!想怎么玩怎么玩!黑客想做什么做什么!想怎么玩怎么玩!三三.模拟演练:黑客与网管的较量模拟演练:黑客与网管的较量网管之掌握控制权网管之掌握控制权 ACLACL列表禁止访问者运行后门列表禁止访问者运行后门 通过严密的通过严密的ACL设置,可禁止设置,可禁止IIS访问者运行程序的权限,让后门访问者运行程序的权限,让后门无法运行。无法运行。防火墙禁止后门连接防火墙禁止后门连接 即使后门运行后,有防火墙禁止后门访问网络,有即使后门运行后,有防火墙禁止后门访问网络,有TCP/IP筛选禁筛选禁止非法端口数据收发,普通后门也无法连接成功。止非法端口数据收发,普通后门也无
36、法连接成功。清理各种后门清理各种后门 清理系统后门是一个艰巨的任务,现在的后门包含了端口绑定、清理系统后门是一个艰巨的任务,现在的后门包含了端口绑定、反向连接、端口复用、反向连接、端口复用、DLL调用、进程插入、调用、进程插入、RootKit(API HOOK)等种类,每一种后门的清理都非常耗费时间和精力,也是黑客与管理等种类,每一种后门的清理都非常耗费时间和精力,也是黑客与管理员之间计算机技术真刀真枪的比拼,包括通信协议、系统调用、服务员之间计算机技术真刀真枪的比拼,包括通信协议、系统调用、服务本质、函数接口、反汇编技术等等等等,这些技术将作为以后大家一本质、函数接口、反汇编技术等等等等,这些技术将作为以后大家一起逐步深入的内容。起逐步深入的内容。谢谢各位谢谢各位
