本套方案基于Windows2008R2，同時借助了Mcafee企業(yè)版殺毒軟件，主要是給大家講解一個思路，希望能給需要的朋友一定的啟發(fā)。

首先要說的第一點，就是關(guān)于Mcafee，Mcafee可以達到的功能，其實系統(tǒng)都可以做到，只是，對一個小白用戶來說，各種復(fù)雜的系統(tǒng)設(shè)置實在過于頭疼，而Mcafee使用起來則相對簡單很多了，經(jīng)過簡單的了解，一般小白都能夠正常使用，不會因為過度的安全設(shè)置而給正常操作帶來很大的不便。

接著來說說我整體的方案吧。首先呢，一些簡單必要的設(shè)置是必不可少的，常用的包括以下幾點：
1、將ASP等用不到的功能項關(guān)掉，這個每個人的服務(wù)器需求都可能不同，自己靈活控制就可以了。
2、接著呢，我們給每一個站點單獨分配一個賬戶，這個賬戶對緩存目錄、必要的dll所在目錄、站點目錄具有可讀取權(quán)限，對其他地方完全不需要任何權(quán)限了
3、處理一些需要寫入權(quán)限的目錄。這里以DiscuzX1.5為例，需要寫入權(quán)限的目錄包括/data、/uc-server/data、/uc_client/data/cache，設(shè)置好寫入權(quán)限之后，在IIS7里面找到這些目錄，將這些目錄的腳本執(zhí)行權(quán)限關(guān)掉。 參考>>>>
4、將遠程桌面的端口改成非默認的3389，同時將系統(tǒng)密碼改得稍微復(fù)雜點。在實際過程中我們發(fā)現(xiàn)，有些朋友的服務(wù)器被黑，其實完全是被社工了而已。
5、使用Mcafee設(shè)置一下端口訪問規(guī)則，一般服務(wù)器不會用來上網(wǎng)，只是對外提供WEB類服務(wù)，所以，直接使用Mcafee對所有端口直接進行封堵，禁止入站，其中對MYSQL、Memcache、遠程桌面等進行簡單例外放行。
6、使用Mcafee對常用危險文件進行封堵，這里很簡單，因為服務(wù)器不是日常使用的，不需要經(jīng)常進行軟件安裝，不會經(jīng)常更改設(shè)置，所以，我們直接全局阻止exe\dll\vbs\com\bat\txt等危險格式的寫入（**\*.exe這樣是代表全局exe），具體哪些格式，你可以具體在網(wǎng)上收集一下。以后要安裝程序或者做出其他修改的時候，臨時停止一下Mcafee就可以了
7、使用Mcafee對DiscuzX1.5的目錄進行詳細限制，雖然前面用NTFS權(quán)限對目錄進行了限制，但是逃不過系統(tǒng)出現(xiàn)漏洞什么的，所以，我們還需要使用Mcafee對相關(guān)目錄進行限制，具體是除了/data、/uc-server/data、/uc_client/data/cache之外的其他目錄全部完全禁止寫入，再細化一下的話，就是進行一些常見攻擊方式的防護，比如說寫入多后綴名文件，我們完全可以使用Mcafee禁止DiscuzX1.5目錄下禁止寫入discuzX1.5\data\**\*.*.*，當然，你還可以自己想到一些其他的細化設(shè)置，比如說禁止data\attachment目錄寫入任何非允許附件格式的文件。
8、阻止cmd.exe被讀取，這一點很重要，很多人通過系統(tǒng)組件調(diào)用cmd來提權(quán)。
9、阻止net.exe被讀取，黑客新建賬號的時候利用的就是它
10、剩下的，我們還需要對常見的附件目錄、數(shù)據(jù)庫進行定期備份

通過上面幾個簡單的設(shè)置，相信我們可以堵住絕大部分的入侵了，那些所謂的小hacker應(yīng)該是很難拿下你的服務(wù)器了。當然，上面的設(shè)置并沒有對數(shù)據(jù)庫進行防護、沒有對惡意刪除附件進行防護，這兩個方面，下一次將與大家分享簡單的防護措施。對上面各條有不清楚的，可以跟帖，我盡量答復(fù)大家。上面的各項都是簡單說了一下思路而已，并沒有做詳細嚴謹?shù)年U述，特此說明，請部分站長朋友不要雞蛋里面挑骨頭，謝謝！

最新評論