常见服务器被黑权限的原因及解决方案
2013/12/8 0:16:00 人气 954 计算机网络论坛由于互联网行业的持续发展和扩大,安装和使用服务器的人群越来越大,而相应的也存在服务器的安全隐患导致被恶意控制。天信网络数据中心(简称:天信网络)就服务器被写入权限的常用手法及防范方式作出一个列举和概述。
服务器在网络上是以IP作为存在标识的。相应的方式就是针对于不同端口所作出的**。
一 80端口
此端口默认为WEB访问端口 ,出现提权的情况一般是由于IIS匿名用户非自定义及站点默认目录权限过高,导致通过特定代码恶意写入了web shell文件拿到的权限。
防范方式
自定义web匿名访问用户,将站点目录转移至非系统盘,匿名用户删除组权限并控制写入权限。
二 139及445端口
139端口是windows netbios 和文件及打印共享端口,445端口是专用的文件本地共享端口。通过这2个端口的侦测和请求可以直接穿越管理员权限拿到服务器管理SHELL
防范方式
1 关闭139
本地连接属性-TCP/IP属性-高级-wins-禁用tcp/ip上的netbios
2 关闭445
修改注册表,添加一个键值
Hive: HKEY_LOCAL_MACHINE
Key: System\CurrentControlSet\Services\NetBT\Parameters
Name: SMBDeviceEnabled
Type: REG_DWORD
Value: 0
三 1433端口
此端口默认为MSSQLSERVER各版本的对外通讯端口,一般情况下是由于未删除危险SP及管理员SA密码强度过弱导致的**。
四 3306端口
该端口是默认的mysql对外通讯端口,出现**的情况一般是由于弱口令及服务为默认系统启动导致的通过mysql远程登录提权
五 3389端口
该端口导致的**基本上可以完全肯定为管理员口令密码强度过弱导致,建议管理员密码不低于8位,最好为大小写字母+数字+符号的高强度混合密码
另外 修改默认的远程连接端口也可以避免这一情况发生
修改方式
步骤:打开“开始→运行”,
输入“regedit”,打开注册表,进入以下路径:
[HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Control\Terminal Server\ Wds\rdpwd\Tds\tcp\PortNamber 修改这个DWORD键值的值(默认D3D-3389的16进制) 注意进制问题
再打开[HKEY_LOCAL_MACHINE\ SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\RDP\Tcp\PortNumber 修改这个DWORD键值的值(默认D3D-3389的16进制) 修改完毕,重新启动电脑,以后远程登录的时候就使用新端口登陆了
服务器在网络上是以IP作为存在标识的。相应的方式就是针对于不同端口所作出的**。
一 80端口
此端口默认为WEB访问端口 ,出现提权的情况一般是由于IIS匿名用户非自定义及站点默认目录权限过高,导致通过特定代码恶意写入了web shell文件拿到的权限。
防范方式
自定义web匿名访问用户,将站点目录转移至非系统盘,匿名用户删除组权限并控制写入权限。
二 139及445端口
139端口是windows netbios 和文件及打印共享端口,445端口是专用的文件本地共享端口。通过这2个端口的侦测和请求可以直接穿越管理员权限拿到服务器管理SHELL
防范方式
1 关闭139
本地连接属性-TCP/IP属性-高级-wins-禁用tcp/ip上的netbios
2 关闭445
修改注册表,添加一个键值
Hive: HKEY_LOCAL_MACHINE
Key: System\CurrentControlSet\Services\NetBT\Parameters
Name: SMBDeviceEnabled
Type: REG_DWORD
Value: 0
三 1433端口
此端口默认为MSSQLSERVER各版本的对外通讯端口,一般情况下是由于未删除危险SP及管理员SA密码强度过弱导致的**。
四 3306端口
该端口是默认的mysql对外通讯端口,出现**的情况一般是由于弱口令及服务为默认系统启动导致的通过mysql远程登录提权
五 3389端口
该端口导致的**基本上可以完全肯定为管理员口令密码强度过弱导致,建议管理员密码不低于8位,最好为大小写字母+数字+符号的高强度混合密码
另外 修改默认的远程连接端口也可以避免这一情况发生
修改方式
步骤:打开“开始→运行”,
输入“regedit”,打开注册表,进入以下路径:
[HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Control\Terminal Server\ Wds\rdpwd\Tds\tcp\PortNamber 修改这个DWORD键值的值(默认D3D-3389的16进制) 注意进制问题
再打开[HKEY_LOCAL_MACHINE\ SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\RDP\Tcp\PortNumber 修改这个DWORD键值的值(默认D3D-3389的16进制) 修改完毕,重新启动电脑,以后远程登录的时候就使用新端口登陆了
给老子摆正不要乱放屁,不要太把自己当回事
暂无回复!
发表回复