Fighting for Dream

常用网络命令

1.最基本，最常用的，测试物理网络的 PING
　　ping 192.168.0.8 －t ，参数－t是等待用户去中断测试
　　
　　2.查看DNS、IP、Mac等
　　A.Win98：winipcfg
　　B.Win2000以上：Ipconfig/all
　　

判断入侵

1.根据表象初步判断

　　医生判断一个病人是否感冒了，可以从是否流鼻涕、是否鼻塞、是否附带咳嗽等表象进行判断，而要想判断系统是否感染了流氓软件，也可以从表象来判断。当系统感染了流氓软件后一般有以下几种可疑迹象可以通过感觉来判断：

　　① 系统运行速度越来越慢

　　安装了病毒防火墙，系统中最近也并没安装什么软件，但是系统的运行速度一天比一天慢，而杀毒软件也没有进行病毒警告，这种情况下，十之八九中了流氓软件的招。

　　② 部分软件，特别是浏览器设置被强行修改

　　由于流氓软件表面上是为用户提供了一些有用的功能，但实质上，它们是为了达到宣传自己的网站、自己的产品等目的。因此，流氓软件一旦成功入侵电脑，它们便会在一些软件上提供相应的插件工具栏，以浏览器类软件居多，在浏览器家族中又以IE最受流氓软件欢迎。当发现日常使用的软件的工具栏被增加了一些项目或是像浏览器的设置被修改了，也足可以说明系统中可能感染了流氓软件。

　　③ 自动弹出广告窗口

　　在正常使用电脑过程中，时而不时地自动弹出一些广告窗口，关闭后隔一断时间又会出现，做广告本是流氓软件的一个目的，因此，当你频繁地看到自动弹出的广告时，系统也有可能感染了流氓软件。

　　④ 自动打开网站

　　与自动弹出广告类似，有些流氓软件更猖狂，会自动启动浏览器并打开一些网站，如果你遇到了这种情况也说明系统有招流氓软件的迹象了。

　　2.利用工具检测

　　根据表象判断只是精略地推断是否感染流氓软件，就像医生给病毒看病一样，先是通过询问等方式来大致地判断病情，最后还会使用相关的医疗机器进行确诊。判断系统是否招流氓软件也应该通过工具来“确诊”。

　　① 使用系统的任务管理器

　　当系统感染了流氓软件后，只要流氓软件正在运行的话，一般都是可以通过系统的任务管理器来寻觅其踪影：

　　按下“Ctrl+Shift+Esc”打开任务管理器窗口，再单击“进程”选项卡，在进程列表中将会看到流氓软件的踪影了。不过，这种方法只适合那些对电脑系统比较熟悉并对流氓软件对应的进程有所了解的朋友们采用。

　　② 使用专用检测工具

　　使用任务管理器这个系统自带的工具来检测流氓软件对用户的要求相对高些，为此，笔者推荐大多数用户使用专业的流氓软件检测工具来检测，这样既直观，操作也会方便很多。

　　现在检测流氓软件的工具有不少，例如:超级兔子、Upiea、恶意软件清理助手、360安全卫士、Windows Defender等。而流氓软件检测数目要数360安全卫士最多。

防范社会工程学

社会工程学是关于建立理论通过自然的，社会的和制度上的途径并特别强调根据现实的双向计划和设计经验来一步接一步的解决各种社会问题.
社会工程学是一种攻击行为， 攻击者利用人际关系的互动性所发出的攻击.通常是收集被攻击者的个人信息,来获取资料和权限,为了服务器的帐号安全,上网时要做到:
1.如果不是必须，不必填写你的个人资料。
2.如果不是必须，不必填写你的真实资料。
3.email、手机号码不要直接发布在公开显示的地方。
4.避免你的昵称和真实身份联系在一起。
5.谨慎使用”记住密码”的功能，随时清除cookies。
6.不要一个邮箱通天下。
7.不要一个昵称通天下。
8.不要一个密码通天下。
9.如果短时间内有大量qq添加你为好友，拒绝。
10.不要点击任何email里和im里传送过来的网址。

Serv-u安全配置

1，首先安装Serv-U，路径随便，不要安装在C盘！
路径尽量复杂的，以减少入侵者猜到安装路径，如D:\5155kdh\5126554dad485\
2，运行Serv-U，注册域，把密码保存设置为 “加密在注册表里(Domain type:Store in computer registry)”。把帐户密码保存在注册表比保存在ServUDaemon.ini安全。

3，Serv-U安装完成后。打开“计算机管理”，“本地用户和组”。新建一个用户，如Asion，密码要长，要复杂，抄下，一会还要用上！ 把用户不能更改密码和密码永不过期勾上3， 打开新建用户(Asion)的属性，在“隶属于”中把Users删除掉，即不属于任何组
在“终端服务配置文件”，把“拒绝这个上用户登录到任何终端服务器”打上勾在“拨入”中，"远程访问权限"为“拒绝访问”
4，打开Serv-U安装目录“属性”“安全”“高级”，取消“允许父项的继承权限传播到该对象和所有子对象”，然后点“复制”把System/Creator owner/Users 删除掉，只留下”Administrator”.然后“添加”“高级”“立刻查找”，把新的建的用户“Asion”进去，权限除完全控制其它都给予！ (即Serv-U安装目录只有两个用户权限，Admin/asion完全控制)

5，，运行注册表程序Regedt32，打开分支\HKEY_LOCAL_MACHINE\SOFTWARE\Cat Soft，右击CatSoft打开权限，取消“允许父项的继续权限传播到该对象和所有子对象”，然后点删除，再应用。当弹出警告对话框“你拒绝了所有用户访问CatSoft。没有人能访问Catsoft。而且只有所有者才能更改权限。你要继续吗” 选择“是”。然后添加Administrator和新建的用户Asion所有权限（完全控制
6，打开计算机管理，“服务和应用程序”“服务”，找到”Serv-U Ftp服务器”，打开“属性”“登录”，将登陆身份设置为“此帐户”，并将新建的帐户asion添加上去，然后填上密码，再应用)接着重新启动一次Serv-U 服务。如果出现“错误5：拒绝访问” 那就要检查以上的操作有没漏做一步！这种现象一般都是权限设置错误！

7，运行Serv-U Admin，在“Settings”“Advanced” 下，添加PASV port range 3000-3030

在域的Advanced中。添加被动端口IP “Allow passive mode data transfers,use IP xxx.xxx.xxx.xxx”

Serv-U安装路径尽量复杂，删除所有快捷图标，包括Documents and Settings 下每个用户目录的快捷方式，目的是尽量减少入侵者猜中。建立新帐户为为Serv-U的服务启动是为安全， Serv-U默认是System启动，而Serv-U有一个默认的管理用户（用户名：localadministrator，密码：#|@$ak#.|k;0@p），任何人只要通过一个能访问本地端口43958的账号就可以随意增删账号和执行任意内部和外部命令。 而注册表中设置只允许Admin和Serv-U服务帐户全权，也是防止入侵IIS后而读取Serv-U的Ftp 帐号密码。指定PASV（被动端口）很有必要，一是减少服务器端口开放，越少越安全；二是使于管理。如果不开放PASV，那么客户用IE登陆FTP就会出错！ 另外FTP最好是开启记录日志，要是被入侵，还有点痕迹可查。

SQL安全方面

SQL安全方面
　　1、System Administrators 角色最好不要超过两个

　　2、如果是在本机最好将身份验证配置为Win登陆

　　3、不要使用Sa账户，为其配置一个超级复杂的密码

　　4、删除以下的扩展存储过程格式为：

　　use master

　　sp_dropextendedproc '扩展存储过程名'

　　xp_cmdshell：是进入操作系统的最佳捷径，删除

　　访问注册表的存储过程，删除

　　Xp_regaddmultistringXp_regdeletekeyXp_regdeletevalueXp_regenumvalues
　　Xp_regread Xp_regwrite Xp_regremovemultistring

　　OLE自动存储过程，不需要，删除

　　Sp_OACreate Sp_OADestroySp_OAGetErrorInfoSp_OAGetProperty
　　Sp_OAMethodSp_OASetPropertySp_OAStop

　　5、隐藏 SQL Server、更改默认的1433端口。

　　右击实例选属性-常规-网络配置中选择TCP/IP协议的属性，选择隐藏 SQL Server 实例，并改原默认的1433端口。

关闭高危端口

首先创建IP筛选器和筛选器操作
1、"开始"->"程序"->"管理工具"->"本地安全策略"，微软建议使用本地安全策略进行IPsec的设置，因为本地安全策略只应用到本地计算机上,而通常ipsec都是针对某台计算机量身定作的。
2、右击"Ip安全策略，在本地机器"，选择"管理 IP 筛选器表和筛选器操作"，启动管理 IP 筛选器表和筛选器操作对话框。只有创建一个IP筛选器和相关操作才能够建立一个相应的IPsec安全策略.
3、在"管理 IP 筛选器表"中，按"添加"按钮建立新的IP筛选器：
1)、在跳出的IP筛选器列表对话框内,填上合适的名称,我们这儿使用"tcp135",描述随便填写.单击右侧的"添加…"按钮,启动IP筛选器向导；
2)、跳过欢迎对话框，下一步；
3)、在IP通信源页面，源地址选"任何IP地址"，下一步；
4)、在IP通信目标页面，目标地址选"我的IP地址"，下一步；
5)、在IP协议类型页面，选择"TCP".下一步；
6)、在IP协议端口页面，选择"到此端口"并设置为"135",其它不变.下一步；
7)、完成后关闭IP筛选器列表对话框时会发现tcp135IP筛选器出现在IP筛选器列表中。
注：可接着增加端口号，方法同上，这里不在一一陈述。
4、选择"管理筛选器操作"标签,创建一个拒绝操作：
1)单击"添加"按钮，启动"筛选器操作向导"，下一步；
2)在筛选器操作名称页面，填写名称，这儿填写"拒绝"，下一步；
3)在筛选器操作常规选项页面，将行为设置为"阻止"，下一步；
4)完成，关闭"管理 IP 筛选器表和筛选器操作"对话框。
接着创建IP安全策略
1、右击"Ip安全策略，在本地机器"选择"创建IP安全策略"，启动IP安全策略向导，跳过欢迎页面，下一步；
2、在IP安全策略名称页面,填写合适的IP安全策略名称，这儿我们可以填写"拒绝对tcp135端口的访问"，描述可以随便填写，下一步；
3、在安全通信要求页面，不选择"激活默认响应规则"，下一步；
4.、在完成页面选择"编辑属性"，完成。
5、在"拒绝对tcp135端口的访问属性"对话框中进行设置，首先设置规则：
1)、单击下面的"添加…"按钮，启动安全规则向导，下一步；
2)、在隧道终结点页面选择默认的"此规则不指定隧道"，下一步；
3)、在网络类型页面选择默认的"所有网络连接"，下一步；
4)、在身份验证方法页面选择默认的"windows 2000默认值(Kerberos V5 协议)"，下一步；
5)、在IP筛选器列表页面选择刚建立的"tcp135"筛选器，下一步；
6)、在筛选器操作页面刚建立的"拒绝"操作，下一步；
7)、在完成页面中不选择"编辑属性"，随后确定完成，关闭"拒绝对tcp135端口的访问属性"对话框即可。
指派和应用IPsec安全策略
1、缺省情况下，任何IPsec安全策略都未被指派.首先我们要对新建立的安全策略进行指派，在本地安全策略MMC中，右击我们刚刚建立的""拒绝对tcp135端口的访问属性"安全策略，选择"指派。
2、立即刷新组策略，使用"secedit /refreshpolicy machine_policy"命令可立即刷新组策略。
通过以上方法融会贯通可以关闭自己本机不需要的端口，至于哪些是高危，在这里就不用我说了吧。

调用Cmd.exe

禁用Guests组用户调用cmd.exe，命令为cacls C:\WINNT\system32\Cmd.exe /e /d guests， 最后设置上传存放上传文件的文件夹禁止运行ASP，例外：如果服务器安装S U FTP工具千万要安装6.0以上版本修改默认密码防止提权，FTP、SA、等密码一定要设得复杂些，目前很多人都设置为“默认”。
由于我们设置该文件夹禁止运行ASP， 如果对方通过WBE漏洞想利用上传ASP文件进入的话，那是无用的，这里假设对方通过某种手段运行了ASP后门，那么管理人员也可以在了解一ASP后门的基本功后能，采用相对的应付方法即可防范，如下：
1、查看系统盘符：设置了USERS组无法访问或使用的专门用户没有权限。
2、查看Documents and Settings、Program Files 文件夹：设置无权限。
3、列用户组与进程：禁用了workstation 服务。
4、调用CMD：设置USERS用户组没有权限调用行为。
5、调用WScript.Shell与Shell.Application ：删除或者进行修改。
6、S U提权：改动密码。
大体就这些以上几种我们都相对设置了应付方案，在WEB方面既可保证相对的服务器安全。
总结：网络安全是不容忽视的，不要等到事情发生之后才去补救，同样网络安全是无极限的，技术的比拼就是一场没有硝烟的战争。有句话很经典：在网络中只有相对的安全没有绝对的安全，要想打好一场战争就要知己知彼，只有在了解了入侵手法后才能做的更好的防范。