终于收到Canonical公司寄来的Ubuntu盘
光盘有两张,64位的和32位的,有兴趣可以申请下。
http://shipit.ubuntu.com
IIS的安全
1、不使用默认的Web站点,如果使用也要将IIS目录与系统磁盘分开。
2、删除IIS默认创建的Inetpub目录(在安装系统的盘上)。
3、删除系统盘下的虚拟目录,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
4、删除不必要的IIS扩展名映射。
右键单击“默认Web站点→属性→主目录→配置”,打开应用程序窗口,去掉不必要的应用程序映射。主要为.shtml、.shtm、 .stm。
5、更改IIS日志的路径
右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性
6、如果使用的是2000可以使用iislockdown来保护IIS,在2003运行的IE6.0的版本不需要。
日志保护
√·Windows日志的移动
打开"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\"
Application 子项:应用程序日志
Security 子项:安全日志
System 子项:系统日志
分别更改子项的File键值,再把System32\config目录下的AppEvent.Evt、SecEvent.Evt、SysEvent.Evt复制到目标文件夹,重启。
√·Windows日志的保护
1、移动日志后的文件夹→属性→安全→高级→去掉"允许父系的继承权限……"→复制→确定
2、保留System账户和User组,System账户保留除完全控制和修改之外的权限,User组仅保留只读权限
3、AppEvent.Evt、SysEvent.Evt保留Administrator、System账户和User组,Administrator、System账户保留除完全控制和修改之外的权 限,User组仅保留只读权限;
DnsEvent.Evt、SecEvent.Evt保留System账户和User组,System账户保留除完全控制和修改之外的权限,User组仅保留只读权限
常用网络命令
1.最基本,最常用的,测试物理网络的 PING
ping 192.168.0.8 -t ,参数-t是等待用户去中断测试
2.查看DNS、IP、Mac等
A.Win98:winipcfg
B.Win2000以上:Ipconfig/all
3.网络信使 (经常有人问的~)
Net send 计算机名/IP * (广播) 传送内容,注意不能跨网段
net stop messenger 停止信使服务,也可以在面板-服务修改
net start messenger 开始信使服务
4.探测对方对方计算机名,所在的组、域及当前用户名 (追捕的工作原理)
ping -a IP -t ,只显示NetBios名
5.netstat -a 显示出你的计算机当前所开放的所有端口
netstat -s -e 比较详细的显示你的网络资料,包括TCP、UDP、ICMP 和 IP的统计等
6.探测arp绑定(动态和静态)列表,显示所有连接了我的计算机,显示对方IP和MAC地址
arp -a
7.在代理服务器端
捆绑IP和MAC地址,解决局域网内盗用IP!:
ARP -s 192.168.10.59 00 -50-ff-6c-08-75
解除网卡的IP与MAC地址的绑定:
arp -d 网卡IP
8.在网络邻居上隐藏你的计算机 (让人家看不见你!)
net config server /hidden:yes
net config server /hidden:no 则为开启
9.几个net命令
A.显示当前工作组服务器列表 net view,当不带选项使用本命令时,它就会显示当前域或网络上的计算机上的列表。
B.查看计算机上的用户帐号列表 net user
C.查看网络链接 net use
D.记录链接 net session
10.路由跟踪命令
A.tracert pop.pcpop.com
B.pathping pop.pcpop.com 除了显示路由外,还提供325S的分析,计算丢失包的%
11.关于共享安全的几个命令
A.查看你机器的共享资源 net share
B.手工删除共享(可以编个bat文件,开机自运行,把共享都删了!)
net share c$ /d
net share d$ /d
net share ipc$ /d
net share admin$ /d
注意$后有空格。
C.增加一个共享:
c:\net share mymovie=e:\downloads\movie /users:1
mymovie 共享成功。
同时限制链接用户数为1人。
12.在DOS行下设置静态IP
A.设置静态IP
CMD
netsh
netsh>int
interface>ip
interface ip>set add "本地链接" static IP地址 mask gateway
B.查看IP设置
interface ip>show address
Net send 计算机名/IP * (广播) 传送内容,注意不能跨网段
net stop messenger 停止信使服务,也可以在面板-服务修改
net start messenger 开始信使服务
4.探测对方对方计算机名,所在的组、域及当前用户名 (追捕的工作原理)
ping -a IP -t ,只显示NetBios名
5.netstat -a 显示出你的计算机当前所开放的所有端口
netstat -s -e 比较详细的显示你的网络资料,包括TCP、UDP、ICMP 和 IP的统计等
6.探测arp绑定(动态和静态)列表,显示所有连接了我的计算机,显示对方IP和MAC地址
arp -a
7.在代理服务器端
捆绑IP和MAC地址,解决局域网内盗用IP!:
ARP -s 192.168.10.59 00 -50-ff-6c-08-75
解除网卡的IP与MAC地址的绑定:
arp -d 网卡IP
8.在网络邻居上隐藏你的计算机 (让人家看不见你!)
net config server /hidden:yes
net config server /hidden:no 则为开启
9.几个net命令
A.显示当前工作组服务器列表 net view,当不带选项使用本命令时,它就会显示当前域或网络上的计算机上的列表。
B.查看计算机上的用户帐号列表 net user
C.查看网络链接 net use
D.记录链接 net session
10.路由跟踪命令
A.tracert pop.pcpop.com
B.pathping pop.pcpop.com 除了显示路由外,还提供325S的分析,计算丢失包的%
11.关于共享安全的几个命令
A.查看你机器的共享资源 net share
B.手工删除共享(可以编个bat文件,开机自运行,把共享都删了!)
net share c$ /d
net share d$ /d
net share ipc$ /d
net share admin$ /d
注意$后有空格。
C.增加一个共享:
c:\net share mymovie=e:\downloads\movie /users:1
mymovie 共享成功。
同时限制链接用户数为1人。
12.在DOS行下设置静态IP
A.设置静态IP
CMD
netsh
netsh>int
interface>ip
interface ip>set add "本地链接" static IP地址 mask gateway
B.查看IP设置
interface ip>show address
判断入侵
1.根据表象初步判断
医生判断一个病人是否感冒了,可以从是否流鼻涕、是否鼻塞、是否附带咳嗽等表象进行判断,而要想判断系统是否感染了流氓软件,也可以从表象来判断。当系统感染了流氓软件后一般有以下几种可疑迹象可以通过感觉来判断:
① 系统运行速度越来越慢
安装了病毒防火墙,系统中最近也并没安装什么软件,但是系统的运行速度一天比一天慢,而杀毒软件也没有进行病毒警告,这种情况下,十之八九中了流氓软件的招。
② 部分软件,特别是浏览器设置被强行修改
由于流氓软件表面上是为用户提供了一些有用的功能,但实质上,它们是为了达到宣传自己的网站、自己的产品等目的。因此,流氓软件一旦成功入侵电脑,它们便会在一些软件上提供相应的插件工具栏,以浏览器类软件居多,在浏览器家族中又以IE最受流氓软件欢迎。当发现日常使用的软件的工具栏被增加了一些项目或是像浏览器的设置被修改了,也足可以说明系统中可能感染了流氓软件。
③ 自动弹出广告窗口
在正常使用电脑过程中,时而不时地自动弹出一些广告窗口,关闭后隔一断时间又会出现,做广告本是流氓软件的一个目的,因此,当你频繁地看到自动弹出的广告时,系统也有可能感染了流氓软件。
④ 自动打开网站
与自动弹出广告类似,有些流氓软件更猖狂,会自动启动浏览器并打开一些网站,如果你遇到了这种情况也说明系统有招流氓软件的迹象了。
2.利用工具检测
根据表象判断只是精略地推断是否感染流氓软件,就像医生给病毒看病一样,先是通过询问等方式来大致地判断病情,最后还会使用相关的医疗机器进行确诊。判断系统是否招流氓软件也应该通过工具来“确诊”。
① 使用系统的任务管理器
当系统感染了流氓软件后,只要流氓软件正在运行的话,一般都是可以通过系统的任务管理器来寻觅其踪影:
按下“Ctrl+Shift+Esc”打开任务管理器窗口,再单击“进程”选项卡,在进程列表中将会看到流氓软件的踪影了。不过,这种方法只适合那些对电脑系统比较熟悉并对流氓软件对应的进程有所了解的朋友们采用。
② 使用专用检测工具
使用任务管理器这个系统自带的工具来检测流氓软件对用户的要求相对高些,为此,笔者推荐大多数用户使用专业的流氓软件检测工具来检测,这样既直观,操作也会方便很多。
现在检测流氓软件的工具有不少,例如:超级兔子、Upiea、恶意软件清理助手、360安全卫士、Windows Defender等。而流氓软件检测数目要数360安全卫士最多。
防范社会工程学
社会工程学是关于建立理论通过自然的,社会的和制度上的途径并特别强调根据现实的双向计划和设计经验来一步接一步的解决各种社会问题.
社会工程学是一种攻击行为, 攻击者利用人际关系的互动性所发出的攻击.通常是收集被攻击者的个人信息,来获取资料和权限,为了服务器的帐号安全,上网时要做到:
1.如果不是必须,不必填写你的个人资料。
2.如果不是必须,不必填写你的真实资料。
3.email、手机号码不要直接发布在公开显示的地方。
4.避免你的昵称和真实身份联系在一起。
5.谨慎使用”记住密码”的功能,随时清除cookies。
6.不要一个邮箱通天下。
7.不要一个昵称通天下。
8.不要一个密码通天下。
9.如果短时间内有大量qq添加你为好友,拒绝。
10.不要点击任何email里和im里传送过来的网址。
Serv-u安全配置
1,首先安装Serv-U,路径随便,不要安装在C盘!
路径尽量复杂的,以减少入侵者猜到安装路径,如D:\5155kdh\5126554dad485\
2,运行Serv-U,注册域,把密码保存设置为 “加密在注册表里(Domain type:Store in computer registry)”。把帐户密码保存在注册表比保存在ServUDaemon.ini安全。
3,Serv-U安装完成后。打开“计算机管理”,“本地用户和组”。新建一个用户,如Asion,密码要长,要复杂,抄下,一会还要用上! 把用户不能更改密码和密码永不过期勾上3, 打开新建用户(Asion)的属性,在“隶属于”中把Users删除掉,即不属于任何组
在“终端服务配置文件”,把“拒绝这个上用户登录到任何终端服务器”打上勾在“拨入”中,"远程访问权限"为“拒绝访问”
4,打开Serv-U安装目录“属性”“安全”“高级”,取消“允许父项的继承权限传播到该对象和所有子对象”,然后点“复制”把System/Creator owner/Users 删除掉,只留下”Administrator”.然后“添加”“高级”“立刻查找”,把新的建的用户“Asion”进去,权限除完全控制其它都给予! (即Serv-U安装目录只有两个用户权限,Admin/asion完全控制)
5,,运行注册表程序Regedt32,打开分支\HKEY_LOCAL_MACHINE\SOFTWARE\Cat Soft,右击CatSoft打开权限,取消“允许父项的继续权限传播到该对象和所有子对象”,然后点删除,再应用。当弹出警告对话框“你拒绝了所有用户访问CatSoft。没有人能访问Catsoft。而且只有所有者才能更改权限。你要继续吗” 选择“是”。然后添加Administrator和新建的用户Asion所有权限(完全控制
6,打开计算机管理,“服务和应用程序”“服务”,找到”Serv-U Ftp服务器”,打开“属性”“登录”,将登陆身份设置为“此帐户”,并将新建的帐户asion添加上去,然后填上密码,再应用)接着重新启动一次Serv-U 服务。如果出现“错误5:拒绝访问” 那就要检查以上的操作有没漏做一步!这种现象一般都是权限设置错误!
7,运行Serv-U Admin,在“Settings”“Advanced” 下,添加PASV port range 3000-3030
在域的Advanced中。添加被动端口IP “Allow passive mode data transfers,use IP xxx.xxx.xxx.xxx”
Serv-U安装路径尽量复杂,删除所有快捷图标,包括Documents and Settings 下每个用户目录的快捷方式,目的是尽量减少入侵者猜中。建立新帐户为为Serv-U的服务启动是为安全, Serv-U默认是System启动,而Serv-U有一个默认的管理用户(用户名:localadministrator,密码:#|@$ak#.|k;0@p),任何人只要通过一个能访问本地端口43958的账号就可以随意增删账号和执行任意内部和外部命令。 而注册表中设置只允许Admin和Serv-U服务帐户全权,也是防止入侵IIS后而读取Serv-U的Ftp 帐号密码。指定PASV(被动端口)很有必要,一是减少服务器端口开放,越少越安全;二是使于管理。如果不开放PASV,那么客户用IE登陆FTP就会出错! 另外FTP最好是开启记录日志,要是被入侵,还有点痕迹可查。
