前言
幾年前在社區中也發過類似的帖子，但是之后時間由于各種原因并沒更新重發。今年由于熊貓的原因我決定發布新版本的安全手冊。

本貼僅面相普通的計算機使用用戶，說以我盡量避免使用復雜的系統設置圖解而是盡可能用第三方軟件代替。軟件的使用宗旨也是盡量使用免費軟件和中文軟件。

思路我的重點并沒有放到查殺上，而是注重防上。一切都圍繞這個主題進行。

由于這是一個很龐雜的帖子，一次不可能完成所以帖子會不斷進行更新，某些內容可能來源其它網友我會盡可能署上作者姓名，如有 相關問題請聯系我：）更新前后會效仿軟件的版本號的形式注明。我已經向社區的版主征集相關的稿件，并會把相關的內容及時更新上來。

為了統一版面，以及后續的編譯更新本貼將關閉回復功能。但是會開一個新的專門帖子供大家回復，回復貼地址http://forum.ikaka.com/topic.asp?board=28&artid=8261955因為本貼非常需要大家的意見及建議。說以希望大家能多多的灌水：）

面相對象
目前本貼僅面相單機普通個人用戶的系統安全。但是考慮到很多朋友已經擁有二臺或兩臺以上的計算機設備，而且多機聯網可以有更大的安全空間，和更多安全選擇以及更好的安全效果。說以相關的內容會在后面的時間更新（已經在朋友那里組建完畢三機〔兩臺式一筆記本〕測試平臺，目前正在測試并收集相關的數據）

系統安裝前
分區應該是大家在安裝系統前最先碰到的一個問題，也是第一個被大家忽略的問題。給大家的意見就是系統盤也就是大家說的c盤應該在10G左右考慮到新系統（VISTA）可適當的擴展到15G。而工具盤也是說的D盤也應該在10G左右的空間。剩下的盤符大家可以自便，但是最后一個區空間應該適當的大一些因為我們用它來作資料備份使用。

磁盤格式的選擇
強烈建議大家的把C,D兩個盤符分成NTFS格式。因為WINDOWS的安全全都是建立在NTFS基礎之上的。拋棄了NTFS也就不要談什么安全了（大家注意的是使用NTFS格式后在 DOS下是 看不到NTFS分區的，你看到的C：應該是NTFS分區之后的那FAT32個區，但是借助其它軟件也可以查看DOS下的 NTFS的 數據）但是我也不推薦全部分區都使用NTFS，因為這樣你備份以及一些其它的操作可能會受到一些影響。所以個人的意見是把最后一個區也就是備份區分成FAT32。

系統選擇
微軟的VISTA系統已經上市了，但是由于其極高的硬件要求更因為第三方軟件軟件兼容性上的問題。我們暫時沒有選擇VISTA而是選擇成熟的 WINDOWS XP SP2 PRO。(放棄了2003是因為其設置上對于很多用戶是巨大的瓶頸，而且2003對很多軟件尤其是安全軟件都存在兼容性的問題。但是在以后涉及到多機安全上我們將涉及2003或服務器版本的 VISTA)

系統安裝
對于普通用戶來說系統安裝是最簡單的問題了，看似沒有說的必要。但是往往問題都是出在我們忽略的小事情上。比如系統，補丁，驅動等的安裝順序上。我的建議是系統→SP補?。ó斎荒壳暗腦PSP2已經沒有必要）→Microsoft .NET Framework，IE, Windows Media Player更新包→安全更新→驅動的順序進行安裝。當然并不是說你不安這個順序安裝有什么問題，但是這樣作做少會降低很多不必要的隱患。

首次備份時間點
這樣安裝完驅動后，我們的系統就基本本宣告安裝完畢了。此時建議你使用備份軟件對系統進行備份，并最好把備份文件進行光盤存檔。

軟件提示
由于眾所周知的問題，在進行以上安裝的時候用戶會碰到第一個棘手的問題。就是無法下載WINDOWS的安全更新！此時建議相關的用戶安裝Windows Updates Downloader，該軟件是免費軟件，首次使用需要到其官方網站下載相應語言版本的文件（有WINDOWS和OFFICE二種）之后就可以點擊DOWNLOAD更新，它不僅僅提供安全更新，還提供SERVICE PACKS（也就是SP）更新和FRAMEWORK更新。唯一需要注意的就是該軟件不會檢測你 系統中已經安裝的補丁，它之會把所有更新全部列出，所以用戶下載時請酌情下載相應的補丁。它還會下載非關鍵更新OTHER：）但是不一定沒有用，很有意思哦！

操作系統設置
以前是非常難說的問題，也是最費筆墨的一個部分。但是現在有了XP-ANTISPY這個軟件一切都變的非常簡單了！它同樣也是一個免費軟件，它將系統設置的各個的方面以選項的的 形式放在用戶面前，最讓人興奮的的 是每個選項作者都給出了詳細說明，用戶根據提示就可以把為復雜的系統的設置變成簡單的點擊。

非管理員賬戶的創建及設置
說VISTA的安全性的 提高，一個重要的原因就是。微軟借鑒LINUX的對管理員賬戶進行嚴格管制的思路，不讓用戶直接進入管理員賬戶即使要進入也輸入密碼……其實我們在非VISTA系統也可以這樣作。（由于時間的關系該內容以后更新）

密碼管理
（由于時間的關系該內容以后更新）

安全軟件的選擇

前言
對于防病毒軟件來說，沒有什么完美的軟件。甚至在一線和二線廠商之間也沒有什么大的分別。因為幾乎每一個我們知道或不知道的廠商都有自己獨特的反病毒技術，正是因為這種理念的不同就使的各個軟件在不同方面都有自己的優點及缺陷。對于用戶來說沒有最好的，只有最適合自己的。當然這種分寸拿捏是需要用戶對自己系統了解，以及對各個軟件長時間反復測試才能的出。對于普通用戶來說這顯然是很困難的。所以我給出是一個最大眾化的配置，它在各個方面都不會是最出色的配置，但是它也應該是綜合性能最優秀的一個。

普通用戶方案

主殺毒軟件
瑞星二〇〇七
并非是因為我是IKAKA的版主或因為本貼是在社區首發，而推薦瑞星二〇〇七的。因為這個版本的瑞星改進的脫殼程序完善了網友對瑞興詬病最多的木馬查殺環節，使用“碎甲”技術，完善了啟發查毒以及對虛擬機的成功應用，這一切都讓瑞星成了用戶的不二選擇。而且只要對瑞星進行合理的設置就基本可以抵御用戶面對安全問題。
安全建議：社區有不少二〇〇七優化方案的 帖子大家最好看看：）

輔助殺毒
這里的殺毒軟件僅僅是對 主殺毒軟件的一個補充，因為目前的安全形式已經很難讓用戶用單一的安全手段面對日益增長威脅。輔助殺毒一般不會有實時監控程序即使有也建議用戶取消，僅僅只在下載新軟件后手動調用輔助殺毒程序進行查殺（也就是鼠標右鍵）
推薦1
Cureit它是鼎鼎大名的Dr.web的 免費版。Dr.web是俄科學院研制供俄羅斯軍方專業的殺毒軟件，其引擎對木馬脫殼能力應該是眾多殺毒軟件中最強大的，即使是卡巴斯基單從引擎上 說也遜色三分。Cureit根Dr.web的 區別僅僅是沒有實時監控程序，其它諸如引擎和病毒庫上都是完全相同的。
優點：完全免費，資源占用少 缺點：沒有中文版。
推薦二
**
**就不用說了，其根瑞星的淵源我也不用細細道來了，選用**的理由很簡單就是其設計的初衷！一款主動防御軟件。具體的 說明大家有興趣可以到其官方網站了解。
優點：國貨！對主殺毒程序兼容好 缺點：付費軟件，資源占用稍大。

防火墻
前言
沒有安全的墻！目前大家對防火墻評測基本都是國外網站的測試的結果，而且流行的無非都是那幾款。但是非常遺憾的告訴大家這些墻都有或大或小的安全BUG，而且即使是ZA這種被網友“力捧”的墻在其設計構架中都存在致命的缺陷。最關鍵不是你看別人說什么墻好，而是你了解什么墻你會用什么墻。

瑞星二〇〇七防火墻
又是瑞星？沒錯！首先它是瑞星殺毒軟件標準版中就附帶，而且經過不斷的改進瑞星防火墻已經成為一款成熟的產品。瑞星殺毒軟件＋瑞星防火墻＋注冊表監控，用戶只要運用好這3樣工具就基本可以從容的應付常見的安全威脅。
社區有網友提供瑞星防火墻規則包建議大家安裝，不錯的：）有時間我可能會更新一個新包上來：）

其它防火墻
（由于時間的關系該內容以后更新）

花絮：一樣的外衣不一樣的心
很多人都關系某某部門用了什么軟件或軍方用了什么軟件，其實這完全沒有什么意義因為首先你不可能享受到想這些部門一樣的服務。其次這些殺毒軟件的DAT或防火墻的規則你是根本就接觸甚至看不到的。編譯好自己的規則才時最關鍵的。

HIPS
什么是HIPS
HIPSPS（主機入侵防御體系），也被稱為系統防火墻，今年開始在比較專業的用戶中開始流行，甚至一些殺毒軟件廠商研究新病毒的時候都用它們來最終分析。HIPS可以控制限制進程調用,或者禁止更改或者添加注冊表文件。當某進程或者程序試圖偷偷運行時，這個行為就會被所HIPS檢測，然后彈出警告，詢問用戶是否允許運行。如果用戶擁有足夠的軟件和系統進程方面知識的情況下,利用HIPS軟件能非常有效的防止木馬或者病毒的偷偷運行。如果運用的好甚至可以擺脫對殺毒軟件的依靠?。ìF在開始風行的行為殺毒其實就是HIPS功能的智能化）。的功能分類有Application Defend（簡稱AD）應用程序防御體系， Registry Defend（簡稱RD）注冊表防御體系（比如瑞星的注冊表監控）， File Defend（簡稱FD）文件防御體系三類。
第一次使用HIPS時用戶進行各種操作軟件都會有提示，用戶安提示操作就可以了以后只要文件沒有被病毒或木馬破壞就不會有相關的提示，但是這也要求使用HIPS一定要不怕麻煩，并能認真閱讀HIPS的提示信息。否則HIPS對你不但沒有什么幫助，也會徒增你的煩惱
推薦
System Safety Monitor（簡稱SSM）是目前最紅的HIPS軟件，經過幾年的開發，現在SSM2.2已經基本成熟了，系統資源占用也越來越少，它擁有AD和RD功能，可以察看運行程序的父子關系，就是界面設計的有些煩瑣，上手比較麻煩，擁有MD5和更強大的256位SHA效驗算法可以選擇。同時也有中文語言包，雖然價格比較高，但是還有免費的版本提供，不過少了磁盤底層寫入監視和RD（正因為瑞星又RD功能，所以我推薦SSM作為普通用戶方案HIPS的搭配）
注意：SSM有付費和免費兩種版本，免費版僅缺少幾項項監控。用戶可根據自己的情況選擇！建議大家用免費版本：）

第二次備份時間點
使用上述軟件對 系統進行完全掃描后，用戶就可以進行第二次的備份操作！備份文件直接備份備份區分即可刻在光盤上也不錯：）

新聞事件回放

　　2006年12月20日，亞洲最大機房—網通北京亦莊機房遭受了最嚴重的攻擊。當天，最高攻擊流量超過12G，而亦莊機房的帶寬約為7G，這造成了機房的間歇性癱瘓。

　　亦莊機房請求CNCERT/CC協助進行調查，據CNCERT/CC預估，黑客此次至少同時調集了2萬臺機器對亦莊機房進行攻擊，這是CNCERT/CC所見過的國內最大黑客攻擊案。

　　在這起事件里，由2萬臺機器所組成的僵尸網絡成為了黑客手中最“得力”的工具。僵尸網絡已經成為令人頭痛的問題，就在上期《網絡世界》的一篇文章中，微軟公司的Internet安全執法小組高級律師就認為，僵尸網絡由于其集中的力量，已經成為發生嚴重計算機犯罪的溫床，是當前最大的威脅。早在2004年，國內就發生了首例僵尸網絡攻擊案，一名唐山的黑客操控6萬臺電腦組成的僵尸網絡對北京一家音樂網站進行了連續三個月的分布式拒絕服務（DDoS）攻擊，造成經濟損失達700余萬元。

　　僵尸網絡難以根除

　　僵尸網絡實際上是垃圾郵件、病毒和特洛伊木馬發展的最終結果。所謂僵尸網絡，就是黑客利用僵尸程序控制大量互聯網用戶的計算機，這些計算機就像“僵尸”一樣被黑客所操縱，隨時按照黑客的指令展開DDoS攻擊或發送垃圾信息，而真正的用戶卻毫不知情，就仿佛沒有自主意識的僵尸一般。成千上萬臺被感染的計算機組成的僵尸網絡，可以在統一號令下同時對網絡的某個節點發動攻擊，從而形成極強的破壞力，成為一支網絡上可以用于進行各種破壞活動的力量。

　　制止僵尸網絡的辦法之一就是讓ISP出面來查找惡意行為并鏟除它們。最近，英國電信宣布將使用來自某公司的產品和服務來檢測向外發送的垃圾郵件。另外，還有很多協同捕獲僵尸網絡的工具也正在被開發出來。

　　ISP們利用的另一項技術是：讓各ISP公司和其他公司結合成網絡，并與享有聲望的安全公司共同分享關于僵尸計算機（bots）的信息，并將這些數據與他們自己內部的數據進行協調。

　　通過使用這些數據，系統能夠在bots登錄互聯網或者發送電子郵件的時候，將其識別出來，繼而使用網絡訪問控制技術，將系統隔離在一個單獨的子網里。此時用戶會被提醒要注意一些問題，網絡會提供一些資源來修復用戶的機器，或是登錄時網絡要求其下載一些工具，以確保安全性，同時網絡會要求他們進行操作系統升級。

　　但是研究僵尸網絡的專家們依然感覺不樂觀，因為僵尸網絡是如此龐大和復雜，很難將其打敗。一位專家表示，僵尸網絡已經發展到了不需要尋找和記下任何命令和控制的地步。而在過去，命令和控制曾經是脆弱的一個環節。如今，有足夠的冗余和可替代的控制渠道可以使得僵尸網絡能夠生存下去。

　　盡管每個ISP只要使用正確的工具都能夠將自己的網絡清理干凈，但是人們還是不得不擔心。事實上，在這場較量中，找到工具并不是什么難題。難題在于，與此同時ISP也對自己的用戶關上了大門。另一方面，即使諸如此類的工具能夠被廣泛使用，它們仍舊不會普及到足以清除僵尸計算機的程度。因為僵尸計算機的數量實在是太多了，而且它們反應迅速、難以對付。

　　 盡管境況不樂觀，但我們還是可以從幾個方面入手來遏制僵尸網絡：

　　● 個人防范。對于可能成為“犯罪幫兇”的個人電腦用戶，應該增強安全意識并了解基本的安全知識，及時更新軟件補丁，并安裝個人防火墻等安全軟件，盡量避免使自己的計算機成為僵尸網絡的一部分。

　　● 保證服務器安全。由于管理方面的問題，眾多在IDC機房中的中小公司服務器系統往往得不到很好的加固與維護，容易被攻擊者所利用，而且此類服務器由于性能高，又直接連接在有高帶寬資源的鏈路當中，當其被黑客利用時，破壞力更大。

　　● 從主干網絡上入手。由于僵尸網絡是綜合傳播的結果，阻擋僵尸網絡，應從主干網絡上入手，才能獲取最佳的效果。在骨干鏈接上過濾惡意編碼可以顯著減少國內與國際骨干網絡的負載，從而可以大量節省成本。

　　● 攜手合作。對僵尸網絡的打擊，需要如CNCERT、公安部、專業安全公司、運營商等多部門和企業來進行配合工作。同時通過在運營商以及最終客戶端進行防護與緩解，才有可能從源頭上對僵尸網絡進行遏制。

　　DDoS攻擊不是“絕癥”

　　發動DDoS攻擊是僵尸網絡最大的“用途”之一，對亦莊機房的攻擊就是一次典型的DDoS攻擊。據綠盟科技解決方案中心抗拒絕服務系統產品市場經理韓永剛介紹，在世界范圍內，DDoS攻擊所造成的損失連年排在網絡安全問題的第二位，僅次于蠕蟲和病毒。這是因為發動DDoS攻擊越來越容易，而且隨著信息產業與互聯網的不斷發展，從理論上講，黑客有可能掌握的資源是沒有上限的。而現在獲得DDoS攻擊資源的成本越來越低，甚至有人把提供攻擊資源作為新的牟利方式。




由于國內的互聯網發展迅速，連接網絡的主機與服務器越來越多，而目前國內的網絡安全意識總體水平還不夠高，這就造成了有大量的網絡資源可以被攻擊者所利用。自從2006年年中開始，DDoS攻擊在國內呈現出越來越瘋狂的趨勢。以前700M、800M的攻擊就是很大規模了，但近期的攻擊事件表明，DDoS攻擊已經進入到一個新的規?！猲個G的時代。目前，接近1G的攻擊在各地時常發生，而3～5個G、最多10G以上的攻擊都開始出現。當攻擊量到達了這個程度，攻擊所造成的影響就不再是針對具體的單個目標了，而是整條鏈路都會被堵死，所以鏈路的其他使用者也無法幸免。網通亦莊機房碰到的就是這樣的問題，海量的DDoS攻擊最終影響的將是運營商的基礎網絡自身。

　　那么DDoS攻擊會不會成為網絡的“不治之癥”？答案是否定的，也就是說我們還不至于太過悲觀絕望。比較好的防DDoS攻擊產品可以實現DDoS異常流量檢測、DDoS攻擊凈化防護、取證與數據分析，從而形成了一套完整的解決方案。如果在亦莊機房部署防DDoS攻擊產品，可以避免此次事件的發生。而產品的部署方式也很有講究。對于如此大流量的攻擊，普通防DDoS攻擊產品的串聯方式肯定是行不通的，而是需要采用旁路集群方式，將多臺防DDoS攻擊設備進行集群配置，再加上基于流量牽引的旁路技術，將攻擊流量牽引至多臺設備組成的“泄洪區”進行流量凈化，凈化的同時又不干擾其他正常流量的經過。這樣將對海量DDoS攻擊起到很好的緩解與抑制作用，保障IDC的正常運行。

　　還有更理想的防DDoS攻擊部署方式，就是在最終用戶到運營商的網絡中進行多級部署，在基礎鏈路（如城域網）上部署設備集群，成為防DDoS攻擊的基礎；之后再在重點地區如IDC或大客戶接入處進行重點細粒度的部署，形成多層次的梯度防護，這樣才能真正有效地解決DDoS攻擊問題。

一、引言

PHP是一種力量強大但相當容易學習的服務器端腳本語言，即使是經驗不多的程序員也能夠使用它來創建復雜的動態的web站點。然而，它在實現因特網服務的秘密和安全方面卻常常存在許多困難。在本系列文章中，我們將向讀者介紹進行web開發所必需的安全背景以及PHP特定的知識和代碼-你可以借以保護你自己的web應用程序的安全性和一致性。首先，我們簡單地回顧一下服務器安全問題-展示你如何存取一個共享宿主環境下的私人信息，使開發者脫離開生產服務器，維持最新的軟件，提供加密的頻道，并且控制對你的系統的存取。

然后，我們討論PHP腳本實現中的普遍存在的脆弱性。我們將解釋如何保護你的腳本免于SQL注入，防止跨站點腳本化和遠程執行，并且阻止對臨時文件及會話的“劫持”。

在最后一篇中，我們將實現一個安全的Web應用程序。你將學習如何驗證用戶身份，授權并跟蹤應用程序使用，避免數據損失，安全地執行高風險性的系統命令，并能夠安全地使用web服務。無論你是否有足夠的PHP安全開發經驗，本系列文章都會提供豐富的信息來幫助你構建更為安全的在線應用程序。

二、什么是SQL注入

如果你打算永遠不使用某些數據的話，那么把它們存儲于一個數據庫是毫無意義的；因為數據庫的設計目的是為了方便地存取和操作數據庫中的數據。但是，如果只是簡單地這樣做則有可能會導致潛在的災難。這種情況并不主要是因為你自己可能偶然刪除數據庫中的一切；而是因為，當你試圖完成某項“無辜”的任務時，你有可能被某些人所"劫持"-使用他自己的破壞性數據來取代你自己的數據。我們稱這種取代為“注入”。

其實，每當你要求用戶輸入構造一個數據庫查詢，你是在允許該用戶參與構建一個存取數據庫服務器的命令。一位友好的用戶可能對實現這樣的操作感覺很滿意；然而，一位惡意的用戶將會試圖發現一種方法來扭曲該命令，從而導致該被的扭曲命令刪除數據，甚至做出更為危險的事情。作為一個程序員，你的任務是尋找一種方法來避免這樣的惡意攻擊。

三、SQL注入工作原理

構造一個數據庫查詢是一個非常直接的過程。典型地，它會遵循如下思路來實現。僅為說明問題，我們將假定你有一個葡萄酒數據庫表格“wines”，其中有一個字段為“variety”(即葡萄酒類型)：

1.提供一個表單-允許用戶提交某些要搜索的內容。讓我們假定用戶選擇搜索類型為“lagrein”的葡萄酒。

2.檢索該用戶的搜索術語，并且保存它-通過把它賦給一個如下所示的變量來實現：

$variety = $_POST[''variety''];


因此，變量$variety的值現在為：

lagrein


3.然后，使用該變量在Where子句中構造一個數據庫查詢：

$query = "Select * FROM wines Where variety=''$variety''";


所以，變量$query的值現在如下所示：

Select * FROM wines Where variety=''lagrein''


4.把該查詢提交給MySQL服務器。

5.MySQL返回wines表格中的所有記錄-其中，字段variety的值為“lagrein”。

到目前為止，這應該是一個你所熟悉的而且是非常輕松的過程。遺憾的是，有時我們所熟悉并感到舒適的過程卻容易導致我們產生自滿情緒?，F在，讓我們再重新分析一下剛才構建的查詢。

1.你創建的這個查詢的固定部分以一個單引號結束，你將使用它來描述變量值的開始：

$query = " Select * FROM wines Where variety = ''";


2.使用原有的固定不變的部分與包含用戶提交的變量的值：

$query .= $variety;


3.然后，你使用另一個單引號來連接此結果-描述該變量值的結束：

$ query .= "''";


于是，$query的值如下所示：

Select * FROM wines Where variety = ''lagrein''


這個構造的成功依賴用戶的輸入。在本文示例中，你正在使用單個單詞(也可能是一組單詞)來指明一種葡萄酒類型。因此，該查詢的構建是無任何問題的，并且結果也會是你所期望的-一個葡萄酒類型為"lagrein"的葡萄酒列表?，F在，讓我們想象，既然你的用戶不是輸入一個簡單的類型為"lagrein"的葡萄酒類型，而是輸入了下列內容(注意包括其中的兩個標點符號)：

lagrein'' or 1=1;


現在，你繼續使用前面固定的部分來構造你的查詢(在此，我們僅顯示$query變量的結果值)：

Select * FROM wines Where variety = ''


然后，你使用包含用戶輸入內容的變量的值與之進行連接(在此，以粗體顯示)：

Select * FROM wines Where variety = ''lagrein'' or 1=1;


最后，添加上下面的下引號：

Select * FROM wines Where variety = ''lagrein'' or 1=1;''

于是，這個查詢結果與你的期望會相當不同。事實上，現在你的查詢包含的不是一條而是兩條指令，因為用戶輸入的最后的分號已經結束了第一條指令(進行記錄選擇)從而開始了一條新的指令。在本例中，第二條指令，除了一個簡單的單引號之外別無意義;但是，第一條指令也不是你所想實現的。當用戶把一個單引號放到他的輸入內容的中間時，他結束了期望的變量的值，并且引入了另一個條件。因此，不再是檢索那些variety為"lagrein"的記錄，而是在檢索那些滿足兩個標準中任何一個(第一個是你的，而第二個是他的-variety為"lagrein"或1等于1)的記錄。既然1總是1，因此，你會檢索到所有的記錄!

你可能反對：我不會使用雙引號來代替單引號來描述用戶提交的變量嗎?不錯，這至少可以減慢惡意用戶的攻擊。(在以前的文章中，我們提醒過你：應該禁止所有對用戶的錯誤通知信息。如果在此生成一條錯誤消息，那么，它有可能恰恰幫助了攻擊者-提供一個關于他的攻擊為什么失敗的具體的解釋。)

在實踐中，使你的用戶能夠看到所有的記錄而不只是其中的一部分乍看起來似乎不太費事，但實際上，這的確費事不少;看到所有的記錄能夠很容易地向他提供有關于該表格的內部結構，從而也就向他提供了使其以后實現更為惡毒目的的一個重要參考。如果你的數據庫中不是包含顯然無害的酒之類信息而是包含例如一個含有雇員年收入的列表，那么，剛才描述情形會是特別真實的。

而從理論角度分析，這種攻擊也的確是一件很可怕的事情。由于把意外的內容注入到你的查詢中，所以，此用戶能夠實現把你的數據庫存取轉化為用于實現他自己的目的。因此現在，你的數據庫已經對他打開-正如對你敞開一樣。

四、PHP和MySQL注入

如我們前面所描述的，PHP，從本身設計來說，并沒有做什么特別的事情-除了按照你的指示操作之外。因此，如果為惡意用戶所用，它也只是按照要求"允許"特別設計的攻擊-例如我們前面所描述的那樣。

我們將假定，你不會故意地或甚至是偶然地構造一個具有破壞性效果的數據庫查詢-于是，我們假定問題出在來自你的用戶的輸入方面。現在，讓我們來更為細致地分析一下用戶可能向你的腳本提供信息的各種途徑。

五、用戶輸入的類型

如今，用戶能夠影響你的腳本的行為已變得越來越復雜。

用戶輸入最明顯的來源當然是表單上的一個文本輸入域。使用這樣的一個域，你簡直是在故意教唆一個用戶輸入任意數據。而且，你向用戶提供了一個很大的輸入范圍;沒有什么辦法能夠使你提前限制一個用戶能夠輸入的數據類型(盡管你能夠選擇限制它的長度)。這正是絕大多數的注入式攻擊源主要來自于無防備的表單域的原因。

但是，還存在其它的攻擊源，并且稍加思考你就會想到的一種潛于表單后臺的技術-POST方法!通過簡單地分析顯示在瀏覽器的導航工具欄中的URI，一個善于觀察的用戶能夠很容易地看出是什么信息傳遞到了一個腳本。盡管典型情況下這樣的URI是以編程方式生成的，但是，沒有什么辦法能夠阻止一個惡意的用戶簡單地把一個帶有一個不適當的變量值的URI輸入到一個瀏覽器中-而這樣潛在地打開一個可能會被其濫用的數據庫。

限制用戶輸入內容的一個常用策略是在一個表單中提供一個選擇框，而不是一個輸入框。這種控件能夠強制用戶從一組預定義的值中進行選擇，并且能夠在一定程度上阻止用戶輸入期望不到的內容。但是正如一個攻擊者可能“哄騙”一個URI(也即是，創建一個能夠模仿一個可信任的卻無效的URI)一樣，他也可能模仿創建你的表單及其自己的版本，并因此在選項框中使用非法的而不是預定義的安全選擇。要實現這點是極其簡單的;他僅需要觀察源碼，然后剪切并且粘貼該表單的源代碼-然后一切為他敞開大門。

在修改該選擇之后，他就能夠提交表單，并且他的無效的指令就會被接受，就象它們是原始的指令一樣。因此，該用戶可以使用許多不同的方法試圖把惡意的代碼注入到一個腳本中。

近幾年，間諜軟件對企業和計算機用戶來說，都造成了巨大的安全威脅。作為企業的IT管理者，如果你擔心在上網時個人信息會被散布到網上，或者你的瀏覽習慣會被記錄，那么你應該建議企業安裝一套流行的廣告軟件/間諜軟件清除工具。

目前這類軟件有很多都是免費的，包括Lavasoft的Ad-Aware 和CyberDefenderFREE 。就連微軟也推出了自己的間諜軟件清除工具Windows Defender 。另外，我們還有豐富的付費安全軟件可以選擇，每一個軟件都提供了廣告軟件/間諜軟件清除功能。

雖然有些廣告軟件/間諜軟件是通過免費的CD光盤的形式傳播到用戶手中的，但是這類軟件的主要傳播途徑還是通過互聯網。當用戶在瀏覽互聯網上的某些網頁時，黑客或不法分子就會將惡意軟件悄悄安裝到用戶的系統中。具有跟蹤功能的cookie和網頁程序可以被自動安裝，而莫名其妙彈出來的窗口可以告訴用戶，自己的電腦已經處于危險中了。

大多數人都知道，互聯網是一個缺乏法律約束的環境。經驗告訴我們，不要隨便安裝來自免費CD中的程序，因為天上不會掉餡餅。而如果你的自我保護意識非常強，那么連可信網站的免費軟件也不要安裝，甚至不要瀏覽。當然，這是不現實的。

每個用戶都會安裝一些他們所需的軟件，也沒有人會為了安全而拒絕接入互聯網。那么怎么在上網風險和個人信息保護之間獲得一個折中的方案呢？下面我們就通過一個實際案例來討論目前的解決方案。

如果你運行了一個廣告軟件/間諜軟件刪除程序，它就會對對你系統中所安裝的程序或cookie進行檢測，換句話說，這類安全工具只能在你的系統被感染后才能發現問題。如果你的系統已經被感染了，那么就意味著你的個人信息或上網瀏覽記錄已經被盜取了。

公平地說， 這類安全軟件確實可以通過刪除或者屏蔽惡意軟件的方式來降低用戶所受到的損失，這是它的優勢。但是我們還要考慮一個因素，比如病毒程序的作者，這些人會編寫一些可以自行改變的病毒，從而逃避安全軟件的檢測。

這導致大多數用戶不得不經常運行安全軟件掃描并清除新出現的惡意軟件（有時候還會同時運行好幾種安全軟件）。這就是我們所說的“被動安全”。雖然被動安全比沒有任何安全措施要好，但是我們都知道，更好的安全措施應該是“主動安全”。換句話說，就是在惡意軟件還沒有造成破壞時就進行相應的清除工作。

由于惡意軟件大部分來自互聯網和網絡瀏覽過程，因此在瀏覽某一網站前，獲知這一網站是否具有潛在的安全風險，是至關重要的主動防御措施。

這就是諸如McAfee SiteAdvisor這類安全軟件的功能了。傳統的安全軟件將焦點集中在如何清理已經入侵系統的病毒或惡意軟件，而McAfee SiteAdvisor則是在用戶訪問一個惡意網站前對用戶進行警告。

這類安全軟件可以作為用戶已有的殺毒軟件的良好補充，它可以彌補普通殺毒軟件所忽略的方面，比如間諜軟件攻擊，在線欺詐以及網絡釣魚站點等。SiteAdvisor可以工作在IE或者Firefox瀏覽器中，它根據網站的安全級別將網站標記上綠色、黃色或者紅色的標簽，用戶根據標簽的顏色即可了解網站的安全性。另外，SiteAdvisor還提供以下功能：


安全搜索等級: 讓用戶提前獲知某個搜索列表是否帶有廣告、病毒、垃圾郵件或欺詐內容。

安全瀏覽等級: 告知用戶某網站是否帶有影響瀏覽的內容，比如過多的彈出窗口。

漏洞保護:該功能可以防止用戶訪問一個會導致瀏覽器崩潰的頁面。
總結

根據目前的形勢，廣告軟件和間諜軟件并不會很快消失，而來自流氓網站的瀏覽器攻擊也變得日益頻繁。 因此用戶需要一種主動的安全解決方案，可以讓用戶在瀏覽一個網站前就知道該網站是否安全，而不是在被惡意軟件攻擊后才去被動的殺毒。

一、問題的提出

大部分的木馬及部分的病毒是通過注冊表的自啟動項或文件關聯或通過系統服務實現自啟動的，那是否有一種方法可以防止木馬或病毒修改注冊表項及增加服務呢？

二、問題的解決

Windows2000/XP/2003的注冊表是可以設置權限的，只是我們比較少用到。設置以下注冊表鍵的權限：

1、設置注冊表自啟動項為everyone只讀(Run、RunOnce、RunService)，防止木馬、病毒通過自啟動項目啟動

2、設置.txt、.com、.exe、.inf、.ini、.bat等等文件關聯為everyone只讀，防止木馬、病毒通過文件關聯啟動

3、設置注冊表HKLM\SYSTEM\CurrentControlSet\Services為everyone只讀，防止木馬、病毒以"服務"方式啟動

注冊表鍵的權限設置可以通過以下方式實現：

1、如果在域環境里，可能通過活動目錄的組策略實現的

2、本地計算機的組策略來(命令行用secedit)

3、本文通過setacl這個程序加批處理實現。

4、手工操作可以通過regedt32(Windows2000系統，在菜單“安全”下的“權限”)或regedit(Windows2003/XP，在“編輯”菜單下的“權限”)

批處理代碼在后面給出。

如果只有users組權限，以上鍵值默認是只讀的，就可以不用這么麻煩了。

三、適用人群

1）、對電腦不是很熟悉，不經常安裝/卸載軟件的人

2）、喜歡在網上下載軟件安裝的朋友

3）、每臺電腦的操作人員都有管理員權限，這些人的電腦水平又參差不齊的企業

四、還存在的問題

1）、安裝殺毒軟件，打補丁的時候都可能對那些注冊表進行操作，這樣就得先恢復權限設置，再安裝，安裝完成后重新設置。不方便

2）、防不住3721,不知是不是3721的權限太高了(聽說3721是通過驅動程序啟動的，有ring 0級權限)

3）、只適合Windows2000/XP/2003，其他的就沒辦法了

4）、只能對付那些簡單的病毒和木馬

五、批處理源代碼


@goto start
==============================================================
名稱：反特洛伊木馬
功能：

1、禁用自啟動項目(run runonce runservices)
2、禁止修改.txt、.com、.exe、.inf、.ini、.bat等等文件關聯
3、禁止修改"服務"信息

原理：設置注冊表權限為只讀

版本修訂情況

版本號 修訂日期 修訂人 修訂內容
1.0 2004-12-22 netu0 創建本腳本

:start
@SETLOCAL
@rem 活動代碼頁設為中文
@chcp 936>nul 2>nul
@echo.
@echo ************************************************************
@echo #
@echo #　　　　　　　　　歡迎使用反特洛伊木馬程序
@echo #
@echo #
@echo ************************************************************

:chkOS
@echo.
@ver　find "2000" > nul 2>nul
@if "%ERRORLEVEL%"=="0" goto :2000
@ver　find "Microsoft Windows [版本 5" > nul 2>nul
@if "%ERRORLEVEL%"=="0" goto :2003
@ver　find "XP" > nul 2>nul
@if "%ERRORLEVEL%"=="0" goto :XP
@echo.
@echo #您的操作系統不是Windows 2000/XP/2003中的一種，無法使用。
@goto quit

@rem 在下面語句插不同系統的不同命令
:2000
@set UpdatePolicy=secedit /refreshpolicy machine_policy>nul 2>nul
@goto Selection

:XP
@set UpdatePolicy=GPUpdate /Force>nul 2>nul
@goto Selection

:2003
@set UpdatePolicy=GPUpdate /Force>nul 2>nul
@goto Selection

:Selection
@rem User Choice
@echo.
@echo 請輸入以下選項前面的數字
@echo.
@echo 1： 安裝反特洛伊木馬保護
@echo 2： 刪除反特洛伊木馬保護(恢復默認設置)
@echo 3： 查看技術信息
@echo 4： 退出
@echo.
@set /p UserSelection=輸入您的選擇（1、2、3、4）
@if "%UserSelection%"=="1" goto install
@if "%UserSelection%"=="2" goto uninstall
@if "%UserSelection%"=="3" goto information
@if "%UserSelection%"=="4" goto quit
@rem 輸入其他字符
@cls
@goto Selection

:information
@cls
@echo


============================================================
@echo #
@echo #　　　　　　　　　歡迎使用反特洛伊木馬程序
@echo #
@echo #功能：
@echo #
@echo # 1、設置注冊表自啟動項為只讀(Run、RunOnce、RunService)，
@echo # 防止木馬、病毒通過自啟動項目啟動
@echo # 2、設置.txt、.com、.exe、.inf、.ini、.bat等等文件關聯為只讀，
@echo # 防止木馬、病毒通過文件關聯啟動
@echo # 3、設置注冊表HKLM\SYSTEM\CurrentControlSet\Services為只讀
@echo # 防止木馬、病毒以"服務"方式啟動
@echo #
@echo #注意事項：
@echo # 某些安裝程序也會用到以上注冊表鍵，請在安裝前運行本程序，
@echo # 然后選擇2，恢復默認設置。安裝完成后，重新運行本程序，
@echo # 然后選擇1，實施反特洛伊木馬保護
@echo ==============================================================
@echo.
@echo 按任意鍵，返回選擇
@pause>nul 2>nul
@cls
@goto Selection
:install
@set OP=/grant everyone /read /p:no_dont_copy
@goto Doit
:uninstall
@set OP=/revoke everyone /read /p:yes
@goto Doit
:Doit

@echo.
@echo 正在執行操作...
@rem HKLM
@setacl machine\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /
registry %OP%>nul 2>nul
@setacl machine\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce /
registry %OP%>nul 2>nul
@setacl machine\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices /
registry %OP%>nul 2>nul
@setacl machine\SOFTWARE\Microsoft\Windows\CurrentVersion\RunEX /
registry %OP%>nul 2>nul
@setacl machine\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEX /
registry %OP%>nul 2>nul
@setacl machine\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesEx /
registry %OP%>nul 2>nul

@rem HKCU
@setacl CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /
registry %OP%>nul 2>nul
@setacl CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce /
registry %OP%>nul 2>nul
@setacl CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices /
registry %OP%>nul 2>nul
@setacl CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunEX /
registry %OP%>nul 2>nul
@setacl CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEX /
registry %OP%>nul 2>nul
@setacl CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesEx /
registry %OP%>nul 2>nul
@setacl CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce /
registry %OP%>nul 2>nul

@rem USERS
@setacl USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /
registry %OP%>nul 2>nul
@setacl USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce /
registry %OP%>nul 2>nul
@setacl USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices /
registry %OP%>nul 2>nul
@setacl USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunEX /
registry %OP%>nul 2>nul
@setacl USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEX /
registry %OP%>nul 2>nul
@setacl USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesEx /
registry %OP%>nul 2>nul
@setacl USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce /
registry %OP%>nul 2>nul

@rem Services
@setacl MACHINE\SYSTEM\CurrentControlSet\Services /registry %OP%>nul 2>nul

@rem CLASSES_ROOT
@setacl CLASSES_ROOT\exefile\shell\open\command /registry %OP%>nul 2>nul
@setacl CLASSES_ROOT\inifile\shell\open\command /registry %OP%>nul 2>nul
@setacl CLASSES_ROOT\txtfile\shell\open\command /registry %OP%>nul 2>nul
@setacl CLASSES_ROOT\comfile\shell\open\command /registry %OP%>nul 2>nul
@setacl CLASSES_ROOT\batfile\shell\open\command /registry %OP%>nul 2>nul
@setacl CLASSES_ROOT\inffile\shell\open\command /registry %OP%>nul 2>nul

@echo 正在更新帳戶策略、審核策略......
@REM [刷新本地安全策略]
@%UpdatePolicy%>nul 2>nul
@echo 帳戶策略、審核策略更新完成

:complete
@echo 操作完成
@echo.
@echo.
@echo 請按任意鍵退出。
@pause>nul 2>nul

:quit
@rem Clear
@del %systemroot%\system32\setacl.exe>nul 2>nul
@del %systemroot%\system32\AntiTrojanhorse.bat>nul 2>nul

@ENDLOCAL

俄羅斯著名的反病毒工具卡巴斯基（Kaspersky）近日推出了最新中文版本：卡巴斯基6.0，面對日益復雜的病毒威脅，卡巴斯基帶給我們怎樣的驚喜呢？

卡巴斯基提供了四重立體防御體系，現在幾乎所有類型的安全威脅，卡巴斯基都能進行有效防護：
1.文件保護，最為傳統的反病毒功能。
2.郵件保護，郵件病毒已經很普遍，它讓你遠離郵件病毒。
3.Web反病毒保護，網絡作為現今病毒的主要傳播源頭，該功能的加強非常有必要。
4.主動防御，卡巴斯基6的最大亮點，它會分析安裝在你計算機上應用程序的行為，監控系統注冊表的改變。這些組件使用啟發式分析，助你及時發現隱蔽威脅，以及各種類型的惡意程序。
當然，功能強勁的背后也是有代價的，筆者推薦卡巴斯基6給幾個朋友使用，他們不約而同的反應是：這個版本的卡巴斯基相當不好用，主要問題集中在如下幾點：
1.資源占用高，卡巴斯基真的讓系統變的超級"卡"。
2."病毒"提示太多，實在不勝其煩。
這是怎么回事呢？下面筆者略做解答：
1.資源占用高，軟件功能強勁的同時，帶來了資源占用的攀升。目前卡巴斯基自有的4種保護功能全開的情況下，資源占用是較高的。
2.提示超多，因為現在卡巴斯基提供了全方位的安全防護，也就是說，部分提示與病毒無關，只能作為殺毒參考，普通用戶完全不必理會。
看來，卡巴斯基6是一個需要精心設置的殺毒軟件，下面請大家跟筆者來仔細了解卡巴斯基6的優化設置吧。
卡巴斯基安裝成功后，會在系統任務欄區顯示軟件圖標，鼠標右鍵點擊圖標調用，如圖1。

圖1 選擇"打開 卡巴斯基防病毒軟件 6.0"進入軟件主界面，如圖2。

圖2
卡巴斯基的主界面比較簡單，它分為成左右兩個窗口，左邊窗口是導航欄，幫助您快速找到并運行程序模塊，執行掃描任務和獲取程序的相關支持；右邊窗口部分是通知面板界面，它顯示你在左邊窗口選擇組件的相關信息，您也可以通過這個窗口實現病毒掃描、隔離文件、備份文件、管理許可文件等操作。
注：程序中所有帶下劃線的文字均可點擊進入相關設置。
要高效的允許軟件，合理設置是必須的，點擊主窗口右上"設置"按鈕，進入軟件設置，下面我們所有的內容均圍繞"設置"展開。
卡巴斯基6對于"風險軟件"的定義又有了許多變化，分為三種，如圖3：

圖3
1.病毒，蠕蟲，木馬以及rootkits程序。
2.間諜軟件，廣告軟件以及撥號軟件。
3.潛在的危險軟件：遠程控制軟件，惡作劇程序。
可以看到，對"風險軟件"的廣泛定義，也意味著系統報警幾率的提升，除了第1類是必選之外，2、3類別是否啟用，就看大家如何取舍了。
例：筆者在網上下載了某個漢化版軟件，眾所周知，目前國內許多漢化軟件中都捆綁了 "流氓程序"，現在它們在卡巴斯基的監控下變得無所遁形。這不，系統自動彈出警告提示：檢測到廣告程序，原來安裝程序中加載有某大名鼎鼎的國產流氓程序，如圖4。

圖4
如果你怕了這個東西了，恐怕這個漢化軟件你也不打算安裝了，直接點擊"刪除"了事。當然，你執意要安裝，請點擊"添加到信任區域"鏈接，系統會自動轉入"排除內容"對話框，點擊"確定"即可。

我們可以自行設置不必由軟件監控的項目，點擊圖3中的"信任區域"按鈕進入，如圖5。

圖5
對于我們來說，被系統定義為危險軟件的某些程序，可能不具有惡意功能，我們仍然打算使用它，這時不妨將這些文件添加進排除列表中。在對話框中可以看到目前所有的排除項目，你也可以添加自己定義排除規則。它可以是某個文件夾、文件，甚至是某個特定類型的風險軟件定義。
點擊"添加"按鈕進入"排除內容"對話框，大家可以看到規則描述中的文字都帶有下劃線，點擊進入自定義設置，如圖6。

圖6
步驟一：點擊"對象名：指定"，創建排除文件，如圖7。

圖7
你可以指定文件名，文件夾名或關鍵字來設置排除保護，當然最簡單的還是點擊"瀏覽"按鈕，然后瀏覽選擇排除的文件夾、文件即可。不過你還可試試使用關鍵字的方法：
*.exe，排除所有*.exe的文件。
C:\dir\*.exe，排除在C:\dir\中所有擴展名為.exe的文件。
步驟二：點擊"判定類型：指定"，創建判定類型，如圖8。

圖8
可以填寫的內容都是軟件內部定義的名稱，如：not-a-virus:AdWare.Win32.Dudu.c這樣的。當然如果你并不明白該如何填寫，下面規則適合大家。
not-a-virus*，從掃描中排除存在潛在危險的程序，比如玩笑程序。
*Riskware.*，從掃描中排除風險軟件。
*RemoteAdmin.*，從掃描中排除所有遠程控制程序。

卡巴斯基提供的四重防御體系中，文件保護、郵件保護、Web反病毒保護都是較傳統的反病毒手段，筆者這里就不做介紹了，大家根據自己的需要確定是否啟用，筆者重點講講"主動防御"的設置。
卡巴斯基的主動防御，簡單說就是讓電腦免受已知威脅和未知新威脅的感染，它主要由四個項目組成：程序活動分析、程序完整性保護、注冊表防護、Office防護，如圖9。

圖9
"主動防御"既然是防護未知病毒，那么誤報也自然難免。雖然程序并沒有將可疑程序定義為病毒，但不停的警告用戶有可疑程序，足以讓普通用戶暈菜，如圖10。"主動防御"中的"程序活動分析"是警告頻繁的根源。

圖10
筆者啟用"程序活動分析"后，上網短短的二十幾分鐘，遇到了不下三十次的警告提示。例：運行著名的QQ珊瑚蟲版外掛，軟件會提示一個危險的進程試圖注入另外一個進程，如圖11。

圖11
對于"主動防御"，特別是其中的"程序活動分析"是否啟用，筆者的建議是：你有一定的電腦基礎，又十分在意安全，那么不妨啟動它。如果你對于電腦不是太了解，不停的報警實在讓人不知如何是好，那么還是關閉這個功能好啦。

QUOTE:

總結：可以看到，卡巴斯基的設置是相當自由的，豐簡由人，你完全可以根據自己的情況作設置。只要大家進行適當的設置，可以說除非發現病毒，軟件的提示會變得非常之少，讓大家安心上網。

黑客一詞，源于英文Hacker，原指熱心于計算機技術，水平高超的電腦專家，尤其是程序設計人員。美國大片《黑(駭)客帝國》的熱映，使得黑客文化得到了廣泛的傳播，也許很多人會覺得黑客一詞是用來形容那些專門利用電腦搞破壞或惡作劇的家伙，而對這些人的正確英文叫法是Cracker，有人翻譯成“駭客”。不管是叫黑客還是駭客，他們根本的區別是:黑客們建設、維護，而駭客們入侵、破壞。

目前造成網絡不安全的主要因素是系統、協議及數據庫等的設計上存在缺陷。由于當今的計算機網絡操作系統在本身結構設計和代碼設計時偏重考慮系統使用時的方便性，導致了系統在遠程訪問、權限控制和口令管理等許多方面存在安全漏洞。

網絡互連一般采用TCP/IP協議，它是一個工業標準的協議簇，但該協議簇在制訂之初，對安全問題考慮不多，協議中有很多的安全漏洞。同樣，數據庫管理系統（DBMS）也存在數據的安全性、權限管理及遠程訪問等方面問題，在DBMS或應用程序中可以預先安置從事情報收集、受控激發、定時發作等破壞程序。

由此可見，針對系統、網絡協議及數據庫等，無論是其自身的設計缺陷，還是由于人為的因素產生的各種安全漏洞，都可能被一些另有圖謀的黑客所利用并發起攻擊。因此若要保證網絡安全、可靠，則必須熟知黑客網絡攻擊的一般過程。只有這樣方可在黒客攻擊前做好必要的防備，從而確保網絡運行的安全和可靠。

一、黑客攻擊網絡的一般過程

1、信息的收集

信息的收集并不對目標產生危害，只是為進一步的入侵提供有用信息。黑客可能會利用下列的公開協議或工具，收集駐留在網絡系統中的各個主機系統的相關信息：

（1）TraceRoute程序 能夠用該程序獲得到達目標主機所要經過的網絡數和路由器數。

（2）SNMP協議 用來查閱網絡系統路由器的路由表，從而了解目標主機所在網絡的拓撲結構及其內部細節。

（3）DNS服務器 該服務器提供了系統中可以訪問的主機IP地址表和它們所對應的主機名。

（4）Whois協議 該協議的服務信息能提供所有有關的DNS域和相關的管理參數。

（5）Ping實用程序 可以用來確定一個指定的主機的位置或網線是否連通。

2、系統安全弱點的探測

在收集到一些準備要攻擊目標的信息后，黑客們會探測目標網絡上的每臺主機，來尋求系統內部的安全漏洞，主要探測的方式如下：

（1）自編程序 對某些系統，互聯網上已發布了其安全漏洞所在，但用戶由于不懂或一時疏忽未打上網上發布的該系統的“補丁”程序，那么黒客就可以自己編寫一段程序進入到該系統進行破壞。

（2）慢速掃描 由于一般掃描偵測器的實現是通過監視某個時間段里一臺特定主機發起的連接的數目來決定是否在被掃描，這樣黑客可以通過使用掃描速度慢一些的掃描軟件進行掃描。

（3）體系結構探測 黑客利用一些特殊的數據包傳送給目標主機，使其作出相對應的響應。由于每種操作系統的響應時間和方式都是不一樣的，黒客利用這種特征把得到的結果與準備好的數據庫中的資料相對照，從中便可輕而易舉地判斷出目標主機操作系統所用的版本及其他相關信息。

二、協議欺騙攻擊及其防范措施

1、源IP地址欺騙攻擊

許多應用程序認為若數據包可以使其自身沿著路由到達目的地，并且應答包也可回到源地，那么源IP地址一定是有效的，而這正是使源IP地址欺騙攻擊成為可能的一個重要前提。

假設同一網段內有兩臺主機A和B，另一網段內有主機X。B 授予A某些特權。X 為獲得與A相同的特權，所做欺騙攻擊如下：首先，X冒充A，向主機 B發送一個帶有隨機序列號的SYN包。主機B響應，回送一個應答包給A，該應答號等于原序列號加1。

然而，此時主機A已被主機X利用拒絕服務攻擊 “淹沒”了，導致主機A服務失效。結果，主機A將B發來的包丟棄。為了完成三次握手，X還需要向B回送一個應答包，其應答號等于B向A發送數據包的序列號加1。此時主機X 并不能檢測到主機B的數據包（因為不在同一網段），只有利用TCP順序號估算法來預測應答包的順序號并將其發送給目標機B。如果猜測正確，B則認為收到的ACK是來自內部主機A。此時，X即獲得了主機A在主機B上所享有的特權，并開始對這些服務實施攻擊。

要防止源IP地址欺騙行為，可以采取以下措施來盡可能地保護系統免受這類攻擊：

（1）拋棄基于地址的信任策略 阻止這類攻擊的一種十分容易的辦法就是放棄以地址為基礎的驗證。不允許r類遠程調用命令的使用；刪除.rhosts 文件；清空/etc/hosts.equiv 文件。這將迫使所有用戶使用其它遠程通信手段，如telnet、ssh、skey等等。

（2）使用加密方法 在包發送到 網絡上之前，我們可以對它進行加密。雖然加密過程要求適當改變目前的網絡環境，但它將保證數據的完整性、真實性和保密性。

（3）進行包過濾 可以配置路由器使其能夠拒絕網絡外部與本網內具有相同IP地址的連接請求。而且，當包的IP地址不在本網內時，路由器不應該把本網主機的包發送出去。有一點要注意，路由器雖然可以封鎖試圖到達內部網絡的特定類型的包。但它們也是通過分析測試源地址來實現操作的。因此，它們僅能對聲稱是來自于內部網絡的外來包進行過濾，若你的網絡存在外部可信任主機，那么路由器將無法防止別人冒充這些主機進行IP欺騙。

2、源路由欺騙攻擊

在通常情況下，信息包從起點到終點所走的路是由位于此兩點間的路由器決定的，數據包本身只知道去往何處，而不知道該如何去。源路由可使信息包的發送者將此數據包要經過的路徑寫在數據包里，使數據包循著一個對方不可預料的路徑到達目的主機。下面仍以上述源IP欺騙中的例子給出這種攻擊的形式：

主機A享有主機B的某些特權，主機X想冒充主機A從主機B（假設IP為aaa.bbb.ccc.ddd）獲得某些服務。首先，攻擊者修改距離X最近的路由器，使得到達此路由器且包含目的地址aaa.bbb.ccc.ddd的數據包以主機X所在的網絡為目的地；然后，攻擊者X利用IP欺騙向主機B發送源路由(指定最近的路由器)數據包。當B回送數據包時，就傳送到被更改過的路由器。這就使一個入侵者可以假冒一個主機的名義通過一個特殊的路徑來獲得某些被保護數據。

為了防范源路由欺騙攻擊，一般采用下面兩種措施：

· 對付這種攻擊最好的辦法是配置好路由器，使它拋棄那些由外部網進來的卻聲稱是內部主機的報文。

· 在路由器上關閉源路由。用命令no ip source-route。

三、拒絕服務攻擊及預防措施

在拒絕服務攻擊中，攻擊者加載過多的服務將對方資源全部使用，使得沒有多余資源供其他用戶無法使用。SYN Flood攻擊是典型的拒絕服務攻擊。

SYN Flood常常是源IP地址欺騙攻擊的前奏，又稱半開式連接攻擊，每當我們進行一次標準的TCP連接就會有一個三次握手的過程，而SYN Flood在它的實現過程中只有三次握手的前兩個步驟，當服務方收到請求方的SYN并回送SYN-ACK確認報文后，請求方由于采用源地址欺騙等手段，致使服務方得不到ACK回應，這樣，服務方會在一定時間內處于等待接收請求方ACK報文的狀態，一臺服務器可用的TCP連接是有限的，如果惡意攻擊方快速連續的發送此類連接請求，則服務器的系統可用資源、網絡可用帶寬急劇下降，將無法向其它用戶提供正常的網絡服務。

為了防止拒絕服務攻擊，我們可以采取以下的預防措施：

（1） 建議在該網段的路由器上做些配置的調整，這些調整包括限制Syn半開數據包的流量和個數。

（2）要防止SYN數據段攻擊，我們應對系統設定相應的內核參數，使得系統強制對超時的Syn請求連接數據包復位，同時通過縮短超時常數和加長等候隊列使得系統能迅速處理無效的Syn請求數據包。

（3）建議在路由器的前端做必要的TCP攔截，使得只有完成TCP三次握手過程的數據包才可進入該網段，這樣可以有效地保護本網段內的服務器不受此類攻擊。

（4）對于信息淹沒攻擊，我們應關掉可能產生無限序列的服務來防止這種攻擊。比如我們可以在服務器端拒絕所有的ICMP包，或者在該網段路由器上對ICMP包進行帶寬方面的限制，控制其在一定的范圍內。

總之，要徹底杜絕拒絕服務攻擊，最好的辦法是惟有追根溯源去找到正在進行攻擊的機器和攻擊者。 要追蹤攻擊者可不是一件容易的事情，一旦其停止了攻擊行為，很難將其發現。惟一可行的方法是在其進行攻擊的時候，根據路由器的信息和攻擊數據包的特征，采用逐級回溯的方法來查找其攻擊源頭。這時需要各級部門的協同配合方可有效果。

四、其他網絡攻擊行為的防范措施

協議攻擊和拒絕服務攻擊是黑客慣于使用的攻擊方法，但隨著網絡技術的飛速發展，攻擊行為千變萬化，新技術層出不窮。下面將闡述一下網絡嗅探及緩沖區溢出的攻擊原理及防范措施。

1、針對網絡嗅探的防范措施

網絡嗅探就是使網絡接口接收不屬于本主機的數據。計算機網絡通常建立在共享信道上，以太網就是這樣一個共享信道的網絡，其數據報頭包含目的主機的硬件地址，只有硬件地址匹配的機器才會接收該數據包。一個能接收所有數據包的機器被稱為雜錯節點。通常賬戶和口令等信息都以明文的形式在以太網上傳輸，一旦被黑客在雜錯節點上嗅探到，用戶就可能會遭到損害。

對于網絡嗅探攻擊，我們可以采取以下措施進行防范：

（1）網絡分段 一個網絡段包括一組共享低層設備和線路的機器，如交換機，動態集線器和網橋等設備，可以對數據流進行限制，從而達到防止嗅探的目的。

（2）加密 一方面可以對數據流中的部分重要信息進行加密，另一方面也可只對應用層加密，然而后者將使大部分與網絡和操作系統有關的敏感信息失去保護。選擇何種加密方式這就取決于信息的安全級別及網絡的安全程度。

（3）一次性口令技術 口令并不在網絡上傳輸而是在兩端進行字符串匹配，客戶端利用從服務器上得到的Challenge和自身的口令計算出一個新字符串并將之返回給服務器。在服務器上利用比較算法進行匹配，如果匹配，連接就允許建立，所有的Challenge和字符串都只使用一次。

（4）禁用雜錯節點 安裝不支持雜錯的網卡，通?？梢苑乐笽BM兼容機進行嗅探。

2、緩沖區溢出攻擊及其防范措施

緩沖區溢出攻擊是屬于系統攻擊的手段，通過往程序的緩沖區寫超出其長度的內容，造成緩沖區的溢出，從而破壞程序的堆棧，使程序轉而執行其它指令，以達到攻擊的目的。當然，隨便往緩沖區中填東西并不能達到攻擊的目的。最常見的手段是通過制造緩沖區溢出使程序運行一個用戶shell，再通過shell執行其它命令。如果該程序具有root權限的話，攻擊者就可以對系統進行任意操作了。

緩沖區溢出對網絡系統帶來了巨大的危害，要有效地防止這種攻擊，應該做到以下幾點：

（1）程序指針完整性檢查 在程序指針被引用之前檢測它是否改變。即便一個攻擊者成功地改變了程序的指針，由于系統事先檢測到了指針的改變，因此這個指針將不會被使用。

（2）堆棧的保護 這是一種提供程序指針完整性檢查的編譯器技術，通過檢查函數活動記錄中的返回地址來實現。在堆棧中函數返回地址后面加了一些附加的字節，而在函數返回時，首先檢查這個附加的字節是否被改動過。如果發生過緩沖區溢出的攻擊，那么這種攻擊很容易在函數返回前被檢測到。但是，如果攻擊者預見到這些附加字節的存在，并且能在溢出過程中同樣地制造他們，那么他就能成功地跳過堆棧保護的檢測。

（3）數組邊界檢查 所有的對數組的讀寫操作都應當被檢查以確保對數組的操作在正確的范圍內進行。最直接的方法是檢查所有的數組操作，通?？梢圆捎靡恍﹥灮夹g來減少檢查次數。目前主要有這幾種檢查方法：Compaq C編譯器、Jones & Kelly C數組邊界檢查、Purify存儲器存取檢查等。

未來的競爭是信息競爭，而網絡信息是競爭的重要組成部分。其實質是人與人的對抗，它具體體現在安全策略與攻擊策略的交鋒上。為了不斷增強信息系統的安全防御能力，必須充分理解系統內核及網絡協議的實現，真正做到洞察對方網絡系統的“細枝末節”，同時應該熟知針對各種攻擊手段的預防措施，只有這樣才能盡最大可能保證網絡的安全。

（4）利用公開的工具軟件 像審計網絡用的安全分析工具SATAN、Internet的電子安全掃描程序IIS等一些工具對整個網絡或子網進行掃描，尋找安全方面的漏洞。

3、建立模擬環境，進行模擬攻擊

根據前面兩小點所得的信息，建立一個類似攻擊對象的模擬環境，然后對此模擬目標進行一系列的攻擊。在此期間，通過檢查被攻擊方的日志，觀察檢測工具對攻擊的反應，可以進一步了解在攻擊過程中留下的“痕跡”及被攻擊方的狀態，以此來制定一個較為周密的攻擊策略。

4、具體實施網絡攻擊

入侵者根據前幾步所獲得的信息，同時結合自身的水平及經驗總結出相應的攻擊方法，在進行模擬攻擊的實踐后，將等待時機，以備實施真正的網絡攻擊。

·關于黑客

黑客（hacker），源于英語動詞hack，意為“劈，砍”，引申為“干了一件非常漂亮的工作”。在早期麻省理工學院的校園俚語中，“黑客”則有“惡作劇”之意，尤指手法巧妙、技術高明的惡作劇。在日本《新黑客詞典》中，對黑客的定義是“喜歡探索軟件程序奧秘，并從中增長了其個瞬鷗傻娜恕?/P>

他們不象絕大多數電腦使用者那樣，只規規矩矩地了解別人指定了解的狹小部分知識?！庇蛇@些定義中，我們還看不出太貶義的意味。他們通常具有硬件和軟件的高級知識，并有能力通過創新的方法剖析系統。“黑客”能使更多的網絡趨于完善和安全，他們以保護網絡為目的，而以不正當侵入為手段找出網絡漏洞。

另一種入侵者是那些利用網絡漏洞破壞網絡的人。他們往往做一些重復的工作（如用暴力法破解口令），他們也具備廣泛的電腦知識，但與黑客不同的是他們以破壞為目的。這些群體成為“駭客”。當然還有一種人兼于黑客與入侵者之間。

一般認為，黑客起源于50年代麻省理工學院的實驗室中，他們精力充沛，熱衷于解決難題。60、70年代，“黑客”一詞極富褒義，用于指代那些獨立思考、奉公守法的計算機迷，他們智力超群，對電腦全身心投入，從事黑客活動意味著對計算機的最大潛力進行智力上的自由探索，為電腦技術的發展做出了巨大貢獻。正是這些黑客，倡導了一場個人計算機革命，倡導了現行的計算機開放式體系結構，打破了以往計算機技術只掌握在少數人手里的局面，開了個人計算機的先河，提出了“計算機為人民所用”的觀點，他們是電腦發展史上的英雄?，F在黑客使用的侵入計算機系統的基本技巧，例如破解口令（password cracking），開天窗（trapdoor），走后門（backdoor），安放特洛伊木馬（Trojan horse）等，都是在這一時期發明的。從事黑客活動的經歷，成為后來許多計算機業巨子簡歷上不可或缺的一部分。例如，蘋果公司創始人之一喬布斯就是一個典型的例子。

在60年代，計算機的使用還遠未普及，還沒有多少存儲重要信息的數據庫，也談不上黑客對數據的非法拷貝等問題。到了80、90年代，計算機越來越重要，大型數據庫也越來越多，同時，信息越來越集中在少數人的手里。這樣一場新時期的“圈地運動”引起了黑客們的極大反感。黑客認為，信息應共享而不應被少數人所壟斷，于是將注意力轉移到涉及各種機密的信息數據庫上。而這時，電腦化空間已私有化，成為個人擁有的財產，社會不能再對黑客行為放任不管，而必須采取行動，利用法律等手段來進行控制。黑客活動受到了空前的打擊。

但是，政府和公司的管理者現在越來越多地要求黑客傳授給他們有關電腦安全的知識。許多公司和政府機構已經邀請黑客為他們檢驗系統的安全性，甚至還請他們設計新的保安規程。在兩名黑客連續發現網景公司設計的信用卡購物程序的缺陷并向商界發出公告之后，網景修正了缺陷并宣布舉辦名為“網景缺陷大獎賽”的競賽，那些發現和找到該公司產品中安全漏洞的黑客可獲1000美元獎金。無疑黑客正在對電腦防護技術的發展作出貢獻。

在眾多媒體的宣傳報道下，今天的我們都知道了不能輕易打開電子郵件里的可執行文件類的附件，但是顯然那些破壞活動的制造者們也看了那些警告防范的文章，他們開始玩一些新的把戲，讓您以為那些附件只不過是沒有危險的文本文件或是圖像文件等就是其手段之一。由于目前大多數人使用的是windows系列操作系統，windows的默認設置是隱藏已知文件擴展名的，而當你去點擊那個看上去很友善的文件，那些破壞性的東西就跳出來了。您可能說這我早就知道了，那么下面講述的.txt文件的新欺騙方法及原理您知道嗎？

假如您收到的郵件附件中有一個看起來是這樣的文件：QQ靚號放送.txt，您是不是認為它肯定是純文本文件？我要告訴您，不一定！它的實際文件名可以是QQ靚號放送.txt.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}。{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}在注冊表里是HTML文件關聯的意思。但是存成文件名的時候它并不會顯現出來，您看到的就是個.txt文件，這個文件實際上等同于QQ靚號放送.txt.html。那么直接打開這個文件為什么有危險呢？請看如果這個文件的內容如下：

您可能以為它會調用記事本來運行，可是如果您雙擊它，結果它卻調用了HTML來運行，并且自動在后臺開始格式化d盤，同時顯示“Windows is configuring the system。Plase do not interrupt this process?！边@樣一個對話框來欺騙您。您看隨意打開附件中的.txt的危險夠大了吧？

欺騙實現原理：當您雙擊這個偽裝起來的.txt時候，由于真正文件擴展名是.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}，也就是.html文件，于是就會以html文件的形式運行，這是它能運行起來的先決條件。

文件內容中的第2和第3行是它能夠產生破壞作用的關鍵所在。其中第3行是破壞行動的執行者，在其中可以加載帶有破壞性質的命令。那么第2行又是干什么的呢？您可能已經注意到了第2行里的“WSCript”，對！就是它導演了全幕，它是實際行動總指揮。

WScript全稱Windows Scripting Host，它是Win98新加進的功能, 是一種批次語言/自動執行工具——它所對應的程序“WScript.exe”是一個腳本語言解釋器，位于c:\WINDOWS下，正是它使得腳本可以被執行，就象執行批處理一樣。在Windows Scripting Host腳本環境里，預定義了一些對象，通過它自帶的幾個內置對象，可以實現獲取環境變量、創建快捷方式、加載程序、讀寫注冊表等功能。

下面我們通過一個小例子來說明Windows Scripting Host功能是如何的強大，使用又是怎樣的簡單，被有心人利用后的威脅有多大。例如有內容如下的*.vbs文件：


Set so=CreateObject("Scripting.FileSystemObject")
so.GetFile(c:\windows\winipcfg.exe).Copy("e:\winipcfg.exe")


就是這么兩行就可以拷貝文件到指定地點。第一行是創建一個文件系統對象，第二行前面是打開這個腳本文件，c:\windows\winipcfg.exe指明是這個程序本身，是一個完整的路徑文件名。GetFile函數獲得這個文件，Copy函數將這個文件復制到e盤根目錄下。這也是大多數利用VBscript編寫的病毒的一個特點。從這里可以看出，禁止了FileSystemObject這個對象就可以很有效的控制這種病毒的傳播。用regsvr32 scrrun.dll /u這條命令就可以禁止文件系統對象。

欺騙識別及防范方法：這種帶有欺騙性質的.txt文件顯示出來的并不是文本文件的圖標，它顯示的是未定義文件類型的標志，這是區分它與正常.txt文件的最好方法。識別的另一個辦法是在“按WEB頁方式”查看時在“我的電腦”左面會顯示出其文件名全稱，此時可以看到它不是真正的txt文件。問題是很多初學者經驗不夠，老手也可能因為沒留意而打開它，在這里再次提醒您，注意您收到的郵件中附件的文件名，不僅要看顯示出來的擴展名，還要注意其實際顯示的圖標是什么。對于附件中別人發來的看起來是.txt的文件，可以將它下載后用鼠標右鍵選擇“用記事本打開”，這樣看會很安全。

好了，現在您知道.txt文件也不能輕易打開了吧？您知道了？那我寫這篇文章的目的就達到了！

注入漏洞、上傳漏洞、弱口令漏洞等問題隨處可見?？缯竟簦h程控制等等是再老套不過了的話題。有些虛擬主機管理員不知是為了方便還是不熟悉配置，干脆就將所有的網站都放在同一個目錄中，然后將上級目錄設置為站點根目錄。有些呢，則將所有的站點的目錄都設置為可執行、可寫入、可修改。有些則為了方便，在服務器上掛起了QQ，也裝上了BT。更有甚者，竟然把Internet來賓帳號加入到Administrators組中！汗……！普通的用戶將自己的密碼設置為生日之類的6位純數字，這種情況還可以原諒，畢竟他們大部分都不是專門搞網絡研究的，中國國民的安全意識提高還需要一段時間嘛，但如果是網絡管理員也這樣，那就怎么也有點讓人想不通了。網絡安全問題日益突出，最近不又有人聲稱“萬網：我進來玩過兩次了！”。這么有名氣的網絡服務商，也難免一逃啊！網站注入漏洞是最近還頻頻在報刊雜志上曝光的高校入侵……一句話，目前很大部分的網站安全狀況讓人擔憂！

這里就我個人過去的經歷和大家一同來探討有關安全虛擬主機配置的問題。以下以建立一個站點cert.ecjtu.jx.cn為例，跟大家共同探討虛擬主機配置問題。

一、建立Windows用戶


為每個網站單獨設置windows用戶帳號cert，刪除帳號的User組，將cert加入Guest用戶組。將用戶不能更改密碼，密碼永不過期兩個選項選上。

二、設置文件夾權限

1、設置非站點相關目錄權限

Windows安裝好后，很多目錄和文件默認是everyone可以瀏覽、查看、運行甚至是可以修改 的。這給服務器安全帶來極大的隱患。這里就我個人的一些經驗提一些在入侵中較常用的目錄。


C：\；D：\；……
C:\perl
C:\temp\
C:\Mysql\
c:\php\
C:\autorun.inf
C:\Documents and setting\
C:\Documents and Settings\All Users\「開始」菜單\程序\
C:\Documents and Settings\All Users\「開始」菜單\程序\啟動
C:\Documents and Settings\All Users\Documents\
C:\Documents and Settings\All Users\Application Data\Symantec\
C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere
C:\WINNT\system32\config\
C:\winnt\system32\inetsrv\data\
C:\WINDOWS\system32\inetsrv\data\
C:\Program Files\
C:\Program Files\Serv-U\
c:\Program Files\KV2004\
c:\Program Files\Rising\RAV
C:\Program Files\RealServer\
C:\Program Files\Microsoft SQL server\
C:\Program Files\Java Web Start\


以上這些目錄或文件的權限應該作適當的限制。如取消Guests用戶的查看、修改和執行等權限。由于篇幅關系，這里僅簡單提及。

2、設置站點相關目錄權限：

A、設置站點根目錄權限：將剛剛建立的用戶cert給對應站點文件夾，假設為D：\cert設置相應的權限：Adiministrators組為完全控制；cert有讀取及運行、列出文件夾目錄、讀取，取消其它所有權限。

B、設置可更新文件權限：經過第1步站點根目錄文件夾權限的設置后，Guest用戶已經沒有修改站點文件夾中任何內容的權限了。這顯然對于一個有更新的站點是不夠的。這時就需要對單獨的需更新的文件進行權限設置。當然這個可能對虛擬主機提供商來說有些不方便?？蛻舻恼军c的需更新的文件內容之類的可能都不一樣。這時，可以規定某個文件夾可寫、可改。如有些虛擬主機提供商就規定，站點根目錄中uploads為web可上傳文件夾，data或者database為數據庫文件夾。這樣虛擬主機服務商就可以為客戶定制這兩個文件夾的權限。當然也可以像有些做的比較好的虛擬主機提供商一樣，給客戶做一個程序，讓客戶自己設定。可能要做到這樣，服務商又得花不小的錢財和人力哦。

三、配置IIS

基本的配置應該大家都會，這里就提幾個特殊之處或需要注意的地方。


1、主目錄權限設置：這里可以設置讀取就行了。寫入、目錄瀏覽等都可以不要，最關鍵的就是目錄瀏覽了。除非特殊情況，否則應該關閉，不然將會暴露很多重要的信息。這將為黑客入侵帶來方便。其余保留默認就可以了。

2、應用程序配置：在站點屬性中，主目錄這一項中還有一個配置選項，點擊進入。在應用程序映射選項中可以看到，默認有許多應用程序映射。將需要的保留，不需要的全部都刪除。在入侵過程中，很多程序可能限制了asp，php等文件上傳，但并不對cer，asa等文件進行限制，如果未將對應的應用程序映射刪除，則可以將asp的后綴名改為cer或者asa后進行上傳，木馬將可以正常被解析。這也往往被管理員忽視。另外添加一個應用程序擴展名映射，可執行文件可以任意選擇，后綴名為.mdb。這是為了防止后綴名為mdb的用戶數據庫被下載。

3、目錄安全性設置：在站點屬性中選擇目錄安全性，點擊匿名訪問和驗證控制，選擇允許匿名訪問，點擊編輯。如下圖所示。刪除默認用戶，瀏覽選擇對應于前面為cert網站設定的用戶，并輸入密碼。可以選中允許IIS控制密碼。這樣設定的目的是為了防止一些像站長助手、海洋等木馬的跨目錄跨站點瀏覽，可以有效阻止這類的跨目錄跨站入侵。

4、可寫目錄執行權限設置：關閉所有可寫目錄的執行權限。由于程序方面的漏洞，目前非常流行上傳一些網頁木馬，絕大部分都是用web進行上傳的。由于不可寫的目錄木馬不能進行上傳，如果關閉了可寫目錄的執行權限，那么上傳的木馬將不能正常運行?？梢杂行Х乐惯@類形式web入侵。

5、處理運行錯誤：這里有兩種方法，一是關閉錯誤回顯。IIS屬性――主目錄――配置――應用程序調試――腳本錯誤消息，選擇發送文本錯誤信息給客戶。二是定制錯誤頁面。在IIS屬性――自定義錯誤信息，在http錯誤信息中雙擊需要定制的錯誤頁面，將彈出錯誤映射屬性設置框。消息類型有默認值、URL和文件三種，可以根據情況自行定制。這樣一方面可以隱藏一些錯誤信息，另外一方面也可以使錯誤顯示更加友好。

四、配置FTP

Ftp是絕大部分虛擬主機提供商必備的一項服務。用戶的站內文件大部分都是使用ftp進行上傳的。目前使用的最多的ftp服務器非Serv-U莫屬了。這里有幾點需要說明一下。

1、管理員密碼必須更改

如果入侵愛好者們肯定對Serv-U提權再熟悉莫過了。這些提權工具使用的就是Serv-U默認的管理員的帳號和密碼運行的。因為Serv-U管理員是以超級管理員的身份運行的。如果沒有更改管理員密碼，這些工具使用起來就再好用不過了。如果更改了密碼，那這些工具要想正常運行，那就沒那么簡單嘍。得先破解管理員密碼才行。

2、更改安裝目錄權限

Serv-U的默認安裝目錄都是everyone可以瀏覽甚至可以修改的。安裝的時候如果選擇將用戶信息存儲在ini文件中，則可以在ServUDaemon.ini得到用戶的所有信息。如果Guests有修改權限，那么黑客就可以順利建立具有超級權限的用戶。這可不是一件好事。所以在安裝好Serv-U之后，得修改相應的文件夾權限，可以取消Guests用戶的相應權限。

五、命令行相關操作處理

1、禁止guests用戶執行com.exe：

我們可以通過以下命令取消guests執行com.exe的權限cacls C:\WINNT\system32\Cmd.exe /e /d guests。

2、禁用Wscript.Shell組件：

Wscript.Shell可以調用系統內核運行DOS基本命令?？梢酝ㄟ^修改注冊表，將此組件改名，來防止此類木馬的危害。HKEY_CLASSES_ROOT\Wscript.Shell\ 及HKEY_CLASSES_ROOT\Wscript.Shell.1\改名為其它的名字。將兩項clsid的值也改一下HKEY_CLASSES_ROOT\Wscript.Shell\CLSID\項目的值和HKEY_CLASSES_ROOT\Wscript.Shell.1\CLSID\項目的值，也可以將其刪除。

3、禁用Shell.Application組件

Shell.Application也可以調用系統內核運行DOS基本命令。可以通過修改注冊表，將此組件改名，來防止此類木馬的危害。Shell.Application.1\ 改名為其它的名字。將HKEY_CLASSES_ROOT\Shell.Application\CLSID\項目的值HKEY_CLASSES_ROOT\Shell.Application\CLSID\項目的值更改或刪除。同時，禁止Guest用戶使用shell32.dll來防止調用此組件。使用命令：


cacls C:\WINNT\system32\shell32.dll /e /d guests


4、FileSystemObject組件

FileSystemObject可以對文件進行常規操作可以通過修改注冊表，將此組件改名，來防止此類木馬的危害。對應注冊表項為HKEY_CLASSES_ROOT\scripting.FileSystemObject\?？梢越筭uests用戶使用或直接將其刪除?？紤]到很多的上傳都會使用到這個組件，為了方便，這里不建議更改或刪除。

5、禁止telnet登陸

在C:\WINNT\system32目錄下有個login.cmd文件，將其用記事本打開，在文件末尾另取一行，加入exit保存。這樣用戶在登陸telnet時，便會立即自動退出。

注：以上修改注冊表操作均需要重新啟動WEB服務后才會生效。

六、端口設置

端口窗體底端就是門，這個比喻非常形象。如果我們服務器的所有端口都開放的話，那就意味著黑客有好多門可以進行入侵。所以我個人覺得，關閉未使用的端口是一件重要的事情。在控制面板――網絡與撥號連接――本地連接――屬性――Internet協議（TCP/IP）屬性，點擊高級，進入高級TCP/IP設置，選擇選項，在可選的設置中選擇TCP/IP篩選，啟用TCP/IP篩選。添加需要的端口，如21、80等，關閉其余的所有未使用的端口。

七、關閉文件共享

系統默認是啟用了文件共享功能的。我們應給予取消。在控制面板――網絡和撥號連接――本地連接――屬性，在常規選項種，取消Microsoft 網絡文件和打印共享。服務最少原則是保障安全的一項重要原則。非必要的服務應該給予關閉。系統服務可以在控制面板――管理工具――服務中進行設定。

八、關閉非必要服務

類似telnet服務、遠程注冊表操作等服務應給予禁用。同時盡可能安裝最少的軟件。這可以避免一些由軟件漏洞帶來的安全問題。有些網管在服務器上安裝QQ，利用服務器掛QQ，這種做法是極度錯誤的。

九、關注安全動態及時更新漏洞補丁

更新漏洞補丁對于一個網絡管理員來說是非常重要的。更新補丁，可以進一步保證系統的安全。

HKEY_CLASSES_ROOT\Shell.Application\ 及HKEY_CLASSES_ROOT\

昨晚電腦不幸中了毒，癥狀為每個盤都有個熊貓圖標的setup.exe和autorun.inf文件，
　　c:\windows\system32\drivers里面有個spoclsv.exe文件。用刪掉了過兩三秒又自動生成。用

　　ctrl+alt+del鍵打開資源管理器，剛打開就被關掉了，然后發現防火墻被關了，卡巴也打不開，想裝木馬清道夫也是剛啟動就自動關閉了。上網查了下，這是個蠕蟲病毒，會盜取帳號什么的。

　　據金山毒霸反病毒專家介紹，“熊貓燒香”蠕蟲不但可以對用戶系統進行破壞，導致大量應用軟件無法使用，而且還可刪除擴展名為gho的所有文件，造成用戶的系統備份文件丟失，從而無法進行系統恢復;同時該病毒還能終止大量反病毒軟件進程，大大降低用戶系統的安全性。 據金山毒霸反病毒專家介紹，“熊貓燒香”蠕蟲不但可以對用戶系統進行破壞，導致大量應用軟件無法使用，而且還可刪除擴展名為gho的所有文件，造成用戶的系統備份文件丟失，從而無法進行系統恢復;同時該病毒還能終止大量反病毒軟件進程，大大降低用戶系統的安全性。

　　等一下在后面貼出來，這里只是介紹我的dos操作的簡單快速清除的方法：(爽，dos原來這么有用的。)

　　一、再任一個盤中，建立一個bat文件，內容如下：(我的電腦有6個盤c,d,e,f,g,h.故要刪除這六個盤的病毒文件。這個開你電腦的情況)

　　attrib -h -s -r d:\autorun.inf

　　attrib -h -s -r d:\setup.exe

　　del d:\autorun.inf

　　del d:\setup.exe

　　md d:\setup.exe

　　attrib -h -s -r c:\autorun.inf

　　attrib -h -s -r c:\setup.exe

　　del c:\autorun.inf

　　del c:\setup.exe

　　md c:\setup.exe

　　attrib -h -s -r e:\autorun.inf

　　attrib -h -s -r e:\setup.exe

　　del e:\autorun.inf

　　del e:\setup.exe

　　md e:\setup.exe

　　attrib -h -s -r f:\autorun.inf

　　attrib -h -s -r f:\setup.exe

　　del f:\autorun.inf

　　del f:\setup.exe

　　md f:\setup.exe

　　attrib -h -s -r g:\autorun.inf

　　attrib -h -s -r g:\setup.exe

　　del g:\autorun.inf

　　del g:\setup.exe

　　md g:\setup.exe

　　attrib -h -s -r h:\autorun.inf

　　attrib -h -s -r h:\setup.exe

　　del h:\autorun.inf

　　del h:\setup.exe

　　md h:\setup.exe

　　del c:\windows\system32\drivers\spoclsv.exe

　　運行dat文件后setup.exe,autorun.inf成功刪掉。

　　但c:\windows\system32\drivers下 的spoclsv.exe刪不掉，估計是在運行當中，但直接在資源管理器關閉又行不通，管理器打不開阿。所以進行下一步，在dos下關閉再刪除，下面是操作過程。絲毫沒改動過的。二、開始-〉運行->cmd->確定，打開cmd



　　c:\documents and settings\administrator>d:

　　d:\>attrib -h -r -s autorun.inf

　　d:\>del autorun.inf

　　找不到 d:\autorun.inf

　　d:\>dir

　　d:\>attrib -h -r autorun.inf

　　未重設系統文件 - d:\autorun.inf

　　d:\>attrib -h -r -s autorun.inf

　　d:\>tasklist /svc

　　d:\>attirb -h -r -s autorun.inf

　　d:\>tasklist /svc /////用來查看系統打開進程。顯示圖像名 和 pid服務號，但copy不出來，sorry了。

　　d:\ntsd -c q -p 133440 ////////133440為病毒程序spoclsv.exe的pid號。用來關掉該病毒進程。

　　由于我對命令記得不太清楚了才進行了這么多操作，其實只要這幾步就行了：

　　c:\documents and settings\administrator

　　c:\documents and settings\administrator cd d:\ //////////進入d盤殺安全點。

　　d:\>attrib -h -r -s autorun.inf

　　d:\>tasklist /svc /////用來查看系統打開進程。顯示 圖像名 和 pid服務號，但copy不出來，sorry了。

　　d:\ntsd -c q -p 133440 ////////133440為病毒程序spoclsv.exe的pid號。用來關掉該病毒進程。

　　三、成功關閉spoclsv.exe，打開c:\windows\system32\drivers,刪掉spoclsv.exe。呵呵，大功告成!這是你可以隨便打開殺毒軟件清除殘余的注冊表信息了。殺完毒后就可以吧各個盤上由于運行上面建立的bat文件生成的setup。exe文件夾刪掉了。