来源:自学PHP网 时间:2015-04-17 11:59 作者: 阅读:次
[导读] 前几天网站刚刚改目录, 服务器也重装系统,没去进行安全配置。不巧就是这个时候突然发现服务器远程主机登陆不上密码被修改,第一反应就是服务器被匿名者闯入了修改了密码。没...
前几天网站刚刚改目录, 服务器也重装系统,没去进行安全配置。
不巧就是这个时候突然发现服务器远程主机登陆不上密码被修改,第一反应就是服务器被匿名者闯入了修改了密码。 没办法进入不到。找主机商破解了密码。我得到密码进去服务器,查看了一下痕迹。果然是被入侵过,再查看系统盘。没发现什么入侵者上传的恶意木马。心想入侵者不可能没的提取东西就进入服务器,再次仔细查看, 发现D盘有一个TMP文件夹,打开一看果然是提取东西。好家伙被我逮着了尾巴,查看一下木马就是简单的提取木马注入,果断的删除。心想C盘肯定还有其他木马。去查看分析, 发现在C盘windows系统盘里面有注入代码立刻删除。 在C盘根目录又发现上传了一个C段渗透软件,入侵者想破解我服务器密码 通过同段IP的服务器漏洞来破解我服务器的登陆密码 。
关于C段这里解释一下。例如我的服务器IP是118.123.15.253 我这个服务器只有我一个网站,没的什么漏洞, !但是和我同C段 118.123.15.1——118.123.15.255 这 1~255 上面也有服务器而且也有网站并且存在漏洞,那么我们就可以来渗透 1~255任何一个站 之后提权来嗅探得到我的服务器253 从而就能得到我服务器3389登陆密码。或者其他密码信息。主要是基于嗅探。上次我做过一个教程,本站日志去查找。
发现了这个我立马删除。然后用命令查看端口连接。看看有没的匿名IP在连接我服务器,结果没有。可知入侵者现在已经无法连接本服务器。好!查看网站漏洞,文件权限。查看得到文件权限都是正常。网站根本不可能上传代码。XXS也没有。最后想起了数据库存在弱口令。默认mysql数据库端口3306 数据库密码用户名, 密码都是默认的。存在弱口令。密码修改数据量默认的3306端口。
我用的是Apache服务器架构的网站。进入mysql安装目录找到my.ini 注:修改默认的端口3306。改
复杂一点,只要不超过65535。如图:
port=后面就是你要修改的端口。端口修改好了。然后修改数据库用户名密码,完成。最后来个更狠的彻底封掉3306端口。关于封掉这个端口有多种方法,可以从注册表 管理工具 也可以从防火墙例外里面封掉,还可以从本地连接TCP/IP筛选。
这里列出最常用的管理工具里面封端口。
方法:控制面板-管理工具-本地安全设置-IP安全策略 如图:
(窗口右边空白处鼠标右键单击建立一个IP安全策略-一路下一步,在最后把"激活默认规则的沟去掉最后完成("编辑属性"的勾不用去掉)弹出"新IP安全策略属性"-在规则选项卡里把使用"添加向导"勾去掉(以后只要遇到使用"添加向导"就去掉,多注意下)-点击添加-还是添加-在IP筛选器列表里还是添加-源地址是任何地址,目标地址是我的地址-协议选项卡-协议类型是TCP-点"到此端口输入3306 确定-返回上一层后点击新的IP筛选器表明已经激活-关闭-然后新规则中就多出你建立的新筛选器-选中后不是确定就是关闭即可最后在你的本地安全策略里就多出个新的IP策略,右键点击然后指派即可.重启!
发现服务器安装有Serv-U这个FTP上传工具,果断的干掉它。这个工具很多漏洞,主要是溢出漏洞。就是软件编写的时候不严谨,出现BUG。通过这个软件漏洞就可以用命令实现提取。添加系统管理员账户,十分危险。
最后顺利完成。修改3389远程端口,修改为复杂的端口。同样不超过65535就可以。从注册表修改。最简单的可以下载3389端口修改器,百度搜索很多。需要注意的是 修改了3389端口,如果防火墙是打开的必须在防火墙里面的例外添加你修改的端口。不然不能连接。最后还要重启才能生效。
总结:哪怕你密码设置的再复杂。只要你3389端口是打开的。入侵者就可以一直扫面你的服务器,暴力破解密码,后果会造成大量CPU 直到CPU100%卡死。以前很多用服务器不知道为什么CPU总是大量占用,也没开什么程序。网站也没占多少CPU。主要原因就是没有修改默任的3389端口。别个在扫描你服务器 通过3389暴力破解你密码。当然卡死。
网络安全绝不能有一点马虎,任何一个很小的疏忽都可造成重大损失。
|
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com