黑客24小时接单的平台

服务器被入侵，网站根目录被注入.ASP、.TXT文件，如何找到漏洞？

首先建议你使用360主机卫士、安全狗对服务器进行扫描排查。

1.应当采用的处理方式

(1)、建立被入侵系统当前完整系统快照，或只保存被修改部分的快照，以便事后分析和留作证据。

(2)、立即通过备份恢复被修改的网页。

(3)、在Windows系统下，通过网络监控软件或"netstat -an"命令来查看系统目前的网络连接情况，如果发现不正常的网络连接，应当立即断开与它的连接。然后通过查看系统进程、服务和分析系统和服务的日志文件，来检查系统攻击者在系统中还做了什么样的操作，以便做相应的恢复。

(4)、通过分析系统日志文件，或者通过弱点检测工具来了解攻击者入侵系统所利用的漏洞。如果攻击者是利用系统或网络应用程序的漏洞来入侵系统的，那么，就应当寻找相应的系统或应用程序漏洞补丁来修补它，如果目前还没有这些漏洞的相关补丁，我们就应当使用其它的手段来暂时防范再次利用这些漏洞的入侵活动。如果攻击者是利用其它方式，例如社会工程方式入侵系统的，而检查系统中不存在新的漏洞，那么就可以不必做这一个步骤，而必需对社会工程攻击实施的对象进行了解和培训。

(5)、修复系统或应用程序漏洞后，还应当添加相应的防火墙规则来防止此类事件的再次发生，如果安装有IDS/IPS和杀毒软件，还应当升级它们的特征库。

(6)、最后，使用系统或相应的应用程序检测软件对系统或服务进行一次彻底的弱点检测，在检测之前要确保其检测特征库是最新的。所有工作完成后，还应当在后续的一段时间内，安排专人对此系统进行实时监控，以确信系统已经不会再次被此类入侵事件攻击。

如果攻击者攻击系统是为了控制系统成为肉鸡，那么，他们为了能够长期控制系统，就会在系统中安装相应的后门程序。同时，为了防止被系统用户或管理员发现，攻击者就会千方百计地隐藏他在系统中的操作痕迹，以及隐藏他所安装的后门。

因而，我们只能通过查看系统进程、网络连接状况和端口使用情况来了解系统是否已经被攻击者控制，如果确定系统已经成为了攻击者的肉鸡，那么就应当按下列方式来进行入侵恢复：

(1)、立即分析系统被入侵的具体时间，目前造成的影响范围和严重程度，然后将被入侵系统建立一个快照，保存当前受损状况，以更事后分析和留作证据。

(2)、使用网络连接监控软件或端口监视软件检测系统当前已经建立的网络连接和端口使用情况，如果发现存在非法的网络连接，就立即将它们全部断开，并在防火墙中添加对此IP或端口的禁用规则。

(3)、通过Windows任务管理器，来检查是否有非法的进程或服务在运行，并且立即结束找到的所有非法进程。但是，一些通过特殊处理的后门进程是不会出现在 Windows任务管理器中，此时，我们就可以通过使用Icesword这样的工具软件来找到这些隐藏的进程、服务和加载的内核模块，然后将它们全部结束任务。

可是，有时我们并不能通过这些方式终止某些后门程序的进程，那么，我们就只能暂停业务，转到安全模式下进行操作。如果在安全模式下还不能结束掉这些后门进程的运行，就只能对业务数据做备份后，恢复系统到某个安全的时间段，再恢复业务数据。

这样，就会造成业务中断事件，因此，在处理时速度应当尽量快，以减少由于业务中断造成的影响和损失。有时，我们还应当检测系统服务中是否存在非法注册的后门服务，这可以通过打开"控制面板"-"管理工具"中的"服务"来检查，将找到的非法服务全部禁用。

(4)、在寻找后门进程和服务时，应当将找到的进程和服务名称全部记录下来，然后在系统注册表和系统分区中搜索这些文件，将找到的与此后门相关的所有数据全部删除。还应将"开始菜单"-"所有程序"-"启动"菜单项中的内容全部删除。

(5)、分析系统日志，了解攻击者是通过什么途径入侵系统的，以及他在系统中做了什么样的操作。然后将攻击者在系统中所做的所有修改全部更正过来，如果他是利用系统或应用程序漏洞入侵系统的，就应当找到相应的漏洞补丁来修复这个漏洞。

如果目前没有这个漏洞的相关补丁，就应当使用其它安全手段，例如通过防火墙来阻止某些IP地址的网络连接的方式，来暂时防范通过这些漏洞的入侵攻击，并且要不断关注这个漏洞的最新状态，出现相关修复补丁后就应当立即修改。给系统和应用程序打补丁，我们可以通过相应的软件来自动化进行。

(6)、在完成系统修复工作后，还应当使用弱点检测工具来对系统和应用程序进行一次全面的弱点检测，以确保没有已经的系统或应用程序弱点出现。我们还应用使用手动的方式检查系统中是否添加了新的用户帐户，以及被攻击做修改了相应的安装设置，例如修改了防火墙过滤规则，IDS/IPS的检测灵敏度，启用被攻击者禁用了的服务和安全软件。

2.进一步保证入侵恢复的成果

(1)、修改系统管理员或其它用户帐户的名称和登录密码;

(2)、修改数据库或其它应用程序的管理员和用户账户名称和登录密码;

(3)、检查防火墙规则;

(4)、如果系统中安装有杀毒软件和IDS/IPS，分别更新它们的病毒库和攻击特征库;

(5)、重新设置用户权限;

(6)、重新设置文件的访问控制规则;

(7)、重新设置数据库的访问控制规则;

(8)、修改系统中与网络操作相关的所有帐户的名称和登录密码等。

当我们完成上述所示的所有系统恢复和修补任务后，我们就可以对系统和服务进行一次完全备份，并且将新的完全备份与旧的完全备份分开保存。

在这里要注意的是：对于以控制系统为目的的入侵活动，攻击者会想方设法来隐藏自己不被用户发现。他们除了通过修改或删除系统和防火墙等产生的与他操作相关的日志文件外，高明的黑客还会通过一些软件来修改其所创建、修改文件的基本属性信息，这些基本属性包括文件的最后访问时间，修改时间等，以防止用户通过查看文件属性来了解系统已经被入侵。因此，在检测系统文件是否被修改时，应当使用RootKit Revealer等软件来进行文件完整性检测。二、 以得到或损坏系统中机密数据为目的的系统入侵恢复

现在，企业IT资源中什么最值钱，当然是存在于这些设备当中的各种机密数据了。目前，大部分攻击者都是以获取企业中机密数据为目的而进行的相应系统入侵活动，以便能够通过出售这些盗取的机密数据来获取非法利益。

如果企业的机密数据是以文件的方式直接保存在系统中某个分区的文件夹当中，而且这些文件夹又没有通过加密或其它安全手段进行保护，那么，攻击者入侵系统后，就可以轻松地得到这些机密数据。但是，目前中小企业中有相当一部分的企业还在使用这种没有安全防范的文件保存方式，这样就给攻击者提供大在的方便。

不过，目前还是有绝大部分的中小企业都是将数据保存到了专门的存储设备上，而且，这些用来专门保存机密数据的存储设备，一般还使用硬件防火墙来进行进一步的安全防范。因此，当攻击者入侵系统后，如果想得到这些存储设备中的机密数据，就必需对这些设备做进一步的入侵攻击，或者利用网络嗅探器来得到在内部局域网中传输的机密数据。

机密数据对于一些中小企业来说，可以说是一种生命，例如客户档案，生产计划，新产品研究档案，新产品图库，这些数据要是泄漏给了竞争对象，那么，就有可能造成被入侵企业的破产。对于抢救以得到、破坏系统中机密数据为目的的系统入侵活动，要想最大限度地降低入侵带来的数据损失，最好的方法就是在数据库还没有被攻破之前就阻止入侵事件的进一步发展。

试想像一下，如果当我们发现系统已经被入侵之时，所有的机密数据已经完全泄漏或删除，那么，就算我们通过备份恢复了这些被删除的数据，但是，由于机密数据泄漏造成的损失依然没有减少。因此，我们必需及时发现这种方式的系统入侵事件，只有在攻击者还没有得到或删除机密数据之前，我们的恢复工作才显得有意义。

当然，无论有没能损失机密数据，系统被入侵后，恢复工作还是要做的。对于以得到或破坏机密数据为目的的系统入侵活动，我们仍然可以按此种入侵活动进行到了哪个阶段，再将此种类型的入侵活动细分为还没有得到或破坏机密数据的入侵活动和已经得到或破坏了机密数据的入侵活动主两种类型。

1、恢复还没有得到或破坏机密数据的被入侵系统

假设我们发现系统已经被入侵，并且通过分析系统日志，或者通过直接观察攻击者对数据库进行的后续入侵活动，已经了解到机密数据还没有被攻击者窃取，只是进入了系统而已，那么，我们就可以按下列方式来应对这样的入侵活动：如果企业规定在处理这样的系统入侵事件时，不允许系统停机，那么就应当按这种方式来处理：

(1)、立即找到与攻击源的网络连接并断开，然后通过添加防火墙规则来阻止。通常，当我们一开始就立即断开与攻击源的网络连接，攻击者就会立即察觉到，并由此迅速消失，以防止自己被反向追踪。因而，如果我们想抓到攻击者，让他受到法律的惩罚，在知道目前攻击者进行的入侵攻击不会对数据库中的机密数据造成影响的前提下，我们就可以先对系统当前状态做一个快照，用来做事后分析和证据，然后使用IP追捕软件来反向追踪攻击者，找到后再断开与他的网络连接。

不过，我们要注意的是，进行反向追踪会对正常的系统业务造成一定的影响，同时，如果被黑客发现，他们有时会做最后一搏，会破坏系统后逃避，因而在追捕的同时要注意安全防范。只是，大部分的企业都是以尽快恢复系统正常运行，减少入侵损失为主要目的，因此，立即断开与攻击源的网络连接是最好的处理方式。

(2)、对被入侵系统的当前状态建立快照，以便事后分析和留作证据。

(3)、通过分析日志文件和弱点检测工具找到攻击者入侵系统的漏洞，然后了解这些系统漏洞是如何得到的。如果漏洞是攻击者自己分析得到的，那么就可能还没有相应的漏洞修复补丁，因而必需通过其它手段来暂时防范再次利用此漏洞入侵系统事件的发生;如果漏洞是攻击者通过互联网得到的，而且漏洞已经出现了相当一段时间，那么就可能存在相应的漏洞修复补丁，此时，就可以到系统供应商建立的服务网站下载这些漏洞补丁修复系统;如果攻击者是通过社会工程方式得到的漏洞，我们就应当对当事人和所有员工进行培训，以减少被再次利用的机率。

(4)、修改数据库管理员帐号名称和登录密码，重新为操作数据的用户建立新的帐户和密码，并且修改数据库的访问规则。至于剩下的系统恢复工作，可以按恢复以控制系统为目的的系统入侵恢复方式来进行。

2、恢复已经得到或删除了机密数据的被入侵系统

如果当我们发现系统已经被入侵时，攻击者已经得到或删除了系统中全部或部分的机密数据，那么，现在要做的不是试图抢救已经损失了的数据，而是保护没有影响到的数据。由于此类系统入侵事件已经属于特别严重的入侵事件，我们的第一个动作，就是尽快断开与攻击源的网络连接。

如果允许系统停机处理这类严重系统入侵事件，那么就可以直接拔掉网线的方式断开被入侵系统与网络的直接连接。当系统仍然不允许停机处理时，就应当通过网络连接监控软件来找到系统与攻击源的网络连接，然后断开，并在防火墙中添加相应的规则来拦截与攻击源的网络连接。这样做的目的，就是防止此次系统入侵事件进一步的恶化，保护其它没有影响到的数据。

断开与攻击源的连接后，我们就应当立即分析数据损失的范围和严重程度，了解哪些数据还没有被影响到，然后立即将这些没有影响到的数据进行备份或隔离保护。对于丢失了数据的系统入侵事件，我们还可以将它归纳成以下的三个类别：

(1)、数据被窃取。

当我们检测数据库时发现数据并没有被删除或修改，但是通过分析系统日志和防火墙日志，了解攻击者已经进入了数据库，打开了某些数据库表，或者已经复制了这些数据库表，那么就可以确定攻击者只是窃取了数据而没有进行其它活动。此时，应当按前面介绍过的方法先恢复系统到正常状态，然修补系统和数据库应用程序的漏洞，并对它们进行弱点检测，发现没有问题后分别做一次完全备份。还应当修改系统管事员和数据库管理员帐户的名称和登录密码，所有的操作与前面提到过的方式相同。只是多出了数据库的恢复工作。

(2)、数据被修改

如果我们在分析数据库受损情况时发现攻击者并没有打开数据库表，而是通过数据库命令增加、修改了数据库某个表中的相关内容。那么，我们不得不一一找出这些非授权的数据表相关行，然后将它们全部修正或删除。如果修改的内容有关某个行业，例如办理驾驶证的政府机关，办理毕业证的教育机构，或者办理其它各种执照相关单位等，那么，还要将攻击者修改的内容向外界公布，说明这些被攻击者修改或添加的内容是无效的，以免造成不必要的社会影响。其它的系统和数据库恢复处理方式与数据被窃取方式相同。

(3)、数据被删除

如果我们在分析数据库受损情况时，发现攻击者不仅得到了机密数据，而且将系统中的相应数据库表完全删除了，那么，我们在断开与其网络连接时，要立即着手恢复这些被删除了的数据。

当我们通过备份的方式来恢复被删除的数据时，在恢复之前，一定要确定系统被入侵的具体时间，这样才知道什么时候的备份是可以使用的。这是因为，如果我们对数据库设置了每日的增量备份，当攻击者删除其中的内容时，非法修改后的数据库同样被备份了，因此，在入侵后的增量备份都不可用。同样，如果在系统被入侵期间，还对数据库进行了完全备份，那么，这些完全备份也不可用。

如果允许我们停机进行处理，我们可以拆下系统上的硬盘，接入其它系统，然后通过文件恢复软件来恢复这些被删除的文件，但是，对于数据库表中内容的删除，我们只能通过留下的纸质文档，来自己慢慢修正。

在这里我们就可以知道，备份并不能解决所有的系统入侵问题，但仍然是最快、最有效恢复系统正常的方式之一。通过这我们还可以知道，及时发现系统已经被入侵对于抢救系统中的机密数据是多么的重要。三、 以破坏系统或业务正常运行为目的的系统入侵恢复

当攻击者入侵系统的目的，就是为了让系统或系统中的正常业务不能正常运行，如果我们发现不及时，当这类系统入侵事件攻击成功后，就会造成系统意外停机事件和业务意外中断事件。

处理这类系统入侵事件时，已经没有必需再考虑系统需不需要停机处理的问题了，既然系统都已经不能正常运行了，考虑这些都是多余的，最紧要的就是尽快恢复系统正常运行。对于这类事件，也有下列这几种类别，每种类别的处理方式也是有一点区别的：

1、系统运行正常，但业务已经中断

对于此类系统入侵事件，我们可以不停机进行处理，直接以系统在线方式通过备份来恢复业务的正常运行，但在恢复前要确定系统被入侵的具体时间，以及什么时候的备份可以使用，然后按本文前面介绍的相关系统入侵恢复方式来恢复系统和业务到正常状态。

对于没有冗余系统的企业，如果当时非常迫切需要系统业务能够正常运行，那么，也只有在通过备份恢复业务正常运行后直接使用它。但在没有修复系统或应用程序漏洞之前，必需安排专人实时监控系统的运行状况，包括网络连接状况，系统进程状况，通过提高IDS/IPS的检测力度，添加相应的防火墙检测规则来暂时保护系统安全。

2、系统不能正常运行，但系统中与业务相关的内容没有受到破坏

此时，我们首要的任务就是尽快让系统恢复正常运行，但是要保证系统中与业务相关的数据不能受到损害。如果与业务相关的重要数据不在系统分区，那么，将系统从网络中断开后，我们就可以通过另外保存的系统完全备份来迅速恢复系统到正常状态，这是最快速的解决方法。

但是，如果与业务相关的数据全部或部分存放在系统分区，那么，为了防止当前业务数据的完整性，我们应当先通过像WinPE光盘系统的方式启动Winpe系统，然后将与业务相关的重要数据全部备份到其它独立的存储设备中，再对系统分区进行备份恢复操作。

如果我们发现系统的完全备份不可用，我们就只能在保证与业务相关的重要数据不损失的情况下，进行全新的操作系统安装方式来恢复系统正常运行，然后再安装业务应用程序，来恢复整个系统业务的正常运行。但是，由于这种方式是重新全新安装的操作系统，因此，如没有特殊的要求，应当对系统和应用程序做好相应的安全防范措施并完全备份后，才将系统连入网络当中。

至于剩下的系统恢复工作，可以按恢复以控制系统为目的的系统入侵恢复方式来进行。

3、系统不能正常运行，系统中的业务也已经被破坏

此时，首先按第二种方式恢复系统正常运行，然后再在系统中重新安装与业务相关应用程序，并且尽量通过备份恢复与业务相关的数据。至于剩下的系统恢复工作，可以按恢复以控制系统为目的的系统入侵恢复方式来进行。

当系统或业务被破坏不能运行后，造成的影响和损失是肯定的，我们按上述方式这样做的目的，就是为了尽量加快系统和业务恢复正常运行的速度，减少它们停止运行的时间，尽量降低由于系统停机或业务中断造成的影响和损失。

在对入侵系统进行恢复处理的过程中，对于一些与企业经营生死相依的特殊业务，例如电子邮件服务器，由于邮件服务器是为员工和客户提供邮件服务器的，如果邮件服务器停用，势必会影响的业务的正常往来。因此，对邮件服务器进行入侵恢复前，在使用本文前面所描述的方法进行进，还应当完成下列的工作：

(1)、启用临时邮箱，如果受影响的邮件服务器是企业自身的，可以通过申请邮件服务器提供商如Sina、163等的邮箱作为代替。

(2)、然后将临时邮箱信息尽快通知供货商和合作伙伴。

(3)、完成这些的工作后，就可以对被入侵的邮件服务器系统作相应的入侵恢复处理，恢复的方式与本文前面描述的方式相同。

四、 事后分析

当成功完成任何一种系统入侵类型的处理工作后，我们还必需完成与此相关的另外一件重要的事情，那就是对系统入侵事件及事件处理过程进行事后分析。

事后分析都是建立在大量的文档资料的基础上的，因而，我们在对被入侵系统进行处理的过程中，应当将事件处理过程中的所有操作内容和方式全部细致地记录下来。另外，我在描述如何恢复被入侵系统的处理过程中，在每次进行入侵恢复前都要求将受损系统的当前状态建立快照，其目的之一也是为了事后可以通过它来进行入侵分析。

我们通过对被入侵系统进行入侵分析，就能了解到此次入侵事件影响的范围和损失的严重程度，以及处理它所花费的时间、人力和物力成本。另一方面，通过分析此次入侵事件，可以了解攻击者是通过什么方式入侵系统的。

通过了解攻击者入侵系统的各种方式，就可以从中学习到相应的防范对策，为我们的安全防范工作带来相应的宝贵经验，让我们以后知道如何去应对与此相似的系统入侵活动。并由此来修改安全策略中不规范的内容，或添加相应的安全策略，使安全策略适应各个时期的安全防范需求。

同样，对每次系统入侵事件的处理过程进行分析，可以让我们了解自己或事件处理团队在应对系统入侵事件时的操作是否正确，是否产生了不必要的操作，是否产生了人为的失误，这些失误是如何产生的，以及哪些操作提高了处理的效率等等有用的信息。通过对系统入侵恢复处理过程的事后分析，能让我们增加相应的事件入侵响应能力，而且，还可以找出事件响应计划中不规范的内容，并由此做相应的修正。

对系统入侵事件和其恢复处理过程进行事后分析得出的结论，都应当全部以书面形式记录下来，并上报给上级领导。同时，还应当将处理结果发到每个事件响应小组成员手中，或企业中各个部门领导手中，由各部门分别组织学习，以防止此类系统入侵事件再次发生。如果有必要，还可以将事件发生和处理情况通告给合作伙伴和客户，以帮助它们防范此类系统入侵事件的发生，或告知系统或应用软件提供商，让他们尽快产生相应的漏洞补丁。

如何入侵服务器

黑客已经成为一种文化，很多人想成为黑客，他们偶尔学到了几种小花招，总喜欢拿别人开玩笑，搞些恶作剧。其实黑客的最高境界在于防守，不在于进攻。所谓明枪易躲暗箭难防，要防住他人所有的进攻，肯定需要懂得比对方更多的系统知识，了解更多的系统漏洞，及如何弥补漏洞。

现在满天都是黑客教程，但真正有用的不多，下面介绍一种WIN9X下的入侵方法:

1.取得对方IP地址如XX.XX.XX.XX，方法太多不细讲了。

2.判断对方上网的地点，开个DOS窗口键入

TRAcerT

XX.XX.XX.XX

第4和第5行反映的信息既是对方的上网地点。

3.得到对方电脑的名称，开个DOS窗口键入

NBTSTAT

-A

XX.XX.XX.XX

第一行是对方电脑名称

第二行是对方电脑所在工作组

第三行是对方电脑的说明

4.在Windows目录下有一文件名为LMHOSTS.SAM，将其改名为LMHOSTS，删除其内容，将对方的IP及电脑名按以下格式写入文件：

XX.XX.XX.XX

电脑名

5.开DOS窗口键入

NBTSTAT

-R

6.在开始-查找-电脑中输入对方电脑名，出现对方电脑点击即可进入。

以上方法请不要乱用，本人对你用上面的方法所惹出的麻烦概不负责，请慎重。

对付上面进攻的最好办法就是隐藏你的IP地址。

黑客在什么情况下能读到网站目录结构，甚至文件内容？

猜测的方法有很多,包括字典查找,暴力破解,还有蜜罐攻击等. 这里如何看到的途径不是关键,关键是被侵入端的安全机制.建权制度是关键.

黑客是如何窃取服务器文件的

我的经验就是打补丁，装杀毒软件，防火墙。不过还是转一篇文章楼主看下吧，其实想找的话，这样的文章百度上一堆。

服务器安全配置精华技巧

Windows2000 含有很多的安全功能和选项，如果你合理的配置它们，那么windows 2000将会是一个很安全的操作系统。

初级安全篇 　

1.物理安全

服务器应该安放在安装了监视器的隔离房间内，并且监视器要保留15天以上的摄像记录。另外，机箱,键盘，电脑桌抽屉要上锁，以确保旁人即使进入房间也无法使用电脑，钥匙要放在另外的安全的地方。 　

2.停掉Guest 帐号

在计算机管理的用户里面把guest帐号停用掉，任何时候都不允许guest帐号登陆系统。为了保险起见，最好给guest 加一个复杂的密码，你可以打开记事本，在里面输入一串包含特殊字符,数字，字母的长字符串，然后把它作为guest帐号的密码拷进去。 　

3．限制不必要的用户数量

去掉所有的duplicate user 帐户, 测试用帐户, 共享帐号，普通部门帐号等等。用户组策略设置相应权限，并且经常检查系统的帐户，删除已经不在使用的帐户。这些帐户很多时候都是黑客们入侵系统的突破口，系统的帐户越多，黑客们得到合法用户的权限可能性一般也就越大。国内的nt/2000主机，如果系统帐户超过10个，一般都能找出一两个弱口令帐户。我曾经发现一台主机197个帐户中竟然有180个帐号都是弱口令帐户。 　

4．创建2个管理员用帐号

虽然这点看上去和上面这点有些矛盾，但事实上是服从上面的规则的。 创建一个一般权限帐号用来收信以及处理一些*常事物，另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作，以方便管理。 　

5．把系统administrator帐号改名

大家都知道，windows 2000 的administrator帐号是不能被停用的，这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。当然，请不要使用Admin之类的名字，改了等于没改，尽量把它伪装成普通用户，比如改成：guestone 。 　

6．创建一个陷阱帐号

什么是陷阱帐号? Look!创建一个名为” Administrator”的本地帐户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。这样可以让那些 Scripts s忙上一段时间了，并且可以借此发现它们的入侵企图。或者在它的login scripts上面做点手脚。嘿嘿，够损！

7.把共享文件的权限从”everyone”组改成“授权用户”

“everyone” 在win2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成”everyone”组。包括打印共享，默认的属性就是”everyone”组的，一定不要忘了改。 　

8.使用安全密码

一个好的密码对于一个网络是非常重要的，但是它是最容易被忽略的。前面的所说的也许已经可以说明这一点了。一些公司的管理员创建帐号的时候往往用公司名，计算机名，或者一些别的一猜就到的东西做用户名，然后又把这些帐户的密码设置得N简单，比如 “welcome” “iloveyou” “letmein”或者和用户名相同等等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密码，还要注意经常更改密码。前些天在IRC和人讨论这一问题的时候，我们给好密码下了个定义：安全期内无法破解出来的密码就是好密码，也就是说，如果人家得到了你的密码文档，必须花43天或者更长的时间才能破解出来，而你的密码策略是42天必须改密码。 　

9.设置屏幕保护密码

很简单也很有必要，设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序，浪费系统资源，让他黑屏就可以了。还有一点，所有系统用户所使用的机器也最好加上屏幕保护密码。 　

10． 使用NTFS格式分区

把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT,FAT32的文件系统安全得多。这点不必多说，想必大家得服务器都已经是NTFS的了。

11．运行防毒软件

我见过的Win2000/Nt服务器从来没有见到有安装了防毒软件的，其实这一点非常重要。一些好的杀毒软件不仅能杀掉一些著名的病毒，还能查杀大量木马和后门程序。这样的话，“黑客”们使用的那些有名的木马就毫无用武之地了。不要忘了经常升级病毒库 　

12．保障备份盘的安全

一旦系统资料被破坏，备份盘将是你恢复资料的唯一途径。备份完资料后，把备份盘防在安全的地方。千万别把资料备份在同一台服务器上，那样的话，还不如不要备份。

中级安全篇： 　

1．利用win2000的安全配置工具来配置策略

微软提供了一套的基于MMC(管理控制台)安全配置和分析工具，利用他们你可以很方便的配置你的服务器以满足你的要求。具体内容请参考微软主页：

http://www.microsoft.com/windows200...y/sctoolset.asp 　

2．关闭不必要的服务

windows 2000 的 Terminal Services（终端服务），IIS ,和RAS都可能给你的系统带来安全漏洞。为了能够在远程方便的管理服务器，很多机器的终端服务都是开着的，如果你的也开了，要确认你已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行。要留意服务器上面开启的所有服务，中期性(每天)的检查他们。下面是C2级别安装的默认服务：

Computer Browser service TCP/IP NetBIOS Helper

Microsoft DNS server Spooler

NTLM SSP Server

RPC Locator WINS

RPC service Workstation

Netlogon Event log

3．关闭不必要的端口

关闭端口意味着减少功能，在安全和功能上面需要你作一点决策。如果服务器安装在_blank"防火墙的后面，冒的险就会少些，但是，永远不要认为你可以高枕无忧了。用端口扫描器扫描系统所开放的端口，确定开放了哪些服务是黑客入侵你的系统的第一步。\system32\drivers\etc\services 文件中有知名端口和服务的对照表可供参考。具体方法为：

网上邻居属性本地连接属性internet 协议(tcp/ip)属性高级选项tcp/ip筛选属性 打开tcp/ip筛选，添加需要的tcp,udp,协议即可。

4．打开审核策略

开启安全审核是win2000最基本的入侵检测方法。当有人尝试对你的系统进行某些方式（如尝试用户密码,改变帐户策略，未经许可的文件访问等等）入侵的时候，都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道，直到系统遭到破坏。下面的这些审核是必须开启的，其他的可以根据需要增加：

策略 设置

审核系统登陆事件 成功，失败

审核帐户管理 成功，失败

审核登陆事件 成功，失败

审核对象访问 成功

审核策略更改 成功，失败

审核特权使用 成功，失败

审核系统事件 成功，失败

5.开启密码密码策略

策略 设置

密码复杂性要求 启用

密码长度最小值 6位

强制密码历史 5 次

强制密码历史 42 天

6．开启帐户策略

策略 设置

复位帐户锁定计数器 20分钟

帐户锁定时间 20分钟

帐户锁定阈值 3次 　

7．设定安全记录的访问权限

安全记录在默认情况下是没有保护的，把他设置成只有Administrator和系统帐户才有权访问。

8．把敏感文件存放在另外的文件服务器中

虽然现在服务器的硬盘容量都很大，但是你还是应该考虑是否有必要把一些重要的用户数据(文件，数据表，项目文件等)存放在另外一个安全的服务器中，并且经常备份它们。

9.不让系统显示上次登陆的用户名

默认情况下，终端服务接入服务器时，登陆对话框中会显示上次登陆的帐户明，本地的登陆对话框也是一样。这使得别人可以很容易的得到系统的一些用户名，进而作密码猜测。修改注册表可以不让对话框里显示上次登陆的用户名，具体是：

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\DontDisplayLastUserName

把 REG_SZ 的键值改成 1 .　

10．禁止建立空连接

默认情况下，任何用户通过通过空连接连上服务器，进而枚举出帐号，猜测密码。我们可以通过修改注册表来禁止建立空连接：

Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。

10.到微软网站下载最新的补丁程序

很多网络管理员没有访问安全站点的习惯，以至于一些漏洞都出了很久了，还放着服务器的漏洞不补给人家当靶子用。谁也不敢保证数百万行以上代码的2000不出一点安全漏洞，经常访问微软和一些安全站点，下载最新的service pack和漏洞补丁，是保障服务器长久安全的唯一方法。 　

高级篇： 　

1. 关闭 DirectDraw

这是C2级安全标准对视频卡和内存的要求。关闭DirectDraw可能对一些需要用到DirectX的程序有影响（比如游戏，在服务器上玩星际争霸？我晕..$%$^%^??），但是对于绝大多数的商业站点都应该是没有影响的。 修改注册表 HKLM\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI 的Timeout(REG_DWORD)为 0 即可。 　

2.关闭默认共享

win2000安装好以后，系统会创建一些隐藏的共享，你可以在cmd下打 net share 查看他们。网上有很多关于IPC入侵的文章，相信大家一定对它不陌生。要禁止这些共享 ，打开 管理工具计算机管理共享文件夹共享 在相应的共享文件夹上按右键，点停止共享即可，不过机器重新启动后，这些共享又会重新开启的。

默认共享目录 路径和功能 　

C$ D$ E$ 每个分区的根目录。Win2000 Pro版中，只有Administrator

和Backup Operators组成员才可连接，Win2000 Server版本Server Operatros组也可以连接到这些共享目录ADMIN$ %SYSTEMROOT% 远程管理用的共享目录。它的路径永远都指向Win2000的安装路径，比如 c:\winntFAX$ 在Win2000 Server中，FAX$在fax客户端发传真的时候会到。IPC$ 空连接。IPC$共享提供了登录到系统的能力。

NetLogon 这个共享在Windows 2000 服务器的Net Login 服务在处理登陆域请求时用到

PRINT$ %SYSTEMROOT%\SYSTEM32\SPOOL\DRIVERS 用户远程管理打印机

解决办法：

打开注册表编辑器。REGEDIT

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

在右边建立一个名为AutoShareServer的DWORD键。值为0

3.禁止dump file的产生

dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料(不然我就照字面意思翻译成垃圾文件了)。然而，它也能够给黑客提供一些敏感信息比如一些应用程序的密码等。要禁止它，打开 控制面板系统属性高级启动和故障恢复 把 写入调试信息 改成无。要用的时候，可以再重新打开它。

4.使用文件加密系统EFS

Windows2000 强大的加密系统能够给磁盘，文件夹，文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。记住要给文件夹也使用EFS,而不仅仅是单个的文件。 有关EFS的具体信息可以查看

http://www.microsoft.com/windows200...ity/encrypt.asp

5.加密temp文件夹

一些应用程序在安装和升级的时候，会把一些东西拷贝到temp文件夹，但是当程序升级完毕或关闭的时候，它们并不会自己清除temp文件夹的内容。所以，给temp文件夹加密可以给你的文件多一层保护。

6.锁住注册表

在windows2000中，只有administrators和Backup Operators才有从网络上访问注册表的权限。如果你觉得还不够的话，可以进一步设定注册表访问权限，详细信息请参考：

http://support.microsoft.com/suppor...s/Q153/1/83.asp 　

7.关机时清除掉页面文件

页面文件也就是调度文件，是win2000用来存储没有装入内存的程序和数据文件部分的隐藏文件。一些第三方的程序可以把一些没有的加密的密码存在内存中，页面文件中也可能含有另外一些敏感的资料。 要在关机的时候清楚页面文件，可以编辑注册表

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management

把ClearPageFileAtShutdown的值设置成1。

8.禁止从软盘和CD Rom启动系统

一些第三方的工具能通过引导系统来绕过原有的安全机制。如果你的服务器对安全要求非常高，可以考虑使用可移动软盘和光驱。把机箱锁起来扔不失为一个好方法。 　

9.考虑使用智能卡来代替密码

对于密码，总是使安全管理员进退两难，容易受到 10phtcrack 等工具的攻击，如果密码太复杂，用户把为了记住密码，会把密码到处乱写。如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法。 　

10.考虑使用IPSec

正如其名字的含义，IPSec 提供 IP 数据包的安全性。IPSec 提供身份验证、完整性和可选择的机密性。发送方计算机在传输之前加密数据，而接收方计算机在收到数据之后解密数据。利用IPSec可以使得系统的安全性能大大增强。

SF的必须开放端口，极其解决端口安全的方法

传奇服务器开放端口+花生壳+一些必须端口

可以将这些端口使用TCP/IP筛选，只开放这些端口增加安全性,(开设其他服务，端口自己再加入)

TCP/IP筛选端口- TCP断口

端口7220 .... RunGate 1 端口

端口7210 .... RunGate 2 端口 同时开启3个RunGate

端口7200 .... RunGate 3 端口

端口7100

端口7012

端口6000

端口5600

端口5500

端口5100

端口5000

端口4900

端口3389

端口3372

端口3100

端口3000

端口1027

端口1025

端口0135

\system32\drivers\etc\services 文件中有知名端口和服务的对照表可供参考。具体方法为：

网上邻居属性本地连接属性internet 协议(tcp/ip)属性高级选项tcp/ip筛选属性 打开tcp/ip筛选，添加需要的tcp,协议即可。 　

我开了3个RunGate端口，解决多个玩家同时登陆访问时会出现7200错误而使服务器突然狂卡，开3个效果比较好。是*(ggggg7原创)

开3个RunGate端口的方法：

RunGate文件夹再复制2份 分别为RunGate1,RunGate2,RunGate3 将里面的Mirgate.ini分别改为GatePort=7200,GatePort=7210,GatePort=7220 　

DBSrv200文件夹下的!serverinfo.txt改为127.0.0.1 127.0.0.1 7200 127.0.0.1 7210 127.0.0.1 7220

Mir200文件夹下的!servertable.txt改为

1 127.0.0.1 7200

2 127.0.0.1 7210

3 127.0.0.1 7220

然后运行RunGate1,RunGate2,RunGate3 下的3个RunGate.exe

M2Server会提示:

Gate 0 opened

Gate 1 opened

Gate 2 opened

适当的加点防火墙会更好

请教怎样获取一个网站的根目录下目录树（或者文件夹/文件结构）

一般放在服务器D盘的WEB文件夹下;如果没有就进服务器的CMD下搜索*.asp *.index他就会显示有关asp index后缀的网页文件的存放路径.有了路径很容易找到文件存放目录

如何取得远程服务器的目录结构？

服务器开始TELNET或终端你能得到,还有一种办法就是在服务端装个木马