企业网站漏洞的攻击和防御问答

A:这是win2000的一个很老的漏洞了，也是一个很严重的漏洞，一般叫输入法漏洞，就是经过一些简单操作，可以绕过Windows2000的用户登录验证机制，修补的方法也很简单只要安装上微软发布的输入法漏洞补丁就可以了。另外还有一点要说一下，据说安装了国内某个输入法后，即使已经安装了微软发布的输入法漏洞补丁，但仍然会输入法漏洞依然存在，这方面的资料你可以到网上查一下。

Q:最近公司内部 网络 ,不知道是那里原因,在早晨刚上班的时候,网络速度还是很不错,可是一到下午,速度慢的就不行,我用网络分析软件网络当中也没有病毒.郁闷,请高手指点还可以从那里着手排除.
A:这种情况，可能是公司人员上网及下载东西所致，我这也有这种情况，一到下午网速就慢！经过检查，下午，同事一般都把工作做的差不多了，就开始上网，下载之后的活动了！出现这类问题,应该本着“先软件，后硬件”，“先简单，后复杂”的原则进行检查，并用排除法将范围缩小。如果确定网内没有蠕虫病毒,还有可能就是有人软件在下载文件.

Q:如何更好的对web服务器进行监控、管理，但受到攻击和异常时给出提示警报！有这类软件吗？
A:有这类软件,我以前 测试 过,但效果不是很理想.入侵者入侵后往往都会很小心,这就需要我们注意一些细节地方,比如比较web文件的变化,看是否被修改过等等,还要养成经常查看系统日志的良好习惯.

Q：查看日志？能否详细介绍一下！查看的目标是什么？哪些日志应该引起高度重视？
A：查看web日志,它通常在winnt/system32/logfiles/w3svc1这个位置

Q:我的 网站 系统是2003的，数据库是mysql，使用mcafee杀毒软件和防火墙，开启了serv-uftp服务。最近总出现频繁掉线，掉线时ping不通，只能重起服务器，然后看mcafee日志，发现有人进行ddos攻击，我该怎 ...
A:要想阻挡ddos攻击,只有借助于ddos软防火墙和硬防火墙了,而且也不是所有的ddos都可以挡住.

Q:上周四，我们的网站被人攻击，改变了我们的主页，加了它们的 代码 。请问怎么防御。
A:被人攻击,并被修改了主页说明入侵者至少有webshell权限,甚至更高,至于是通过什么入侵方法,我想主要有两种可能,一种就是服务器本身配置的不够安全,再有一种就是网站代码存在漏洞，这里详细讲一下后者.如果网站是自己 开发 的，开发完后应该使用一些web漏洞扫描软件扫描一下，看一下是否有漏洞，对于使用asp开发的网站，推荐使用啊D和NBSI扫描，这两个软件查找sql注入漏洞非常管用。另外再向大家推荐一款WEB漏洞扫描利器--Acunetix Web Vulnerability Scanner，它可以扫描一些常见的WEB漏洞，其中包括SQL Inject、XSS、XFS，并且可以对目录、Si、备份文件等进行猜测，该软件使用方法也很简单。如果网站系统是从网站下载的，那就应该经常的浏览该系统的官方网站，看是否有最新的补丁发布，并应该及时打上补丁。

Q:很多木马在进程中都能被看见，不过有些木马在进程中看不见，顶多就是rundll32.exe出现多次，不知道怎么才能让他“献身”
A:Icesword是一款很不错的软件,可以查看隐藏的进程,并对其进行操作,甚至可以看到在正常浏览下看不
到的病毒文件.

Q：我们不是企业网站，所以，没有那么多 资金 购买防ddos攻击的软硬防火墙，专家能不能给我们这些个人网站的安全提出些建议或意见呢？比如我们这样的个人网站应该使用什么样的免费的防火墙和杀毒软件，来防止黑客攻击 ...
A：软硬防火墙不是万能的以及杀毒软件不是万能的，只能在某些时候起到左右.如果资金不是很充足,现在免费的软件防火墙和杀毒软件有很多,可以在网上找到.下面几点是服务器的常规配置,你可以看一下:
1.安装杀毒软件以及软件防火墙(有条件可以使用硬件防火墙)，经常 升级 杀毒软件，更新病毒代码库，定期对系统进行全面杀毒；
2.经常升级系统及应用软件补丁；
3. 不要轻易打开来历不明的可疑的文件，不轻易打开邮箱中的附件，在打开前先使用杀毒软件扫描一下；
4.关闭不需要的系统服务；
5.关闭guest帐号或者给其起一个足够复杂的密码，并为其他用户也起上复杂的密码；
6.把管理员组administrators改名；
7.服务器的分区格式都采用ntfs格式；
8.开启安全审核；
9.使用各种扫描器对服务器和web站点进行安全扫描；
10.经常查看系统进程和系统日志；
11.定期做好数据备份；
12.禁止所有用户对\winnt\system32下的cmd.exe，net.exe和net1.exe这三个文件访问，这样可以有效的防范入侵者对这些文件的非法使用.

Q：最近我的网络经常出现断流，不知是何原因，用了tplink 480t的宽带路由，前两天升有了一个路由的固件，好了一些，但有时还是会断。另外，如何查找局域网中的攻击者？
A：看一下是否有丢包?如果有丢包可能是蠕虫病毒造成的，在局网中找台计算机安装个防火墙,看是哪台计算机在向外发包.还有可能是中了arp病毒,使用anti arp sniffer这个软件可以查出是哪台计算机中了arp病毒.

Q： 企业 攻防都是大家所关心的，可想要学好这个，得从哪方面入手呢？要从哪学起？
A：是的,但企业攻防涉及到太多方面的知识,这不是一篇两篇文章可以讲明白的，这就需要根据工作需要来指定学习计划,可以根据自己的网络环境搭建一个虚拟平台进行测试。

Q：我公司的机器以前可正常上网的，突然出现可认证，不能上网的现象（无法ping通网关），重启机器或在MSDOS窗口下运行命令ARP -d后，又可恢复上网一段时间。请问专家，如何解决？
A：可能是本机或局域网中其他计算机了arp病毒造成的，可以进安全模式下杀一下毒，或者使用相关软件找出是哪台计算机毒，然后进行查杀。

Q：我用的是网通的宽带，同时有ADSL和 电话 ，我想问的是，打电话的同时会不会影响ADSL的速度？如果把电话设置成公用电话的那种（接5部电话），同时打会不会影响？
A：会有影响

Q：windows平台和linux平台比较,哪个平台比较适合搭建企业web服务器?
A：各有优势和弊端,win平台操作相对简单些,但很容易被黑客和病毒盯上.
LInux平台安全性能高些,但使用不象win系 统一 样普遍,所以掌握起来要难些.选哪个平台还要根据web服务器都要提供哪些服务来考虑。

Q：2003系统！mssql服务器的库，外网不能连接，而且外网telnet ＜服务器ip地址＞ 1433,提示1433连接失败。服务器上用命令netstat -n -a,发现能侦听1433端口！另外服务器上win自带的防火墙已经关闭，卖咖啡杀软自带的 ...
A：sqlserver数据库服务运行是否正常？sqlserver的sp4补丁是否安装上了？我曾经也遇到过这个问题，就是因为没有安装sqlserver的sp4补丁才出现这个现象的,你可以试一下。

Q：如何能使自己的网站更安全?时不时的会在其他网站上看到被别人挂了木马和病毒.我想知道如何能使网站更安全呢?
A：如果网站是自己开发的，开发完后应该使用一些web漏洞扫描软件扫描一下，看一下是否有漏洞，或者犯一些低级错误,比如后台管理员弱口令等.对于使用asp开发的网站，可使用啊d和nbsi扫描，这两个软件查找sql注入漏洞非常管用。另外再向大家推荐一款web漏洞扫描利器--acunetix web vulnerability scanner，它可以扫描一些常见的web漏洞，其中包括sql inject、xss、xfs，并且可以对目录、si、备份文件等进行猜测，该软件使用方法也很简单。如果网站系统是从网站下载的，那就应该经常的浏览该系统的官方网站，看是否有最新的补丁发布，并应该及时打上补丁。

Q：我的站有时候只能看到404页面！服务器没被黑！这是怎么回事？？
A：造成iis 404错误的原因大体有这两个：
1、网站代码编写有问题
2、找不到指定文件
通常找不到指定文件的可能性大些

Q：服务器好像中木马了! 我看到创建了一个用户名为“jj$”，怎么也删除不了，请问我该怎么办？多谢!!!
A：服务器被入侵者建立了隐藏的用户，这说明你的服务器有很严重的漏洞，会被入侵者以管理员权限建立用户。要删除这个用户比较麻烦，需要到注册表中删除相关的键值。刚才到网上查了一下资料，方法如下：
先到注册表中的hkey_local_machine\sam\sam\domains\account\users
找到以jj$命名的项.记住他下面默认键的类型值(比如0x3eb),然后去
hkey_local_machine\sam\sam\domains\account 删除以刚才类型值命名的项(在本例就00000x3eb),再删除刚才的以未知用户名命名的项.....
注意,2k/2k3下要先用regedt32.exe修改hkey_local_machine\sam\sam的访问权限.否则无法读取下面的项.xp可以直接用regedit.exe修改访问权限.

Q：这样有人点击以后就狂耗我们的服务器，至所有用户死机，服务器瘫痪.如何能保证不被添加这样的骚扰！环境的干净
A:看一下弹出窗口的 地址 ,然后删除,被修改页面说明入侵者至少有webshell权限,甚至更高,至于是通过什么入侵方法,我想主要有两种可能,一种就是服务器本身配置的不够安全,再有一种就是网站代码存在漏洞
，这里详细讲一下后者.如果网站是自己开发的，开发完后应该使用一些web漏洞扫描软件扫描一下，看一下是否有漏洞，对于使用asp开发的网站，推荐使用啊d和nbsi扫描，这两个软件查找sql注入漏洞非常管用。另外再向大家推荐一款web漏洞扫描利器--acunetix web vulnerability scanner，它可以扫描一些常见的web漏洞，其中包括sql inject、xss、xfs，并且可以对目录、si、备份文件等进行猜测，该软件使用方法也很简单。如果网站系统是从网站下载的，那就应该经常的浏览该系统的官方网站，看是否有最新的补丁发布，并应该及时打上补丁。

Q:公司局域网有台电脑每次使用共享打印机时都要先连接下才可以打印 别的机子都可以直接打印 请问我怎么设置才能不用先连接打印机就能直接打印
A:将共享打印机的那台计算机的guest开启,不设置密码,并选中“用户不能更改密码”和“密码永不过期”

Q:都在谈论怎么防，能不能说说入侵者如何进入微软服务器的系统?
了解这个对防来说也是有意义的啊！
专家能否指教指教！？
A:总结起来应该有以下几种方式吧:
1 密码暴力破解
2 利用系统自身安全漏洞
3 特洛伊木马程序
4 网络监听
5 web脚本漏洞入侵

来自：网络