服务器安全设置

目前流行的挂木马的基本步骤（可能有个别地方不准确）：

1、利用杰奇系统的漏洞，上传具有一定危险功能的文件，表现为：zh.php、cmd.exe、*.asp，

这几个文件都具有不同的目的，只要被上传了这几个文件，相应的js文件就会被修改，然后就被挂马了。

2、上传了文件后，如果你的权限设置的不对，比如多给了运行权限，该黑客就可以利用这

几个文件进行提权，直接可以创建管理员账号，然后通过*.asp文件获得你的远程连接的端口，然后利用注入的管理员账号登录系统，进入系统了，那就随便改啦。

所以针对上面的步骤，我们可以这样做：

1、权限一定要设置好，大部分网站目录只给读取权限即可，个别的多给写入权限。

2、所有的js文件都改成只读的

3、删除系统的以下三个文件，执行脚本如下：（开始-运行里面就可以直接执行）

regsvr32 /u %SystemRoot%\System32\wshom.ocx

regsvr32 /u %SystemRoot%\System32\shell32.dll

regsvr32 /u %SystemRoot%\System32\wshext.dll

4、修改远程链结默认的3389端口，改成12345 12323等等类似的。群共享里有软件直接修改重启机器生效。

设置好了以上的几步后，针对杰奇的漏洞产生的木马，基本上就能防止了。当然，其他的漏洞还是得需要好好设置，可以参考群共享里的一篇word文档，服务器安全设置

贴一下这次挂马的代码，请大家仔细检查自己的js文件中是否有下面的代码：

晕，我的都被我删除了，没了。谁能提供我一个被修改过的js文件。

已经中木马的人的找马步骤：

1、在杰奇网站的所有目录下寻找这样的文件zh.php、zp.php、*.asp、cmd.exe等文件，直

接删除即可。

2、检查你的所有js文件，如果发现下面这样的代码，那就是木马代码。删除这些木马代码。

本文档的服务器安全设置分三个部分

（一）服务器的基本安全设置

本配置仅适合Win2003，部分内容也适合于Win2000。很多人觉得3389不安全，其实只要设置好，密码够长，攻破3389也不是件容易的事情，我觉得别的远程软件都很慢，还是使用了3389连接。

经测试，本配置在Win2003 + IIS6.0 + Serv-U + SQL Server 的单服务器多网站中一切正常。以下配置中打勾的为推荐进行配置，打叉的为可选配置。

一、系统权限的设置

1、磁盘权限

系统盘只给Administrators 组和SYSTEM 的完全控制权限

其他磁盘只给Administrators 组完全控制权限

系统盘\Documents and Settings 目录只给Administrators 组和SYSTEM 的完全控制权限

系统盘\Documents and Settings\All Users 目录只给Administrators 组和SYSTEM 的完全控制权限

系统盘\windows\system32\config\ 禁止guests组

系统盘\Documents and Settings\All Users\「开始」菜单\程序\ 禁止guests组

系统盘\windowns\system32\inetsrv\data\ 禁止guests组

系统盘\Windows\System32\ at.exe、attrib.exe、cacls.exe、net.exe、net1.exe、netstat.exe、regedit.exe 文件只给Administrators 组和SYSTEM 的完全控制权限

系统盘\Windows\System32\ cmd.exe、 仅Administrators 组完全控制权限

把所有（Windows\system32和Windows\ServicePackFiles\i386） 更名为format_

2、本地安全策略设置

开始菜单->管理工具->本地安全策略

A、本地策略-->审核策略

审核策略更改成功失败

审核登录事件成功失败

审核对象访问失败

审核过程跟踪无审核

审核目录服务访问失败

审核特权使用失败

审核系统事件成功失败

审核账户登录事件成功失败

审核账户管理成功失败

B、本地策略-->用户权限分配

关闭系统：只有Administrators组、其它全部删除。

通过终端服务拒绝登陆：加入Guests组

通过终端服务允许登陆：加入Administrators、Remote Desktop Users组，其他全部删除C、本地策略-->安全选项

交互式登陆：不显示上次的用户名启用

网络访问：不允许SAM帐户和共享的匿名枚举启用

网络访问：不允许为网络身份验证储存凭证启用

网络访问：可匿名访问的共享全部删除

网络访问：可匿名访问的命全部删除

网络访问：可远程访问的注册表路径全部删除

网络访问：可远程访问的注册表路径和子路径全部删除

帐户：重命名来宾帐户重命名一个帐户

帐户：重命名系统管理员帐户重命名一个帐户

D、账户策略-->账户锁定策略

将账户设为“5次登陆无效”，“锁定时间为30分钟”，“复位锁定计数设为30分钟”

二、其他配置

√·把Administrator账户更改

管理工具→本地安全策略→本地策略→安全选项

√·新建一无任何权限的假Administrator账户

管理工具→计算机管理→系统工具→本地用户和组→用户

更改描述：管理计算机(域)的内置帐户

×·重命名IIS来宾账户

1、管理工具→计算机管理→系统工具→本地用户和组→用户→重命名IUSR_ComputerName

2、打开IIS 管理器→本地计算机→属性→允许直接编辑配置数据库

3、进入Windows\system32\inetsrv文件夹→MetaBase.xml→右键编辑→找到"AnonymousUserName"→写入"IUSR_"新名称→保存

4、关闭"允许直接编辑配置数据库"

√·禁止文件共享

本地连接属性→去掉"Microsoft网络的文件和打印共享"和"Microsoft 网络客户端"前面的"√"

√·禁止NetBIOS（关闭139端口）

本地连接属性→TCP/IP属性→高级→WINS→禁用TCP/IP上的NetBIOS

管理工具→计算机管理→设备管理器→查看→显示隐藏的设备→非即插即用驱动程序→禁用NetBios over tcpip→重启

√·防火墙的设置

本地连接属性→高级→Windows防火墙设置→高级→第一个"设置"，勾选FTP、HTTP、远程桌面服务

√·禁止ADMIN$缺省共享、磁盘默认共享、限制IPC$缺省共享（匿名用户无法列举本机用户列表、禁止空连接）

新建REG文件，导入注册表

Windows Registry Editor V ersion 5.00