转载^.^

一.使用FileSystemObject组件

1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.

HKEY_CLASSES_ROOT/Scripting.FileSystemObject/
改名为其它的名字，如：改为FileSystemObject_good
自己以后调用的时候使用这个就可以正常调用此组件了.

2.也要将clsid值也改一下
HKEY_CLASSES_ROOT/Scripting.FileSystemObject/CLSID/项目的值
可以将其删除，来防止此类木马的危害.

3.注销此组件命令:RegSrv32 /u C:/WINNT/SYSTEM/scrrun.dll
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件

4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:

cacls C:/WINNT/system32/scrrun.dll /e /d guests

二.使用WScript.Shell组件

1.可以通过修改注册表，将此组件改名，来防止此类木马的危害.

HKEY_CLASSES_ROOT/WScript.Shell/
及
HKEY_CLASSES_ROOT/WScript.Shell.1/
改名为其它的名字，如：改为WScript.Shell_ChangeName或WScript.Shell.1_ChangeName

自己以后调用的时候使用这个就可以正常调用此组件了

2.也要将clsid值也改一下
HKEY_CLASSES_ROOT/WScript.Shell/CLSID/项目的值
HKEY_CLASSES_ROOT/WScript.Shell.1/CLSID/项目的值

也可以将其删除，来防止此类木马的危害。

三.使用Shell.Application组件

1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。

HKEY_CLASSES_ROOT/Shell.Application/
及
HKEY_CLASSES_ROOT/Shell.Application.1/
改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName

自己以后调用的时候使用这个就可以正常调用此组件了

2.也要将clsid值也改一下
HKEY_CLASSES_ROOT/Shell.Application/CLSID/项目的值
HKEY_CLASSES_ROOT/Shell.Application/CLSID/项目的值

也可以将其删除，来防止此类木马的危害。

3.禁止Guest用户使用shell32.dll来防止调用此组件命令:

cacls C:/WINNT/system32/shell32.dll /e /d guests

四.调用cmd.exe

禁用Guests组用户调用cmd.exe命令:

cacls C:/WINNT/system32/Cmd.exe /e /d guests

五.其它危险组件处理:

Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})

WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)

WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)

按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些.

快速删除方法:

开始------->运行--------->Regedit，打开注册表编辑器，按Ctrl+F查找，依次输入以上Wscript.Shell等组件名称以及相应的ClassID，然后进行删除或者更改名称.

防范数据库下载

方法一:修改数据库文件名和路径.

注意:同时要修改conn.asp的相应路径.

缺点: 如果有列网站目录权限,还可以找到数据库路径,然后下载下来研究的.

方法二:数据库名后缀改为ASA、ASP等

注意:也要在conn.asp中修改相应的数据库名.

方法三:数据库名前加“#”

注意:需要把数据库文件前名加上#、然后修改数据库连接文件（如conn.asp）中的数据库地.

缺点:如果知道了数据库的绝对地址,可以把# 改成%23 还是可以下载下来研究的.
当然以上三种方法综合起来安全性相对更高一些.

方法四:数据库放在WEB目录外

操作:假如你的web目录是D:/web ,可以把数据库放到D:/data这个文

件夹里,然后在D:/web 里的数据库连接页面中修改数据库连接地址为："../data/数据库名" 的形式.这样数据库可以正常调用,但数据库无法下载.因为它不在WEB目录里

缺点:适合有服务器控制权的用户,不适合购买虚拟空间的用户.

方法五:添加数据库名的如MDB的扩展映射防下载(推荐)

实现方法:

我们在IIS属性---主目录---配置---映射---应用程序扩展那里添加.mdb文件的应用解析。注意这里的选择的DLL(或EXE等)也不是任意的，选择不当，MDB文件还是可以被下载的,注意不要选择asp.dll等。你可以自己多测试下,然后下载一下试试,一直不能下载mdb为止.

注:至于选择的解析文件大家可以自已测试，只要访问数据库时出现无法找到该页就可以了.

优点:
只要修改一处,整个站点的数据库都可以防止被下载。不用修改代码就算暴露目标数据库地址也可以防止下载。

缺点:这个方法就是通过修改IIS设置来实现，所以要有IIS控制权的朋友才行，不适合购买虚拟主机用户.

服务器防黑安全设置

爱国者安全网
www.3800hk.com
专业的黑客安全技术培训基地
多抽出一分钟时间学习.让你的生命更加精彩.
动画教程只是起到技术交流作用.请大家不用利用此方法对国内的网络做破坏.
国人应该团结起来一致对外才是我们的责任.由此动画造成的任何后果和本站无关.
-------------------------------------------------------------------------

动画名称：服务器防黑安全设置

主题：服务器防黑安全设置

测试环境：Windows 2003 系统

为了给大家成功演示这个服务器防黑安全设置教程，是由顶邦互联公司提供的一台刚装好系统的新服务器；
今天是2008年01月16日，在这里华夏黑客联盟提前祝愿大家2008年新年快乐！

前言：
使用NTFS格式分区

把硬盘的所有分区都改成NTFS格式。NTFS文件系统要比FAT,FAT32的文件系统安全得多。这点不必多说，想必大家得服务器都已经是NTFS的了。
C盘转换为NTFS格式
@ ECHO OFF
@ ECHO.
@ ECHO.                          说  明
@ ECHO ---------------------------------------------------------------
@ ECHO NTFS格式是WinXP推荐使用的格式。转换为NTFS格式能提高硬盘存储的
@ ECHO 效率，并可设置访问权限以保护文件。但NTFS格式的分区在DOS/WIN9X
@ ECHO 下均不能被识别，可能会给初级用户造成不便。如无必要请不要转换。
@ ECHO ---------------------------------------------------------------
@ ECHO.
pause
convert c:/fs:ntfs
新建一个记事本
然后复制上面的命令并粘贴到记事本里去

然后重命名为*.bat即可，运行批处理，重启电脑后生效，重启后电脑就会变成NTFS格式。
通过以上的批处理，就可以把你的系统转换成NTFS格式。
这里我就不多说了
NTFS权限设置，请记住分区的时候把所有的硬盘都分为NTFS分区，然后我们可以确定每个分区对每个用户开放的权限。【文件（夹）上右键→属性→安全】在这里管理NTFS文件（夹）权限。

关于系统安全，我这里先给大家讲解计算机端口的安全

为了让你的系统变为铜墙铁壁，应该封闭这些端口，主要有：TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口，一些流行病毒的后门端口（如 TCP 2745、3127、6129 端口），以及远程服务访问端口3389。

教程不做语音了，大家认真看我的操作吧

首先要看看你的电脑打开135，139，445的端口没有，运行--CMD--输入netstat -an就可以看到。

开始菜单，运行，输入cmd，然后再输入netstat -an
这样可以查看本机所有开放的端口以后监听的Ip等信息。

1、netstat 的一些常用选项

·netstat –s
本选项能够按照各个协议分别显示其统计数据。如果我们的应用程序（如Web浏览器）运行速度比较慢，或者不能显示Web页之类的数据，那么我们就可以用本选项来查看一下所显示的信息。我们需要仔细查看统计数据的各行，找到出错的关键字，进而确定问题所在。

·netstat –e
本选项用于显示关于以太网的统计数据。它列出的项目包括传送的数据报的总字节数、错误数、删除数、数据报的数量和广播的数量。这些统计数据既有发送的数据报数量，也有接收的数据报数量。这个选项可以用来统计一些基本的网络流量）。

·netstat –r
本选项可以显示关于路由表的信息，类似于后面所讲使用route print命令时看到的 信息。除了显示有效路由外，还显示当前有效的连接。

·netstat –a
本选项显示一个所有的有效连接信息列表，包括已建立的连接（ESTABLISHED），也包括监听连接请求（LISTENING）的那些连接。

·netstat –n
显示所有已建立的有效连接。

135端口的打开方法：启动“Distributed Transaction Coordinator”服务，运行dcomcnfg，
展开“组件服务”→“计算机”，在“我的电脑”上点右键选“属性”，切换到“默认属性”，
打勾“启用分布式COM”；然后切换到“默认协议”，添加“面向连接的TCP/IP”。

139端口的打开方法：网上邻居--属性--本地连接--属性--Internet协议（TCP/IP）--高级--WINS；
如果你填写了本地连接的IP，你就启动TCP/IP上的NetBIOS。
如果你没有填写本地连接的IP，在NETBIOS设置里面选默认。

445端口的打开方法：开始-运行输入regedit.确定后定位到
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/NetBT/Parameters
删除“SMBDeviceEnabled”的DWORD值。

下面说一下常见的漏洞的端口如何关闭：

1.关闭139端口:右击网上邻居--属性--右击本地连接--属性--internet协议/(TCP/IP)--属性--高级--WINS--禁用TCP/IP上的NETBIOS--确定。

2.右击-网上邻居-属性/本地连接-属性，在microsoft网络客户端前的小勾去掉。接着也把microsoft网络的文件和打印机共享的小勾也去掉。

3.关闭445端口:打开注册表编辑器,在[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/NetBT/Parameters]下增加一个dword键项,命名为"SmbDeviceEnabled"(不包含引号),将值设为0。
重启电脑之后，445就关闭了。

4。关闭3389端口:右击我的电脑，点属性--远程，把允许从这台计算机发送远程协助邀请前的勾去掉。

5。关闭135端口:
如何关闭135端口
Windows XP系统
运行dcomcnfg，展开“组件服务”→“计算机”，在“我的电脑”上点右键选“属性”，切换到“默认属性”，取消“启用分布式COM”；然后切换到“默认协议”，删除“面向连接的TCP/IP”。

以上选项有对应的注册表键值，因此也可通过注册表来修改：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Ole/EnableDCOM的值改为“N”
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Rpc/DCOM Protocols 中删除“ncacn_ip_tcp”
此外，还需要停用“Distributed Transaction Coordinator”服务。

重启之后， 135端口就没有了。

大多数的系统重装后，都会开放135、445、139等

第一：安装补丁
服务器安装好操作系统之后，最好能在托管之前就完成补丁的安装，系统补丁打好，虽然不升级漏洞不一定会被别人利用，但升级一下总有好处。

第二：杀毒软件要装好
不要指望杀毒软件杀掉所有的木马，因为ASP木马的特征是可以通过一定手段来避开杀毒软件的查杀。
免杀的马当然可以过杀毒软件，所以说杀毒软件也不是万能的。

第三：注意你所使用的程序要注意升级

打上网上一些服务器安全补丁，关闭一些有害端口，修改一些有用端口，还要装上一些辅助防毒软件。这里我推荐使用几个工具：

　　1、关闭一些经常被黑客利用入侵的端口;

　　2、3389默认端口修改，把远程桌面改一个不常用的靠后的端口，别人就是扫描也要一段时间;

　　3、在局域网中隐藏计算机，还有一些东西你自己看着用;
　　4、360安全卫士，保护全部打开，还要注意设好arp防火墙，要手动设置网关mac和ip,如果真的有不懂的人，cmd下arp -a，你就可以查到网关。这个东西对arp挂马有很好好的效果;

现在讲讲基于Windows的tcp/ip的过滤。

控制面板——网络和拨号连接——本地连接——INTERNET协议（tcp/ip)--属性－－高级－－－选项－tcp/ip筛选－－属性!!

然后添加需要的tcp 和UDP端口就可以了～如果对端口不是很了解的话，不要轻易进行过滤，不然可能会导致一些程序无法使用。

只添加80，21，3389

修改之后，重启生效。
＝＝服务器正在重启。。。
虽然在命令下查看到有些端口仍然开放着，但是刚才的设置已经生效了，你不相信的话，可以用扫描工具扫描一下
如果怀疑安全性，不防可以先手动关掉这些危险的端口，前面已经有文字说明了，大家可以按照前面说的做
这里节约时间就不多说了

　权限设置

　　磁盘权限

　　系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限

　　系统盘/Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限

　　系统盘/Documents and Settings/All Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限
接着刚才做，刚才我的网络有问题，不好意思。

　　系统盘/Inetpub 目录及下面所有目录、文件只给 Administrators 组和 SYSTEM 的完全控制权限

　　系统盘/Windows/System32/cacls.exe、cmd.exe、net.exe、net1.exe 文件只给 Administrators 组和 SYSTEM 的完全控制权限

禁用不必要的服务

　　开始菜单—>管理工具—>服务

　　Print Spooler

　　Remote Registry

　　TCP/IP NetBIOS Helper

　　Server

　　以上是在Windows Server 2003 系统上面默认启动的服务中禁用的，默认禁用的服务如没特别需要的话不要启动。

　　改名或卸载不安全组件

卸载最不安全的组件
最简单的办法是直接卸载后删除相应的程序文件。将下面的代码保存为一个.BAT文件
regsvr32/u C:/WINDOWS/System32/wshom.ocx

　　del C:/WINDOWS/System32/wshom.ocx

　　regsvr32/u C:/WINDOWS/system32/shell32.dll

　　del C:/WINDOWS/system32/shell32.dll
然后运行一下，WScript.Shell, Shell.application, WScript.Network就会被卸载了。可能会提示无法删除文件，不用管它，重启一下服务器，你会发现这三个都提示“×安全”了。

防止列出用户组和系统进程

　在一些ASP大马中利用getobject("WINNT")获得了系统用户和系统进程的列表，这个列表可能会被黑客利用，我们应当隐藏起来，方法是：

　　【开始→程序→管理工具→服务】，找到Workstation，停止它，禁用它。

防止Serv-U权限提升

　　其实，注销了Shell组件之后，侵入者运行提升工具的可能性就很小了，但是prel等别的脚本语言也有shell能力，为防万一，还是设置一下为好。

　　用Ultraedit打开ServUDaemon.exe查找Ascii：LocalAdministrator，和#l@$ak#.lk;0@P，修改成等长度的其它字符就可以了，ServUAdmin.exe也一样处理。

　　另外注意设置Serv-U所在的文件夹的权限，不要让IIS匿名用户有读取的权限，否则人家下走你修改过的文件，照样可以分析出你的管理员名和密码。

　服务器上不要装SERV-U之类的FTP软件，就是装了，你上传下载完马上停掉，我总觉得有的人的服务器被攻击与这个有关。我没用这个SERV-U，用的是在网上下的一个很小的软件FTP-SERVER，要用要开随便，很方便的。

还要养成一个好习惯，远程连接上服务器之后先要查看一下有哪些用户与你的服务器连接上了，计算机里是不是添加了一些黑客用户。

　最后讲备份，网站的数据库要经常备份，不能放在服务器上，放到另一个安全的地方。系统可以装一个一键备份的软件，你远程一样备份还原，备份还原之后服务器可以自动重启，不需要你人工干预。

注意：把用户组里面默认的管理员用户名修改名称，可以防止别人入侵提升管理员权限等

网站的备份也要有计划，但做好这个你要有条件。数据库出了问题，你马上转移一下，基本不会影响网站运行;网站出了问题也马上可以指到另一台服务器或空间，其实这个并花不了多少钱，现在空间便宜，效率是低一点，但不会影响搜索的收录。

利用ASP漏洞攻击的常见方法及防范

　　一般情况下，黑客总是瞄准论坛等程序，因为这些程序都有上传功能，他们很容易的就可以上传ASP木马，即使设置了权限，木马也可以控制当前站点的所有文件了。另外，有了木马就然后用木马上传提升工具来获得更高的权限，我们关闭shell组件的目的很大程度上就是为了防止攻击者运行提升工具。

　　如果论坛管理员关闭了上传功能，则黑客会想办法获得超管密码，比如，如果你用动网论坛并且数据库忘记了改名，人家就可以直接下载你的数据库了，然后距离找到论坛管理员密码就不远了。

　　作为管理员，我们首先要检查我们的ASP程序，做好必要的设置，防止网站被黑客进入。另外就是防止攻击者使用一个被黑的网站来控制整个服务器，因为如果你的服务器上还为朋友开了站点，你可能无法确定你的朋友会把他上传的论坛做好安全设置。这就用到了前面所说的那一大堆东西，做了那些权限设置和防提升之后，黑客就算是进入了一个站点，也无法破坏这个网站以外的东西。

最好讲一下如何通过禁用注册表和命令提示符来保护服务器安全
关掉这些，即使别人拿到了你网站的webshell，也无法获得权限。
如果你要用到的时候再打开也行，不需要用的时候最好关掉，或者把这些重要的东西重命名

其实关于系统安全方面的知识有很多，我会打包几个这方面的知识给大家做参考
如果大家用我这里的文件设置服务器，这样您的服务器基本上是安全的了。

如何更改3389端口保护系统安全