nod32防火墙配置与系统防黑手册

公司服务器最近不幸被黑客攻破，还好这兄弟只是拿我服务器做肉鸡（就是被黑客攻破，种植了木马病毒的电脑，黑客可以随意操纵它并利用它做任何事情，就像傀儡，一般所说的肉鸡是一台开了3389端口的服务器，别人拥有远程管理的权限——引自百度），没有破坏机器的工作环境与公司数据，也算是不幸中的万幸啊~~，现将服务器的前后配置与黑客防范过程心得摘记一下。

公司服务器为租用万网独享主机，主要用途为IIS+SqlServer，基本配置如下：

在黑客攻入之前，服务器软件环境为：

ARP防火墙单机版+360安全卫士+360杀毒+server2003系统自带防火墙。

在此配置下系统跑了两个多月，开始时监测系统日志，发现有大量以下记录

详细内容为：

莫非这就是传说中的【SQL 口令爆破】？不幸被我赶上了，不过兵来将挡，水来土掩，你想暴力破解我sql的sa密码，那我就禁用sa帐户，新建其他帐户，用户名要巨复杂，密码更要巨复杂！好了，暂时置之不理，让你爆破去吧~~

可惜好景不长，大概一个月后的某个周末，突然接到公司电话，说网站上不去了，须尽快解决！事不宜迟，马上登录公司官方网站，Internet提示无法连接，汗！cmd ping官网IP地址，报request time out，你懂的~~大汗！！马上给万网服务商打电话要求其协助，电话还未接通之时，发现ping包已有回应，看来hacker比万网的工作效率要高很多！呃呃~~巨汗！！！赶紧远程桌面登录，看看服务器上到底发生了什么，提示：“超过了最大允许连接数”（服务器默认与需登录数量为3），这次不出汗了，我要哭了，nnd，看来这家伙还在登录，无奈继续拨通原来未打通的万网服务电话，请其协助剔除登录用户，我也暂时喝口水补充一下水分，十分钟以后，远程连接登陆进去，发现现场惨不忍睹……

首先打开任务管理器——用户——hc0$、yizhi与我的管理员帐户竟然在同时登录，岂有此理！先踢掉这两个陌生帐户再说；然后打开IIS检查网站程序，还好，正常！真是奇迹！最后打开我的电脑—管理，可以一点一点检查了，既然有陌生帐户出现，说明这家伙窃取了管理员权限，打开本地用户和组——用户，哈哈，一看吓一跳，竟然出现了六个陌生账号，其中三个还是以$结尾的，唉，攻进来一次多不容易，多建几个账号，意料之外与情理之中呐，我是不会手软的，杀！其中四个直接删除，另外两个删除时提示：“与登录帐户不属于同一组，无法删除。”难不倒俺，直接进注册表，SAM下边直接清除，好了，威胁暂时清除，安全预警可以由红色降为橙色了，现在开始检查系统防火墙，不看不知道，一看吓一跳，防火墙——【例外】里面开了二十多个陌生端口，尤其是端口30001至30020竟然全部叛国通敌，还是那句话，杀！将所有陌生端口从例外中删除，这招叫做关门打狗，接下来要开始内部整顿了。出了这么大的事，让我不得不迁怒360了，安全卫士和杀毒虽然无法起到防火墙的作用，但是病毒你总得认吧，可它偏偏就没站好岗，打开360杀毒，全盘扫描，全线飘红，一片警报，进来这兄弟也真不厚道，上传了很多乱七八糟的软件，有些还只能隔离，没法删除，本人果断决定，要杀一儆百，只能挥泪斩马谡了，卸载360杀毒，保留安全卫士做系统更新用，安装nod32—AntiVirus，重新全盘扫描，清除一切垃圾文件，再次检查系统服务与运行中的进程，确认无误后，退出远程，自认从此可高枕无忧，谁知经招来这家伙的报复袭击……。

三天以后，这位仁兄在未下拜帖的情况下再次光临寒舍，这次可没上次幸运了，他上来首先篡改了我公司官网首页，并在网站中广种木马，红色警报再次响起，不说二话，远程进去首先发现又出现了陌生帐户，还好这次只有一个，而且正在远程登录，踢掉他！首先恢复官网正常，然后反思自己三天前做得一系列操作，也许在上次这家伙就在我服务器里开了暗门，最后断定还是系统防火墙太弱了，这么容易就又让他进来了，最后决定公开招聘第三方防火墙软件，国内防火墙论名气当属天网防火墙了，下载、安装、重启以后竟然提示驱动不兼容，再试一遍，问题依旧，果断放弃，改换瑞星防火墙，下载、安装、重启，结果发现瑞星防火墙与nod32不兼容，远程登录进去服务器会时时自动重启，而且服务器Internet无法访问，看来一山不容二虎，为防止内耗，给hacker以可乘之机，最后决定试验用NOD32—ESS安全套装（安装包名称【nod32 4.2.67.10安全套装版本(内置防火墙-64位系统专用).msi】），因为它集成有个人防火墙，可收一箭双雕之功效，再次下载、安装、重启（不要嫌麻烦~~），最后完成安装时点击启用防火墙，搞定！谁知这墙威力巨大，自己的网站竟然也访问不了了，汗~~，晕了，80端口竟然忘开了，马上配置。

首先配置过滤模式为：【包含例外规则的自动模式（用户自定义的规则）】。

见下图：

然后新建规则，如下图：

点击新建：

新规则命名为【网站访问】：

添加端口并指定应用程序为【System】：

若网站面对的是所有网络用户，则无需设置此项，如果访问该网站的对象为某一特定人群，则可以将此特定远程IP或IP段进行设置：

配置结果如下：

再次在IE中打开网站，已可以正常登录。

同理，可参照以上程序设置ftp的21端口、远程桌面的3389端口与sqlserver远程登录的1433端口，但为了安全起见，建议指定特定的远程IP地址或IP地址段，若以上三个端口做了如上设置，仍无法正常连接，可参照以下方法解决解决。

首先，依然在【区域与规则设置】中打开区域，然后选中信任区域，点击编辑：

在区域设置中点击添加地址：

将你自己的IP地址或所在的IP地址范围添加进入信任区域即可：

最后上图：

服务器目前软件配置：

ARP防火墙单机版+60安全卫士+nod32 ESS安全套装

总结：与黑客的这轮较量很有感触，万分庆幸的是这次黑客入侵并未毁坏数据，或许他的本意也并不在此，但千万不要因此就麻痹大意，什么时候都不要轻视你的对手，最好能做到知己知彼，但是大多时候我们是无法知道他究竟是如何侵入的系统，相信也很少有人为了抵御入侵而去钻研黑客学，所以借助一些软件工具进行配置，尽量将系统运行风险降至最低还是可行的，希望大家如此情况都能做到冷静分析、沉着应对、戒骄戒躁、不卑不亢。

nod32防火墙配置与系统防黑手册相关推荐

最新系统[防黑屏版]BT及双网盘下载（ZZ）
雨林木风 Ghost XP SP3 装机版 YN9.8 雨林木风 Ghost 封装克隆系统,具有安全.快速.稳定等特点.本系统可以一键无人值守安装.自动识别硬件并安装驱动程序,大大缩短了装机时间.本系 ...
配置ArchLinux系统
配置ArchLinux系统环境文章目录配置ArchLinux系统环境配置`AUR`中国源桌面环境安装登录管理器安装字体与其他附加组件安装驱动安装中文输入法安装: 优化配置 **`TRM ...
Centos7 防火墙配置
CentOS 7.0默认使用的是firewall作为防火墙, 使用systemctl来管理服务和程序,包括了service和chkconfig Centos6 使用的是iptables,Centos7 ...
win7和xp系统下的防火墙配置例外
在大多数情况下,window操作系统软都会默认开启防火墙配置,用于保护网络安全. 在项目上,我们会开发一些软件涉及到网络通信,会因为防护墙导致数据无法接收:下面从工程角度添加防火墙例外,而且xp系统和 ...
linux下防火墙脚本,Linux系统如何修改防火墙配置
这篇文章主要介绍了Linux系统如何修改防火墙配置,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下改Linux系统防火墙配置需要修改 /etc/sy ...
《AutoCAD 2014中文版超级学习手册》——1.4　配置绘图系统
本节书摘来自异步社区<AutoCAD 2014中文版超级学习手册>一书中的第1章,第1.4节,作者:黄志刚 , 朱爱华著,更多章节内容可以访问云栖社区"异步社区"公众号 ...
mysql防火墙设置_mysql8 参考手册--MySQL企业防火墙配置参考
MySQL企业防火墙表 MySQL企业防火墙维护帐户和白名单信息.它使用mysql系统数据库中的INFORMATION_SCHEMA表以持久形式存储此数据,并使用表提供对缓存数据的视图.启用后,防火 ...
Linux系统防CC攻击自动拉黑IP增强版Shell脚本
Linux系统防CC攻击自动拉黑IP增强版Shell脚本文章目录一.Shell代码二.执行脚本三.效果测试四.附加说明前天没事写了一个防CC攻击的Shell脚本,没想到这么快就要用上了,原 ...
Linux系统防CC攻击自动拉黑IP增强版(Shell脚本)
这篇文章主要介绍了Linux系统防CC攻击自动拉黑IP增强版(Shell脚本),需要的朋友可以参考下前天没事写了一个防CC攻击的Shell脚本,没想到这么快就要用上了,原因是因为360网站卫士的缓存 ...
华为ar2200series配置手册_思科ASA系列防火墙配置手册
思科ASA系列防火墙配置手册思科ASA系列防火墙配置手册使用console连接线登录方法 1.使用cisco的console连接线,连接设备的console口和计算机com口(笔记本用USB转CO ...

nod32防火墙配置与系统防黑手册

nod32防火墙配置与系统防黑手册相关推荐

最新文章

热门文章