怎麼作好服務器安全防護的配置？

第一防漏洞，對於漏洞廣大人民最經常使用的就是打補丁。雖然打補丁能防住一些攻擊者的攻擊，但對於一些未被公佈的0day漏洞。打補丁又有什麼用呢？如09年1月份的本地提權0day，漏洞利用程序都快氾濫成災了。那段時間你們都在努力地拿webshell爭取能拿到更多的肉雞，我也不例外，我拿到不少webshell以後，就拼命地提權開遠程桌面服務，拿N多臺服務器，可見0day漏洞的可怕，但有一臺服務器例外了，我在進行提權時，老是失敗…… 搞得我想放棄…… 心想會不會網頁不是在IIS下解析的？帶着疑問，我輸入 tasklist /v 找到IIS的進程，再輸入netstat –ano 把找到的PID和開80端口PID 對比，結果同樣啊！靠！難道漏洞被補了？本身去微軟轉了一圈也沒發現出什麼補丁。後來我發現了一個進程 是某某公司出的防火牆。去百度一查，發現該防火牆有防溢出功能，無奈啊……只好收手。學了2年的Hacking發現不少漏洞都出在溢出上，因此咱們必須裝個防溢出的東西。除了本地溢出提權外還有寫入啓動項提權拉，什麼SU提權拉，和Pcanywhere之類的，因爲這些東西都是攻擊者經常使用的鬼把戲，因此儘可能不要裝這些東西，SU能夠找微軟的FTP替上，Pcanywhere,VNC,Radmin之類的，咱們能夠用微軟的遠程桌面服務替上。還有WScript.Shell組件定要刪，沒了WScript.Shell看攻擊者們還搞個毛哩！！！最好把net.exe和net1.exe也給禁了吧！！！哈哈，夠狠的 。（你們之後抓不到雞，別拿番茄和雞蛋扔我哈） 
第二就是限制目錄拉，咱們能夠把服務器上網站的目錄分開來，並不讓IIS賬戶和USER賬戶對其餘文件夾或盤有讀取或寫入的權限，這樣就算網站被掛馬了，也不怕服務器上的其餘網站跟着遭殃。對於一些專門用來儲存用戶上傳文件或圖片的目錄，不能給腳本文件執行權限，這樣就算專門用來儲存用戶上傳文件或圖片的目錄出現N多木馬也無所謂。
第三就是防掃描，服務器只需開21，80，1433，3306，就好了。其餘的全給防火牆堵上就好了。還有就是攻擊者常常用 啊D注入工具 中的網站管理入口檢查來掃描網站目錄的某些信息，因此咱們能夠把404頁面改爲其餘的頁面 或把數據包的頭幾個404給改爲其餘的，這樣通常的攻擊者會遇難而退。咱們也能夠把網站管理入口改爲其餘的，並且把網站管理入口給泄露出來，那麼80%以上的攻擊者會退出。
第四防社會工程學，所謂社會工程學呢，我就很少作介紹了，相信看過 凱文•米特尼克的《欺騙的藝術》的人都很清楚。對於有裝mssql或mysql的服務器，要把鏈接數據賬號的權限弄低點，有條件的能夠再去租個服務器來搞站庫分離，對於一些危險的儲存過程要刪掉，至於怎麼刪，你們能夠到華夏找找看或去百度搜下就一大堆。數據庫密碼或賬號要設置得和系統賬號密碼不同。系統賬號和密碼千萬不能隨便找個記上就直接放在服務器，萬一被XX可別哭爹喊娘啊。 

第五漏洞的修補，漏洞的修補針對網站程序，補丁去網上找就有了，在打補丁以前，先看下數據庫有沒有被插馬，沒有就拿乾淨的備份直接覆蓋網站程序，但不要覆蓋數據庫，否則到時候可別哭得驚天動地的啊，若是數據庫被插馬了，那就清除之，再拿乾淨的備份直接覆蓋網站程序者乎！
文章就寫到這了，雖防範不能作到100%抵禦攻擊者，但能阻擋70%以上的攻擊，交流qq:2881064159。