服务器被黑权限的原因和解决方法
2020-06-20 02:53:43
服务器被黑获取权限的原因及解决方法如下:
一、常见入侵端口及原因80端口(WEB访问端口)
原因:IIS匿名用户未自定义、站点默认目录权限过高,导致攻击者通过特定代码写入Web Shell文件提权。
关键点:匿名用户权限滥用、目录权限配置不当。
139及445端口(文件共享端口)
原因:
139端口(NetBIOS和文件打印共享):通过侦测和请求直接穿越管理员权限获取服务器管理Shell。
445端口(本地文件共享):存在类似漏洞,易被利用提权。
关键点:端口未关闭或共享服务未禁用。
1433端口(MSSQLSERVER通讯端口)
原因:未删除危险存储过程(SP)、管理员SA密码强度过弱。
关键点:数据库配置漏洞、弱密码。
3306端口(MySQL通讯端口)
原因:弱口令、服务默认系统启动导致通过MySQL远程登录提权。
关键点:数据库密码安全、服务启动配置。
3389端口(远程桌面端口)
原因:管理员口令密码强度过弱(如纯数字、短密码)。
关键点:默认端口暴露、密码复杂度不足。
80端口防范
自定义Web匿名访问用户,避免使用默认账户。
将站点目录转移至非系统盘(如D盘),减少系统盘被入侵的风险。
删除匿名用户的组权限,严格控制写入权限(仅允许必要操作)。
139及445端口防范
关闭139端口:
进入本地连接属性 → TCP/IP属性 → 高级 → WINS → 禁用“TCP/IP上的NetBIOS”。
关闭445端口:
修改注册表:
路径:HKEY_LOCAL_MACHINESystemCurrentControlSetServicesNetBTParameters
新建键值:Name: SMBDeviceEnabled,Type: REG_DWORD,Value: 0。
1433端口防范
删除危险存储过程(SP),参考专业安全文档(如链接
http://txnet365.com/jsxy/358.jhtml)。强化SA账户密码,使用大小写字母+数字+符号的组合,长度≥12位。
3306端口防范
修改MySQL默认密码,避免使用root等常见用户名。
禁用默认系统启动,改为手动启动服务。
参考安全配置指南(如链接
http://txnet365.com/jsxy/355.jhtml)。3389端口防范
修改密码:使用大小写字母+数字+符号的高强度密码,长度≥8位。
更改默认端口:
打开注册表编辑器(regedit),进入路径:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp修改PortNumber的DWORD值为新端口(如12345,注意转换为16进制)。
进入路径:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp修改PortNumber的DWORD值为相同端口。
重启服务器生效,远程登录时使用新端口(如服务器IP:12345)。
- 定期更新系统:及时安装操作系统和软件的补丁,修复已知漏洞。
- 最小化权限原则:仅授予用户和服务必要的权限,避免过度授权。
- 日志监控:开启服务器日志,定期检查异常登录或操作记录。
- 防火墙配置:仅开放必要端口,屏蔽未使用的端口和服务。
- 备份数据:定期备份重要数据,防止被勒索软件加密或删除。
通过以上措施,可显著降低服务器被入侵的风险。若已发生入侵,需立即隔离受感染服务器,分析入侵路径并修复漏洞,同时重置所有密码和密钥。
热门标签
