两种入侵
利用网站漏洞入侵服务器
种木马、创建账号-开启远程桌面-编辑内部数据
利用sql 注入可以加 aa' or 'a'='a 骗过登录
更狠一点可以执行存储过程给计算机加用户、用户加进管理员组、改注册表
aa' or 'a'='a';exec XP_cmdshell 'net user lisi5 al! /add
aa' or 'a'='a';exec XP_cmdshell 'net localgroup administratoes lisi5 /add
做完之后远程桌面连接
利用缓存凭证入侵服务器
打个比方:我有自己的一台服务器,我在公司电脑用xhell 连接过。那就记录了连接的凭证缓存。这时有人要是入侵了我的公司电脑就能利用这个缓存凭证
如何加固
设置自动更新
系统厂家(比如说微软)发现了漏洞,肯定第一时间想解决办法,然后发布补丁让大家下载更新。如果不更新,这个被公开的漏洞就是服务器的坑。(445共享文件夹漏洞)
管理员少,密码长复杂
编辑本地安全策略
- 设置密码过期时间,定期改。
- 设置登录次数冻结时间,避免暴力破解。
- 审计策略:把登录成功失败情况记录。把创建用户的情况记录。留下安全日志。甚至加用户时手机短信提示
- 用户权限分配,如普通用户不可关机不可改系统时间等等
软件限制策略
- 路径规则 : 某文件夹下的不允许执行
- 哈希规则 :给某个exe 算个哈希值留个黑名单。
- 证书规则
- 网络区域规则
设置网络安全策略
只开80别的不开,远程桌面只对自己开3389,出去策略只管域名解析。
这样哪怕服务器有木马,那也是卧槽马。
入站规则:80 443 tcp 网站访问
出站规则:53 udp 域名解析
ICMPv4 ping
3389 tcp 远程桌面RDP 在加上作用域设置自己的ip