再發一遍~10大國外代理伺服器網站1http://www.stayinvisible.com/index.pl/proxy_list 不使用軟盤載入驅動安裝系統的方法－－使用nLite整合驅動整合驅動程式到系統安裝盤---圖片多是因為適應不同使用者的需求，其實操作過程很簡單，也就是點幾下滑鼠的Windows2003新增新使用者建立一個新使用者1、先進入計算機管理(ComputerManagement)：開始-管dns伺服器地址如何查詢問:DNS即域名解析伺服器，在某些應用程式中如果手工設定合適的DNS伺服器IP地址，則可避免程式自動既然是我們的防範是從入侵者角度來進行考慮，那麼我們就首先需要知道入侵者的入侵方式。目前較為流行web入侵方式都是通過尋找程式的漏洞先得到網站的webshell然後再根據伺服器的配置來找到相應的可以利用的方法進行提權，進而拿下伺服器許可權的。所以配合伺服器來設定防止webshell是有效的方法。

　　一、防止資料庫被非法下載

　　應當說，有一點網路安全的管理員，都會把從網上下載的網站程式的預設資料庫路徑進行更改。當然也有一部分管理員非常粗心，拿到程式直接在自己的伺服器上進行安裝，甚至連說明檔案都不進行刪除，更不要說更改資料庫路徑了。這樣黑客就可以通過直接從原始碼站點下載網站源程式，然後在本地測試找到預設的資料庫，再通過下載資料庫讀取裡面的使用者資訊和資料(一般是經過MD5加密的)找到管理入口進行登陸獲得webshell。還有一種情況是由於程式出錯暴出了網站資料庫的路徑，那麼怎麼防止這種情況的發生呢?我們可以新增mdb的擴充套件對映。如下圖所示：

　　開啟IIS新增一個MDB的對映，讓mdb解析成其他下載不了的檔案：“IIS屬性”—“主目錄”—“配置”—“對映”—“應用程式擴充套件”裡面新增.mdb檔案應用解析，至於用於解析它的檔案大家可以自己進行選擇，只要訪問資料庫檔案出現無法訪問就可以了。

　　這樣做的好處是：1只是要是mdb字尾格式的資料庫檔案就肯定下載不了;2對伺服器上所有的mdb檔案都起作用，對於虛擬主機管理員很有用處。

　　二、防止上傳

　　針對以上的配置如果使用的是MSSQL的資料庫，只要存在注入點，依然可以通過使用注入工具進行資料庫的猜解。倘若上傳檔案根本沒有身份驗證的話，我們可以直接上傳一個asp的木馬就得到了伺服器的webshell。

　　對付上傳，我們可以總結為：可以上傳的目錄不給執行許可權，可以執行的目錄不給上傳許可權。Web程式是通過IIS使用者執行的，我們只要給IIS使用者一個特定的上傳目錄有寫入許可權，然後又把這個目錄的指令碼執行許可權去掉，就可以防止入侵者通過上傳獲得webshell了。配置方法：首先在IIS的web目錄中，開啟許可權選項卡、只給IIS使用者讀取和列出目錄許可權，然後進入上傳檔案儲存和存放資料庫的目錄，給IIS使用者加上寫入許可權，最後在這兩個目錄的“屬性”—“執行許可權”選項把“純指令碼”改為“無”即可。見下圖

　　最後提醒一點，在你設定以上許可權的時候，一定要注意到設定好父目錄的繼承。避免所做的設定白費。

　　三、MSSQL注入

　　對於MSSQL資料庫的防禦，我們說，首先要從資料庫連線帳戶開始。資料庫不要用SA帳戶。使用SA帳戶連線資料庫對伺服器來說就是一場災難。一般來說可以使用DB_OWNER許可權帳戶連線資料庫，如果可以正常執行，使用public使用者最安全的。設定成dbo許可權連線資料庫之後，入侵者基本就只能通過猜解使用者名稱和密碼或者是差異備份來獲得webshell了，對於前者，我們可以通過加密和修改管理後臺的預設登陸地址來防禦。對於差異備份，我們知道它的條件是有備份的許可權，並且要知道web的目錄。尋找web目錄我們說通常是通過遍歷目錄進行尋找或者直接讀取登錄檔來實現。無路這兩個方法的哪一種，都用到了xp_regread和xp_dirtree兩個擴充套件儲存過程，我們只需要刪除這兩個擴充套件儲存就可以了，當然也可以把對應的dll檔案也一起刪除。

　　但是如果是由於程式出錯自己暴出了web目錄，就沒有辦法了。所以我們還要讓帳戶的許可權更低，無法完成備份操作。具體操作如下：在這個帳戶的屬性—資料庫訪問選項裡只需要對選中對應的資料庫並賦予其DBO許可權，對於其他資料庫不要操作。接著還要到該資料庫—屬性—許可權把該使用者的備份和備份日誌的許可權去掉，這樣入侵者就不能通過差異備份獲得webshell了。