大家一起来集思广益，说说怎样对付网站被黑客袭击！

Βōвō

PS.刚找的贴还不错 可以参考的说...

    黑客在进行攻击时会借用其他系统来达到自己的目的，如对下一目标的攻击和被侵占计算机本身的利用等等。本文介绍了常见的黑客对被侵占计算机的使用方式和安全管理员相应的应对方法。
　　黑客进行网络攻击时，除了自己手中直接操作的计算机外，往往在攻击进行时和完成之后利用、控制其他的计算机。他们或者是借此达到攻击的目的，或者是把这些计算机派做其他的用途。本文汇总描述了黑客各种利用其他计算机的手段，希望网络与系统管理员能通过了解这些攻击办法来达到更好地进行安全防范的目的。
　　一、对“肉鸡”的利用
　　“肉鸡”这个词被黑客专门用来描述Internet上那些防护性差，易于被攻破而且控制的计算机。
　　1.1、本身数据被获取
　　原理介绍
　　这是一台计算机被攻破并完全控制之后，黑客要做的第一件事。很多黑客宣称自己是非恶意的，只是对计算机安全感兴趣，在进入别人的计算机时，不会进行破坏、删除、篡改等操作。甚至还有更"好心"一些的黑客会为这些计算机打补丁，做一些安全加强。
　　但是他们都回避了一个问题，那就是对这些计算机上本身保存的数据如何处理。确实，对别人的计算机进行破坏这种损人不利已的事情对这大多数黑客来讲没有太大意思，不过他们都不会反对把“肉鸡”上的数据弄回来保存。这时黑客再说"没有进行破坏"是说不过去的，根据计算机安全的基本原则，当数据的"完整性、可用性和机密性"中任意三者之一在受到破坏的时候，都应视为安全受到了破坏。在被占领的计算机上可能会保存着用户信息、网络拓扑图、商业秘密、财务报表、军事情报和其他各类需要保密的数据，黑客获得这些数据（即使只是查看数据的内容而不下载）时正是破坏了保密性。在实际情况中，很多商业间谍和政治间谍都是这一类，他们只是默默地拿走你的数据而绝不做任何的破坏，而且尽最大可能地掩盖自己行动的痕迹。这些黑客希望长时间大量地得到珍贵的数据而不被发觉，这其实是最可怕的一种攻击行为。
　　很多黑客会在“肉鸡”上安装FTP软件或者开放FTP服务，再下载其数据，但安装软件和开放服务这样的动作很容易在系统中的各类日志留下记录，有可能被发现。而不希望被人发觉的黑客会自己建立一台FTP服务器，让“肉鸡”做为客户端把自己的数据上传过来。
　　防御方法
　　防止本身数据资料不被窃取，当然首先要考虑的是计算机本身不被攻破。如果自己是铁桶一个，水泼不进，黑客无法在你的网络中的计算机取得任何访问的权限，当然就杜绝了绝大多数的泄密可能（请注意，这时候还是有可能会泄密的！比如被黑客欺骗而将数据发送出去）。我们先来看一下如何加强自己的计算机的操作系统，对于所有需要事先控制的攻击方式，这些手段都是有效的，在以后的章节中就不重复说明了。
　　简单地说，对于操作系统的加强，无论是Windows、Unix或是Linux，都可以从物理安全、文件系统、帐号管理、网络设置和应用服务几个方面来考虑，在这里我们不详细讨论全面的安全防护方案，只是提供一些简单实用的系统安全检查项目。这是安全的必 要条件，而不是充分条件。
　　物理安全
　　简单地说，物理安全就是你的计算机所在的物理环境是否可靠，会不会受到自然灾害（如火灾、水灾、雷电等）和人为的破坏（失窃、破坏）等。物理安全并不完全是系统或者网络管理员的责任，还需要公司的其他部门如行政、保安等一起协作，不过因为这是其他安全手段的基础，所以我们网管员还是应该密切注意的。要特别保证所有的重要设备与服务器要集中在机房里，并制订机房相关制度，无关人员不得进入机房等。网管员无特殊情况也不要进入机房，需要可以从外面的指定终端进行管理。
　　如果重要的服务器暴露在人人都可以接近的外部，那么无论你的口令设得多么强大都没用了，各种操作系统都可以用软盘、光盘启动来破解密码。
　　文件系统安全
　　文件和目录的权限设置得是否正确，对系统中那些重要的文件，权限要重新设置；
　　在Unix与Linux系统中，还要注意文件的setuid和setgid权限，是否有不适合的文件被赋予了这些权限；
　　帐号系统安全
　　帐号信息，用户名和密码是否合乎规则，具有足够的复杂程度。不要把权限给予任何没有必要的人；
　　在Unix/Linux中可以合理地使用su与sudo；
　　关闭无用账号；
　　网络系统安全
　　关闭一切不必要的服务。这一点不必多说了吧，每个开放的服务就象一扇开启的门，都有可能会被黑客悄悄地进入；
　　网络接口特性。注意网卡不要处在监听的混杂模式；
　　防止DoS的网络设置。禁止IP转发、不转发定向广播、限定多宿主机、忽略和不发送重定向包、关闭时间戳响应、不响应Echo广播、地址掩码广播、不转发设置了源路由的包、加快ARP表过期时间、提高未连接队列的大小、提高已连接队列的大小；
　　禁用r*命令和telnet命令，用加密的SSH来远程管理；
　　对NIS/NIS+进行安全设置；
　　对NFS进行安全设置；
　

Βōвō

　　防御方法
　　方法同前一部分，就不必多说了。关心你的服务器吧。
　　二、利用“肉鸡”进行攻击
　　下面介绍一下黑客利用“肉鸡”来攻击时的几种方式。
　　2.1非法扫描/监听平台
　　原理介绍
　　“肉鸡”在防火墙内部进行扫描
　　请看一下前后两种情况的对比。防火墙是很常见的网络安全设备，在网络入口处起到了一个安全屏障的作用，尤其在黑客进行扫描的时候防火墙将堵住对绝大多数端口的探测。这时“肉鸡”就有了用武之地，从这里扫描本地网络中的其他计算机是不需要经过防火墙的，可以随便地查看它们的漏洞。而且这时候防火墙上也不会留下相应的日志，不易被发觉。黑客可以在扫描结束时返回“肉鸡”取一下结果，或者命令“肉鸡”把扫描结果直接用电子邮件发送到指定信箱。
　　对于在某个网络中进行非法监听来说，本地有一台“肉鸡”是必须的条件。由于以太网的设计特点，监听只能在本地进行。虽然随着交换式以太网的普及，网络非法监听能收集到的信息大大减少，但对于那些与非法监听软件所在的“肉鸡”通讯的计算机来说，威胁还是很大的。如果这个“肉鸡”本身还是一台重要的服务器，那么危害就更大了，黑客在这上面会得到很多诸如用户帐号、密码、服务器之间不合理的信任关系的信息等，对下一步攻击起到很大的辅助作用。
　　2.2 攻击的实际出发点
　　原理介绍
　　如果说“肉鸡”做为扫描工具的时候象黑客的一只眼睛，做监听工具的时候象黑客的一只耳朵，那么“肉鸡”实际进攻时就是黑客的一只手。黑客借助“肉鸡”这个内应来听来看，来攻击，而“肉鸡”成为了提线木偶，举手投足都被人从选程看不到的地方控制着。
　　防御方法
　　也是需要对计算机进行严密的监视。请参考前面的内容。
　　2.3 DDoS攻击傀儡
　　关于黑客利用“肉鸡”进行DDoS攻击的手段就不再赘述了，详见IBM DeveloperWorks曾经刊登的文章《分布式拒绝服务攻击(DDoS)原理及防范》
　　2.4端口跳转攻击平台
　　原理介绍
　　只用文字描述比较抽象，我们来看一个例子。
　　这是一个我们在实际的安全响应中的处理过程，这里黑客使用了组合式的攻击手段，其中包括对Windows服务器常见的139端口攻击，对Solaris系统的溢出攻击，攻击前的信息收集，还有2.4要里着重介绍的端口跳转攻击的方式。图三(A) 网络初始结构
　　客户方的系统管理员发现一台Windows 2000服务器的行为异常后，马上切断了这台服务器的网络连接并向我们报告，这是当时的网络拓扑结构。经过仔细的诊断，我们推断出黑客是利用了这台服务器的139端口漏洞，从远程利用nbtdump、口 令猜测工具、Windows net命令等取得了这台服务器的控制权，并安装了BO 2000木马。但客户的系统管理员立刻否定我们的判断："虽然这台服务器的139端口没有关闭，但我已经在防火墙上设置了规则，使外部计算机不能访问这台服务器的139端口。"又是一个只防范外部攻击的手段！难道大家都对内部攻击占70%以上的比率视而不见吗？不过这里的路由器日志显示，黑客确实是从外部向这台服务器的木马端口进行连接的。　我们于是继续汇总分析各方面的数据，客户管理员也配合我们进行检查。在检查网络上的其他主机时，我们发现内部网中有一台SUN工作站的网卡上绑定了3个IP地址，其中一个IP地址与被攻击Windows服务器是一个网段的！这立刻引起了我们的注意。客户管理员解释说这是一台Solaris Sparc机器，经常用来做一些测试，有时也会接入服务器网段，所以配了一个该网段的地址。而且就在一个多星期前，这台SUN工作站还放在服务器网段。这就很可疑了，我们立刻对它进行了检查，果然这台SUN工作站已经被占领了，因为主要用途是测试，客户管理员并没有对它进行安全加强，攻破它是易如反掌的事情。在它上面发现了大量的扫描、监听和日志清除工具，另外还有我们意料之中的端口跳转工具 - netcat，简称nc。
　　至此问题就比较清楚了：黑客首先占领了这台毫不设防的SUN机，然后上载nc，设置端口跳转，攻击Windows 2000服务器的139端口，并且成功地拿下了它。还原当时的网络拓扑图应该是这样的，如图三B。
　　利用“肉鸡”跳板进行端口跳转
　　三、攻击时直接借用
　　与上述各类情况不同，直接利用其他计算机做为攻击平台时，黑客并不需要首先入侵这些被利用的计算机，而是误导它们去攻击目标。黑客在这里利用了TCP/IP协议和操作系统本身的缺点漏洞，这种攻击更难防范，特别是制止，尤其是后面两种反射式分布拒绝服务攻击和DNS分布拒绝服务攻击。
　　3.1 Smurf攻击
　　原理介绍
　　Smurf攻击是这种攻击的早期形式，是一种在局域网中的攻击手段。它的作用原理是基于广播地址与回应请求的。一台计算机向另一台计算机发送一些特殊的数据包如ping请求时，会接到它的回应；如果向本网络的广播地址发送请求包，实际上会到达网络上所有的计算机，这时就会得到所有计算机的回应。这些回应是需要被接收的计算机处理的，每处理一个就要占用一份系统资源，如果同时接到网络上所有计算机的

sam

BOBO你是教大家攻击还是教大家防御啊 ~~哈哈

sam

以下是引用视角变换在2006-7-13 22:48:07的发言：

这是关键......　现在１６０Ｇ的　硬盘　用不了一千　上个五六个作个　磁盘　阵列　

我想因该　完全能解决　问题...　要不　大家　每人　捐个　硬盘　或　钱　什么　的....

当然　这　还是　只能　解决　硬件　问题......　　

楼上　说说　大概　预算　多少？

兄弟,你知道160G SCSI硬盘多少吗?不是IDE的那种家用的!!

预算不便宜哦!!

Βōвō

额,貌似在1900+的样子...

sam

希捷 146GB/10K/68针 (ST3146807LW) 经销商价： 2550-2550
不便宜啊!!

Βōвō

额..这个是北京的报价 上海可能还会再贵点呢 呵呵

小草大山

sam赶快行动吧

很多关键的地方我还是建议你和风哥私下交流，在这里写的太多反而会别坏人利用

siyeclover

异地备份不太现实，恐怕成本太高。
关键是尽早查出漏洞，修补漏洞才是关键。
而备份，则至少要做到每周备份一次。

这里的安全防护确实做得很差。

视角变换

我 家里 用的 两个希捷120G IDE口的  两个 希捷120G的 SATA 口的  可都 不是 SCIS 硬盘来着  

我还以为 如果 可以 异地备份 我到愿意 提供个六七十GB的容量了... 说外行话了 ...哈哈 ...