半分钟搞定服务器安全

/ 10评 / 0

以下保存为bat文件,运行时还需xcacls.vbs这个东东,可以到网上下载。

:: 禁用WS命令行组件
regsvr32 /s wshom.ocx

:: 防止WINDOWS漏洞[粘滞键]的"变态入侵之有史以来最酷的Windows后门sethc.exe"

cscript.exe xcacls.vbs "%SystemRoot%/system32/sethc.exe" /D Everyone:M /E
cscript.exe xcacls.vbs "%SystemRoot%/ServicePackFiles/i386/sethc.exe" /D Everyone:M /E


:: 删除system32
pptools.dll,新建npptools.dll设为只读,权限上限制 可防止所有arp病毒

del %SystemRoot%system32
pptools.dll /A/F/Q
dir %SystemRoot%system32com > %SystemRoot%system32
pptools.dll
attrib +R +S +H %SystemRoot%system32
pptools.dll
cscript.exe xcacls.vbs "%SystemRoot%/system32/npptools.dll" /D Everyone:M /E

:: 删除system32packet.dll,新建packet.dll设为只读,权限上限制 可防止所有arp病毒

del %SystemRoot%system32packet.dll /A/F/Q
dir %SystemRoot%system32com > %SystemRoot%system32packet.dll
attrib +R +S +H %SystemRoot%system32packet.dll
cscript.exe xcacls.vbs "%SystemRoot%/system32/packet.dll" /D Everyone:M /E

:: 删除system32pthreadVC.dll,新建pthreadVC.dll设为只读,权限上限制 可防止所有arp病毒

del %SystemRoot%system32pthreadVC.dll /A/F/Q
dir %SystemRoot%system32com > %SystemRoot%system32pthreadVC.dll
attrib +R +S +H %SystemRoot%system32pthreadVC.dll
cscript.exe xcacls.vbs "%SystemRoot%/system32/pthreadVC.dll" /D Everyone:M /E

:: 删除system32wpcap.dll,新建wpcap.dll设为只读,权限上限制 可防止所有arp病毒

del %SystemRoot%system32wpcap.dll /A/F/Q
dir %SystemRoot%system32com > %SystemRoot%system32wpcap.dll
attrib +R +S +H %SystemRoot%system32wpcap.dll
cscript.exe xcacls.vbs "%SystemRoot%/system32/wpcap.dll" /D Everyone:M /E

:: 删除system32
pf.sys,新建npf.sys设为只读,权限上限制 可防止所有arp病毒

del %SystemRoot%system32drivers
pf.sys /A/F/Q
dir %SystemRoot%system32com > %SystemRoot%system32drivers
pf.sys
attrib +R +S +H %SystemRoot%system32
pf.sys
cscript.exe xcacls.vbs "%SystemRoot%/system32/drivers/npf.sys" /D Everyone:M /E

Echo 禁用通过重启重命名方式加载启动项

:: 重启重命名的执行优先级比传统的自启动(一般指HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRun)要高, 启

动完成后又将自己删除或改名回去. 这种方式自启动极为隐蔽,现有的安全工具都无法检测的出来.
:: 病毒通过重启重命名方式加载,位于注册表HKEY_LOCAL_MACHINESYSTEMControlSet001Control BackupRestoreKeysNotToRestore下

的Pending Rename Operations字串。

reg delete "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession Manager" /v PendingFileRenameOperations /f

:: 关闭事件跟踪程序
REG ADD "HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTReliability" /v ShutdownReasonOn /t REG_DWORD /d

"00000000" /f

:: 防止 Windows 运行您在这个设置中指定的程序。
:: 如果启用这个设置,用户则无法运行添加到不允许的应用程序列表的程序。

REG ADD "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer" /v DisallowRun /t REG_DWORD /d

"00000001" /f
REG ADD "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerDisallowRun" /v login.scr /t REG_SZ

/d login.scr /f
REG ADD "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerDisallowRun" /v xsiff.exe /t REG_SZ

/d xsiff.exe /f
REG ADD "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerDisallowRun" /v xsniff.exe /t

REG_SZ /d xsniff.exe /f
REG ADD "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerDisallowRun" /v sethc.exe /t REG_SZ

/d sethc.exe /f
REG ADD "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerDisallowRun" /v WinPcap.exe /t

REG_SZ /d WinPcap.exe /f
REG ADD "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerDisallowRun" /v nc.exe /t REG_SZ /d


nc.exe /f
REG ADD "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerDisallowRun" /v sql.exe /t REG_SZ

/d sql.exe /f
REG ADD "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerDisallowRun" /v su.exe /t REG_SZ /d

su.exe /f

regsvr32 /s /u wshom.ocx

Echo 应用软件限制组策略,进一步加强服务器安全性能!
c:
cd
cd "%SystemRoot%/system32/GroupPolicy/Machine"
copy Registry.pol Registry.old /y
copy Registry.pol "%SystemRoot%/system32/GroupPolicy/Machine" /y
gpupdate /force
Echo 应用软件限制组策略设置完毕,现在请按任意键返回并选其他操作继续...
PAUSE >nul
exit

 

===============================================================

fr0m: @echo_败笔、’s Blog

《 “半分钟搞定服务器安全” 》 有 10 条评论

  1. s7ooL说道:

    @Kbdancer:呵呵,是的

  2. 残忆说道:

    笑,搞IDC的差的多了去了~~
    刚买了个win的VPS,折腾折腾。吼吼

  3. maplebeats说道:

    @Visper:不是用的少,全球大部分web服务器都是linux是有原因的.开源和闭源机制不一样…

  4. Visper说道:

    @Kbdancer:大型的主机还是Linux的多,Win也就是小打小闹,linux也不是不存在漏洞,而是用的人还少罢了

  5. s7ooL说道:

    @Kbdancer:不是用了Linux就不存在漏洞,只是linux现在用的比较少,抽时间去炊少黑阔的博客看看LinuxHacking吧

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注