服務(wù)器一開機(jī) 自動運(yùn)行CMD 運(yùn)行一下代碼 好像是病毒，但是啟動里面沒有，是怎么回事？msconfig里面也有沒

方案一：.

10年積累的成都網(wǎng)站設(shè)計(jì)、網(wǎng)站建設(shè)經(jīng)驗(yàn)，可以快速應(yīng)對客戶對網(wǎng)站的新想法和需求。提供各種問題對應(yīng)的解決方案。讓選擇我們的客戶得到更好、更有力的網(wǎng)絡(luò)服務(wù)。我雖然不認(rèn)識你，你也不認(rèn)識我。但先網(wǎng)站設(shè)計(jì)后付款的網(wǎng)站建設(shè)流程，更有梅列免費(fèi)網(wǎng)站建設(shè)讓你可以放心的選擇與我們合作。

重新啟動計(jì)算機(jī),按F8鍵 選擇進(jìn)入安全模式(非常重要,殺不干凈與沒進(jìn)入安全模式有關(guān)).

1.把在windows文件夾中的rundll32.exe刪除（假的，只有17K）。

2.把C盤里假的svchost.exe刪除，兼一塊刪除ghook.dll。（真的在windows\system32里）

3.把windows\system32里新創(chuàng)建的可疑的.bat和.exe刪除（我的是頃鄭Deleteme.bat，Kietty.exe）,還有wow.exe，rundll31.dll。（可能會有不同,注意當(dāng)天創(chuàng)建的）

4.最后搜索注冊表關(guān)于new123和ghook或MicroSoft.bat的所有鍵。HKEY_USERS\S-1-5-21-861567501-1383384898-682003330-500\Software\Microsoft\Search Assistant

方案二：.

發(fā)現(xiàn)每當(dāng)出現(xiàn)CMD.EXE進(jìn)程之前都會出現(xiàn)bow.dll進(jìn)程,通過搜索發(fā)現(xiàn)是在IE PLUGINS中的一個控件,做好重裝機(jī)器準(zhǔn)備將其刪除還有bow.bak和bow.sys結(jié)果CMD.EXE進(jìn)程不見了! 另外把注冊表中ExplorerBars-{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}-FileNamedMRU中有關(guān)bow刪除掉,順便搜索一下其它鍵值是否也包含一起刪除,以防萬一.

方早局案三：360安全衛(wèi)士.

方案四：運(yùn)行輸入GPEDIT.MSC打開組策略里面有專門禁止CMD文件運(yùn)行的陸乎讓選項(xiàng)點(diǎn)擊禁用

望你早日擺脫煩惱……

如何防范服務(wù)器被攻擊？

一，首先服務(wù)器一定要把a(bǔ)dministrator禁用，設(shè)置一個陷阱賬號:"Administrator"把它權(quán)限降至最低,然后給一套非常復(fù)雜的密碼，重新建立

一個新賬緩此號，設(shè)置上新密碼，權(quán)限為administraor

然后刪除最不安全的組件：

建立一個BAT文件,寫入

regsvr32/u C:\WINDOWS\System32\wshom.ocx

del C:\WINDOWS\System32\wshom.ocx

regsvr32\u C:\WINDOWS\system32\shell32.dll

del C:\WINDOWS\system32\shell32.dll

二，IIS的安全：

1、不使用默認(rèn)的Web站點(diǎn)，如果使用也要將 將IIS目錄與系統(tǒng)磁盤分開。

2、刪除IIS默認(rèn)創(chuàng)建的Inetpub目錄(在安裝系統(tǒng)的盤上)。

3、刪除系統(tǒng)盤下的虛擬目錄，如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。

4、刪除不必要的IIS擴(kuò)展名映射。

右鍵單擊“默認(rèn)Web站點(diǎn)→屬性→主目錄→配置”，打開應(yīng)用程序窗口，去掉不必要的應(yīng)用程序映射。主要為.shtml, .shtm, .stm

5、更改IIS日志的路徑

右鍵單擊“默認(rèn)Web站點(diǎn)→屬性-網(wǎng)站-在啟用日志記錄下點(diǎn)擊屬性

6、如果使用的是2000可以使用iislockdown來保護(hù)IIS，在2003運(yùn)行的IE6.0的版本不擾升迅需要。

八、其它

1、 系統(tǒng)升級、打操作系統(tǒng)補(bǔ)丁，尤其是IIS 6.0補(bǔ)丁、SQL SP3a補(bǔ)丁，甚至IE 6.0補(bǔ)丁也要打。同時及時跟蹤最新漏洞補(bǔ)丁;

2、停掉Guest 帳號、并給guest 加一個異常復(fù)雜的密碼，把Administrator改名或偽裝!

3、隱藏重要文件/目錄

可以修改注冊表實(shí)現(xiàn)完全隱藏:“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi

-dden\SHOWALL”，鼠標(biāo)右擊 “CheckedValue”，選擇修改，把數(shù)值由1改為0

4、啟動系統(tǒng)自帶的Internet連接防火墻，在設(shè)置服務(wù)選項(xiàng)中勾選Web服務(wù)器。

5、防止SYN洪水攻擊

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名為SynAttackProtect，值為2

EnablePMTUDiscovery 值為0

NoNameReleaseOnDemand 值為1

EnableDeadGWDetect 值為0

KeepAliveTime 值為300,000

PerformRouterDiscovery 值為0

EnableICMPRedirects 值為0

6. 禁止響應(yīng)ICMP路由通告報(bào)文

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface

新建DWORD值，名為PerformRouterDiscovery 值為0

7. 防止ICMP重定向報(bào)文的攻擊

HKEY_LOCAL_MACHINE\SYSTEM\笑嫌CurrentControlSet\Services\Tcpip\Parameters

將EnableICMPRedirects 值設(shè)為0

8. 不支持IGMP協(xié)議

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名為IGMPLevel 值為0

9、禁用DCOM:

運(yùn)行中輸入 Dcomcnfg.exe。 回車， 單擊“控制臺根節(jié)點(diǎn)”下的“組件服務(wù)”。 打開“計(jì)算機(jī)”子文件夾。

對于本地計(jì)算機(jī)，請以右鍵單擊“我的電腦”，然后選擇“屬性”。選擇“默認(rèn)屬性”選項(xiàng)卡。

清除“在這臺計(jì)算機(jī)上啟用分布式 COM”復(fù)選框。

10.禁用服務(wù)里的

Workstation 這服務(wù)開啟的話可以利用這個服務(wù)，可以獲取服務(wù)器所有帳號.

11阻止IUSR用戶提升權(quán)限

三，這一步是比較關(guān)鍵的（禁用CMD運(yùn)行）

運(yùn)行-gpedit.msc-管理模板-系統(tǒng)

-阻止訪問命令提示符

-設(shè)置

-已啟用(E)

-也停用命令提示符腳本處理嗎?

(是)

四，防止SQL注入

打開SQL Server，在master庫用查詢分析器執(zhí)行以下語句:

exec sp_dropextendedproc 'xp_cmdshell

使用了以上幾個方法后，能有效保障你的服務(wù)器不會隨便被人黑或清玩家數(shù)據(jù)，當(dāng)然我技術(shù)有限，有的高手還有更多方法入侵你的服務(wù)器，這

需要大家加倍努力去學(xué)習(xí)防黑技術(shù)，也希望高手們對我的評論給予指點(diǎn)，修正出更好的解決方案，對玩家的數(shù)據(jù)做出更有力的保障~~~

如何在sql服務(wù)器上禁止掉cmd.exe跟ftp.exe運(yùn)行啊。。

第1步，打開“組策略編輯器”窗口，在左窗格中依次展開“用戶配置”→“管理模板”目錄，并選中“系統(tǒng)”選項(xiàng)。然后在右窗格中雙擊“只運(yùn)行許可的 Windows應(yīng)用程序”選項(xiàng)，打開“只運(yùn)行喊扒許可的Windows應(yīng)用程序?qū)傩浴睂υ捒?。選中“已啟用”單選框，并單擊“顯示”按鈕。

第2步，在打開的“顯示內(nèi)容”對話框中單擊“添加”按鈕，打開“添加項(xiàng)目”對話框。然后在“輸入要添加的項(xiàng)目”編輯框中輸入具體程序的可單擊文件名稱（如cmd.exe、），并依鄭攔昌次單擊“確定”→“確定”按鈕。返回“只運(yùn)行許可的Windows應(yīng)用程序?qū)傩浴睂υ捒?，再次單衡衡擊“確定”使設(shè)置生效。