http://bbs.maxpda.com/viewthread.php?tid=77580

http://bbs.sycatv.net/thread-61808-1-1.html

http://www.xiyoubbs.com/thread-19467-1-1.html

一、多种方法教你破解电信共享上网的限制

现在很多家庭都有不止一台电脑，多台电脑要实现共享上网，以前大家一般都是通过路由器来实现多台电脑共享上网，但是随着宽带用户的增加，各地的电信开始纷纷封杀家庭用户的多机共享上网，让不少消费者伤透了头脑，难道家里几台电脑上网，还要装多条宽带线路吗？笔者认为电信封杀共享上网的做法是不合理的，在网络上收集了一些破解电信限制共享上网的方法，有需要的网友不妨一试。

首先我们还是先来了解一下电信是如何限制用户多机共享上网的。许多电信ISP使用的是一个叫“网络尖兵”的软件来限制用户共享上网的。“网络尖兵”使用多种方法来探测用户是否用共享方式上网，从而进行限制。其探测方法有：1、检查同一IP地址的数据包中是否有不同的MAC地址，如果，则认为用户有多台电脑共享上网；2，通过SNMP（简单网络管理协议）来发现多机共享上网；3，监测并发端口数，并发端口多于设定数便认为是共享上网。

1.手工方法

针对第一种方法，破解的办法是把每台电脑的MAC地十改为一样的。在XP系统下，大部分的网卡都可以通过在控制面板中修改网卡属性来更改其MAC地址。在“设备管理器中”，右键点击需要修改MAC地址的网卡图标，并选择“属性/高级”选项卡。在“属性”区，就可以看到一个称作“Network Address”或其他相类似名字的的项目，点击它，在右侧“值”的下方，输入要指定的MAC地址值。要连续输入12个十六进制数字或字母，不要在其间输入“-”。重新启动系统后设置就会生效了。

另外也可以使用一些免费的MAC地址修改软件来完成，如SMAC，超级兔子魔法设置等工具，简单易用，对不同的系统都一样有效。

对于第二种方法，有些路由器和ADSL猫是内置SNMP服务的，通过相应的工具可以查看用户有没有共享。相知道路由器或猫是否开启了SNMP服务，可以用ipscan、superscan软件扫描一下，看是不是开放了161端口，如果有，解决的办法就是把SNMP的161端口给禁用了。使用路由器或打开ADSL猫的路由模式共享上网的朋友可以进入管理界面有关闭SNMP选项的关掉它。如果猫的管理界面无关闭SNMP选项可以购买一个没有SNMP服务的路由器，例如TP-LINK TL-R400，放到adsl moden和hub中间。

如果遇到的是第三种限制共享上网方法，那我们只能叹一声无耐了。在这种设定下，“网络尖兵”不停扫描用户打开的端口数，多于设定值就认为是共享上网，就算单用户上网，如果端口多于设定值，也认为是共享了，在这种情况下，我们只能打电话到客服处投诉了。
2.使用软件

共享神盾是一个很不错的突破共享封锁软件，使用简单，它通过windows底层网络驱动与报文伪装技术，可以有效的突破目前各种网络封锁，而且还提供强大的防火墙功能，保护用户的安全。

软件的使用十分简单，只要关闭路由器或是代理服务器的SNMP服务，然后选中用于上网的网卡，并指定在宽带路由器上为本机指定的静态NAT端口，保存配置就可以了，是菜鸟也能够轻松使用的。

共享神盾突破共享限制

共享神盾提供了查看网络带宽状态和应用防火墙状态的功能，就可检测到上传流量，下载流量，上行网速和下载网速，以及防火墙详情日志。

共享神盾网络带宽状态

共享神盾的防火墙可以对大多数恶意网站进行过滤，它的防火墙分为HTTP防火墙和FTP防火墙两种，两种防火墙都提供了不同的安全级别。

共享神盾应用防火墙

只要局域网中的每台电脑都安装了共享神盾，就完全可以实现共享上网，不过要提醒大家的说，电信的限制方法也会升级，所以要注意对软件的同步升级，以确保伪装效果。当然，各地电信的限制方法可能有所不同，以上方法均来自网络搜集，仅供参考，广大网友可以试一下。

点这下载

二、星空极速破解

如果有则双击它打开设置窗口，在拨号设置项目下的用户名框内有一串字符，
这就是你的真实用户名，而网通给你的&rightquot;ZZA88888888″之类的帐号则是加密过的帐号。
把它记下来，抄到文本文件中保存放好备用。关闭之前打开的所有窗口。
在网络连接窗口参照前面所说的方法新建一个PPPOE的宽带连接，
用户名填刚才抄的那个解密过的用户名，密码不变，即可轻松拨号上网。

看了看核心文件的文件名，在“C:\Program Files\racer-ccn-racerpc-ha\chrome”找到了两个重要文件：racer-ad.rwc和racer-channel.rwc。看名字也知道第一个是和广告相关的，第二个是和频道列表有关。解决方法很简单：新建两个空白文件分别命名为racer-ad.rwc和racer-channel.rwc，复制进上述文件夹替换原有的那两个文件就可以了。整个操作最好是在没有运行客户端的情况下进行。完成后再次运行客户端你会发现，原本让人眼花缭乱的两行频道列表没有了，左侧竖排的几个多余的相关链接和按钮也没有了，登陆成功后也不再中间显示Flash广告了。

FTTB+LAN动态IP+WEB认证的方式上网，服务商提供给用户的是一个以太网接口，
用户必须输入用户名和密码，通过WEB认证才能连接上网络。
对于采用这种方式上网的用户，可以采取宽带路由器自动获取IP地址的方式共享上网。
具体方法是:将宽带路由器的WAN口设置成自动获取IP方式，也就是动态IP方式，
然后将客户机也设置成自动获取IP，这样在某一台电脑的浏览器地址栏中输入任意网址，
就会弹出认证的对话框，填入服务商提供的用户名和密码就可以上网。
在一台电脑通过认证之后，其他的电脑不用认证就可以直接上网了。

关于破解电信限制共享用户上网

———-作者：杀手
这几天老有人问题这方面的问题，说是某个地区电信开始限制他们共享上网。开始在网上搜资料，发现原来电信部门在服务端用了一个叫：“网络尘兵”的软件来限制用户不能共享上网的。

具体在网上搜到一些相关的资料，但是却没找到关于网络尘兵的任何资料，看来这应该是电信内部的事情吧，不知道被什么人给说出来了，不过说出来也好，让我们广大的上网用户也好来破解它的限制。要不然都不知道他们用什么软件怎么破解呀，知已知彼，才能百战不怠嘛。

关于这个“网络尘兵”它限制用户上网是这么实现的：

第一：

检查同一IP地址的数据包中是否有不同的MAC地址，如果是则判定用户共享上网。其实它就是对同一个IP进行不断的扫描，如果发现出出了两个MAC地址，则被认为是共享上网，就会马上断你的网。

知道了这个原理，哈哈，当然对于这种问题最好解决了，直接更改MAC地址就OK了，把想要共享上网的机器的MAC地址都改一样就OK了。当然有人刚 才问，机器的网卡MAC地址不是全球都是唯一的么？这里面当然不是真正的从硬件方面来修改了，只是在注册里面修改下来欺骗“网络尘兵”对机器的扫描罢了。

几乎所有的网卡驱动程序都可以被NdisReadNetworkAddress参数调用，以便从注册表中读取一个用户指定的MAC地址。当驱动程序 确定这个MAC地址是有效的，就会将这个MAC地址编程到硬件寄存器中，而忽略网卡固有的MAC地址。我们通过手工修改Windows的注册表就可以达到 目的。
在操作系统下运行Windows的注册表编辑器，展开”HKEY_LOCAL_MACHINE＼System＼Current ControlSet＼Services＼Class＼Net”，会看到类似”0000″、”0001″、”0002″的子键。从”0000″子键开始点 击，依次查找子键下的”DriverDesc”键的内容，直到找到与我们查找的目标完全相同的网卡注册表信息为止。
当找到正确的网卡后，点击 下拉式菜单”编辑/新建/字符串”，串的名称为”Networkaddress”，在新建的”Networkaddress”串名称上双击鼠标就可以输入 数值了。输入你想指定的新的MAC地址值。新的MAC地址应该是一个12位的十六进制数字或字母，其间没有”-”，类似”000000000000″的这 样的数值（注意，在Windows 98和Windows 2000/XP中具体键值的位置稍有不同，可通过查找功能来寻找）。
在 “NetworkAddress”下继续添加一个名为 “ParamDesc”的字串值，它将作为”NetworkAddress”项的描述，数值可以取为”MAC Address”。再把它的内容修改为你想设定的内容。如图所示。这样，我们就成功地修改了网卡的MAC地址，重新启动计算机即可。
第二：通过SNMP（简单网络管理协议）来发现多机共享上网

为什么通过SNMP会发现多台机器共享上网呢？？呵呵，只要你学过或者看过”SNMP——简单网络管理协议”你就会知道这是什么原因了。至于破解方 法当然简单了。它既然是用到SNMP肯定它会不时的测试这个IP里面有没有开启SNMP了，如果发现就被认为是共享上网了，所以我们现在就是关闭这个 SNMP就可以了，它相应的端口号是：161，当然这儿有会有人问我了，怎么发现这个端口是开的哪。我说你就是笨，学这个这也不知道哪，随便找个扫描软件 来扫下不就知道了。笨猪一头，哈哈

使用路由器或打开ADSL猫的路由模式共享上网的朋友可以进入管理界面有关闭SNMP选项的关掉它。如果猫的管理界面无关闭SNMP选项的只好买一 个没有SNMP服务的路由器，例如TP-LINK TL-R400，放到adsl moden和hub中间，在该路由器中再做一个NAT服务，这样进到ADSL猫中的就是一个地址，这样就解决了共享上网。

第三：、监测并发的端口数，并发端口多于设定数判定为共享。
这是一个令人哭笑不得的设定，“网络尖兵”不停扫描用户打开的端口数，多于设 定值的就判断是共享，有时连按几次F5键它是认为是共享，连单用户上网也受到了影响，这个就没法破解了(除非你把网络尖兵黑了)，俺这里的解决办法是装成 无辜的用户到ISP的客服电话大骂，并声明搞不好就换ISP，一会儿网络就正常了；
四、“网络尖兵”还使用了未知的方法从共享的计算机中探测到共享的信息，目前解决的办法是所有共享的客户机均要安装防火墙，把安全的级别设为最高，因条件有限，只试用了几种防火墙，发觉金山网镖V(http://www.gz-pet.com/Soft_Show.asp?SoftID=10)有用,把IP配置规则里面所有的允许别人访问本机规则统统不要，允许PING本机不要，防止ICMP,IGMP攻击也要勾选。如果是WINXP,要打开网卡的网络防火墙。
采取以上破解的办法后，在自己的局域网不能看到本机，而且WINXP打开网卡的网络防火墙后，在QQ不能传送文件，网速有所减慢，但总算又可以共享了，如果有好的办法，也请大家告知。

第五：哈哈，这个就是开启你路由或者猫里面的防火墙功能了。这样可以挡电信的网络尘兵来扫描你的机器，以免被发现是共享上网的。
不过还到是在网上看到一个方面，说是弄个集线器回来，再弄些网线回来自己在接口上做文章，那也太麻烦啦，不过真要是被电信逼到那种程度，为了上我们可爱的因特网，什么事都能做的出来啊…

共享上网中的主机安装WIN2000服务器版，然后禁掉161端口或在防火墙上禁掉161的端口。

软件介绍

来自开发者：

*共享神盾软件：突破运营商限制，自由宽带共享

步骤1:关闭路由器或者代理服务器SNMP服务。
–如果你是使用宽带路由器上网，那么在宽带路由器中要关闭SNMP协议，具体请参考路由器使用手册。
–如果你是使用代理服务器上网，那么在代理主机中要关闭SNMP协议，可以通过卸载SNMP服务也可以通过防火墙来禁用161端口来实现。
步骤2：在每台使用共享宽带上网的主机上安装“共享神盾”。
–共享神盾完全免费。
–共享神盾专门针对“网络尖兵”设备开发，可以对用户的数据进行隐藏和整流，从而使得“网络尖兵”无法探测到共享主机数量。

软件使用非常简单，安装完毕后直接运行即可。
注意：所有共享上网的客户机都需要安装运行本软件，只要安装了本软件的机器，就可以隐藏自己，让网络尖兵无法发现。

http://home.focus.cn/msgview/607/60977920.html

我家的弱电是买的无线路由器和无绳电话子母机解决了，下面主要提一下强电
一、家用强电一般都是单相三线式，也就是相线、零线、地线。按正规的要求，它们是有颜色区分的，相线为红色、绿色、黄色，零线为淡兰色，接地线为黄绿颜色相间的导线。严格按此规程敷设的线路将非常易于今后的检修，不过很多情况是没有真这么做的，主要原因是省钱，因为可能红线不够还得买，蓝线偏偏又剩大半圈不得不闲置起来。当然也有怕麻烦等原因。实际上给以后的检修工作无形中设置了障碍。但这一点不会给使用带来什么不妥。

二、插座一般有两种，两孔的和三孔（空调的要大一些）的。按正规的要求，必须是左“零”右“相”，上“地”（三孔）。若这一点有错误，就会给使用带来麻烦。虽然这是基本的规程，但在实际中弄混的也不在少数。另外，在装修过程中，插座的数量、位置、高度以及承载电流大小诸多因素都需要根据今后的使用仔细考虑，以免使用中不顺手甚至出危险。小孩房间开关有挡门设计，不让异物轻易插入也不失体贴。购买时注意看看铜制部分的色泽、弹性和松紧，正规商家一般都会提供拆开的样品。

三、开关。家庭涉及的有两种，普通开关和空气开关。普通开关用来控制灯具、插座等等的通断。开关必须接在相线上才足够安全，这一点不能马虎。也就是说，开关的两极都是相线。同样，开关的数量、位置、高度以及承载电流大小诸多因素都需要根据今后的使用仔细考虑，以免使用中不顺手甚至出危险。空气开关不是经常用来闭合的，一般装在入户处的配电箱里。它的作用就是检测到线中电流超过标称值就跳闸，起的是保护作用。一般有单极、两极和三极（用于三相电）。一般来说，主开关（也就是标称值最大那个）使用两极（相、零），其余的使用单极（相）即可，零线接端子排。记住，空气开关只能保护过载（短路也是过载的极端形式），不能保护漏电。注意，标称值不是越大越好，是合适。很多产品都达不到，不是没到就跳了，就是过了还没跳。这个值的选择既不能过大，也不能过小，取决于您对日后电器使用的考虑和电线大小的选择。

四、家里，特别是厨房、卫生间里，有较多的带有金属外壳的电器，有漏电情况，人接触到就会有危险。怎么办呢？加装漏电保护器。它的工作原理就是一检测到相线和零线电流不平衡就跳。漏电保护器只有两极（相、零），跟地线没有关系。但别以为装了它就高枕无忧，因为如果没有地线或者地线接地不良，即使电器外壳有电，人只有碰到，漏电保护器才能检测到这种不平衡，继而才能断掉。断是断掉了，人已经过电了。因此，漏电保护器必须和良好接地的地线共同工作，在没碰到它之前的某一刻地线就造成了这种不平衡，就跳掉，才能保护我们。另外一点，漏电保护器不是永远不坏的，因为生命的只有一次的特性，要求我们要经常检查漏电保护器是否还能工作而没有坏掉，频率一般是1次/月。怎么检查呢？它上面一般带个检测钮，按一下若能即刻断掉就是工作有效，否则马上换掉不要迟疑。

五、其它。
1、线径。人常曰：2.5的线。说得就是线的物理大小，垂直横切面为2.5平方毫米。那么1平方毫米的线能承受多大的电流呢？这牵涉到很多因素。比如，电线的质量、敷设的方式等等。一般来说，家庭装修采用的单层pvc管暗装方式，正规合格的产品电线1平方毫米能承载6-8安培的电流。4个的线就是24-32安培，当然功率随之而得。线该大该小，功率大户尤其需要仔细考虑，比如，空调、厨房里的一系列电器、电热水器、烧水器、油汀等等。

2、接线。原则上主支干线不允许中途连接。分线是不可避免的，也不允许在墙内管中进行，可以在插座处或三通、四通之类的指定处进行，并保证接线处日后可以方便检查到。在同一紧固簧片下，不要使用不同线径的电线，不然，较小的那一根容易因松而滑出。

3、线路图。尽可能详细地草绘出线路的分组和敷设的走向。前者可以方便我们日后发生故障时实现“局部”停电；后者保证在墙上打眼时不致伤及人身和电力系统。

4、敷设。此过程注意不要在一端使劲拽，应该一端送，一端牵，保证线绝缘层的完好。当电力线和水路在通墙敷设时，电力线管应安在上方，水管在下方，以免漏水造成绝缘降低出危险。电力线不能和信号线同管敷设，不然干扰会令您烦恼。线管（也包括水管）不能安装勉强，以免墙体略有应力变化，就折断了，或者裂了。

附录：基础改电项目

一般居室改电项目：

主卧：
1. 主灯（可以考虑床头双控），
2. 有线电视（位置是否合适，配备插座），
3. 网络电话（一般放在床头柜，配备插座），
4. 两个床头柜后个加一个插座（为了更加人性化，可以在床头柜上方加插座，这样，不会被遮挡，使用更方便，另外床头使用无地线插座更适用），
5. 空调插座位置是否合适，
6. 有过道的地方可以加灯，
7. 光线不好的大衣柜可以加灯，
8. 机动插座2个，放在开阔无遮挡墙面，供偶尔使用的电器使用，如吸尘器、电熨斗。

次卧类似主卧

卫生间：
1. 浴霸或排气扇
2. 镜灯，镜灯开关，镜边插座
3. 主灯
4. 热水器插座
5. 洗衣机插座
6. 干手气插座
7. 背景音乐，背景音乐音量开关
8. 电取暖器插座
9. 太阳能热水器插座
10. 电话，一般在马桶后

书房

1. 书桌后网络电话，相关电源2个以上。建议在不显眼的书桌上放插座
2. 有线电视可以选择要不要
3. 沙发角放电源插座，可以插落地灯灯
4. 空调插座
5. 主灯
6. 网络电话中心可以放在书房，配备电源插座
7. 机动插座1到2个
8. 背景音乐可选择，音视频共享可选择

客厅

1. 有线电视 可以考虑（液晶电视、等离子电视、投影仪），相关电源3个
2. 网络电话，一般放在沙发靠厅中间的角，相关电源
3. 家庭影院环绕音箱(沙发两角)
4. 沙发后边两角个放一插座。
5. 要方便的话，可以每隔两米加一个插座。
6. 机动插座4个
7. 空调插座是否合适，选柜机还是壁挂机，相应插座，空调孔
8. 门厅灯、效果灯

餐厅
1. 餐灯
2. 火锅插座
3. 配餐柜插座
4. 背景音乐
5. 有线电视
6. 电话
7. 机动插座1个

厨房
1. 抽油烟机插座
2. 厨宝插座、
3. 电饭煲、微波炉、榨汁机、电冰箱、电烤箱、洗碗机、消毒柜、燃气热水器、电磁炉等插座
4. 有线电视、背景音乐、电话

阳台
可以加插座、背景音乐、网络电话

小提示：
1 、插座要多装，宁滥勿缺。楼梯间一定要有插座。炉罩旁边、燃气热水器上方、水槽旁边不要设计插座，有安全隐患。
2 、开关不要放在门背后等距离狭小的地方。
3 、走道里、老人房间最好设计一个双控灯，这头打开，那头关闭。
4 、插头最好买带有面板的，一些长时间不用的插座不容易损坏。
5 、餐厅灯要考虑餐桌摆放的位置，否则灯不在餐桌正中。
6 、小的射灯一定要装变压器，没有变压器，灯就像随时会爆炸的小炸弹，最后的结果是永远不开。
7 、多买 5 孔的插座， 3 孔的电器少。
8 、有线插座要买宽频的。
10 、电工管线刚一铺完，没封槽之前，要用相机拍下来。
11 、施工进行过程中，还是尽量地看着，发现不妥马上让工人改动，怕等下道工序做完了再改就来不及了，省却了为返工而扯皮的烦恼。
12 、为了省电，请精确规划平时微弱耗电电器 ( 如电视、 DVD 机、微波炉、空调， DVD 机等 ) 的插座。不拔插头都处于待机状态的电器，最好装有开关的插座面板，因为待机所耗的电在普通电表里读不出来，但分时电表会读出来。
13 、穿好线管后要把线槽里的管道封闭起来，用石膏粉或快粘粉把线盒等封装牢固，其合口要略低于墙面 0.5cm 左右，并保持端正。插座线改造看似简单，穿线的学问可大了，像空调等大功率电器都要单独走线，而且现在一般的通讯线也要走暗线，走暗线时通信线不仅不能和电源线的管路一起走，并且还要保持 50 厘米以上的间距，否则会产生电磁干扰等等

 共搜索 14840 个文件，找到 2 个可疑文件，删除文件后会在后台管理目录生成一个virlog.txt文件，如误删织梦系统文件，从此文件中找回这些文件路径，用dede相同版本没修改过的文件替换即可！

*******************************************************

/445f38dccafc3301a2f83dc8bb560655/shell.php 创建日期：2008-05-24 06:00:44 大小：0.02K
Warning: fread() [function.fread]: Length parameter must be greater than 0. in /home/zerver/domains/zerver.vip.meyu.net/public_html/445f38dccafc3301a2f83dc8bb560655/virus_search.php on line 27

Warning: fread() [function.fread]: Length parameter must be greater than 0. in /home/zerver/domains/zerver.vip.meyu.net/public_html/445f38dccafc3301a2f83dc8bb560655/virus_search.php on line 27

http://www.dedecms.com/web-art/jianzhanxinde/20080407/39463.html

献给经常被挂马的朋友，要防止挂马每步都要小心
如题
我经常看到有的朋友说“DEDE程序有安全问题，我的网站又被挂马了”
我却觉得Dede的应该没有问题，根据查看dede的用户表单的源码，都是有过滤的
用dede的用户那么多，如果真的有安全漏洞，我怕用的不会只是几个朋友而已。
下面是黑客常用的SQL注入手段和大家要注意的东西

1.. 用工具,用黑客的工具去检查你网站的漏洞~当然不要滥用~用些注入SQL的黑客软件检查下你网站就可以了（如啊D注入器等等，我都使用过，没有发现 Dede有漏洞有可以挂码的地方，不信你也可以去测试，当然我不知道不代表没有，但是你也应该知道，使用dede的朋友有多少，如果真的出现很容易被抓的 漏洞，要被挂的网站数量恐怕会很恐怖）

2.后台地址一定要改，不要用DEDE这个文件夹做你的后台，有些朋友竟然不知道Dede这个后台文件夹可以改名！？

3.后台最好加上验证码，虽然麻烦了点，但是可以避免不少的小黑客用社会工程学来破解你的网站（我就试过，很多朋友的密码常常是手机号，域名，qq等等）

4. 如果给自己的网站增加了字段（比如要求用户申请时输入生日等等）要过滤，别自己的问题推到了DEDE的头上。（建议有一定PHP技术的朋友去修改，为达到 功能不是简单的在前台增加表单后台增加发布表单然后增加数据库字段这么简单，要防止XSS攻击就要注意增加htmlspecialchars， mysql_escape_string()）

5.还有不少的朋友在自己的空间上为了增加功能还使用了一些小程序（那些程序我也用过忘记 删除了，结果被挂码）比如：相册、报名之类的程序，这些程序的作者都是些不出名的，他们的程序基本上会有一定的风险，有的黑客就可以利用这点，上传 blackeyes小马（就是木马），得到你的虚拟空间的使用权，然后就是用工具批量挂马。

6.别忽视了IDC服务器商的风险哦，我告诉 你~对于黑客来说~为了挂你的站，常常不是使用对点方式的破解，而选择旁注入的方法，他们的方法就是破解与你同一个服务器上的其他网站，不要不信，别人要 知道你网站的邻居有哪些轻松的很（进这个网站自己查查看同一ip下的所有网站，输入你的ip地址就可以了http://www.myipneighbors.com/），破解你同一服务器上的其他用户，让你挂马也是很轻松的了（我用这个方法就挂过别人的网站）。对于一些好的服务器尚对于这个限制的厉害，就不会出现这个问题。

7.还有就是你开启的用户上传这一栏最好严格控制一下，这个也比较关键，如果黑客不是破解你后台的话，挂你马也就难多了，因为他们需要上传一个挂马工具上来，如果你已经被挂马了，切记要检查下你的网站是不是允许上传html.php.asp等文件了。

8. 时刻关注Dede官方发布的安全补丁，上次出的几个安全补丁我都研究过了，有些漏洞都是因为双重原因才可能被别人利用（Dede竟然也重视了，可见 DEDE还是关注安全问题的，我记得那个会员补丁好象是1月发布的，2月有些黑客网站发布了针对没有打这个补丁的网站进入挂马的文章，竟然还有一些朋友中 了~我很无语，希望大家随时关注官方的安全补丁）

9.有些朋友经常把中了马之后的文件上传到这个论坛然后希望大家一起研究，我想说“那个东西上传了也不能得到防止的方法，因为那个JS或者iframe并不是关键，你上传了大家只能去破解下加密文件的木马而已。”别人留下的东西只是目的而不是工具。

10.不可抗拒的自然因素，比如一个超级顶级黑客要挂你的网站，我怕很多没有毛病的东西都会有毛病了，相信我一句话，挂马的黑客都是一些菜鸟黑客和工具黑客，做好以上，那些黑客就不知道怎么做了。

本来不想发这个的，不知道怎么搞的写了这么多
我发表这片文章的目的只是希望大家可以好好保护自己的网站，希望大家不要说脏话
有最新的漏洞或者其他挂马方法的话，我会尽快的在dede上发表文章~

祝大家好运

补充：http://bbs.dedecms.com/read.php?tid=33523  (这个关于挂马的文章大家也看看，不过他的出发点是个人电脑做服务器，我说的是虚拟主机的朋友，不过都看看可以增加大家的安全意识)

Windows 2003服务器安全配置终极技巧
网上流传的很多关于windows server 2003系统的安全配置，但是仔细分析下发现很多都不全面，并且很多仍然配置的不够合理，并且有很大的安全隐患，今天我决定仔细做下极端BT的2003服务器的安全配置，让更多的网管朋友高枕无忧。
我们配置的服务器需要提供支持的组件如下：（ASP、ASPX、CGI、PHP、FSO、JMAIL、MySql、SMTP、POP3、FTP、3389 终端服务、远程桌面Web连接管理服务等），这里前提是已经安装好了系统，IIS，包括FTP服务器，邮件服务器等，这些具体配置方法的就不再重复了，现 在我们着重主要阐述下关于安全方面的配置。
关于常规的如安全的安装系统，设置和管理帐户，关闭多余的服务，审核策略，修改终端管理端口， 以及配置MS-SQL，删除危险的存储过程，用最低权限的public帐户连接等等，都不说了
先说关于系统的NTFS磁盘权限设置，大家可能看得都多了，但是2003服务器有些细节地方需要注意的，我看很多文章都没写完全。
C盘只给administrators 和system权限，其他的权限不给，其他的盘也可以这样设置，这里给的system权限也不一定需要给，只是由于某些第三方应用程序是以服务形式启动的，需要加上这个用户，否则造成启动不了。

Windows目录要加上给users的默认权限，否则ASP和ASPX等应用程序就无法运行。以前有朋友单独设置Instsrv和temp等目录权限，其实没有这个必要的。

另外在c:/Documents and Settings/这里相当重要，后面的目录里的权限根本不会继承从前的设置，如果仅仅只是设置了C盘给administrators权限，而在All Users/Application Data目录下会 出现everyone用户有完全控制权限，这样入侵这可以跳转到这个目录，写入脚本或只文件，再结合其他漏洞来提升权限；譬如利用serv-u的本地溢出 提升权限，或系统遗漏有补丁，数据库的弱点，甚至社会工程学等等N多方法，从前不是有牛人发飑说：”只要给我一个webshell，我就能拿到 system”，这也的确是有可能的。在用做web/ftp服务器的系统里，建议是将这些目录都设置的锁死。其他每个盘的目录都按照这样设置，没个盘都只 给adinistrators权限。

另外，还将：net.exe，cmd.exe，tftp.exe，netstat.exe，regedit.exe，at.exe，attrib.exe，cacls.exe，这些文件都设置只允许administrators访问。
把不必要的服务都禁止掉，尽管这些不一定能被攻击者利用得上，但是按照安全规则和标准上来说，多余的东西就没必要开启，减少一份隐患。
在”网络连接”里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议（TCP/IP），由于要控制带宽流量服务，额外安装了Qos数 据包计划程序。在高级tcp/ip设置里–”NetBIOS”设置”禁用tcp/IP上的NetBIOS（S）”。在高级选项里，使用 “Internet连接防火墙”，这是windows 2003 自带的防火墙，在2000系统里没有的功能，虽然没什么功能，但可以屏蔽端口，这样已经基本达到了一个IPSec的功能。

这里我们按照所需要的服务开放响应的端口。在2003系统里，不推荐用TCP/IP筛选里的端口过滤功能，譬如在使用FTP服务器的时候，如果仅仅只开放 21端口，由于FTP协议的特殊性，在进行FTP传输的时候，由于FTP 特有的Port模式和Passive模式，在进行数据传输的时候，需要动态的打开高端口，所以在使用TCP/IP过滤的情况下，经常会出现连接上后无法列 出目录和数据传输的问题。所以在2003系统上增加的windows连接防火墙能很好的解决这个问题，所以都不推荐使用网卡的TCP/IP过滤功能。

SERV-U FTP 服务器的设置：
一般来说，不推荐使用srev-u做ftp服务器，主要是漏洞出现的太频繁了，但是也正是因为其操作简单，功能强大，过于流行，关注的人也多，才被发掘出bug来，换做其他的ftp服务器软件也一样不见得安全到哪儿去。
当然，这里也有款功能跟serv-u同样强大，比较安全的ftp软件：Ability FTP Server
下载地址：http://www.315safe.com/showarticle.asp?NewsID=4096
设置也很简单，不过我们这里还是要迎合大众胃口，说说关于serv-u的安全设置。
首先，6.0比从前5.x版本的多了个修改本地LocalAdministrtaor的密码功能，其实在5.x版本里可以用ultraedit-32等编 辑器修改serv-u程序体进行修改密码端口，6.0修补了这个隐患，单独拿出来方便了大家。不过修改了管理密码的serv-u是一样有安全隐患的，两个 月前臭要饭的就写了新的采用本地sniff方法获取serv-u的管理密码的exploit，正在网上火卖着，不过这种sniff的方法，同样是在获得 webshell的条件后还得有个能在目录里有”执行”的权限，并且需要管理员再次登陆运行serv-u administrator的时候才能成功。所以我们的管理员要尽量避上以上几点因素，也是可以防护的。

另外serv-u的几点常规安全需要设置下：
选中”Block “FTP_bounce”attack and FXP”。什么是FXP呢？通常，当使用FTP协议进行文件传输时，客户端首先向FTP服务器发出一个”PORT”命令，该命令中包含此用户的IP地址和 将被用来进行数据传输的端口号，服务器收到后，利用命令所提供的用户地址信息建立与用户的连接。大多数情况下，上述过程不会出现任何问题，但当客户端是一 名恶意用户时，可能会通过在PORT命令中加入特定的地址信息，使FTP服务器与其它非客户端的机器建立连接。虽然这名恶意用户可能本身无权直接访问某一 特定机器，但是如果FTP服务器有权访问该机器的话，那么恶意用户就可以通过FTP服务器作为中介，仍然能够最终实现与目标服务器的连接。这就是FXP， 也称跨服务器攻击。选中后就可以防止发生此种情况。

另外在”Block anti time-out schemes”也可以选中。其次，在”Advanced”选项卡中，检查 “Enable security”是否被选中，如果没有，选择它们。

IIS的安全：
删掉c:/inetpub目录，删除iis不必要的映射
首先是每一个web站点使用单独的IIS用户，譬如这里，新建立了一个名为www.315safe.com ，权限为guest的。

在IIS里的站点属性里”目录安全性”—”身份验证和访问控制”里设置匿名访问使用下列Windows 用户帐户”的用户名密码都使用www.315safe.com 这个用户的信息.在这个站点相对应的web目录文件，默认的只给IIS用户的读取和写入权限（后面有更BT的设置要介绍）。

在”应用程序配置”里，我们给必要的几种脚本执行权限：ASP.ASPX,PHP，

ASP，ASPX默认都提供映射支持了的，对于PHP，需要新添加响应的映射脚本，然后在web服务扩展将ASP，ASPX都设置为允许，对于php以及 CGI的支持，需要新建web服务扩展，在扩展名(X)：下输入 php ，再在要求的文件(E)：里添加地址 C:/php/sapi/php4isapi.dll ，并勾选设置状态为允许(S)。然后点击确定，这样IIS就支持PHP了。支持CGI同样也是如此。
要支持ASPX，还需要给web根目录给上users用户的默认权限，才能使ASPX能执行。

另外在应用程序配置里，设置调试为向客户端发送自定义的文本信息，这样能对于有ASP注入漏洞的站点，可以不反馈程序报错的信息，能够避免一定程度的攻击。

在自定义HTTP错误选项里，有必要定义下譬如404,500等错误，不过有有时候为了调试程序，好知道程序出错在什么地方，建议只设置404就可以了。

IIS6.0由于运行机制的不同，出现了应用程序池的概念。一般建议10个左右的站点共用一个应用程序池，应用程序池对于一般站点可以采用默认设置，

可以在每天凌晨的时候回收一下工作进程。

新建立一个站，采用默认向导，在设置中注意以下在应用程序设置里：执行权限为默认的纯脚本，应用程序池使用独立的名为：315safe的程序池。

名为315safe的应用程序池可以适当设置下”内存回收”：这里的最大虚拟内存为：1000M，最大使用的物理内存为256M，这样的设置几乎是没限制这个站点的性能的。

在应用程序池里有个”标识”选项，可以选择应用程序池的安全性帐户，默认才用网络服务这个帐户，大家就不要动它，能尽量以最低权限去运行大，隐患也就更小 些。在一个站点的某些目录里，譬如这个”uploadfile”目录，不需要在里面运行asp程序或其他脚本的，就去掉这个目录的执行脚本程序权限，在” 应用程序设置”的”执行权限”这里，默认的是”纯脚本”，我们改成”无”，这样就只能使用静态页面了。依次类推，大凡是不需要asp运行的目录，譬如数据 库目录，图片目录等等里都可以这样做，这样主要是能避免在站点应用程序脚本出现bug的时候，譬如出现从前流行的upfile漏洞，而能够在一定程度上对 漏洞有扼制的作用。

在默认情况下，我们一般给每个站点的web目录的权限为IIS用户的读取和写入，如图：

但是我们现在为了将SQL注入，上传漏洞全部都赶走，我们可以采取手动的方式进行细节性的策略设置。
1． 给web根目录的IIS用户只给读权限。如图

然后我们对响应的uploadfiles/或其他需要存在上传文件的目录额外给写的权限，并且在IIS里给这个目录无脚本运行权限，这样即使网站程序出现 漏洞，入侵者也无法将asp木马写进目录里去，呵呵， 不过没这么简单就防止住了攻击，还有很多工作要完成。如果是MS-SQL数据库的，就这样也就OK了，但是Access的数据库的话，其数据库所在的目 录，或数据库文件也得给写权限，然后数据库文件没必要改成.asp的。这样的后果大家也都知道了把，一旦你的数据库路径被暴露了，这个数据库就是一个大木 马，够可怕的。其实完全还是规矩点只用mdb后缀，这个目录在IIS里不给执行脚本权限。然后在IIS里加设置一个映射规律，如图：

这里用任意一个dll文件来解析.mdb后缀名的映射，只要不用asp.dll来解析就可以了，这样别人即使获得了数据库路径也无法下载。这个方法可以说是防止数据库被下载的终极解决办法了。

为了让大家的CMS更安全，有需要的手工在config_base.php里加上
打开
config_base.php
找到

Copy code

//禁止用户提交某些特殊变量
$ckvs = Array(’_GET’,'_POST’,'_COOKIE’,'_FILES’);
foreach($ckvs as $ckv){
if(is_array($$ckv)){
foreach($$ckv AS $key => $value)
if(eregi(”^(cfg_|globals)”,$key)) unset(${$ckv}[$key]);
}
}

改为下面代码

Copy code

//把get、post、cookie里的<? 替换成 <?
$ckvs = Array(’_GET’,'_POST’,'_COOKIE’);
foreach($ckvs as $ckv){
if(is_array($$ckv)){
foreach($$ckv AS $key => $value)
if(!empty($value)){
${$ckv}[$key] = str_replace(’<’.'?’,'&’.'lt;’.'?’,$value);
${$ckv}[$key] = str_replace(’?’.’>’,'?’.'&’.'gt;’,${$ckv}[$key]);
}
if(eregi(”^cfg_|globals”,$key)) unset(${$ckv}[$key]);
}
}
//检测上传的文件中是否有PHP代码，有直接退出处理
if (is_array($_FILES)) {
foreach($_FILES AS $name => $value){
${$name} = $value[’tmp_name’];
$fp = @fopen(${$name},’r');
$fstr = @fread($fp,filesize(${$name}));
@fclose($fp);
if($fstr!=” && ereg(”<\?”,$fstr)){
echo “你上传的文件中含有危险内容，程序终止处理！”;
exit();
}
}
}

这样处理之后，安全上理论上可中做到一劳永逸，但缺点是使用此功能后，不能在线上传PHP文件，如果你的站点同时支持asp、aspx等，在此基础上修改一下上述代码即可

考虑到dede如果出现问题把损失减到最小，原本在高级支持区发的内容转移给大家共享

1、保持DEDE更新，及时打补丁。
2、装好DEDE后及时把install文件夹删除
3、管理目录改名，最好是改成MD5形式的，最好长点
4、DedeCms 万能安全防护代码http://bbs.dedecms.com/read.php?tid=15538
5、如果是使用HTML可以把plus下的相应文件和根目录下的index.php做掉（用不到的全删掉，还可以把数据库里面不用的表删除掉）
6、不用留言本的可以把plus下的guestbook做掉
7、不用会员的可以把member做掉
8、后台的文件管理（管理目录下file_manage_xxx.php），不用的可以做掉，这个不是很安全，至少进了后台上传小马很方便
9、下载发布功能（管理目录下soft__xxx_xxx.php），不用的话可以做掉，这个也比较容易上传小马的
10、大家继续讨论

答：一般建议在安装吊顶时加固两条龙骨，间距为1.8米-2米；若已经吊好顶，亦可用加长膨胀螺丝安装，需要加收20元的材料费的。