解决方案:删除xp_dirtree,命令是sp_dropextendedproc 'xp_dirtree'
删除了以上的那个组建您在使用阿d或者任何的sql注入工具都是白搭
在这里也给大家提供一些其他sql危险的储存过程
建议删除
[注意:所有删除sql储存过程的操作必须在mssql查询分析器里操作,下面哪些前面的是储存过程的名字后面是删除储存过程的命令]
先来列出危险的内置存储过程:
复制代码
xp_cmdshell sp_dropextendedproc 'xp_cmdshell'
xp_regaddmultistring sp_dropextendedproc 'xp_regaddmultistring'
xp_regdeletekey sp_dropextendedproc 'xp_regdeletekey'
xp_regdeletevalue sp_dropextendedproc 'xp_regdeletevalue'
xp_regenumkeys sp_dropextendedproc 'xp_regenumkeys'
xp_regenumvalues sp_dropextendedproc 'xp_regenumvalues'
xp_regread sp_dropextendedproc 'xp_regread'
xp_regremovemultistring sp_dropextendedproc 'xp_regremovemultistring'
xp_regwrite sp_dropextendedproc 'xp_regwrite'
ActiveX脚本:
复制代码
sp_OACreate sp_dropextendedproc 'sp_OACreate'
sp_OADestroy sp_dropextendedproc 'sp_OADestroy'
sp_OAMethod sp_dropextendedproc 'sp_OAMethod'
sp_OAGetProperty sp_dropextendedproc 'sp_OAGetProperty'
sp_OAGetErrorInfo sp_dropextendedproc 'sp_OAGetErrorInfo'
sp_OAStop sp_dropextendedproc 'sp_OAStop'
四、其它设置(可选用,本人可不负责)
1.任何用户密码都要复杂,不需要的用户---删。
2.防止SYN洪水攻击
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
新建DWORD值,名为SynAttackProtect,值为2
3.禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface
新建DWORD值,名为PerformRouterDiscovery 值为0
4.防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
将EnableICMPRedirects 值设为0
5.不支持IGMP协议
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
新建DWORD值,名为IGMPLevel 值为0
6.禁用DCOM:
运行中输入 Dcomcnfg.exe。 回车, 单击“控制台根节点”下的“组件服务”。 打开“计算机”子文件夹。
对于本地计算机,请以右键单击“我的电脑”,然后选择“属性”。选择“默认属性”选项卡。
清除“在这台计算机上启用分布式 COM”复选框。
7.卸载不安全组件。
[code]
regsvr32/u C:WindowsSystem32wshom.ocx
regsvr32/u C:WindowsSystem32shell32.dll 在CMD 下执行以上两个命令。
五.防止Serv-U权限提升
其实,注销了Shell组件之后,侵入者运行提升工具的可能性就很小了,但是prel等别的脚本语言也有shell能力,为防万一,还是设置一下为好。
