武器一：批量字符修改工具　　通过后门漏洞注入病毒代码是最为常见的入侵方式，入侵者通常会将首页或所有页面注入类似如下病毒木马代码。
　　<script src="http://test.com/test.js"></script>
　　如果入侵者只是写入一个首页文件，我们只需要删除即可，可万一入侵者将所有文件都写入了如下代码，此时我们如何是好？如果站点程序上几百、几千或更多时怎么办？一个一个文件来修改删除不现实，我们可以通过一个叫《批量字符修改器》的工具来帮助我们完成清除病毒代码的工作，使用方法非常简单，在查找处输入<script src="http://test.com/test.js"></script>被入侵的病毒代码（如图1），然后替换为选项中留为空，文件类型视程序情况而定，如果想替换全部文件中的病毒代码直接输入"*"号即可。如果只是想修改ASP程序可以输入"*.asp"，输入所在文件夹，然后区分大小写、保存备份、仅替换字词及包括子文件夹，这里我们需要把"包括子文件夹" 选上，然后点击全换，程序就会自动更换了。我们可以非常轻松的实现批量修复站点。但是大家一定要在修复前先把数据备份一份，或在替换修复前选上"保存备份"功能，以免在出现错误后可还原。

那么以上做法我们是清除了相应被插入的病毒代码，但是可能过一会入侵者在继续批量修改注入病毒代码，这时我们应该如何是好，通常这种情况是系统没有做好安全加固，稍后我们会介绍加固方面的工具，但现在我们要找到这个ASP木马程序放在那，我们依然使用此工具来操作，通过修改相应的执行命令来排错。
    我们通过查找常见木马程序中的关键词（如表1），然后通过《超级批量字符修改器》来搜索ASP木马最常见的关键词，然后查看文件源代码来分析是否是自己站点程序来排错。

武器二：雷客图ASP站长安全助手
　除了以上介绍搜索ASP木马的关键词来排除木马以外，我们还可以利用《雷客图ASP站长安全助手》来对站点进行更全面的安全分析。
　　功能介绍：一个基于ASP的帮助站长维护网站安全的程序。其功能包括ASP木马查找、被篡改文件查找、可疑文件搜索、数据库安全保护等
　　
　　功能：
　　1、ASP木马查找（能够查出现在几乎所有的ASP木马）
　　2、文件篡改检查
　　3、可疑文件搜索
　　4、Access数据库保护
　　5、SQL注射防御
　　6、特殊文件夹检查
　　7、脚本解密
　　8、批量反挂马
　　最新版本出了VBS版，如果您的站点是与使用搜索主机的话，那么您可以通过ASP来实现查找病毒木马安全漏洞。如果你能控制服务器的话，我们建议使用VBS版来对文件进行扫描，速度比ASP版快，扫描后会生成HTML报表，我们可以通过报表来分析，当然你也可以将WEB程序下载到本地进行扫描后再排错也是可行的。
　　
　　大家可以参考（表2）的WEB报表来分析是否是自己的站点程序，是否存在安全漏洞等等来排除木马程序及站点安全漏洞。
　　雷客图ASP站长安全助手 WEB服务器安全扫描报告
　　开始时间：2008-3-22 9:59:14
　　结束时间：2008-3-22 10:16:13
　　扫描完毕！一共检查文件夹256个，文件2449个，发现可疑点22个（红字显示的为严重可疑）

文件路径	特征码	描述	创建/修改时间
d:\Web\xxxx.com\aspcheck.asp	WScript.Shell 或者 clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8	危险组件，一般被ASP木马利用	2007-7-12 17:43:12 2007-11-9 18:25:07
d:\Web\xxxx.com\aspcheck.asp	Shell.Application 或者 clsid:13709620-C279-11CE-A49E-444553540000	危险组件，一般被ASP木马利用	2007-7-12 17:43:12 2007-11-9 18:25:07
d:\Web\test.xxxx.com\aspcheck.asp	Execute()或者ExecuteGlobal()	该函数可以执行任意ASP代码，被一些后门利用。其形式一般是：execute(X)	2007-7-12 17:43:12 2007-11-9 18:25:07
d:\Web\xxxx.com\aspcheck.asp	.CreateTextFile|.OpenTextFile	使用了FSO的CreateTextFile|OpenTextFile函数读写文件	2007-7-12 17:43:12
			2007-11-9 18:25:07
d:\Web\xxxx.com\aspcheck.asp	.Exec	发现 WScript 的 Exec 函数	2007-7-12 17:43:12 2007-11-9 18:25:07

    表2

[ 本帖最后由 枫之蓝叶 于 2008-4-29 12:28 编辑 ]

武器三：查出非法系统用户东东
在我们不幸被入侵者入侵并创建了隐藏帐号后，在本地用户和组里是看不到入侵者建立的帐号的，那么我们可以通过猎取NT系统用户工具来查出非法系统用户，但是就我的工作经验而言，如果你有能力分析入侵者是怎么进入服务器的，可以去分析，但是对这方面还不是很了解时，应该立即安排数据备份及重装或还原系统，并对服务器全面加固，并对相关服务进行升级和打最新的安全补丁。


武器四：青云服务器安全设置器
　　现在我们知道了如何修复被注入的站点及查找相应的站点安全漏洞后，继续来了解一下系统的安全加固是需要那些严格的工作需要做的。服务器的加固是非常复杂而且工作量也瞒大的，所以介绍大家一个比较经典的工具之一---《青云服务器安全设置器》
　　软件性质：此工具采用批处理实现，程序功能完全公开源代码，可接自己的需求来修改！由青云负责工具维护免费升级。
　　适用系统：2000 / XP / 2003
　　软件功能：通过批处理实现对服务器进行安全加固，免去了安全加固时花费的时间，而且全面加固系统  ---[个人感想：现在装个纯净版的系统有多麻烦，如今都流行万能一键GHOST系统，难道正因为这样，系统安全也发展到了万能一键加固的地步？]
　　服务器要求：所有分区必须为NTFS磁盘格式，服务器以前没有设置过权限类的设置，新装好的服务器系统最佳！如以前设置过权限了请先看清楚批处理内容里都设了哪些地方，如果有你已经设置过的地方直接删除不用重复再设就可以了，一般重复设也没有问题的！
　　使用方法：解压后直接运行ThecSafe.bat即可，里面的选项可以按你的需要来设置！
　　首先我先谈谈在一些常见的加固方案，如要将一些危险的文件及文件夹权限修改进行加固系统安全，如boot.ini、autoexec.bat、iexplore.exe、net.exe、cmd.exe、shell.dll、regedit.exe、windows文件夹、system32文件夹等等，如果我们手工操作的话，需要一个一个的找到文件及文件夹，然后在右键--属性-安全，然后在修改权限，这么大的工作量，而且每次重装系统都是这些；重复烦锁的操作，那是多么的无聊的事情，看看我怎么用青云服务器安全设置器来偷懒的吧！偷懒也要学会找技巧哦。
　　说了这么多，我们来看看这工具到底长啥样的。免费的东西多好呀！不过也有收费服务哦，可以得到最新版本及技术支持，这样作者才能更加完善工具软件功能呀。如今没几个能做到开放源码的方式来分享自己的成果呀！
实践经验：以我的使用经验来看并不主张大家使用一键全自动设置服务器功能，倒是希望大家查看一下源代码来看看工具是怎么实现的？做过哪些操作？是怎么实现这些功能的？带着这样的想法去看待事情，你会发现你学会更多的知识。至少用了之后，你知道做过些什么，出了问题应该如何修复或如何解决！当然一般情况下是工作使用，如果你还不太懂安全知识，大可选择和公司申请购买从而得到技术支持服务，这也是解决方法之一。
那么我们来看看这些源代码是如何写的，都是些什么意思！我们来右键ThecSafe.bat批处理文件，选择编辑来查看，前面部份包括菜单的实现及一键清理系统垃圾文件这些功能我就不多说了,都是基础性的批处理知识！
其中命令脚本 Xcacls.vbs 是 Extended Change Access Control List（扩展更改访问控制列表）工具 (Xcacls.exe) 的更新版本，随青云工具附带，通过调用脚本来实现修改文件及文件夹权限。如（图3）中运行如下代码后
　　cscript.exe xcacls.vbs "%SystemDrive%/boot.ini" /G Administrators:F
　　cscript.exe xcacls.vbs "%SystemDrive%/boot.ini" /D Guests:F /E
原c:\boot.ini系统默认权限

　　当运行后，既然发现变化将文件权限改变为administrators组安全控制权限，Gusets组绝对所有权限。
　
　　

    至此我们可以知道此工具是通过脚本程序来修改相关危险程序及目录权限，但大家注意：一定要视自己的环境需求来进行安全加固，可以参考源代码及相关说明进行选择性的安全加固。
    使用方法大家可以查看青云服务器安全设置器附件里的相关说明文档资料！
我们加固时一般只会用
    0. 清理系统垃圾文件
    1. 系统服务优化
    2. 防DDOS和欢乐时光威胁
    选项默认值，而
    1. 给系统危险文件设置权限
    2. 给系统危险文件夹设置权限
    4. 注册表危险组件删除
    是修改批处理源代码来根据自己的环境需求进行加固，如选项4. 注册表危险组件删除中，将会删除注册表及一些组件，但可能会有些程序会用到这些组件时，即需要注释掉，以免被误删。
    而其它几个功能笔者基本上没用上，像6. 导入常来网专用安全策略是关闭一些危险端口，而笔者即通过防火墙、或直接用系统自带的端口筛选来只开放需要的端口。

武器五：Wst 安全工具

通过上边的安全加固之后,我们通过以Wst 安全工具来检查是否做了相关加固
但是有些用户可能是内部WEB服务器，与共享服务是同一台服务器，经过以上安全加固后，发现无法正常共享自己的资料，此时您可以参考以下帖子，会详细分析出所有无法共享引起的原因！当然别和我说你的系统是XP Home版哦，Home版是不带共享服务的！

武器六：3389登录端口修改工具
权限方面我们已经有了大致的了解并用相应的工具来实现，但是我们很多朋友都没有把服务器的默认远程桌面端口进行修改，不修改的后台是经常被一些无聊人士通过扫描工具天天扫描天天尝试暴力入侵，笔者见过一台服务器没有修改默认端口，在日志中是从2006年10月份开始尝试入侵远程桌面至今还在尝试暴力破解，对这名入侵者我非常的崇拜，简直就是笔者心中的"呕像"。
    回到正题，我们先点击显示来查看我们现在使用了什么端口，默认是3389，然后在下边修改比较不起眼的端口。切记修改后要重启才生效，而且一定要在防火墙开放此端口。当然除了用这个工具以外，还有其它同类工具，功能都是相同。

武器七：Aports端口查看工具
用于查看相关端口占用情况，来分析服务器需要开发那些端口及排错病毒木马等等，曾经我试过升级安装G6FTP Server FTP服务工具，新版本带有WEB管理功能，且默认占用80端口，导致IIS全部站点无法访问，随后通过Aports端口查看工具查看分析后才把问题解决。

武器八：MS SQL日志收缩工具
随着时间的推移，MS SQL数据库的日志越来越大，通过MS SQL收缩工具来收缩日志文件，将某数据库一百多M的日志压缩解释空间，但切勿使用日志广场以后不在增大功能。
另外，在数据库备份方面，一般是通过MS SQL自动备份功能实现，但如果数据库文件有1个G这么大，备份过几次后，空间就会被占用完，然后笔者是使用WinRAR工具来备份数据库，一个1G的数据库文件，经过压缩打包后，可能只有100多M左右的大小，这样我们可以大大节省空间并提供更大的空间资源备份更多数据版本。

武器九：Gene6 G6 FTP Server
    服务器少不了FTP服务,而在FTP服务器软件中，目前用的最多的莫过于Serv-U了，但正因如此Serv-U的漏洞也是非常多的，G6FTP Server 是一款类似Serv-U的FTP工具，相对于Serv-U来说，G6 FTP在吞吐量，操作，内存占用方面要比Serv-U优秀一些（个人使用观点）
    FTP信息在网上传输，很容易被嗅探，建立SSL通信加密是有效手段之一。G6FTP创建一个SSL的连接也是非常方便快捷。
    点击FTP服务器，选择证书，选择添加，按照提示，填写内容，建立证书，例如test.com 如

   
    在详细内容内，我们要严格按照提醒填写。普通名称那里，可以填写你的域名，也可以填写你的IP地址，这里我填写loaclhost
点击完成，建立证书。
    转到域设置的属性下，选择SSL，选择刚才我们建立的证书test.com
找到IP绑定，在这里选择仅仅SSL认证。
OK，建立完毕，我们可以用FTP连接试验一下。还等什么