WEB服務器為何被掛馬以及被黑的原因可以大致分為服務器本身和網站本身兩方面情況。下面介紹服務器方面的原因和解決方法：

        1 SQL數據庫注入漏洞。

        這個漏洞比較常見，比如說asp+Access注入，Asp+MSSQL注入。Aspx+MSSQL注入等等。
　　注入漏洞主要是利用ASP程序連接數據庫未過濾的情況下，利用select from，update等語句執(zhí)行任意SQL語句。但是這個漏洞如果在ACcess上使用，那么只能用查詢了。ACCESS是封裝的數據庫。但是SQL就不同了。MSSQL利用的漏洞有很多，比如說權限分配不好，可以通過SQL拓展和權限的薄弱，列目錄，差異備份LOG文件，跨庫查詢，CMD命令行執(zhí)行。MSSQL的exec等命令。防止這個漏洞的相關方法，就是禁止在GET參數后面使用修改任意字符。比如說"and 1=1"等等。網絡上有很多防注入程序。還要注意的幾個不起眼的注入特征符。""，"%"。%準確來說。是字符經過轉碼了�？梢赞D換很多種編碼。比如說HTML編碼。WINHEX等。都可以擾過很多防注入文件。微軟的MSSQL是建立在Windows平臺的。他有兩種方式驗證用戶，一種是MSSQL用戶，一種是Windows身份驗證。所以極度不安全就在這里。如果一個攻擊者拿到系統(tǒng)權限。那么他可以修改管理員密碼。然后利用管理員密碼，用Windows身份驗證登陸到本機MSSQL，可以查閱對應數據庫任何資料。以及修改，刪除。還可以建立一個SYSTEM ADMIN權限的SQL帳號。這里一般的解決辦法。網管在建立MSSQL管理帳號時，千萬切記別采用默認模式登陸。MSSQL如果是用默認的模式登陸的話，那么可以使用Windows用戶驗證。所以只能采用MSSQL帳戶。刪除xp_cmdshell等。各個盤都設置權限。不允許MSSQL直接訪問盤符根目錄。WEB目錄名稱盡量復雜點。別用Vhost，wwwroot等。這里可以防范基本的攻擊者列目錄。大家最好是做數據庫分離。教大家一個比較變態(tài)的數據庫分離方法。在服務器裝個虛擬機。ViasulPC也可以。就裝個Windows2003，如果大家有需要�？梢宰约鹤庖粋�服務器。然后自己用共享模式上網，跟虛擬機共享，把數據庫放在虛擬機里面。那么數據庫也就是在內網了。實際上跟本機一樣�，F在數據庫在外網已經TELNET不進1433了。就算別人得到了數據庫服務器也沒什么用。前幾天在CK空間看了一篇他入侵時碰到的一個有趣的事。數據庫分離的。那黑客氣的要死。在INETPUB目錄寫了個罵管理員的ASP文件。如果是用的整站系統(tǒng)。請及時更新關注官方的漏洞和補丁公告。

　　2 系統(tǒng)漏洞

　　如果程序和組件相關的安全都做好了。那么服務器是不是就安全了?

　　微軟提供的WindowsServer家族服務器版本雖然方便快捷，但是仍然存在著安全隱患。這個跟程序無關。是系統(tǒng)本身的漏洞。一般攻擊者都是通過緩沖區(qū)溢出漏洞直接獲得CMDSHELL或者系統(tǒng)權限。比如說IIS寫權限漏洞，可以匿名訪問IIS，并且寫入ASP木馬，獲得WEBSHELL。比如說WEBDAV溢出，先用NC監(jiān)聽本地端口。再去溢出對方端口。獲得一個CMDSHELL。然后通過管理命令獲得遠程控制權限。這些漏洞在官方沒有提供解決方案之前，是沒有辦法修復的。如果是Linux系統(tǒng)的話，開放過源碼了。大家可以自己修改。但是微軟沒公布源碼。所以要隨時關注微軟官方發(fā)布的公告。有條件和需要的企業(yè)可以聯(lián)系微軟公司，申請一套Datacenter服務器系統(tǒng)。這款系統(tǒng)沒有在市場發(fā)行，是微軟專門為客戶需要定做的一套系統(tǒng)。價格昂貴。贈送liense。但是安全性非常高。不過申請有點難度。因為datacenter各大企業(yè)都沒有采用。就是因為它的價格。相關信息可以去看看Microsoft的系列廣播和資料。在這里感謝Cloudx的幫助。在我學MCSE的時候，他幫了我很多。還是他要我去MS看廣播的。網管們可以隨時關注MS公布的補丁。如果對系統(tǒng)漏洞想研究的朋友們�？梢匀グ踩�焦點或教主的0DAY公布站點隨時關注漏洞利用程序的發(fā)布。然后再關注下MS的公告。對學習很有幫助。

　　3 密碼

　　關于密碼設置問題。這個是也很容易獲得權限的。這都是人為漏洞。比如說某公司員工，為了更容易的記住密碼。就隨意把密碼設置成生日，手機號碼，姓名的拼音等。建議大家把密碼設置的復雜點。特別是服務器的密碼。比如說數據庫和系統(tǒng)密碼。WEB密碼也要好好設置。大小寫+符號。長度在10-15位左右。定期換一次密碼。這樣攻擊者在破解你密碼的時候。還沒破解出來，你又改密碼了。關于密碼這個問題。千萬不要設置成純數字。如果是純小寫�？梢栽诿艽a結尾設置2個或者3個好記點的數字。長度最好是12-17位。這個東西我就不說了。一定要把系統(tǒng)Administrator給改名或者停用。Guest停用。然后改名。帳戶策略也要設置好。