海运的博客

Iptables的recent用做防CC效果很好，刚刚在调整单个IP跟踪数据包数量时遇到以下错误 :

iptables: Unknown error 18446744073709551615
iptables: Unknown error 18446744073709551615
iptables: Unknown error 4294967295
iptables: Unknown error 4294967295

查看recent模块已正常加载：

#https://www.haiyun.me
lsmod |grep recent
ipt_recent             42969  3 
x_tables               50505  7 ipt_recent,xt_state,ip_tables,ipt_LOG,ipt_REJECT,xt_tcpudp,ip6_tables

查看recent模块信息：

modinfo ipt_recent
filename:       /lib/modules/2.6.18-274.17.1.el5/kernel/net/ipv4/netfilter/ipt_recent.ko
license:        GPL
description:    IP tables recently seen matching module
author:         Patrick McHardy <kaber@trash.net>
srcversion:     9847889C4459A1E24A45527
depends:        x_tables
vermagic:       2.6.18-274.17.1.el5 SMP mod_unload gcc-4.1
parm:           ip_list_tot:number of IPs to remember per list (uint)
parm:           ip_pkt_list_tot:number of packets per IP to remember (max. 255) (uint)
parm:           ip_list_hash_size:size of hash table used to look up IPs (uint)
parm:           ip_list_perms:permissions on /proc/net/ipt_recent/* files (uint)
module_sig:    883f3504fcc2b231298695ef90fd4f112a58709f465f6d2b473f085774c22f4a44af8d9d414232609f77c48b61f17dd712e95188f337230fc3ef7a243

可见recent最大跟踪IP及数据包数量可以调整的，设置最大跟踪数据包为100：

cat >> /etc/modprobe.conf <<EOF
options ip_pkt_list_tot=100
EOF

重新加载recent模块：

/etc/init.d/iptables stop
modprobe -r ipt_recent
modprobe  ipt_recent
/etc/init.d/iptables start

再次调整参数，一切正常。

用记事本新建任意dll文件，添加此扩展为.mdb请求。

重启IIS，再下载mdb文件会提示404错误，也可以使用urlscan过滤mdb后缀文件请求。

URLScan是一个IIS下的ISAPI 筛选器，它能够限制服务器将要处理的HTTP请求的类型。通过阻止特定的 HTTP 请求，URLScan 筛选器可以阻止可能有害的请求到达服务器并造成危害，URLScan可用于IIS7.5、IIS7、IIS6.
IIS7.5下需先安装IIS6元数据兼容性，官网下载：http://www.iis.net/download/urlscan
URLScan配置文件：C:\Windows\System32\inetsrv\urlscan\UrlScan.ini
配置文件详解：

UseAllowVerbs=1
; 允许的请求的HTTP类型;
; 如果设置为 1，则[AllowVerbs]生效;
; 如果设置为 0，则[AllowVerbs]生效。
UseAllowExtensions=0
; 允许请求的后缀类型;
; 如果设置为 0，则[DenyExtensions]生效;
; 如果设置为 1，则[AllowExtensions]生效。
NormalizeUrlBeforeScan=1
; 执行前标准化URL。
VerifyNormalization=1
; 双重标准化URL。
AllowHighBitCharacters=1
; 如果设置为 1，将允许URL中存在所有字节;
; 如果设置为 0，含有非ASCII字符的URL将拒绝(如UTF8或者MBCS)。
AllowDotInPath=0
; 如果设置为0，则URLScan 拒绝所有包含多个句点 (.) 的请求。
RemoveServerHeader=0
;设置为1可隐藏服务器信息。
AlternateServerName= 
; 如果将 RemoveServerHeader设为0，此可自定义服务器关信息。
; 如果将 RemoveServerHeader设为1，则此选项将被忽略。
EnableLogging=1
; 开启日志记录
PerProcessLogging=0 
; 如果设置为0，为每个进程创建日志文件。
PerDayLogging=1 
; 如果设置为 1，则URLScan每天创建一个新的日志文件。
AllowLateScanning=0 
; 如果设置为 0，则 URLScan 作为高优先级筛选器运行。
UseFastPathReject=0 
; 如果设置为 1，则 URLScan 忽略 RejectResponseUrl 设置并立即向浏览器返回 404 错误信息。
; 如果设置为 0，则 URLScan 使用 RejectResponseUrl 设置来返回请求。
RejectResponseUrl=
; 设置用于返回的Url路径

访问Mcafee产品下载页面：http://www.mcafee.com/cn/downloads/downloads.aspx
输入授权号：

3048901-NAI

2012.11.13更新：

5000636-NAI
5000363-NAI

2017.02.23更新:

6240017-NAI
6240018-NAI

进入下载页面，选择相应的版本下载：

黑客入侵windows服务器经常会用到新建用户、提权，用mcafee限制可严防此类事情的发生。
打开mcafee控制台——访问保护——属性——用户自定义规则——添加：
7.1更新，注册表限制/SAM/SAM/Domains/Account/Groups/**

防止修改或替换SAM文件：

新建用户测试：