dmz中的iis攻击
     我的一个客户打电话给我，他说用户无法访问windows 2000 server系统的某些文件夹。当我发现某些文件夹的全部权限都被去掉时，我怀疑有人攻击了系统。
     鉴别黑客攻击。我打开微软管理控制台（mmc）和“active directory用户和计算机”管理单元，并查看其中的用户账号。有人创建了恶意的用户账号并放在administrators组中。我知道是有入侵者攻击了网络，因此我关闭所有外部连接，并开始查找被攻击了的计算机。没花多长时间我就找到了它。我的客户在非军事区（dmz）有两台web服务器。其中一台服务器上面放的是公司的网页，另一台运行计时软件。我检查了两台机器注册表的run子项，并调查了它们c盘上可疑的批处理文件，发现运行计时软件的服务器被严重攻击了。它带有多个root kit的恶意ftp和smtp程序。该服务器连接到lan中的一台microsoft sql server系统，只允许sql server的通信从dmz传送到lan。这台服务器运行的是windows 2000和server pack 2（sp2），许多关键的windows 2000更新都没有安装。
     修复破坏。我重新安装了这台服务器，将它移到了防火墙的lan一侧，限制了对它的公共访问。然后我重新连接外部线路，并密切监测是否还有可疑的活动。 
     经验教训。在您把一台可被公共访问的服务器放在dmz之前，请与软件供应商确认该服务器上运行的任何程序都是可以安全地被公共访问的。请将所有服务器（不仅仅是dmz中的服务器）的service pack和关键补丁程序都保持更新。确保应用程序使用sql服务器集成的安全性，并且不要在它们的代码中使用连接字符串与sql服务器连接。如果在web服务器的代码中嵌入连接字符串，将会直接将有效的用户名和密码提供给入侵者。要了解更多关于从web服务器建立sql服务器连接的信息，请参考微软知识库文章“recommendations for connecting to databases through internetinformation services”（?kbid=258939）。请确保microsoft iis使用存储过程访问sql服务器的数据，不要让iis服务器运行sql语句。这样做可以只对授权的用户赋予对特定的存储过程的执行权限，从而可以限制该用户在sql服务器上运行任意的select语句。