有一個不明ip頻繁登錄伺服器

『壹』 最近我們網站老是出現同一個IP無數次的進我們網站，而且是在同一時刻，是不是被人刷了為什麼呀

用日誌分析軟體分析一下。

看他IP是不是不停地在刷。。。每天刷了多次PV次。

可以在空間平台上設置這一個IP為禁止訪問的。 如果對方是伺服器就好，那就是固定IP。

如果不是伺服器，個人家庭用戶就無法防。換一下就一個IP了的。

『貳』 最近有一些不明來歷的ip訪問我的網站，這些ip經常是凌晨同一時段訪問的。點擊其中一個ip追蹤顯示訪

一般不會有事吧。有些是固定的老客戶。不知道你的站是做什麼。最好看一下網站的iis日誌。看訪問地址正常不。

『叄』 伺服器被同一個ip一直訪問，導致伺服器變慢，該如何解決。

1、用系統自帶的防火牆設置；

2、不用防火牆要編寫代碼，編寫一段計數器計算同一IP在同一頁面的刷新次數，控制記數時間。再寫一段代碼控制這個IP的刷新次數，如在同一頁面的刷新次數到達10次就禁止其訪問等；

3、用網路TCPIP設置的篩選。對組策略熟可使用組策略來實現。

『肆』 有一個IP地址段不停攻擊我司網站，也曾經攻擊過別人的伺服器，希望能夠處理。

報警啊，，你不報警抓到他人，，他換個IP還是繼續攻擊你丫

『伍』 最近老是偵測到伺服器連接到58.62.173.131的遠程桌面，莫名奇妙地一直持續登錄。

1、禁止IPC空連接：

cracker可以利用net use命令建立空連接，進而入侵，還有net view，nbtstat這些都是基於空連接的，禁止空連接就好了。打開注冊表，找到 Local_-RestrictAnonymous 把這個值改成」1」即可。

2、禁止at命令：

cracker往往給你個木馬然後讓它運行，這時他就需要at命令了。打開管理工具-服務，禁用task scheler服務即可。

3、關閉超級終端服務

如果你開了的話。這個漏洞都爛了，我不說了。

4、關閉SSDP Discover Service服務

這個服務主要用於啟動家庭網路設備上的UPnP設備，服務同時會啟動5000埠。可能造成DDOS攻擊，讓CPU使用達到100%，從而使計算機崩潰。照理說沒人會對個人機器費力去做DDOS，但這個使用過程中也非常的佔用帶寬，它會不斷的向外界發送數據包，影響網路傳輸速率，所以還是關了好。

5、關閉Remote Regisry服務

看看就知道了，允許遠程修改注冊表？除非你真的腦子進水了。

6、禁用TCP/IP上的NetBIOS

網上鄰居-屬性-本地連接-屬性-Internet協議（TCP/IP）屬性-高級-WINS面板-NetBIOS設置-禁用TCP/IP上的NetBIOS。這樣cracker就無法用nbtstat命令來讀取你的NetBIOS信息和網卡MAC地址了。

7、關閉DCOM服務

這就是135埠了，除了被用做查詢服務外，它還可能引起直接的攻擊，關閉方法是：在運行里輸入dcomcnfg，在彈出的組件服務窗口裡選擇默認屬性標簽，取消「在此計算機上啟用分布式COM」即可。

8、把共享文件的許可權從」everyone」組改成「授權用戶」

「everyone」 在win2000中意味著任何有權進入你的網路的用戶都能夠獲得這些共享資料。任何時候都不要把共享文件的用戶設置成」everyone」組。包括列印共享，默認的屬性就是」everyone」組的，一定不要忘了改。
9、取消其他不必要的服務

請根據自己需要自行決定，下面給出HTTP/FTP伺服器需要最少的服務作為參考：

l Event Log

l License Logging Service

l Windows NTLM Security Support Provider

l Remote Procere Call (RPC) Service

l Windows NT Server or Windows NT Workstation

l IIS Admin Service

l MSDTC

l World Wide Web Publishing Service

l Protected Storage

10、更改TTL值
cracker可以根據ping回的TTL值來大致判斷你的操作系統，如：

TTL=107(WINNT);

TTL=108(win2000);

TTL=127或128(win9x);

TTL=240或241(linux);

TTL=252(solaris);

TTL=240(Irix);

實際上你可以自己更改的：HKEY_LOCAL_：DefaultTTL REG_DWORD 0-0xff(0-255 十進制,默認值128)改成一個莫名其妙的數字如258，起碼讓那些小菜鳥暈上半天，就此放棄入侵你也不一定哦。

11、賬戶安全

首先禁止一切賬戶，除了你自己，呵呵。然後把Administrator改名。我呢就順手又建了個Administrator賬戶，不過是什麼許可權都沒有的那種，然後打開記事本，一陣亂敲，復制，粘貼到「密碼」里去，呵呵，來破密碼吧~！破完了才發現是個低級賬戶，看你崩潰不？

12、取消顯示最後登錄用戶

HKEY_LOCAL_ VersionWinlogon：DontDisplayLastUserName把值改為1。
13、刪除默認共享

有人問過我一開機就共享所有盤，改回來以後，重啟又變成了共享是怎麼回事，這是2K為管理而設置的默認共享，必須通過修改注冊表的方式取消它： HKEY_LOCAL_： AutoShareServer類型是REG_DWORD把值改為0即可。

14、禁用LanManager 身份驗證

Windows NT Servers Service Pack 4 和後續的版本都支持三種不同的身份驗證方法： LanManager (LM) 身份驗證；Windows NT(也叫NTLM)身份驗證；Windows NT Version 2.0 (也叫NTLM2) 身份驗證；

默認的情況下，當一個客戶嘗試連接一台同時支持LM 和 NTLM 身份驗證方法的伺服器時，LM 身份驗證會優先被使用。所以建議禁止LM 身份驗證方法。

1. 打開注冊表編輯器；

2. 定位到 HKEY_LOCAL_；

3. 選擇菜單「編輯」，「添加數值」；

4. 數值名稱中輸入：LMCompatibilityLevel ，數值類型為：DWORD，單擊 確定；

5. 雙擊新建的數據，並根據具體情況設置以下值：

0 - 發送 LM 和 NTLM響應；

1 - 發送 LM 和 NTLM響應；

2 - 僅發送 NTLM響應；

3 - 僅發送 NTLMv2響應；(Windows 2000有效)

4 - 僅發送 NTLMv2響應，拒絕 LM；(Windows 2000有效)

5 - 僅發送 NTLMv2響應，拒絕 LM 和 NTLM；(Windows 2000有效)

6. 關閉注冊表編輯器；

7. 重新啟動機器；

好了，就說到這里，按我說的設置完畢，再加上一個網路防火牆，一個病毒防火牆，基本上一般的安全是能保證的

『陸』 有一個IP地址不停地嘗試遠程桌面登陸我的伺服器，怎麼辦

更改一下默認的遠程桌面埠，把3389更改為一個陌生埠
或者在防火牆上禁止該IP訪問

舉報沒有用的,網警不會管這種小事情,何況又沒有什麼損失
這種事情網路上整天都在大量發生,隨便找個掃描器就可以掃了
沒事的,打好系統補丁,設置足夠強壯的密碼,改變默認埠,禁訪這個IP

『柒』 最近公司的伺服器頻繁的被人攻擊，幾乎每一分鍾都有不同的IP進來。網站訪問特別慢,就是找不到原因。

上機房上個防火牆，如果僅僅是訪問慢，可能是

我們上地機房防火牆可以有效防止syn flood攻擊，如果需要換機房可以聯系我
上地雙線機房，10M獨享贈送一台伺服器，獨立交換機介面

『捌』 有個IP地址連續攻擊我電腦70次，

簡單的和你講下.
你這個可能不是攻擊,而是來自網站伺服器或者遠程主機對你進行的連接.當然,也包括黑客.
當你瀏覽某個站點的時候,你的IP地址將會保留在伺服器上.而伺服器的地址將保存在NETBIOS緩存中.這樣,當相隔一段時間後,他會網站伺服器會重新和你連接,來更新數據,同時也更新緩存中的信息.由於是伺服器象你進行連接,可以認為是一次黑客嘗試的與你建立連接.

『玖』 區域網內sql伺服器（IP為.201），日誌里有陌生外部IP嘗試登錄sql資料庫的信息，一般是用sa等默認賬戶

不是斷掉外網的連接了嗎，怎麼可能還會進行？

把 sa 的用戶名改掉，改掉 sa的密碼。
一般不要用 sa 來鏈接，這個潛在的危害不能消除。

『拾』 在伺服器上看見有個外網IP功擊伺服器，總是請求連接/登錄伺服器，有沒有辦法設置拒絕這個IP請求

開啟防火牆，設定IP過濾規則或者使用系統的策略管理原則進行過濾處理