欢迎来到天天文库
浏览记录
ID:23963393
大小:55.50 KB
页数:4页
时间:2018-11-12
《终结webshell 加固web服务器》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、终结Webshell加固web服务器 用微软的IIS打造一个inistrators组访问,这样既防止攻击者新建用户对系统进行修改,也可以防范通过Serv-U的本地提升权限漏洞来运行这些关键的程序了。特别提醒的是要删除cacls.exe这个程序,防止有人通过命令行来修改权限。(图1) 图1 个人秘笈:在系统目录下放一个和cmd.exe同名的监控程序,并赋予它eventone运行权限。这样只要攻击者在d.exe就可以触发监控程序,记录并追查攻击者的踪迹,让他偷鸡不成反蚀一把米。为我们发现入侵,直至找到攻击者做准备。 二、设置目录权限 设置的
2、原则是让IIS以最小的权限运行,但也不至于把自己捆住。 1、选取整个硬盘: system:完全控制 administrator:完全控制 (允许将来自父系的可继承性权限传播给对象)(图2) 图2 2、c:programfilesmonfiles: everyone:读取及运行 列出文件目录 读取 (允许将来自父系的可继承性权限传播给对象) 3、c:ipubroot: iusr_machinename:读取及运行 列出文件目录 读取 (允许将来自父系的可继承性权限传播给对象) 4、c:32: 选择除isrv和cen
3、tsrv以外的所有目录, 去除允许将来自父系的可继承性权限传播给对象选框,复制。 5、c:files、help、iistemporarypressedfiles、 offline32、tasks、temp、p:(允许访问数据库并显示在asp页面上) everyone:修改 (允许将来自父系的可继承性权限传播给对象) 三、与组件相关的设置 1、shell.application组件删除 再来去掉一些ASPObject组件,但删除了这个组件后,很多ASP的程序可能会运行不了,其实只要做好了前面的工作,FileSystemObject组
4、件能操作的,只能是自己目录下的文件,也就构成不了什么威胁了! 现在看来,还比较有威胁的组件就是Shell.Application和e或e自己以后调用的时候使用这个就可以正常调用此组件了(图3) 图3 也要将clsid值也改一下 HKEY_CLASSES_ROOTe或S123下一页....,。hell.Application.1_ChangeName 自己以后调用的时候使用这个就可以正常调用此组件了。 也要将clsid值也改一下 HKEY_CLASSES_ROOTShell.ApplicationCLSID项目的值(图4) 图4
5、也可以将其删除,来防止此类木马的危害。 四、综合设置(针对虚拟主机) 说明:FileSystemObject(FS0)这个组件为ASP提供了强大的文件系统访问能力,可以对服务器硬盘上的任何文件进行读、写、复制、删除、改名等操作,但是禁止此组件后,引起的后果就是所有利用这个组件的ASP将无法运行,无法满足我们的需求。如何既允许FileSystemObject组件,又不影响服务器的安全性呢? 1、目录权限设置。 在服务器上打开资源管理器,用鼠标右键点击各个硬盘分区或卷的盘符,在弹出菜单中选择属性,选择安全选项卡,此时就可以看到有哪些帐号可以访
6、问这个分区(卷)及访问权限。默认安装后,出现的是Everyone具有完全控制的权限。点添加,将Administrators、BackupOperators、PowerUsers、Users等几个组添加进去,并给予完全控制或相应的权限,注意,不要给Guests组、IUSR_机器名这几个帐号任何权限。然后将Everyone组从列表中删除,这样,就只有授权的组和用户才能访问此硬盘分区了,而ASP执行时,是以IUSR_机器名的身份访问硬盘的,这里没给该用户帐号权限,ASP也就不能读写硬盘上的文件了。(图5) 图5 2、创建客户账号 给每个虚拟主机用
7、户设置一个单独的用户帐号,然后再给每个帐号分配一个允许其完全控制的目录。 第一步:打开计算机管理→本地用户和组→用户,在右栏中点击鼠标右键,在弹出的菜单中选择新用户:在弹出的新用户对话框中根据实际需要输入用户名、全名、描述、密码、确认密码,并将用户下次登录时须更改密码前的对号去掉,选中用户不能更改密码和密码永不过期。本例是给第一虚拟主机的用户建立一个匿名访问Inter信息服务的内置帐号lw1,即:所有客户端使用.xxx.访问此虚拟主机时,都是以这个身份来访问的。输入完成后点创建即可。可以根据实际需要,创建多个用户,创建完毕后
8、点关闭。(图6) 图6 第二步:在列表中双击该帐号,以便进一步进行设置:在弹出的lw1(即刚才创建的新帐号)属性对话框中点隶属于选项
此文档下载收益归作者所有