用微軟的IIS打造一個(gè)WEB服務(wù)器是件非常簡(jiǎn)單的事情��,但是它的安全性實(shí)在不敢恭維���。攻擊者通過(guò)注入、上傳�、旁注等技術(shù)獲得了某個(gè)網(wǎng)站的Webshell,然后進(jìn)一步滲透提權(quán)�,直至控制整個(gè)Web服務(wù)器。至于如何讓攻擊者無(wú)緣Webshell那是代碼部分的問(wèn)題���,我們做為管理員應(yīng)該如何加固Web服務(wù)器����,讓攻擊者在獲得了Webshell之后無(wú)功而返呢?
一����、設(shè)置命令權(quán)限
默認(rèn)設(shè)置下,webshell中可以調(diào)用一些對(duì)服務(wù)器構(gòu)成危險(xiǎn)的系統(tǒng)命令��,因此要對(duì)這些命令進(jìn)行權(quán)限限制����。需要限制權(quán)限的命令主要有:cmd.exe net.exe net1.exe ping.exe netstat.exe ftp.exe tftp.exe telnet.exe等�����。
對(duì)這些命令單獨(dú)進(jìn)行設(shè)置,設(shè)置為只允許administrators組訪問(wèn)�����,這樣既防止攻擊者新建用戶對(duì)系統(tǒng)進(jìn)行修改����,也可以防范通過(guò)Serv-U的本地提升權(quán)限漏洞來(lái)運(yùn)行這些關(guān)鍵的程序了。特別提醒的是要?jiǎng)h除cacls.exe這個(gè)程序��,防止有人通過(guò)命令行來(lái)修改權(quán)限�����。
?
個(gè)人秘笈:在系統(tǒng)目錄下放一個(gè)和cmd.exe同名的監(jiān)控程序�,并賦予它eventone運(yùn)行權(quán)限。這樣只要攻擊者在websehll中調(diào)用cmd.exe就可以觸發(fā)監(jiān)控程序���,記錄并追查攻擊者的蹤跡�����,讓他偷雞不成反蝕一把米����。為我們發(fā)現(xiàn)入侵,直至找到攻擊者做準(zhǔn)備�。
二、設(shè)置目錄權(quán)限
設(shè)置的原則是讓IIS以最小的權(quán)限運(yùn)行����,但也不至于把自己捆住。
1�����、選取整個(gè)硬盤(pán):
system:完全控制
administrator:完全控制
(允許將來(lái)自父系的可繼承性權(quán)限傳播給對(duì)象)
2�����、c:\program files\common files:
everyone:讀取及運(yùn)行
列出文件目錄
讀取
(允許將來(lái)自父系的可繼承性權(quán)限傳播給對(duì)象)
3����、c:\inetpub\wwwroot:
iusr_machinename:讀取及運(yùn)行
列出文件目錄
讀取
(允許將來(lái)自父系的可繼承性權(quán)限傳播給對(duì)象)
4、c:\windows\system32:
選擇除inetsrv和centsrv以外的所有目錄�����,
去除"允許將來(lái)自父系的可繼承性權(quán)限傳播給對(duì)象"選框,復(fù)制����。
5����、c:\windows:
選擇除了downloaded program files、help����、iis temporary compressed files、
offline web pages�、system32、tasks���、temp����、web以外的所有目錄
去除"允許將來(lái)自父系的可繼承性權(quán)限傳播給對(duì)象"選框�����,復(fù)制�����。
6、c:\windows:
everyone:讀取及運(yùn)行
列出文件目錄
讀取
(允許將來(lái)自父系的可繼承性權(quán)限傳播給對(duì)象)
7����、c:\windows\temp:(允許訪問(wèn)數(shù)據(jù)庫(kù)并顯示在asp頁(yè)面上)
everyone:修改
(允許將來(lái)自父系的可繼承性權(quán)限傳播給對(duì)象)
三、與組件相關(guān)的設(shè)置
1�、shell.application組件刪除
再來(lái)去掉一些ASP WEBSHELL需要使用的一些組件,這些組件其實(shí)普通的虛擬主機(jī)用戶也是用不上的��。
很多防范ASP木馬的文章都提到要?jiǎng)h除FileSystemObject組件����,但刪除了這個(gè)組件后,很多ASP的程序可能會(huì)運(yùn)行不了���,其實(shí)只要做好了前面的工作���,F(xiàn)ileSystemObject組件能操作的,只能是自己目錄下的文件���,也就構(gòu)成不了什么威脅了!
現(xiàn)在看來(lái)���,還比較有威脅的組件就是Shell.Application和Wscript.Shell這兩個(gè)組件了����,Shell.Application可以對(duì)文件進(jìn)行一些操作�,還可以執(zhí)行程序,但不能帶參數(shù)��,而Wscript.Shell可以操作注冊(cè)表和執(zhí)行DOS命令�。
2���、防范Wscript.Shell組件的方法:
可以通過(guò)修改注冊(cè)表����,將此組件改名��。
HKEY_CLASSES_ROOT\WScript.Shell\及HKEY_CLASSES_ROOT\WScript.Shell.1\
改名為其它的名字���,如:改為WScript.Shell_ChangeName或WScript.Shell.1_ChangeName自己以后調(diào)用的時(shí)候使用這個(gè)就可以正常調(diào)用此組件了
也要將clsid值也改一下
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\項(xiàng)目的值
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\項(xiàng)目的值
也可以將其刪除�,來(lái)防止此類(lèi)木馬的危害���。
3�����、防范Shell.Application組件的方法:
可以通過(guò)修改注冊(cè)表����,將此組件改名。
HKEY_CLASSES_ROOT\Shell.Application\ 及
HKEY_CLASSES_ROOT\Shell.Application.1\
改名為其它的名字�����,如:改為Shell.Application_ChangeName或Shell.Application.1_ChangeName
自己以后調(diào)用的時(shí)候使用這個(gè)就可以正常調(diào)用此組件了���。
也要將clsid值也改一下
HKEY_CLASSES_ROOT\Shell.Application\CLSID\項(xiàng)目的值
?
也可以將其刪除�,來(lái)防止此類(lèi)木馬的危害�����。
四��、綜合設(shè)置(針對(duì)虛擬主機(jī))
說(shuō)明:FileSystemObject(FS0)這個(gè)組件為 ASP 提供了強(qiáng)大的文件系統(tǒng)訪問(wèn)能力���,可以對(duì)服務(wù)器硬盤(pán)上的任何文件進(jìn)行讀�����、寫(xiě)���、復(fù)制�����、刪除�、改名等操作�����,但是禁止此組件后�����,引起的后果就是所有利用這個(gè)組件的ASP將無(wú)法運(yùn)行�,無(wú)法滿足我們的需求����。如何既允許FileSystemObject組件,又不影響服務(wù)器的安全性呢?
1�、目錄權(quán)限設(shè)置。
在服務(wù)器上打開(kāi)資源管理器�����,用鼠標(biāo)右鍵點(diǎn)擊各個(gè)硬盤(pán)分區(qū)或卷的盤(pán)符,在彈出菜單中選擇"屬性"�����,選擇"安全"選項(xiàng)卡����,此時(shí)就可以看到有哪些帳號(hào)可以訪問(wèn)這個(gè)分區(qū)(卷)及訪問(wèn)權(quán)限。默認(rèn)安裝后����,出現(xiàn)的是"Everyone"具有完全控制的權(quán)限。點(diǎn)"添加"����,將"Administrators"、"Backup Operators"���、"Power Users"���、"Users"等幾個(gè)組添加進(jìn)去,并給予"完全控制"或相應(yīng)的權(quán)限��,注意�����,不要給"Guests"組、"IUSR_機(jī)器名"這幾個(gè)帳號(hào)任何權(quán)限�����。然后將"Everyone"組從列表中刪除���,這樣���,就只有授權(quán)的組和用戶才能訪問(wèn)此硬盤(pán)分區(qū)了,而 ASP 執(zhí)行時(shí)�����,是以"IUSR_機(jī)器名"的身份訪問(wèn)硬盤(pán)的�,這里沒(méi)給該用戶帳號(hào)權(quán)限��,ASP 也就不能讀寫(xiě)硬盤(pán)上的文件了�。
2、創(chuàng)建客戶賬號(hào)
給每個(gè)虛擬主機(jī)用戶設(shè)置一個(gè)單獨(dú)的用戶帳號(hào)��,然后再給每個(gè)帳號(hào)分配一個(gè)允許其完全控制的目錄��。
第一步:打開(kāi)"計(jì)算機(jī)管理"→"本地用戶和組"→"用戶",在右欄中點(diǎn)擊鼠標(biāo)右鍵����,在彈出的菜單中選擇"新用戶":在彈出的"新用戶"對(duì)話框中根據(jù)實(shí)際需要輸入"用戶名"、"全名"���、"描述"�、"密碼"�����、"確認(rèn)密碼"�,并將"用戶下次登錄時(shí)須更改密碼"前的對(duì)號(hào)去掉,選中"用戶不能更改密碼"和"密碼永不過(guò)期"���。本例是給第一虛擬主機(jī)的用戶建立一個(gè)匿名訪問(wèn) Internet 信息服務(wù)的內(nèi)置帳號(hào)"lw1"���,即:所有客戶端使用http://www.xxx.com 訪問(wèn)此虛擬主機(jī)時(shí),都是以這個(gè)身份來(lái)訪問(wèn)的��。輸入完成后點(diǎn)"創(chuàng)建"即可��。可以根據(jù)實(shí)際需要�����,創(chuàng)建多個(gè)用戶��,創(chuàng)建完畢后點(diǎn)"關(guān)閉"�。
?
第二步:在列表中雙擊該帳號(hào),以便進(jìn)一步進(jìn)行設(shè)置:在彈出的"lw1"(即剛才創(chuàng)建的新帳號(hào))屬性對(duì)話框中點(diǎn)"隸屬于"選項(xiàng)卡:剛建立的帳號(hào)默認(rèn)是屬于"Users"組�����,選中該組�����,點(diǎn)"刪除":現(xiàn)在出現(xiàn)的是如下圖所示�����,此時(shí)再點(diǎn)"添加":在彈出的"選擇組"對(duì)話框中找到"Guests"�����,點(diǎn)"添加"�����,此組就會(huì)出現(xiàn)在下方的文本框中�����,然后點(diǎn)"確定":出現(xiàn)的就是如下圖所示的內(nèi)容�����,點(diǎn)"確定"關(guān)閉此對(duì)話框���。
關(guān)鍵詞標(biāo)簽:Webshell,web服務(wù)器
ISAPI Rewrite實(shí)現(xiàn)IIS圖片防盜鏈
IIS6.0下配置MySQL+PHP5+Zend+phpMyAdmin
在Windows服務(wù)器上快速架設(shè)視頻編解碼器全攻略
win2000server IIS和tomcat5多站點(diǎn)配置