服务器有效设置防止web入侵
来源:51CTO 发布时间:2008-08-08 11:27:00
既然是我们的防范是从入侵者角度来进行考虑,那么我们就首先需要知道入侵者的入侵方式。目前较为流行web入侵方式都是通过寻找程序的漏洞先得到网站的webshell然后再根据服务器的配置来找到相应的可以利用的方法进行提权,进而拿下服务器权限的。所以配合服务器来设置防止webshell是有效的方法。
一、防止数据库被非法下载
应当说,有一点网络安全的管理员,都会把从网上下载的网站程序的默认数据库路径进行更改。当然也有一部分管理员非常粗心,拿到程序直接在自己的服务器上进行安装,甚至连说明文件都不进行删除,更不要说更改数据库路径了。这样黑客就可以通过直接从源码站点下载网站源程序,然后在本地测试找到默认的数据库,再通过下载数据库读取里面的用户信息和资料(一般是经过MD5加密的)找到管理入口进行登陆获得webshell。还有一种情况是由于程序出错暴出了网站数据库的路径,那么怎么防止这种情况的发生呢?我们可以添加mdb的扩展映射。如下图所示:
打开IIS添加一个MDB的映射,让mdb解析成其他下载不了的文件:“IIS属性”—“主目录”—“配置”—“映射”—“应用程序扩展”里面添加.mdb文件应用解析,至于用于解析它的文件大家可以自己进行选择,只要访问数据库文件出现无法访问就可以了。
这样做的好处是:1只是要是mdb后缀格式的数据库文件就肯定下载不了;2对服务器上所有的mdb文件都起作用,对于虚拟主机管理员很有用处。
二、防止上传
针对以上的配置如果使用的是MSSQL的数据库,只要存在注入点,依然可以通过使用注入工具进行数据库的猜解。倘若上传文件根本没有身份验证的话,我们可以直接上传一个asp的木马就得到了服务器的webshell。
对付上传,我们可以总结为:可以上传的目录不给执行权限,可以执行的目录不给上传权限。Web程序是通过IIS用户运行的,我们只要给IIS用户一个特定的上传目录有写入权限,然后又把这个目录的脚本执行权限去掉,就可以防止入侵者通过上传获得webshell了。配置方法:首先在IIS的web目录中,打开权限选项卡、只给IIS用户读取和列出目录权限,然后进入上传文件保存和存放数据库的目录,给IIS用户加上写入权限,最后在这两个目录的“属性”—“执行权限”选项把“纯脚本”改为“无”即可。见下图
最后提醒一点,在你设置以上权限的时候,一定要注意到设置好父目录的继承。避免所做的设置白费。
三、MSSQL注入
对于MSSQL数据库的防御,我们说,首先要从数据库连接帐户开始。数据库不要用SA帐户。使用SA帐户连接数据库对服务器来说就是一场灾难。一般来说可以使用DB_OWNER权限帐户连接数据库,如果可以正常运行,使用public用户最安全的。设置成dbo权限连接数据库之后,入侵者基本就只能通过猜解用户名和密码或者是差异备份来获得webshell了,对于前者,我们可以通过加密和修改管理后台的默认登陆地址来防御。对于差异备份,我们知道它的条件是有备份的权限,并且要知道web的目录。寻找web目录我们说通常是通过遍历目录进行寻找或者直接读取注册表来实现。无路这两个方法的哪一种,都用到了xp_regread和xp_dirtree两个扩展存储过程,我们只需要删除这两个扩展存储就可以了,当然也可以把对应的dll文件也一起删除。
但是如果是由于程序出错自己暴出了web目录,就没有办法了。所以我们还要让帐户的权限更低,无法完成备份操作。具体操作如下:在这个帐户的属性—数据库访问选项里只需要对选中对应的数据库并赋予其DBO权限,对于其他数据库不要操作。接着还要到该数据库—属性—权限把该用户的备份和备份日志的权限去掉,这样入侵者就不能通过差异备份获得webshell了。
猜你喜欢
- 被认为是资本“避风港”的中国网络游戏市场在全球经济风暴中可谓大放异彩。日前,易观国际发布的《2009年第2季度中国网络游戏市场季度监测》显示
- 前言不同版本的动态库可能会不兼容,如果程序在编译时指定动态库是某个低版本,运行是用的一个高版本,可能会导致无法运行。Linux上对动态库的命
- 这些方法中,有些是众所周知的,你也可能了解的。但有些方法不为人熟知,还有些是大家知道但很少用上的。本文将让你了解更多或记起一些这种能更快更准
- 大多数站长建站都是使用诸如动易、新云、dede等这样的cms,从而使得各种网站如雨后春笋。本人长期是使用新云cms,最近在使用中碰到了几个问
- 对你的数据进行备份是至关重要的,但是如果你不知道如何恢复这些数据,那些备份对你来说根本没有用处。这里是一个用微软系统中心数据保护管理器(DP
- 怎样登陆Account Manager呢?你可以从你的Account Manager里管理你的产品及服务里的很多设置。&
- 背景自己手上有一个项目服务用的是AWS EC2,最近从安全性和性能方面考虑,最近打算把腾讯云的MySQL数据库迁移到AWS RDS上,因为A
- 关于Fckeditor,大家并不陌生,多个互联网软件中都在使用它,它是一款非常强大的编辑器,近年来被站长使用火热的Dedecms的默认编辑器
- robots.txt文件的功能非常有限,它并不能诱使蜘蛛在你的网站上花费更多的时间或者访问更多的页面。但如果你知道robots.txt的一些
- 当经济危机肆虐全球的今天,当这股经济寒流或多或少的伤及各个领域的时候,在订单减少、客户流失、资金紧张的情况下,公司如何化险为夷,顺利度过这个
- 据 Inside AdWords 消息:AdWords 新界面从2008年11月开始在美国进行小范围测试,现在开始开放给更多的 AdWord
- 一般我们在Linux下执行某些外部程序的时候可能会提示找不到共享库的错误, 比如:tmux: error while loading sha
- 前言最近工作中遇到一个需求,需要将程序的输出写到终端,同时写入文件,通过查找相关的资料,发现可以用 tee 命令实现,首先来解释一下 tee
- 先声明一下,这个功能一般对于希望远程控制emule的朋友适用,对于一般的用户,可以不用打开,希望朋友们要注意一下。另外,对于一些对该功能感兴
- 现在国内提供支持ASP的免费空间越来越多了,对于ASP爱好者来说无疑是个好的势头,但是很多提供免费ASP空间的站点都没有对Fil
- SEO在国外已经是一门相当正规、成熟的行业, 有大批的专业的公司,专业的技术人员在为广大客户网站提供全方位的搜索引擎优化服务。同时,搜索引擎
- UCenter Home是其发布的一款SNS建站系统,自发布至今国内采用UCenter Home搭建的地方及垂直SNS已经超过13万家。在
- 因为种种原因,已经有很长时间没有发过东西了。天刃今天抽时间,把大家最近反应最多的问题整理下,和大家聊聊。第一个问题就是百度最近算法调整的影响
- FTP(File Transfer Protocol),是文件传输协议的简称。用于Internet上的控制文件的双向传输。同时,它也是一个应
- 目录Windows10下hyperledger fabric1.4环境搭建PrerequisitesWindows10专业版Git bash