终结Webshell 加固web服务器
作者:甘肃老五 来源:IT专家网 发布时间:2008-07-29 10:29:00
核心提示:如何让攻击者无缘Webshell那是代码部分的问题,我们做为管理员应该如何加固Web服务器,让攻击者在获得了Webshell之后无功而返呢?
用微软的IIS打造一个WEB服务器是件非常简单的事情,但是它的安全性实在不敢恭维。攻击者通过注入、上传、旁注等技术获得了某个网站的Webshell,然后进一步渗透提权,直至控制整个Web服务器。至于如何让攻击者无缘Webshell那是代码部分的问题,我们做为管理员应该如何加固Web服务器,让攻击者在获得了Webshell之后无功而返呢?
一、设置命令权限
默认设置下,webshell中可以调用一些对服务器构成危险的系统命令,因此要对这些命令进行权限限制。需要限制权限的命令主要有:cmd.exe net.exe net1.exe ping.exe netstat.exe ftp.exe tftp.exe telnet.exe等。
对这些命令单独进行设置,设置为只允许administrators组访问,这样既防止攻击者新建用户对系统进行修改,也可以防范通过Serv-U的本地提升权限漏洞来运行这些关键的程序了。特别提醒的是要删除cacls.exe这个程序,防止有人通过命令行来修改权限。(图1)
图1
个人秘笈:在系统目录下放一个和cmd.exe同名的监控程序,并赋予它eventone运行权限。这样只要攻击者在websehll中调用cmd.exe就可以触发监控程序,记录并追查攻击者的踪迹,让他偷鸡不成反蚀一把米。为我们发现入侵,直至找到攻击者做准备。
二、设置目录权限
设置的原则是让IIS以最小的权限运行,但也不至于把自己捆住。
1、选取整个硬盘:
system:完全控制
administrator:完全控制
(允许将来自父系的可继承性权限传播给对象) (图2)
2、c:program filescommon files:
everyone:读取及运行
列出文件目录
读取
(允许将来自父系的可继承性权限传播给对象)
3、c:inetpubwwwroot:
iusr_machinename:读取及运行
列出文件目录
读取
(允许将来自父系的可继承性权限传播给对象)
4、c:windowssystem32:
选择除inetsrv和centsrv以外的所有目录,
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
5、c:windows:
选择除了downloaded program files、help、iis temporary compressed files、
offline web pages、system32、tasks、temp、web以外的所有目录
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
6、c:windows:
everyone:读取及运行
列出文件目录
读取
(允许将来自父系的可继承性权限传播给对象)
7、c:windows emp:(允许访问数据库并显示在asp页面上)
everyone:修改
(允许将来自父系的可继承性权限传播给对象)
三、与组件相关的设置
1、shell.application组件删除
再来去掉一些ASP WEBSHELL需要使用的一些组件,这些组件其实普通的虚拟主机用户也是用不上的。
很多防范ASP木马的文章都提到要删除FileSystemObject组件,但删除了这个组件后,很多ASP的程序可能会运行不了,其实只要做好了前面的工作,FileSystemObject组件能操作的,只能是自己目录下的文件,也就构成不了什么威胁了!
现在看来,还比较有威胁的组件就是Shell.Application和Wscript.Shell这两个组件了,Shell.Application可以对文件进行一些操作,还可以执行程序,但不能带参数,而Wscript.Shell可以操作注册表和执行DOS命令。
2、防范Wscript.Shell组件的方法:
可以通过修改注册表,将此组件改名。
HKEY_CLASSES_ROOTWScript.Shell及HKEY_CLASSES_ROOTWScript.Shell.1
改名为其它的名字,如:改为WScript.Shell_ChangeName或WScript.Shell.1_ChangeName自己以后调用的时候使用这个就可以正常调用此组件了 (图3)
图3
也要将clsid值也改一下
HKEY_CLASSES_ROOTWScript.ShellCLSID项目的值
HKEY_CLASSES_ROOTWScript.Shell.1CLSID项目的值
也可以将其删除,来防止此类木马的危害。
3、防范Shell.Application组件的方法:
可以通过修改注册表,将此组件改名。
HKEY_CLASSES_ROOTShell.Application 及
HKEY_CLASSES_ROOTShell.Application.1
改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
自己以后调用的时候使用这个就可以正常调用此组件了。
也要将clsid值也改一下
HKEY_CLASSES_ROOTShell.ApplicationCLSID项目的值 (图4)
图4
也可以将其删除,来防止此类木马的危害。
猜你喜欢
- 10月27日晨,央视新闻以《钓鱼网站猖獗三种钓法需注意》为题报道了近期日益猖獗的钓鱼网站诈骗案件,新闻提及,目前全国遭受钓鱼网站最严重的是工
- 免费开源博客程序wordpress正式发布wordpress 3.2版本,并同时发布了中文版本。目前官方下载地址已经替换为wordpress
- 据CNNIC中国互联网络信息中心2009年7月16日发布的《第24次中国互联网络发展状况调查统计报告》中显示,我国共有网民数量3.38亿人,
- 据新加坡《联合早报》10月15日报道,发明全球互联网的英国人伯纳斯承认,当初在网址前面加上双斜线实在有欠考虑。据报道,伯纳斯大约30年前想出
- 接上一期,这里主要考虑 CSS 注入的方式。CSS 注入主要为背景图注入和针对 Exploer 的 CSS Expression 注入。考虑
- 随着应用软件的开发规模及复杂程度日趋大型化,使得软件开发模式从早期的个人作坊式渐渐转变为团队协作开发方式,在这种团队协作的开发模式,为了管理
- 本安装及设置教程适用于使用Windows2003为操作系统的服务器,目的是让服务器支持常见网络编程语言包括ASP、PHP、.Net1.1、.
- 这篇文章是我在国外知名英文文章站EzineArticles上发表的,主要是根据我这3年来对美国空间的使用和代购经验总结的,虽然有些地方还是带
- 现在很多中小网站(尤其是 Web 2.0 站点) 都允许用户上传图片,如果前期没有很好的规划,那么随着图片文件的增多,无论是管理还是性能上都
- Zend Optimizer安装图解本文讨论的是Windows2003+IIS6.0下安装Zend Optimizer,请注意 下
- 令众多腾讯QQ用户期待已久的QQ2008正式版将于6月16日对外发布,目前已经邀请部分用户参与内测。据了解QQ2008 正式版本新
- 内部链接的重要性就不详细说了。无论用户还是搜索引擎如果访问完你的内容页发现没有链接可去了。都是非常不科学的。网站内部链接优化有哪些?1.网站
- 短酷网推广计划浅见一:网站目标 网站的最终目标是为客户提供一个真正他们所需要的短媒体平台。 二:网站定位 市场定位:手机类网站、属性定位:社
- 北京时间11月21日消息,据国外媒体报道,Twitter首席运营官Dick Costolo今日表示,这一广受欢迎的微博服务将很快推出广告业务
- 了解网赚的老手,都应该知道,网赚其实是一种思路。遍观现在的网赚项目,网赚教程,遍地飞,其实都是思路的延伸,生发出来的。说什么日赚100,日赚
- IIS中增加URL Rewrite功能,最多人选用的是名为“ISAPI Rewrite“的软件,网上下载的破解版,其实破解不完善,最终会不能
- 最新消息,美国主机商ixwebhosting推出中文客服,其中文站(cn.IXWebHosting.com)已经在网站顶部提示,“中文liv
- 刚好青云讲了些“007功能”,好像还挺有争议。有争议是好事,有争议才说明这些想法既不是人人皆知的常识,也不是明显没有价值的谬论,而是一个值得
- “大江东去,浪淘尽,千古风流人物。故垒西边,人道是,三国周郎赤壁。乱石穿空,惊涛拍岸,卷起千堆雪。江山如画,一时多少豪杰……”当年苏轼站在著
- 广告版块是对于很多网站、论坛来说是必须的版块之一。无规矩不成方圆,如果广告版块没有相应的规章制度,将会造成版块混乱,甚至可能影响到整个网站、