终结Webshell 加固web服务器(2)
作者:甘肃老五 来源:IT专家网 发布时间:2008-07-29 10:29:00
四、综合设置(针对虚拟主机)
说明:FileSystemObject(FS0)这个组件为 ASP 提供了强大的文件系统访问能力,可以对服务器硬盘上的任何文件进行读、写、复制、删除、改名等操作,但是禁止此组件后,引起的后果就是所有利用这个组件的ASP将无法运行,无法满足我们的需求。如何既允许FileSystemObject组件,又不影响服务器的安全性呢?
1、目录权限设置。
在服务器上打开资源管理器,用鼠标右键点击各个硬盘分区或卷的盘符,在弹出菜单中选择“属性”,选择“安全”选项卡,此时就可以看到有哪些帐号可以访问这个分区(卷)及访问权限。默认安装后,出现的是“Everyone”具有完全控制的权限。点“添加”,将“Administrators”、“Backup Operators”、“Power Users”、“Users”等几个组添加进去,并给予“完全控制”或相应的权限,注意,不要给“Guests”组、“IUSR_机器名”这几个帐号任何权限。然后将“Everyone”组从列表中删除,这样,就只有授权的组和用户才能访问此硬盘分区了,而 ASP 执行时,是以“IUSR_机器名”的身份访问硬盘的,这里没给该用户帐号权限,ASP 也就不能读写硬盘上的文件了。(图5)
图5
2、创建客户账号
给每个虚拟主机用户设置一个单独的用户帐号,然后再给每个帐号分配一个允许其完全控制的目录。
第一步:打开“计算机管理”→“本地用户和组”→“用户”,在右栏中点击鼠标右键,在弹出的菜单中选择“新用户”:在弹出的“新用户”对话框中根据实际需要输入“用户名”、“全名”、“描述”、“密码”、“确认密码”,并将“用户下次登录时须更改密码”前的对号去掉,选中“用户不能更改密码”和“密码永不过期”。本例是给第一虚拟主机的用户建立一个匿名访问 Internet 信息服务的内置帐号“lw1”,即:所有客户端使用http://www.xxx.com 访问此虚拟主机时,都是以这个身份来访问的。输入完成后点“创建”即可。可以根据实际需要,创建多个用户,创建完毕后点“关闭”。(图6)
图6
第二步:在列表中双击该帐号,以便进一步进行设置:在弹出的“lw1”(即刚才创建的新帐号)属性对话框中点“隶属于”选项卡:刚建立的帐号默认是属于“Users”组,选中该组,点“删除”:现在出现的是如下图所示,此时再点“添加”:在弹出的“选择组”对话框中找到“Guests”,点“添加”,此组就会出现在下方的文本框中,然后点“确定”:出现的就是如下图所示的内容,点“确定”关闭此对话框。(图7)
图7
3、IIS设置
第一步:打开“Internet 信息服务”,开始对虚拟主机进行设置,本例中的以对“第一虚拟主机”设置为例进行说明,右击该主机名,在弹出的菜单中选择“属性”,弹出一个“第一虚拟主机 属性”的对话框,从对话框中可以看到该虚拟主机用户的使用的是“E:LW1”这个文件夹。(图8)
图8
第二步:切换到“资源管理器”,找到“E:LW1”这个文件夹,右击,选“属性”→“安全”选项卡,此时可以看到该文件夹的默认安全设置是“Everyone”完全控制(视不同情况显示的内容不完全一样),首先将最将下的“允许将来自父系的可继承权限传播给该对象”前面的对号去掉:此时会弹出如下图所示的“安全”警告,点“删除”。(图9)
图9
第三步:切换到前面打开的“第一虚拟主机 属性”的对话框,打开“目录安全性”选项卡,点匿名访问和验证控制的“编辑”在弹出的“验证方法”对方框,点“编辑”弹出了“匿名用户帐号”,默认的就是“IUSR_机器名”,点“浏览”在“选择 用户”对话框中找到前面创建的新帐号“lw1”,双击此时匿名用户名就改过来了,在密码框中输入前面创建时,为该帐号设置的密码,再确定一遍密码。OK,完成了,点确定关闭这些对话框。 (图10)
图10
提示:如果该用户需要读取硬盘的分区容量及硬盘的序列号,那这样的设置将使其无法读取。如果要允许其读取这些和整个分区有关的内容,请右键点击该硬盘的分区(卷),选择“属性”→“安全”,将这个用户的帐号添加到列表中,并至少给予“读取”权限。由于该卷下的子目录都已经设置为“禁止将来自父系的可继承权限传播给该对象”,所以不会影响下面的子目录的权限设置。
小结:经此设置后,“第一虚拟主机”的用户,使用ASP的 FileSystemObject 组件也只能访问自己的目录:E:LW1下的内容,当试图访问其他内容时,会出现诸如“没有权限”、“硬盘未准备好”、“500 服务器内部错误”等出错提示了。(图11)
图11
总结:经过了这样的设置,就算攻击者拿到了Webshell,至多对当前的网站进行操作,不会或者不太容易通过提权渗透而对整个Web服务器造成危害。当然,在功与防的斗争中只会此消彼涨,永远没有最后的胜利者。作为服务器的管理者增强安全意识,提高自身的安全技能才是关键。
0
投稿猜你喜欢
- GodaddyGiftCard简介:GodaddyGiftCard可以在godaddy网站上购买任何产品,像货币一样,在godaddy网站可
- 通常地,大多数Web站点的设计目标都是:以最易接受的方式,为访问者提供即时的信息访问。在过去的几年中,越来越多的黑客、病毒和蠕虫带来的安全问
腾讯的Web版QQ推出正式版并广获好评之时,网页版的新浪UC也顺势推出,凭借着新浪强大的门户力量,WebUC也加入到网络化软件的大阵营之中。- WordPress系统本身,默认安装的情况下使用默认模板,实际上对搜索引擎并不友好,并没有针对搜索引擎进行很好的设计,下面我介绍一些方法可以
- 命令格式如下:用法: shutdown.exe [-i | -l | -s | -r | -a] [-f] [-m \\computerna
- 我忙了累了,也不想再到这个论坛来发很多帖子了,也许是我近期在这里的最后一篇帖子了,看过我帖子的人可能都觉得我这个人说话比较尖刻,呵呵其实 也
- 在网络越来越普及、网民的力量越来越强大的今天,信息页面已经进入亿万级的级别,在这样的情况下,网民便更为迫切地希望能以一种更为便捷的方式来获取
- 我并不是一个善于思考的人,我做网站的最初目的是消磨时间,因为大学让人感觉很空虚。但是慢慢的随着对做网站的深入,我也慢慢的喜欢上了站长这些可爱
- 修改文件dede/templets/content_batch_up.htm修改头部脚本函数ShowHideMove()function S
- 有关VPN客户机的一个常见的错觉是认为它们是在VPN网络上连接到企业网络的工作站。这种工作站肯定是一种VPN客户机,但是,它并不是惟一的一种
- 如果您的服务器正在受ASP木马的困扰,那么希望这篇文章能帮您解决您所面临的问题。目前比较流行的ASP木马主要通过三种技术来进行对服务器的相关
- 很奇怪对不对?似乎所有教程都在教你,怎么为你的网站拉拢更多的看客,不管是正面诱导还是强女干眼球。先把人拉过来再说!人多了,点广告也好,买东西
- 新浪科技讯 2月29日上午10时50分消息,新浪科技今日获得内测版“百度HI”的界面图片,并通过首批参与内测的百度人士获得一份最新鲜的百度H
- 自从丘仕达那个单页面一天6万IP的实验发布以来,网上就掀起一股单页面优化讨论的风潮,眼红的纷纷跟风仿效,但也有一些人质疑单页面优化的可取性。
- 简述本文介绍如何在Windows XP 64位操作系统中安装和管理Exchange 2007!以下为实现的步骤:1. 安装IIS中的Comm
- site语法格式:site : 网址 关键词 或者 关键词 site : 网址注意事项:1、site:后边跟的冒号必须是英文的“:”,中文的
- 精博的域名已经由 essentialblog.cn 改为 jingpin.org,下面介绍我是如何更换域名的。一、cPanel 上的操作:在
- 圣诞节的脚步可是越来越近了,最近福布斯网站就盘点了一下2008年度最受欢迎的十大圣诞礼物。而夺冠者并不让我们感到意外,那就是任天堂的Wii游
- Dedecms新版本(V5系列)模板标记非常灵活,对于很多新人是一个头疼的问题,天涯今天就来和大家谈谈这些标记,为以后大家修改、制作模板打下
- 做网站一直给绝大多数网民以很方便、很便宜的印象,包括很多IT领域的从业者也这么认为。其实不管670万,还是3250万都是完全可能的,关键最后
