- 浏览: 401749 次
- 性别:
- 来自: 长春
文章分类
最新评论
-
milkyTea_:
...
学习:二维码、QR码、J4L-QRCode、java -
xunke515:
请问如何更换其他用户,注销了从新登录的时候选择么?
Hadoop启动时出现Unrecognized option: -jvm 和 Could not create the Java virtual machine -
_copythat:
学习:二维码、QR码、J4L-QRCode、java -
小fi(FD):
楼主,你好,关于你发表的《基于动态表单的Java不确定字段数报 ...
基于动态表单的Java不确定字段数报表项目实现 -
rmn190:
受用了。多谢分享!
SD2见闻--参加PPT制作秘笈沙龙
前言其实,在服务器的安全设置方面,我虽然有一些经验,但是还谈不上有研究,所以我写这篇文章的时候心里很不踏实,总害怕说错了会误了别人的事。
|
基本的服务器安全设置安装补丁安装好操作系统之后,最好能在托管之前就完成补丁的安装,配置好网络后,如果是2000则确定安装上了SP4,如果是2003,则最好安装上SP1,然后点击开始→Windows Update,安装所有的关键更新。 安装杀毒软件虽然杀毒软件有时候不能解决问题,但是杀毒软件避免了很多问题。我一直在用诺顿2004,据说2005可以杀木马,不过我没试过。还有人用瑞星,瑞星是确定可以杀木马的。更多的人说卡巴司机好,不过我没用过。 不要指望杀毒软件杀掉所有的木马,因为ASP木马的特征是可以通过一定手段来避开杀毒软件的查杀。 设置端口保护和防火墙、删除默认共享都是服务器防黑的措施,即使你的服务器上没有IIS,这些安全措施都最好做上。这是阿江的盲区,大概知道屏蔽端口用本地安全策略,不过这方面的东西网上攻略很多,大家可以擞出来看看,晚些时候我或者会复制一些到我的网站上。 |
权限设置阿江感觉这是防止ASP漏洞攻击的关键所在,优秀的权限设置可以将危害减少在一个IIS站点甚至一个虚拟目录里。我这里讲一下原理和设置思路,聪明的朋友应该看完这个就能解决问题了。 权限设置的原理
权限设置的思路
这样设置了之后,这个站点里的ASP程序就只有当前这个文件夹的权限了,从探针上看,所有的硬盘都是红叉叉。 我的设置方法我是先创建一个用户组,以后所有的站点的用户都建在这个組里,然后设置这个组在各个分区没有权限或者完全拒绝。然后再设置各个IIS用户在各在的文件夹里的权限。 因为比较多,所以我很不想写,其实知道了上面的原理,大多数人都应该懂了,除非不知道怎么添加系统用户和組,不知道怎么设置文件夹权限,不知道IIS站点属性在那里。真的有那样的人,你也不要着急,要沉住气慢慢来,具体的方法其实自己也能摸索出来的,我就是这样。当然,如果我有空,我会写我的具体设置方法,很傲能还会配上图片。 |
改名或卸载不安全组件不安全组件不惊人我的在阿江探针1.9里加入了不安全组件检测功能(其实这是参考7i24的代码写的,只是把界面改的友好了一点,检测方法和他是基本一样的),这个功能让很多站长吃惊不小,因为他发现他的服务器支持很多不安全组件。 其实,只要做好了上面的权限设置,那么FSO、XML、strem都不再是不安全组件了,因为他们都没有跨出自己的文件夹或者站点的权限。那个欢乐时光更不用怕,有杀毒软件在还怕什么时光啊。 最危险的组件是WSH和Shell,因为它可以运行你硬盘里的EXE等程序,比如它可以运行提升程序来提升SERV-U权限甚至用SERVU来运行更高权限的系统程序。 谨慎决定是否卸载一个组件组件是为了应用而出现的,而不是为了不安全而出现的,所有的组件都有它的用处,所以在卸载一个组件之前,你必须确认这个组件是你的网站程序不需要的,或者即使去掉也不关大体的。否则,你只能留着这个组件并在你的ASP程序本身上下工夫,防止别人进来,而不是防止别人进来后SHELL。 比如,FSO和XML是非常常用的组件之一,很多程序会用到他们。WSH组件会被一部分主机管理程序用到,也有的打包程序也会用到。 卸载最不安全的组件最简单的办法是直接卸载后删除相应的程序文件。将下面的代码保存为一个.BAT文件,( 以下均以 WIN2000 为例,如果使用2003,则系统文件夹应该是 C:\WINDOWS\ ) regsvr32/u C:\WINNT\System32\wshom.ocx 然后运行一下,WScript.Shell, Shell.application, WScript.Network就会被卸载了。可能会提示无法删除文件,不用管它,重启一下服务器,你会发现这三个都提示“×安全”了。 改名不安全组件需要注意的是组件的名称和Clsid都要改,并且要改彻底了。下面以Shell.application为例来介绍方法。 打开注册表编辑器【开始→运行→regedit回车】,然后【编辑→查找→填写Shell.application→查找下一个】,用这个方法能找到两个注册表项:“{13709620-C279-11CE-A49E-444553540000}”和“Shell.application”。为了确保万无一失,把这两个注册表项导出来,保存为 .reg 文件。 比如我们想做这样的更改 13709620-C279-11CE-A49E-444553540000 改名为 13709620-C279-11CE-A49E-444553540001 那么,就把刚才导出的.reg文件里的内容按上面的对应关系替换掉,然后把修改好的.reg文件导入到注册表中(双击即可),导入了改名后的注册表项之后,别忘记了删除原有的那两个项目。这里需要注意一点,Clsid中只能是十个数字和ABCDEF六个字母。 下面是我修改后的代码(两个文件我合到一起了): Windows Registry Editor Version 5.00 你可以把这个保存为一个.reg文件运行试一下,但是可别就此了事,因为万一黑客也看了我的这篇文章,他会试验我改出来的这个名字的。 防止列出用户组和系统进程我在阿江ASP探针1.9中结合7i24的方法利用getobject("WINNT")获得了系统用户和系统进程的列表,这个列表可能会被黑客利用,我们应当隐藏起来,方法是: 【开始→程序→管理工具→服务】,找到Workstation,停止它,禁用它。 |
防止Serv-U权限提升其实,注销了Shell组件之后,侵入者运行提升工具的可能性就很小了,但是prel等别的脚本语言也有shell能力,为防万一,还是设置一下为好。 用Ultraedit打开ServUDaemon.exe查找Ascii:LocalAdministrator,和#l@$ak#.lk;0@P,修改成等长度的其它字符就可以了,ServUAdmin.exe也一样处理。 另外注意设置Serv-U所在的文件夹的权限,不要让IIS匿名用户有读取的权限,否则人家下走你修改过的文件,照样可以分析出你的管理员名和密码。 |
利用ASP漏洞攻击的常见方法及防范一般情况下,黑客总是瞄准论坛等程序,因为这些程序都有上传功能,他们很容易的就可以上传ASP木马,即使设置了权限,木马也可以控制当前站点的所有文件了。另外,有了木马就然后用木马上传提升工具来获得更高的权限,我们关闭shell组件的目的很大程度上就是为了防止攻击者运行提升工具。 如果论坛管理员关闭了上传功能,则黑客会想办法获得超管密码,比如,如果你用动网论坛并且数据库忘记了改名,人家就可以直接下载你的数据库了,然后距离找到论坛管理员密码就不远了。 作为管理员,我们首先要检查我们的ASP程序,做好必要的设置,防止网站被黑客进入。另外就是防止攻击者使用一个被黑的网站来控制整个服务器,因为如果你的服务器上还为朋友开了站点,你可能无法确定你的朋友会把他上传的论坛做好安全设置。这就用到了前面所说的那一大堆东西,做了那些权限设置和防提升之后,黑客就算是进入了一个站点,也无法破坏这个网站以外的东西。 |
后记也许有安全高手或者破坏高手看了我的文章会嘲笑或者窃喜,但我想我的经验里毕竟还是存在很多正确的地方,有千千万万的比我知道的更少的人像我刚开始完全不懂的时候那样在渴求着这样一篇文章,所以我必须写,我不管别人怎么说我,我也不怕后世会有千千万万的人对我唾骂,我一个人承担下来,我也没有娘子需要交代的…… 因为这其实只是抛砖引玉的做法,从别人的笑声中,我和我的读者们都可以学到更多有用的东西。 |
发表评论
-
网贷系统架构——前端框架的选择
2015-08-14 16:03 619一、网贷系统对前端 ... -
微信公众平台帐号类型
2014-12-14 22:41 592微信公众平台帐号类型 -
WebMail: roundcube的组建
2011-06-18 23:48 2126一、点评: 本人 ... -
Google搜索特色
2011-05-03 23:06 910改善您的搜索体验 您可以通过 Google 轻松 ... -
什么是Openlaszlo
2011-04-19 06:46 823laszlo,读作la`zalo, wikipedia ... -
反爬虫势在必行啊,网站的服务器又宕机了。谁有好的办法啊?
2011-04-17 12:50 1046TCP thxserver:http ... -
Web开发人员应当知道的15个开源项目
2011-04-06 21:19 1052如今,构建网站和开发W ... -
百度互联网创业者俱乐部 搜索引擎优化指南
2011-04-06 19:28 972全部内容在附件中!!! 前 言度互联网创业俱乐部搜索引擎优化 ... -
【经验分享】十招让你设计不恶心的PPT
2011-04-03 08:47 729PPT制造出来的糟 ... -
用google的adplanner看看网站的日访问量
2011-04-03 07:44 831https://www.google.com/adplanne ... -
win2003 服务器设置 完全版
2011-03-27 22:13 990第一步:一、先关闭不需要的端口 我比较小心,先关了端口。只 ... -
百度开放平台中的万年历被提取出来了
2011-03-02 23:17 903http://apps.bdimg.com/ ... -
分享一个飘浪主题下载的网站
2011-02-12 13:04 727http://www.ommoo.com/ Q:装了某款主题 ... -
导出到word
2011-02-09 09:01 1009<html> <head> ... -
二十个你必须知道的SEO概念
2011-02-06 20:48 776如果你拥有一个网站或独立博客,或者你的工作多少和互 ... -
知道怎么查看一个网站用的是什么web服务器吗?
2010-12-21 20:56 2076知道怎么查看一个网站用的是什么web服务器吗? http:/ ... -
开源文档管理系统
2010-12-14 12:55 1078http://dist.logicaldoc.com/dist ... -
国务院办公厅关于2011年部分节假日安排的通知
2010-12-10 18:59 1251国务院办公厅关于2011年部分节假日安排的通知国办发明电〔 ... -
国外免费md5破解网站
2010-11-29 21:25 4037NO.1http://www.md5decrypter.c ... -
JS获取浏览器窗口大小 获取屏幕,浏览器,网页高度宽度
2010-11-29 13:05 910网页可见区域宽:document.body.clientWid ...
相关推荐
《Windows服务器安全设置详解》 在信息技术领域,服务器的安全性是至关重要的,因为任何安全漏洞都可能导致数据泄露、系统瘫痪甚至是经济损失。针对这一需求,"Windows服务器安全设置器"应运而生,它提供了一键式...
现在有很多人都认为微软的东西漏洞太多,,...不会作各种安全设置,所以才会让人有现在网上的NT/2000服务性安全性都很差的感觉,其实NT/2000的服务器如果真的做好了各项安全设置之后,其安全性绝对不会比nix系统差。
### 阿江的WINDOWS服务器安全设置 #### 概述 本文主要针对Windows服务器的安全配置进行探讨,尤其侧重于防止ASP漏洞攻击。由于篇幅所限,关于服务器防黑等其他方面的内容相对较少。 #### 重点知识点 ##### 1. ...
win2003服务器专用安全设置工具,傻瓜化,智能化,再也不必为繁琐的win2003服务器安全设置而烦恼了,特别版,你懂的
Windows服务器安全设置中的提权攻击是一个严重的安全问题,尤其在web环境中,攻击者可能会利用系统漏洞通过web应用获取服务器的控制权。在网络服务中,提权攻击通常涉及到 NETWORK SERVICE 账号,以及系统注册表的...
本系列文章第二十四篇:Windows2003服务器安装及设置教程——MSSQL安全篇一(将MS SQL SERVER运行于普通用户下) 本系列文章第二十五篇:Windows2003服务器安装及设置教程——MSSQL安全篇二(删除MSSQL危险存储过程...
windows server 服务器主机安全加固设置windows server 服务器主机安全加固设置windows server 服务器主机安全加固设置
Windows 服务器安全巡检表 Windows 服务器安全巡检表是保障服务器稳定与安全的关键措施。通过执行安全巡检表中的各项检查,可以全面了解服务器的硬件、软件和网络等方面的安全状况。下面是 Windows 服务器安全巡检...
Web服务器安全设置是一系列涉及操作系统的安装、配置、和维护的措施,旨在保护服务器不受黑客攻击和恶意软件侵害,确保服务器稳定运行和数据安全。下面将详细介绍Web服务器安全设置涉及的关键知识点。 首先,Web...
在进行阿里云Windows服务器的安全设置时,确保服务器的安全性是至关重要的。安全设置包括但不限于配置和管理防火墙策略,这可以帮助阻止未授权的访问,防止数据泄露,以及避免恶意软件和攻击者对服务器的侵害。本次...
青云服务器安全设置器发布于2006年10月,运行于Windows 2000以上平台,是一款用户拥有完全控制权的服务器安全设置工具。目前实现的功能主要是全面设置服务器安全,帮助使用用户一次性全自动搞定服务器繁琐的安全设置...
Windows服务器的安全基线及加固指南详细阐述了针对Windows操作系统从系统信息收集、补丁管理、账号口令、授权、系统安全设置、网络服务、文件系统、日志审核、IP协议安全配置到防病毒检查等多个方面的安全加固措施和...
- **远程管理安全**:远程管理时,应采用加密的管理方式防止鉴别信息在网络传输中被窃取,如通过组策略编辑器调整远程桌面服务的安全设置。 2. **访问控制**: - **账户与权限分配**:需为每个登录用户分配特定...
### Windows Server 2003 Web服务器安全设置详解 #### 一、Windows 2003安全配置要点 **确保所有磁盘分区为NTFS分区:** NTFS(New Technology File System)是一种由Microsoft开发的文件系统,相较于FAT32,它...
某公司的windows2003服务器配置规范,可以做服务器配置的参考。
然而,安全工作并非一劳永逸,定期的系统更新、安全审计和监控也是保持服务器安全的重要环节。此外,根据实际业务需求,可能还需要配置防火墙、启用审核策略、加强密码策略等,以构建更为全面的安全防护体系。