隨著信息化的不斷的發(fā)展����, 我們的網(wǎng)絡(luò)安全就需要進(jìn)行特別的關(guān)注,如果不加強(qiáng)防范����,很容易因?yàn)橥獠康娜肭郑鴰聿槐匾穆闊?,那如何避免虛擬主機(jī)掛馬?這也成為很多人在考慮的問題��。
由于網(wǎng)絡(luò)的搭建和使用的過程當(dāng)中���,會(huì)出現(xiàn)很多的漏洞�����,有注入漏洞���、上傳漏洞、弱口令漏洞等問題隨處可見�。跨站攻擊���,遠(yuǎn)程控制等等是再老套不過了的話題�。有些虛擬主機(jī)管理員為了方便將所有的網(wǎng)站都放在同一個(gè)目錄中���,將上級(jí)目錄設(shè)置為站點(diǎn)根目錄�。
一��、建立Windows用戶
為每個(gè)網(wǎng)站單獨(dú)設(shè)置windows用戶帳號(hào)cert�����,刪除帳號(hào)的User組����,將cert加入Guest用戶組�����。將用戶不能更改密碼��,密碼永不過期兩個(gè)選項(xiàng)選上���。
二、設(shè)置文件夾權(quán)限
設(shè)置站點(diǎn)根目錄權(quán)限:將剛剛建立的用戶cert給對(duì)應(yīng)站點(diǎn)文件夾�,假設(shè)為D:cert設(shè)置相應(yīng)的權(quán)限:Adiministrators組為完全控制;cert有讀取及運(yùn)行��、列出文件夾目錄�、讀取�����,取消其它所有權(quán)限�����。
設(shè)置可更新文件權(quán)限:經(jīng)過第1步站點(diǎn)根目錄文件夾權(quán)限的設(shè)置后�,Guest用戶已經(jīng)沒有修改站點(diǎn)文件夾中任何內(nèi)容的權(quán)限了��。這顯然對(duì)于一個(gè)有更新的站點(diǎn)是不夠的�����。這時(shí)就需要對(duì)單獨(dú)的需更新的文件進(jìn)行權(quán)限設(shè)置�。當(dāng)然這個(gè)可能對(duì)虛擬主機(jī)提供商來說有些不方便�。客戶的站點(diǎn)的需更新的文件內(nèi)容之類的可能都不一樣�。
設(shè)定虛擬主機(jī)目錄類型:可以規(guī)定某個(gè)文件夾可寫����、可改。如有些虛擬主機(jī)提供商就規(guī)定��,站點(diǎn)根目錄中uploads為web可上傳文件夾�����,data或者database為數(shù)據(jù)庫文件夾�。這樣虛擬主機(jī)服務(wù)商就可以為客戶定制這兩個(gè)文件夾的權(quán)限。
三���、配置IIS
基本的配置應(yīng)該大家都會(huì)�����,這里就提幾個(gè)特殊之處或需要注意的地方���。
1�、主目錄權(quán)限設(shè)置:這里可以設(shè)置讀取就行了���。寫入���、目錄瀏覽等都可以不要,最關(guān)鍵的就是目錄瀏覽了���。除非特殊情況���,否則應(yīng)該關(guān)閉,不然將會(huì)暴露很多重要的信息�����。這將為黑客入侵帶來方便�。其余保留默認(rèn)就可以了。
2��、應(yīng)用程序配置:在站點(diǎn)屬性中,主目錄這一項(xiàng)中還有一個(gè)配置選項(xiàng)�,點(diǎn)擊進(jìn)入。在應(yīng)用程序映射選項(xiàng)中可以看到���,默認(rèn)有許多應(yīng)用程序映射���。將需要的保留,不需要的全部都刪除���。另外添加一個(gè)應(yīng)用程序擴(kuò)展名映射���,可執(zhí)行文件可以任意選擇�,后綴名為.mdb。這是為了防止后綴名為mdb的用戶數(shù)據(jù)庫被下載����。
3、目錄安全性設(shè)置:在站點(diǎn)屬性中選擇目錄安全性��,點(diǎn)擊匿名訪問和驗(yàn)證控制�����,選擇允許匿名訪問,點(diǎn)擊編輯����。刪除默認(rèn)用戶,瀏覽選擇對(duì)應(yīng)于前面為cert網(wǎng)站設(shè)定的用戶����,并輸入密碼?����?梢赃x中允許IIS控制密碼�。這樣設(shè)定的目的是為了防止一些像站長助手、海洋等木馬的跨目錄跨站點(diǎn)瀏覽����,可以有效阻止這類的跨目錄跨站入侵。
4����、可寫目錄執(zhí)行權(quán)限設(shè)置:關(guān)閉所有可寫目錄的執(zhí)行權(quán)限。由于程序方面的漏洞�����,目前非常流行上傳一些網(wǎng)頁木馬,絕大部分都是用web進(jìn)行上傳的���。由于不可寫的目錄木馬不能進(jìn)行上傳��,如果關(guān)閉了可寫目錄的執(zhí)行權(quán)限����,那么上傳的木馬將不能正常運(yùn)行��?����?梢杂行Х乐惯@類形式web入侵�����。
5、處理運(yùn)行錯(cuò)誤:這里有兩種方法�����,一是關(guān)閉錯(cuò)誤回顯���。IIS屬性――主目錄――配置――應(yīng)用程序調(diào)試――腳本錯(cuò)誤消息��,選擇發(fā)送文本錯(cuò)誤信息給客戶�。二是定制錯(cuò)誤頁面。在IIS屬性――自定義錯(cuò)誤信息��,在http錯(cuò)誤信息中雙擊需要定制的錯(cuò)誤頁面�,將彈出錯(cuò)誤映射屬性設(shè)置框。消息類型有默認(rèn)值���、URL和文件三種����,可以根據(jù)情況自行定制���。這樣一方面可以隱藏一些錯(cuò)誤信息�,另外一方面也可以使錯(cuò)誤顯示更加友好����。
四、配置FTP
Ftp是絕大部分虛擬主機(jī)提供商必備的一項(xiàng)服務(wù)��。用戶的站內(nèi)文件大部分都是使用ftp進(jìn)行上傳的��。目前使用的最多的ftp服務(wù)器非Serv-U莫屬了。這里有幾點(diǎn)需要說明一下����。
1、管理員密碼必須更改
如果入侵愛好者們肯定對(duì)Serv-U提權(quán)再熟悉莫過了��。這些提權(quán)工具使用的就是Serv-U默認(rèn)的管理員的帳號(hào)和密碼運(yùn)行的��。因?yàn)镾erv-U管理員是以超級(jí)管理員的身份運(yùn)行的����。如果沒有更改管理員密碼,這些工具使用起來就再好用不過了���。如果更改了密碼���,那這些工具要想正常運(yùn)行,那就沒那么簡單嘍��。得先破解管理員密碼才行�����。
2����、更改安裝目錄權(quán)限
Serv-U的默認(rèn)安裝目錄都是everyone可以瀏覽甚至可以修改的。安裝的時(shí)候如果選擇將用戶信息存儲(chǔ)在ini文件中�,則可以在ServUDaemon.ini得到用戶的所有信息。如果Guests有修改權(quán)限�����,那么入侵時(shí)候就可以順利建立具有超級(jí)權(quán)限的用戶���。所以在安裝好Serv-U之后����,得修改相應(yīng)的文件夾權(quán)限��,可以取消Guests用戶的相應(yīng)權(quán)限�。
五、命令行相關(guān)操作處理
1�����、禁止guests用戶執(zhí)行com.exe:
我們可以通過以下命令取消guests執(zhí)行com.exe的權(quán)限cacls C:WINNTsystem32Cmd.exe /e /d guests�。
2、禁用Wscript.Shell組件:
Wscript.Shell可以調(diào)用系統(tǒng)內(nèi)核運(yùn)行DOS基本命令?����?梢酝ㄟ^修改注冊表�,將此組件改名,來防止此類木馬的危害�����。HKEY_CLASSES_ROOTWscript.Shell 及HKEY_CLASSES_ROOTWscript.Shell.1改名為其它的名字����。將兩項(xiàng)clsid的值也改一下HKEY_CLASSES_ROOTWscript.ShellCLSID項(xiàng)目的值和HKEY_CLASSES_ROOTWscript.Shell.1CLSID項(xiàng)目的值,也可以將其刪除����。
3、禁用Shell.Application組件
Shell.Application也可以調(diào)用系統(tǒng)內(nèi)核運(yùn)行DOS基本命令�����?�?梢酝ㄟ^修改注冊表����,將此組件改名,來防止此類木馬的危害�����。HKEY_CLASSES_ROOTShell.Application 及HKEY_CLASSES_ROOT
Shell.Application.1 改名為其它的名字����。將HKEY_CLASSES_ROOTShell.ApplicationCLSID項(xiàng)目的值HKEY_CLASSES_ROOTShell.ApplicationCLSID項(xiàng)目的值更改或刪除。同時(shí)�,禁止Guest用戶使用shell32.dll來防止調(diào)用此組件。使用命令:cacls C:WINNTsystem32shell32.dll /e /d guests
4���、FileSystemObject組件
FileSystemObject可以對(duì)文件進(jìn)行常規(guī)操作可以通過修改注冊表���,將此組件改名,來防止此類木馬的危害�。對(duì)應(yīng)注冊表項(xiàng)為HKEY_CLASSES_ROOTscripting.FileSystemObject??梢越筭uests用戶使用或直接將其刪除?���?紤]到很多的上傳都會(huì)使用到這個(gè)組件���,為了方便,這里不建議更改或刪除����。
5、禁止telnet登陸
在C:WINNTsystem32目錄下有個(gè)login.cmd文件���,將其用記事本打開�,在文件末尾另取一行���,加入exit保存��。這樣用戶在登陸telnet時(shí)�,便會(huì)立即自動(dòng)退出�。注:以上修改注冊表操作均需要重新啟動(dòng)WEB服務(wù)后才會(huì)生效。
六��、端口設(shè)置
端口窗體底端就是門�,這個(gè)比喻非常形象。如果我們服務(wù)器的所有端口都開放的話���,那就意味著黑客有好多門可以進(jìn)行入侵�。所以我個(gè)人覺得,關(guān)閉未使用的端口是一件重要的事情�。在控制面板-網(wǎng)絡(luò)與撥號(hào)連接--本地連接-屬性-Internet協(xié)議(TCP/IP)屬性,點(diǎn)擊高級(jí)��,進(jìn)入高級(jí)TCP/IP設(shè)置���,選擇選項(xiàng),在可選的設(shè)置中選擇TCP/IP篩選���,啟用TCP/IP篩選���。添加需要的端口,如21����、80等,關(guān)閉其余的所有未使用的端口�����。
七��、關(guān)閉文件共享
系統(tǒng)默認(rèn)是啟用了文件共享功能的���。我們應(yīng)給予取消���。在控制面板-網(wǎng)絡(luò)和撥號(hào)連接-本地連接-屬性�����,在常規(guī)選項(xiàng)種�,取消Microsoft 網(wǎng)絡(luò)文件和打印共享��。服務(wù)最少原則是保障安全的一項(xiàng)重要原則�。非必要的服務(wù)應(yīng)該給予關(guān)閉。系統(tǒng)服務(wù)可以在控制面板-管理工具-服務(wù)中進(jìn)行設(shè)定�����。
八����、關(guān)閉非必要服務(wù)
類似telnet服務(wù)、遠(yuǎn)程注冊表操作等服務(wù)應(yīng)給予禁用��。同時(shí)盡可能安裝最少的軟件���。這可以避免一些由軟件漏洞帶來的安全問題�。有些網(wǎng)管在服務(wù)器上安裝QQ,利用服務(wù)器掛QQ����,這種做法是極度錯(cuò)誤的。
九��、及時(shí)更新漏洞補(bǔ)丁
更新漏洞補(bǔ)丁對(duì)于一個(gè)網(wǎng)絡(luò)管理員來說是非常重要的�����。更新補(bǔ)丁����,可以進(jìn)一步保證系統(tǒng)的安全�。億恩科技虛擬中強(qiáng)大的控制面板管理系統(tǒng),可直接進(jìn)行域名綁定��、網(wǎng)站開啟關(guān)閉�����、設(shè)置默認(rèn)首頁��、修改FTP密碼���,在線壓縮/解壓等的操作�����,讓您操作虛擬主機(jī)更簡單����、更便捷、更安全��。
服務(wù)器的安全對(duì)于我們來說是很重要的�����,也需要進(jìn)行一些漏洞的預(yù)防�,在平時(shí)做好一定的防范工作,及時(shí)對(duì)漏洞進(jìn)行修補(bǔ)����。
咨詢熱線:
400-996-8756
產(chǎn)品詳情頁
產(chǎn)品詳情頁.jpg)
