隨著信息化的不斷的發(fā)展����, 我們的網(wǎng)絡(luò)安全就需要進行特別的關(guān)注�,如果不加強防范����,很容易因為外部的入侵,而帶來不必要的麻煩����,那如何避免虛擬主機掛馬?這也成為很多人在考慮的問題��。
由于網(wǎng)絡(luò)的搭建和使用的過程當中�,會出現(xiàn)很多的漏洞,有注入漏洞�����、上傳漏洞���、弱口令漏洞等問題隨處可見���。跨站攻擊�,遠程控制等等是再老套不過了的話題����。有些虛擬主機管理員為了方便將所有的網(wǎng)站都放在同一個目錄中��,將上級目錄設(shè)置為站點根目錄�。
一、建立Windows用戶
為每個網(wǎng)站單獨設(shè)置windows用戶帳號cert�����,刪除帳號的User組���,將cert加入Guest用戶組����。將用戶不能更改密碼����,密碼永不過期兩個選項選上���。
二���、設(shè)置文件夾權(quán)限
設(shè)置站點根目錄權(quán)限:將剛剛建立的用戶cert給對應(yīng)站點文件夾���,假設(shè)為D:cert設(shè)置相應(yīng)的權(quán)限:Adiministrators組為完全控制;cert有讀取及運行�、列出文件夾目錄、讀取����,取消其它所有權(quán)限。
設(shè)置可更新文件權(quán)限:經(jīng)過第1步站點根目錄文件夾權(quán)限的設(shè)置后���,Guest用戶已經(jīng)沒有修改站點文件夾中任何內(nèi)容的權(quán)限了�����。這顯然對于一個有更新的站點是不夠的��。這時就需要對單獨的需更新的文件進行權(quán)限設(shè)置�。當然這個可能對虛擬主機提供商來說有些不方便�。客戶的站點的需更新的文件內(nèi)容之類的可能都不一樣���。
設(shè)定虛擬主機目錄類型:可以規(guī)定某個文件夾可寫���、可改���。如有些虛擬主機提供商就規(guī)定,站點根目錄中uploads為web可上傳文件夾�,data或者database為數(shù)據(jù)庫文件夾。這樣虛擬主機服務(wù)商就可以為客戶定制這兩個文件夾的權(quán)限�����。
三�、配置IIS
基本的配置應(yīng)該大家都會,這里就提幾個特殊之處或需要注意的地方�����。
1��、主目錄權(quán)限設(shè)置:這里可以設(shè)置讀取就行了����。寫入、目錄瀏覽等都可以不要���,最關(guān)鍵的就是目錄瀏覽了。除非特殊情況��,否則應(yīng)該關(guān)閉,不然將會暴露很多重要的信息��。這將為黑客入侵帶來方便���。其余保留默認就可以了�����。
2�、應(yīng)用程序配置:在站點屬性中���,主目錄這一項中還有一個配置選項���,點擊進入�。在應(yīng)用程序映射選項中可以看到�,默認有許多應(yīng)用程序映射����。將需要的保留��,不需要的全部都刪除��。另外添加一個應(yīng)用程序擴展名映射�,可執(zhí)行文件可以任意選擇,后綴名為.mdb�。這是為了防止后綴名為mdb的用戶數(shù)據(jù)庫被下載。
3��、目錄安全性設(shè)置:在站點屬性中選擇目錄安全性��,點擊匿名訪問和驗證控制����,選擇允許匿名訪問,點擊編輯��。刪除默認用戶�����,瀏覽選擇對應(yīng)于前面為cert網(wǎng)站設(shè)定的用戶����,并輸入密碼?����?梢赃x中允許IIS控制密碼。這樣設(shè)定的目的是為了防止一些像站長助手�����、海洋等木馬的跨目錄跨站點瀏覽����,可以有效阻止這類的跨目錄跨站入侵�。
4、可寫目錄執(zhí)行權(quán)限設(shè)置:關(guān)閉所有可寫目錄的執(zhí)行權(quán)限���。由于程序方面的漏洞�����,目前非常流行上傳一些網(wǎng)頁木馬����,絕大部分都是用web進行上傳的��。由于不可寫的目錄木馬不能進行上傳�,如果關(guān)閉了可寫目錄的執(zhí)行權(quán)限,那么上傳的木馬將不能正常運行��。可以有效防止這類形式web入侵�。
5、處理運行錯誤:這里有兩種方法�����,一是關(guān)閉錯誤回顯����。IIS屬性――主目錄――配置――應(yīng)用程序調(diào)試――腳本錯誤消息,選擇發(fā)送文本錯誤信息給客戶���。二是定制錯誤頁面�����。在IIS屬性――自定義錯誤信息���,在http錯誤信息中雙擊需要定制的錯誤頁面,將彈出錯誤映射屬性設(shè)置框��。消息類型有默認值�、URL和文件三種,可以根據(jù)情況自行定制��。這樣一方面可以隱藏一些錯誤信息,另外一方面也可以使錯誤顯示更加友好�。
四、配置FTP
Ftp是絕大部分虛擬主機提供商必備的一項服務(wù)�����。用戶的站內(nèi)文件大部分都是使用ftp進行上傳的���。目前使用的最多的ftp服務(wù)器非Serv-U莫屬了。這里有幾點需要說明一下�����。
1���、管理員密碼必須更改
如果入侵愛好者們肯定對Serv-U提權(quán)再熟悉莫過了����。這些提權(quán)工具使用的就是Serv-U默認的管理員的帳號和密碼運行的�。因為Serv-U管理員是以超級管理員的身份運行的。如果沒有更改管理員密碼�,這些工具使用起來就再好用不過了。如果更改了密碼��,那這些工具要想正常運行,那就沒那么簡單嘍���。得先破解管理員密碼才行�����。
2����、更改安裝目錄權(quán)限
Serv-U的默認安裝目錄都是everyone可以瀏覽甚至可以修改的��。安裝的時候如果選擇將用戶信息存儲在ini文件中�����,則可以在ServUDaemon.ini得到用戶的所有信息�����。如果Guests有修改權(quán)限����,那么入侵時候就可以順利建立具有超級權(quán)限的用戶。所以在安裝好Serv-U之后����,得修改相應(yīng)的文件夾權(quán)限���,可以取消Guests用戶的相應(yīng)權(quán)限。
五���、命令行相關(guān)操作處理
1���、禁止guests用戶執(zhí)行com.exe:
我們可以通過以下命令取消guests執(zhí)行com.exe的權(quán)限cacls C:WINNTsystem32Cmd.exe /e /d guests���。
2���、禁用Wscript.Shell組件:
Wscript.Shell可以調(diào)用系統(tǒng)內(nèi)核運行DOS基本命令?���?梢酝ㄟ^修改注冊表,將此組件改名���,來防止此類木馬的危害��。HKEY_CLASSES_ROOTWscript.Shell 及HKEY_CLASSES_ROOTWscript.Shell.1改名為其它的名字��。將兩項clsid的值也改一下HKEY_CLASSES_ROOTWscript.ShellCLSID項目的值和HKEY_CLASSES_ROOTWscript.Shell.1CLSID項目的值�,也可以將其刪除。
3����、禁用Shell.Application組件
Shell.Application也可以調(diào)用系統(tǒng)內(nèi)核運行DOS基本命令?��?梢酝ㄟ^修改注冊表��,將此組件改名����,來防止此類木馬的危害���。HKEY_CLASSES_ROOTShell.Application 及HKEY_CLASSES_ROOT
Shell.Application.1 改名為其它的名字�。將HKEY_CLASSES_ROOTShell.ApplicationCLSID項目的值HKEY_CLASSES_ROOTShell.ApplicationCLSID項目的值更改或刪除�。同時,禁止Guest用戶使用shell32.dll來防止調(diào)用此組件�����。使用命令:cacls C:WINNTsystem32shell32.dll /e /d guests
4�、FileSystemObject組件
FileSystemObject可以對文件進行常規(guī)操作可以通過修改注冊表�,將此組件改名����,來防止此類木馬的危害。對應(yīng)注冊表項為HKEY_CLASSES_ROOTscripting.FileSystemObject����。可以禁止guests用戶使用或直接將其刪除����。考慮到很多的上傳都會使用到這個組件�����,為了方便�,這里不建議更改或刪除����。
5、禁止telnet登陸
在C:WINNTsystem32目錄下有個login.cmd文件�,將其用記事本打開,在文件末尾另取一行����,加入exit保存��。這樣用戶在登陸telnet時�,便會立即自動退出�����。注:以上修改注冊表操作均需要重新啟動WEB服務(wù)后才會生效��。
六��、端口設(shè)置
端口窗體底端就是門��,這個比喻非常形象�。如果我們服務(wù)器的所有端口都開放的話,那就意味著黑客有好多門可以進行入侵���。所以我個人覺得�,關(guān)閉未使用的端口是一件重要的事情�����。在控制面板-網(wǎng)絡(luò)與撥號連接--本地連接-屬性-Internet協(xié)議(TCP/IP)屬性,點擊高級���,進入高級TCP/IP設(shè)置�����,選擇選項�,在可選的設(shè)置中選擇TCP/IP篩選��,啟用TCP/IP篩選�。添加需要的端口,如21���、80等����,關(guān)閉其余的所有未使用的端口��。
七��、關(guān)閉文件共享
系統(tǒng)默認是啟用了文件共享功能的���。我們應(yīng)給予取消。在控制面板-網(wǎng)絡(luò)和撥號連接-本地連接-屬性,在常規(guī)選項種��,取消Microsoft 網(wǎng)絡(luò)文件和打印共享�。服務(wù)最少原則是保障安全的一項重要原則。非必要的服務(wù)應(yīng)該給予關(guān)閉��。系統(tǒng)服務(wù)可以在控制面板-管理工具-服務(wù)中進行設(shè)定�。
八、關(guān)閉非必要服務(wù)
類似telnet服務(wù)�����、遠程注冊表操作等服務(wù)應(yīng)給予禁用����。同時盡可能安裝最少的軟件。這可以避免一些由軟件漏洞帶來的安全問題�����。有些網(wǎng)管在服務(wù)器上安裝QQ��,利用服務(wù)器掛QQ��,這種做法是極度錯誤的�����。
九、及時更新漏洞補丁
更新漏洞補丁對于一個網(wǎng)絡(luò)管理員來說是非常重要的��。更新補丁����,可以進一步保證系統(tǒng)的安全。億恩科技虛擬中強大的控制面板管理系統(tǒng)���,可直接進行域名綁定�����、網(wǎng)站開啟關(guān)閉��、設(shè)置默認首頁�����、修改FTP密碼�,在線壓縮/解壓等的操作���,讓您操作虛擬主機更簡單、更便捷、更安全�����。
服務(wù)器的安全對于我們來說是很重要的���,也需要進行一些漏洞的預(yù)防��,在平時做好一定的防范工作��,及時對漏洞進行修補���。
咨詢熱線:
400-996-8756
產(chǎn)品詳情頁
0371-89913000
