站內搜索  

哈爾濱百姓網首頁 | 操作系統 | 軟件應用 | 平面設計 | 程序開發 | 硬件維護 | 網絡安全
 您的位置: 哈爾濱百姓網 > 電腦網絡 > 網絡安全 > 閱讀文章:IIS安全設置讓Webshell無用武之地
IIS安全設置讓Webshell無用武之地
2009-11-3 11:07:16 哈爾濱百姓網 來源:百度空間 瀏覽 次 【 】【打印】【關閉

用微軟的IIS打造一個WEB服務器是件非常簡單的事情,但是它的安全性實在不敢恭維。攻擊者通過注入、上傳、旁注等技術獲得了某個網站的Webshell,然后進一步滲透提權,直至控制整個服務器。至于如何讓攻擊者無緣Webshell那是代碼部分的問題,我們做為管理員應該如何加固Web服務器,讓攻擊者在獲得了Webshell之后無功而返呢?

一、設置命令權限

默認設置下,webshell中可以調用一些對服務器構成危險的系統命令,因此要對這些命令進行權限限制。

需要限制權限的命令主要有:

cmd.exe net.exe net1.exe ping.exe netstat.exe ftp.exe tftp.exe telnet.exe

對這些命令單獨進行設置,設置為只允許administrators組訪問,這樣既防止攻擊者新建用戶對系統進行修改,也可以防范通過Serv-U的本地提升權限漏洞來運行這些關鍵的程序了。特別提醒的是要刪除cacls.exe這個程序,防止有人通過命令行來修改權限。(圖1)


個人秘笈:在系統目錄下放一個和cmd.exe同名的監控程序,并賦予它eventone運行權限。這樣只要攻擊者在websehll中調用cmd.exe就可以觸發監控程序,記錄并追查攻擊者的蹤跡,讓他偷雞不成反蝕一把米。為我們發現入侵,直至找到攻擊者做準備。

二、設置目錄權限(以windows 2003為例)

設置的原則是讓IIS以最小的權限運行,但也不至于把自己捆住。

1、選取整個硬盤:

system:完全控制

administrator:完全控制

(允許將來自父系的可繼承性權限傳播給對象) (圖2)


2、c:\program files\common files:

everyone:讀取及運行

列出文件目錄

讀取

(允許將來自父系的可繼承性權限傳播給對象)

3、c:\inetpub\wwwroot:

iusr_machinename:讀取及運行

列出文件目錄

讀取

(允許將來自父系的可繼承性權限傳播給對象)

4、c:\windows\system32:

選擇除inetsrv和centsrv以外的所有目錄,

去除“允許將來自父系的可繼承性權限傳播給對象”選框,復制。

5、c:\windows:

選擇除了downloaded program files、help、iis temporary compressed files、

offline web pages、system32、tasks、temp、web以外的所有目錄

去除“允許將來自父系的可繼承性權限傳播給對象”選框,復制。

6、c:\windows:

everyone:讀取及運行

列出文件目錄

讀取

(允許將來自父系的可繼承性權限傳播給對象)

7、c:\windows\temp:(允許訪問數據庫并顯示在asp頁面上)

everyone:修改

(允許將來自父系的可繼承性權限傳播給對象)

三、與組件相關的設置

1、shell.application組件刪除

再來去掉一些ASP WEBSHELL需要使用的一些組件,這些組件其實普通的虛擬主機用戶也是用不上的。

很多防范ASP木馬的文章都提到要刪除FileSystemObject組件,但刪除了這個組件后,很多ASP的程序可能會運行不了,其實只要做好了前面的工作,FileSystemObject組件能操作的,只能是自己目錄下的文件,也就構成不了什么威脅了!

現在看來,還比較有威脅的組件就是Shell.Application和Wscript.Shell這兩個組件了,Shell.Application可以對文件進行一些操作,還可以執行程序,但不能帶參數,而Wscript.Shell可以操作注冊表和執行DOS命令。

2、防范Wscript.Shell組件的方法:

可以通過修改注冊表,將此組件改名。

HKEY_CLASSES_ROOT\WScript.Shell\及HKEY_CLASSES_ROOT\WScript.Shell.1\

改名為其它的名字,如:改為WScript.Shell_ChangeName或WScript.Shell.1_ChangeName自己以后調用的時候使用這個就可以正常調用此組件了 (圖3)



也要將clsid值也改一下

HKEY_CLASSES_ROOT\WScript.Shell\CLSID\項目的值

HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\項目的值

也可以將其刪除,來防止此類木馬的危害。

3、防范Shell.Application組件的方法:

可以通過修改注冊表,將此組件改名。

HKEY_CLASSES_ROOT\Shell.Application\ 及

HKEY_CLASSES_ROOT\Shell.Application.1\

改名為其它的名字,如:改為Shell.Application_ChangeName或Shell.Application.1_ChangeName

自己以后調用的時候使用這個就可以正常調用此組件了。

也要將clsid值也改一下

HKEY_CLASSES_ROOT\Shell.Application\CLSID\項目的值 (圖4)

也可以將其刪除,來防止此類木馬的危害。

四、綜合設置(針對虛擬主機)

說明:FileSystemObject(FS0)這個組件為 ASP 提供了強大的文件系統訪問能力,可以對服務器硬盤上的任何文件進行讀、寫、復制、刪除、改名等操作,但是禁止此組件后,引起的后果就是所有利用這個組件的ASP將無法運行,無法滿足我們的需求。如何既允許FileSystemObject組件,又不影響服務器的安全性呢?

1、目錄權限設置。

在服務器上打開資源管理器,用鼠標右鍵點擊各個硬盤分區或卷的盤符,在彈出菜單中選擇“屬性”,選擇“安全”選項卡,此時就可以看到有哪些帳號可以訪問這個分區(卷)及訪問權限。默認安裝后,出現的是“Everyone”具有完全控制的權限。點“添加”,將“Administrators”、“Backup Operators”、“Power Users”、“Users”等幾個組添加進去,并給予“完全控制”或相應的權限,注意,不要給“Guests”組、“IUSR_機器名”這幾個帳號任何權限。然后將“Everyone”組從列表中刪除,這樣,就只有授權的組和用戶才能訪問此硬盤分區了,而 ASP 執行時,是以“IUSR_機器名”的身份訪問硬盤的,這里沒給該用戶帳號權限,ASP 也就不能讀寫硬盤上的文件了。(圖5)


2、創建客戶賬號

給每個虛擬主機用戶設置一個單獨的用戶帳號,然后再給每個帳號分配一個允許其完全控制的目錄。

第一步:打開“計算機管理”→“本地用戶和組”→“用戶”,在右欄中點擊鼠標右鍵,在彈出的菜單中選擇“新用戶”:在彈出的“新用戶”對話框中根據實際需要輸入“用戶名”、“全名”、“描述”、“密碼”、“確認密碼”,并將“用戶下次登錄時須更改密碼”前的對號去掉,選中“用戶不能更改密碼”和“密碼永不過期”。本例是給第一虛擬主機的用戶建立一個匿名訪問 Internet 信息服務的內置帳號“lw1”,即:所有客戶端使用http://www.xxx.com 訪問此虛擬主機時,都是以這個身份來訪問的。輸入完成后點“創建”即可。可以根據實際需要,創建多個用戶,創建完畢后點“關閉”。(圖6)



第二步:在列表中雙擊該帳號,以便進一步進行設置:在彈出的“lw1”(即剛才創建的新帳號)屬性對話框中點“隸屬于”選項卡:剛建立的帳號默認是屬于“Users”組,選中該組,點“刪除”:現在出現的是如下圖所示,此時再點“添加”:在彈出的“選擇組”對話框中找到“Guests”,點“添加”,此組就會出現在下方的文本框中,然后點“確定”:出現的就是如下圖所示的內容,點“確定”關閉此對話框。(圖7)


3、IIS設置

第一步:打開“Internet 信息服務”,開始對虛擬主機進行設置,本例中的以對“第一虛擬主機”設置為例進行說明,右擊該主機名,在彈出的菜單中選擇“屬性”,彈出一個“第一虛擬主機 屬性”的對話框,從對話框中可以看到該虛擬主機用戶的使用的是“E:\LW1”這個文件夾。(圖8)


第二步:切換到“資源管理器”,找到“E:\LW1”這個文件夾,右擊,選“屬性”→“安全”選項卡,此時可以看到該文件夾的默認安全設置是“Everyone”完全控制(視不同情況顯示的內容不完全一樣),首先將最將下的“允許將來自父系的可繼承權限傳播給該對象”前面的對號去掉:此時會彈出如下圖所示的“安全”警告,點“刪除”。(圖9)


第三步:切換到前面打開的“第一虛擬主機 屬性”的對話框,打開“目錄安全性”選項卡,點匿名訪問和驗證控制的“編輯”在彈出的“驗證方法”對方框,點“編輯”彈出了“匿名用戶帳號”,默認的就是“IUSR_機器名”,點“瀏覽”在“選擇 用戶”對話框中找到前面創建的新帳號“lw1”,雙擊此時匿名用戶名就改過來了,在密碼框中輸入前面創建時,為該帳號設置的密碼,再確定一遍密碼。OK,完成了,點確定關閉這些對話框。 (圖10)


提示:如果該用戶需要讀取硬盤的分區容量及硬盤的序列號,那這樣的設置將使其無法讀取。如果要允許其讀取這些和整個分區有關的內容,請右鍵點擊該硬盤的分區(卷),選擇“屬性”→“安全”,將這個用戶的帳號添加到列表中,并至少給予“讀取”權限。由于該卷下的子目錄都已經設置為“禁止將來自父系的可繼承權限傳播給該對象”,所以不會影響下面的子目錄的權限設置。

小結:經此設置后,“第一虛擬主機”的用戶,使用ASP的 FileSystemObject 組件也只能訪問自己的目錄:E:\LW1下的內容,當試圖訪問其他內容時,會出現諸如“沒有權限”、“硬盤未準備好”、“500 服務器內部錯誤”等出錯提示了。(圖11)

文章來源:http://hi.baidu.com/ittd/blog/item/c7208102eca029054bfb518e.html

[責任編輯:佚名]
 相關文章
·Web服務器如何避免CC攻擊 (2011-3-18 13:07:03)
·局域網遭ARP攻擊網絡掉線批處理 (2010-3-2 13:34:37)
·保障遠程桌面Web連接安全四項注意 (2010-1-25 10:28:12)
·教你六招處理服務器數據意外丟失 (2010-1-25 10:26:07)
·SQL Server 2000 安全模 (2009-9-21 14:47:07)
·資深網管教你打造SSL加密的安全站點 (2009-8-4 12:21:34)
·利用麥咖啡打造超安全的Web站點目錄 (2009-6-23 10:05:18)
·讓你的電腦在局域網中輕松隱身 (2009-4-27 11:29:38)
·安全防護策略-打造堡壘主機 (2009-4-17 9:06:45)
·SA弱口令帶來的安全隱患 (2009-4-15 16:55:38)
·Microsoft SQL Server SA (2009-4-15 16:53:11)
·ISA Server 2006常用功能疑難 (2009-4-15 16:45:32)
·ISA Server 2006高級應用指南 (2009-4-15 16:38:42)
·十招妙招 確保WindowsXP系統安全 (2009-4-15 16:25:26)
·Windows 2003服務器安全配置終極技 (2009-4-15 16:18:12)
·Windows 2003 server變態磁盤 (2009-4-15 16:08:43)
·Windows下PHP+MySQL+IIS安全平臺III  (2009-4-15 15:49:42)
·Windows XP中鮮為人知的熱鍵漏洞 (2009-4-15 15:42:55)
·利用xp網絡身份驗證功能 讓遠程連接 (2009-4-15 15:41:22)
·終級Win2003服務器安全配置篇 (2009-4-15 15:38:50)
 熱門文章 哈爾濱電腦
·SQL Server到底需要使用哪些端口?
·安全防護策略-打造堡壘主機
·把重要的Word 2003文檔放到菜單中
·資深網管教你打造SSL加密的安全站點
·您試圖在此 Web 服務器上訪問的 
·還有2天發布 Windows7必備77條小知識
·Photoshop制作火焰的神龍
·Win2003架設多用戶隔離Ftp服務器
·XP系統服務恢復批處理
·Asp偽靜態的實現及URL重寫-用ISAPI_Rewrite實現
·情侶玩兒法:用虛擬硬盤打造堅不可摧的影子系統
 推薦文章 哈爾濱電腦
·精簡節約!小公司辦公打印省錢全攻略
·CSS布局方法的十八般技巧和兼容方案
·三種方法 教你解決輸入法不顯示的問題
·當紅情侶QQ表情:茉莉和龍井
·Win 7出現休眠Bug 微軟提供解決方案
·將Powerpoint文檔轉換為Word文檔
·非常實用來學習連續供墨系統入門知識
·怕吃虧?怕假的?鑒別真假耗材的小竅門
·情侶玩兒法:用虛擬硬盤打造堅不可摧的影子系統
·開始—運行(cmd)命令大全
·您試圖在此 Web 服務器上訪問的 
 最新文章 哈爾濱電腦
·Web服務器如何避免CC攻擊
·SQL Server到底需要使用哪些端口?
·XP系統服務恢復批處理
·局域網遭ARP攻擊網絡掉線批處理
·CISCO 2811 路由器配置命令全集
·避免“悲劇” 打印機使用技巧全面攻略
·保障遠程桌面Web連接安全四項注意
·教你六招處理服務器數據意外丟失
·挑選相紙有學問 教你如何辨別相紙優劣
·精簡節約!小公司辦公打印省錢全攻略
·CSS布局方法的十八般技巧和兼容方案
ag环亚平台app- ag环亚旗舰厅客户端下载