日韩av爽爽爽久久久久久,嫩草av久久伊人妇女超级a,久久精品a亚洲国产v高清不卡,久久成人国产精品一区二区

• 指間主站
• 空間域名
• 企業(yè)郵局
• 在線商城
• 幫助中心
• 支付方式
• 收藏本站

• 域名注冊(cè)
• 網(wǎng)站建設(shè)
• 虛擬主機(jī)
• 企業(yè)郵局
• 智能建站
• 平面設(shè)計(jì)
• 多媒體制作
• 改版維護(hù)
• 網(wǎng)站推廣
• 程序開(kāi)發(fā)
• 電腦維修

• ·聯(lián)系電話:+86.023-75585550
• ·聯(lián)系傳真:+86.023-75585550
• ·24小時(shí)手機(jī):13896886023
• ·QQ 咨 詢：361652718 513960520

下面我用的例子，將是一臺(tái)標(biāo)準(zhǔn)的虛擬主機(jī)。

系統(tǒng)：Windows2003

服務(wù)：[IIS] [SERV-U] [IMAIL] [SQL SERVER 2000] [PHP] [MYSQL]

描述：為了演示，綁定了最多的服務(wù)，大家可以根據(jù)實(shí)際情況做篩減

1. WINDOWS本地安全策略 端口限制

A. 對(duì)于我們的例子來(lái)說(shuō)，需要開(kāi)通以下端口

外->本地 80

外->本地 20

外->本地 21

外->本地 PASV所用到的一些端口

外->本地 25

外->本地 110

外->本地 3389

然后按照具體情況，打開(kāi)SQL SERVER和MYSQL的端口

外->本地 1433

外->本地 3306

B. 接著是開(kāi)放從內(nèi)部往外需要開(kāi)放的端口

按照實(shí)際情況，如果無(wú)需郵件服務(wù)，則不要打開(kāi)以下兩條規(guī)則

本地->外 53 TCP，UDP

本地->外 25

按照具體情況，如果無(wú)需在服務(wù)器上訪問(wèn)網(wǎng)頁(yè)，盡量不要開(kāi)以下端口

本地->外 80

C. 除了明確允許的一律阻止，這個(gè)是安全規(guī)則的關(guān)鍵

外->本地 所有協(xié)議 阻止

2. 用戶帳號(hào)

A. 將administrator改名，例子中改為root

B. 取消所有除管理員root外所有用戶屬性中的

遠(yuǎn)程控制->啟用遠(yuǎn)程控制 以及

終端服務(wù)配置文件->允許登陸到終端服務(wù)器

C. 將guest改名為administrator并且修改密碼

D. 除了管理員root、IUSER以及IWAM以及ASPNET用戶外，禁用其他一切用戶，包括SQL DEBUG以及TERMINAL USER等等

3. 目錄權(quán)限

將所有盤(pán)符的權(quán)限，全部改為只有

administrators組 全部權(quán)限

ystem 全部權(quán)限

將C盤(pán)的所有子目錄和子文件繼承C盤(pán)的administrator(組或用戶)和SYSTEM所有權(quán)限的兩個(gè)權(quán)限

然后做如下修改

C:\Program Files\Common Files 開(kāi)放Everyone默認(rèn)的讀取及運(yùn)行 列出文件目錄 讀取三個(gè)權(quán)限

C:\WINDOWS\ 開(kāi)放Everyone默認(rèn)的讀取及運(yùn)行 列出文件目錄 讀取三個(gè)權(quán)限

C:\WINDOWS\Temp 開(kāi)放Everyone 修改、讀取及運(yùn)行、列出文件目錄、讀取、寫(xiě)入權(quán)限

現(xiàn)在WebShell就無(wú)法在系統(tǒng)目錄內(nèi)寫(xiě)入文件了。當(dāng)然也可以使用更嚴(yán)格的權(quán)限，在WINDOWS下分別目錄設(shè)置權(quán)限�？墒潜容^復(fù)雜，效果也并不明顯。

4. IIS

在IIS 6下，應(yīng)用程序擴(kuò)展內(nèi)的文件類型對(duì)應(yīng)ISAPI的類型已經(jīng)去掉了IDQ、PRINT等等危險(xiǎn)的腳本類型，

在IIS 5下我們需要把除了ASP以及ASA以外所有類型刪除。

安裝URLSCAN

在[DenyExtensions]中一般加入以下內(nèi)容 .cer

.cdx

.mdb

.bat

.cmd

.com

.htw

.ida

.idq

.htr

.idc

.shtm

.shtml

.stm

.printer

這樣入侵者就無(wú)法下載.mdb數(shù)據(jù)庫(kù)，這種方法比外面一些在文件頭加入特殊字符的方法更加徹底。

因?yàn)榧幢阄募�頭加入特殊字符，還是可以通過(guò)編碼構(gòu)造出來(lái)的

5. WEB目錄權(quán)限

作為虛擬主機(jī)，會(huì)有許多獨(dú)立客戶。比較保險(xiǎn)的做法就是為每個(gè)客戶建立一個(gè)Windows用戶，然后在IIS的響應(yīng)的站點(diǎn)項(xiàng)內(nèi)把IIS執(zhí)行的匿名用戶，綁定成這個(gè)用戶并且把他指向的目錄，權(quán)限變更為administrators 全部權(quán)限

system 全部權(quán)限

單獨(dú)建立的用戶(或者IUSER) 選擇高級(jí)->打開(kāi)除 完全控制、遍歷文件夾/運(yùn)行程序、取得所有權(quán) 3個(gè)外的其他權(quán)限

如果服務(wù)器上站點(diǎn)不多，并且有論壇，我們可以把每個(gè)論壇的上傳目錄去掉此用戶的執(zhí)行權(quán)限，只有讀寫(xiě)權(quán)限這樣入侵者即便繞過(guò)論壇文件類型檢測(cè)上傳了webshell也是無(wú)法運(yùn)行的。

6. MS SQL SERVER2000

使用系統(tǒng)帳戶登陸查詢分析器運(yùn)行以下腳本 use master

exec sp_dropextendedproc 'xp_cmdshell'

exec sp_dropextendedproc 'xp_dirtree'

exec sp_dropextendedproc 'xp_enumgroups'

exec sp_dropextendedproc 'xp_fixeddrives'

exec sp_dropextendedproc 'xp_loginconfig'

exec sp_dropextendedproc 'xp_enumerrorlogs'

exec sp_dropextendedproc 'xp_getfiledetails'

exec sp_dropextendedproc 'Sp_OACreate'

exec sp_dropextendedproc 'Sp_OADestroy'

exec sp_dropextendedproc 'Sp_OAGetErrorInfo'

exec sp_dropextendedproc 'Sp_OAGetProperty'

exec sp_dropextendedproc 'Sp_OAMethod'

exec sp_dropextendedproc 'Sp_OASetProperty'

exec sp_dropextendedproc 'Sp_OAStop'

exec sp_dropextendedproc 'Xp_regaddmultistring'

exec sp_dropextendedproc 'Xp_regdeletekey'

exec sp_dropextendedproc 'Xp_regdeletevalue'

exec sp_dropextendedproc 'Xp_regenumvalues'

exec sp_dropextendedproc 'Xp_regread'

exec sp_dropextendedproc 'Xp_regremovemultistring'

exec sp_dropextendedproc 'Xp_regwrite'

drop procedure sp_makewebtask

go 刪除所有危險(xiǎn)的擴(kuò)展 7. 修改CMD.EXE以及NET.EXE權(quán)限

將兩個(gè)文件的權(quán)限修改到特定管理員才能訪問(wèn)，比如本例中，我們?nèi)缦滦薷?/P>

cmd.exe root用戶 所有權(quán)限

et.exe root用戶 所有權(quán)現(xiàn)

這樣就能防止非法訪問(wèn)

還可以使用例子中提供的comlog程序?qū)�com.exe改名_com.exe，然后替換com文件，這樣可以記錄所有執(zhí)行的命令行指令

8. 備份

使用ntbackup軟件備份系統(tǒng)狀態(tài)，使用reg.exe 備份系統(tǒng)關(guān)鍵數(shù)據(jù)，如reg export

LM\SOFTWARE\ODBC e:\backup\system\odbc.reg /y

來(lái)備份系統(tǒng)的ODBC

9. 殺毒

這里介紹MCAFEE 8i 中文企業(yè)版，因?yàn)檫@個(gè)版本對(duì)于國(guó)內(nèi)的許多惡意代碼和木馬都能夠及時(shí)的更新。

比如已經(jīng)能夠檢測(cè)到海陽(yáng)頂端2006，而且能夠殺除IMAIL等SMTP軟件使用的隊(duì)列中MIME編碼的病毒文件，而很多人喜歡安裝諾頓企業(yè)版，而諾頓企業(yè)版，對(duì)于WEBSHELL，基本都是沒(méi)有反應(yīng)的。而且無(wú)法對(duì)于MIME編碼的文件進(jìn)行殺毒。

在MCAFEE中，我們還能夠加入規(guī)則阻止在windows目錄建立和修改EXE.DLL文件等，我們?cè)谲浖�中加入�?duì)WEB目錄的殺毒計(jì)劃，每天執(zhí)行一次，并且打開(kāi)實(shí)時(shí)監(jiān)控。

10. 關(guān)閉無(wú)用的服務(wù)

我們一般關(guān)閉如下服務(wù)

Computer Browser

Help and Support

Messenger

Print Spooler

Remote Registry

TCP/IP NetBIOS Helper

如果服務(wù)器不用作域控，我們也可以禁用Workstation

11. 取消危險(xiǎn)組件

如果服務(wù)器不需要FSO，regsvr32 /u c:\windows\system32\scrrun.dll注銷組件，使用regedit將/HKEY_CLASSES_ROOT下的

WScript.Network

WScript.Network.1

WScript.Shell

WScript.Shell.1

Shell.Application

Shell.Application.1

鍵值改名或刪除

將這些鍵值下CLSID中包含的字串

如{72C24DD5-D70A-438B-8A42-98424B88AFB8}

到/HKEY_CLASSES_ROOT/CLSID下找到以這些字串命名的鍵值

全部刪除

12. 審計(jì)

本地安全策略->本地策略->審核策略

打開(kāi)以下內(nèi)容

審核策略更改 成功，失敗

審核系統(tǒng)事件 成功，失敗

審核帳戶登陸事件 成功，失敗

審核帳戶管理 成功，失敗