注入漏洞�����、上傳漏洞��、弱口令漏洞等問題隨處可見�?����?缯竟?����,遠(yuǎn)程控制等等是再老套不過了的話題。有些虛擬主機(jī)管理員不知是為了方便還是不熟悉配置����,干脆就將所有的網(wǎng)站都放在同一個(gè)目錄中,然后將上級目錄設(shè)置為站點(diǎn)根目錄����。有些呢,則將所有的站點(diǎn)的目錄都設(shè)置為可執(zhí)行�、可寫入、可修改���。有些則為了方便�����,在服務(wù)器上掛起了QQ�,也裝上了BT��。更有甚者�,竟然把Internet來賓帳號加入到Administrators組中!汗……!普通的用戶將自己的密碼設(shè)置為生日之類的6位純數(shù)字,這種情況還可以原諒����,畢竟他們大部分都不是專門搞網(wǎng)絡(luò)研究的����,中國國民的安全意識提高還需要一段時(shí)間嘛����,但如果是網(wǎng)絡(luò)管理員也這樣,那就怎么也有點(diǎn)讓人想不通了�����。網(wǎng)絡(luò)安全問題日益突出����,最近不又有人聲稱“萬網(wǎng):我進(jìn)來玩過兩次了!”一句話,目前很大部分的網(wǎng)站安全狀況讓人擔(dān)憂!
這里就我個(gè)人過去的經(jīng)歷和大家一同來探討有關(guān)安全虛擬主機(jī)配置的問題���。以下以建立一個(gè)站點(diǎn)cert.ecjtu.jx.cn為例,跟大家共同探討虛擬主機(jī)配置問題�。
一、建立Windows用戶
為每個(gè)網(wǎng)站單獨(dú)設(shè)置windows用戶帳號cert���,刪除帳號的User組���,將cert加入Guest用戶組�����。將用戶不能更改密碼����,密碼永不過期兩個(gè)選項(xiàng)選上���。
二����、設(shè)置文件夾權(quán)限
1���、設(shè)置非站點(diǎn)相關(guān)目錄權(quán)限
Windows安裝好后���,很多目錄和文件默認(rèn)是everyone可以瀏覽、查看����、運(yùn)行甚至是可以修改 的。這給服務(wù)器安全帶來極大的隱患���。這里就我個(gè)人的一些經(jīng)驗(yàn)提一些在入侵中較常用的目錄�����。
C:\; D:\; ……
C:\perl
C:\temp\
C:\Mysql\
c:\php\
C:\autorun.inf
C:\Documents and setting\
C:\Documents and Settings\All Users\「開始」菜單\程序\
C:\Documents and Settings\All Users\「開始」菜單\程序\啟動(dòng)
C:\Documents and Settings\All Users\Documents\
C:\Documents and Settings\All Users\Application Data\Symantec\
C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere
C:\WINNT\system32\config\
C:\winnt\system32\inetsrv\data\
C:\WINDOWS\system32\inetsrv\data\
C:\Program Files\
C:\Program Files\Serv-U\
c:\Program Files\KV2004\
c:\Program Files\Rising\RAV
C:\Program Files\RealServer\
C:\Program Files\Microsoft SQL server\
C:\Program Files\Java Web Start\
以上這些目錄或文件的權(quán)限應(yīng)該作適當(dāng)?shù)南拗?���。如取消Guests用戶的查看、修改和執(zhí)行等權(quán)限�����。由于篇幅關(guān)系���,這里僅簡單提及���。
2、設(shè)置站點(diǎn)相關(guān)目錄權(quán)限:
A���、設(shè)置站點(diǎn)根目錄權(quán)限:將剛剛建立的用戶cert給對應(yīng)站點(diǎn)文件夾��,假設(shè)為D:\cert設(shè)置相應(yīng)的權(quán)限:Adiministrators組為完全控制; cert有讀取及運(yùn)行、列出文件夾目錄����、讀取��,取消其它所有權(quán)限�����。
B����、設(shè)置可更新文件權(quán)限:經(jīng)過第1步站點(diǎn)根目錄文件夾權(quán)限的設(shè)置后��,Guest用戶已經(jīng)沒有修改站點(diǎn)文件夾中任何內(nèi)容的權(quán)限了����。這顯然對于一個(gè)有更新的站點(diǎn)是不夠的。這時(shí)就需要對單獨(dú)的需更新的文件進(jìn)行權(quán)限設(shè)置�����。當(dāng)然這個(gè)可能對虛擬主機(jī)提供商來說有些不方便���?�?蛻舻恼军c(diǎn)的需更新的文件內(nèi)容之類的可能都不一樣�����。這時(shí)��,可以規(guī)定某個(gè)文件夾可寫��、可改���。如有些虛擬主機(jī)提供商就規(guī)定����,站點(diǎn)根目錄中uploads為web可上傳文件夾��,data或者 database為數(shù)據(jù)庫文件夾��。這樣虛擬主機(jī)服務(wù)商就可以為客戶定制這兩個(gè)文件夾的權(quán)限��。當(dāng)然也可以像有些做的比較好的虛擬主機(jī)提供商一樣�,給客戶做一個(gè)程序,讓客戶自己設(shè)定�����?��?赡芤龅竭@樣��,服務(wù)商又得花不小的錢財(cái)和人力哦��。
基本的配置應(yīng)該大家都會(huì)���,這里就提幾個(gè)特殊之處或需要注意的地方。
1���、主目錄權(quán)限設(shè)置:這里可以設(shè)置讀取就行了����。寫入��、目錄瀏覽等都可以不要���,最關(guān)鍵的就是目錄瀏覽了���。除非特殊情況,否則應(yīng)該關(guān)閉�,不然將會(huì)暴露很多重要的信息。這將為黑客入侵帶來方便����。其余保留默認(rèn)就可以了�。
2���、應(yīng)用程序配置:在站點(diǎn)屬性中��,主目錄這一項(xiàng)中還有一個(gè)配置選項(xiàng)�����,點(diǎn)擊進(jìn)入�。在應(yīng)用程序映射選項(xiàng)中可以看到���,默認(rèn)有許多應(yīng)用程序映射����。將需要的保留��,不需要的全部都刪除����。在入侵過程中,很多程序可能限制了asp,php等文件上傳��,但并不對cer��,asa等文件進(jìn)行限制���,如果未將對應(yīng)的應(yīng)用程序映射刪除,則可以將asp的后綴名改為cer或者asa后進(jìn)行上傳���,木馬將可以正常被解析�����。這也往往被管理員忽視���。另外添加一個(gè)應(yīng)用程序擴(kuò)展名映射,可執(zhí)行文件可以任意選擇�,后綴名為.mdb。這是為了防止后綴名為mdb的用戶數(shù)據(jù)庫被下載�。
3、目錄安全性設(shè)置:在站點(diǎn)屬性中選擇目錄安全性�����,點(diǎn)擊匿名訪問和驗(yàn)證控制,選擇允許匿名訪問��,點(diǎn)擊編輯���。如下圖所示���。刪除默認(rèn)用戶,瀏覽選擇對應(yīng)于前面為cert網(wǎng)站設(shè)定的用戶�,并輸入密碼?�?梢赃x中允許IIS控制密碼�����。這樣設(shè)定的目的是為了防止一些像站長助手�、海洋等木馬的跨目錄跨站點(diǎn)瀏覽,可以有效阻止這類的跨目錄跨站入侵����。
4、可寫目錄執(zhí)行權(quán)限設(shè)置:關(guān)閉所有可寫目錄的執(zhí)行權(quán)限���。由于程序方面的漏洞�����,目前非常流行上傳一些網(wǎng)頁木馬���,絕大部分都是用web進(jìn)行上傳的����。由于不可寫的目錄木馬不能進(jìn)行上傳��,如果關(guān)閉了可寫目錄的執(zhí)行權(quán)限�,那么上傳的木馬將不能正常運(yùn)行����。可以有效防止這類形式web入侵�����。
5����、處理運(yùn)行錯(cuò)誤:這里有兩種方法,一是關(guān)閉錯(cuò)誤回顯��。IIS屬性――主目錄――配置――應(yīng)用程序調(diào)試――腳本錯(cuò)誤消息,選擇發(fā)送文本錯(cuò)誤信息給客戶����。二是定制錯(cuò)誤頁面。在IIS屬性――自定義錯(cuò)誤信息��,在http錯(cuò)誤信息中雙擊需要定制的錯(cuò)誤頁面�����,將彈出錯(cuò)誤映射屬性設(shè)置框���。消息類型有默認(rèn)值��、URL和文件三種���,可以根據(jù)情況自行定制。這樣一方面可以隱藏一些錯(cuò)誤信息�����,另外一方面也可以使錯(cuò)誤顯示更加友好�。
四、配置FTP
Ftp是絕大部分虛擬主機(jī)提供商必備的一項(xiàng)服務(wù)�。用戶的站內(nèi)文件大部分都是使用ftp進(jìn)行上傳的����。目前使用的最多的ftp服務(wù)器非Serv-U莫屬了����。這里有幾點(diǎn)需要說明一下。
1���、管理員密碼必須更改
如果入侵愛好者們肯定對Serv-U提權(quán)再熟悉莫過了����。這些提權(quán)工具使用的就是Serv-U默認(rèn)的管理員的帳號和密碼運(yùn)行的����。因?yàn)镾erv-U管理員是以超級管理員的身份運(yùn)行的��。如果沒有更改管理員密碼�����,這些工具使用起來就再好用不過了�����。如果更改了密碼,那這些工具要想正常運(yùn)行�����,那就沒那么簡單嘍���。得先破解管理員密碼才行���。
2、更改安裝目錄權(quán)限
Serv-U的默認(rèn)安裝目錄都是everyone可以瀏覽甚至可以修改的�����。安裝的時(shí)候如果選擇將用戶信息存儲(chǔ)在ini文件中���,則可以在ServUDaemon.ini得到用戶的所有信息�。如果Guests有修改權(quán)限�����,那么黑客就可以順利建立具有超級權(quán)限的用戶��。這可不是一件好事�����。所以在安裝好Serv-U之后,得修改相應(yīng)的文件夾權(quán)限��,可以取消Guests用戶的相應(yīng)權(quán)限���。
五�、命令行相關(guān)操作處理
1��、禁止guests用戶執(zhí)行com.exe:
我們可以通過以下命令取消guests執(zhí)行com.exe的權(quán)限
cacls C:\WINNT\system3\Cmd.exe /e /d guests�����。
2����、禁用Wscript.Shell組件:
Wscript.Shell可以調(diào)用系統(tǒng)內(nèi)核運(yùn)行DOS基本命令??梢酝ㄟ^修改注冊表���,將此組件改名�����,來防止此類木馬的危害�。 HKEY_CLASSES_ROOT\Wscript.Shell\ 及HKEY_CLASSES_ROOT\Wscript.Shell.1\改名為其它的名字。將兩項(xiàng)clsid的值也改一下 HKEY_CLASSES_ROOT\Wscript.Shell\CLSID\項(xiàng)目的值和HKEY_CLASSES_ROOT\ Wscript.Shell.1\CLSID\項(xiàng)目的值����,也可以將其刪除。
3���、禁用Shell.Application組件
Shell.Application也可以調(diào)用系統(tǒng)內(nèi)核運(yùn)行DOS基本命令�����?��?梢酝ㄟ^修改注冊表,將此組件改名���,來防止此類木馬的危害��。 HKEY_CLASSES_ROOT\Shell.Application\ 及HKEY_CLASSES_ROOT\Shell.Application.1\ 改名為其它的名字�。將HKEY_CLASSES_ROOT\Shell.Application\CLSID\項(xiàng)目的值 HKEY_CLASSES_ROOT\Shell.Application\CLSID\項(xiàng)目的值更改或刪除�����。同時(shí),禁止Guest用戶使用 shell32.dll來防止調(diào)用此組件����。使用命令:cacls C:\WINNT\system32\shell32.dll /e /d guests
4、FileSystemObject組件
FileSystemObject可以對文件進(jìn)行常規(guī)操作可以通過修改注冊表����,將此組件改名,來防止此類木馬的危害���。對應(yīng)注冊表項(xiàng)為HKEY_CLASSES_ROOT\ scripting.FileSystemObject\��?���?梢越筭uests用戶使用或直接將其刪除����。考慮到很多的上傳都會(huì)使用到這個(gè)組件��,為了方便��,這里不建議更改或刪除�。
5、禁止telnet登陸
在C:\WINNT\system32目錄下有個(gè)login.cmd文件��,將其用記事本打開�,在文件末尾另取一行,加入exit保存���。這樣用戶在登陸telnet時(shí)���,便會(huì)立即自動(dòng)退出。
注:以上修改注冊表操作均需要重新啟動(dòng)WEB服務(wù)后才會(huì)生效��。
六���、端口設(shè)置
端口窗體底端就是門�,這個(gè)比喻非常形象�����。如果我們服務(wù)器的所有端口都開放的話�����,那就意味著黑客有好多門可以進(jìn)行入侵。所以我個(gè)人覺得����,關(guān)閉未使用的端口是一件重要的事情。在控制面板――網(wǎng)絡(luò)與撥號連接――本地連接――屬性――Internet協(xié)議(TCP/IP)屬性���,點(diǎn)擊高級��,進(jìn)入高級TCP/IP設(shè)置�,選擇選項(xiàng)��,在可選的設(shè)置中選擇TCP/IP篩選����,啟用TCP/IP篩選。添加需要的端口�����,如21����、80等,關(guān)閉其余的所有未使用的端口�。
七����、關(guān)閉文件共享
系統(tǒng)默認(rèn)是啟用了文件共享功能的�����。我們應(yīng)給予取消��。在控制面板――網(wǎng)絡(luò)和撥號連接――本地連接――屬性�,在常規(guī)選項(xiàng)種�,取消Microsoft 網(wǎng)絡(luò)文件和打印共享。服務(wù)最少原則是保障安全的一項(xiàng)重要原則���。非必要的服務(wù)應(yīng)該給予關(guān)閉����。系統(tǒng)服務(wù)可以在控制面板――管理工具――服務(wù)中進(jìn)行設(shè)定��。
八����、關(guān)閉非必要服務(wù)
類似telnet服務(wù)、遠(yuǎn)程注冊表操作等服務(wù)應(yīng)給予禁用���。同時(shí)盡可能安裝最少的軟件���。這可以避免一些由軟件漏洞帶來的安全問題���。有些網(wǎng)管在服務(wù)器上安裝QQ,利用服務(wù)器掛QQ�����,這種做法是極度錯(cuò)誤的�。
九、關(guān)注安全動(dòng)態(tài)及時(shí)更新漏洞補(bǔ)丁
更新漏洞補(bǔ)丁對于一個(gè)網(wǎng)絡(luò)管理員來說是非常重要的����。更新補(bǔ)丁,可以進(jìn)一步保證系統(tǒng)的安全���。
