首页 > 资讯列表 > 服务器 >> 安全

Windows虚拟主机防范WEB SHELL

安全 2014-07-20 22:31:02 转载来源: 网络整理/侵权必删

站长搜索提供的有关服务器安全的资讯信息! 网站监控 服务器监控 SEO监控 做了1年时间的虚拟主机管理员,大概对NT下的WEB SHELL的防范也有一定的了解。现在通过整理一些高手的文章来说说如何防范WEBSHELL

站长搜索提供的有关服务器安全的资讯信息! 网站监控 服务器监控 SEO监控

做了1年时间的虚拟主机管理员,大概对NT下的WEB SHELL防范也有一定的了解。现在通过整理一些高手的文章来说说如何防范WEBSHELL。常见的WEBSHELL也就是ASP,PHP,PERL,这些脚本写成的。市面上比较流行的WEBSHELL也就是海阳顶端网asp木马2005、桂林老兵的ASP站长助手(不知道算不算WEBSHELL,呵呵)、蓝屏ASP木马(好象有点过时了)、安全天使的phpspy2005、咖啡的PHP文件管理器1.6、cmd.cgi(PERL的我不熟悉,只知道这个)。本文的目的也就是要防范这些WEBSHELL。

防范这些WEBSHELL,首先是设置服务器的权限,禁止他们越权访问东西。服务器权限设置可以参考沉睡不醒整理的IIS FAQ

9、如何让iis的最小ntfs权限运行?

依次做下面的工作:

a.选取整个硬盘:

system:完全控制

administrator:完全控制

(允许将来自父系的可继承性权限传播给对象)

b.program filescommon files:

everyone:读取及运行

列出文件目录

读取

(允许将来自父系的可继承性权限传播给对象)

c.inetpubwwwroot:

iusr_machinename:读取及运行

列出文件目录

读取

(允许将来自父系的可继承性权限传播给对象)

e.winntsystem32:

选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。

f.winnt:

选择除了downloaded program files、help、iis temporary compressed files、offline web pages、system32、tasks、temp、web以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。

g.winnt:

everyone:读取及运行

列出文件目录

读取

(允许将来自父系的可继承性权限传播给对象)

h.winnttemp:(允许访问数据库并显示在asp页面上)

everyone:修改

(允许将来自父系的可继承性权限传播给对象)

再单独对cmd.exe net.exe net1.exe ping.exe netstat.exe ftp.exe tftp.exe telnet.exe设置为只允许administrators组访问,这样就可以防范通过Serv-U的本地提升权限漏洞来运行这些关键的程序了,再删除cacls.exe这个程序,防止有人通过命令行来修改权限,呵呵。

再来去掉一些ASP WEBSHELL需要使用的一些组件,这些组件其实普通的虚拟主机用户也是用不上的。

很多防范ASP木马的文章都提到要删除FileSystemObject组件,但删除了这个组件后,很多ASP的程序可能会运行不了,其实只要做好了前面的工作,FileSystemObject组件能操作的,只能是自己目录下的文件,也就构成不了什么威胁了!

现在看来,还比较有威胁的组件就是Shell.Application和Wscript.Shell这两个组件了,Shell.Application可以对文件进行一些操作,还可以执行程序,但不能带参数,而Wscript.Shell可以操作注册表和执行DOS命令。

防范Wscript.Shell组件的方法:

可以通过修改注册表,将此组件改名。

HKEY_CLASSES_ROOTWScript.Shell及HKEY_CLASSES_ROOTWScript.Shell.1改名为其它的名字,如:改为WScript.Shell_ChangeName或WScript.Shell.1_ChangeName自己以后调用的时候使用这个就可以正常调用此组件了。

也要将clsid值也改一下

HKEY_CLASSES_ROOTWScript.ShellCLSID项目的值

HKEY_CLASSES_ROOTWScript.Shell.1CLSID项目的值

也可以将其删除,来防止此类木马的危害。

防范Shell.Application组件的方法:

可以通过修改注册表,将此组件改名。

HKEY_CLASSES_ROOTShell.Application及HKEY_CLASSES_ROOTShell.Application.1改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName。

自己以后调用的时候使用这个就可以正常调用此组件了。

也要将clsid值也改一下HKEY_CLASSES_ROOTShell.ApplicationCLSID项目的值

HKEY_CLASSES_ROOTShell.ApplicationCLSID项目的值

也可以将其删除,来防止此类木马的危害。 

标签: Windows 虚拟主机 防范 WEB SHELL


声明:本文内容来源自网络,文字、图片等素材版权属于原作者,平台转载素材出于传递更多信息,文章内容仅供参考与学习,切勿作为商业目的使用。如果侵害了您的合法权益,请您及时与我们联系,我们会在第一时间进行处理!我们尊重版权,也致力于保护版权,站搜网感谢您的分享!

站长搜索

http://www.adminso.com

Copyright @ 2007~2024 All Rights Reserved.

Powered By 站长搜索

打开手机扫描上面的二维码打开手机版


使用手机软件扫描微信二维码

关注我们可获取更多热点资讯

站长搜索目录系统技术支持