扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:51CTO.COM 2007年10月17日
关键字:
在本页阅读全文(共5页)
2.用户帐号
a.将administrator改名,例子中改为root。
b.取消所有除管理员root外所有用户属性中的。
远程控制->启用远程控制,以及,终端服务配置文件->允许登陆到终端服务器。
c.将guest改名为administrator并且修改密码。
d.除了管理员root,IUSER以及IWAM以及ASPNET用户外,禁用其他一切用户,包括SQL DEBUG以及TERMINAL USER等等。
3.目录权限
将所有盘符的权限,全部改为只有
|
将C盘的所有子目录和子文件,继承C盘的administrator(组或用户)和SYSTEM所有权限的两个权限,然后做如下修改:
|
现在WebShell就无法在系统目录内写入文件了。当然也可以使用更严格的权限。在Windows下分别目录设置权限,可是比较复杂,效果也并不明显。
4.IIS
在IIS 6下,应用程序扩展内的文件类型对应ISAPI的类型已经去掉了IDQ、PRINT等等危险的脚本类型,在IIS 5下我们需要把除了ASP以及ASA以外所有类型删除。
安装URLSCAN
在[DenyExtensions]中,一般加入以下内容:
|
这样入侵者就无法下载.mdb数据库。这种方法比外面一些在文件头加入特殊字符的方法更加彻底,因为即便文件头加入特殊字符,还是可以通过编码构造出来的。
5.WEB目录权限
作为虚拟主机,会有许多独立客户。比较保险的做法就是为每个客户,建立一个Windows用户。然后在IIS的响应的站点项内,把IIS执行的匿名用户绑定成这个用户,并且把他指向的目录,权限变更为
|
单独建立的用户(或者IUSER) 选择高级->打开除“完全控制”,“遍历文件夹/运行程序”,“取得所有权”3个外的其他权限。
如果服务器上站点不多,并且有论坛。我们可以把每个论坛的上传目录,去掉此用户的执行权限,只有读写权限。这样入侵者即便绕过论坛文件类型检测上传了webshell,也是无法运行的。
6.MS SQL SERVER2000
使用系统帐户登陆查询分析器,运行以下脚本:
|
删除所有危险的扩展。
7.修改CMD.EXE以及NET.EXE权限
将两个文件的权限修改到特定管理员才能访问,比如本例中,我们如下修改:
|
这样就能防止非法访问,还可以使用例子中提供的comlog程序。将com.exe改名_com.exe,然后替换com文件。这样可以记录所有执行的命令行指令。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
京公网安备 11010802021500号