1.為了打造一個安全的虛擬主機,在asp+SQL環境下,我們要做的是封殺ASP webshell.封殺serv-u提權漏洞和SQL注入的威脅
2.默認安裝的win主機上webshell功能十分強大,我們要封殺webshell的哪些功能 也就是不讓webshell查看系統服務信息,執行cmd命令和略覽文件目錄,我們要實現的功能是每個用戶只能訪問自己的目錄,而且可以用FSO等ASP組件,在這里我以海洋木馬和win200為例給大家演示一下.好多資料都是網上收集而來,在這表示感謝.
3.現在我們先設置好win的目錄訪問權限 設置所有分區為administrator SYSTEM這兩個系統用戶擁有所有權�����、刪除ERVERYONE
具體*作方式:選擇系統盤我們這里為C->按右鍵選擇屬性-安全添加一個administrator和SYSTEM所有權限,刪除ERVERYONE用戶
我已經都設置過了,就不重復了,設置權限的時候很慢,具體的看我下面的說明吧
4.選擇重置所有子對象的權限并允許傳播可繼承權限
具體*作方式:接第3步->選擇高級->選擇重置所有子對象的權限并允許傳播可繼承權限打鉤選定按應用->提示是否繼續選擇‘是'繼續
如果發現有提示問題就按繼續按鈕繼續
5.設置everyone用戶可以讀取的目錄(使得可以執行PERL ASP JMAIL)
[設置ASP可以使用]具體*作:進入C:/promgram files目錄 把common files目錄�,設置everyone可以讀����、運行、列目錄
C:/Program Files/Common Files 都是一些系統文件,如果你裝了一些別的組件,比如maill,php等 也按同樣的設置
就是剛才那個目錄,系統出了毛病,設置權限的時候十分慢
6.設置取消繼承�,功能:為了使用戶不能越權刪除而ASP可以正常使用
具體*作方式:進入winnt/system32/選中所有目錄,除了inetsrv certsrv 兩個目錄不要選擇(備注:這兩個是ASP要用的dll)
選擇屬性->安全->高級->權限->把允許來自父系的繼承取消打鉤->按復制
進入winnt目錄->選中所有目錄 除web, temp, tasks, system32 ,offine web pages ,
iis temporay compressed file ,help,download promgram 同上取消繼承->按復制
選擇winnt->設置安全��,添加everyone 讀取運行 列出文件目錄 讀取
進入winnt->選擇temp屬性設置安全 ,everyone完全控制,再點高級,編輯,把運行權限去掉
動畫斷了,奇怪了
這樣2000目錄權限基本設置完成,2003的目錄設置可以看最下面,我就是這么設置的,沒出問題,有問題找我,看來還沒設置好,終于好了,累啊
D盤看不見了吧.
7.剛才動畫斷了,新建一個用戶leilei,設置密碼,要設置密碼永不過期,把他加到guest用戶組里去,然后在IIS設置他的虛擬站點,我這用的是默認站點,設置虛擬目錄E:/網站資源/BBSXP 5.12 正式版 ]/bbsxp,再點屬性-目錄安全性-編輯.匿名訪問打上勾,然后設置用戶名和密碼,然后到E:/網站資源/BBSXP 5.12 正式版 ]/bbsxp里設置權限,給leilei訪問權.OK,現在告了一段落,leilei這個用戶只能訪問自己的目錄了刪掉不用的腳本映射.*.htr這是一個比較厲害的文件,刪掉好了��。否則�,任何人都可以通過你的web來進行非法*作,甚至格式化 掉你的硬盤����。 *.hta 刪掉吧。 *.idc 所以刪掉他�。 *.printer這個是打印機文件。去掉他好了 *.htw , *.ida *.idq這些都是索引文件��,可以去掉了�����。 其實只要有用的保留,比如asp,asa,php,cgi,給保留著,其它全部刪除就行啦!!!
我們來看一下網站
怎么樣,FSO正常使用吧
8. 這里有時候會遇見ASP不能訪問,提示The requested resource is in use和The remote procedure call failed and did not execute.
我就遇見了,找了找網上的帖子,有的說御載瑞星2005,再同步iwam帳號,同步同步iwam帳號請看 ... ID=8000&ID=361.有的說是asp.net沒有權限執行,還有的說在2003下,添加IIS_WPG 組�,并重啟計算機�����。方正我是同步了一下iwam帳號,然后還是沒搞定,又瞎鼓搗了半天,準備從裝機器前從起了一下,然后發現,好了~,如果你 遇見了這個問題,而且沒搞定的話,可以到我論壇里發個帖說一下,我和你一起研究,反正我是無業游民,電腦前面做了半年了.隨時都在,急就 端消息我,有聲音提示的.
9.現在我們上個webshell看看,先看我們剛才設置的目錄權限的效果,效果不錯,現在我們堵上webshell的cmd ,有兩種cmdshell WScript.Shell和Shell.Application,關于這兩個組件的基礎知識可以看看這篇文章
... dID=8000&ID=395
這里有兩種方法 一種是設置權限把c:/winnt/system32/cmd.exe 的權限設置好,(sorry 我把mdshell WScript.Shell和Shell.Application已經刪了,現在注冊上),只能administrator和系統用戶訪問的權限,這個時候cmd是不能用了,不過我們平時都是上傳一個cmd在用,看演示看,現在又能用了吧,我在別人的主機上也經常遇見這個現象,不過我們還是有辦法.再把E:/網站資源/BBSXP 5.12 正式版 ]/bbsxp的運行權限去掉,拒絕訪問��。 缺少對象,不影響網站使用fso吧,還有一一種就是徹底刪掉WScript.Shell和Shell.application ,命令是regsvr32/u wshom.ocx和regsvr32/u wshext.dll,我們先恢復權限.還是缺少對象吧,兩個都行,都是實驗通過的,我比較喜歡第二種,反正不影響我使用.再去試下網站,沒有問題
10.封殺webshell 查看系統進程的功能,對我的電腦點右鍵-管理-服務應用程序-服務-workstation,雙擊點停止,禁用.這個服務在倒數第二個
Workstation”——svchost.exe——是用來管理網絡�����,支持聯網和打印/文件共享的,禁用了也沒事,參考文章
... dID=8000&ID=400
... dID=8000&ID=402
... dID=8000&ID=403
錯誤: 錯誤源: 這好象是因為刪除wshom.ocx和wshext.dll的原因,不管他,我們繼續,現在是可以看系統進程的還有登陸用戶,現在我們禁用服務去,要從起,進程才會沒的,算了,我不從起了,反正不會有問題的了,已經什么也看不見了
11.封殺serv-u和SQL,這也是抄來的,因為serv-u和sql都是系統權限,也就是system用戶,我們的目的就是把他倆變成user用戶,讓他倆沒權限添加administrator的帳號,這里我用serv-u演示,ftp "net user leilei3 leilei3 /add" 成功添加了leilei2帳號,輸入法出問題了�,估計大家也都知道,serv-u本地提權漏洞�����,解決方法,先添加一個user權限的用戶,我這就用leilei3這個用戶了,然后對對我的電腦點右鍵-管理-服務應用程序-服務-Serv-U FTP 服務器-登陸-此帳戶,把默認的改掉,現在就可以了,來我們再試一下serv-u能不能用.無法啟動��,暈到,還是權限的問題,有人做過這個動畫,沒問題的.
動畫下載 ... dID=7890&ID=355
權限設一下就OK了,SQL也是這樣的設置,不過權限要設置好,因為sql要訪問的目錄很多,沒*作權限就不能用了,建議要改user權限運行SQL的時候別用我上面講的目錄權限分配方法,而是根據最下面的win2003目錄權限設置做參考,一點一點的改win的目錄權限,或者給user用戶多點權限,這個我用不上,也沒研究,還那句話,如果有哪位朋友需要,我們一起研究
12.經過這樣的設置基本安全了吧,如果高手能提供點意見,指出不安全的地方,不勝感激
