谈起木马,想必70%以上的服务器管理员都是谈马色变。有多少管理员没有被木马骚扰过,应该很少。但作为通过80端口访问的服务器端程序木马,更让服务器管理员大为头疼。尤其是虚拟主机的安全问题更为严重。以ASP虚拟主机的情况最为严重,很多虚拟主机不得不大费周折的去弥补。更者.Net主机的安全如果做不好,.Net的木马功能强大的让人瞠目结舌。
不仅仅是在asp,或asp.net 上,jsp也存在木马,而且功能上也是相当之强大。几款JSP应用服务器默认运行权限是ROOT,在window环境下也就是SYSTEM,要命的权限。JSP木马强大到一般的服务端网页后门无法比拟的程序。不仅仅是java.io.*,java.util.*,java.net.*包提供了强大的功能,而且在默认权限上也是强大的支持。
JSP木马如何防止我在GOOGLE上晃了半天也没找一个好的解决方法,介绍上找到的都是Java沙箱的安全机制。java.policy的配置不是一般人能搞定的,而且不同的应用程序都需要不同的配置感觉不是一般的麻烦了。看了一些关于java.security.acl包的应用,头大,也是麻烦。既然应用到window环境下,何不尝试使用Windows的ACL来做做文章?
拿Resin服务器做为例子:
1.建立新用户组A,及其所属用户名a
2.将Resin注册为window服务,自启动
3.编辑resin服务属性将启动用户改为a
4.编辑Resin服务器文件夹安全属性为A组完全控制,当然也可以根据不同情况给予特殊设定
5.将建立的网站目录给于用户a 读取,写入,删除安全权限
6.驱除所有驱动器其他文件夹内everyone权限,最好可以拒绝A组访问,读?不行.
这时,启动Resin服务看看JSP木马是不是不能运行了?没权限! 网络上现有的几个JSP木马基本上都在这里挂了,看看可以,跳出去这个圈子不可能。
执行安全配置有几点值得注意:
1.resin应用服务器目录名搞的复杂些,最好连你自己都不记得
2.网站根文件名最好也复杂些,如果你打算把它忘记那也最好不过(很多人的想象力丰富的很呐,大意不得)
3.网站目录下写权限最好能根据需要给,能不给的绝不少给,不能不给也绝不多给
4.特别目录下的你甚至可以用Servlet中的filter进行过滤,别忘了全局filter的功能弓虽的很(这是对服务器管理员说的,取服务器环境变量在这里可以完全屏蔽掉)
通过上面的一番配置,JSP通过Web程序上传JSP后门的可能不大,即使传上去也只能在自己的目录里折腾,只要他跳不出目录,而且只是低权限运行也就无所谓他干什么了。当然安全是相对,首先保证没问题的首当其冲的就是window(linux)服务器的安全,这样从全局看,这台jsp服务器是安全的。
apache设置类似
以上内容均来自互联网,本站仅提供自然搜索结果,与内容出处无关。
如有侵犯你的个人权益问题,并提供书面证明,请联系本站处理相关事宜!
本文转自: 黑客武林(www.hack50.com) 详细出处参考:http://www.hack50.com/stu/sort095/sort0111/26028.html
947
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
