1.为了打造一个安全的虚拟主机,在asp SQL环境下,我们要做的是封杀ASP webshell.封杀serv-u提权漏洞和SQL注入的威胁
http://www.west263.cn/info/html/wangzhanyunying/jianzhanjingyan/20080417/68200.html
2.默认安装的win主机上webshell功能十分强大,我们要封杀webshell的哪些功能 也就是不让webshell查看系统服务信息,执行cmd命令和略览文档目录,我们要实现的功能是每个用户只能访问自己的目录,而且能够用FSO等ASP组件,在这里我以海洋木马和win200为例给大家演示一下.好多资料都是网上收集而来,在这表示感谢.
3.现在我们先配置好win的目录访问权限 配置任何分区为administrator SYSTEM这两个系统用户拥有任何权、删除ERVERYONE
具体操作方式:选择系统盘我们这里为C->按右键选择属性-安全添加一个administrator和SYSTEM任何权限,删除ERVERYONE用户
我已都配置过了,就不重复了,配置权限的时候很慢,具体的看我下面的说明吧
4.选择重置任何子对象的权限并允许传播可继承权限
具体操作方式:接第3步->选择高级->选择重置任何子对象的权限并允许传播可继承权限打钩选定按应用->提示是否继续选择‘是’继续
假如发现有提示问题就按继续按钮继续
5.配置everyone用户能够读取的目录(使得能够执行PERL ASP JMAIL)
[配置ASP能够使用]具体操作:进入C:promgram files目录 把common files目录,配置everyone能够读、运行、列目录
C:Program FilesCommon Files 都是一些系统文档,假如您装了一些别的组件,比如maill,php等 也按同样的配置
就是刚才那个目录,系统出了毛病,配置权限的时候十分慢
6.配置取消继承,功能:为了使用户不能越权删除而ASP能够正常使用
具体操作方式:进入winntsystem32选中任何目录,除了inetsrv certsrv 两个目录不要选择(备注:这两个是ASP要用的dll)
选择属性->安全->高级->权限->把允许来自父系的继承取消打钩->按复制
进入winnt目录->选中任何目录 除web, temp, tasks, system32 ,offine web pages ,
iis temporay compressed file ,help,download promgram 同上取消继承->按复制
选择winnt->配置安全,添加everyone 读取运行 列出文档目录 读取
进入winnt->选择temp属性配置安全 ,everyone完全控制,再点高级,编辑,把运行权限去掉
动画断了,奇怪了
这样2000目录权限基本配置完成,2003的目录配置能够看最下面,我就是这么配置的,没出问题,有问题找我,看来还没配置好,终于好了,累啊
D盘看不见了吧.
7.刚才动画断了,新建一个用户leilei,配置密码,要配置密码永但是期,把他加到guest用户组里去,然后在IIS配置他的虚拟站点,我这用的是默认站点,配置虚拟目录E:网站资源BBSXP 5.12 正式版 ]bbsxp,再点属性-目录安全性-编辑.匿名访问打上勾,然后配置用户名和密码,然后到E:网站资源BBSXP 5.12 正式版 ]bbsxp里配置权限,给leilei访问权.OK,现在告了一段落,leilei这个用户只能访问自己的目录了删掉不用的脚本映射.*.htr这是个比较厉害的文档,删掉好了。否则,任何人都能够通过您的web来进行非法操作,甚至格式化 掉您的硬盘。 *.hta 删掉吧。 *.idc 所以删掉他。 *.printer这个是打印机文档。去掉他好了 *.htw , *.ida *.idq这些都是索引文档,能够去掉了。 其实只要有用的保留,比如asp,asa,php,cgi,给保留着,其他全部删除就行啦!!!:)
我们来看一下网站
怎么样,FSO正常使用吧
8. 这里有时候会遇见ASP不能访问,提示The requested resource is in use和The remote procedure call failed and did not execute.
我就遇见了,找了找网上的帖子,有的说御载瑞星2005,再同步iwam帐号,同步同步iwam帐号请看 http://www.gamepa.com/Announce/Announce.asp?BoardID=8000&ID=361.有的说是asp.net没有权限执行,更有的说在2003下,添加IIS_WPG 组,并重启电脑。方正我是同步了一下iwam帐号,然后还是没搞定,又瞎鼓捣了半天,准备从装机器前从起了一下,然后发现,好了~,假如您 遇见了这个问题,而且没搞定的话,能够到我论坛里发个帖说一下,我和您一起研究,反正我是无业游民,电脑前面做了半年了.随时都在,急就 端消息我,有声音提示的.
9.现在我们上个webshell看看,先看我们刚才配置的目录权限的效果,效果不错,现在我们堵上webshell的cmd ,有两种cmdshell WScript.Shell和Shell.Application,关于这两个组件的基础知识能够看看这篇文章
http://www.gamepa.com/Announce/Announce.asp?BoardID=8000&ID=395
这里有两种方法 一种是配置权限把c:winntsystem32cmd.exe 的权限配置好,(sorry 我把mdshell WScript.Shell和Shell.Application已删了,现在注册上),只能administrator和系统用户访问的权限,这个时候cmd是不能用了,但是我们平时都是上传一个cmd在用,看演示看,现在又能用了吧,我在别人的主机上也经常遇见这个现象,但是我们还是有办法.再把E:网站资源BBSXP 5.12 正式版 ]bbsxp的运行权限去掉,拒绝访问。 缺少对象,不影响网站使用fso吧,更有一一种就是完全删掉WScript.Shell和Shell.application ,命令是regsvr32/u wshom.ocx和regsvr32/u wshext.dll,我们先恢复权限.还是缺少对象吧,两个都行,都是实验通过的,我比较喜欢第二种,反正不影响我使用.再去试下网站,没有问题
10.封杀webshell 查看系统进程的功能,对我的电脑点右键-管理-服务应用程式-服务-workstation,双击点停止,禁用.这个服务在倒数第二个
Workstation”——svchost.exe——是用来管理网络,支持连网和打印/文档共享的,禁用了也没事,参考文章
http://www.gamepa.com/Announce/Announce.asp?BoardID=8000&ID=400
http://www.gamepa.com/Announce/Announce.asp?BoardID=8000&ID=402
http://www.gamepa.com/Announce/Announce.asp?BoardID=8000&ID=403
错误: 错误源: 这好象是因为删除wshom.ocx和wshext.dll的原因,不管他,我们继续,现在是能够看系统进程的更有登陆用户,现在我们禁用服务去,要从起,进程才会没的,算了,我不从起了,反正不会有问题的了,已什么也看不见了
11.封杀serv-u和SQL,这也是抄来的,因为serv-u和sql都是系统权限,也就是system用户,我们的目的就是把他俩变成user用户,让他俩没权限添加administrator的帐号,这里我用serv-u演示,ftp "net user leilei3 leilei3 /add" 成功添加了leilei2帐号,输入法出问题了,估计大家也都知道,serv-u本地提权漏洞,解决方法,先添加一个user权限的用户,我这就用leilei3这个用户了,然后对对我的电脑点右键-管理-服务应用程式-服务-Serv-U FTP 服务器-登陆-此帐户,把默认的改掉,现在就能够了,来我们再试一下serv-u能不能用.无法启动,晕到,还是权限的问题,有人做过这个动画,没问题的.
版权申明:本站文章均来自网络,如有侵权,请联系028-86262244-215 ,我们收到后立即删除,谢谢!
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有。
动画下载http://www.gamepa.com/Announce/Announce.asp?BoardID=7890&ID=355
权限设一下就OK了,SQL也是这样的配置,但是权限要配置好,因为sql要访问的目录很多,没操作权限就不能用了,建议要改user权限运行SQL的时候别用我上面讲的目录权限分配方法,而是根据最下面的win2003目录权限配置做参考,一点一点的改win的目录权限,或给user用户多点权限,这个我用不上,也没研究,还那句话,假如有哪位朋友需要,我们一起研究
12.经过这样的配置基本安全了吧,假如高手能提供点意见,指出不安全的地方,不胜感激
13.第一次做动画,不知道做的怎么样,有不周的地方,见谅.更有大家最好别黑别人的机器,己所不欲,勿施于人.一切都是为了学习,更有就是我希望大家做动画的时候尽量的兼顾说一下原理,授人以鱼,不如授人以渔,假如太长了,给个链接也好啊.
167
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
