防范WEB SHELL
2007-9-7 9:23:39
防范这些WEBSHELL,首先是设置服务器的权限,禁止他们越权访问东西。服务器权限设置可以参考沉睡不醒整理的IIS FAQ
(http://fox.he100.com/showart.asp?art_id=121&cat_id=1 ),我这里就直接引用原文的内容了
如何让iis的最小ntfs权限运行?
依次做下面的工作:
a.选取整个硬盘_nbsp;
system:完全控刿nbsp;
administrator:完全控刿nbsp;
(允许将来自父系的可继承性权限传播给对象)
b./program files/common files_nbsp;
everyone:读取及运行
列出文件目录
读取
(允许将来自父系的可继承性权限传播给对象)
c./inetpub/wwwroot_nbsp;
iusr_machinename:读取及运行
列出文件目录
读取
(允许将来自父系的可继承性权限传播给对象)
e./winnt/system32_nbsp;
选择除inetsrv和centsrv以外的所有目录,
去除“允许将来自父系的可继承性权限传播给对象”选框,复制〿nbsp;
f./winnt_nbsp;
选择除了downloaded program files、help、iis temporary compressed files〿nbsp;
offline web pages、system32、tasks、temp、web以外的所有目彿nbsp;
去除“允许将来自父系的可继承性权限传播给对象”选框,复制〿nbsp;
g./winnt_nbsp;
everyone:读取及运行
列出文件目录
读取
(允许将来自父系的可继承性权限传播给对象)
h./winnt/temp:(允许访问数据库并显示在asp页面上)
everyone:修政nbsp;
(允许将来自父系的可继承性权限传播给对象)
再单独对cmd.exe net.exe net1.exe ping.exe netstat.exe ftp.exe tftp.exe telnet.exe设置为只允许administrators组访问,这样就可以防范通过Serv-U的本地提升权限漏洞来运行这些关键的程序了,再删除cacls.exe这个程序,防止有人通过命令行来修改权限,呵呵〿nbsp;
再来去掉一些ASP WEBSHELL需要使用的一些组件,这些组件其实普通的虚拟主机用户也是用不上的〿nbsp;
很多防范ASP木马的文章都提到要删除FileSystemObject组件,但删除了这个组件后,很多ASP的程序可能会运行不了,其实只要做好了前面的工作,FileSystemObject组件能操作的,只能是自己目录下的文件,也就构成不了什么威胁了_nbsp;
现在看来,还比较有威胁的组件就是Shell.Application和Wscript.Shell这两个组件了,Shell.Application可以对文件进行一些操作,还可以执行程序,但不能带参数,而Wscript.Shell可以操作注册表和执行DOS命令〿nbsp;
防范Wscript.Shell组件的方法:
可以通过修改注册表,将此组件改名〿nbsp;
HKEY_CLASSES_ROOT/WScript.Shell/及HKEY_CLASSES_ROOT/WScript.Shell.1/
改名为其它的名字,如:改为WScript.Shell_ChangeName或WScript.Shell.1_ChangeName自己以后调用的时候使用这个就可以正常调用此组件了
也要将clsid值也改一丿nbsp;
HKEY_CLASSES_ROOT/WScript.Shell/CLSID/项目的倿nbsp;
HKEY_CLASSES_ROOT/WScript.Shell.1/CLSID/项目的倿nbsp;
也可以将其删除,来防止此类木马的危害〿nbsp;
防范Shell.Application组件的方法:
可以通过修改注册表,将此组件改名〿nbsp;
HKEY_CLASSES_ROOT/Shell.Application/
叿nbsp;
HKEY_CLASSES_ROOT/Shell.Application.1/
改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
自己以后调用的时候使用这个就可以正常调用此组件了〿nbsp;
也要将clsid值也改一丿nbsp;
HKEY_CLASSES_ROOT/Shell.Application/CLSID/项目的倿nbsp;
HKEY_CLASSES_ROOT/Shell.Application/CLSID/项目的倿nbsp;
也可以将其删除,来防止此类木马的危害〿nbsp;
附参考文《构建免叿nbsp;Fso 威胁虚拟主机〿nbsp;
作者:稻香居士
现在绝大多数的虚拟主机都禁用亿nbsp;ASP 的标准组件:FileSystemObject,因为这个组件为 ASP 提供了强大的文件系统访问能力,可以对服务器硬盘上的任何文件进行读、写、复制、删除、改名等操作(当然,这是指在使用默认设置皿nbsp;Windows NT / 2000 下才能做到)。但是禁止此组件后,引起的后果就是所有利用这个组件的 ASP 将无法运行,无法满足客户的需求〿nbsp;
如何既允访nbsp;FileSystemObject 组件,又不影响服务器的安全性(即:不同虚拟主机用户之间不能使用该组件读写别人的文件)呢?这里介绍本人在实验中获得的一种方法,下文仿nbsp;Windows 2000 Server 为例来说明〿nbsp;
在服务器上打开资源管理器,用鼠标右键点击各个硬盘分区或卷的盘符,在弹出菜单中选择“属怿rdquo;,选择“安全”选项卡,此时就可以看到有哪些帐号可以访问这个分区(卷)及访问权限。默认安装后,出现的昿ldquo;Everyone”具有完全控制的权限。点“添加”,将“Administrators”〿ldquo;Backup Operators”〿ldquo;Power Users”〿ldquo;Users”等几个组添加进去,并给予“完全控制”或相应的权限,注意,不要绿ldquo;Guests”组〿ldquo;IUSR_机器吿rdquo;这几个帐号任何权限。然后将“Everyone”组从列表中删除,这样,就只有授权的组和用户才能访问此硬盘分区了,耿nbsp;ASP 执行时,是以“IUSR_机器吿rdquo;的身份访问硬盘的,这里没给该用户帐号权限,ASP 也就不能读写硬盘上的文件了〿nbsp;
下面要做的就是给每个虚拟主机用户设置一个单独的用户帐号,然后再给每个帐号分配一个允许其完全控制的目录〿nbsp;
如下图所示,打开“计算机管琿rdquo;→“本地用户和组”→“用户”,在右栏中点击鼠标右键,在弹出的菜单中选择“新用房rdquo;_nbsp;
在弹出的“新用房rdquo;对话框中根据实际需要输兿ldquo;用户吿rdquo;〿ldquo;全名”〿ldquo;描述”〿ldquo;密码”〿ldquo;确认密码”,并尿ldquo;用户下次登录时须更改密码”前的对号去掉,选中“用户不能更改密码”咿ldquo;密码永不过期”。本例是给第一虚拟主机的用户建立一个匿名访闿nbsp;Internet 信息服务的内置帐叿ldquo;IUSR_VHOST1”,即:所有客户端使用 http://xxx.xxx.xxxx/ 访问此虚拟主机时,都是以这个身份来访问的。输入完成后炿ldquo;创建”即可。可以根据实际需要,创建多个用户,创建完毕后炿ldquo;关闭”_nbsp;
现在新建立的用户已经出现在帐号列表中了,在列表中双击该帐号,以便进一步进行设置:
在弹出的“IUSR_VHOST1”(即刚才创建的新帐号)属性对话框中点“隶属亿rdquo;选项卡:
刚建立的帐号默认是属亿ldquo;Users”组,选中该组,点“删除”_nbsp;
现在出现的是如下图所示,此时再点“添加”_nbsp;
在弹出的“选择 绿rdquo;对话框中找到“Guests”,点“添加”,此组就会出现在下方的文本框中,然后炿ldquo;确定”_nbsp;
出现的就是如下图所示的内容,点“确定”关闭此对话框_nbsp;
打开“Internet 信息服务”,开始对虚拟主机进行设置,本例中的以寿ldquo;第一虚拟主机”设置为例进行说明,右击该主机名,在弹出的菜单中选择“属怿rdquo;_nbsp;
弹出一丿ldquo;第一虚拟主机 属怿rdquo;的对话框,从对话框中可以看到该虚拟主机用户的使用的是“F:/VHOST1”这个文件夹:
暂时先不管刚才的“第一虚拟主机 属怿rdquo;对话框,切换刿ldquo;资源管理噿rdquo;,找刿ldquo;F:/VHOST1”这个文件夹,右击,逿ldquo;属怿rdquo;→“安全”选项卡,此时可以看到该文件夹的默认安全设置是“Everyone”完全控制(视不同情况显示的内容不完全一样),首先将最将下皿ldquo;允许将来自父系的可继承权限传播给该对豿rdquo;前面的对号去掉:
此时会弹出如下图所示的“安全”警告,点“删除”_nbsp;
此时安全选项卡中的所有组和用户都将被清空(如果没有清空,请使甿ldquo;删除”将其清空),然后炿ldquo;添加”按钮〿nbsp;
将如图中所示的“Administrator”及在前面所创建的新帐号“IUSR_VHOST1”添加进来,将给予完全控制的权限,还可以根据实际需要添加其他组或用户,但一定不要将“Guests”组〿ldquo;IUSR_机器吿rdquo;这些匿名访问的帐号添加上去!
再切换到前面打开皿ldquo;第一虚拟主机 属怿rdquo;的对话框,打开“目录安全怿rdquo;选项卡,点匿名访问和验证控制皿ldquo;编辑”_nbsp;
在弹出的“验证方法”对方框(如下图所示),点“编辑”_nbsp;
弹出亿ldquo;匿名用户帐号”,默认的就是“IUSR_机器吿rdquo;,点“浏览”_nbsp;
圿ldquo;选择 用户”对话框中找到前面创建的新帐号“IUSR_VHOST1”,双击:
此时匿名用户名就改过来了,在密码框中输入前面创建时,为该帐号设置的密码:
再确定一遍密码:
OK,完成了,点确定关闭这些对话框〿nbsp;
经此设置后,“第一虚拟主机”的用户,使用 ASP 皿nbsp;FileSystemObject 组件也只能访问自己的目录:F:/VHOST1 下的内容,当试图访问其他内容时,会出现诸妿ldquo;没有权限”〿ldquo;硬盘未准备好”〿ldquo;500 服务器内部错诿rdquo;等出错提示了〿nbsp;
另:如果该用户需要读取硬盘的分区容量及硬盘的序列号,那这样的设置将使其无法读取。如果要允许其读取这些和整个分区有关的内容,请右键点击该硬盘的分区(卷),选择“属怿rdquo;→“安全”,将这个用户的帐号添加到列表中,并至少给亿ldquo;读取”权限。由于该卷下的子目录都已经设置为“禁止将来自父系的可继承权限传播给该对豿rdquo;,所以不会影响下面的子目录的权限设置〿nbsp;
(http://fox.he100.com/showart.asp?art_id=121&cat_id=1 ),我这里就直接引用原文的内容了
如何让iis的最小ntfs权限运行?
依次做下面的工作:
a.选取整个硬盘_nbsp;
system:完全控刿nbsp;
administrator:完全控刿nbsp;
(允许将来自父系的可继承性权限传播给对象)
b./program files/common files_nbsp;
everyone:读取及运行
列出文件目录
读取
(允许将来自父系的可继承性权限传播给对象)
c./inetpub/wwwroot_nbsp;
iusr_machinename:读取及运行
列出文件目录
读取
(允许将来自父系的可继承性权限传播给对象)
e./winnt/system32_nbsp;
选择除inetsrv和centsrv以外的所有目录,
去除“允许将来自父系的可继承性权限传播给对象”选框,复制〿nbsp;
f./winnt_nbsp;
选择除了downloaded program files、help、iis temporary compressed files〿nbsp;
offline web pages、system32、tasks、temp、web以外的所有目彿nbsp;
去除“允许将来自父系的可继承性权限传播给对象”选框,复制〿nbsp;
g./winnt_nbsp;
everyone:读取及运行
列出文件目录
读取
(允许将来自父系的可继承性权限传播给对象)
h./winnt/temp:(允许访问数据库并显示在asp页面上)
everyone:修政nbsp;
(允许将来自父系的可继承性权限传播给对象)
再单独对cmd.exe net.exe net1.exe ping.exe netstat.exe ftp.exe tftp.exe telnet.exe设置为只允许administrators组访问,这样就可以防范通过Serv-U的本地提升权限漏洞来运行这些关键的程序了,再删除cacls.exe这个程序,防止有人通过命令行来修改权限,呵呵〿nbsp;
再来去掉一些ASP WEBSHELL需要使用的一些组件,这些组件其实普通的虚拟主机用户也是用不上的〿nbsp;
很多防范ASP木马的文章都提到要删除FileSystemObject组件,但删除了这个组件后,很多ASP的程序可能会运行不了,其实只要做好了前面的工作,FileSystemObject组件能操作的,只能是自己目录下的文件,也就构成不了什么威胁了_nbsp;
现在看来,还比较有威胁的组件就是Shell.Application和Wscript.Shell这两个组件了,Shell.Application可以对文件进行一些操作,还可以执行程序,但不能带参数,而Wscript.Shell可以操作注册表和执行DOS命令〿nbsp;
防范Wscript.Shell组件的方法:
可以通过修改注册表,将此组件改名〿nbsp;
HKEY_CLASSES_ROOT/WScript.Shell/及HKEY_CLASSES_ROOT/WScript.Shell.1/
改名为其它的名字,如:改为WScript.Shell_ChangeName或WScript.Shell.1_ChangeName自己以后调用的时候使用这个就可以正常调用此组件了
也要将clsid值也改一丿nbsp;
HKEY_CLASSES_ROOT/WScript.Shell/CLSID/项目的倿nbsp;
HKEY_CLASSES_ROOT/WScript.Shell.1/CLSID/项目的倿nbsp;
也可以将其删除,来防止此类木马的危害〿nbsp;
防范Shell.Application组件的方法:
可以通过修改注册表,将此组件改名〿nbsp;
HKEY_CLASSES_ROOT/Shell.Application/
叿nbsp;
HKEY_CLASSES_ROOT/Shell.Application.1/
改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
自己以后调用的时候使用这个就可以正常调用此组件了〿nbsp;
也要将clsid值也改一丿nbsp;
HKEY_CLASSES_ROOT/Shell.Application/CLSID/项目的倿nbsp;
HKEY_CLASSES_ROOT/Shell.Application/CLSID/项目的倿nbsp;
也可以将其删除,来防止此类木马的危害〿nbsp;
附参考文《构建免叿nbsp;Fso 威胁虚拟主机〿nbsp;
作者:稻香居士
现在绝大多数的虚拟主机都禁用亿nbsp;ASP 的标准组件:FileSystemObject,因为这个组件为 ASP 提供了强大的文件系统访问能力,可以对服务器硬盘上的任何文件进行读、写、复制、删除、改名等操作(当然,这是指在使用默认设置皿nbsp;Windows NT / 2000 下才能做到)。但是禁止此组件后,引起的后果就是所有利用这个组件的 ASP 将无法运行,无法满足客户的需求〿nbsp;
如何既允访nbsp;FileSystemObject 组件,又不影响服务器的安全性(即:不同虚拟主机用户之间不能使用该组件读写别人的文件)呢?这里介绍本人在实验中获得的一种方法,下文仿nbsp;Windows 2000 Server 为例来说明〿nbsp;
在服务器上打开资源管理器,用鼠标右键点击各个硬盘分区或卷的盘符,在弹出菜单中选择“属怿rdquo;,选择“安全”选项卡,此时就可以看到有哪些帐号可以访问这个分区(卷)及访问权限。默认安装后,出现的昿ldquo;Everyone”具有完全控制的权限。点“添加”,将“Administrators”〿ldquo;Backup Operators”〿ldquo;Power Users”〿ldquo;Users”等几个组添加进去,并给予“完全控制”或相应的权限,注意,不要绿ldquo;Guests”组〿ldquo;IUSR_机器吿rdquo;这几个帐号任何权限。然后将“Everyone”组从列表中删除,这样,就只有授权的组和用户才能访问此硬盘分区了,耿nbsp;ASP 执行时,是以“IUSR_机器吿rdquo;的身份访问硬盘的,这里没给该用户帐号权限,ASP 也就不能读写硬盘上的文件了〿nbsp;
下面要做的就是给每个虚拟主机用户设置一个单独的用户帐号,然后再给每个帐号分配一个允许其完全控制的目录〿nbsp;
如下图所示,打开“计算机管琿rdquo;→“本地用户和组”→“用户”,在右栏中点击鼠标右键,在弹出的菜单中选择“新用房rdquo;_nbsp;
在弹出的“新用房rdquo;对话框中根据实际需要输兿ldquo;用户吿rdquo;〿ldquo;全名”〿ldquo;描述”〿ldquo;密码”〿ldquo;确认密码”,并尿ldquo;用户下次登录时须更改密码”前的对号去掉,选中“用户不能更改密码”咿ldquo;密码永不过期”。本例是给第一虚拟主机的用户建立一个匿名访闿nbsp;Internet 信息服务的内置帐叿ldquo;IUSR_VHOST1”,即:所有客户端使用 http://xxx.xxx.xxxx/ 访问此虚拟主机时,都是以这个身份来访问的。输入完成后炿ldquo;创建”即可。可以根据实际需要,创建多个用户,创建完毕后炿ldquo;关闭”_nbsp;
现在新建立的用户已经出现在帐号列表中了,在列表中双击该帐号,以便进一步进行设置:
在弹出的“IUSR_VHOST1”(即刚才创建的新帐号)属性对话框中点“隶属亿rdquo;选项卡:
刚建立的帐号默认是属亿ldquo;Users”组,选中该组,点“删除”_nbsp;
现在出现的是如下图所示,此时再点“添加”_nbsp;
在弹出的“选择 绿rdquo;对话框中找到“Guests”,点“添加”,此组就会出现在下方的文本框中,然后炿ldquo;确定”_nbsp;
出现的就是如下图所示的内容,点“确定”关闭此对话框_nbsp;
打开“Internet 信息服务”,开始对虚拟主机进行设置,本例中的以寿ldquo;第一虚拟主机”设置为例进行说明,右击该主机名,在弹出的菜单中选择“属怿rdquo;_nbsp;
弹出一丿ldquo;第一虚拟主机 属怿rdquo;的对话框,从对话框中可以看到该虚拟主机用户的使用的是“F:/VHOST1”这个文件夹:
暂时先不管刚才的“第一虚拟主机 属怿rdquo;对话框,切换刿ldquo;资源管理噿rdquo;,找刿ldquo;F:/VHOST1”这个文件夹,右击,逿ldquo;属怿rdquo;→“安全”选项卡,此时可以看到该文件夹的默认安全设置是“Everyone”完全控制(视不同情况显示的内容不完全一样),首先将最将下皿ldquo;允许将来自父系的可继承权限传播给该对豿rdquo;前面的对号去掉:
此时会弹出如下图所示的“安全”警告,点“删除”_nbsp;
此时安全选项卡中的所有组和用户都将被清空(如果没有清空,请使甿ldquo;删除”将其清空),然后炿ldquo;添加”按钮〿nbsp;
将如图中所示的“Administrator”及在前面所创建的新帐号“IUSR_VHOST1”添加进来,将给予完全控制的权限,还可以根据实际需要添加其他组或用户,但一定不要将“Guests”组〿ldquo;IUSR_机器吿rdquo;这些匿名访问的帐号添加上去!
再切换到前面打开皿ldquo;第一虚拟主机 属怿rdquo;的对话框,打开“目录安全怿rdquo;选项卡,点匿名访问和验证控制皿ldquo;编辑”_nbsp;
在弹出的“验证方法”对方框(如下图所示),点“编辑”_nbsp;
弹出亿ldquo;匿名用户帐号”,默认的就是“IUSR_机器吿rdquo;,点“浏览”_nbsp;
圿ldquo;选择 用户”对话框中找到前面创建的新帐号“IUSR_VHOST1”,双击:
此时匿名用户名就改过来了,在密码框中输入前面创建时,为该帐号设置的密码:
再确定一遍密码:
OK,完成了,点确定关闭这些对话框〿nbsp;
经此设置后,“第一虚拟主机”的用户,使用 ASP 皿nbsp;FileSystemObject 组件也只能访问自己的目录:F:/VHOST1 下的内容,当试图访问其他内容时,会出现诸妿ldquo;没有权限”〿ldquo;硬盘未准备好”〿ldquo;500 服务器内部错诿rdquo;等出错提示了〿nbsp;
另:如果该用户需要读取硬盘的分区容量及硬盘的序列号,那这样的设置将使其无法读取。如果要允许其读取这些和整个分区有关的内容,请右键点击该硬盘的分区(卷),选择“属怿rdquo;→“安全”,将这个用户的帐号添加到列表中,并至少给亿ldquo;读取”权限。由于该卷下的子目录都已经设置为“禁止将来自父系的可继承权限传播给该对豿rdquo;,所以不会影响下面的子目录的权限设置〿nbsp;