終結(jié)Webshell 加固web服務(wù)器 |
發(fā)布時(shí)間: 2012/6/15 17:48:19 |
用微軟的IIS打造一個(gè)WEB億恩科技服務(wù)器是件非常簡(jiǎn)單的事情,但是它的安全(服務(wù)器租用找:51033397)性實(shí)在不敢恭維。攻擊者通過注入、上傳、旁注等技術(shù)獲得了某個(gè)網(wǎng)站:(www.allwellnessguide.com)的Webshell,然后進(jìn)一步滲透提權(quán),直至控制整個(gè)Web億恩科技服務(wù)器。至于如何讓攻擊者無緣Webshell那是代碼部分的問題,我們做為管理員應(yīng)該如何加固Web億恩科技服務(wù)器,讓攻擊者在獲得了Webshell之后無功而返呢? 一、設(shè)置命令權(quán)限 默認(rèn)設(shè)置下,webshell中可以調(diào)用一些對(duì)億恩科技服務(wù)器構(gòu)成危險(xiǎn)的系統(tǒng)命令,因此要對(duì)這些命令進(jìn)行權(quán)限限制。需要限制權(quán)限的命令主要有:cmd.exe net.exe net1.exe ping.exe netstat.exe ftp.exe tftp.exe telnet.exe等。 對(duì)這些命令單獨(dú)進(jìn)行設(shè)置,設(shè)置為只允許administrators組訪問,這樣既防止攻擊者新建用戶對(duì)系統(tǒng)進(jìn)行修改,也可以防范通過Serv-U的本地提升權(quán)限漏洞來運(yùn)行這些關(guān)鍵的程序了。特別提醒的是要?jiǎng)h除cacls.exe這個(gè)程序,防止有人通過命令行來修改權(quán)限。(圖1)
圖1 個(gè)人秘笈:在系統(tǒng)目錄下放一個(gè)和cmd.exe同名的監(jiān)控程序,并賦予它eventone運(yùn)行權(quán)限。這樣只要攻擊者在websehll中調(diào)用cmd.exe就可以觸發(fā)監(jiān)控程序,記錄并追查攻擊者的蹤跡,讓他偷雞不成反蝕一把米。為我們發(fā)現(xiàn)入侵,直至找到攻擊者做準(zhǔn)備。 二、設(shè)置目錄權(quán)限 設(shè)置的原則是讓IIS以最小的權(quán)限運(yùn)行,但也不至于把自己捆住。 1、選取整個(gè)硬盤: system:完全控制 administrator:完全控制 (允許將來自父系的可繼承性權(quán)限傳播給對(duì)象) (圖2) 本文出自:億恩科技【www.allwellnessguide.com】 服務(wù)器租用/服務(wù)器托管中國五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM] |