提到这个WEB就头痛哈,最容易出问题的地方,上传、注入,等等到处都是,面对众多的ASP 、PHP 、JSP等等后门木马我们怎么办,尤其大型网站诸多版块要是你去一个一个测试那可是长期的工作了,上传漏洞多数因为网站程序本身对后缀的过滤不严格,注入一般是因为网站程序的字符过滤问题,在这里笔者着重于说明的是如何配置安全服务器,对于网站程序本身的漏洞就不解释了,笔者也不专业,笔者用了一款比较流行的ASP后门做的测试,相对相对设置如下:
首先设置:所有盘、windows、Documents and Settings、Program Files 等只允许系统管理员用户访问,其他删除,这样就可以防止ASP木马浏览你的系统盘了,(系统盘为NTFS)也可以单独建立一个用户,此用户设置权限为最低,然后指派给此用户专门就给WEB单独工作。
一、禁用服务里面workstation 服务,可以防止列出用户和服务。
二、使用WScript.Shell组件
WScript.Shell可以调用系统内核运行DOS基本命令 可以通过修改注册表,将此组件改名,来防止此类木马的危害。将注册表下的HKEY_CLASSES_ROOT\WScript.Shell\及HKEY_CLASSES_ROOT\WScript.Shell.1\ 改名为其它的名字,如:改为WScript.Shell_ChangeName或 WScript.Shell.1_ChangeName。自己以后调用的时候使用这个就可以正常调用此组件了,同时也要将clsid值也改动 HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值 ,HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值,并禁止使用Guest用户使用shell32.dll来防止调用此组件。使用命令:regsvr32 WSHom.Ocx /u也可以将其删除,来防止此类木马的危害。
三、使用Shell.Application组件
由于Shell.Application可以调用系统内核运行DOS基本命令 ,这里可以通过修改注册表HKEY_CLASSES_ROOT\Shell.Application\ 及 HKEY_CLASSES_ROOT\Shell.Application.1\ 改名为其它的名字,如:改为Shell.Application_ChangeName或 Shell.Application.1_ChangeName来防止此类木马的危害。同时要将也要将clsid值也改一下,即HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值,HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值,这里也可以将其删除,来防止此类木马的危害。并禁止Guest用户使用shell32.dll来防止调用此组件, 使用命令:cacls C:\WINNT\system32\shell32.dll /e /d guests
注:操作均需要重新启动WEB服务后才会生效。
四、调用Cmd.exe
禁用Guests组用户调用cmd.exe,命令为cacls C:\WINNT\system32\Cmd.exe /e /d guests, 最后设置上传存放上传文件的文件夹禁止运行ASP,例外:如果服务器安装S U FTP工具千万要安装6.0以上版本修改默认密码防止提权,FTP、SA、等密码一定要设得复杂些,目前很多人都设置为“默认”。 由于我们设置该文件夹禁止运行ASP, 如果对方通过WBE漏洞想利用上传ASP文件进入的话,那是无用的,这里假设对方通过某种手段运行了ASP后门,那么管理人员也可以在了解一ASP后门的基本功后能,采用相对的应付方法即可防范,如下: 中国网管联盟www、bitsCN、com
1、查看系统盘符:设置了USERS组无法访问或使用的专门用户没有权限。
2、查看Documents and Settings、Program Files 文件夹:设置无权限。
3、列用户组与进程:禁用了workstation 服务。
4、调用CMD:设置USERS用户组没有权限调用行为。
5、调用WScript.Shell与Shell.Application :删除或者进行修改。
6、S U提权:改动密码。
大体就这些以上几种我们都相对设置了应付方案,在WEB方面既可保证相对的服务器安全。 总结:网络安全是不容忽视的,不要等到事情发生之后才去补救,同样网络安全是无极限的,技术的比拼就是一场没有硝烟的战争。有句话很经典:在网络中只有相对的安全没有绝对的安全,要想打好一场战争就要知己知彼,只有在了解了入侵手法后才能做的更好的防范。 中国