华南俳烁实业有限公司

4.IIS
在IIS 6下.應(yīng)用程序擴展內(nèi)的文件類型對應(yīng)ISAPI的類型已經(jīng)去掉了IDQ,PRINT等等危險的腳本類型,
在IIS 5下我們需要把除了ASP以及ASA以外所有類型刪除.
安裝URLSCAN
在[DenyExtensions]中
一般加入以下內(nèi)容
.cer
.cdx
.mdb
.bat
.cmd
.com
.htw
.ida
.idq
.htr
.idc
.shtm
.shtml
.stm
.printer
這樣入侵者就無法下載.mdb數(shù)據(jù)庫.這種方法比外面一些在文件頭加入特殊字符的方法更加徹底.
因為即便文件頭加入特殊字符.還是可以通過編碼構(gòu)造出來的

5.WEB目錄權(quán)限
作為虛擬主機.會有許多獨立客戶
比較保險的做法就是為每個客戶,建立一個windows用戶
然后在IIS的響應(yīng)的站點項內(nèi)
把IIS執(zhí)行的匿名用戶.綁定成這個用戶
并且把他指向的目錄
權(quán)限變更為
administrators 全部權(quán)限
system 全部權(quán)限
單獨建立的用戶(或者IUSER) 選擇高級->打開除 完全控制,遍歷文件夾/運行程序,取得所有權(quán) 3個外的其他權(quán)限.

如果服務(wù)器上站點不多.并且有論壇
我們可以把每個論壇的上傳目錄
去掉此用戶的執(zhí)行權(quán)限.
只有讀寫權(quán)限
這樣入侵者即便繞過論壇文件類型檢測上傳了webshell
也是無法運行的.

6.MS SQL SERVER2000
使用系統(tǒng)帳戶登陸查詢分析器
運行以下腳本
use master
exec sp_dropextendedproc ‘xp_cmdshell’
exec sp_dropextendedproc ‘xp_dirtree’
exec sp_dropextendedproc ‘xp_enumgroups’
exec sp_dropextendedproc ‘xp_fixeddrives’
exec sp_dropextendedproc ‘xp_loginconfig’
exec sp_dropextendedproc ‘xp_enumerrorlogs’
exec sp_dropextendedproc ‘xp_getfiledetails’
exec sp_dropextendedproc ‘Sp_OACreate’
exec sp_dropextendedproc ‘Sp_OADestroy’
exec sp_dropextendedproc ‘Sp_OAGetErrorInfo’
exec sp_dropextendedproc ‘Sp_OAGetProperty’
exec sp_dropextendedproc ‘Sp_OAMethod’
exec sp_dropextendedproc ‘Sp_OASetProperty’
exec sp_dropextendedproc ‘Sp_OAStop’
exec sp_dropextendedproc ‘Xp_regaddmultistring’
exec sp_dropextendedproc ‘Xp_regdeletekey’
exec sp_dropextendedproc ‘Xp_regdeletevalue’
exec sp_dropextendedproc ‘Xp_regenumvalues’
exec sp_dropextendedproc ‘Xp_regread’
exec sp_dropextendedproc ‘Xp_regremovemultistring’
exec sp_dropextendedproc ‘Xp_regwrite’
drop procedure sp_makewebtask
go
刪除所有危險的擴展.

7.修改CMD.EXE以及NET.EXE權(quán)限
將兩個文件的權(quán)限.修改到特定管理員才能訪問,比如本例中.我們?nèi)缦滦薷?BR>cmd.exe root用戶 所有權(quán)限
net.exe root用戶 所有權(quán)現(xiàn)
這樣就能防止非法訪問.
還可以使用例子中提供的comlog程序
將com.exe改名_com.exe,然后替換com文件.這樣可以記錄所有執(zhí)行的命令行指令

單 獨對 cmd.exe net.exe net1.exe ping.exe netstat.exe ftp.exe tftp.exe telnet.exe regedit.exe at.exe attrib.exe cacls.exe format.exe 設(shè)置為只允許administrators組訪問，這樣就可以防范通過Serv-U的本地提升權(quán)限漏洞來運行這些關(guān)鍵的程序了，再刪除cacls.exe 這個程序，防止有人通過命令行來修改權(quán)限