网站安全:服务器的安全首先来自于网站的安全,网站的安全的重点是数据库的安全。一般方法有把数据库设置为加入没闭合asp代码的asp文件,IIS中取消数据库目录的读取权限,来防止网站被直接植入Shell。如果找不到漏洞那么就从同服务器的网站下手进行旁注,这时需要给我们的网站建立独立用户,把权限限制在那个网站的文件夹内,防止修改别的网站的数据和提升权限。如果还是搞不定,那么就从服务器同网段下手,这时我们需要为服务器架设防火墙,防止arp欺骗http、ftp密码,ftp服务器使用加密协议传输,重点网站ftp启用ip限制登陆。
如果网站因为漏洞或者注入,已经被植入了shell,可以设置虚拟目录防止数据库被下载导致更多信息的泄露,删除WSH和Shell组件防止被提权,设置独立匿名用户权限,限制重要文件如cmd.exe等权限。开启主防文件监控和应用程序监控,只允许数据库和上传目录的数据写入,其它所有文件限制添加,修改和删除,这样就使得所有从http页面只能上传文件到这2种目录,无法移动文件,而这2种目录不给予运行权限,堵死通道。
系统安全:如果被添加了用户但是还没有加入administrator组,我们可以设置explorer.exe权限防止远程登陆,对各个分区设置严密的权限,每个盘去掉users组的权限,这样即使登陆了,也无法游览硬盘资料;如果获得了administrators权限,这是就只能靠HIPS来防护了,以管理员登陆了服务器也无法运行程序,给主动防御软件设置密码,禁止无规则程序的运行,登陆上传木马了也不让运行;开启防火墙,设置密码,木马被运行了也不给开启端口,禁止IE和explorer访问网络;开启应用程序监控,注册表监控,文件监控和网络监控,监视记录整个服务器的运行状况。安全在于人,而绝不仅仅在于安全软件。
1、一台好的服务器到手后首先是给系统打全所有的补丁,推荐使用360safe漏洞修复,下载速度快,自动安装,自动屏蔽微软的黑屏补丁。
2、网站设置:新建一个webusers用户组,为每一个网站建立独立用户,设置属于webusers组,选择“用户不能更改密码”和“密码永不过期”两个选项。
IIS中网站目录设置:
(一)在IIS网站根目录“属性”中:“主目录”-“配置”-“选项”-选择“启动父目录”
(二)在IIS网站根目录“属性”中:“主目录”-“配置”-“映射”-只保留需要的asp或者php等映射,其余的全部删除
(三)在IIS网站根目录“属性”中:“网站”-“高级“-“添加”-“主机头值“中输入网站域名
(四)在IIS网站根目录“属性”中:“文档”-添加index.asp,default.asp
(五)在IIS网站数据库目录“属性”中:“主目录”-对本地路径的目录全不选择,执行权限设置为“无”,数据库目录在这里可以设置一个花招那就是建立虚拟目录,这样可以避免数据库文件的泄露。比如我的网站的数据库相对路径为../test/test.asp,那么我可以在与wwwroot同一目录下建立一个目录xunidata,同时把数据库文件放在此文件夹中,建立虚拟目录test指向xunidata目录,给予xunidata目录的网站匿名用户读取和写入的权限,同时去掉上级目录的此匿名用户权限,这样的话除非能够猜到xunidata目录名,不然即使中了网马找到数据库也要费一番功夫。
(六)在IIS网站上传目录“属性”中:“主目录”-对本地路径的目录只选择“读取”,执行权限设置为“无”
(七)在IIS网站根目录“属性”中:“主目录”-对本地路径的目录只选择“读取”,执行权限设置为“纯脚本”
(八)在IIS网站根目录“属性”中:“目录安全性”-“身份验证与访问控制”-“启用匿名访问”,查找选择相应的用户,输入先前建立用户时设定的密码。 |
|
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡