|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
因为ASP脚本语言非常简单,因此其代码也简单易懂,结合HTML代码,可快速地完成网站的应用程序。还无法完全实现一些企业级的功能:完全的集群、负载均横。window|平安|服务器媒介
实在,在服务器的平安设置方面,我固然有一些履历,可是还谈不上有研讨,以是我写这篇文章的时分内心很不扎实,总惧怕说错了会误了他人的事。
本文更偏重于避免ASP毛病打击,以是服务器防黑等方面的解说大概略嫌少了点。
基础的服务器平安设置
安装补钉
安装好操纵体系以后,最好能在托管之前就完成补钉的安装,设置好收集后,假如是2000则断定安装上了SP4,假如是2003,则最好安装上SP1,然后点击入手下手→WindowsUpdate,安装一切的关头更新。
安装杀毒软件
固然杀毒软件偶然候不克不及办理成绩,可是杀毒软件制止了良多成绩。我一向在用诺顿2004,听说2005能够杀木马,不外我没试过。另有人用瑞星,瑞星是断定能够杀木马的。更多的人说卡巴司机好,不外我没用过。
不要期望杀毒软件杀失落一切的木马,由于ASP木马的特性是能够经由过程必定手腕来避开杀毒软件的查杀。
设置端口回护和防火墙、删除默许共享
都是服务器防黑的措施,即便你的服务器上没有IIS,这些平安措施都最好做上。这是阿江的盲区,也许晓得屏障端口用当地平安战略,不外这方面的器材网上攻略良多,人人能够擞出来看看,晚些时分我大概会复制一些到我的网站上。
权限设置
阿江感到这是避免ASP毛病打击的关头地点,优异的权限设置能够将伤害削减在一个IIS站点乃至一个假造目次里。我这里讲一下道理和设置思绪,伶俐的伴侣应当看完这个就可以办理成绩了。
权限设置的道理
- WINDOWS用户,在WINNT体系中年夜多半时分把权限按用户(M)来分别。在【入手下手→程序→办理工具→盘算机办理→当地用户和组】办理体系用户和用户组。
- NTFS权限设置,请记着分区的时分把一切的硬盘都分为NTFS分区,然后我们能够断定每一个分区对每一个用户开放的权限。【文件(夹)上右键→属性→平安】在这里办理NTFS文件(夹)权限。
- IIS匿名用户,每一个IIS站点大概假造目次,都能够设置一个匿名会见用户(如今临时把它叫“IIS匿名用户”),当用户会见你的网站的.ASP文件的时分,这个.ASP文件所具有的权限,就是这个“IIS匿名用户”所具有的权限。
权限设置的思绪
- 要为每一个自力的要回护的个别(好比一个网站大概一个假造目次)创立一个体系用户,让这个站点在体系中具有唯一的能够设置权限的身份。
- 在IIS的【站点属性大概假造目次属性→目次平安性→匿名会见和考证把持→编纂→匿名会见→编纂】填写方才创立的谁人用户名。
- 设置一切的分区克制这个用户会见,而方才这个站点的主目次对应的谁人文件夹设置同意这个用户会见(要往失落承继父权限,而且要加上超管组和SYSTEM组)。
如许设置了以后,这个站点里的ASP程序就只要以后这个文件夹的权限了,从探针上看,一切的硬盘都是红叉叉。
我的设置办法
我是先创立一个用户组,今后一切的站点的用户都建在这个M里,然后设置这个组在各个分区没有权限大概完整回绝。然后再设置各个IIS用户在各在的文件夹里的权限。
由于对照多,以是我很不想写,实在晓得了下面的道理,年夜多半人都应当懂了,除非不晓得怎样增加体系用户和M,不晓得怎样设置文件夹权限,不晓得IIS站点属性在那边。真的有那样的人,你也不要发急,要沉住气渐渐来,详细的办法实在本人也能探索出来的,我就是如许。固然,假如我有空,我会写我的详细设置办法,很傲能还会配上图片。
更名或卸载不平安组件
不平安组件不惊人
我的在阿江探针1.9里到场了不平安组件检测功效(实在这是参考7i24的代码写的,只是把界面改的友爱了一点,检测办法和他是基础一样的),这个功效让良多站长受惊不小,由于他发明他的服务器撑持良多不平安组件。
实在,只需做好了下面的权限设置,那末FSO、XML、strem都不再是不平安组件了,由于他们都没有跨出本人的文件夹大概站点的权限。谁人悲哀光阴更不必怕,有杀毒软件在还怕甚么光阴啊。
最伤害的组件是WSH和Shell,由于它能够运转你硬盘里的EXE等程序,好比它能够运转提拔程序来提拔SERV-U权限乃至用SERVU来运转更高权限的体系程序。
审慎决意是不是卸载一个组件
组件是为了使用而呈现的,而不是为了不平安而呈现的,一切的组件都有它的用途,以是在卸载一个组件之前,你必需确认这个组件是你的网站程序不必要的,大概即便往失落也不关大致的。不然,你只能留着这个组件并在你的ASP程序自己高低光阴,避免他人出去,而不是避免他人出去后SHELL。
好比,FSO和XML长短经常用的组件之一,良多程序会用到他们。WSH组件会被一部分主机办理程序用到,也有的打包程序也会用到。
卸载最不平安的组件
最复杂的举措是间接卸载后删除响应的程叙文件。将上面的代码保留为一个.BAT文件,(以下均以WIN2000为例,假如利用2003,则体系文件夹应当是C:WINDOWS)
regsvr32/uC:WINNTSystem32wshom.ocx
delC:WINNTSystem32wshom.ocx
regsvr32/uC:WINNTsystem32shell32.dll
delC:WINNTsystem32shell32.dll
然后运转一下,WScript.Shell,Shell.application,WScript.Network就会被卸载了。大概会提醒没法删除文件,不必管它,重启一下服务器,你会发明这三个都提醒“×平安”了。
更名不平安组件
必要注重的是组件的称号和Clsid都要改,而且要改完全了。上面以Shell.application为例来先容办法。
翻开注册表编纂器【入手下手→运转→regedit回车】,然后【编纂→查找→填写Shell.application→查找下一个】,用这个办法能找到两个注册表项:“{13709620-C279-11CE-A49E-444553540000}”和“Shell.application”。为了确保十拿九稳,把这两个注册表项导出来,保留为.reg文件。
好比我们想做如许的变动
13709620-C279-11CE-A49E-444553540000更名为13709620-C279-11CE-A49E-444553540001
Shell.application更名为Shell.application_ajiang
那末,就把方才导出的.reg文件里的内容按下面的对应干系交换失落,然后把修正好的.reg文件导进到注册表中(双击便可),导进了更名后的注册表项以后,别健忘了删除原本的那两个项目。这里必要注重一点,Clsid中只能是十个数字和ABCDEF六个字母。
上面是我修正后的代码(两个文件我合到一同了):
WindowsRegistryEditorVersion5.00
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}]
@="ShellAutomationService"
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}InProcServer32]
@="C:WINNTsystem32shell32.dll"
"ThreadingModel"="Apartment"
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}ProgID]
@="Shell.Application_ajiang.1"
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}TypeLib]
@="{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}"
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}Version]
@="1.1"
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}VersionIndependentProgID]
@="Shell.Application_ajiang"
[HKEY_CLASSES_ROOTShell.Application_ajiang]
@="ShellAutomationService"
[HKEY_CLASSES_ROOTShell.Application_ajiangCLSID]
@="{13709620-C279-11CE-A49E-444553540001}"
[HKEY_CLASSES_ROOTShell.Application_ajiangCurVer]
@="Shell.Application_ajiang.1"
你能够把这个保留为一个.reg文件运转试一下,可是可别就此了事,由于万一黑客也看了我的这篇文章,他会实验我改出来的这个名字的。
避免列出用户组和体系历程
我在阿江ASP探针1.9中分离7i24的办法使用getobject("WINNT")取得了体系用户和体系历程的列表,这个列表大概会被黑客使用,我们应该埋没起来,办法是:
【入手下手→程序→办理工具→服务】,找到Workstation,中断它,禁用它。
避免Serv-U权限提拔
实在,刊出了Shell组件以后,侵进者运转提拔工具的大概性就很小了,可是prel等其余剧本言语也有shell才能,为防万一,仍是设置一下为好。
用Ultraedit翻开ServUDaemon.exe查找Ascii:LocalAdministrator,和#l@$ak#.lk;0@P,修正成等长度的别的字符就能够了,ServUAdmin.exe也一样处置。
别的注重设置Serv-U地点的文件夹的权限,不要让IIS匿名用户有读取的权限,不然人家下走你修正过的文件,还是能够剖析出你的办理员名和暗码。
</p>缺点:正版成本价格贵(盗版就不说了)、不够安全,大多数服务器用windows系统,没有linux安全 |
|