服務器老是被黑。為什麼被黑,很簡單,安全策略做的不夠狠。因為系統太多,對環境要求也複雜。自己一懶,就沒怎麼整太狠的安全策略。我不是什麼黑客,也不是什麼安全專家。經常性與黑客博弈,他們的路數也知一二。在這與大家分享一個比較死的狠辦法。
步驟/方法
一般小鳥黑客,在網站都是掛木馬。為的是替他宣傳網站,弄更多的銀子。要掛馬,自然是要給網站上所有的文件都給掛個馬。代碼很簡單,無非就是框架代碼:
類似這樣的。
上次公司服務器給黑掛馬後,我就調整了安全策略,基本上是一個站點一個IIS用戶。上傳目錄一個IIS用戶權限,所以掛馬傳到上傳文件夾,就算他能允許
asp木馬,也無法讀取修改上傳目錄以外的文件夾及文件。當然,很多人都知道給上傳目錄設置無腳本執行權限。常規的安全策略就不多說了。就說說一個簡單的
笨辦法。
公司服務器跑的系統有CMS(asp)、OA(asp.net)、SKS(jsp)等系統。基本上是asp.net、asp、jsp三語言。在初始安裝完程序或配置完程序後。哥們做個小設置,保證那些掛馬鬱悶死。
第一步,選擇asp文件(注意,有些是系統後臺生成的網頁文件的如index.html這樣就不要選擇了)。
第二步,【右鍵】 - 【屬性】。在打開的【屬性】對話框中,選擇【安全】選項卡。選擇你IIS運行帳號。在其屬性上,將“修改”與“寫入”權限去掉。然後點擊【應用】或【確定】即可。其他目錄文件夾下的程序文件操作雷同。提示下:常規下的帳號安全屬性是繼承上級目錄的權限的,要自定義安全權限很簡單。同樣在這個【安全】選項卡上,點擊下面的【高級】,在打開的高級安全設置對話框裡,將【允許父項的繼承權限傳播到該對象和所有子對象。包括那些在此明確定義的項目(A)】的勾去掉,然後會彈出一個對話框,詢問是否複製父項權限(也就是上級目錄的權限),選擇【複製】即可。點擊【應用】,返回到上面的權限設置對話框。當然,如果你對權限比較瞭解的話,可以在高級安全設置裡進行權限設置操作。如圖:為什麼要這樣操作,因為掛馬嘛,通常都是批量修改asp\js\htm\html後綴的文件。這樣操作後,他們就無法掛馬咯。下圖是我逮到一個木馬的後臺控制面板,進行的掛馬操作。會提示【缺少對象】或【沒有權限】等提示,看看偶的截圖。看下圖:注意到沒?
在看看測試的幾個文件,hoho。文件中沒有木馬。搞定!實際上,常規的程序文件(不含配置屬性寫入在程序配置文件的文件,如config.asp之類),只要有運行權限就可以了。其他如修改、寫入權限不用賦予。而且很多BT的傢伙,經常改你後臺login.asp文件。讀取登錄操作的,記錄下你的帳號密碼。所以,沒有修改寫入權限,他們想BT都BT不了。
該方法不適用虛擬主機用戶。轉摘分享請標註作者為(陳君)。謝謝!