A5安全小组 Jack 服务器与网站安全讲座

　 月薪5千到5万 这些项目才是你的未来

　　如今对服务器与站群网站安全方面的问题，大家不能忽视，这是离站长们最近的一个问题，也是最大的一个问题，及时做好防范，才会更安全。特意整理了一下今天下午jack所讲的服务器安全方面的内容。

　　我们下面开始讲座吧 ，于其说是讲座 我觉得说是经验的交流更为恰当些吧 呵呵。

　　﹍JacK.! 14:31:00

　　各位群友大家好，我是A5安全小组 jack ,今天跟大家交流下 关于WEB服务器安全的相关问题。

　　﹍JacK.! 14:31:41

　　其实，在服务器和网站的安全设置方面，我虽然有一些经验，但是还谈不上有研究，所以我今天做这个讲座的时候心里很不踏实，总害怕说错了会误了别人的事，有说错的地方还 请大家指出，今天就全当互相讨论交流了。也许各位当中有安全高手或者破坏高手看了我所说的会嘲笑或者窃喜，但我想我的经验里毕竟还是存在很多正确的地方，有千千万万的 比我知道的更少的人还是需要有人来提供这些经验和信息的。呵呵

　　﹍JacK.! 14:32:18

　　现在几乎有一部分的站长都拥有自己的服务器，一部分的人还使用虚拟主机或合租服务器。对于现在在使用虚拟主机和合租的部分站长来说 可能在服务器安全方面考虑的比较少， 因为有IDC过硬的技术在支撑，只要对自己的使用的网站程序相对多了解一些，多关注下程序官方发布的新闻和漏洞补丁提示，及时的升级程序打上最新漏洞补丁就已经有80%的安全性了，官方补丁是免费发布给我们的东西，如果连程序漏洞补丁都不能及时打上，那么这个网站被黑的可能性几乎在80%以上，所以说程序补丁务必要及时打上。其次就是虚拟主 机管理帐号密码和FTP帐号密码、后台登陆路径地址和管理员帐号密码的设置，这个可能很多人有时候容易忽略，但是由于疏忽大意设置的密码过于简单或没有更改默认的帐号密码 、后台路径而造成网站被黑的还是有一小部分站长。

       现在有很多傻瓜式的黑客工具，随便一个懂点计算机技术的人就能上手，对于一些FTP帐号密码和网站后台密码简单的网站可以 批量获取到帐号密码，直接登陆FTP或后台拿到WEBSHELL ，所以说一般在拿到FTP帐号密码后要及时的修改尽量越复杂越好。网站在安装完毕后及时的删除安装文件修改后台路径和 后台登陆帐号密码是务必要做的，不要嫌麻烦，也许你的小小的操作就会给你网站带来很大的安全保障，疏忽大意，侥幸心理只会给网站带来很大的安全隐患，因为一个入侵找的 就是你被忽略的死角钻你不注意的漏洞。

　　﹍JacK.! 14:33:25

　　好了 对于使用虚拟主机的网站安全我暂时先说这么多，我们下面重点说一下独立WEB服务器的安全设置。

　　最近遇到好几位站长找我求助，看了下情况都是差不多，都是因为前期只顾着弄网站，对服务器安全方面的意识和技术防范不够 所以导致整个服务器都被黑客控制，服务器上的所 有网站都被挂马，都是好几万流量的网站，这个后果很严重。在服务器配置网站和环境的时候没有把安全性考虑进去，只是为了能让自己的网站能正常访问，所以整个服务器的权 限几乎都是Everyone 权限在运作。这样的服务器能不被黑纯属意外。下面我们就针对目前主流的服务器系统WIN2003 给大家提一些相关安全配置和防范方面的信息，希望对各位 有所帮助。我直接分几大块写出来 。

　　﹍JacK.! 14:35:07

　　一般服务器和网站被黑的基本原因总结为一下几点：

　　1。还在用fat32的磁盘格式做服务器

　　2。每个IIS的站点还没有独立用户

　　3。硬盘上到处都是everyone完全控制

　　4。从来不去安装windows update

　　以上4个的解决方法就不要说了，如果连这个都不懂，那就好好去http://bbs.admin5.com/forum-281-1.html学习下了，呵呵。

　　﹍JacK.! 14:35:43

　　下面我将几个必要的大点 细想的讲解下吧。

　　﹍JacK.! 14:36:29

　　问题1。弱口令

　　很多管理员还没有设置复杂口令的习惯，这个是相当危险的，因为随便什么扫描软件都可以很轻

　　易的找到你的远程端口是什么，然后找个暴力破解的软件，如果密码很简单，一个晚上就可以，

　　破所以这个是基本工，不要为了远程登陆方便而少设置简单的密码，您至少要设置12位以上的密

　　码别怕你的密码会太长，因为2003支持长达128位的密码。

　　﹍JacK.! 14:37:49

　　问题2。默认共享

　　也就是常说的$ipc漏洞，其实也不是漏洞，这个是2003强大功能的体现之一。

　　基本思路是用net命令和服务器建立连接(当然建立之前也要有管理员的密码，所以弱口令的机

　　器会很容易中招)，然后就可以在服务器上执行任意程序了。

　　不管你的口令弱不弱，相信你肯定不会这样去管理你的服务器，所以彻底的办法是删除共享，如

　　何删除默认共享，网上好象介绍这个的很多很多，有一个最好最简单的办法是禁用server服务。

　　把关联的Computer Browser和Distributed File System也一起禁止用吧，反正你也用不到。

　　﹍JacK.! 14:39:00

　　问题3。危险组件

　　﹍JacK.! 14:39:14

　　下面5个组件是windows自带的，但是因为过于强大，所以稍微不小心就会产生漏洞

　　FSO、XML、W.Shell、Shell.application、W.Network

　　作为虚拟主机，FSO和XML都肯定用到，不然你的虚拟主机连个站群论坛都不能放，估计你的空间肯定

　　会卖不出去呵呵。如果独立主机，您确信用不到这2个组件那就卸掉他，尤其是FSO组件。

　　卸载FSO组件的方法：regsvr32 /u c:\winnt\system32\scrrun.dll

　　W.Shell、Shell.application、W.Network这3个几乎用不到，主要危害是通过asp可

　　以运行exe文件和修改注册表，几乎所有的asp木马都用这几个组件，而正常的asp程序却都用不到，

　　所以干脆删除吧，不过W.Shell会被一部分主机管理程序用到，也有的打包程序也会用到，

　　你最好先确认一下再删除。

　　﹍JacK.! 14:39:57

　　方法：

　　卸载W.Shell和W.Network组件： regsvr32 /u c:\winnt\system32\wshom.ocx

　　卸载Shell.application组件： regsvr32 /u c:\winnt\system32\shell32.dll

　　﹍JacK.! 14:40:26

　　直接在dos下 执行这几个命令即可。

　　﹍JacK.! 14:41:01

　　顺便说一下，对于DLL文件关联的组件，如果你想让部分用户用，只要单独设置一下对应DLL文件的

　　权限就可以。比如你只想给某几个用户只用FSO，那么只要单独设置一下scrrun.dll的权限，给需

　　要的人读取及运行。

　　﹍JacK.! 14:41:51

　　问题4。默认windows权限

　　﹍JacK.! 14:42:22

　　这个问题比较复杂，但确实默认windows目录的安全设置权限有点过大，按照以下简单修改一下吧。

　　HT技术/高征 14:42:44

　　﹍JacK.! 14:42:53

　　c盘根目录 只有administrators和system完全

　　C:\Program Files\Common Files administrators和system完全，everyone读取和运行

　　C:\Program Files\其他目录 只有administrators和system完全

　　如果你有asp组件安装在这个目录下，那么组件目录也需要everyone读取和运行

　　c:\winnt\所有文件(目录下的文件，不包括子目录) 只有administrators和system完全

　　c:\winnt\system32\dllhost.exe administrators和system完全，everyone读取和运行

　　c:\winnt\system32\其他exe和com文件(目录下的文件，不包括子目录) 只有administrators和system完全

　　﹍JacK.! 14:44:26

　　上面的权限可以设置的很细，甚至精确到每个文件为止，不过一般这样设置了也就可以了。

　　如果你不是虚拟主机服务器，装了其他的软件，建议你确认好以后再动手，也许会导致其他软件运行有问题，C盘每个权限虽然设置起来很麻烦，但是直接影响到你服务器的正常运行 稳定 和安全 所以必须引起重视。 默认的权限运行 只会给你带来 黑客 木马的隐患。

　　﹍JacK.! 14:48:24

　　对于 没有技术基础的人来说 我讲的这些都很实用 你搬过去 就可以按照说的直接做，所以我讲的可能比较 按照条例活机械化一些。，

　　﹍JacK.! 14:49:10

　　下面说下SQL的问题

　　﹍JacK.! 14:49:36

　　SQL实在太强大，默认的SA帐号更是无所不能，但是SA帐号的名称却是不能修改的，所以无论无何SA的密码一

　　定要设置的足够强壮，最好是把能用的字符都用上。

　　另外把也建议把SQL普通用户的备份权限取消，不然SQL的cmdshell也会出乱子。

　　﹍JacK.! 14:49:49

　　具体防御MS SQL方法如下：

　　﹍JacK.! 14:50:09

　　MS SQL SERVER2000

　　使用系统帐户登陆查询分析器

　　运行以下脚本

　　use master

　　exec sp_dropextendedproc 'xp_cmdshell'

　　exec sp_dropextendedproc 'xp_enumgroups'

　　exec sp_dropextendedproc 'xp_loginconfig'

　　exec sp_dropextendedproc 'xp_enumerrorlogs'

　　exec sp_dropextendedproc 'xp_getfiledetails'

　　exec sp_dropextendedproc 'Sp_OACreate'

　　exec sp_dropextendedproc 'Sp_OADestroy'

　　exec sp_dropextendedproc 'Sp_OAGetErrorInfo'

　　exec sp_dropextendedproc 'Sp_OAGetProperty'

　　exec sp_dropextendedproc 'Sp_OAMethod'

　　exec sp_dropextendedproc 'Sp_OASetProperty'

　　exec sp_dropextendedproc 'Sp_OAStop'

　　exec sp_dropextendedproc 'xp_regaddmultistring'

　　exec sp_dropextendedproc 'xp_regdeletekey'

　　exec sp_dropextendedproc 'xp_regdeletevalue'

　　exec sp_dropextendedproc 'xp_regenumvalues'

　　exec sp_dropextendedproc 'xp_regremovemultistring'

　　exec sp_dropextendedproc 'xp_regwrite'

　　drop procedure sp_makewebtask

　　go

　　﹍JacK.! 14:50:54

　　执行 以上SQL语句 也就是等于卸载掉了一些sql不安全 容易被 黑客利用提权的 组件

　　﹍JacK.! 14:53:06

　　MY SQL的话 大家在安装的时候 设置一个强壮的 密码 ，还有最重要的一点就是 千万不要用root 去做 你网站连接的数据库账号密码。 因为大家都知道 MS SQL里边的 SA 和 MY SQL 里边的root 都属于是超级管理员权限。 这个最高权限一旦被黑客利用 那就整个服务器几乎能拿下权限。所以 切记。

　　﹍JacK.! 14:54:10

　　下面讲下SERV-U .

　　﹍JacK.! 14:55:21

　　估计有点经验的站长的站长都知道SERV-U 是黑客常拿来通过webshell提权的工具 往往这个东西也是很容易被遗忘的一个角 但也是致命的。

　　﹍JacK.! 14:56:51

　　如何防止SERV-U提权呢。

　　其实很简单。

　　1.在安装SERV-U的时候 不要默认的安装到C盘。这一点很重要，如果你安装到C盘 且C盘没有设置好权限的话 那么通过webshell有对SERV-U文件的读写权限 那么直接修改SERV-U的一个ini配置文件就可以添加用户。

　　﹍JacK.! 14:57:39

　　2. 给SERV-U这个工具本身 就设置上 一个强壮的运行密码。也是非常必要的 这一招几乎能挡住80%的SERV-U提权。

　　﹍JacK.! 14:59:02

　　3.用Ultraedit打开ServUDaemon.exe查找Ascii：LocalAdministrator，和#l@$ak#.lk;0@P，修改成其

　　他其它长度想等的字符就可以了，ServUAdmin.exe也一样处理。

　　﹍JacK.! 14:59:31

　　Ultraedit 这个工具 在百度搜下 有很多破解版的 下载的很多。

　　﹍JacK.! 15:00:04

　　可能大家都觉得 很麻烦 感觉没什么。

　　但是服务器被黑 被挂马后 你后悔 那已经晚了。

　　﹍JacK.! 15:01:03

　　如果没有其他原因的话 最好serv-u 下载使用最新的版本为好 新版本几乎都弥补了很多 。

　　﹍JacK.! 15:04:58

　　很多人问我 服务器装什么防火墙好。

　　其实 服务器真的没必要 装其他的防火墙 其实微软系统自带的防火墙 就 非常好的。

　　﹍JacK.! 15:06:19

　　开启默认防火墙 将常用的端口 80 1433 3306 21 3389 等端口还有你经常使用的特殊端口添加进去 要是条件允许的话 可以给远程端口做下 限制 只允许指定的 IP 连接3389 但是动态IP肯定不行

　　﹍JacK.! 15:06:54

　　这也就是 所谓的 3389 做下跳板除了你允许的那个IP连3389外的其他 都不能连

　　﹍JacK.! 15:10:52

　　在配置IIS站的时候。

　　删掉系统盘\inetpub目录

　　﹍JacK.! 15:11:44

　　因为这个 文件夹很多人都配置C盘安全的时候容易忽略 但是他权限是默认的 算比较大了。容易把木马传到这里提权。

　　﹍JacK.! 15:11:52

　　尤其是dll 提权文件

　　﹍JacK.! 15:14:45

　　对的 最小的权限，最大的安全!

　　很多时候都不要怕麻烦 或大意。

　　﹍JacK.! 15:15:11

　　其实 我们设置密码的时候多设置一位数 也许对黑客的破解来说就增加了N倍的 难度。

　　﹍JacK.! 15:17:00

　　因为不管是 拿shell还是 提权 都会想服务器上传一些 文件 这些木马文件 只要不是免杀做的很牛的话 一般都会被杀毒软件阻挡。

　　﹍JacK.! 15:17:09

　　安装杀毒软件，比如Mcafee和诺顿，但是不推荐国内的杀毒软件，效果差、占资源大，和国外一流软件确实没办法比

　　优秀的杀毒软件带的按照访问扫描功能一般都很好用，他能对运行

　　﹍JacK.! 15:17:31

　　我的建议是 诺顿+360 这两个结合起来 效果极佳。

　　﹍JacK.! 15:19:59

　　恩 大家在服务器上操作的时候 有些时候有些东西不能确定 你的操作是否正确 的时候千万别乱操作 服务器不想PC机器 大家都知道 搞不好 就掉远程 活假死。

　　Crazy 15:20:07

　　打上系统补丁。。还有程序补丁。一般都进不去了

　　﹍JacK.! 15:20:52

　　恩 系统补丁和程序补丁是务必要打的 连这个都不打的话 真的被黑 只能怪自己了。

　　﹍JacK.! 15:21:05

　　这些都是免费提供给我们的 漏洞信息我们应该积极的打上，

　　﹍JacK.! 15:22:23

　　万事 预防为主 等出问题再解决有点晚了 会造成一定的损失 以后也会留下隐患 现在有的 可以在图片中插入一句话 木马 确实非常难查。

　　Crazy 15:22:27

　　专门过免杀的不行。。

　　﹍JacK.! 15:23:37

　　预防+权限+日常的细心维护 我觉得这样应该会大大的降低安全隐患。

　　﹍JacK.! 15:24:50

　　好了 今天就谈大家聊这么多吧 可能有些乱，可能在坐也有很多这方面的高手，如果有说错的地方还请不吝指出 谢谢，希望大家多多交流 。

　　千里之雪 15:25:06

　　ALEX 15:25:07

　　Crazy 15:25:23

　　很实用

　　===========================

　　读后感，对于站长们来说，Jack所说的，都是一些最容易忽视，最基本的问题了，同时又很实用。 A5推荐服务器代维服务：http://safe.admin5.com

　　谢谢admin5

　　谢谢jack

　　www.9haowan.com 谢谢大家