571.Com安全配置方案
自己的破BLOG:571.Com,被黑了N次哈哈,自己慢慢也总结吸取了很多经验,付本人BLOG配置方案:
服务器结构:仅本人一个BLOG,无其他站点。
网站结构:0BLOG4.0版本(补丁更新于2006年12月,使用至2007年6月中旬,服务器故障,使用暂停)
WEB部分结构分析:(仔细分析出访问你网站的用户在正常情况下会访问到那些磁盘文件)
所有从客户端浏览本人BLOG的用户,会正常访问到如下文件:
首页文件、Uploadfiles目录文件、日志目录文件xiumu、SWF文件1个、首页调用JS文件4个、CSS文件2个、音乐文件HTM静态页面1个、跳转静态HTM页面1个、音乐文件目录MP3、评论文件savecomment.asp、留言文件savemessage.asp、BLOG本身各种图片、模版资源目录images、IMG。
管理人员木GG将从客户端访问到的常用管理后台文件如下:
ADMIN目录及所有文件、根目录下的几个用于登陆、更新、删除、发表的文件:
LOGIN.ASP(后台登陆页面)
upload.asp(文件上传页面)
user_index.asp(登陆后跳转页面)
user_comments.asp(评论管理页面)
user_messages.asp(留言管理页面)
user_post.asp(日志发表、修改页面)
user_profile.asp(上传页面)
以及更新跳转后INDEX页面文件一个
IIS帐号:5个
作用如下:
IIS-A用于从浏览器访问本人BLOG的用户正常浏览使用
IIS-B用于数据库写操作
IIS-C(非匿名使用)用于后台管理目录及文件控制
IIS-D用于BLOG后台自带文件上传进行文件上传操作
IIS-E用于首页文件及相关调用文件的匿名访问使用
IIS帐号具体配置作用:
IIS-A:此帐号赋予对前面提到的:Uploadfiles目录文件、日志目录文件xiumu、BLOG本身各种图片、模版资源目录images、IMG。IIS-A对这几个目录及文件赋予读取的权限(也可直接在根目录赋予整个目录给予该帐号读取、运行权限,然后将不必要赋予的目录一一去掉)在磁盘上赋予它对数据库的读取权限,但IIS上数据库文件请使用非匿名。
防范意义:正常情况下,普通用户浏览到的页面,对应的IIS为其配备的匿名访问帐号,所需要进行的操作仅仅是读取。也就是让用户在浏览器上看到你的网站内容,他并不需要进行写及其他无意义操作。需要知道的是:脚本漏洞的入侵,很多时候,就是因为一些不必要的文件被赋予了写权限,导致的。。
IIS-B:此帐号赋予对前面提到的:评论文件savecomment.asp、留言文件savemessage.asp的写数据库操作,因为浏览我网站的用户,要对本人数据库进行正常的写操作,只有:回复和评论才会触发正常的数据库添加。
对于这两个文件,将其匿名访问用户更改为IIS-B、同时将这两个文件在磁盘的权限设置为仅可以对自身读取运行、除数据库文件外,不可以对根目录下任何文件进行写操作,此帐号可以读CONN目录及根目录下几个数据配置文件。可以对数据库文件进行写操作、IIS-B拥有对数据库的写权限但无删除权限。
这样从浏览器访问的用户,对本人数据库的写操作,只能通过回复、评论这两个文件进行,而这两个文件对自身和整个BLOG除数据库文件外,并无写权限。
IIS-C:此帐号赋予对前面提到的常用管理目录及文件:
ADMIN目录及所有文件、根目录下的几个用于登陆、更新、删除、发表的文件:
LOGIN.ASP(后台登陆页面)
user_index.asp(登陆后跳转页面)
user_comments.asp(评论管理页面)
user_messages.asp(留言管理页面)
user_post.asp(日志发表、修改页面)
以及更新跳转后INDEX页面文件一个
这些文件及目录被赋予如下权限:
取消这些文件及目录的匿名访问权限,只允许使用NT非匿名验证帐号IIS-C进行登陆访问。IIS-C赋予对这些文件及目录读取、运行权限,该帐号对被赋予读取运行权限的目录及文件无写权限、该IIS非匿名帐号同时赋予对数据库文件、BLOG日志静态生成页面目录:XIUMU的写权限、无删除目录及文件权限。
对配置文件目录和文件可以赋予读取权限(由于各种网站结构不同,调试的时候照抄可能会出错,也可以赋予读取运行权限,对安全无太大影响)。这样就可以正常更新网站。并最大限度的控制住后台管理对磁盘目录的操作权限、防止对方通过脚本漏洞饶过后台验证。
IIS-D:此帐号赋予对前面提到的两个后台上传文件:
user_profile.asp(上传页面)
upload.asp(文件上传页面)
这两个后台自带的上传页面,在磁盘上赋予他们对自身的读取运行权限、并赋予其对自己上传的文件所保存在的Uploadfiles目录写权限。(此法容易导致出错,我的方式是在根目录赋予读取运行权限,子目录及文件全部继承。然后将目录及不必要的文件的IIS-D的权限全部删除。然后保留其可能调用到的其他根目录及CONN目录下的文件的读取运行权限)
这样就可以杜绝上传漏洞,防止对方通过上传脚本后门到BLOG根目录下或Uploadfiles目录里,因为Uploadfiles目录和根目录下其他ASP文件,如果能被匿名访问到的,其对应匿名帐号权限均无法对其他文件和目录进行任何操作。
因为IIS-D仅对Uploadfiles目录有写权限,所以杜绝了类似动网“UPFILE.ASP”的文件任意上传漏洞。而对应Uploadfiles目录被赋予的匿名访问用户是IIS-A,本身Uploadfiles目录无法执行。就算可以执行脚本,其IIS-A的匿名用户也无法对BLOG进行任何操作。
IIS-E:此帐号主要是用来装B的。。因为伪黑客木GG怕人家黑我BLOG。所以专门配置了一个IIS匿名帐号,此IIS匿名帐号赋予对前面提到的文件:
首页文件、SWF文件1个、首页调用JS文件4个、CSS文件2个、音乐文件HTM静态页面1个、跳转静态HTM页面1个、音乐文件目录MP3
对于这些文件和目录,单独使用IIS-E对它们赋予读取权限。而IIS-E没有任何对其他目录和文件操作的权限。当用户访问这些首页及相关首页调用文件的时候,所使用的是IIS-E这个匿名帐号。而BLOG目录下其他任何文件和目录均无法使用IIS-E。杜绝了装B文件和BLOG文件的联系。
目录权限设置:
任何与浏览器访问到的页面无联系的目录及文件都赋予IIS非匿名。(各个站用的程序都不同,这个自己慢慢摸索)
IP安全策略设置:
本人使用闻都死自带的终端服务,修改端口后。在策略里对此端口的访问,只允许两个IP(1个主VPN、1个备用VPN)
IIS部分的IP安全设置:
将如下文件拒绝所有IP访问,只允许本人的两个VPN的IP访问
ADMIN目录及所有文件、根目录下的几个用于登陆、更新、删除、发表的文件:
LOGIN.ASP(后台登陆页面)
upload.asp(文件上传页面)
user_index.asp(登陆后跳转页面)
user_comments.asp(评论管理页面)
user_messages.asp(留言管理页面)
user_post.asp(日志发表、修改页面)
user_profile.asp(上传页面)
以及更新跳转后INDEX页面文件一个
至于脚本执行权限的目录设置,这个我就不罗嗦了,无脚本文件的目录和无需使用到的脚本文件目录全部不允许执行脚本!
SSL部分设置:
安装闻都死自带的SSL证书服务,颁发客户端证书一个。IIS内设置后台管理页面及文件需要使用证书。
FTP部分设置:
由于本人不喜欢FTP的界面,一般都是直接连着终端和本地磁盘。BLOG目录也基本上不用上传什么,需要传什么,都是通过后台上传。偶尔传些文件,也就是传到BLOG下的DOWN目录,此目录无执行权限。FTP也仅对该目录有写入权限。无法对其他目录进行操作。我一般用IIS自带的FTP,偶尔也用SERV-U(方便),也就是老一套了~改改默认密码、加个SSL证书。FTP对本人BLOG无威胁,所以也就这样了。
防火墙部分配置:
开启闻都死自带防火墙,允许WEB、终端、FTP、SSL端口进站。
ISAPI筛选器设置:只允许指定文件名和路径的ASP文件运行(我以前有个朋友写的DLL,服务器这次送修去了,现在的服务器上木有那个DLL。。这个ISAPI筛选,可以只允许指定路径和文件名的文件才被访问到。。等服务器送回来,就发出来~
至于对闻都死其他目录的配置,网上教程很多,说的都烂了,我就不在这里浪费大家时间。推荐猪头3的163VV安全配置,很详细易懂。
地址:http://forum.eviloctal.com/read-htm-tid-19566-keyword-.html
以上配置全部是根据自身使用而摸索出的防范方法。个人认为可以完全杜绝脚本漏洞引发的安全问题~
以上言论纯粹木GG自虐,找砖....
此配置于07年2月开始使用,截止2007年6月中旬BLOG服务器中断前未被黑,发一篇曾经在EST装B的文章,大家就可以仔细明白如上配置的作用了~地址如下:
http://forum.eviloctal.com/read-htm-tid-27073.html
欢迎大家安全检测朽木BLOG
为了方便大家获得SHELL,特帮各位黑客上传好了。欢迎黑掉朽木BLOG、把朽木的首页换成你喜欢的黑页~
SHELL地址:http://www.kaonima.com/api/sa.asp?xiumu=hack
密码:xiumu
数据库地址:http://www.kaonima.com/data/mdsdksfk.mdb
管理后台系统帐号密码:http://www.kaonima.com/admin/admin_login.asp
帐号:admin
密码:221310mimi
3389登陆:
IP:222.185.245.134(端口默认)
帐号xiumugg
密码221310gg
(此帖已过期,仅供参考)
注:参考本人配置方法者请谨慎,本人在摸索过程中曾经两次将所有配置误删、多次误删IIS、多次导致BLOG无法正常运行。此法需要仔细摸索清楚后方可使用。否则导致您的网站或服务器出现无法解决的问题,还请您多多“GOOGLE”
服务器结构:仅本人一个BLOG,无其他站点。
网站结构:0BLOG4.0版本(补丁更新于2006年12月,使用至2007年6月中旬,服务器故障,使用暂停)
WEB部分结构分析:(仔细分析出访问你网站的用户在正常情况下会访问到那些磁盘文件)
所有从客户端浏览本人BLOG的用户,会正常访问到如下文件:
首页文件、Uploadfiles目录文件、日志目录文件xiumu、SWF文件1个、首页调用JS文件4个、CSS文件2个、音乐文件HTM静态页面1个、跳转静态HTM页面1个、音乐文件目录MP3、评论文件savecomment.asp、留言文件savemessage.asp、BLOG本身各种图片、模版资源目录images、IMG。
管理人员木GG将从客户端访问到的常用管理后台文件如下:
ADMIN目录及所有文件、根目录下的几个用于登陆、更新、删除、发表的文件:
LOGIN.ASP(后台登陆页面)
upload.asp(文件上传页面)
user_index.asp(登陆后跳转页面)
user_comments.asp(评论管理页面)
user_messages.asp(留言管理页面)
user_post.asp(日志发表、修改页面)
user_profile.asp(上传页面)
以及更新跳转后INDEX页面文件一个
IIS帐号:5个
作用如下:
IIS-A用于从浏览器访问本人BLOG的用户正常浏览使用
IIS-B用于数据库写操作
IIS-C(非匿名使用)用于后台管理目录及文件控制
IIS-D用于BLOG后台自带文件上传进行文件上传操作
IIS-E用于首页文件及相关调用文件的匿名访问使用
IIS帐号具体配置作用:
IIS-A:此帐号赋予对前面提到的:Uploadfiles目录文件、日志目录文件xiumu、BLOG本身各种图片、模版资源目录images、IMG。IIS-A对这几个目录及文件赋予读取的权限(也可直接在根目录赋予整个目录给予该帐号读取、运行权限,然后将不必要赋予的目录一一去掉)在磁盘上赋予它对数据库的读取权限,但IIS上数据库文件请使用非匿名。
防范意义:正常情况下,普通用户浏览到的页面,对应的IIS为其配备的匿名访问帐号,所需要进行的操作仅仅是读取。也就是让用户在浏览器上看到你的网站内容,他并不需要进行写及其他无意义操作。需要知道的是:脚本漏洞的入侵,很多时候,就是因为一些不必要的文件被赋予了写权限,导致的。。
IIS-B:此帐号赋予对前面提到的:评论文件savecomment.asp、留言文件savemessage.asp的写数据库操作,因为浏览我网站的用户,要对本人数据库进行正常的写操作,只有:回复和评论才会触发正常的数据库添加。
对于这两个文件,将其匿名访问用户更改为IIS-B、同时将这两个文件在磁盘的权限设置为仅可以对自身读取运行、除数据库文件外,不可以对根目录下任何文件进行写操作,此帐号可以读CONN目录及根目录下几个数据配置文件。可以对数据库文件进行写操作、IIS-B拥有对数据库的写权限但无删除权限。
这样从浏览器访问的用户,对本人数据库的写操作,只能通过回复、评论这两个文件进行,而这两个文件对自身和整个BLOG除数据库文件外,并无写权限。
IIS-C:此帐号赋予对前面提到的常用管理目录及文件:
ADMIN目录及所有文件、根目录下的几个用于登陆、更新、删除、发表的文件:
LOGIN.ASP(后台登陆页面)
user_index.asp(登陆后跳转页面)
user_comments.asp(评论管理页面)
user_messages.asp(留言管理页面)
user_post.asp(日志发表、修改页面)
以及更新跳转后INDEX页面文件一个
这些文件及目录被赋予如下权限:
取消这些文件及目录的匿名访问权限,只允许使用NT非匿名验证帐号IIS-C进行登陆访问。IIS-C赋予对这些文件及目录读取、运行权限,该帐号对被赋予读取运行权限的目录及文件无写权限、该IIS非匿名帐号同时赋予对数据库文件、BLOG日志静态生成页面目录:XIUMU的写权限、无删除目录及文件权限。
对配置文件目录和文件可以赋予读取权限(由于各种网站结构不同,调试的时候照抄可能会出错,也可以赋予读取运行权限,对安全无太大影响)。这样就可以正常更新网站。并最大限度的控制住后台管理对磁盘目录的操作权限、防止对方通过脚本漏洞饶过后台验证。
IIS-D:此帐号赋予对前面提到的两个后台上传文件:
user_profile.asp(上传页面)
upload.asp(文件上传页面)
这两个后台自带的上传页面,在磁盘上赋予他们对自身的读取运行权限、并赋予其对自己上传的文件所保存在的Uploadfiles目录写权限。(此法容易导致出错,我的方式是在根目录赋予读取运行权限,子目录及文件全部继承。然后将目录及不必要的文件的IIS-D的权限全部删除。然后保留其可能调用到的其他根目录及CONN目录下的文件的读取运行权限)
这样就可以杜绝上传漏洞,防止对方通过上传脚本后门到BLOG根目录下或Uploadfiles目录里,因为Uploadfiles目录和根目录下其他ASP文件,如果能被匿名访问到的,其对应匿名帐号权限均无法对其他文件和目录进行任何操作。
因为IIS-D仅对Uploadfiles目录有写权限,所以杜绝了类似动网“UPFILE.ASP”的文件任意上传漏洞。而对应Uploadfiles目录被赋予的匿名访问用户是IIS-A,本身Uploadfiles目录无法执行。就算可以执行脚本,其IIS-A的匿名用户也无法对BLOG进行任何操作。
IIS-E:此帐号主要是用来装B的。。因为伪黑客木GG怕人家黑我BLOG。所以专门配置了一个IIS匿名帐号,此IIS匿名帐号赋予对前面提到的文件:
首页文件、SWF文件1个、首页调用JS文件4个、CSS文件2个、音乐文件HTM静态页面1个、跳转静态HTM页面1个、音乐文件目录MP3
对于这些文件和目录,单独使用IIS-E对它们赋予读取权限。而IIS-E没有任何对其他目录和文件操作的权限。当用户访问这些首页及相关首页调用文件的时候,所使用的是IIS-E这个匿名帐号。而BLOG目录下其他任何文件和目录均无法使用IIS-E。杜绝了装B文件和BLOG文件的联系。
目录权限设置:
任何与浏览器访问到的页面无联系的目录及文件都赋予IIS非匿名。(各个站用的程序都不同,这个自己慢慢摸索)
IP安全策略设置:
本人使用闻都死自带的终端服务,修改端口后。在策略里对此端口的访问,只允许两个IP(1个主VPN、1个备用VPN)
IIS部分的IP安全设置:
将如下文件拒绝所有IP访问,只允许本人的两个VPN的IP访问
ADMIN目录及所有文件、根目录下的几个用于登陆、更新、删除、发表的文件:
LOGIN.ASP(后台登陆页面)
upload.asp(文件上传页面)
user_index.asp(登陆后跳转页面)
user_comments.asp(评论管理页面)
user_messages.asp(留言管理页面)
user_post.asp(日志发表、修改页面)
user_profile.asp(上传页面)
以及更新跳转后INDEX页面文件一个
至于脚本执行权限的目录设置,这个我就不罗嗦了,无脚本文件的目录和无需使用到的脚本文件目录全部不允许执行脚本!
SSL部分设置:
安装闻都死自带的SSL证书服务,颁发客户端证书一个。IIS内设置后台管理页面及文件需要使用证书。
FTP部分设置:
由于本人不喜欢FTP的界面,一般都是直接连着终端和本地磁盘。BLOG目录也基本上不用上传什么,需要传什么,都是通过后台上传。偶尔传些文件,也就是传到BLOG下的DOWN目录,此目录无执行权限。FTP也仅对该目录有写入权限。无法对其他目录进行操作。我一般用IIS自带的FTP,偶尔也用SERV-U(方便),也就是老一套了~改改默认密码、加个SSL证书。FTP对本人BLOG无威胁,所以也就这样了。
防火墙部分配置:
开启闻都死自带防火墙,允许WEB、终端、FTP、SSL端口进站。
ISAPI筛选器设置:只允许指定文件名和路径的ASP文件运行(我以前有个朋友写的DLL,服务器这次送修去了,现在的服务器上木有那个DLL。。这个ISAPI筛选,可以只允许指定路径和文件名的文件才被访问到。。等服务器送回来,就发出来~
至于对闻都死其他目录的配置,网上教程很多,说的都烂了,我就不在这里浪费大家时间。推荐猪头3的163VV安全配置,很详细易懂。
地址:http://forum.eviloctal.com/read-htm-tid-19566-keyword-.html
以上配置全部是根据自身使用而摸索出的防范方法。个人认为可以完全杜绝脚本漏洞引发的安全问题~
以上言论纯粹木GG自虐,找砖....
此配置于07年2月开始使用,截止2007年6月中旬BLOG服务器中断前未被黑,发一篇曾经在EST装B的文章,大家就可以仔细明白如上配置的作用了~地址如下:
http://forum.eviloctal.com/read-htm-tid-27073.html
欢迎大家安全检测朽木BLOG
为了方便大家获得SHELL,特帮各位黑客上传好了。欢迎黑掉朽木BLOG、把朽木的首页换成你喜欢的黑页~
SHELL地址:http://www.kaonima.com/api/sa.asp?xiumu=hack
密码:xiumu
数据库地址:http://www.kaonima.com/data/mdsdksfk.mdb
管理后台系统帐号密码:http://www.kaonima.com/admin/admin_login.asp
帐号:admin
密码:221310mimi
3389登陆:
IP:222.185.245.134(端口默认)
帐号xiumugg
密码221310gg
(此帖已过期,仅供参考)
注:参考本人配置方法者请谨慎,本人在摸索过程中曾经两次将所有配置误删、多次误删IIS、多次导致BLOG无法正常运行。此法需要仔细摸索清楚后方可使用。否则导致您的网站或服务器出现无法解决的问题,还请您多多“GOOGLE”
顶(0)
踩(0)
上一篇:PHP脚本木马的高级防范
- 最新评论