从最近若干次失败的入侵谈加固WIN服务器的安全
好久没写日记了,最近过的太失败了...一堆事情压的好累...每天跟着美国的作息时间走,不过也拿到了不少webshell,只是换不了钱...
最近渗透了好多站,以asp为主,有轻轻松松成功,也有艰难的成功,也有无数次尝试耗时若干后的狼狈失败,这里我谈谈从一些失败中得出的加固WINDOWS服务器的经验。
一般而言,一台Windows2003安装完系统与IIS以后,要做一些相应的安全措施(在入侵中,我看到有很多服务器都是原始状态的,哎,这些网管拿这钱不干事,还不如换我呢:)):
1.打上补丁,sp1sp2sp3;装杀毒软件;备份系统;
2.关闭不需要的端口,设置帐户,禁用不需要的帐户,设置IIS权限,目录权限(各个目录对应各个帐户,各自赋予guest权限),修改密码策略,越难越好;
3.另外还有安全策略,注册表修改终端或者禁用终端,删除共享等等等,不具体细说了。
以上的设置引起的问题我基本都遇见过,现在谈三个让我很郁闷的入侵例子:
1.有次遇到个机子,什么都可以写入,就是不能写入(包括上传)含asp与asa的文件,甚至连目录都不行,有ewebeditor,我可以遍历目录,后台有个backup.ASP,可以备份数据库(备份的时候可以生成目录),可是无论ewebeditor上传,还是备份写入,都不能把asp与asa后缀的写进入,而其他后缀都可以,像cdx与cer都行,只是不能运行...我想生成个asp后缀的目录,也不能,但生成含有其他名字的目录都可以,真够变态了,一夜搞到天亮,都没拿到webshell,只得放弃。
评价:这个估计是有软件防火墙或者硬件防火墙在保护...
2.遇到个机子,系统跟上面是同一个系统,没有上面的问题,却有更郁闷的问题,整个站点只有uploadfiles等几个图片目录可写,而可写的这几个目录都不能运行脚本,所以无论上传还是备份,除了那几个目录,其他目录写不进去,可是写进这几个目录,却一点用也没有,只能望洋兴叹...
评价:够变态,估计也是防火墙设置的,但不排除人为设置...
3.某主机可以上传asa或者asp的文件,也可以运行,可是一运行马就提示缺少对象,或者提示:ActiveX 部件不能创建对象: 'Scripting.FileSystemObject',马根本运行不起来,小马写进去写不进大马,我的大马是一句话写进去的,可是运行CS版本的海洋,却一片空白,我超级无语了。
评价:很典型的配置,删除WScript.Shell, Shell.application, WScript.Network:
我感觉如果一个服务器的每个站点都做如上的设置,估计应该无人能敌了...
继续学习中...
最近渗透了好多站,以asp为主,有轻轻松松成功,也有艰难的成功,也有无数次尝试耗时若干后的狼狈失败,这里我谈谈从一些失败中得出的加固WINDOWS服务器的经验。
一般而言,一台Windows2003安装完系统与IIS以后,要做一些相应的安全措施(在入侵中,我看到有很多服务器都是原始状态的,哎,这些网管拿这钱不干事,还不如换我呢:)):
1.打上补丁,sp1sp2sp3;装杀毒软件;备份系统;
2.关闭不需要的端口,设置帐户,禁用不需要的帐户,设置IIS权限,目录权限(各个目录对应各个帐户,各自赋予guest权限),修改密码策略,越难越好;
3.另外还有安全策略,注册表修改终端或者禁用终端,删除共享等等等,不具体细说了。
以上的设置引起的问题我基本都遇见过,现在谈三个让我很郁闷的入侵例子:
1.有次遇到个机子,什么都可以写入,就是不能写入(包括上传)含asp与asa的文件,甚至连目录都不行,有ewebeditor,我可以遍历目录,后台有个backup.ASP,可以备份数据库(备份的时候可以生成目录),可是无论ewebeditor上传,还是备份写入,都不能把asp与asa后缀的写进入,而其他后缀都可以,像cdx与cer都行,只是不能运行...我想生成个asp后缀的目录,也不能,但生成含有其他名字的目录都可以,真够变态了,一夜搞到天亮,都没拿到webshell,只得放弃。
评价:这个估计是有软件防火墙或者硬件防火墙在保护...
2.遇到个机子,系统跟上面是同一个系统,没有上面的问题,却有更郁闷的问题,整个站点只有uploadfiles等几个图片目录可写,而可写的这几个目录都不能运行脚本,所以无论上传还是备份,除了那几个目录,其他目录写不进去,可是写进这几个目录,却一点用也没有,只能望洋兴叹...
评价:够变态,估计也是防火墙设置的,但不排除人为设置...
3.某主机可以上传asa或者asp的文件,也可以运行,可是一运行马就提示缺少对象,或者提示:ActiveX 部件不能创建对象: 'Scripting.FileSystemObject',马根本运行不起来,小马写进去写不进大马,我的大马是一句话写进去的,可是运行CS版本的海洋,却一片空白,我超级无语了。
评价:很典型的配置,删除WScript.Shell, Shell.application, WScript.Network:
regsvr32/u C:\WINDOWS\System32\wshom.ocx
del C:\WINDOWS\System32\wshom.ocx
regsvr32/u C:\WINDOWS\system32\shell32.dll
del C:\WINNT\WINDOWS\shell32.dll
我感觉如果一个服务器的每个站点都做如上的设置,估计应该无人能敌了...
继续学习中...
关于作者
评论0次