Discuz!官方免费开源建站系统

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索

[已答复] 防止恶意用户提权

[复制链接]
edongzmm 发表于 2010-2-1 16:44:22 | 显示全部楼层 |阅读模式
大家应该都知道通过webshell 可以提权,中国 E 动 网IDC部简单的讲述一个怎么能够防止别人利用webshell进行提权,也就是说就算恶意用户取得了某个服务器某站点的webshell,也是没办法进行提升权限的。
防止webshell运行cmd命令
这里讲述一个简单的方法,那就是把默认的CMD名称改成其他任何复杂名称。自己需要使用的时候可以更改回来。这个是最简单的,当然也存在安全隐患,当恶意用户上传一个CMD到任意目录下,就可以执行了,这里可以找到很安全的设置方法,比如设置CMD 运行的权限,把所有权限都删除掉,当使用的时候在把权限加上去,wscript.shell 相信大家都比较了解它,Wscript.Shell可以调用系统内核运行DOS基本命令,这里可以通过修改注册表,将此组件改名或删除(建议改名),方法如下:
HKEY_CLASSES_ROOT\Wscript.Shell\
HKEY_CLASSES_ROOT\Wscript.Shell.1\
这个样子几个简单的步骤就可以达到webshell无法运行cmd命令的效果。
修改系统默认文件夹漏洞
也就是最常见的 C:\Documents and Settings\All Users,虽然大部分人都知道这里可以进程上传,但管理员一般很少注意到这个目录的权限问题,从而产生安全隐患。在这里我们吧此文件夹的阅读权限设置只允许管理员用户和system用户完全控制,其他的屏蔽掉即可。
Serv-U提权
Serv-U 提升权限 ASP版 6.2 ,我们怎么能够防止它进行提权呢?那么只需更改默认端口和默认FTP软件的账户和密码,默认管理员:LocalAdministrator,默认密码:[email=#l@$ak#.lk;0@P]#l@$ak#.lk;0@P[/email],其修改方法如下:
首先利用Ultraedit修改文件ServUDaemon.exe和ServUAdmin.exe两个程序,将默认密码修改成同等长度的其它字符,然后用Ultraedit打开ServUAdmin.exe查找最后一个B6AB(43958的16进制),替换成自定义的端口比如3930(12345)即可。
安全设置IIS用户
重新建立一个用户然后把用户所在组删除,让其独立,然后在IIS中指派给其网站,然后在网站跟目录指派其用户读取、运行,即可,此时即使WEBSHELL上传成功也只能在网站文件夹内活动,涉及不到其他文件夹。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

手机版|小黑屋|Discuz! 官方站 ( 皖ICP备16010102号 )star

GMT+8, 2024-11-16 22:51 , Processed in 0.027687 second(s), 3 queries , Gzip On, Redis On.

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.

快速回复 返回顶部 返回列表