Discuz!官方免费开源建站系统

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索

[ght0124]2003服务器安全相关(07.8.28更新)

[复制链接]
ght0124 发表于 2007-4-22 17:38:05 | 显示全部楼层 |阅读模式
1.将mysql运行在普通用户权限下,这是最重要的一点,大部分的入侵都是利用数据库的权限进行的。
  MYSQL的降权运行

  新建立一个用户比如mysqlstart

  net user mysqlstart fuckmicrosoft /add

  net localgroup users mysqlstart /del

  不属于任何组

  如果MYSQL装在d:\mysql ,那么,给 mysqlstart 完全控制的权限

  然后在系统服务中设置,MYSQL的服务属性,在登录属性当中,选择此用户 mysqlstart 然后输入密码,确定。

  重新启动 MYSQL服务,然后MYSQL就运行在低权限下了。
2.使用附件里的IP策略关闭所有没用的端口

管理工具-----本地安全策略-----IP安全策略----所有任务---导入策略  然后指派...


3.所有盘的根目录都不能有everyone,users 的读与运行权限。
C盘只给administrators 和system权限
其他的盘也可以这样设置
Windows目录要加上给users的默认权限,否则ASP和ASPX等应用程序就无法运行
另外在c:/Documents and Settings/这里相当重要,后面的目录里的权限根本不会继承从前的设置,如果仅仅只是设置了C盘给administrators权限,而在All Users/Application Data目录下会 出现everyone用户有完全控制权限,这样入侵这可以跳转到这个目录,写入脚本或只文件,再结合其他漏洞来提升权限;譬如利用serv-u的本地溢出提升权限,或系统遗漏有补丁,数据库的弱点

把不必要的服务都禁止掉,尽管这些不一定能被攻击者利用得上,但是按照安全规则和标准上来说,多余的东西就没必要开启,减少一份隐患。


4.加强PHP的安全
关闭危险函数
如果打开了安全模式,那么函数禁止是可以不需要的,但是我们为了安全还是考虑进去。比如,
我们觉得不希望执行包括system()等在那的能够执行命令的php函数,或者能够查看php信息的
phpinfo()等函数,那么我们就可以禁止它们:
disable_functions = system,passthru,exec,shell_exec,popen,phpinfo
关闭PHP版本信息在http头中的泄漏

  我们为了防止黑客获取服务器中php版本的信息,可以关闭该信息斜路在http头中:

  expose_php = Off

  比如黑客在 telnet www.12345.com 80 的时候,那么将无法看到PHP的信息。

  (1) 关闭注册全局变量

  在PHP中提交的变量,包括使用POST或者GET提交的变量,都将自动注册为全局变量,能够直接访问,
  这是对服务器非常不安全的,所以我们不能让它注册为全局变量,就把注册全局变量选项关闭:
  register_globals = Off
  当然,如果这样设置了,那么获取对应变量的时候就要采用合理方式,比如获取GET提交的变量var,
  那么就要用$_GET['var']来进行获取,这个php程序员要注意。

  (2) 打开magic_quotes_gpc来防止SQL注入

  SQL注入是非常危险的问题,小则网站后台被入侵,重则整个服务器沦陷,

  所以一定要小心。php.ini中有一个设置:

  magic_quotes_gpc = Off

  这个默认是关闭的,如果它打开后将自动把用户提交对sql的查询进行转换,
  比如把 ' 转为 \'等,这对防止sql注射有重大作用。所以我们推荐设置为:

  magic_quotes_gpc = On

  (3) 错误信息控制

  一般php在没有连接到数据库或者其他情况下会有提示错误,一般错误信息中会包含php脚本当
  前的路径信息或者查询的SQL语句等信息,这类信息提供给黑客后,是不安全的,所以一般服务器建议禁止错误提示:

  display_errors = Off

  如果你却是是要显示错误信息,一定要设置显示错误的级别,比如只显示警告以上的信息:

  error_reporting = E_WARNING & E_ERROR

  当然,我还是建议关闭错误提示。

  (4) 错误日志

  建议在关闭display_errors后能够把错误信息记录下来,便于查找服务器运行的原因:

  log_errors = On

  同时也要设置错误日志存放的目录,建议根apache的日志存在一起:

  error_log = D:/usr/local/apache2/logs/php_error.log

  注意:给文件必须允许apache用户的和组具有写的权限。


  如果是在windos平台下搭建的apache我们还需要注意一点,apache默认运行是system权限,
  这很恐怖,这让人感觉很不爽.那我们就给apache降降权限吧。

  net user apache fuckmicrosoft /add

  net localgroup users apache /del

  ok.我们建立了一个不属于任何组的用户apche。

  我们打开计算机管理器,选服务,点apache服务的属性,我们选择log on,选择this account,我们填入上面所建立的账户和密码,
  重启apache服务,ok,apache运行在低权限下了。

  实际上我们还可以通过设置各个文件夹的权限,来让apache用户只能执行我们想让它能干的事情,给每一个目录建立一个单独能读写的用户。
  这也是当前很多虚拟主机提供商的流行配置方法哦,不过这种方法用于防止这里就显的有点大材小用了。

.不要装PCanywhere或Radmin因为它们本身就存在安全问题,可以直接用windows 2003自带的3389,它比任何远程控制软件都安全。

.不要在服务器上双击运行任何程序,不然你中了木马都不知道。

.不要在服务器上用IE打开用户的硬盘中的网页,这是危险的行为。

.不要在服务器上浏览图片,以前windows就出过GDI+的安全漏洞。

.确保你自己的电脑安全,如果你自己的电脑不安全,服务器也不可能安全。

.检查sytem32目录的net.exe,cmd.exe,tftp.exe,netstat.exe,regedit.exe,at.exe,attrib.exe,cacls.exe只能有adms,system的全权权限.

网站目录也要用普通用户运行,附件和头像目录不能有执行权限。。

在网上邻居 右键属性 把打印和共享卸载掉

打开组策略编辑器,依次展开“计算机配置→Windows 设置→安全设置→本地策略→安全选项”,在右侧窗口中找到“网络访问:可远程访问的注册表路径”,然后在打开的窗口中,将可远程访问的注册表路径和子路径内容全部设置为空

为了防止登陆到其中的用户,随意启动服务器中的应用程序,给服务器的正常运行带来不必要的麻烦,我们很有必要根据不同用户的访问权限,来限制

  他们去调用应用程序。实际上我们只要使用组策略编辑器作进一步的设置,即可实现这一目的,具体步骤如下:

  打开“组策略编辑器”的方法为:依次点击“开始→运行”,在“运行”对话框中键入“gpedit.msc”命令并回车,即可打开“组策略编辑器”窗口。然后依次打开“组策略控制台→用户配置→管理模板→系统”中的“只运行许可的Windows应用程序”并启用此策略

 然后点击下面的“允许的应用程序列表”边的“显示”按钮,弹出一个“显示内容”对话框,在此单击“添加”按钮来添加允许运行的应用程序即可,以后一般用户只能运行“允许的应用程序列表”中的程序

PS:关于ASP
目前比较流行的ASP木马主要通过三种技术来进行对服务器的相关操作。

开始 运行 regedit.exe 进行下面的操作

  一、使用FileSystemObject组件

  FileSystemObject可以对文件进行常规操作

  可以通过修改注册表,将此组件改名,来防止此类木马的危害。

  HKEY_CLASSES_ROOT\Scripting.FileSystemObject\

  改名为其它的名字,如:改为FileSystemObject_ChangeName

  自己以后调用的时候使用这个就可以正常调用此组件了

  也要将clsid值也改一下

  HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值

  也可以将其删除,来防止此类木马的危害。

  注销此组件命令:RegSrv32 /u C:\WINDOWS\SYSTEM\scrrun.dll

  禁止Guest用户使用scrrun.dll来防止调用此组件。

  使用命令:cacls C:\WINDOWS\system32\scrrun.dll /e /d guests

  二、使用WScript.Shell组件

  WScript.Shell可以调用系统内核运行DOS基本命令

  可以通过修改注册表,将此组件改名,来防止此类木马的危害。

  HKEY_CLASSES_ROOT\WScript.Shell\
  及HKEY_CLASSES_ROOT\WScript.Shell.1\

  改名为其它的名字,如:改为WScript.Shell_ChangeName或WScript.Shell.1_ChangeName

  自己以后调用的时候使用这个就可以正常调用此组件了

  也要将clsid值也改一下

  HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
  HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值

  也可以将其删除,来防止此类木马的危害。

  三、使用Shell.Application组件

  Shell.Application可以调用系统内核运行DOS基本命令

  可以通过修改注册表,将此组件改名,来防止此类木马的危害。

  HKEY_CLASSES_ROOT\Shell.Application\
  及HKEY_CLASSES_ROOT\Shell.Application.1\

  改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName

  自己以后调用的时候使用这个就可以正常调用此组件了

  也要将clsid值也改一下

  HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
  HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值

  也可以将其删除,来防止此类木马的危害。

  禁止Guest用户使用shell32.dll来防止调用此组件。

  使用命令:cacls C:\WINDOWS\system32\shell32.dll /e /d guests

  注:操作均需要重新启动WEB服务后才会生效。





一个时时小心的网管,是服务器安全的最后保障,按以上设置后,就算你的用户上传了木马在自己的网站中,也绝对影响不了服务器。

[ 本帖最后由 ght0124 于 2008-4-8 23:48 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x

评分

2

查看全部评分

缘亦如此 发表于 2007-4-23 09:04:13 | 显示全部楼层
支持一下哟,很有用的!~
回复

使用道具 举报

pc77maikongjian 发表于 2007-4-23 10:56:44 | 显示全部楼层
谢谢分享.了
回复

使用道具 举报

 楼主| ght0124 发表于 2007-4-24 10:41:03 | 显示全部楼层
好多人都要中木马!
回复

使用道具 举报

Flash菲 发表于 2007-4-26 10:20:17 | 显示全部楼层
没中过....彩票.....
回复

使用道具 举报

SystemMessage 发表于 2007-4-26 10:20:52 | 显示全部楼层
zhi chi yi xia~
回复

使用道具 举报

 楼主| ght0124 发表于 2007-4-27 01:58:46 | 显示全部楼层
就是嘛。。要支持下
回复

使用道具 举报

 楼主| ght0124 发表于 2007-4-27 17:52:14 | 显示全部楼层
感动中.......
回复

使用道具 举报

vr3000 发表于 2007-4-27 21:26:13 | 显示全部楼层
不敢不回贴...
该贴下了诅咒..
回复

使用道具 举报

伊泽浩 发表于 2007-4-28 11:55:33 | 显示全部楼层
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

手机版|小黑屋|Discuz! 官方站 ( 皖ICP备16010102号 )star

GMT+8, 2024-11-18 01:23 , Processed in 0.051540 second(s), 4 queries , Gzip On, Redis On.

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.

快速回复 返回顶部 返回列表