当前位置：首页 > 实用文档 > 其他范文> FTP常用软件servu的安全权限处理WEB安全

FTP常用软件servu的安全权限处理WEB安全

时间：2022-12-10 08:04:18 其他范文收藏本文下载本文

FTP常用软件servu的安全权限处理WEB安全（锦集8篇）由网友“板甲牧师安度因”投稿提供，以下是小编整理过的FTP常用软件servu的安全权限处理WEB安全，欢迎阅读分享。

篇1：FTP常用软件servu的安全权限处理WEB安全

1.首先打开serv-u管理添加serv-u为系统服务,在自动开始打上勾

2.下面就到了该对SERV－U进行安全设置的时候了，首先建立一个WINDOWS账号(例如ftptest,密码设置复杂些)

点击开始-所有程序-管理工具-计算机管理-本地用户和组

3.建好账号以后，双击建好的用户编辑用户属性，从“隶属于”里删除USERS组。

4.在开始菜单的管理工具里找到“服务”点击打开。在“Serv-U FTP Server服务”上点右键，选择属性继续。

然后点击“登录”进入登录账号选择界面。选择刚才建立的系统账号名，并在下面重复输入2次该账号的密码（就是刚才让你记住的那个），然后点“应用”，再次点确定，完成服务的设置，

5.找到serv-u的安装目录(C:\Program Files\RhinoSoft.com\Serv-U)设置serv-u安装目录的权限

添加所有权限除了(完全控制,删除,更改权限,取得所有权限)

现在，在服务里重启Serv-U FTP Server服务就可以正常启动了。当然，到这里还没有完全设置完，你的FTP用户因为没有权限还是登录不了的，所以还要设置一下目录的权限

7.假设你有一个WEB目录，路径是d:\web。那么在这个目录的“安全设定”里除了管理员和IIS用户都删除掉，再加入ftptest账号，切记SYSTEM账号也删除掉。为什么要这样设置呢？因为现在已经是用ftptest账号启动的SERV－U，而不是用SYSTEM权限启动的了，所以访问目录不再是用SYSTEM而是用ftptest，此时SYSTEM已经没有用了，这样就算真的溢出也不可能得到SYSTEM权限。另外，WEB目录所在盘的根目录还要设置允许ftptest账号的浏览和读取权限(除了完全控制,更改权限,取得所有权限,遍历文件夹/运行文件)，并确认在高级里设置只有该文件夹

至此，设置全部结束。

篇2：servu ftp软件的攻击防守其他安全

在看这篇文章之前，有几点要注意

1、everyone用户完全控制目录在服务器上绝对不能出现

2、web目录上的权限都是独立的一般情况下是读取和写入，无运行权利

3、ipsec做了限定相关出入站端口访问

serv-u本地默认管理端口，以默认管理员登陆新建域和用户来执行命令，serv-u v3.x以上的版本默认本地管理端口是：127.0.0.1:43958，所以只能本机连接，默认管理员：

localadministrator，默认密码：#l@$ak#.lk;0@p，这是集成在serv-u内部的，可以以guest权限来进连接，对serv-u进行管理,如图1

防止办法和对策:

serv-u v6以下的版本可以直接用ultraedit修改文件servudaemon.exe和servuadmin.exe,把默认密码修改成等长度的其它字符就可以了,用

ultraedit打开servuadmin.exe查找最后一个b6ab(43958的16进制)，替换成自定义的端口比如3930（12345），不过因为serv-u v6以下版本有远程缓冲区溢出漏洞，不建议使用

serv-u v6以上的版本可以在servudaemon.ini中加上localsetupportno=12345,可改变默认的管理端口,采用ipsec限制任何ip访问12345端口访

问,即增加12345端口的阻止,如果不改默认端口,就增加43958端口的阻止,如果“使用设置更改密码”的按钮,即在 servudaemon.ini中加上

localsetuppassword=ah6a0ed50add0a516da36992db43f3aa39之类的md5密码,如果不修改默认管理密码的话, 原来的#l@$ak#.lk;0@p依旧保存只有当密码为空时使用，再加上管理端口的限定localsetupportno=12345，当然程序中也要改端口的

设置目录权限，通过去掉web目录iis访问用户的执行权限来防止使用webshell来运行exp程序，但这个方法有一定的局限性，需要设置的目录很多，不能有一点疏漏，如果有一个目录设置错误，就会导致可以在这个目录上传并运行exp，因为web上的权限都是独立的一般情况下是读取和写入.无运行权利.那么上传其他文件进行执行成功可能性不大，修改serv-u安装目录c:\program files\serv-u的权限（比如说这个目录，不过为了安全，请不要使用默认目录），administrator组完全控制，拒绝guests组用户访问serv-u目录，这是防止用户使用webshell来下载 servudaemon.exe，用ultraedit打开分析serv-u的帐号密码，并修改编译上传运行,那前面做的工作都没有作用了,因为这里默认管理端口在程序文件中已经修改，在servudaemon.ini中也已经修改，这样来说默认的管理员连接不上了

最后一条，因为serv-u是以服务启动默认是以system权限运行的，才会有被权限提升的可能，

servu ftp软件的攻击防守其他安全

，

只需要把serv-u的启动用户改成一个user组的用户，那么就再不会有所谓的权限提升了。但要注意的是，这个低权限用户一定要对serv-u安装目录和提供ftp服务的目录或盘符有完全控制的权限。经测试发现，使用普通组用户启动的serv-u是不能增加用户和删除用户的，其他一切正常

关键字：其他安全

篇3：SERVU的Sniffer测试和防范WEB安全

SERV-U是一款很普及的FTP工具，利用其搭建FTP服务器非常简单，但是默认配置下SERV-U用21端口提供FTP服务，并且数据没有进行任何的加密是明文传递。因此，一个恶意用户可以通过sniffer工具获取FTP用户的帐户和密码。下面，我们部署环境进行SERV-U的Sniffer测试。

一、SERV-U的Sniffer测试

1、测试环境：

A、B同一子网的两台计算机，B是员工计算机，一名员工通过其访问公司的FTP服务器。A是我们安装了sniffer的计算机，其目的是嗅探使用B计算机访问FTP服务器的员工的帐户和密码。

2、测试过程：

(1).在A计算机上安装sniffer嗅探工具，并启动该程序。在sniffer软件中通过上方的“matrix”(矩阵)按钮启动监测界面，打开监测界面后我们就可以开始监测网络中的数据包了。通过菜单栏的“capture(捕获)→start(开始)”启动。在检测数据包窗口中我们点左下角的objects(对象)标签，然后选择station(状态)，这样将把当前网络中所有通信都显示在窗口中。(图1)

(2).这时候我们通知B计算机的员工使用电脑登录了FTP服务器，那么我们在sniffer中点菜单的“capture(捕获)→stop and display(停止并显示)”。这里假设我们FTP服务器的IP地址为192.168.1.20，那么我们从显示的地址列表中找到关于192.168.1.20这个IP的数据包，然后点下方的“DECODE(反解码)”按钮进行数据包再分析。(图2)

(3).在“DECODE”(反编码)界面中我们就可以对关于192.168.1.20的所有数据包进行分析了。我们一个一个的分析数据包，分析到大概第十九个数据包时出现用户名信息，我们可以从界面中看到用户名为lw。继续往下看，到了第二十一个数据包的时候就可以看到密码了，密码以明文的形式显示在sniffer中，密码为test168。(图3)

至此，我们通过sniffer工具获取了该员工登录FTP服务器的帐户和密码。依据笔者的经验，攻击者在获取了服务器的控制权之后，往往会安装相应的嗅探工具，进而获取更多的敏感信息，因此，嗅探不得不防。二、SERV-U的Sniffer防范

其实，SERV-U本身就提供了防嗅探功能，只不过大多数用户没有开启罢了。该功能就是SSL加密，在SSL中，采用了公开密钥和私有密钥两种加密方法。所以使用SS后就可以保证网络中传输的数据不被非法用户窃取到了。

1、创建SSL证书

要想使用Serv-U的SSL功能，需要SSL证书的支持才行。虽然Serv-U在安装之时就已经自动生成了一个SSL证书，但这个默认生成的SSL证书在所有的Serv-U服务器中都是一样的，非常不安全，所以我们需要手工创建一个自己独特的SSL证书。

在“Serv-U管理员”窗口中，展开“本地服务器→设置”选项，然后切换到“SSL证书”标签页，创建一个新的SSL证书。首先在“普通名称”栏中输入FTP服务器的IP地址，接着其它栏目的内容，如电子邮件、组织和单位等，根据用户的情况进行填写，

完成SSL证书标签页中所有内容的填写后，点击下方的“应用”按钮即可，这时Serv-U就会生成一个新的SSL证书。(图4)

2、启用SSL功能

虽然为Serv-U服务器创建了新的SSL证书，但默认情况下，Serv-U是没有启用SSL功能的，要想利用该SSL证书，首先要启用Serv-U的SSL功能才行。

要启用Serv-U服务器中域名为“ftp”的SSL功能。在“Serv-U管理员”窗口中，依次展开“本地服务器→域→ftp”选项。在右侧的“域”管理框中找到“安全性”下拉列表选项。这里Serv-U提供了3个选项，分别是“仅仅规则FTP，无SSL/TLS进程”、“允许SSL/TLS和规则进程”、“只允许SSL/TLS进程”，默认情况下，Serv-U使用的是“仅仅规则FTP，无SSL/TLS进程”，因此是没有启用SSL加密功能的。在“安全性”下拉选项框种选择“只允许SSL/TLS进程”选项，然后点击“应用”按钮，即可启用softer域的SSL功能。(图5)

需要说明的是，启用了SSL功能后，Serv-U服务器使用的默认端口号就不再是“21”了，而是“990”了，这点在登录FTP的时候一定要留意，否则就会无法成功连接FTP服务器。 3、使用SSL加密连接FTP

启用Serv-U服务器的SSL功能后，就可以利用此功能安全传输数据了，但FTP客户端程序必须支持SSL功能才行。如果我们直接使用IE浏览器进行登录则会出现图6显示的错误信息，一方面是以为没有修改默认的端口21为990，另外IE浏览器不支持SSL协议传输。(图6)

当然支持SSL的FTP客户端程序现在也比较多，笔者以“Flash FXP”程序为例，介绍如何成功连接到启用了SSL功能的Serv-U服务器。

运行“FlashFXP”程序后，点击“会话→快速连接”选项，弹出“快速连接”对话框，在“服务器或URL”栏中输入Serv-U服务器的IP地址，在“端口”栏中一定要输入“990”，这是因为Serv-U服务器启用SSL功能后，端口号就从“21”变为“990”。(图7)

然后输入可以正常登录FTP服务器的“用户名”和“密码”，切换到“SSL”标签页，选中“绝对SSL”选项，这一步骤是非常关键的，如果不选中“绝对SSL”，就无法成功连接到Serv-U服务器。最后点击“连接”按钮。根据实际传输情况在绝对SSL下方的四个选项进行选择即可。(图8)

当用户第一次连接到Serv-U服务器时，Flash FXP会弹出一个“证书”对话框如图9，这时用户只要点击“接受并保存”按钮，将SSL证书下载到本地后，就能成功连接到Serv-U服务器，以后和Serv-U服务器间的数据传送就会受到SSL功能的保护，不再是以明文形式传送，这样就不用再担心FTP账号被盗，敏感信息被窃取的问题了。在Flash FXP的下方我们也会看到一个小锁的标志了，他代表当前传输是加密安全的传输。(图9)

总结：局域网的特性，使得其成了Sniffer的温床。其实除了FTP之外，像Telnet、远程桌面、http等其数据都是明文传递，防范嗅探除了提高安全意识之外，选择更安全的工具也是有必要的。

篇4：最全的服务器web最小权限WEB安全

A. NTFS系统权限设置在使用之前将每个硬盘根加上 Administrators 用户为全部权限(可选加入SYSTEM用户)删除其它用户.

B. 进入系统盘:权限如下

C:\WINDOWS Administrators SYSTEM用户全部权限 Users 用户默认权限不作修改.

其它目录删除Everyone用户，注意以下文件夹保留Everyone用户,C:\Documents and Settings下All Users\Default User目录及其子目录如C:\Documents and Settings\All Users\Application Data 目录默认配置保留了Everyone用户权限,C:\WINDOWS\PCHealth、C:\windows\Installer也是保留了Everyone权限.

删除C:\WINDOWS\Web\printers目录，此目录的存在会造成IIS里加入一个.printers的扩展名，可溢出攻击.

默认IIS错误页面已基本上没多少人使用了，建议删除C:\WINDOWS\Help\iisHelp目录.

删除C:\WINDOWS\system32\inetsrv\iisadmpwd，此目录为管理IIS密码之用，如一些因密码不同步造成500,这里可以删掉,下面设置将会杜绝因系统问题.

C, 打开C:\Windows 搜索(可以不做)

net.exe

cmd.exe

tftp.exe

netstat.exe

regedit.exe

at.exe

attrib.exe

cacls.exe

format.com

regsvr32.exe

xcopy.exe

wscript.exe

cscript.exe

ftp.exe

telnet.exe

arp.exe

edlin.exe

ping.exe

route.exe

finger.exe

posix.exe

rsh.exe

atsvc.exe

qbasic.exe

runonce.exe

syskey.exe

修改权限，删除所有的用户只保存Administrators 和SYSTEM为所有权限

D. 关闭445端口

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\netBT\Parameters

新建 “DWORD值”值名为 “SMBDeviceEnabled” 数据为默认值“0”

禁止建立空连接

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

新建 “DWORD值”值名为 “RestrictAnonymous” 数据值为“1” [默认为1]

禁止系统自动启动服务器共享

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

新建 “DWORD值”值名为 “AutoShareServer” 数据值为“0”

禁止系统自动启动管理共享

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

新建 “DWORD值”值名为 “AutoShareWks” 数据值为“0”

禁止dump file的产生

dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料。然而，它也能够给提供一些敏感信息比如一些应用程序的密码等。

控制面板>系统属性>高级>启动和故障恢复把写入调试信息改成无。

E. 本地安全策略配置

开始 >程序 >管理工具 >本地安全策略

账户策略 >密码策略 >密码最短使用期限改成0天[即密码不过期，上面我讲到不会造成IIS密码不同步]

账户策略 >账户锁定策略 >账户锁定阈值 5 次账户锁定时间 10分钟 [个人推荐配置]

本地策略 >审核策略 >

账户管理成功失败

登录事件成功失败

对象访问失败

策略更改成功失败

特权使用失败

系统事件成功失败

目录服务访问失败

账户登录事件成功失败

本地策略 >安全选项 >清除虚拟内存页面文件更改为”已启用”

>不显示上次的用户名更改为”已启用”

>不需要按CTRL+ALT+DEL 更改为”已启用”

>不允许 SAM 账户的匿名枚举更改为”已启用”

>不允许 SAM 账户和共享的匿名枚举更改为”已启用”

>重命名来宾账户更改成一个复杂的账户名

>重命名系统管理员账号更改一个自己用的账号 [同时可建立一个无用户组的Administrat账户]

组策略编辑器

运行 gpedit.msc 计算机配置 >管理模板 >系统显示“关闭事件跟踪程序” 更改为已禁用

删除不安全组件

WScript.Shell 、Shell.application 这两个组件一般一些ASP木马或一些恶意程序都会使用到，

方案一：

regsvr32 /u wshom.ocx 卸载WScript.Shell 组件

regsvr32 /u shell32.dll 卸载Shell.application 组件

如果按照上面讲到的设置，可不必删除这两个文件

方案二：

删除注册表 HKEY_CLASSES_ROOT\CLSID\{72C24DD5-D70A-438B-8A42-98424B88AFB8} 对应 WScript.Shell

删除注册表 HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540000} 对应 Shell.application

F. 用户管理

建立另一个备用管理员账号，防止特殊情况发生。

安装有终端服务与SQL服务的服务器停用TsInternetUser, SQLDebugger这两个账号

用户组说明

在将来要使用到的IIS中，IIS用户一般使用Guests组，也可以再重新建立一个独立的专供IIS使用的组，但要将这个组赋予C:\Windows 目录为读取权限。

以下服务改为自动

Alerter

Application Experience Lookup Service

Application Layer Gateway Service

Application Management

Background Intelligent Transfer Service

ClipBook

COM+ Event System

IIS配置

请您参考service.zzidc.com/count.asp?a=show&ID=89

IIS 6 出于安全考虑, 默认最大请求200K(也即最大提交数据限额为200KByte, 204800Byte).

解决办法:

1. 关闭 IIS Admin Service 服务

2. 打开 \Windows\system32\inesrv\metabase.xml

3. 修改 ASPMaxRequestEntityAllowed 的值为自己需要的, 默认为 204800

4. 启动 IIS Admin Service

IIS支持PHP的配置

service.zzidc.com/count.asp?a=show&ID=99

注意php5和zend有问题,想用zend 请您用php4

G. FTP的配置

服务器使用Serv-U Server 建议使用此软件

安装原版至D:\Serv-U_3434999fdaf [复杂无规则的目录名可有效防止的猜解]

尔后退出Serv-U,安装汉化包。

运行SERV-U管理器 IP地址可为空、安装为系统服务设置密码防止溢出

PASV设置

Serv-U管理器 -本地服务器-设置-高级

PASV端口范围这里SERV-U只允许 50个端口范围端口的设置范围如1025-1075[1024以前的端口为系统使用]

可以了改为9000-9049.

H. Jmail 组件的安装

建议使用 w3 JMail Personal

默认安装至 D:\w3JMail4_35434fnald [同样，复杂的目录名]

安装完成后只需单一设置 jmail.dll 权限，加入IIS用户组默认权限即可！

j. SQL Server 的安装与配置

目前SQL Server 2000 + SP4 在我看来已算比较安全，已没有SP3等版本会因为 sqlstp.log, sqlsp.log而泄露

安装信息的问题。当然也建议在安全后检查 :\Program Files\Microsoft SQL Server\MSSQL\Install

目录中是否存在有 sqlstp.log, sqlsp.log, setup.iss文件，如果有，则备份至其它位置。

数据库的建立这里就说了。请参考SQL SERVER 2000帮助文档！

篇5：ServU防溢出提权攻击解决办法WEB安全

文章简介：本文将为大家介绍在如今Microsoft系列(Win2k Win2k3)SERVER中使用最为广泛的FTP服务器之一、大名鼎鼎的Serv-U FTP服务器中如何简单地解决Overflow溢出、以及Hacker常用的Webhsell提升权限等类攻击的隐患与缺陷；读完本文，您将可以使您的 Serv-U服务器免去被溢出、被提升权限的安全威胁与危险，

前言：

大家应该都还没有忘记三年前在Serv-U5.004版的之前所有版本的“Serv-U FTPMDTM命令缓冲区溢出”与“Serv-U FTP服务器LIST命令超长-l参数远程缓冲区溢出漏洞”吧，这个漏洞让很多服务器管理员立坐不安，也让很多大型的站点、甚至电信级的服务器沦陷了...随着Serv-U新版本的推出，这个漏同已经不存在了；虽然溢出不存在了，但永远也没有停止，所以伴随着来的又是Serv-U5.0到6.0之常用的本地提升权限缺陷。(注：最常见的就如webshell+su提权，我在Baidu输入“Serv-U提权”关键词，搜索结果“百度一下，找到相关网页约34,000篇，用时0.001秒 ”）因此，解决Serv-U的安全问题迫在眉睫。

Serv-U提权虽然严格来说这个不应该算是Serv-U的重大漏洞，但只要因管理员的配置不当将会产生严重的后果;下面LeeBolin就来为大家介绍下如何安全配置 Serv-U，才能保证Serv-U甚至服务器的安全，跟我来.“go,go,go...”(最近CS玩多了，嘻嘻 :P)

Serv-U防溢出提权攻击解决办法解决办法正文：

一、大家知道Liunx系统和Unix系统比Windows安全的一个重要原因在于：Linux和Unix的系统服务不使用root权限，而是使用权限比较低的另外一个单独用户，比如web服务使用了nobody这个用户。而Serv-U默认是以system身份运行的，而System这个系统内置账户对本机有完全操作的权限;因此如果攻击者利用Serv-U程序的漏洞而获得了可执行shell的那，那么他将可以随意控制操作系统里任何一个目录了

二、我们根据一的讲解知道了为什么Serv-U提权与溢出攻击可怕的原因了，那么我们该如何防止这一类攻击的发生呢？答案就是降底Serv-U的运行权限与控制Serv-U的“Acls”可访问目录...好，下面就一步一步跟我来吧!

三、Serv-U安全配置

1、首先请保持合用Serv-U的最新版本(目前新版为6.4...)。然后在安装Serv-U的时候尽量不要选择默认的安装目录，比如俺将Serv-U 安装在D:/Pro_LeeBolin^_^/Serv-U#$$/...(因为这样复杂的目录名可防止Hacker的猜解)

2、然后将Serv-U取消MDTM命令的执行，修改Serv-U FTP Banner并开启好Serv-U的FTP日志保存到非系统盘，日志选择记录好Serv-U命名用了那些命令与DLL，并为Serv-U设置一个强壮的本地管理密码(因提权多是因为Serv-U的默认管理员：LocalAdministrator，默认密码：#l@$ak#.lk;0@P所造成的，呵呵 $_$)，你还可以选择将Serv-U的FTP账户信息保存到注册表，不要存在Serv-U目录下的ini文中，这样更加安全。

3、我们再开启“计算机管理”新建一个用户Serv-UAdmin,设置好密码。将用户退出Users组，不加入任何组。并在用户的“终端服务配置文件”选项里取消“允许登录到终端服务器。并且禁止Serv-UAdmin用户的本地登陆。进入控制面板 -> 管理工具 -> 本地安全策略 -> 本地策略 -> 用户权利指派 -> 拒绝本地登陆。(备注：这个用户我们将它来作为俺们Serv-U的服务运行账号，嘿嘿)[(AD^_^:游刃在技术鬼神边缘,打造服务器安全神话！创世纪网络技术前瞻，成就互联网革命先驱！服务器安全讨论区[S.S.D.A]) ]

4、开始运行“Services.msc”打开win的服务管理器，找开Serv-U Ftp Server的Serv-U服务;打开“登陆”对话框，

当前默认的为“本地系统帐户”。我们将其修改为我们在3中新建的Serv-UAdmin用户，并输入密码。

5、下面的工作就是设置Serv-U的运行与FTP目录的ACLs权限了:

①C:/Documents and Settings/Serv-UAdmin 目录加入Serv-UAdmin的权限，允许读取与写入..

②D:/Pro_LeeBolin^_^/Serv-U#$2008$/ Serv-U的安装目录加入Serv-UAdmin的权限，允许读取与运行。(如果选择了账户保存在ini文件的话，这里就需要增加修改与删除权限，因增删FTP账户时需要删改权才成，否则不能增删FTP账户哟^_^)

③如果Serv-U账户选择存在注册表的话。运行regedt32.exe,打开注册表编辑器。找到[HKEY_LOCAL_MACHINE/ SOFTWARE/Cat Soft]分支。在上面点右键，选择权限，然后点高级，取消允许父项的继承权限传播到该对象和所有子对象，删除除admins外的所有的账号。仅添加 Serv-UAdmin账号到该子键的权限列表，并给予完全控制权限。（如果选择了账户信息保存在ini文件中的话可略过此步。）

④现在就来设置WEB目录的ACLs了，比如我的虚拟主机总目录为E:/Leebolin$(%/wwwroot;那么我们将此WEB目录加入 Serv-UAdmin账号的权限即可，这样FTP就可以访问我们的WEB目录进行上传下载了，呵.(由于Serv-U并没有以system运行，所以这里只存留admins与serv-uadmin的权限就OK了。)

⑥如果是asp/php/html脚本的话，WEB目录只需要admins & serv-uadmin & IUSR_XX即可(这里的IUSR_XX是指站点的匿名单用户账号...关于站点的安全与asp.Net的安全请参考我以前的文章:《FSO安全隐患解决办法》、《ASP木马Webshell之安全防范解决办法》、《ASP.NET木马及Webshell安全解决方案》、《服务器安全检查十大要素》)

四、到目前为止，我们的Serv-U已经简单的做到了防提权，防溢出了。为什么呢？因为能常远程溢出overflow的话，都是通过得一shell 而进行进一步的hacking，而我们现在的Serv-U不是以system运行，所以即使执行了overflow指命，也并不能得到什么...防提权就不用我解释了：因为我们的Serv-Uadmin没有任何系统级的ACLs访问权限..

五、今天的Serv-U防溢出提权攻击解决办法就为大家介绍到这里，您看到此处后，你会了吗？

后记：其实服务器、系统的安全是个整体的概念；有可能你其它一小点的疏忽就可以让你的网站、甚至服务器沦陷。因此安全策略必需走防患未然的道路，任何一个小地方都不能马虎、今天关于防Serv-U的安全配置小技巧就为大家介绍到这里...其它方面的服务器安全配置经验我们在下一篇文章再见吧:-) (注：由于本人才疏学浅，如文中有错误实为在所难免，还请各位看官见谅!旨在抛砖引玉，如果您有更好的办法请别忘了在服安论坛跟贴^0^,先行谢过!)

关于本文版权：本文版权归[服务器安全讨论区]与[本文作者]共同所有，您可以任意，但务必请保留文章的完整性与信息来源及作者信息等链接；但不欢迎转载者除去本版权信息。

关于本文作者：李泊林/LeeBolin 服安科技资深系统工程师、专业网络安全顾问。已成功为国内多家大中型企业，ISP服务商提供了完整的网络安全解决方案。尤其擅长于整体网络安全方案的设计、大型网络工程的策划、以及提供完整的各种服务器系列安全整体解决方案。[S.S.D.A 服务器安全讨论区] www.31896.net E-mail:bolin.lee#gmail.com QQ:24460394 您对本文有任何建议与疑问可以来信或者QQ在线与作者进行交流;或者到服安论坛与作者进行讨论!

篇6：防溢出提升权限攻击解决办法WEB安全

在骇客频频攻击、在系统漏洞层出不穷的今天，作为网络管理员、系统管理员的我们虽然在服务器的安全上都下了不少功夫:诸如，及时的打上系统安全补丁、进行一些常规的安全配置,但是仍然不太可能每台服务器都会在第一时间内给系统打上全新补丁，因此我们必需要在还未被入侵之前，通过一些系列安全设置，来将入侵者们挡在“安全门”之外;下面就以本人一直以来所用到的最简单、最有效的防(Overflow)溢出、本地提供权限攻击类的解决办法给大家讲讲。

1、如何可以防止溢出类的骇客攻击呢?

① 尽最大的可能性将系统的漏洞补丁都打完;最好是比如Microsoft Windows Server系列的系统可以将自动更新服务打开，然后让服务器在您指定的某个时间段内自动连接到Microsoft Update网站进行补丁的更新。如果您的服务器为了安全起见禁止了对公网外部的连接的话，可以用Microsoft WSUS服务在内网进行升级

② 停掉一切不需要的系统服务以及应用程序，最大限能的降底服务器的被攻击系数。比如前阵子的MSDTC溢出，就导致很多服务器挂掉了。其实如果WEB类服务器根本没有用到MSDTC服务时，您大可以把MSDTC服务停掉，这样MSDTC溢出就对您的服务器不构成任何威胁了。

③ 启动TCP/IP端口的过滤:仅打开常用的TCP如21、80、25、110、3389等端口;如果安全要求级别高一点可以将UDP端口关闭，当然如果这样之后缺陷就是如在服务器上连外部就不方便连接了，这里建议大家用IPSec来封UDP。在协议筛选中“只允许”TCP协议(协议号为:6)、UDP协议(协议号为:17)以及RDP协议(协议号为:27)等必需用协议即可其它无用均不开放。

④ 启用IPSec策略:为服务器的连接进行安全认证，给服务器加上双保险。如③所说，可以在这里封掉一些危险的端品诸如:135 145 139 445 以及UDP对外连接之类、以及对通读进行加密与只与有信任关系的IP或者网络进行通讯等等。(注:其实防反弹类木马用IPSec简单的禁止UDP或者不常用TCP端口的对外访问就成了,关于IPSec的如何应用这里就不再敖续，你可以到服安讨论Search “IPSec”，就会有N多关于IPSec的应用资料..)

⑤ 删除、移动、更名或者用访问控制表列Access Control Lists (ACLs)控制关键系统文件、命令及文件夹:

1. 通常在溢出得到shell后，来用诸如net.exe net1.exe ipconfig.exe user.exe query.exe regedit.exe regsvr32.exe 来达到进一步控制服务器的目的如:加账号了，克隆管理员了等等;这里我们可以将这些命令程序删除或者改名。(注意:在删除与改名时先停掉文件复制服务(FRS)或者先将 %windir%\system32\dllcache\下的对应文件删除或改名。)

2.也或者将这些.exe文件移动到你指定的文件夹,这样也方便以后管理员自己使用。

3.访问控制表列ACLS控制:找到%windir%\system32下找到cmd.exe、cmd32.exe net.exe net1.exe ipconfig.exe tftp.exe ftp.exe user.exe reg.exe regedit.exe regedt32.exe regsvr32.exe 这些常用的文件，在“属性”→“安全”中对他们进行访问的ACLs用户进行定义，诸如只给administrator有权访问，如果需要防范一些溢出攻击、以及溢出成功后对这些文件的非法利用;那么我们只需要将system用户在ACLs中进行拒绝访问即可。

4.如果你觉得在GUI下面太麻烦的话，你也可以用系统命令的CACLS.EXE来对这些.exe文件的Acls进行编辑与修改，或者说将他写成一个.bat批处理文件来执行以及对这些命令进行修改，

(具体用户自己参见cacls /? 帮助进行，由于这里的命令太多我就不一一列举写成批处理代码给各位了!!)

5.对磁盘如C/D/E/F等进行安全的ACLS设置从整体安全上考虑的话也是很有必要的，另外特别是win2k，对Winnt、Winnt\System、Document and Setting等文件夹。

⑥ 进行注册表的修改禁用命令解释器: (如果您觉得用⑤的方法太烦琐的话，那么您不防试试下面一劳永逸的办法来禁止CMD的运行)

通过修改注册表，可以禁止用户使用命令解释器(CMD.exe)和运行批处理文件(.bat文件)。具体方法:新建一个双字节(REG_DWORD)执行 HKEY_CURRENT_USER\Software\Policies\ Microsoft\Windows\System\DisableCMD，修改其值为1，命令解释器和批处理文件都不能被运行。修改其值为2，则只是禁止命令解释器的运行,反之将值改为0，则是打开CMS命令解释器。如果您赚手动太麻烦的话,请将下面的代码保存为*.reg文件，然后导入。

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System]

“DisableCMD”=dword:00000001

⑦ 对一些以System权限运行的系统服务进行降级处理。(诸如:将Serv-U、Imail、IIS、Php、Mssql、Mysql等一系列以System权限运行的服务或者应用程序换成其它administrators成员甚至users权限运行，这样就会安全得多了...但前提是需要对这些基本运行状态、调用API等相关情况较为了解. )

其实，关于防止如Overflow溢出类攻击的办法除了用上述的几点以外，还有N多种办法:诸如用组策略进行限制，写防护过滤程序用DLL方式加载windows到相关的SHell以及动态链接程序之中这类。当然自己写代码来进行验证加密就需要有相关深厚的Win32编程基础了，以及对Shellcode较有研究;由于此文仅仅是讨论简单的解决办法，因此其它办法就不在这里详述了。

2、如何在防止被骇客溢出得到Shell后对系统的而进一步入侵呢?

① 在做好1中上述的工作之后，基本上可以防目骇客在溢出之后得到shell了;因为即使Overflow溢出成功，但在调用CMDSHELL、以及对外联接时就卡了。 (为什么呢，因为:1.溢出后程序无法再调用到CMDSHLL我们已经禁止system访问CMD.exe了。2.溢出之后在进行反弹时已经无法对外部IP进行连接了。所以，基本上要能过system权限来反弹shell就较困难的了...)

② 当然世界上是不存在绝对的安全的，假设入侵者在得到了我们的shell之后，做些什么呢?一般入侵者在在得到shell之后，就会诸如利用系统命令加账号了通过tftp、ftp、vbs等方式传文件了等等来达到进一步控制服务器。这里我们通过1上述的办法对命令进行了限制，入侵者是没有办法通过tftp、ftp来传文件了，但他们仍然可以能过echo写批处理，用批处理通过脚本BAT/VBS/VBA等从WEB上下载文件，以及修改其它盘类的文件等潜在破坏行为。所以我们需要将echo命令也限制以及将其它盘的System写、修改文件的权限进行处理。以及将VBS/VBA类脚本以及XMLhttp等组件进行禁用或者限制system的运行权。这样的话别人得到Shell也无法对服务器上的文件进行删除以及进行步的控制系统了;以及本地提权反弹Shell了。

后记:其它服务器、系统的安全是个整体的概念;有可能你其它一小点的疏忽就可以让你的网站、甚至服务器沦陷。因此安全策略必需走防患未然的道路，任何一个小地方都不能马虎。

篇7：DedeCMS 安全设置禁止PHP执行权限WEB安全

使用.htaccess禁止php执行

RewriteEngineonRewriteCond%!^$RewriteRuleuploads/(.*).(php)$–[F]RewriteRuledata/(.*).(php)$–[F]RewriteRuletemplets/(.*).(php)$–[F]RewriteRulezkzy/(.*).(php)$–[F]RewriteRulezktk/(.*).(php)$–[F]RewriteRulexxff/(.*).(php)$–[F]RewriteRulexlogo/(.*).(php)$–[F]RewriteRulestyle/(.*).(php)$–[F]RewriteRulenews/(.*).(php)$–[F]RewriteRuleimgcss/(.*).(php)$–[F]RewriteRuleimages/(.*).(php)$–[F]RewriteRuledyimg/(.*).(php)$–[F]RewriteRulebkbd/(.*).(php)$–[F]RewriteRulea/(.*).(php)$–[F]RewriteRuleinclude/(.*).(php)$–[F]RewriteRuledede/(.*).(php)$–[F]