终结Webshell 加固web服务器-交流共享-唐山网站建设

终结Webshell 加固web服务器

核心提示：如何让攻击者无缘Webshell那是代码部份的题目，我们做为治理员应当如何加固Web服务器，让攻击者在取得了Webshell以后无功而返呢？

4、综合设置(针对虚拟主机)

说明：FileSystemObject(FS0)这个组件为 ASP 提供了强大的文件系统访问能力，可以对服务器硬盘上的任何文件进行读、写、复制、删除、改名等操纵，但是制止此组件后，引发的后果就是所有益用这个组件的ASP将没法运行，没法满足我们的需求。如何既答应FileSystemObject组件，又不影响服务器的安全性呢？

1、目录权限设置。

在服务器上打开资源治理器，用鼠标右键点击各个硬盘分区或卷的盘符，在弹出菜单当选择“属性”，选择“安全”选项卡，此时便可以够看到有哪些帐号可以访问这个分区(卷)及访问权限。默许安装后，出现的是“Everyone”具有完全控制的权限。点“添加”，将“Administrators”、“Backup Operators”、“Power Users”、“Users”等几个组添加进往，并给予“完全控制”或相应的权限，留意，不要给“Guests”组、“IUSR_机器名”这几个帐号任何权限。然后将“Everyone”组从列表中删除，这样，就只有授权的组和用户才能访问此硬盘分区了，而 ASP 履行时，是以“IUSR_机器名”的身份访问硬盘的，这里没给该用户帐号权限，ASP 也就不能读写硬盘上的文件了。(图5)

终结Webshell 加固web服务器

图5

2、创建客户账号

给每个虚拟主机用户设置1个单独的用户帐号，然后再给每个帐号分配1个答应其完全控制的目录。

第1步：打开“计算机治理”→“本地用户和组”→“用户”，在右栏中点击鼠标右键，在弹出的菜单当选择“新用户”：在弹出的“新用户”对话框中根据实际需要输进“用户名”、“全名”、“描写”、“密码”、“确认密码”，并将“用户下次登录时须更改密码”前的对号往掉，选中“用户不能更改密码”和“密码永不过期”。本例是给第1虚拟主机的用户建立1个匿名访问 Internet 信息服务的内置帐号“lw1”，即：所有客户端使用http://www.***.com 访问此虚拟主机时，都是以这个身份来访问的。输进完成后点“创建”即可。可以根据实际需要，创建多个用户，创建终了后点“封闭”。(图6)

终结Webshell 加固web服务器

图6

第2步：在列表中双击该帐号，以便进1步进行设置：在弹出的“lw1”(即刚才创建的新帐号)属性对话框中点“隶属于”选项卡：刚建立的帐号默许是属于“Users”组，选中该组，点“删除”：现在出现的是以下图所示，此时再点“添加”：在弹出的“选择组”对话框中找到“Guests”，点“添加”，此组就会出现在下方的文本框中，然后点“肯定”：出现的就是以下图所示的内容，点“肯定”封闭此对话框。(图7)

终结Webshell 加固web服务器

图7

3、IIS设置

第1步：打开“Internet 信息服务”，开始对虚拟主机进行设置，本例中的以对“第1虚拟主机”设置为例进行说明，右击该主机名，在弹出的菜单当选择“属性”，弹出1个“第1虚拟主机属性”的对话框，从对话框中可以看到该虚拟主机用户的使用的是“E:LW1”这个文件夹。(图8)

终结Webshell 加固web服务器

图8

第2步：切换到“资源治理器”，找到“E:LW1”这个文件夹，右击，选“属性”→“安全”选项卡，此时可以看到该文件夹的默许安全设置是“Everyone”完全控制(视不同情况显示的内容不完全1样)，首先将最将下的“答应将来自父系的可继续权限传播给该对象”前面的对号往掉：此时会弹出以下图所示的“安全”正告，点“删除”。(图9)

终结Webshell 加固web服务器

图9

第3步：切换到前面打开的“第1虚拟主机属性”的对话框，打开“目录安全性”选项卡，点匿名访问和验证控制的“编辑”在弹出的“验证方法”对方框，点“编辑”弹出了“匿名用户帐号”，默许的就是“IUSR_机器名”，点“浏览”在“选择用户”对话框中找到前面创建的新帐号“lw1”，双击此时匿名用户名就改过来了，在密码框中输进前面创建时，为该帐号设置的密码，再肯定1遍密码。OK，完成了，点肯定封闭这些对话框。 (图10)

终结Webshell 加固web服务器

　　图10

提示：假设该用户需要读取硬盘的分区容量及硬盘的序列号，那这样的设置将使其没法读取。假设要答应其读取这些和全部份区有关的内容，请右键点击该硬盘的分区(卷)，选择“属性”→“安全”，将这个用户的帐号添加到列表中，并最少给予“读取”权限。由于该卷下的子目录都已设置为“制止将来自父系的可继续权限传播给该对象”，所以不会影响下面的子目录的权限设置。

小结：经此设置后，“第1虚拟主机”的用户，使用ASP的 FileSystemObject 组件也只能访问自己的目录：E:LW1下的内容，当试图访问其他内容时，会出现诸如“没有权限”、“硬盘未豫备好”、“500 服务器内部毛病”等出错提示了。(图11)

终结Webshell 加固web服务器