我对win2003 web服务器安全的一些心得(非常规)
去年也是这个时候,自己网站渐渐发展起来了,流得越来越好,但圣诞节早上起来,本来出去要和女友约会出去玩一天,但刚一开电脑,就看到首页被改了,所有页都给放了一个<iframe src=xxx...,当时就觉得不妙,立即重新覆盖掉那些被破坏的文件。心里也不安起来,都不知道人家怎么放进来的,过了一个多小时,所有页又是被修改了,这下可真傻眼了,怎么办,盲然啊。当时就和服务器托管商研究怎么解决,服务商说重装吧,我也没办法,只好让其重装,这下好了,约会也取消了,心情极差到极点了。 服务商把服务器关了,开始重装。我也想,以前没注意到安全问题,现在需要找找原因了
就搜索关于win2003安全,入侵,注入,提权,获取webshell等相关文章,其中就有阿江的服务器配置方法。 我开始回忆我的服务器所装的软件和所可能的漏洞,主要有 ServerU6.0,IIS6,还有一个邮件服务器,sql server. 我根据搜索来的文章讲解,先解决到serverU6.0,我根据文章研究权限的设定,修改密码文件等。然后又研究网站Ntfs权限设定,到了晚上,大约晚上十一点左右,服务商终于用了十三个小时装完了系统(这么长时间,我服了他了,没办法...),我不打算装ServerU了,也不要sql server了(因为我全站生成html,我只在本地生成,上传html),装了一个不知名的国外小ftp软件,一切调试完毕,网站正常运行。忙了十几个小时,终于可以睡觉了。刚睡了一个小时,起床想看一下是否正常了,当一打开首页,我简直天悬去地转了,还是和早上一样,全被挂马了<iframe src=xxx...,我当时很着急了,怎么办,完全按阿江的方法作,还参照了许多方法,修改fso名称,去掉shell32.dll等,对照目录权限设定,都作了,一些必要的组件也改名了,怎么还会出现这种情况。
后来我弟弟(比我小两岁,自学C++五年)说我的服务器安全方法太笨,也不管用,大多是组件改名,改端口,采用所谓的欺骗黑客的方法根本不行,必须采一整套的系统安全方案。黑客非常聪明,根本不可能欺骗的,所以我在这里提醒一下有服务器的朋友,一定要不闲麻烦,作系统安全一定要治标,从根本上解决,不要有欺骗黑客的念头,趁早打消吧,还是努力作好系统解决方案吧。
我在这里来说我和我弟弟研究出来的方案,首先装监控杀毒软件(推荐赛门铁克,Macffee),必须是最新升级的,时时监控真的很真要。 然后安装防火墙软件,这个太有用了,不要听服务商说有硬防,软件根本没什么用,凭这句话就说时他狗屁不懂。这里推荐ISA2004以上即可,有URL过滤,服务监控等,设置起来很好,不过注意此软件必须在本地机安装,安装过程要断网。安装后建立一个web服务器策略即可,如果用到邮件服务器,再建邮件服务器策略即可,其他不建立策略则自动关闭了。
如果服务器只是自己一个人用,尽量使用IIS默认的用户,比你自己建立的安全多了。
然后是常规的设置了
网站目录所在盘只给IIS权限和administrator权限,程序文件只读,生成的html文件可写,但是不能运行脚本,上传目录不允许脚本,去掉不必要的映射。另外注意,mdb文件一定不要用asp和asa,改成mdb就行,然后把mdb映射成其他的一个没用的dll文件就行。
另外关于sql注入的问题就不说了
作好这些,服务器一定安全很多了。从那以后,我站再也没有被挂过马,可见安全多了,但也不能大意,日志记录每周都要分析一下,现在有许多IIS日志分析软件,自己看着办吧。
