|
4、右击IP安全策略——创建IP安全策略——下一步——名称输入数据包筛选器——下一步——取消默认激活响应原则——下一步——完成
5、在打开的新IP安全策略属性窗口选择添加——下一步——不指定隧道——下一步——所有网络连接——下一步——在IP筛选器列表中选择新建的Web筛选器——下一步——在筛选器操作中选择许可——下一步——完成——在IP筛选器列表中选择新建的阻止筛选器——下一步——在筛选器操作中选择阻止——下一步——完成——确定
6、在IP安全策略的右边窗口中右击新建的数据包筛选器,点击指派,不需要重启,IPSec就可生效.
九、建议
如果你按本文去操作,建议每做一项更改就测试一下服务器,如果有问题可以马上撤消更改。而如果更改的项数多,才发现出问题,那就很难判断问题是出在哪一步上了。
十、运行服务器记录当前的程序和开放的端口
1、将当前服务器的进程抓图或记录下来,将其保存,方便以后对照查看是否有不明的程序。
2、将当前开放的端口抓图或记录下来,保存,方便以后对照查看是否开放了不明的端口。当然如果你能分辨每一个进程,和端口这一步可以省略。
防止ASP木马,主要通过修改三个组件来达到防asp木马攻击.
FileSystemObject组件---对文件进行常规操作.
WScript.Shell组件---可以调用系统内核运行DOS基本命令.
Shell.Application组件--可以调用系统内核运行DOS基本命令.
一.使用FileSystemObject组件
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
改名为其它的名字,如:改为FileSystemObject_good
自己以后调用的时候使用这个就可以正常调用此组件了.
2.也要将clsid值也改一下
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
可以将其删除,来防止此类木马的危害.
3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件
4.禁止Guest用户使用scrrun.dll来防止调用此组件命令:
cacls C:\WINNT\system32\scrrun.dll /e /d guests
二.使用WScript.Shell组件
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害.
HKEY_CLASSES_ROOT\WScript.Shell\
及
HKEY_CLASSES_ROOT\WScript.Shell.1\
改名为其它的名字,如:改为WScript.Shell_ChangeName或WScript.Shell.1_ChangeName
自己以后调用的时候使用这个就可以正常调用此组件了
2.也要将clsid值也改一下
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
也可以将其删除,来防止此类木马的危害。
三.使用Shell.Application组件
1.可以通过修改注册表,将此组件改名,来防止此类木马的危害。
HKEY_CLASSES_ROOT\Shell.Application\
及
HKEY_CLASSES_ROOT\Shell.Application.1\
改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
自己以后调用的时候使用这个就可以正常调用此组件了
2.也要将clsid值也改一下
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
也可以将其删除,来防止此类木马的危害。
3.禁止Guest用户使用shell32.dll来防止调用此组件命令:
cacls C:\WINNT\system32\shell32.dll /e /d guests
四.调用cmd.exe
禁用Guests组用户调用cmd.exe命令:
cacls C:\WINNT\system32\Cmd.exe /e /d guests
五.其它危险组件处理:
Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
WScript.Network(classid:093FF999-1EA0-4079-9525-9614C3504B74)
WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
按常规一般来说是不会做到以上这些组件的。直接删除掉.如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些.
快速删除方法:
开始------->运行--------->Regedit,打开注册表编辑器,按Ctrl+F查找,依次输入以上Wscript.Shell等组件名称以及相应的ClassID,然后进行删除或者更改名称.
方法一:修改数据库文件名和路径.
注意:同时要修改conn.asp的相应路径.
缺点: 如果有列网站目录权限,还可以找到数据库路径,然后下载下来研究的.
方法二:数据库名后缀改为ASA、ASP等
注意:也要在conn.asp中修改相应的数据库名.
方法三:数据库名前加“#”
注意:需要把数据库文件前名加上#、然后修改数据库连接文件(如conn.asp)中的数据库地.
缺点:如果知道了数据库的绝对地址,可以把# 改成%23 还是可以下载下来研究的.
当然以上三种方法综合起来安全性相对更高一些.
方法四:数据库放在WEB目录外
操作:假如你的web目录是D:\web ,可以把数据库放到D:\data这个文
件夹里,然后在D:\web 里的数据库连接页面中修改数据库连接地址为:"../data/数据库名" 的形式.这样数据库可以正常调用,但数据库无法下载.因为它不在WEB目录里
缺点:适合有服务器控制权的用户,不适合购买虚拟空间的用户.
方法五:添加数据库名的如MDB的扩展映射防下载(推荐)
实现方法:
我们在IIS属性---主目录---配置---映射---应用程序扩展那里添加.mdb文件的应用解析。注意这里的选择的DLL(或EXE等)也不是任意的,选择不当,MDB文件还是可以被下载的,注意不要选择asp.dll等。你可以自己多测试下,然后下载一下试试,一直不能下载mdb为止.
注:至于选择的解析文件大家可以自已测试,只要访问数据库时出现无法找到该页就可以了.
优点:
只要修改一处,整个站点的数据库都可以防止被下载。不用修改代码就算暴露目标数据库地址也可以防止下载。
缺点:这个方法就是通过修改IIS设置来实现,所以要有IIS控制权的朋友才行,不适合购买虚拟主机用户.
webshell
安全使用FSO主机:
一个简单的虚拟主机存在各种WEBSHELL的威胁的,假如你给朋友开了个虚拟主机空间,那么这个虚拟主机存在的最大安全隐患将会是FSO权限问题,其实FSO的安全隐患在Win2K系统里已经是令网管头疼的事了,但在Win2003中这个FSO的安全隐患却依然没有解决,在没有经过安全配置的虚拟主机下,只要黑客给虚拟主机空间上传一个木马,黑客就能利用FSO权限浏览服务器里的所有文件,并能复制、删除服务器里的所有文件,甚至能利用木马取得服务器的管理权,可见FSO安全配置的重要性。
如果黑客通过某些手段在你的虚拟主机空间上传了一个木马,那么就等于黑客已经拥有了一个WEBSHELL,黑客可以通过这个WEBSHELL控制整台服务器里的数据,
其实你如果要防范这种攻击,你只要把asp中的FSO(Scripting.FileSystemObject)功能删除就行了,删除FSO权限方法就是在CMD的命令提示符下输入以下命令:
Regsvr32 /u c:\windows\system32\scrrun.dll
注意:在实际操作的时候要更改成为你本地系统安装目录的实际路径,但是使用这种方法删除也太绝了一点,如果以后我们想使用FSO权限,那就用不了啦。所以建议不要使用这种方法删除FSO权限,
显而易见,如果这样做,那么包括站点系统管理员在内的任何人都将不可以使用FileSystemObject对象了,这其实并不是站点管理人员想要得到的结果,毕竟我们使用这个对象可以实现方便的在线站台管理,如果连系统管理员都没法使用了,那可就得不偿失了,但是不禁止这个危险的对象又会给自己的站点带来安全漏洞。那么有没有两全其美的方法呢?有!具体方法如下:
我们可以做到禁止其他人非法使用FileSystemObject对象,但是我们自己仍然可以使用这个对象。
方法如下:
查找注册表中
HKEY_CLASSES_ROOT\Scripting.FileSystemObject 键值
将其更改成为你想要的字符串(右键-->"重命名"),比如更改成为
HKEY_CLASSES_ROOT\Scripting.FileSystemObjectadmin123
如果你使用通常的方法来调用FileSystemObject对象就会无法使用了。
呵呵,只要你不告诉别人这个更改过的对象名称,其他人是无法使用FileSystemObject对象的。这样,作为站点管理者我们就杜绝了他人非法使用FileSystemObject对象,而我们自己仍然可以使用这个对象来方便的实现网站在线管理等等功能了!
不使用FSO对像就能使用的ASP木马防范方法:
对于这种免FSO对像就能使用的ASP木马,由于少了FSO对像的支持,功能上当然不会很强大的了,只有浏览服务器上的文件目录,复制、移动文件、执行指定路径的程序文件等功能。这个木马程的功能随然简单,但是用它来黑一个网站就是已经足够的了。
防范免FSO支持的ASP木马方法如下:
我们只要在注册表里查找键值shell.application和 wscript.shell 键值,然后把这些键值删除,就能防止这一类的ASP木马攻击了,删除这些键值对你的服务器及ASP支持等不会造成影响的,所以请放心删除
有一些WEBSHELL是调用系统下的CMD.EXE命令运行的。
对于这种webshell我们可以将system32下的cmd.exe进行改名,设个好一点的名字,这样只有你自己知道就ok呢。可是你在操作过程中会发现当你改了cmd.exe的名字以后在运行里打cmd还是能正常运行,再加在到文件平刷新一下发现又来了一个cmd.exe,郁闷了吧。告诉你这是windows系统文件保护的功能了,在系统里面有个系统文件的备份目录dllcache,看不见吧,因为这是受系统保护的。怎么看到他我想不用我说了,在这里我提下它的目录c:/windows/system32/dllcache.把里面的cmd.exe改下名字,再出来把 c:/windows/system32下cmd.exe改成同样的名字,看下是不是ok了。 |