終結(jié)Webshell 加固web服務(wù)器

用微軟的IIS打造一個WEB億恩科技服務(wù)器是件非常簡單的事情，但是它的安全（服務(wù)器租用找：51033397）性實在不敢恭維。攻擊者通過注入、上傳、旁注等技術(shù)獲得了某個網(wǎng)站：（mszdt.com）的Webshell，然后進一步滲透提權(quán)，直至控制整個Web億恩科技服務(wù)器。至于如何讓攻擊者無緣Webshell那是代碼部分的問題，我們做為管理員應(yīng)該如何加固Web億恩科技服務(wù)器，讓攻擊者在獲得了Webshell之后無功而返呢?

一、設(shè)置命令權(quán)限

默認設(shè)置下，webshell中可以調(diào)用一些對億恩科技服務(wù)器構(gòu)成危險的系統(tǒng)命令，因此要對這些命令進行權(quán)限限制。需要限制權(quán)限的命令主要有：cmd.exe net.exe net1.exe ping.exe netstat.exe ftp.exe tftp.exe telnet.exe等。

對這些命令單獨進行設(shè)置，設(shè)置為只允許administrators組訪問，這樣既防止攻擊者新建用戶對系統(tǒng)進行修改，也可以防范通過Serv-U的本地提升權(quán)限漏洞來運行這些關(guān)鍵的程序了。特別提醒的是要刪除cacls.exe這個程序，防止有人通過命令行來修改權(quán)限。(圖1)

圖1

個人秘笈：在系統(tǒng)目錄下放一個和cmd.exe同名的監(jiān)控程序，并賦予它eventone運行權(quán)限。這樣只要攻擊者在websehll中調(diào)用cmd.exe就可以觸發(fā)監(jiān)控程序，記錄并追查攻擊者的蹤跡，讓他偷雞不成反蝕一把米。為我們發(fā)現(xiàn)入侵，直至找到攻擊者做準備。

二、設(shè)置目錄權(quán)限

設(shè)置的原則是讓IIS以最小的權(quán)限運行，但也不至于把自己捆住。

1、選取整個硬盤：

system：完全控制

administrator：完全控制

(允許將來自父系的可繼承性權(quán)限傳播給對象) (圖2)

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]