大发PK10投注平台-大发PK10娱乐平台_大发PK10下注平台

从入侵者角度谈服务器安全基本配置

时间:2020-03-18 19:30:17 出处:大发PK10投注平台-大发PK10娱乐平台_大发PK10下注平台





作者: CNET中国·PChome.net

CNETNews.com.cn

60 8-08-13 12:46:51

关键词: 数据库 网络安全 服务器 webshell 服务器安全

  既然是其他人的防范是从入侵者深度来进行考虑,那么其他人就首先前要知道入侵者的入侵法子。目前较为流行web入侵法子有的是 通过寻找tcp连接的漏洞先得到网站的webshell否则 再根据服务器的配置来找到相应的都可以 利用的法子进行提权,进而背熟服务器权限的。什么都有有有配合服务器来设置补救webshell是有效的法子。

  一、补救数据库被非法下载

  

  应当说,有其他网络安全的管理员,有的是把从网上下载的网站tcp连接的默认数据库路径进行更改。当然有的是 一要素管理员非常粗心,拿到tcp连接直接在另一方的服务器上进行安装,甚至连说明文件有的是 进行删除,更何必 说更改数据库路径了。原来 黑客就都可以 通过直接从源码站点下载网站源tcp连接,否则 在本地测试找到默认的数据库,再通过下载数据库读取里边的用户信息和资料(一般是经过MD5加密的)找到管理入口进行登陆获得webshell。还本身生活生活情况汇报是愿因tcp连接出错暴出了网站数据库的路径,那么为甚补救这俩情况汇报的所处呢?其他人都可以 上加mdb的扩展映射。如下图所示:

  打开IIS上加好几个 多MDB的映射,让mdb解析成其他下载不了的文件:“IIS属性”—“主目录”—“配置”—“映射”—“应用tcp连接扩展”里边上加.mdb文件应用解析,至于用于解析它的文件其他人都可以 另一方进行选则,假如访问数据库文件突然出现无法访问就都可以 了。

  原来 做的好处是:1什么都有有我什么都有有我mdb后缀格式的数据库文件就肯定下载不了;2对服务器上所有的mdb文件都起作用,对于虚拟主机管理员很有用处。

  二、补救上传

  

  针对以上的配置愿因使用的是MSSQL的数据库,假如所处注入点,依然都可以 通过使用注入工具进行数据库的猜解。假如上传文件根本那么身份验证一段话,其他人都可以 直接上传好几个 多asp的木马就得到了服务器的webshell。

  对付上传,其他人都可以 总结为:都可以 上传的目录不给执行权限,都可以 执行的目录不给上传权限。Webtcp连接是通过IIS用户运行的,其他人假如给IIS用户好几个 多特定的上传目录有写入权限,否则 又把这俩目录的脚本执行权限上加,就都可以 补救入侵者通过上传获得webshell了。配置法子:首先在IIS的web目录中,打开权限选项卡、只给IIS用户读取和列出目录权限,否则 进入上传文件保存和存放数据库的目录,给IIS用户上加写入权限,最后在这俩个目录的“属性”—“执行权限”选项把“纯脚本”改为“无”即可。见下图

  最后提醒其他,在你设置以上权限的并且,一定要注意到设置好父目录的继承。补救所做的设置白费。

  三、MSSQL注入

  

  对于MSSQL数据库的防御,其他人说,首不能自己从数据库连接帐户开使英文。数据库何必 用SA帐户。使用SA帐户连接数据库对服务器来说什么都有有我一场灾难。一般来说都可以 使用DB_OWNER权限帐户连接数据库,愿因都可以 正常运行,使用public用户最安全的。设置成dbo权限连接数据库并且,入侵者基本就只能通过猜解用户名和密码愿因是差异备份来获得webshell了,对于前者,其他人都可以 通过加密和修改管理后台的默认登陆地址来防御。对于差异备份,其他人知道它的条件是有备份的权限,否则 要知道web的目录。寻找web目录其他人说通常是通过遍历目录进行寻找愿因直接读取注册表来实现。无路这俩个法子的哪本身生活,都用到了xp_regread和xp_dirtree好几个 多扩展存储过程,其他人只前要删除这俩个扩展存储就都可以 了,当然也都可以 把对应的dll文件也并肩删除。

  否则 愿因是愿因tcp连接出错另一方暴出了web目录,就那么法子了。什么都有有有其他人前要让帐户的权限更低,无法完成备份操作。具体操作如下:在这俩帐户的属性—数据库访问选项里只前要对选中对应的数据库并赋予其DBO权限,对于其他数据库何必 操作。接着前要到该数据库—属性—权限把该用户的备份和备份日志的权限上加,原来 入侵者就只能通过差异备份获得webshell了。

热门

热门标签