步驟2、使用Internet 信息服務(wù)(IIS)管理器建立一個(gè)安全的FTP空間:
現(xiàn)在我們打開(kāi)“開(kāi)始菜單”→“程序”→“管理工具”→“Internet 信息服務(wù)(IIS)管理器”,彈出一個(gè)IIS管理器窗口,在里面找到“FTP站點(diǎn)” →“默認(rèn) FTP 站點(diǎn)”,并在“默認(rèn) FTP 站點(diǎn)”里點(diǎn)擊鼠標(biāo)右鍵,選擇“屬性”選擇,出現(xiàn)一個(gè)“默認(rèn) FTP 站點(diǎn)屬性”對(duì)話框,選擇“主目錄”標(biāo)簽,把原來(lái)默認(rèn)的地址改為我們剛才建立的文件夾D:\cnhack 的路徑,下面會(huì)有三個(gè)選項(xiàng),分別是、“讀取、寫入、記錄訪問(wèn)”,你可以根據(jù)需要勾選,如果中介提供給別人下載的FTP空間,則不要勾選寫入選項(xiàng),如果需要提供給別人上傳及更改FTP空間內(nèi)容的,則需要勾選寫入選項(xiàng)。本例中,我們是讓朋友可以把數(shù)據(jù)上傳到FTP空間的,所以我們勾選了“寫入”選項(xiàng),如下圖(圖20)所示:
20)
(圖
下面我們?cè)賮?lái)配置使用指定的我們剛才建立的賬號(hào)cnhack 才能登陸現(xiàn)在這個(gè)FTP空間,我們現(xiàn)在點(diǎn)擊“安全帳戶”標(biāo)簽,再點(diǎn)擊“瀏覽”按鈕,根據(jù)提示選擇我們剛才建立的cnhack用戶名,然后點(diǎn)擊確定,這樣就指定了這個(gè)空間只有使用我們?cè)O(shè)置的 cnhack 用戶賬號(hào)才能登陸,記住不要勾選下面的“只允許匿名連接”選項(xiàng),因?yàn)檫@樣將會(huì)帶來(lái)安全問(wèn)題,如下圖(圖21)所示:
21)
(圖
現(xiàn)在我們?cè)賮?lái)指定該FTP站點(diǎn)的IP地址,我們只要點(diǎn)擊“FTP站點(diǎn)”標(biāo)簽,然后在“IP地址(I)”的右欄輸入框里輸入我們本機(jī)的IP地址即可。還有可以在“TCP/IP端口(T)”的右輸入框里修改當(dāng)前FTP站點(diǎn)的TCP/IP端口號(hào),默認(rèn)情況下是使用21端口的。如下圖(圖22)所示:
22)
(圖
這樣一個(gè)安全的FTP站點(diǎn)就建立成功了。使用IIS6建立的FTP服務(wù)器可以使用IE及FTP客戶端軟件登陸FTP空間。而且功能強(qiáng)大。
10、IIS6下防范WebShell安全配置:
前幾節(jié)中,我們已經(jīng)介紹過(guò)了如何在IIS6下配置CGI、PHP,在Win2003系統(tǒng)下,ASP和ASPX都是系統(tǒng)組件,都可以在“開(kāi)始菜單” →“控制面版”→“添加刪除程序”里安裝及刪除的。關(guān)于安裝及配置上述組件的方法在這里不再詳述。
?。?/span>1)配置一個(gè)簡(jiǎn)單的WWW虛擬主機(jī):
現(xiàn)在我們舉例如何組建一個(gè)WWW的虛擬主機(jī)網(wǎng)站,我們現(xiàn)在打開(kāi)“Internet 信息服務(wù)(IIS)管理器”,在左欄窗口中雙擊“網(wǎng)站”會(huì)展開(kāi)一個(gè)關(guān)聯(lián)菜單,找到“默認(rèn)網(wǎng)站”點(diǎn)擊右鍵出現(xiàn)一個(gè)菜單,選擇菜單里的“屬性”選項(xiàng),彈出一個(gè)“默認(rèn)網(wǎng)站屬性”窗口,現(xiàn)在我們選擇“網(wǎng)站”標(biāo)簽,在“IP地址(I)”的右欄里輸入你機(jī)器的IP地址,本例中,我們的IP地址輸入為 192.168.0.8 ,這個(gè)IP地址就是我本機(jī)的IP地址,在“TCP端口(T)”里我們可以看到默認(rèn)的瀏覽窗口是80,在這里我們可以更改瀏覽網(wǎng)站的端口號(hào),點(diǎn)擊右欄的“高級(jí)(D)”按鈕,我們可以在里面添加或刪除我們網(wǎng)站的瀏覽域名,當(dāng)然這個(gè)域名是你在Internet上申請(qǐng)來(lái)的,并把域名的A記錄指向到了你的本機(jī)IP,以后我們就可以使用域名記錄來(lái)訪問(wèn)你的網(wǎng)站了。
現(xiàn)在我們來(lái)配置這個(gè)虛擬主機(jī)的WWW訪問(wèn)目錄,我們點(diǎn)擊“主目錄”標(biāo)簽,在“本地路徑(C)”的右欄里輸入你這個(gè)虛擬主機(jī)在WWW所要瀏覽的目錄,在本例中,我們輸入D:\cnhack ,這樣明人就能在WWW上通過(guò) http 協(xié)議訪問(wèn)我們服務(wù)器里的 D:\cnhack 目錄里的資源了。在“本地路徑(C)”的下方有多個(gè)可勾選的選項(xiàng),一般我們保留默認(rèn)的就行了,千萬(wàn)不要勾選“寫入”項(xiàng),因?yàn)檫@樣將會(huì)導(dǎo)致服務(wù)器的安全問(wèn)題,一般我們只使用默認(rèn)的“讀?。?/span>R)、記錄訪問(wèn)(V)、索引資源(I)”就已經(jīng)足夠了。如下圖(圖23)所示:
23)
(圖
我們還可以在“文檔”標(biāo)簽里添加虛擬主機(jī)默認(rèn)的首頁(yè)文件名等,這樣一個(gè)簡(jiǎn)單的虛擬主機(jī)服務(wù)就配置完成了。如果你已經(jīng)按上幾節(jié)所寫的配置過(guò)成,那么現(xiàn)在你的這個(gè)虛擬主機(jī)將會(huì)是已經(jīng)支持ASP、ASPX、CGI、PHP、FSO、JMAIL、MySql、SMTP、POP3、FTP、3389終端服務(wù)、遠(yuǎn)程桌面Web連接管理服務(wù)等功能強(qiáng)大的服務(wù)器了。
(2)、安全使用FSO主機(jī):
其實(shí)按我們上一節(jié)所說(shuō)的配置一個(gè)簡(jiǎn)單的虛擬主機(jī),這樣的主機(jī)是存在各種WEBSHELL的威脅的,假如你給朋友開(kāi)了個(gè)虛擬主機(jī)空間,那么這個(gè)虛擬主機(jī)存在的最大安全隱患將會(huì)是FSO權(quán)限問(wèn)題,其實(shí)FSO的安全隱患在Win2K系統(tǒng)里已經(jīng)是令網(wǎng)管頭疼的事了,但在Win2003中這個(gè)FSO的安全隱患卻依然沒(méi)有解決,在沒(méi)有經(jīng)過(guò)安全配置的虛擬主機(jī)下,只要黑客給虛擬主機(jī)空間上傳一個(gè)ASP木馬,黑客就能利用FSO權(quán)限瀏覽服務(wù)器里的所有文件,并能復(fù)制、刪除服務(wù)器里的所有文件,甚至能利用ASP木馬取得服務(wù)器的管理權(quán),可見(jiàn)FSO安全配置的重要性。
下面我們舉例,如果黑客通過(guò)某些手段在你的虛擬主機(jī)空間上傳了一個(gè)ASP木馬,那么就等于黑客已經(jīng)擁有了一個(gè)WEBSHELL,黑客可以通過(guò)這個(gè)WEBSHELL控制整臺(tái)服務(wù)器里的數(shù)據(jù),本例中我們介紹的是黑客們都熟悉的海陽(yáng)頂端asp木馬,這種WEBSHELL能通過(guò)網(wǎng)頁(yè)在線更改、編輯、刪除、移動(dòng)、上傳、下載服務(wù)器上的任意文件,只要黑客給你的服務(wù)器傳上這個(gè)ASP木馬,你的服務(wù)器上的所有文件就會(huì)控制在黑客的手上,黑客能在你的服務(wù)器干什么?就是上面提及到的。更改、刪除、移動(dòng)……如下圖(圖24)所示:
24)
(圖
看到這個(gè)圖,你也能想像到你的服務(wù)器到最后會(huì)變得怎么樣了,你服務(wù)器上的資料將沒(méi)有隱私可言了,想黑你服務(wù)器上的主頁(yè)或是刪除你服務(wù)器上的文件都是點(diǎn)幾下鼠標(biāo)就能辦到的了。這種ASP木馬網(wǎng)絡(luò)上各黑客網(wǎng)站均有下載,源代碼就不便寫出來(lái)了。各黑客網(wǎng)站上還有其它版本的ASP木馬下載,但基本上都是調(diào)用FSO(Scripting.FileSystemObject)寫的。
其實(shí)你如果要防范這種攻擊,你只要把ASP中的FSO(Scripting.FileSystemObject)功能刪除就行了,刪除FSO權(quán)限方法就是在CMD的命令提示符下輸入以下命令:
Regsvr32 /u c:\windows\system32\scrrun.dll
注意:在實(shí)際操作的時(shí)候要更改成為你本地系統(tǒng)安裝目錄的實(shí)際路徑,但是使用這種方法刪除也太絕了一點(diǎn),如果以后我們想使用FSO權(quán)限,那就用不了啦。所以建議不要使用這種方法刪除FSO權(quán)限,
顯而易見(jiàn),如果這樣做,那么包括站點(diǎn)系統(tǒng)管理員在內(nèi)的任何人都將不可以使用FileSystemObject對(duì)象了,這其實(shí)并不是站點(diǎn)管理人員想要得到的結(jié)果,畢竟我們使用這個(gè)對(duì)象可以實(shí)現(xiàn)方便的在線站臺(tái)管理,如果連系統(tǒng)管理員都沒(méi)法使用了,那可就得不償失了,但是不禁止這個(gè)危險(xiǎn)的對(duì)象又會(huì)給自己的站點(diǎn)帶來(lái)安全漏洞。那么有沒(méi)有兩全其美的方法呢?有!具體方法如下:
我們可以做到禁止其他人非法使用FileSystemObject對(duì)象,但是我們自己仍然可以使用這個(gè)對(duì)象。
方法如下:
查找注冊(cè)表中
HKEY_CLASSES_ROOT\Scripting.FileSystemObject 鍵值
將其更改成為你想要的字符串(右鍵-->"重命名"),比如更改成為
HKEY_CLASSES_ROOT\Scripting.FileSystemObject2
這樣,在ASP就必須這樣引用這個(gè)對(duì)象了:
Set fso = CreateObject("Scripting.FileSystemObjectnetpk")
而不能使用:
Set fso = CreateObject("Scripting.FileSystemObject")
如果你使用通常的方法來(lái)調(diào)用FileSystemObject對(duì)象就會(huì)無(wú)法使用了。
呵呵,只要你不告訴別人這個(gè)更改過(guò)的對(duì)象名稱,其他人是無(wú)法使用FileSystemObject對(duì)象的。這樣,作為站點(diǎn)管理者我們就杜絕了他人非法使用FileSystemObject對(duì)象,而我們自己仍然可以使用這個(gè)對(duì)象來(lái)方便的實(shí)現(xiàn)網(wǎng)站在線管理等等功能了!