经过大体的测试,目前大多的虚拟主机中的个人站点、企业网站。这种漏洞存在都很普遍,不用再扫描什么主机端口便可以攻克站点,重则危害整个主机!!如果被不法人员篡改主页或利用成为肉鸡,来攻击国内主机或达到另外目的,这可是惨中这惨,一般的虚拟主机性能都是非常好的,发起攻击不堪设想!很多菜鸟也就是这样作为嚣张的武器。在下也只是抛砖引玉,让更多的朋友能了解与重视自己的网站及主机安全。
这里我们主要讨论一下目前的主流攻击手段及防范措施。网站注入及Upfile漏洞便可以轻松控制一个网站或主机。SQL注入是从正常的WWW端口访问,而且表面看起来就相当于正常的Web页面访问,所以目前防火墙或杀毒软件都不会对此发出警报的,如果不及时修补,别人是很容易的得到WEBSHELL,一般是通过服务器上某个如论坛、发布产品系统的脚本漏洞,取得在主机80端口上传文件的权限把这个webshell传到你的服务器上的,取得了 http 的浏览地址,只要服务器是支持服务器端的脚本运行如ASP,你就能使用这个 webshell取得服务器系统的管理权了,而且后门非常隐蔽与“稳定”,即使重装系统,打了最新系统补丁也没用,所以危害性极大。以下我们来讨论如何避免的办法,右击各个硬盘分区或卷的盘符,在弹出菜单中选择“属性”,选择“安全”选项卡,此时就可以看到有哪些帐号可以访问这个分区(卷)及访问权限。默认安装后,出现的是“Everyone”具有完全控制的权限。点“添加”,将“Administrators”、“Backup Operators”、“Power Users”、“Users”等几个组添加进去,并给予“完全控制”或相应的权限,注意,不要给“Guests”组、“IUSR_机器名”这几个帐号任何权限。然后将“Everyone”组从列表中删除,这样,就只有授权的组和用户才能访问此硬盘分区了,而 ASP 执行时,是以“IUSR_机器名”的身份访问硬盘的,这里没给该用户帐号权限,ASP 也不能读写硬盘上的文件了。给每个虚拟主机(网站)用户设置一个单独的用户帐号,然后再给每个帐号分配一个允许其完全控制的目录。对站点再单独对cmd.exe net.exe net1.exe ping.exe netstat.exe ftp.exe tftp.exe telnet.exe设置为只允许administrators组访问,这样就可以防范通过Serv-U的本地提升权限漏洞来运行这些关键的程序了,再删cacls.exe这个程序,防止有人通过命令行来修改权限。
只要做好了前面的工作,FileSystemObject组件能操作的,只能是自己目录下的文件,也就构成不了什么威胁了!
