IIS的安全加固
1关闭并删除默认站点
默认FTP站点
默认Web站点
管理Web站点
2建立自己的站点与系统不在一个分区
如 D:\wwwroot3建立E:\Logfiles 目录 以后建立站点时的日志文件均位于此目录确保此目录上的访问控制权限是 Administrat ors 完全控制 Syst em完全控制
3删除IIS的部分目录
IISHelp C:\winnt\help\iishelp
II SA dmin C:\s y st em32\inet s rv\iis adm in
M SADC C:\Program Files\Co mmon Files\Sy stem\msadc\
删除C:\inetpub
4、 网站下的图片文件目录及UPLOAD相关用户上传目录中网站属性由“纯脚本”改成“无”这样能很有效的防止用户非法上传一些A SA文件来执行上传木马。
5、 所有网站IUSR-PCNAM E用户权限减去“遍历文件夹-运行文件。
6、建议使用D eerF ield对各种注入等手段通过URL提交的命令的关键字以及敏感文件的扩展名进行过滤如MD B、 „、 --、NULL、 s elect、 %5 c、 c:、 cmd、 sy st em32、 xp_cmdshell、 e xec、@a、 dir、 al ert()、 ‟or‟‟=‟、Where、 count(*)、 between、 and、 in etp ub、 wwwroot、 nchar、 %2B、%25等。对于提交有上述字串请示的IP一般都是人为有意进行 因此可令防火墙对这类访问的IP进行较长时间的屏蔽。
7、其他安全工具安装安全工具 如Urls cn、 II SLock等
2 日志的安全管理
1、启用操作系统组策略中的审核功能对关键事件进行审核记录
2、启用IIS、 FTP服务器等服务本身的日志功能并对所有日志存放的默认位置进行更改同时作好文件夹权限设置
3、安装P ortrep ort对所有网络访问操作进行监视可选可能增大服务器负荷
4、安装自动备份工具定时对上述日志进行异地备份起码是在其他分区的隐蔽位置进行备份并对备份目录设置好权限仅管理员可访问。
5、准备一款日志分析工具 以便随时可用。
6、要特别关注任何服务的重启、访问敏感的扩展存储过程等事件。
9修改IIS标志
1使用工具程序修改IIS标志
修改IIS标志Banner的方法
下载一个修改IIS Banner显示信息的软件——IIS/PWS B anner Edit。利用它我们可以很轻松地修改IIS的Banner。但要注意在修改之前我们首先要将IIS停止最好是在服务中将World Wid e Web Publishing停止 ,并要将D LLcach e下的文件全部清除。否则你会发现即使修改了一点改变也没有。
IIS/PW S B anner Edit其实是个傻瓜级的软件我们只要直接在New Banner中输入想要的B anner信息再点击Save to file就修改成功了。用IIS/PWS B anner Edit简单地修改对菜鸟黑客来说他可能已被假的信息迷惑了可是对一些高手来说这并没有给他们造成什么麻烦。为此我们必须亲自修改II S的B ann er信息这样才能做到万无一失。
高版本Windows 的文件路径为 C:\WIND OWS\sy st em32\inet srv\w3 svc dll,可以直接用Ultraedit打开W3 S VC D LL然后以“Server ”为关键字查找。利用编辑器将原来的内容替换成我们想要的信息 比如改成Ap ache的显示信息这样入侵者就无法判断我们的主机类型也就无从选择溢出工具了。
2修改IIS的默认出错提示信息等。
10重定义错误信息
很多文章讲了怎样防止数据库不被下载都不错的,只要记住一点 不要改成asp就可以了,不然给你放一个一句话木马让你死的很难看,再着在IIS中将HTTP404500等Object Not Found出错页面通过URL重定向到一个定制H TM文件,这样大多数的暴库得到的都是你设置好的文件,自然就掩饰了数据库的地址还能防止一些菜鸟sql注射。
对于服务器管理员既然你不可能挨个检查每个网站是否存在SQL注入漏洞那么就来个一个绝招。这个绝招能有效防止SQL注入入侵而且\"省心又省力效果真好 \"SQL注入入侵是根据II S给出的ASP错误提示信息来入侵的如果你把IIS设置成不管出什么样的ASP错误只给出一种错误提示信息即http 500错误那么人家就没办法入侵了。具体设置请参看图2。主要把500:100这个错误的默认提示页面
C:\WINDOWS\Help\iisHelp\common0-100 asp改成
C:\WINDOWS\He lp\iisHelp\common0 htm即可这时无论ASP运行中出什么错服务器都只提示HTTP500错误。
还可更改C:\WINDOWS\He lp\iisHelp\common4b htm内容改为这样 出错了自动转到首页。
4 Access数据库的安全概要
1新生成的数据库在保证干净的前提下主动在尾部合并一行A SP代码 内容一般可以为重定向 以免别人通过论坛发帖等方式嵌入有害代码后被得到执行
2对MDB文件创建一个无效的映射 以便在IE中下载时出错
3修改出错页面建议将出错页面设计为正常被曝库后的内容但给一个数据库的虚假地址最好存在相应的虚假数据库文件 比如一个改名后的病毒等
4在防火墙中对MDB类型的扩展名进行过滤
5删除或禁用网站的后台数据库备份功能而用本地安装的专门自动备份程序进行自动增量备份。
6A SP通用防止注入的程序
功能简单说明
1 自动获取页面所有参数无需手工定义参数名
2提供三种错误处理方式供选择
(1)提示信息
(2)转向页面
(3)提示信息,再转向页面
3自定义转向页面
使用方法很简单只需要在A SP页面头部插入代码
Code:
包含Fy_SqlX Asp就可以了~~简单实用
7)使用ODBC数据源。
在A SP程序设计中如果有条件应尽量使用O D B C数据源不要把数据库名写在程序中否则数据库名将随A SP源代码的失密而一同失密例如
DBPath=Server M ap Path(“/akkt/kj61/acd/av 5/faq9jl mdb”)conn op en“driver={M icrosoft Access Driver(*mdb) };dbq=”&DBPath
可见 即使数据库名字起得再怪异 隐藏的目录再深 A SP源代码失密后也很容易被下载下来。如果使用ODBC数据源就不会存在这样的问题了conn op en“ODBC-DSN名”
Win 2003中提高F SO的安全性
A SP提供了强大的文件系统访问能力可以对服务器硬盘上的任何文件进行读、写、复制、删除、改名等操作这给学校网站的安全带来巨大的威胁。现在很多校园主机都遭受过F SO木马的侵扰。但是禁用F SO组件后引起的后果就是所有利用这个组件的A SP程序将无法运行无法满足客户的需求。如何既允许F ileSy s t emO bj ect组件又不影响服务器的安全性呢即不同虚拟主机用户之间不能使用该组件读写别人的文件 以下是笔者多年来摸索出来的经验
第一步是有别于Windows 2000设置的关键右击C盘点击“共享与安全”在出现在对话框中选择“安全”选项卡将Every one、Users组删除删除后如果你的网站连ASP程序都不能运行请添加IIS_WPG组并重启计算机。
经过这样设计后 F SO木马就已经不能运行了。如果你要进行更安全级别的设置请分别对各个磁盘分区进行如上设置并为各个站点设置不同匿名访问用户。例新建IURS-ABC用户 IIS中某个站点的IU SR指定此账号。
常见问题
1、解除F SO上传程序小于200k限制
先在服务里关闭IIS admin s ervic e服务找到WindowsSy stem32Inesrv目录下的M etabas e xml并打开找到ASPM axRequestEntityAllowed将其修改为需要的值。默认为204800 即200K把它修改为
51200000 50M然后重启IIS admin s ervice服务。
2、注册会员到最后一步点击“提交信息”时出现出现错误信息 因卡巴更新后自动把JMAIL文件目录中一些JMAIL DLL文件误为病毒木马。当多次添加到卡巴信任区后 问题解决。
3、打开网站时出现“你无权查看本页或者让你输入用户名和密码时有三种可能一是你网站目录权限问题二是网站扩展名没有设 比如说PHP的主页你打开时如果你没有添加PHP执行脚本的话也会出现以上错误三是你IIS账号于系统IIS账号的密码不一样。被黑客改了!前二种可能性最大也是最容易修正的关于第三种以下是详细的解决方案
1、停掉IIS
2、查看IIS配置数据库密码 为了查看下步的密码
第一步先修改相关文件使查看到的******变为可显示
在c:\in etp ub\admins crip t s找到adsutil vbs 根据装系统时设定的不同有的路径可能不一样用记事本打开此文件
查找Is SecureProp erty=True 严重非常提醒只有一个符合字段在一个条件语句里面就一句啊在最下面那句
将Is SecureProp erty=T rue改为Is SecureProp erty=F als e
保存关闭。
第二步执行查看密码命令
开始->运行输入cmd回车打开命令行工具
输入cd c:\inetp ub\admins crip t s 进入admins crip ts目录视你机器路径而定
获取IWAM帐户密码命令 cscript exe adsutil vbs get w3svc/wamuserp ass 如果看到的是******那就是上步改错了
你还可以获取IU SR帐户密码我没有用到
命令为 cscript exe adsutil vbs get w3 svc/anonymoususerp ass
输入以上命令按回车可分别拿到IWAM和IU SR的密码。
3、右键单击我的电脑->管理打开计算机管理界面
打开本地用户和组->用户
右键单击启动IIS进程帐号IWAM_**** 注 ****一般是计算机名
点击设置密码设置为刚才你得到的IWAM密码。
4、更改组件服务中的密码
开始->运行输入cmd回车打开命令行工具
先输入cd c:\inetp ub\admins crip t s
然后输入cscript exe synciwam vbs -v
系统会提示出来一大堆字符不用管它。关闭窗口然后启动IIS报错信息应该没有了。
硅云怎么样?硅云是一家专业的云服务商,硅云的主营产品包括域名和服务器,其中香港云服务器、香港云虚拟主机是非常受欢迎的产品。硅云香港可用区接入了中国电信CN2 GIA、中国联通直连、中国移动直连、HGC、NTT、COGENT、PCCW在内的数十家优质的全球顶级运营商,是为数不多的多线香港云服务商之一。目前,硅云香港云服务器,CN2+BGP线路,1核1G香港云主机仅188元/年起,域名无需备案,支持个...
对于DMIT商家已经关注有一些时候,看到不少的隔壁朋友们都有分享到,但是这篇还是我第一次分享这个服务商。根据看介绍,DMIT是一家成立于2017年的美国商家,据说是由几位留美学生创立的,数据中心位于香港、伯力G-Core和洛杉矶,主打香港CN2直连云服务器、美国CN2直连云服务器产品。最近看到DMIT商家有对洛杉矶CN2 GIA VPS端口进行了升级,不过价格没有变化,依然是季付28.88美元起。...
妮妮云的来历妮妮云是 789 陈总 张总 三方共同投资建立的网站 本着“良心 便宜 稳定”的初衷 为小白用户避免被坑妮妮云的市场定位妮妮云主要代理市场稳定速度的云服务器产品,避免新手购买云服务器的时候众多商家不知道如何选择,妮妮云就帮你选择好了产品,无需承担购买风险,不用担心出现被跑路 被诈骗的情况。妮妮云的售后保证妮妮云退款 通过于合作商的友好协商,云服务器提供2天内全额退款到网站余额,超过2天...