首页 > 网站 > 建站经验 > 正文

虚拟主机封杀webshell提权!!!!!!!!!!

2019-11-02 16:58:39

字体：大中小

来源：转载

供稿：网友

1.为了打造一个安全的虚拟主机,在asp+SQL环境下,我们要做的是封杀ASP webshell.封杀serv-u提权漏洞和SQL注入的威胁

2.默认安装的win主机上webshell功能十分强大,我们要封杀webshell的哪些功能也就是不让webshell查看系统服务信息,执行cmd命令和略览文件目录,我们要实现的功能是每个用户只能访问自己的目录,而且可以用FSO等ASP组件,在这里我以海洋木马和win200为例给大家演示一下.好多资料都是网上收集而来,在这表示感谢.

3.现在我们先设置好win的目录访问权限设置所有分区为administrator SYSTEM这两个系统用户拥有所有权、删除ERVERYONE

具体*作方式：选择系统盘我们这里为C->按右键选择属性-安全添加一个administrator和SYSTEM所有权限，删除ERVERYONE用户

　我已经都设置过了,就不重复了,设置权限的时候很慢,具体的看我下面的说明吧

4.选择重置所有子对象的权限并允许传播可继承权限

具体*作方式：接第3步->选择高级->选择重置所有子对象的权限并允许传播可继承权限打钩选定按应用->提示是否继续选择‘是'继续

　　　　　　　如果发现有提示问题就按继续按钮继续

5.设置everyone用户可以读取的目录（使得可以执行PERL ASP JMAIL）

[设置ASP可以使用]具体*作：进入C:/promgram files目录把common files目录，设置everyone可以读、运行、列目录

C:/Program Files/Common Files 都是一些系统文件,如果你装了一些别的组件,比如maill,php等也按同样的设置

　就是刚才那个目录,系统出了毛病,设置权限的时候十分慢

6.设置取消继承，功能：为了使用户不能越权删除而ASP可以正常使用

具体*作方式：进入winnt/system32/选中所有目录，除了inetsrv certsrv 两个目录不要选择（备注：这两个是ASP要用的dll)

　　　　　　　选择属性->安全->高级->权限->把允许来自父系的继承取消打钩->按复制

　　　　　　　

　　　　　　　进入winnt目录->选中所有目录除web, temp, tasks, system32　,offine web pages ,

　　　　　　　iis temporay compressed file ,help,download promgram 同上取消继承->按复制

　　　选择winnt->设置安全，添加everyone 读取运行列出文件目录读取

　　　

　　　进入winnt->选择temp属性设置安全 ,everyone完全控制,再点高级,编辑,把运行权限去掉

动画断了,奇怪了

这样2000目录权限基本设置完成,2003的目录设置可以看最下面,我就是这么设置的,没出问题,有问题找我,看来还没设置好,终于好了,累啊

D盘看不见了吧.

7.刚才动画断了,新建一个用户leilei,设置密码,要设置密码永不过期,把他加到guest用户组里去,然后在IIS设置他的虚拟站点,我这用的是默认站点,设置虚拟目录E:/网站资源/BBSXP 5.12 正式版 ]/bbsxp,再点属性-目录安全性-编辑.匿名访问打上勾,然后设置用户名和密码,然后到E:/网站资源/BBSXP 5.12 正式版 ]/bbsxp里设置权限,给leilei访问权.OK,现在告了一段落,leilei这个用户只能访问自己的目录了删掉不用的脚本映射.*.htr这是一个比较厉害的文件，删掉好了。否则，任何人都可以通过你的web来进行非法*作，甚至格式化掉你的硬盘。 *.hta 删掉吧。 *.idc 所以删掉他。 *.printer这个是打印机文件。去掉他好了 *.htw , *.ida *.idq这些都是索引文件，可以去掉了。其实只要有用的保留,比如asp,asa,php,cgi,给保留着,其它全部删除就行啦!!!

上一篇：Web服务器IIS6的PHP最佳配置方法

下一篇：创建安全的个人Web服务器(winserver2003、sql2000)

学习交流

索泰发布一款GTX 1070 Mini迷你版本:小机

索泰发布一款GTX 1070 Mini迷你版本:小机箱大爱...

热门图片

猜你喜欢的新闻

猜你喜欢的关注

新闻热点

荣耀总裁赵明乌镇演讲：荣耀首款5G手机V30下月发布

2019-10-23 09:17:05

搜狐张朝阳：回归媒体是搜狐重新崛起的关键

2019-10-21 09:20:02

华为轮值董事长郭平：虚拟技术创造现实价值

2019-10-21 09:00:12

滴滴英文服务上线两周年用户已超200万

2019-09-26 08:57:12

华为推出全球至快AI训练集群Atlas900

2019-09-25 08:46:36

马斯克：特斯拉正组建中国技术团队

2019-09-25 08:15:43

疑难解答

图片精选

网友关注