1、服務(wù)器安全維護(hù)一 IIS優(yōu)化1、禁止多余的Web服務(wù)擴(kuò)展 IIS6.0支持多種服務(wù)擴(kuò)展，有些管理員偷懶或者不求甚解，擔(dān)心Web運(yùn)行中出現(xiàn)解析錯(cuò)誤，索性在建站時(shí)開啟了所有的Web服務(wù)擴(kuò)展。殊不 知，這其中的有些擴(kuò)展比如“所有未知CGI擴(kuò)展”、“在 HYPERLINK / 服務(wù)器端的包含文件”等是Web運(yùn)行中根本用不到的，況且還占用IIS資源影響性能拖垮Web，甚 至某些擴(kuò)展存在漏洞容易被攻擊者利用。因此，科學(xué)的原則是，用到什么擴(kuò)展就啟用什么擴(kuò)展。如果企業(yè)站點(diǎn)是靜態(tài)頁面，那什么擴(kuò)展都不要開啟。不過現(xiàn)在的企業(yè)站點(diǎn)都是交互的動(dòng)態(tài)頁面比如asp、php、jsp等。如果是asp頁面，那只 需開啟“Acti

2、ve Server Pages”即可。對(duì)于php、jsp等動(dòng)態(tài)頁面IIS6.0默認(rèn)是不支持的需要進(jìn)行安裝相應(yīng)組件實(shí)現(xiàn)對(duì)這些擴(kuò)展的支持。不過，此時(shí)用不到的擴(kuò)展完全可以 禁用。禁止Web服務(wù)擴(kuò)展的操作非常簡單，打開“IIS管理器”，在左窗格中點(diǎn)擊“Web服務(wù)擴(kuò)展”，在右側(cè)選擇相應(yīng)的擴(kuò)展，然后點(diǎn)擊“禁用”即可。(圖1)2、刪除不必要的IIS擴(kuò)展名映射IIS默認(rèn)支持.asp、.cdx等8種擴(kuò)展名的映射，這其中除了.asp之外其他的擴(kuò)展幾乎用不到。這些用不著的擴(kuò)展會(huì)加重web HYPERLINK / 服務(wù)器的負(fù)擔(dān)，而且?guī)硪欢ǖ陌踩[患。比如.asa，.cer等擴(kuò)展名，就可以被攻擊者利用來獲得websh

3、ell。因?yàn)橐话愕腶sp系統(tǒng)都會(huì)限制asp文件的上傳，但如果沒有限制.asa或者.cer等擴(kuò)展名，攻擊者就可以更改文件后綴突破上傳限制，運(yùn)行.asa或者.cer的文件獲得webshell。(圖 2)刪除IIS擴(kuò)展名的操作是：打開IIS管理器，右鍵單擊“默認(rèn)Web站點(diǎn)”選擇“屬性”，點(diǎn)擊“主目錄”選項(xiàng)卡，然后點(diǎn)擊“配置”打開應(yīng)用程序 窗口，最后根據(jù)自己的需要選擇不必要的應(yīng)用程序映射比如.shtml, .shtm, .stm等，然后點(diǎn)擊“刪除”即可。(圖3)服務(wù)器安全維護(hù)（二）磁盤權(quán)限設(shè)置很簡單，大體來說就幾步：先創(chuàng)建一個(gè)用戶組，以后任何的站點(diǎn)的用戶都建在這個(gè)組里，然后配置這個(gè)組在各個(gè)分區(qū)沒有權(quán)限

4、或完全拒絕（直接在根磁盤配置就能夠了，不要替換任何子目錄的權(quán)限）。然后再配置各個(gè)IIS用戶在各自的文檔夾里的權(quán)限。第二，改名或卸載不安全組件 第三，把system32下面的一些常用網(wǎng)絡(luò)命令配置成只有 system administrators 能夠訪問 其他用戶全部刪除，如net.exe tftp.exe at.exe 網(wǎng)上應(yīng)該有很多相關(guān)介紹了第四，使用一般用戶啟動(dòng)mssql或mysql數(shù)據(jù)庫假如出現(xiàn)asp數(shù)據(jù)庫連不上的問題，應(yīng)該是c:windowstemp c:WINDOWSIIS Temporary Compressed Files 文檔夾沒有給虛擬用戶組權(quán)限，給他可讀可寫。這樣配置出來，

5、不支持， 要支持的話 c:WINDOWSMicrosoft.NETFrameworkv1.1.4322這個(gè)目錄也要給虛擬用戶組可運(yùn)行權(quán)限，web文檔夾要加上iis_wpg可讀可寫，但開啟會(huì)帶來新的安全問題，假如無需的話不建議開啟。ASP的安全設(shè)置：設(shè)置過權(quán)限和服務(wù)之后，防范asp木馬還需要做以下工作，在cmd窗口運(yùn)行以下命令：regsvr32/u C:WINNTSystem32wshom.ocxdel C:WINNTSystem32wshom.ocxregsvr32/u C:WINNTsystem32shell32.dlldel C:WINNTsystem32shell32.dll即可將WSc

6、ript.Shell, Shell.application, WScript.Network組件卸載，可有效防止asp木馬通過wscript或shell.application執(zhí)行命令以及使用木馬查看一些系統(tǒng)敏感信息。另法：可取消以上文件的users用戶的權(quán)限，重新啟動(dòng)IIS即可生效。但不推薦該方法。另外，對(duì)于FSO由于用戶程序需要使用，服務(wù)器上可以不注銷掉該組件，這里只提一下FSO的防范，但并不需要在自動(dòng)開通空間的虛擬商服務(wù)器上使用，只適合于手工開通的站點(diǎn)?？梢葬槍?duì)需要FSO和不需要FSO的站點(diǎn)設(shè)置兩個(gè)組，對(duì)于需要FSO的用戶組給予c: winntsystem32scrrun.dll文件的執(zhí)

7、行權(quán)限，不需要的不給權(quán)限。重新啟動(dòng)服務(wù)器即可生效。對(duì)于這樣的設(shè)置結(jié)合上面的權(quán)限設(shè)置，海陽木馬已經(jīng)在這里失去了作用.服務(wù)器安全維護(hù)（三）MySQL安全設(shè)置：如果服務(wù)器上啟用MySQL數(shù)據(jù)庫，MySQL數(shù)據(jù)庫需要注意的安全設(shè)置為：刪除mysql中的所有默認(rèn)用戶，只保留本地root帳戶，為root用戶加上一個(gè)復(fù)雜的密碼。賦予普通用戶 updatedeletealertcreatedrop權(quán)限的時(shí)候，并限定到特定的數(shù)據(jù)庫，尤其要避免普通客戶擁有對(duì)mysql數(shù)據(jù)庫操作的權(quán)限。檢查 mysql.user表，取消不必要用戶的shutdown_priv,reload_priv,process_priv和Fil

8、e_priv權(quán)限，這些權(quán)限可能泄漏更多的服務(wù)器信息包括非mysql的其它信息出去。可以為mysql設(shè)置一個(gè)啟動(dòng)用戶，該用戶只對(duì)mysql目錄有權(quán)限。設(shè)置安裝目錄的data數(shù)據(jù)庫的權(quán)限(此目錄存放了mysql數(shù)據(jù)庫的數(shù)據(jù)信息)。對(duì)于mysql安裝目錄給users加上讀取、列目錄和執(zhí)行權(quán)限。Serv-u安全問題：安裝程序盡量采用最新版本，避免采用默認(rèn)安裝目錄，設(shè)置好serv-u目錄所在的權(quán)限，設(shè)置一個(gè)復(fù)雜的管理員密碼。修改serv-u的 banner信息，設(shè)置被動(dòng)模式端口范圍（40014003）在本地服務(wù)器中設(shè)置中做好相關(guān)安全設(shè)置：包括檢查匿名密碼，禁用反超時(shí)調(diào)度，攔截“FTP bounce”攻擊

9、和FXP，對(duì)于在30秒內(nèi)連接超過3次的用戶攔截10分鐘。域中的設(shè)置為：要求復(fù)雜密碼，目錄只使用小寫字母，高級(jí)中設(shè)置取消允許使用 MDTM命令更改文件的日期。更改serv-u的啟動(dòng)用戶：在系統(tǒng)中新建一個(gè)用戶，設(shè)置一個(gè)復(fù)雜點(diǎn)的密碼，不屬于任何組。將servu的安裝目錄給予該用戶完全控制權(quán)限。建立一個(gè)FTP根目錄，需要給予這個(gè)用戶該目錄完全控制權(quán)限，因?yàn)樗械膄tp用戶上傳，刪除，更改文件都是繼承了該用戶的權(quán)限，否則無法操作文件。另外需要給該目錄以上的上級(jí)目錄給該用戶的讀取權(quán)限，否則會(huì)在連接的時(shí)候出現(xiàn)530 Not logged in, home directory does not exist。比

10、如在測(cè)試的時(shí)候ftp根目錄為d:soft，必須給d盤該用戶的讀取權(quán)限，為了安全取消d盤其他文件夾的繼承權(quán)限。而一般的使用默認(rèn)的 system啟動(dòng)就沒有這些問題，因?yàn)閟ystem一般都擁有這些權(quán)限的。MSSQL數(shù)據(jù)庫服務(wù)器的安全設(shè)置對(duì)于專用的MSSQL數(shù)據(jù)庫服務(wù)器，對(duì)外只開放1433和5631端口。對(duì)于MSSQL首先需要為sa設(shè)置一個(gè)強(qiáng)壯的密碼，使用混合身份驗(yàn)證,加強(qiáng)數(shù)據(jù)庫日志的記錄,審核數(shù)據(jù)庫登陸事件的”成功和失敗”.刪除一些不需要的和危險(xiǎn)的OLE自動(dòng)存儲(chǔ)過程(會(huì)造成企業(yè)管理器中部分功能不能使用),這些過程包括如下:Sp_OACreate Sp_OADestroy Sp_OAGetErrorI

11、nfo Sp_OAGetPropertySp_OAMethod Sp_OASetProperty Sp_OAStop去掉不需要的注冊(cè)表訪問過程,包括有:Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalueXp_regenumvalues Xp_regread Xp_regremovemultistringXp_regwrite去掉其他系統(tǒng)存儲(chǔ)過程，如果認(rèn)為還有威脅，當(dāng)然要小心Drop這些過程，可以在測(cè)試機(jī)器上測(cè)試，保證正常的系統(tǒng)能完成工作，這些過程包括：xp_cmdshell xp_dirtree xp_dropwebtask sp_ad

12、dsrvrolememberxp_makewebtask xp_runwebtask xp_subdirs sp_addloginsp_addextendedproc在實(shí)例屬性中選擇TCP/IP協(xié)議的屬性。選擇隱藏 SQL Server 實(shí)例可防止對(duì)1434端口的探測(cè),可修改默認(rèn)使用的1433端口。除去數(shù)據(jù)庫的guest賬戶把未經(jīng)認(rèn)可的使用者據(jù)之在外。 例外情況是master和 tempdb 數(shù)據(jù)庫,因?yàn)閷?duì)他們guest帳戶是必需的。另外注意設(shè)置好各個(gè)數(shù)據(jù)庫用戶的權(quán)限，對(duì)于這些用戶只給予所在數(shù)據(jù)庫的一些權(quán)限。在程序中不要用sa用戶去連接任何數(shù)據(jù)庫。網(wǎng)絡(luò)上有建議大家使用協(xié)議加密的，千萬不要這么做

13、，否則你只能重裝MSSQL了。服務(wù)器安全維護(hù) （四）入侵檢測(cè)工作作為服務(wù)器的日常管理，入侵檢測(cè)是一項(xiàng)非常重要的工作，在平常的檢測(cè)過程中，主要包含日常的服務(wù)器安全例行檢查和遭到入侵時(shí)的入侵檢查，也就是分為在入侵進(jìn)行時(shí)的安全檢查和在入侵前后的安全檢查。日常的安全檢測(cè)日常安全檢測(cè)主要針對(duì)系統(tǒng)的安全性，工作主要按照以下步驟進(jìn)行：1查看服務(wù)器狀態(tài)：打開進(jìn)程管理器，查看服務(wù)器性能，觀察CPU和內(nèi)存使用狀況。查看是否有CPU和內(nèi)存占用過高等異常情況。2檢查當(dāng)前進(jìn)程情況切換“任務(wù)管理器”到進(jìn)程，查找有無可疑的應(yīng)用程序或后臺(tái)進(jìn)程在運(yùn)行。用進(jìn)程管理器查看進(jìn)程時(shí)里面會(huì)有一項(xiàng)taskmgr，這個(gè)是進(jìn)程管理器自身的進(jìn)程

14、。如果正在運(yùn)行windows更新會(huì)有一項(xiàng)wuauclt.exe進(jìn)程。通常的后門如果有進(jìn)程的話，一般會(huì)取一個(gè)與系統(tǒng)進(jìn)程類似的名稱，如svch0st.exe，此時(shí)要仔細(xì)辨別通常迷惑手段是變字母o為數(shù)字0，變字母l為數(shù)字13檢查系統(tǒng)帳號(hào)打開計(jì)算機(jī)管理，展開本地用戶和組選項(xiàng)，查看組選項(xiàng)，查看administrators組是否添加有新帳號(hào)，檢查是否有克隆帳號(hào)。4查看當(dāng)前端口開放情況使用netstat -an，查看當(dāng)前的端口連接情況，尤其是注意與外部連接著的端口情況，看是否有未經(jīng)允許的端口與外界在通信。如有，立即關(guān)閉該端口并記錄下該端口對(duì)應(yīng)的程序并記錄，將該程序轉(zhuǎn)移到其他目錄下存放以便后來分析。5檢查系統(tǒng)

15、服務(wù)運(yùn)行services.msc，檢查處于已啟動(dòng)狀態(tài)的服務(wù)，查看是否有新加的未知服務(wù)并確定服務(wù)的用途。對(duì)于不清楚的服務(wù)打開該服務(wù)的屬性，查看該服務(wù)所對(duì)應(yīng)的可執(zhí)行文件是什么，如果確定該文件是系統(tǒng)內(nèi)的正常使用的文件，可粗略放過。查看是否有其他正常開放服務(wù)依存在該服務(wù)上，如果有，可以粗略的放過。如果無法確定該執(zhí)行文件是否是系統(tǒng)內(nèi)正常文件并且沒有其他正常開放服務(wù)依存在該服務(wù)上，可暫時(shí)停止掉該服務(wù)，然后測(cè)試下各種應(yīng)用是否正常。對(duì)于一些后門由于采用了hook系統(tǒng)API技術(shù)，添加的服務(wù)項(xiàng)目在服務(wù)管理器中是無法看到的，這時(shí)需要打開注冊(cè)表中的 HKEY_LOCAL_MACHINESYSTEMCurrentCon

16、trolSetServices項(xiàng)進(jìn)行查找，通過查看各服務(wù)的名稱、對(duì)應(yīng)的執(zhí)行文件來確定是否是后門、木馬程序等。6查看相關(guān)日志運(yùn)行eventvwr.msc，粗略檢查系統(tǒng)中的相關(guān)日志記錄。在查看時(shí)在對(duì)應(yīng)的日志記錄上點(diǎn)右鍵選“屬性”，在“篩選器”中設(shè)置一個(gè)日志篩選器，只選擇錯(cuò)誤、警告，查看日志的來源和具體描述信息。對(duì)于出現(xiàn)的錯(cuò)誤如能在服務(wù)器常見故障排除中找到解決辦法則依照該辦法處理該問題，如果無解決辦法則記錄下該問題，詳細(xì)記錄下事件來源、ID號(hào)和具體描述信息，以便找到問題解決的辦法。7檢查系統(tǒng)文件主要檢查系統(tǒng)盤的exe和dll文件，建議系統(tǒng)安裝完畢之后用dir *.exe /s 1.txt將C盤所有的

17、exe文件列表保存下來，然后每次檢查的時(shí)候再用該命令生成一份當(dāng)時(shí)的列表，用fc比較兩個(gè)文件，同樣如此針對(duì)dll文件做相關(guān)檢查。需要注意的是打補(bǔ)丁或者安裝軟件后重新生成一次原始列表。檢查相關(guān)系統(tǒng)文件是否被替換或系統(tǒng)中是否被安裝了木馬后門等惡意程序。必要時(shí)可運(yùn)行一次殺毒程序?qū)ο到y(tǒng)盤進(jìn)行一次掃描處理。8檢查安全策略是否更改打開本地連接的屬性，查看“常規(guī)”中是否只勾選了“TCP/IP協(xié)議”，打開“TCP/IP”協(xié)議設(shè)置，點(diǎn)“高級(jí)”=“選項(xiàng)”，查看 “IP安全機(jī)制”是否是設(shè)定的IP策略，查看“TCP/IP”篩選允許的端口有沒有被更改。打開“管理工具”=“本地安全策略”，查看目前使用的IP安全策略是否發(fā)生

18、更改。9檢查目錄權(quán)限重點(diǎn)查看系統(tǒng)目錄和重要的應(yīng)用程序權(quán)限是否被更改。需要查看的目錄有c:;c:winnt;C:windowssystem32;c:C:windowssystem32inetsrv;C:windowssystem32netsrvdata;c:documents and Settings;然后再檢查serv-u安裝目錄，查看這些目錄的權(quán)限是否做過變動(dòng)。檢查system32下的一些重要文件是否更改過權(quán)限，包括：cmd，net，ftp，tftp，cacls等文件。10檢查啟動(dòng)項(xiàng)主要檢查當(dāng)前的開機(jī)自啟動(dòng)程序?？梢允褂胢sconfig.exe來檢查開機(jī)自啟動(dòng)的程序。發(fā)現(xiàn)入侵時(shí)的應(yīng)對(duì)措施對(duì)于即時(shí)發(fā)現(xiàn)的入侵事件，以下情況針對(duì)系統(tǒng)已遭受到破壞情況下的處理，系統(tǒng)未遭受到破壞或暫時(shí)無法察覺到破壞先按照上述的檢查步驟檢查一遍后再酌情考慮以下措施。系統(tǒng)遭受到破壞后應(yīng)立即采取以下措施：視情況嚴(yán)重決定處理的方式，是通過遠(yuǎn)程處理還是通過實(shí)地處理。如情況嚴(yán)重建議采用實(shí)地處理。如采用實(shí)地處理，在發(fā)現(xiàn)入侵的第一時(shí)間通知機(jī)房關(guān)閉服務(wù)器，待處理人員趕到機(jī)房時(shí)斷開網(wǎng)線，再進(jìn)入系統(tǒng)進(jìn)行檢查。如采用遠(yuǎn)程處理，如情況嚴(yán)重第一時(shí)間停止所有應(yīng)用服務(wù)，更改IP策略為只允許遠(yuǎn)程管理端口進(jìn)行連接然后重新啟動(dòng)服務(wù)器，重新啟動(dòng)之后再遠(yuǎn)程連接上去進(jìn)行處理，重啟前先用mscon