日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
看如何通過配置服務器防止黑客獲取webshell

在企業(yè)中的網(wǎng)絡防范,網(wǎng)絡管理員首先應該從入侵者的角度考慮,知道了入侵者的攻擊方式那么防范就便的容易許多。目前比較流行的黑客入侵服務器方式,都是首先通過網(wǎng)站漏洞獲取webshell,之后通過服務器配置找出提權(quán)方法,拿到服務器權(quán)限。所以我們應當正確合理的配置服務器,從而防止黑客獲取webshell。
 
一、防止數(shù)據(jù)庫被非法下載

成都創(chuàng)新互聯(lián)公司是一家專業(yè)從事網(wǎng)站設(shè)計、成都網(wǎng)站制作、網(wǎng)頁設(shè)計的品牌網(wǎng)絡公司。如今是成都地區(qū)具影響力的網(wǎng)站設(shè)計公司,作為專業(yè)的成都網(wǎng)站建設(shè)公司,成都創(chuàng)新互聯(lián)公司依托強大的技術(shù)實力、以及多年的網(wǎng)站運營經(jīng)驗,為您提供專業(yè)的成都網(wǎng)站建設(shè)、營銷型網(wǎng)站建設(shè)及網(wǎng)站設(shè)計開發(fā)服務!

應當說,有一點網(wǎng)絡安全的管理員,都會把從網(wǎng)上下載的網(wǎng)站程序的默認數(shù)據(jù)庫路徑進行更改。當然也有一部分管理員非常粗心,拿到程序直接在自己的服務器上進行安裝,甚至連說明文件都不進行刪除,更不要說更改數(shù)據(jù)庫路徑了。這樣黑客就可以通過直接從源碼站點下載網(wǎng)站源程序,然后在本地測試找到默認的數(shù)據(jù)庫,再通過下載數(shù)據(jù)庫讀取里面的用戶信息和資料(一般是經(jīng)過MD5加密的)找到管理入口進行登陸獲取webshell.還有一種情況是由于程序出錯暴出了網(wǎng)站數(shù)據(jù)庫的路徑,那么怎么防止這種情況的發(fā)生呢?我們可以添加mdb的擴展映射。如下圖所示:

打開IIS添加一個MDB的映射,讓mdb解析成其他下載不了的文件:“IIS屬性”—“主目錄”—“配置”—“映射”—“應用程序擴展”里面添加。mdb文件應用解析,至于用于解析它的文件大家可以自己進行選擇,只要訪問數(shù)據(jù)庫文件出現(xiàn)無法訪問就可以了。

這樣做的好處是:

1只是要是mdb后綴格式的數(shù)據(jù)庫文件就肯定下載不了;

2對服務器上所有的mdb文件都起作用,對于虛擬主機管理員很有用處。

二、防止上傳

針對以上的配置如果使用的是MSSQL的數(shù)據(jù)庫,只要存在注入點,依然可以通過使用注入工具進行數(shù)據(jù)庫的猜解。倘若上傳文件根本沒有身份驗證的話,我們可以直接上傳一個asp的木馬就得到了服務器的webshell。

對付上傳,我們可以總結(jié)為:可以上傳的目錄不給執(zhí)行權(quán)限,可以執(zhí)行的目錄不給上傳權(quán)限。Web程序是通過IIS用戶運行的,我們只要給IIS用戶一個特定的上傳目錄有寫入權(quán)限,然后又把這個目錄的腳本執(zhí)行權(quán)限去掉,就可以防止入侵者通過上傳獲得webshell了。配置方法:首先在IIS的web目錄中,打開權(quán)限選項卡、只給IIS用戶讀取和列出目錄權(quán)限,然后進入上傳文件保存和存放數(shù)據(jù)庫的目錄,給IIS用戶加上寫入權(quán)限,最后在這兩個目錄的“屬性”—“執(zhí)行權(quán)限”選項把“純腳本”改為“無”即可。

最后提醒一點,在你設(shè)置以上權(quán)限的時候,一定要注意到設(shè)置好父目錄的繼承。避免所做的設(shè)置白費。

三、MSSQL注入

對于MSSQL數(shù)據(jù)庫的防御,我們說,首先要從數(shù)據(jù)庫連接帳戶開始。數(shù)據(jù)庫不要用SA帳戶。使用SA帳戶連接數(shù)據(jù)庫對服務器來說就是一場災難。一般來說可以使用DB_OWNER權(quán)限帳戶連接數(shù)據(jù)庫,如果可以正常運行,使用public用戶最安全的。設(shè)置成dbo權(quán)限連接數(shù)據(jù)庫之后,入侵者基本就只能通過猜解用戶名和密碼或者是差異備份來獲得webshell了,對于前者,我們可以通過加密和修改管理后臺的默認登陸地址來防御。對于差異備份,我們知道它的條件是有備份的權(quán)限,并且要知道web的目錄。尋找web目錄我們說通常是通過遍歷目錄進行尋找或者直接讀取注冊表來實現(xiàn)。無路這兩個方法的哪一種,都用到了xp_regread和xp_dirtree兩個擴展存儲過程,我們只需要刪除這兩個擴展存儲就可以了,當然也可以把對應的dll文件也一起刪除。

但是如果是由于程序出錯自己暴出了web目錄,就沒有辦法了。所以我們還要讓帳戶的權(quán)限更低,無法完成備份操作。具體操作如下:在這個帳戶的屬性—數(shù)據(jù)庫訪問選項里只需要對選中對應的數(shù)據(jù)庫并賦予其DBO權(quán)限,對于其他數(shù)據(jù)庫不要操作。接著還要到該數(shù)據(jù)庫—屬性—權(quán)限把該用戶的備份和備份日志的權(quán)限去掉,這樣入侵者就不能通過差異備份獲取webshell了。


本文題目:看如何通過配置服務器防止黑客獲取webshell
文章網(wǎng)址:http://m.5511xx.com/article/copcsid.html