本文提到的部分軟件在提供下載的RAR中包含 
包括COM命令行執(zhí)行記錄 
URLSCAN 2.5以及配置好的配置文件 
IPSEC導(dǎo)出的端口規(guī)則 
evtsys 
一些注冊表加固的注冊表項. 


實踐篇 


下面我用的例子.將是一臺標準的虛擬主機. 
系統(tǒng):windows2003 
服務(wù):[IIS] [SERV-U] [IMAIL] [SQL SERVER 2000] [PHP] [MYSQL] 
描述:為了演示,綁定了最多的服務(wù).大家可以根據(jù)實際情況做篩減 


1.WINDOWS本地安全策略 端口限制 
A.對于我們的例子來說.需要開通以下端口 
外->本地 80 
外->本地 20 
外->本地 21 
外->本地 PASV所用到的一些端口 
外->本地 25 
外->本地 110 
外->本地 3389 
然后按照具體情況.打開SQL SERVER和MYSQL的端口 
外->本地 1433 
外->本地 3306 
B.接著是開放從內(nèi)部往外需要開放的端口 
按照實際情況,如果無需郵件服務(wù),則不要打開以下兩條規(guī)則 
本地->外 53 TCP,UDP 
本地->外 25 
按照具體情況.如果無需在服務(wù)器上訪問網(wǎng)頁.盡量不要開以下端口 
本地->外 80 
C.除了明確允許的一律阻止.這個是安全規(guī)則的關(guān)鍵. 
外->本地 所有協(xié)議 阻止 


2.用戶帳號 
a.將administrator改名,例子中改為root 
b.取消所有除管理員root外所有用戶屬性中的  
遠程控制->啟用遠程控制 以及 
終端服務(wù)配置文件->允許登陸到終端服務(wù)器 
c.將guest改名為administrator并且修改密碼 
d.除了管理員root,IUSER以及IWAM以及ASPNET用戶外.禁用其他一切用戶.包括SQL DEBUG以及TERMINAL USER等等 


3.目錄權(quán)限 
將所有盤符的權(quán)限,全部改為只有 
administrators組 全部權(quán)限 
system 全部權(quán)限 
將C盤的所有子目錄和子文件繼承C盤的administrator(組或用戶)和SYSTEM所有權(quán)限的兩個權(quán)限 
然后做如下修改 
C:\Program Files\Common Files 開放Everyone　默認的讀取及運行 列出文件目錄 讀取三個權(quán)限 
C:\WINDOWS\ 開放Everyone　默認的讀取及運行 列出文件目錄 讀取三個權(quán)限 
C:\WINDOWS\Temp 開放Everyone 修改,讀取及運行,列出文件目錄,讀取,寫入權(quán)限 
現(xiàn)在WebShell就無法在系統(tǒng)目錄內(nèi)寫入文件了. 
當然也可以使用更嚴格的權(quán)限. 
在WINDOWS下分別目錄設(shè)置權(quán)限. 
可是比較復(fù)雜.效果也并不明顯. 


4.IIS 
在IIS 6下.應(yīng)用程序擴展內(nèi)的文件類型對應(yīng)ISAPI的類型已經(jīng)去掉了IDQ,PRINT等等危險的腳本類型, 
在IIS 5下我們需要把除了ASP以及ASA以外所有類型刪除. 
安裝URLSCAN 
在[DenyExtensions]中 
一般加入以下內(nèi)容 
.cer 
.cdx 
.mdb 
.bat 
.cmd 
.com 
.htw  
.ida  
.idq  
.htr  
.idc  
.shtm  
.shtml  
.stm  
.printer  
這樣入侵者就無法下載.mdb數(shù)據(jù)庫.這種方法比外面一些在文件頭加入特殊字符的方法更加徹底. 
因為即便文件頭加入特殊字符.還是可以通過編碼構(gòu)造出來的 


5.WEB目錄權(quán)限 
作為虛擬主機.會有許多獨立客戶 
比較保險的做法就是為每個客戶,建立一個windows用戶 
然后在IIS的響應(yīng)的站點項內(nèi) 
把IIS執(zhí)行的匿名用戶.綁定成這個用戶 
并且把他指向的目錄 
權(quán)限變更為 
administrators 全部權(quán)限 
system 全部權(quán)限 
單獨建立的用戶(或者IUSER) 選擇高級->打開除 完全控制,遍歷文件夾/運行程序,取得所有權(quán) 3個外的其他權(quán)限. 


如果服務(wù)器上站點不多.并且有論壇 
我們可以把每個論壇的上傳目錄 
去掉此用戶的執(zhí)行權(quán)限. 
只有讀寫權(quán)限 
這樣入侵者即便繞過論壇文件類型檢測上傳了webshell 
也是無法運行的. 


6.MS SQL SERVER2000 
使用系統(tǒng)帳戶登陸查詢分析器 
運行以下腳本 
use master  
exec sp_dropextendedproc 'xp_cmdshell'  
exec sp_dropextendedproc 'xp_dirtree' 
exec sp_dropextendedproc 'xp_enumgroups' 
exec sp_dropextendedproc 'xp_fixeddrives' 
exec sp_dropextendedproc 'xp_loginconfig' 
exec sp_dropextendedproc 'xp_enumerrorlogs' 
exec sp_dropextendedproc 'xp_getfiledetails' 
exec sp_dropextendedproc 'Sp_OACreate'  
exec sp_dropextendedproc 'Sp_OADestroy'  
exec sp_dropextendedproc 'Sp_OAGetErrorInfo'  
exec sp_dropextendedproc 'Sp_OAGetProperty'  
exec sp_dropextendedproc 'Sp_OAMethod'  
exec sp_dropextendedproc 'Sp_OASetProperty'  
exec sp_dropextendedproc 'Sp_OAStop'  
exec sp_dropextendedproc 'Xp_regaddmultistring'  
exec sp_dropextendedproc 'Xp_regdeletekey'  
exec sp_dropextendedproc 'Xp_regdeletevalue'  
exec sp_dropextendedproc 'Xp_regenumvalues'  
exec sp_dropextendedproc 'Xp_regread'  
exec sp_dropextendedproc 'Xp_regremovemultistring'  
exec sp_dropextendedproc 'Xp_regwrite'  
drop procedure sp_makeweBTask 
go 
刪除所有危險的擴展. 


7.修改CMD.EXE以及NET.EXE權(quán)限 
將兩個文件的權(quán)限.修改到特定管理員才能訪問,比如本例中.我們?nèi)缦滦薷?nbsp;
cmd.exe root用戶 所有權(quán)限 
net.exe root用戶 所有權(quán)現(xiàn) 
這樣就能防止非法訪問. 
還可以使用例子中提供的comlog程序 
將com.exe改名_com.exe,然后替換com文件.這樣可以記錄所有執(zhí)行的命令行指令 


8.備份 
使用ntbackup軟件.備份系統(tǒng)狀態(tài). 
使用reg.exe 備份系統(tǒng)關(guān)鍵數(shù)據(jù) 
如reg export HKLM\SOFTWARE\ODBC e:\backup\system\odbc.reg /y 
來備份系統(tǒng)的ODBC 


9.殺毒 
這里介紹MCAFEE 8i 中文企業(yè)版 
因為這個版本對于國內(nèi)的許多惡意代碼和木馬都能夠及時的更新. 
比如已經(jīng)能夠檢測到海陽頂端2006 
而且能夠殺除IMAIL等SMTP軟件使用的隊列中MIME編碼的病毒文件 
而很多人喜歡安裝諾頓企業(yè)版.而諾頓企業(yè)版,對于WEBSHELL.基本都是沒有反應(yīng)的. 
而且無法對于MIME編碼的文件進行殺毒. 
在MCAFEE中. 
我們還能夠加入規(guī)則.阻止在windows目錄建立和修改EXE.DLL文件等 
我們在軟件中加入對WEB目錄的殺毒計劃. 
每天執(zhí)行一次 
并且打開實時監(jiān)控. 


10.關(guān)閉無用的服務(wù) 
我們一般關(guān)閉如下服務(wù) 
Computer Browser 
Help and Support 
Messenger 
Print Spooler 
Remote Registry 
TCP/IP NetBIOS Helper 
如果服務(wù)器不用作域控,我們也可以禁用 
Workstation 


11.取消危險組件 
如果服務(wù)器不需要FSO 
regsvr32 /u c:\windows\system32\scrrun.dll 
注銷組件 
使用regedit 
將/HKEY_CLASSES_ROOT下的 
WScript.Network 
WScript.Network.1 
WScript.Shell 
WScript.Shell.1 
Shell.Application 
Shell.Application.1 
鍵值改名或刪除 
將這些鍵值下CLSID中包含的字串 
如{72C24DD5-D70A-438B-8A42-98424B88AFB8} 
到/HKEY_CLASSES_ROOT/CLSID下找到以這些字串命名的鍵值 
全部刪除 


12.審計 
本地安全策略->本地策略->審核策略 
打開以下內(nèi)容 
審核策略更改 成功,失敗 
審核系統(tǒng)事件 成功,失敗 
審核帳戶登陸事件 成功,失敗 
審核帳戶管理 成功,失敗

最新評論