疯狂代码 http://www.crazycoder.cn/ ĵ:
http:/www.crazycoder.cn/SecurityFileWall/Article63628.html
随着动网论坛广泛应用和动网上传漏洞被发现以及SQL注入式攻击越来越多被使用WEBSHELL让防火墙形同虚设台即使打了所有微软补丁、只让80端口对外开放WEB服务器也逃不过被黑命运难道我们真无能为力了吗?其实只要你弄明白了NTFS系统下权限设置问题我们可以对crackers们说:NO! 要打造台安全WEB服务器那么这台服务器就定要使用NTFS和Windows NT/2000/2003众所周知Windows是个支持多用户、多任务操作系统这是权限设置基础切权限设置都是基于用户和进程而言区别用户在访问这台计算机时将会有区别权限
DOS跟WinNT权限分别
DOS是个单任务、单用户操作系统但是我们能说DOS没有权限吗?不能!当我们打开台装有DOS操作系统计算机时候我们就拥有了这个操作系统管理员权限而且这个权限无处不在所以我们只能说DOS不支持权限设置不能说它没有权限随着人们安全意识提高权限设置随着NTFS发布诞生了
Windows NT里用户被分成许多组组和组的间都有区别权限当然个组用户和用户的间也可以有区别权限下面我们来谈谈NT中常见用户组
Administrators,管理员组默认情况下Administrators中用户对计算机/域有不受限制完全访问权分配给该组默认权限允许对整个系统进行完全控制所以只有受信任人员才可成为该组成员
Power Users高级用户组Power Users 可以执行除了为 Administrators 组保留任务外其他任何操作系统任务分配给 Power Users 组默认权限允许 Power Users 组成员修改整个计算机设置但Power Users 不具有将自己添加到 Administrators 组权限在权限设置中这个组权限是仅次于Administrators
Users:普通用户组这个组用户无法进行有意或无意改动因此用户可以运行经过验证应用但不可以运行大多数旧版应用Users 组是最安全组分配给该组默认权限不允许成员修改操作系统设置或用户资料
Users组提供了个最安全运行环境在经过NTFS格式化卷上默认安全设置旨在禁止该组成员危及操作系统和已安装完整性用户不能修改系统注册表设置、操作系统文件或文件Users 可以关闭工作站但不能关闭服务器Users 可以创建本地组但只能修改自己创建本地组
Guests:来宾组按默认值来宾跟普通Users成员有同等访问权但来宾帐户限制更多
Everyone:顾名思义所有用户这个计算机上所有用户都属于这个组
其实还有个组也很常见它拥有和Administrators样、甚至比其还高权限但是这个组不允许任何用户加入在察看用户组时候它也不会被显示出来它就是SYSTEM组系统和系统级服务正常运行所需要权限都是靠它赋予由于该组只有这个用户SYSTEM也许把该组归为用户行列更为贴切
权限权力大小分析
权限是有高低的分有高权限用户可以对低权限用户进行操作但除了Administrators的外其他组用户不能访问 NTFS 卷上其他用户资料除非他们获得了这些用户授权而低权限用户无法对高权限用户进行任何操作
我们平常使用计算机过程当中不会感觉到有权限在阻挠你去做某件事情这是我们在使用计算机时候都用是Administrators中用户登陆这样有利也有弊利当然是你能去做你想做任何件事情而不会遇到权限限制
弊就是以 Administrators 组成员身份运行计算机将使系统容易受到特洛伊木马、病毒及其他安全风险威胁访问 Internet 站点或打开电子邮件附件简单行动都可能破坏系统
不熟悉 Internet 站点或电子邮件附件可能有特洛伊木马代码这些代码可以下载到系统并被执行如果以本地计算机管理员身份登录特洛伊木马可能使用管理访问权重新格式化您硬盘造成不可估量损失所以在没有必要情况下最好不用Administrators中用户登陆Administrators中有个在系统安装时就创建默认用户----AdministratorAdministrator帐户具有对服务器完全控制权限并可以根据需要向用户指派用户权利和访问控制权限
因此强烈建议将此帐户设置为使用强密码永远也不可以从Administrators 组删除 Administrator帐户但可以重命名或禁用该帐户由于大家都知道“管理员”存在于许多版本Windows上所以重命名或禁用此帐户将使恶意用户尝试并访问该帐户变得更为困难
对于个好服务器管理员来说他们通常都会重命名或禁用此帐户Guests用户组下也有个默认用户----Guest,但是在默认情况下它是被禁用如果没有特别必要无须启用此账户
何谓强密码?就是字母和数字、大小互相组合大于8位复杂密码但这也不完全防得住众多黑客只是定程度上较为难破解
我们可以通过“控制面板”--“管理工具”--“计算机管理”--“用户和用户组”来查看用户组及该组下用户
我们用鼠标右键单击个NTFS卷或NTFS卷下个目录选择“属性”--“安全”就可以对个卷或者个卷下面目
录进行权限设置此时我们会看到以下 7种权限:完全控制、修改、读取和运行、列出文件夹目录、读取、写入、和特别权限
“完全控制”就是对此卷或目录拥有不受限制完全访问地位就像Administrators在所有组中地位样选中了“完全控制”下面 5项属性将被自动被选中
“修改”则像Power users选中了“修改”下面 4项属性将被自动被选中下面任何项没有被选中时“修改”条件将不再成立“读取和运行”就是允许读取和运行在这个卷或目录下任何文件“列出文件夹目录”和“读取”是“读取和运行”必要条件
“列出文件夹目录”是指只能浏览该卷或目录下子目录不能读取也不能运行“读取”是能够读取该卷或目录下数据“写入”就是能往该卷或目录下写入数据而“特别”则是对以上 6种权限进行了细分读者可以自行对“特别”进行更深研究鄙人在此就不过多赘述了
台简单服务器设置例子操作:
下面我们对台刚刚安装好操作系统和服务软件SoftwareWEB服务器系统和其权限进行全面刨析服务器采用Windows 2000 Server版安装好了SP4及各种补丁
WEB服务软件Software则是用了Windows 2000自带IIS 5.0删除了切不必要映射整个硬盘分为 4个
NTFS卷C盘为系统卷只安装了系统和驱动;D盘为软件Software卷该服务器上所有安装软件Software都在D盘中;E盘是WEB卷网站WebSite都在该卷下WWW目录中;F盘是网站WebSite数据卷网站WebSite系统所有数据都存放在该卷WWWDATABASE目录下
这样分类还算是比较符合台安全服务器标准了希望各个新手管理员能合理给你服务器数据进行分类这样不光是查找起来方便更重要是这样大大增强了服务器安全性我们可以根据需要给每个卷或者每个目录都设置区别权限旦发生了网络安全事故也可以把损失降到最低
当然也可以把网站WebSite数据分布在区别服务器上使的成为个服务器群每个服务器都拥有区别用户名和密码并提供区别服务这样做安全性更高
该服务器数据库为MS-SQLMS-SQL服务软件SoftwareSQL2000安装在d:\\ms-sqlserver2K目录下给SA账户设置好了足够强度密码安装好了SP3补丁为了方便网页制作员对网页进行管理该网站WebSite还开通了FTP服务FTP服务软件Software使用是SERV-U 5.1.0.0安装在d:\\ftpservice\\serv-u目录下杀毒软件Software和防火墙用分别是Norton Antivirus和BlackICE,路径分别为d:\\nortonAV和d:\\firewall\\blackice,病毒库已经升级到最新防火墙规则库定义只有80端口和21端口对外开放网站WebSite内容是采用动网7.0论坛,网站WebSite在
e:\\www\\bbs下
细心读者可能已经注意到了安装这些服务软件Software路径我都没有采用默认路径或者是仅仅更改盘符默认路径这也是安全上需要个黑客如果通过某些途径进入了你服务器但并没有获得管理员权限他首先做事情将是查看你开放了哪些服务以及安装了哪些软件Software他需要通过这些来提升他权限
个难以猜解路径加上好权限设置将把他阻挡在外相信经过这样配置WEB服务器已经足够抵挡大部分学艺不精黑客了读者可能又会问了:“这根本没用到权限设置嘛!我把其他都安全工作都做好了权限设置还有必要吗?”当然有!智者千虑还必有失呢就算你现在已经把系统安全做完美无缺你也要知道新安全漏洞总是在被不断发现 上页 ;1 ;2 ;3 ;4 ;下页
权限例子攻击
权限将是你最后道防线!那我们现在就来对这台没有经过任何权限设置全部采用Windows默认权限服务器进行次模拟攻击看看其是否真固若金汤
假设服务器外网域名为http://www.webserver.com用扫描软件Software对其进行扫描后发现开放
WWW和FTP服务并发现其服务软件Software使用是IIS 5.0和Serv-u 5.1用些针对他们溢出工具后发现无效遂放弃直接远程溢出想法
打开网站WebSite页面发现使用是动网论坛系统于是在其域名后面加个/upfile.asp发现有文件上传漏洞便抓包把修改过ASP木马用NC提交提示上传成功成功得到WEBSHELL打开刚刚上传ASP木马发现有MS-SQL、Norton Antivirus和BlackICE在运行判断是防火墙上做了限制把SQL服务端口屏蔽了
通过ASP木马查看到了Norton Antivirus和BlackICEPID又通过ASP木马上传了个能杀掉进程文件运行后杀掉了Norton Antivirus和BlackICE再扫描发现1433端口开放了到此便有很多种途径获得管理员权限了可以查看网站WebSite目录下conn.asp得到SQL用户名密码再登陆进SQL执行添加用户提管理员权限也可以抓SERV-U下ServUDaemon.ini修改后上传得到系统管理员权限
还可以传本地溢出SERV-U工具直接添加用户到Administrators等等大家可以看到旦黑客找到了切入点在没有权限限制情况下黑客将帆风顺取得管理员权限
那我们现在就来看看Windows 2000默认权限设置到底是怎样对于各个卷根目录默认给了Everyone组完全控制权这意味着任何进入电脑用户将不受限制在这些根目录中为所欲为
对于WinntAdministrators拥有完全控制权;Creator owner拥有特殊权限;Power users有完全控制权;SYSTEM同Administrators;Users有读&运列和读权限而非系统卷下所有目录都将继承其父目录权限也就是Everyone组完全控制权!
现在大家知道为什么我们刚刚在测试时候能帆风顺取得管理员权限了吧?权限设置太低了!个人在访问网站WebSite时候将被自动赋予IUSR用户它是隶属于Guest组本来权限不高但是系统默认给Everyone组完全控制权却让它“身价倍增”到最后能得到Administrators了
那么怎样设置权限给这台WEB服务器才算是安全呢?大家要牢记句话:“最少服务+最小权限=最大安全”对于服务不必要话定不要装要知道服务运行是SYSTEM级哦对于权限本着够用就好原则分配就是了
对于WEB服务器就拿刚刚那台服务器来说我是这样设置权限大家可以参考下:各个卷根目录、Documentsand tings以及Program files只给Administrator完全控制权或者干脆直接把Program files给删除掉;给系统卷根目录多加个Everyone读、写权;给e:\\www目录也就是网站WebSite目录读、写权
最后还要把cmd.exe这个文件给挖出来只给Administrator完全控制权经过这样设置后再想通过我刚刚思路方法入侵这台服务器就是不可能完成任务了可能这时候又有读者会问:“为什么要给系统卷根目录个Everyone读、写权?
网站WebSite中ASP文件运行不需要运行权限吗?”问好有深度是这样系统卷如果不给Everyone读、写权话启动计算机时候计算机会报错而且会提示虚拟内存不足
当然这也有个前提----虚拟内存是分配在系统盘如果把虚拟内存分配在其他卷上那你就要给那个卷
Everyone读、写权ASP文件运行方式是在服务器上执行只把执行结果传回最终用户浏览器这没错但ASP文件不是系统意义上可执行文件它是由WEB服务提供者----IIS来解释执行所以它执行并不需要运行权限 上页 ;1 ;2 ;3 ;4 ;下页
深入了解权限背后意义
经过上面讲解以后你定对权限有了个初步了了解了吧?想更深入了解权限那么权限些特性你就不能不知道了权限是具有继承性、累加性 、优先性、交叉性
继承性是说下级目录在没有经过重新设置的前是拥有上级目录权限设置这里还有种情况要介绍说明下在分
区内复制目录或文件时候复制过去目录和文件将拥有它现在所处位置上级目录权限设置但在分区内移动目录或文件时候移动过去目录和文件将拥有它原先权限设置
累加是说如个组GROUP1中有两个用户USER1、USER2他们同时对某文件或目录访问权限分别为“读取”和“写入”那么组GROUP1对该文件或目录访问权限就为USER1和USER2访问权限的和实际上是取其最大那个即“读取”+“写入”=“写入”
又如个用户USER1同属于组GROUP1和GROUP2而GROUP1对某文件或目录访问权限为“只读”型而GROUP2对这文件或文件夹访问权限为“完全控制”型则用户USER1对该文件或文件夹访问权限为两个组权限累加所得即:“只读”+“完全控制”=“完全控制”
优先性权限这特性又包含两种子特性其是文件访问权限优先目录权限也就是说文件权限可以越过目录权限不顾上级文件夹设置另特性就是“拒绝”权限优先其它权限也就是说“拒绝”权限可以越过其它所有其它权限旦选择了“拒绝”权限则其它权限也就不能取任何作用相当于没有设置
交叉性是指当同文件夹在为某用户设置了共享权限同时又为用户设置了该文件夹访问权限且所设权限不致时它取舍原则是取两个权限交集也即最严格、最小那种权限如目录A为用户USER1设置共享权限为“只读”同时目录A为用户USER1设置访问权限为“完全控制”那用户USER1最终访问权限为“只读”
权限设置问题我就说到这了在最后我还想给各位读者提醒下权限设置必须在NTFS分区中才能实现FAT32是不支持权限设置同时还想给各位管理员们些建议:
1.养成良好习惯给服务器硬盘分区时候分类明确些在不使用服务器时候将服务器锁定经常更新各种补丁和升级杀毒软件Software
2.设置足够强度密码这是老生常谈了但总有管理员设置弱密码甚至空密码
3.尽量不要把各种软件Software安装在默认路径下
4.在英文水平不是问题情况下尽量安装英文版操作系统
5.切忌在服务器上乱装软件Software或不必要服务
6.牢记:没有永远安全系统经常更新你知识
上页 ;1 ;2 ;3 ;4 ;
权限权力大小分析
权限是有高低的分有高权限用户可以对低权限用户进行操作但除了Administrators的外其他组用户不能访问 NTFS 卷上其他用户资料除非他们获得了这些用户授权而低权限用户无法对高权限用户进行任何操作
我们平常使用计算机过程当中不会感觉到有权限在阻挠你去做某件事情这是我们在使用计算机时候都用是Administrators中用户登陆这样有利也有弊利当然是你能去做你想做任何件事情而不会遇到权限限制
弊就是以 Administrators 组成员身份运行计算机将使系统容易受到特洛伊木马、病毒及其他安全风险威胁访问 Internet 站点或打开电子邮件附件简单行动都可能破坏系统
不熟悉 Internet 站点或电子邮件附件可能有特洛伊木马代码这些代码可以下载到系统并被执行如果以本地计算机管理员身份登录特洛伊木马可能使用管理访问权重新格式化您硬盘造成不可估量损失所以在没有必要情况下最好不用Administrators中用户登陆Administrators中有个在系统安装时就创建默认用户----AdministratorAdministrator帐户具有对服务器完全控制权限并可以根据需要向用户指派用户权利和访问控制权限
因此强烈建议将此帐户设置为使用强密码永远也不可以从Administrators 组删除 Administrator帐户但可以重命名或禁用该帐户由于大家都知道“管理员”存在于许多版本Windows上所以重命名或禁用此帐户将使恶意用户尝试并访问该帐户变得更为困难
对于个好服务器管理员来说他们通常都会重命名或禁用此帐户Guests用户组下也有个默认用户----Guest,但是在默认情况下它是被禁用如果没有特别必要无须启用此账户
何谓强密码?就是字母和数字、大小互相组合大于8位复杂密码但这也不完全防得住众多黑客只是定程度上较为难破解
我们可以通过“控制面板”--“管理工具”--“计算机管理”--“用户和用户组”来查看用户组及该组下用户
我们用鼠标右键单击个NTFS卷或NTFS卷下个目录选择“属性”--“安全”就可以对个卷或者个卷下面目录进行权限设置此时我们会看到以下 7种权限:完全控制、修改、读取和运行、列出文件夹目录、读取、写入、和特别权限
“完全控制”就是对此卷或目录拥有不受限制完全访问地位就像Administrators在所有组中地位样选中了“完全控制”下面 5项属性将被自动被选中
“修改”则像Power users选中了“修改”下面 4项属性将被自动被选中下面任何项没有被选中时“修改”条件将不再成立“读取和运行”就是允许读取和运行在这个卷或目录下任何文件“列出文件夹目录”和“读取”是“读取和运行”必要条件
“列出文件夹目录”是指只能浏览该卷或目录下子目录不能读取也不能运行“读取”是能够读取该卷或目录下数据“写入”就是能往该卷或目录下写入数据而“特别”则是对以上 6种权限进行了细分读者可以自行对“特别”进行更深研究鄙人在此就不过多赘述了
台简单服务器设置例子操作:
下面我们对台刚刚安装好操作系统和服务软件SoftwareWEB服务器系统和其权限进行全面刨析服务器采用Windows 2000 Server版安装好了SP4及各种补丁
WEB服务软件Software则是用了Windows 2000自带IIS 5.0删除了切不必要映射整个硬盘分为 4个
NTFS卷C盘为系统卷只安装了系统和驱动;D盘为软件Software卷该服务器上所有安装软件Software都在D盘中;E盘是WEB卷网站WebSite都在该卷下WWW目录中;F盘是网站WebSite数据卷网站WebSite系统所有数据都存放在该卷WWWDATABASE目录下
这样分类还算是比较符合台安全服务器标准了希望各个新手管理员能合理给你服务器数据进行分类这样不光是查找起来方便更重要是这样大大增强了服务器安全性我们可以根据需要给每个卷或者每个目录都设置区别权限旦发生了网络安全事故也可以把损失降到最低
当然也可以把网站WebSite数据分布在区别服务器上使的成为个服务器群每个服务器都拥有区别用户名和密码并提供区别服务这样做安全性更高
该服务器数据库为MS-SQLMS-SQL服务软件SoftwareSQL2000安装在d:\\ms-sqlserver2K目录下给SA账户设置好了足够强度密码安装好了SP3补丁为了方便网页制作员对网页进行管理该网站WebSite还开通了FTP服务FTP服务软件Software使用是SERV-U 5.1.0.0安装在d:\\ftpservice\\serv-u目录下杀毒软件Software和防火墙用分别是Norton Antivirus和BlackICE,路径分别为d:\\nortonAV和d:\\firewall\\blackice,病毒库已经升级到最新防火墙规则库定义只有80端口和21端口对外开放网站WebSite内容是采用动网7.0论坛,网站WebSite在e:\\www\\bbs下
细心读者可能已经注意到了安装这些服务软件Software路径我都没有采用默认路径或者是仅仅更改盘符默认路径这也是安全上需要个黑客如果通过某些途径进入了你服务器但并没有获得管理员权限他首先做事情将是查看你开放了哪些服务以及安装了哪些软件Software他需要通过这些来提升他权限
个难以猜解路径加上好权限设置将把他阻挡在外相信经过这样配置WEB服务器已经足够抵挡大部分学艺不精黑客了读者可能又会问了:“这根本没用到权限设置嘛!我把其他都安全工作都做好了权限设置还有必要吗?”当然有!智者千虑还必有失呢就算你现在已经把系统安全做完美无缺你也要知道新安全漏洞总是在被不断发现 上页 ;1 ;2 ;3 ;4 ;下页
2009-3-12 19:12:33
疯狂代码 http://www.crazycoder.cn/
因篇幅问题不能全部显示,请点此查看更多更全内容