虚拟主机安全配置 win2003

2.ftp服务
server-u 6.xxxx

<1>.不要设置为服务启动即可
<2>.如果非要设置成服务启动(方便): 安装到非系统盘;设置独立服务帐号;安装以及信息目录权限除去"完全控制""取得所有权"外全部给予;
安全设置:
选中“Block "FTP bounce"attack and FXP ” :
当使用FTP协议进行文件传输时,客户端首先向FTP服务器发出一个“PORT”命令,
该命令中包含此用户的IP地址和将被用来进行数据传输的端口号,服务器收到后,利用命令所提供的用户地址信息建立与用户的连接.
大多数情况下,上述过程不会出现任何问题,但当客户端是一名恶意用户时,可能会通过在PORT命令中加入特定的地址信息,
使FTP服务器与其它非客户端的机器建立连接.虽然这名恶意用户可能本身无权直接访问某一特定机器,但是如果FTP服务器有
权访问该机器的话,那么恶意用户就可以通过FTP服务器作为中介,仍然能够最终实现与目标服务,器的连接。这就是FXP,
也称跨服务器攻击,选中后就可以防止发生此种情况.
选中"禁用反超时调度"
选中"高级"->"启用安全"
防止Serv_U6.xxxx权限提升的方法:                                       

在网上看到有不少用Serv_U6.0.0.2提升权限的文章,原来默认的管理帐号密码为l@$ak#.lk;0@P,端口为43958
在ServUDaemon.ini中加上LocalSetupPortNo=12315,可改变默认的管理端口,同时在gpedit.msc中做好IP安全策略,即增加12315端口的阻止,如果不改默认端口,就增加43958端口的阻止,如果"使用设置更改密码"的按钮,即在ServUDaemon.ini中加上LocalSetupPassword=202cb962ac59075b964b07152d234b70
之类的MD5密码,如果对方用ASP木马得到你的ServUDaemon.ini文件,基本上你的系统就完了,解决方案有几个,一是把Serv_U的安装目录权限设为只有ADMIN用户可完全控制,并对GUSETS用户组的拒绝,这样IIS帐号就无法得到ServUDaemon.ini文件,二是用UD之类的十六进制工具修改SU.EXE文件,找到l@$ak#.lk;0@P这个,修改成强密码"这是谁设的密码,什么版本都一样,我晕",如果不设置LocalSetupPassword的话,默认的空密码就是程序中的l@$ak#.lk;0@P,三是阻止43958端口的访问,方法还有好多,要结合整个系    统来设定]-(测试机端口改为40623,并且在BlackIce中做了端口阻止)

3.MSSQL/MYSQL数据库
MSSQL数据库
操作特例:
<1>如何利用远程来导入备份的数据库(恢复数据库):
环境：
A 为需要恢复的SQL数据库 DATA
B 为预备要恢复到A的SQL数据库 DATA
1.首先在B中将 DATA 生成 SQL脚本
利用查询分析器远程以A 中SQL数据库DATA的所有者登陆
打开B机中DATA生成的SQL脚本,保存,点击”对号”
2.在B中利用导出功能,按照提示默认将数据库导入到A中即可.
安全:
删除有安全隐患的扩展:
exec sp_dropextendedproc 'xp_cmdshell'     [删除此项扩展后,将无法远程连接数据库]
exec sp_dropextendedproc 'xp_dirtree'      [删除此项扩展后,将无法新建或附加数据库]
exec sp_dropextendedproc 'xp_enumgroups'
exec sp_dropextendedproc 'xp_fixeddrives' [删除此项扩展后,将无法还原数据库]
exec sp_dropextendedproc 'xp_loginconfig'
exec sp_dropextendedproc 'xp_regaddmultistring'
exec sp_dropextendedproc 'xp_regdeletekey'
exec sp_dropextendedproc 'xp_regdeletevalue'
exec sp_dropextendedproc 'xp_regread' [删除此项扩展后, 还原数据库辅助]
exec sp_dropextendedproc 'xp_regremovemultistring'
exec sp_dropextendedproc 'xp_regwrite'
exec sp_dropextendedproc 'xp_enumerrorlogs'
exec sp_dropextendedproc 'xp_getfiledetails'
exec sp_dropextendedproc 'xp_regenumvalues'
恢复扩展
exec sp_addextendedproc 'xp_cmdshell', 'xplog70.dll'
exec sp_addextendedproc 'xp_dirtree', 'xpstar.dll'
exec sp_addextendedproc 'xp_enumgroups', 'xplog70.dll'
exec sp_addextendedproc 'xp_fixeddrives', 'xpstar.dll'
exec sp_addextendedproc 'xp_loginconfig', 'xplog70.dll'
exec sp_addextendedproc 'xp_regaddmultistring', 'xpstar.dll'
exec sp_addextendedproc 'xp_regdeletekey', 'xpstar.dll'
exec sp_addextendedproc 'xp_regdeletevalue', 'xpstar.dll'
exec sp_addextendedproc 'xp_regread', 'xpstar.dll'
exec sp_addextendedproc 'xp_regremovemultistring', 'xpstar.dll'
exec sp_addextendedproc 'xp_regwrite', 'xpstar.dll'
exec sp_addextendedproc 'xp_enumerrorlogs', 'xpstar.dll'
exec sp_addextendedproc 'xp_getfiledetails', 'xpstar.dll'
exec sp_addextendedproc 'xp_regenumvalues', 'xpstar.dll'
mysql数据库
为其建立独立服务帐户,属于GUESTS组,服务中进行设置;在其安装目录添加此用户,并设置[修改]读取和运行][列出文件夹目录][读取][写入],去掉高级中"允许父项的...."对钩,选择"用在此显示的..."对钩,应用.启动MYSQL,此时便以此帐户运行.
三.系统权限设置
1.系统分区 (以下所有针对目录权限操作后,都是去掉高级中"允许父项的...."对钩,选择"用在此显示的..."对钩,应用.)
支持环境:asp;asp.net;php
/ (根权限)   
administrators    应用到:该文件夹,子文件夹及文件
权限:完全控制;
CREATOR OWNER 应用到:只有子文件夹及文件
权限:完全控制 (此操作在"高级"中设置)
SYSTEM 应用到:该文件夹,子文件夹及文件
权限:完全控制
设置: 用在此显示的可以应用到子对象的项目替代所有子对象的权限项目
/Program Files\Common Files
添加
everyone 读取和运行
列出文件夹目录
读取
/windows
添加
Users 读取和运行
列出文件夹目录
读取
/windows/temp

加everyone 权限也可以,以防解析asp出错
去掉users 遍历文件夹/运行文件
创建文件/写入数据
创建文件夹/附加数据
[然后进入高级将“遍历文件夹/运行文件”去掉”]
/windows/Microsoft.NET [如果你要运行aspx网站]
给users组加 遍历文件夹/运行文件
创建文件/写入数据
创建文件夹/附加数据
/php [假如在C:\下有此目录"支持PHP"] 详细见php配置
添加
IIS匿名用户所属组 读取和运行
列出文件夹目录
读取

下面是和租服务器用的,自己用不需要改这个

设置终端帐户     
例如,
1.C:\Documents and Settings 目录权限为:
administrator 权限为： 完全控制
systen 权限为：完全控制
Remote Desktop Users 权限为: 高级->
应用于：只有该文件夹
权限：列出文件夹/读取数据
读取属性
读取扩展属性
读取权限
选择 用在此显示。。。。。    应用
2.设置完1后，开始 利用建立的 合租帐户登陆。会在 C:\Documents and Settings 下自动生成 用户目录
这是我们查看权限 其中包括    administrators组 system组 合租帐户
3.细化 合租用户 目录权限
adminisrators组 权限： 完全控制
删除sysrem组
合租用户 权限: 高级->
应用于：只有该文件夹                                                   
权限：列出文件夹/读取数据
读取属性
读取扩展属性
读取权限
选择 用在此显示。。。。。    应用
4.进入 合租用户 目录中 ,    给桌面 添加 合租用户 权限 为 应用于：该文件夹,子文件夹及文件
权限：列出文件夹/读取数据
读取属性
读取扩展属性
读取权限
用户文件目录权限及上层权限设置：[假设e为用户文件目录]
例如：E:\wwwroot\合租用户文件 这里给 E:\ 管理员用户应用到:该文件夹，子文件夹及文件
权限:完全控制
Remote Desktop Users 应用到:该文件夹，子文件夹及文件
权限：列出文件夹/读取数据
读取属性
读取扩展属性
读取权限
作用:可以让终端用户删除建立自己的文件,根权限作用.
E:\wwwroot\合租用户文件 这里给 管理员用户应用到:该文件夹，子文件夹及文件
权限:完全控制
合租用户文件 ：应用到:该文件夹，子文件夹及文件
列出文件夹/读取数据
读取属性
读取扩展属性
读取权限
说明:这里将终端组权限去掉了，其他user-?目录都去掉,防止彼此间互相访问
E:\wwwroot\合租用户文件\www 这里给 管理员用户应用到:该文件夹，子文件夹及文件
权限:完全控制
iis-user-1 应用到:该文件夹，子文件夹及文件
权限:给予除去"完全控制""遍历文件夹/运行文件""删除子文件夹及文件""取得所有权"的所有权限
合租用户 应用到:只有子文件夹及文件
权限:给予除去"完全控制""遍历文件夹/运行文件""取得所有权"的所有权限
合租用户 应用到:只有该文件夹
权限:给予除去"完全控制""遍历文件夹/运行文件""删除子文件夹及文件""删除""更改权限""取得所有权"的所有权限
ASP.NET 应用到：该文件夹，子文件夹及文件
权限:给予除去"遍历文件夹/运行文件""删除子文件夹及文件""取得所有权"的所有权限
IIS_WPG 同上
其他分区,备份分区只有administrators权限就可以
都以administrators 设置: 用在此显示的可以应用到子对象的项目替代所有子对象的权限项目 设置 / 目录
网站所在目录赋予来宾帐号权限
3.特别工具权限设置(设置完以上权限后,此脚本必须运行,安全性会更有提高)
写一个批处理文件如下
Cacls.exe %SystemRoot%\System32\cmd.exe    /e /R system users
Cacls.exe %SystemRoot%\System32\net.exe    /e /R system users
Cacls.exe %SystemRoot%\System32\net1.exe    /e /R system users
Cacls.exe %SystemRoot%\System32\tftp.exe    /e /R system users
cacls.exe %SystemRoot%\System32\regedt32.exe /e /R system users
cacls.exe %SystemRoot%\System32\attrib.exe /e /R system users
cacls.exe %SystemRoot%\System32\netstat.exe /e /R system users
cacls.exe %SystemRoot%\System32\netstat.exe /e /R system users
Cacls.exe %SystemRoot%\System32\at.exe    /e /R system users

Cacls.exe %SystemRoot%\System32\telnet.exe    /e /R system users
cacls.exe %SystemRoot%\System32\shell32.dll /e /R users
cacls.exe %SystemRoot%\System32\nbtstat.exe /e /R system users
cacls.exe %SystemRoot%\regedit.exe /e /R system users
cacls.exe %SystemRoot%\System32\ftp.exe /e /R system users
cacls.exe %SystemRoot%\System32\cscript.exe /e /R system users
cacls.exe %SystemRoot%\System32\ddeshare.exe /e /R system users
cacls.exe %SystemRoot%\System32\debug.exe /e /R users
cacls.exe %SystemRoot%\System32\ddeshare.exe /e /R users
cacls.exe %SystemRoot%\System32\hostname.exe /e /R system users
cacls.exe %SystemRoot%\System32\msppcnfg.exe /e /R system users
cacls.exe %SystemRoot%\System32\mstsc.exe /e /R system users
cacls.exe %SystemRoot%\System32\netsh.exe /e /R system users
cacls.exe %SystemRoot%\System32\nslookup.exe /e /R system users
cacls.exe %SystemRoot%\System32\regsvr32.exe /e /R system users
cacls.exe %SystemRoot%\System32\sc.exe /e /R users
cacls.exe %SystemRoot%\System32\shadow.exe /e /R users
cacls.exe %SystemRoot%\System32\share.exe /e /R system users
Cacls.exe %SystemRoot%\System32\xcopy.exe    /e /R system users
Cacls.exe %SystemRoot%\System32\edlin.exe    /e /R system users
Cacls.exe %SystemRoot%\System32\ping.exe    /e /R system users
Cacls.exe %SystemRoot%\System32\route.exe    /e /R system users
Cacls.exe %SystemRoot%\System32\finger.exe    /e /R system users
Cacls.exe %SystemRoot%\System32\posix.exe    /e /R system users
Cacls.exe %SystemRoot%\System32\rsh.exe    /e /R system users
Cacls.exe %SystemRoot%\System32\atsvc.exe    /e /R system users
Cacls.exe %SystemRoot%\System32\qbasic.exe    /e /R system users
Cacls.exe %SystemRoot%\System32\runonce.exe    /e /R system users
Cacls.exe %SystemRoot%\System32\syskey.exe    /e /R system users
Cacls.exe %SystemRoot%\System32\secfixup.exe    /e /R system users
Cacls.exe %SystemRoot%\System32\rdisk.exe    /e /R system users
Cacls.exe %SystemRoot%\System32\edit.com    /e /R system users
Cacls.exe %SystemRoot%\System32\rexec.exe    /e /R system users
cacls.exe %SystemRoot%\System32\cacls.exe /e /R system users          

红色代表主要要去掉的
(这里有users的原因是因为/windows有此组权限,如果不去掉的话,终端用户依然可以进入cmd)
让终端用户登陆后,看吧,很好的效果哦,呵呵
四.系统组件调试
利用阿讲最新探针,测试环境.常用组件:
FSO组件:
安装与删除方法:

运行regsvr32 scrrun.dll即可。
如果想关闭FSO组件，请运行 regsvr32 /u scrrun.dll即可。
Aspjpeg1.5组件:(组件所在父目录必须给everyone运行读取权限，否则无法正常运做)
说明:支持 JPEG, GIF, BMP, TIFF , PNG 格式. 输出格式为 JPEG.
输入来源可以是磁盘，内存或者记录集(recordset).
图片可以输出到磁盘，内存或者http流.
支持三种更改大小方式: nearest-neighbor, bilinear, and bicubic.
可以在图片之上添加图片或者文字.
支持图中图.
支持复制，反转，旋转，锐化，灰度调节.
可以调节压缩比率，以得到最佳输出效果和大小.
从jpeg图片中抽取EXIF 和 IPTC数据.
安装与删除方法:
1.有EXE安装程序,直接安装即可.
2.通过DLL安装方法:(转载)
如果以前装过其他版本的aspjpeg，需要先停止iis(net stop iisadmin /y)，卸载原来的组件(regsvr32 /u c:/windows/system32/aspjpeg.dll)，然后重起iis     (net start w3svc)
从aspjpeg1.4的安装目录复制aspjpeg.dll到系统文件加的system32目录
运行regsvr32 c:/windows/system32/aspjpeg.dll （根据你的系统改你的目录）
aspjpeg的文档中说需要官方提供的序列号才能正常使用，如果安装过程中有输入序列号
在asp中运行下面的命令更改序列号（如果没有输入过，需要在注册表中添加如下项：HKEY_LOCAL_MACHINE\Software\Persits Software\AspJpeg\RegKey）
程序代码： [ 复制代码 ] [ 运行代码 ]　
Set Jpeg = Server.CreateObject("Persits.Jpeg")
Jpeg.RegKey = "你的序列号"
可以用下面的方式查看是否注册成功：
程序代码： [ 复制代码 ] [ 运行代码 ]　
Set Jpeg = Server.CreateObject("Persits.Jpeg")
Response.Write Jpeg.Expires
我没有注册，运行了这则代码，得到的结果是2005-1-19 19:15:49。意思好像是可以使用到1月19日。
如果注册成功得到的应该是9/9/9999。我用48958-77556-02411注册以后得到了9999-9-9这个结果:)操作系统时间显示方式有所不同。
以下是aspjpeg1.4的安装文件，dll文件和序列号
直接安装只要在aspjpeg1.4.exe安装过程中输入序列号即可，但是可能会出现ntfs目录访问权限的问题，需要手动设置安装目录对Everyone有访问权限。(olylinux:我这里是最底users组权限,正常)
ADODB.Stream组件
说明:无组件上传
安装与删除方法:
regsvr32 "C:\Program Files\Common Files\System\ado\msado15.dll"
regsvr32 /u "C:\Program Files\Common Files\System\ado\msado15.dll"
JMail.SmtpMail组件
说明:Dimac JMail 邮件收发
安装方法:利用阿江探针->组件 就有其相关信息,下载安装即可.
CDONTS组件
说明:感觉是辅助JMAIL的,具体我也不清楚
安装删除方法:
2003也能用的，只不过，得找个cdonts.dll（组件文件，可以复制2000里的）
将该文件拷贝至 C:\WINDOWS\system32 下;开始 -> 运行 -> Regsvr32 cdonts.dll; 确认
删除 Regsvr32 /u cdonts.dll
杀毒软件问题
MACFEE 杀毒软件造成IIS站点‘请求的资源在使用中’运行regsvr32 jscript.dll和 regsvr32 vbscript.dll重新注册JAVA脚本和VB脚本的动态链接库后一切正常