NO IMAGE

http://r2.mcafeefans.com/?p=2795 

同事Surp4ss發了篇文章給我,我以為讓我學習下,我大致看了下,覺得Surp4ss貌似不是這個意思啊,要是讓我學習不是打我臉麼?我問Surp4ss,你不會叫我寫一篇一樣的文章吧?

      我又猜對了,原文是這樣的http://www.91ri.org/6344.html

      原文我沒有細看,看了算不算抄襲?總之標題的意思大致就是伺服器被黑了,如何去善後,避免再被日。

      我把下面的內容閱讀者定義為個人網站管理員、企事業單位網站管理員、政府部門網站管理員,這是區域,如果從認知面來講,不管你新手還是高手,都適合一看。黑闊什麼的看不看無所謂,看了也不能提高你的技能值,小黑闊倒是可以看看,我不介意。

微笑

       目前被日的伺服器主要分兩種,一種是被日的,一種是常被日的。

       被日的主要主要集中在這麼幾個情況,用虛擬主機的,被旁註,屬於運氣不好也無奈,一旦運氣不好就碰上,屬於間歇性,跟大姨媽一樣,有時候來,有時候幾個月都不來一次;還有就是用VPS或雲主機的。

       虛擬主機和VPS主要是個人或小企業用,一般公司都沒有專業的技術做安全,被黑後第一感覺,原來真的有黑客存在啊,我估計是這個想法。虛擬主機我就不講了,沒法講,唯一的善後就是要麼關站要麼自己搞安全,買個VPS或者自己搞個伺服器,然後再反覆讓黑闊盯上,反覆被黑,反覆提高安全水平。

      當然這麼學太慢了,看看我的善後就行了,也可以解決防護工作。

      目前這年頭用雲主機的我不得不說你就是個奇葩,目前值得推薦的雲只有私有云,公有云比如盛大的雲主機就是個垃圾,每個月每天可能要交各種費用,各種欠費,叫你買的時候各種心動,各種誘惑,買了以後比當年移動還無恥,各種欠費,各種重啟,各種關機。

      當然最不要臉的就是阿里雲主機了,宣傳是最安全的,我認識好多使用者,他們第一選擇阿里雲主機的期望點就是貌似能解決大流量攻擊。解決個屁,大流量來了就給你關機,說到底是你被攻擊影響人家其他客戶,關機情理之中。但是他們從來不在合同裡明確這一點。然後是一些其他雲,比如西部數碼的雲主機,動不動號稱8M獨享,實際上你流量已超過5M就給你重啟,重啟兩次直接關機。

      在各種雲後臺的售後服務都有一堆需要付費的服務,比如安全啊,加固啊。

      你覺得在給你生成2003系統,系統版本不是R2的公司,他們有多好的安全能力?連技術對比性都沒有提供個毛的安全服務啊。然後又不給你介面,提供自己安裝原版的機會,系統一開始就是個廢品。

      以上幾行都是偶爾被日的伺服器,下面說常被日的。

      常被日的都是獨立伺服器,伺服器效能越好,被日的機率越高,原因主要是以下這麼幾點:

      要解釋這麼幾點首先要了解黑客日站的目的。

      第一種就是打包你網站,打包你資料庫,這種一般都是有價值的資料庫或者有價值的網站獨立開發或二次獨立開發的網站。能打包你資料庫的無非就是有大量會員,會員幾乎是實名的,比如房產二手交易,租房。

      比如像58、趕集這些被N多黑闊盯上,然後就是地方性的知名房產網站,即便有20萬會員,一個會員賣5元,也有100萬,不盯你盯誰啊。還有就是一些OA之類的網站,大部分OA是內部的,如果公司相對大點還是會提供一些埠可以外部訪問,這個主要是競爭對手定向打擊。這兩種情況都不是黑闊個人行為,都是屬於賞金獵手之類的,招募型的,一個純黑闊是不可能具備把一個會員賣到5元錢的能力,5毛錢差不多。

      第二種就是修改你資料庫,比如公務員考試、高校考試或者一些考勤系統,這種目的很單純,就是收錢改成績,改考勤,考勤的比較少,改成績的是普遍。

      第三種就是網站不大不小,流量還不少,PR之類的也相對較高,比如世博會、西博會之類的,流量偶爾大,其他時間都小,但是PR都高,主要是進了伺服器做黑鏈,明鏈。

      第四種就是純粹在學習的小菜鳥,通過SEO抓漏洞,抓到你,你今天就遭殃,有點道德的加個txt,沒有道德的,加個shell,更無恥的就是給你放一堆蠕蟲。

      第五種就比較牛叉了,把你的伺服器當他的個人電腦一樣用,連Office都能給你裝上去,基本就把你當跳板或者傀儡機,跳板就是因為你網速快,方便他掃站更快,傀儡就是你效能好,頻寬大,想打誰打誰,一打打冒煙的那種,當然打的時候你網站也卡的要死。

      瞭解這五種情況就知道為什麼效能越好,被日的機率越高了,垃圾玩意誰用你伺服器去做跳板和傀儡啊。

      至於善後,簡單的講就是有錢的上個WAF,比如銥迅的,被繞過的機率還是比較小的。

      只要是WAF就會被繞過,剛起步的公司,定位單一,功能單一,但是被利用的機會最小,公司大了,研發團隊一多,管理和維護就有點亂了,經常會出現一些低階錯誤,反而被繞過,所以銥迅這種不大不小的公司正合適。

      有問題至少更新快,你不著急,人家廠家比你使用者還著急,大的公司就不一樣了,提交bug上去,開會半個月,討論半個月,解決半個月,測試半個月,再搞半個月公關工作再發布,尼瑪黃花菜都涼了。

      沒錢的就看我下面的文章,然後清理乾淨,至少讓黑闊黑的不是那麼爽快,折騰久了就跟你成朋友了,就不黑你了,還尼瑪給你當免費安全顧問,保鏢。

      當然有價值資料的網站,不管你有沒有錢,有沒有預算,沒有辦法沒有機會都要想辦法創造機會上WAF。

吐舌鬼臉清理篇

      被黑了以後首先要清理,清理能斷網的就要斷網,避免在清理的時候被人家再日進去。

      我曾經就遇到一會,當然是給一個只能遠端的連線的客戶的伺服器處理的,正清理呢,那個傻逼建立個遠端使用者連上來了,還把我踢下線,我上去把他踢下線,準備禁用他的賬戶,他就上來又把我踢下線。

      很拽有沒有?然後我又上去把他踢下線,繼續禁用賬戶,他又上來了,我就立馬把他登出掉,上來又登出掉,既然知道他會上來,我就開著工作管理員,開啟使用者哪一項,他上來我就能看到,看到就登出,然後慢悠悠的把他禁用掉,然後去寫組策略去了。當然他先開啟工作管理員,看到我上線就把我踢了,苦逼的就是我了,所以這個時候經驗就起著非常顯著的作用了。

      如果是本地的伺服器,比如放在公司或者內部機房的伺服器,那麼就斷網處理吧,如果是託管的,很多政府部門的伺服器也是託管的,按照下面的方式處理吧。

1.開啟百度或谷歌,Bing也可以,搜尋關鍵字“向日葵”;

2.進入向日葵官網,給伺服器裝上向日葵遠端控制服務端,然後本地裝好客戶端,連上去;

3.連上以後就可以把3389的遠端連線關閉了。

      然後就可以做剩下的事情了,之所以推薦“向日葵”主要有以下兩點:

1,免費

2,微軟證書認證,不會存在64位 2008 Server 藍屏不相容之類的問題

      他的安全性和可用性比RAdmin或者VNC更具有優勢。

      清理具體分兩個方面,一個方面是清理伺服器上所有已知的Webshell和後門蠕蟲病毒還有一些殘留的黑客工具;另外一個方面就是加固你的伺服器,不過要加固,得找到一些伺服器或者你的網站程式漏洞的原因,加固會更好,所以對於新手可以按照先清理後加固的步驟做。

      如果已經是高手,一般都是一邊加固一邊清理,更容易發現問題的所在。

 

具體如何清理?

      第一種是用工具,第二種是憑經驗,我們先說第一種。

      掃描木馬或者Webshell可以先用QQ安全管家或者360安全衛士,安裝好以後要先更新病毒庫,安裝的時候最好選用多引擎,我要不要給你們上點圖?光看字我自己也沒有耐心看下去了,因為有時候我會被應邀給一些雜誌寫文章,所以習慣了拖拉,碼字賺稿費的習慣。本來有價值的東西是精簡,直擊要害,但是他們主編不認這個,一定要碼字。

      當我這個習慣楊成以後,這些雜誌社就賤賤的告訴我,按篇算錢,一篇多少,不管你寫多長都是那麼多,所以我也賤賤的告訴他們,老子封筆不給你們雜誌社寫了。

      比較關鍵的就是用這兩種工具清理一部分或者說完成大部分工作以後,記得要解除安裝,因為這兩個玩意不適合伺服器,本身也有漏洞和“0day”被利用,清理可以,當報表就是累贅。

      我這裡就拿QQ安全管家的截圖來說明,因為我電腦上只裝了這個,裝這個就是為了QQ等級加速,作為一個早年就做網際網路的成員,在我成為皇冠之前,我的好友前面已經有27個皇冠,我只能靠這個多一天的手段現在勉強排到了好友裡面的23位,好了,幹活。

      如下圖所示,只有紅色的四個框框的功能有用。

image

      我們從左到右,標記為1234,先3電腦加速,清理可疑的沒有必要的啟動項,可以幫助你找出一些木馬的服務和啟動項,可以讓你一目瞭然的知道你的伺服器到底被日到了什麼程度。

      然後是2清理垃圾,這個主要是清理temp裡面的後門的快取和一些下載者,然後就是防毒,先快速掃描,知道下具體情況,有沒有被種了後門,如果種了後門,一般記憶體會快速反映出來。

      QQ安全管家的防毒可以幫助你清理一些他能查出來的木馬和蠕蟲,和一些沒有加密的Webshell,尤其是一些圖片小馬,找的還是比較全的。

      在清理完一定要看查殺日誌,根據所在目錄,比如那些網站的那些目錄存在的網馬比較多,做好記錄,這樣好分析如何加固,那些網站需要做一些比較徹底的加固。

      最後一個步驟就是開啟軟體管理,把一些常用的軟體升級安裝或者覆蓋安裝一次,比如Winrar,這個是最容易被植入免殺木馬的,解壓一次掛一次,壓縮一次掛一次。

後期徹底清理

      前面是快速簡單的清理,後面需要完全的清理需要用到更專業的工具,主要是殺Webshell。

      第一種推薦的工具是黑闊阿D寫的WebShellKill,庫比較全,用起來很方便,根據阿D同學寫了那麼多黑客工具的經驗,還給馬分了幾個級別,貌似5是危害最大的,右鍵可以選中檢視或刪除,這個工具最爛的地方就是沒有日誌。

image

       清理的時候一般是在桌面建立一個shell資料夾,然後根據標識的路徑建立層級的各個資料夾,按照原始的根目錄放進去,便於做審計,也可以瞭解一些後門,用於學習和提高水平。

      因為寫這個工具的同學原來就寫了很多黑客工具,有的也插入了後門,所以用不用看你,不要看我,實在不行用了之後刪除了再用利劍(利劍是個不錯的系統安全工具,清理木馬非常方便,比較遺憾是他支援2008及以上的系統,因為這貨貌似5年不更新了,後面會介紹)檢查一遍。

      另外一個工具是銥迅的Webshell掃描器,不放在首位推薦有以下幾個原因

1.這貨也幾年沒更新了;

2.這貨誤報高,掃出來是很全,但很多得自己看程式碼判斷;

3.這貨需要裝.net才能執行,好在Server系統基本都有裝,還好。

      而最後還是要推薦的理由有以下原因:

1.因為阿D同學的工具可能存在風險,我不能推薦一個就不推薦了;

2.只要是高危的webshell,掃出來的99%不會是誤報;

3.其實要判斷是不是誤報很簡單,我教你就是了。

      好吧,我們來看圖,這貨是長這樣滴:

image

      這個掃描沒有資源管理器,沒WebshellKill方便,主要得點選“檢視掃描結果”,開啟將會是一個網頁,如下:

image

      你需要根據路徑去,找到那個檔案,檢視程式碼和根據這個報告提供的一些資訊直接判斷,然後刪除檔案或刪除部分植入的一句話之類的程式碼,幹起來比較費事。要下載慢慢點選 http://www.yxlink.com/technology.php?cateid=31

      這麼做以後基本就完成一半,還得確定伺服器是否還有後門,服務型的哦,就要用到利劍這個工具了,如下圖:

image

      這個工具非常乾淨整潔,要告訴大家怎麼用至少一萬字,大家也不想看,所以還是看視訊吧,給你們個傳送門,反正那個視訊是我做的:http://pan.baidu.com/share/link?shareid=384676&uk=520545988

      另外這個工具你們如果搜尋“利劍”智慧搜尋到李雲龍,所以這個傳送門裡面有。

      貌似2008系統就悲催了,你可以用另外一個模仿利劍的工具,以前用的不怎麼穩定,現在貌似還好,如下:

image

      可以去作者部落格下載 http://www.xuetr.com/?p=191

      用法和利劍類似,冰刃那種垃圾玩意就不推薦了,我這種專業級選手用著都痛苦,更別說你們了,當然你用的很爽也不用來跟我叫板,我又不羨慕,好用就行。

      還有一種是用命令列,在上面那個百度網盤的傳送門裡面的視訊也有介紹。

惡魔加固篇

      基本清理完就要開始加固了。

      加固分兩個步驟,第一個步驟是應用層的,第二個步驟是應用層和系統層面的。

      當然在這兩個步驟之前,如果是Windows,請打好補丁吧,如果是2008,補丁安裝不上或者無法使用Windows Update,請開放下系統盤根目錄的user許可權,預設就好,不用勾選修改之類的許可權。

      系統盤不給user只是為了探針上好看而已,沒有多少的作用,其實重要的是不要給”ProgramFiles”或者“systemroot:\Users”的user許可權而已,因為大多數鳥人喜歡在桌面上建立一個記事本,上面標註了mysql賬號密碼,sql賬號密碼,唧唧歪歪一堆賬號資訊,一個低許可權的webshell一看,奶奶的,全有,你不死誰死?

      Windows的NTFS是分繼承和不繼承的,所以即便你拉開C盤,去掉User,預設人家有User許可權的還是有User許可權。

      應用層上我只講兩個地方,一個是asp,一個是php,jsp、tomcat、ngnix之類的我不講的,這類需要服務支援或諮詢,請聯絡我。

      跑asp只需要來賓使用者許可權,即guests使用者組,跑php需要users使用者組。

      首先你要把應用和網站分開,一般的做法是在系統根目錄下建立一個APP的資料夾,然後在這個裡面建立Mysql、PHP、SQL之類的資料夾,為什麼一定要建立一個叫“APP”的資料夾呢?這是一個流派的習慣,表示這個伺服器是我的人,人家進去以後一般不會放毒放蠕蟲搞破壞。

      這個目錄要administrators、system、user許可權,user許可權不給寫入和修改許可權。

      然後在分別安裝你需要的應用。

      這個看起來好像是剛裝好系統開始建立應用系統哦,是的,一般有的人上面已經不看了,已經把系統重灌好了,有的應用許可權,系統許可權太爛了,不如從來一次,所以我就這麼講開始。

      然後拿一個分割槽放你所有的網站,這個分割槽只放網站,不要放亂七八糟的東西,如果原來有,請轉移到其他碟符,然後右鍵這個碟符,點安全,然後刪掉所有許可權,只保留administrators和system,其實除系統盤之外的分割槽都應該是這樣許可權的根目錄許可權,尤其是網站備份目錄。你打包好的東西別人都懶得打包就給你整站打包下走了。

      然後根據應用級別來建立不同的網站總目錄,比如asp的程式,在根目錄建立一個“wwwroot”,php的程式建立一個“phproot”,jsp的建立一個“allroot”的目錄。

      這些資料夾建立後驗證下是否只繼承有administrators和system許可權。

      好了,這裡開啟計算機管理中的使用者,開始為你的每個網站建立一個guests許可權的賬戶,所在組加上IIS_WPG使用者組,因為你還需要為每個網站建立一個不同的應用池,這裡只說IIS,ngnix、tomcat的請聯絡我,聯絡我之前請仔細確定以下你的網銀裡有沒有至少1000的人民幣。

      免費也是可以的,滿足以下其中一個條件:

      我朋友;

      我客戶;

      我朋友給你寫的介紹信;

      如果是漂亮的女孩子,也請滿足以上條件之一,不要想借機上位做我的女朋友、情人、老婆之類的,我對IT女孩沒興趣,我早就死了這條心。想想我近視,你近視,看起來好有緣分哦,我頸椎有問題,你頸椎也有問題,更有緣分哦,尼瑪生個孩子一出來就頸椎有問題,又近視就是個悲劇了。

      建立的使用者比如下圖這樣的:

image

      上圖中只有4個選項卡,請啟動你的“workstation”服務,再啟動“server”服務,就如下圖,會多好幾個選項卡,請找到“中斷服務配置檔案”選項卡,狠狠的戳中“拒絕這個使用者登入到任何終端伺服器”,勾上他,即便提權到系統管理員使用者組,他也一定無法3389連線你的伺服器。

image

      之所以要你啟動上面那兩個服務,因為一般的管理員都把這兩個服務給禁用了,其實這兩個服務禁用不禁用無所謂,無非就是通過探針或者Webshell查詢不了你的伺服器上有哪些使用者而已,就這麼個作用。

      我覺得如果人家已經能成功上傳webshell,你離被日已經不遠了,無非就是搞的人家黑的很不爽,然後日進伺服器以後搞幾下破壞,你又高潮了,拍桌子了,砸鍵盤了。

      我覺得做安全要麼做到滴水不漏,要麼做到別人進來也是惺惺相惜的感覺,由日站轉變成切磋,還是友情的那種。

      要做到這一點只有兩個方法,一個是裝逼,一個是裝傻。

      每個IIS呼叫的賬號的密碼都可以是一樣的,或者有規律的,比如這個app_74it,他的密碼其實就是74it-app。

      這種密碼就是方便自己,不用去忘記,也不用去記憶,更不用拿個本本抄下來。這種賬號別人知道密碼也沒用。

      記住每個網站用一個不同的賬號,每個網站有一個獨立的應用池。這有兩個好處:

1,不會被人輕易旁註;

2,當你開啟工作管理員,檢視所有使用者的程序,點開以使用者排序,如果這些app開頭的賬戶跑的程序不是w3wp.exe,如果不是,你就可以快速知道被日了,不用每天上去把所有東西和日誌檢查一遍;

3,你還可以知道每個網站佔用的資源到底有多少,如果伺服器卡,你可以快速找到根源(這個好處是福利,不算)。

      好了,開始建立網站,如果是asp的程式,我們當然進入wwwroot目錄建立每個網站相應的資料夾,因為前面有旁註的一部分防護,所以這裡也要利用好。

      比如一個dq110.com的網站你就不要建立一個dq100的資料夾,你應該建立一個dq100suouoguouso283com的資料夾,拆分中間再隨機,不要讓別人猜中目錄,增大旁註的機會。

      因為很多時候我們還是怕麻煩的,比如我有一個www.dq110.com和bbs.dq110.com,你可能就用統一個賬號,不是分開的,那麼這兩個網站其實跑起來是一個使用者,這樣就可以進入薄弱的www.dq110.com去旁註更安全的bbs.dq110.com的網站了。這樣別人猜不中目錄,也不容易進入另外一個網站目錄嘗試旁註成功了。

      有時候我們的網站會備份,很多二逼會把備份自己放在網站根目錄,我可以明確的告訴你有掃描器可以猜解你的xxx.rar、xxx.zip的,直接就網站打包,配置檔案一看,就知道資料庫密碼了,要是遠端埠一開,一個管理員馬上就誕生了。我不會告訴你很多大站,名站就存在這種秀逗的管理員。

      所以進入網站目錄在建立一個wwwroot或phproot之類的資料夾,以這個資料夾做根目錄,備份什麼的就放上層目錄吧,至少iis的許可權是訪問不了的。

      建立好根目錄,然後給這個目錄分配那個單一專用的賬號,新增許可權為預設,如下圖所示,因為這個網站是wordpress的,所以如果沒有users是跑不起來的,這個users的許可權也是如此。

image

      然後複製你的網站原始碼到該目錄,這個不用講了,然後進入IIS管理器,建立網站,步驟如下:

      如果沒有特殊需求,請下拉選擇那個IP地址,不要預設“全部未分配”,未分配你妹啊,設定主機頭,下一步;

image

      選擇你的根目錄,預設允許匿名訪問網站;

image

      對於動態指令碼的網站只勾選下面兩項,即便是aspx也不用勾選第三個帶執行玩意的東西,“下一步”完成;

image

      然後就進入網站管理你的網站了,根據程式需求開放單獨目錄的“寫入”和“修改”兩個許可權,比如你使用cms的程式,有的新聞或者文件的目錄是要建立新的靜態頁面的,這個目錄可以修改可以寫入,但是要把執行給去掉,這個需要點開“高階”才能這麼做,如下圖,進入高階設定後點開那個來賓點“編輯”:

image

      在下面的選項中如此做,在“遍歷資料夾/執行檔案”許可權勾選“拒絕”:

image

      還有一種做法,更細緻一點,往上跳兩步,如下圖,把紅色框的鉤去掉,會彈出一個對話方塊,點“複製..”:

image

      否則許可權專案下的當前使用者全部都沒有了,因為另外一個是“刪除..”按鈕,雙擊來賓賬戶,如下了:

      這樣在允許列表中就不是灰色的了,把“完全控制”和剛才那項的鉤去掉即可。

image

       從上圖中可以看出NTFS其實很細緻,做這個許可權需要明白兩點,如果這個目錄不是上傳附件的目錄,那就最好不要給“建立檔案/寫入資料”這個許可權,如果這個是附件目錄,就不要給“遍歷資料夾/執行檔案”的許可權。

      這個很好解釋,第一種無需解釋,第二種即便這個目錄支援解析asp等動態指令碼,即便黑客建立成功了一個php的webshell,也是執行不了php語句的,只會當記事本一樣的把他讀取出來。

      除此之外還有一種方式,也有必要介紹一下,如下圖在IIS中展開網站,選中附件的資料夾,右鍵點“屬性”;

無標題

      在如下圖中,把他的許可權修改為“無”,這樣也不會解析asp或者php之類的指令碼了,當然也不會影響附件下載。

image

      這種方式適合10個左右的網站來操作,如果上百個,請聯絡我,我們談談上一臺WAF的事情。

      這個我就講到這裡,具體請在虛擬機器多測試,多嘗試,IIS其實安全性挺高的,至少我原來做的麥粉社群流量高的時候沒被人日過,只被人DDos過。

      這是應用層的防護,為了更好的保障,我們下面講系統層和應用層的防護。

      順便說一下,那些還在試用asp的同學,不要把mdb資料庫字尾改成asa了,雖然這樣mdb不會被直接下載了,但是這樣會被輕易的插入一句話,然後傳大馬上去了。

      如果你不放心mdb還是可能被下載,你可以建立一個空的記事本檔案,把字尾改為dll,如下圖:

image

      然後進入你的asp網站的iis管理或者直接iis管理的網站右鍵屬性,在主目錄中點配置,然後新增一個mdb。

image

      如果你的2003更新了R2,裡面會有一個.mdb的擴充套件,可以把他的呼叫為你的那個nomdb.dll檔案,這樣mdb檔案即不會被下載也不會被當作一句話母體來呼叫,必要的時候別人訪問這個檔案,還會生成一個錯誤日誌,起到告警作用。

image

系統層防護

      其實這個方法還可以解決幾百個網站放在一個伺服器上的安全問題,不過前提是你得把所有的網站歸類劃分好,否則也會做很多條規則,類似在前進的道路上。

      說道規則,我們這裡講McAfee

      說道McAfee,我的ePO知識雖然沒有官方中國區那幾個廠家的SE精通,但是這幾個SE對規則的靈活使用卻沒有我精通了,至少其中的兩位SE是這麼評價我的。再怎麼說我也是麥粉網的創始人,在McAfee很火的時候,被收購的時候,即便目前沒落了,老子的麥粉網的中文資訊量還是國內最全最大的。

      當然卡飯論壇再牛逼,上面無非就是盜版資訊,變態的規則包,不實際沒法用的規則包下載,還有啥呢?

      不吹了,只講原理,實際應用自行測試再使用,先截圖幾個,看看預設規則的啟用和調配:

      雖然伺服器上病毒入口不多,但是必要的地方還是要加以防護;

image

      這個就啟用這兩個;

image

       這裡沒啟用是我把共享禁用了,如果你沒禁用或者不知道怎麼禁用,那就把這兩條勾選上,報告可以不開;

image

      有的賤人會改你網絡卡資訊來插木馬,我不得不佩服;

image

image

      虛擬機器什麼的不管,其實也沒用,通用最大保護就這麼幾個,第三條在配好系統和應用建議開啟,更新系統的時候暫時關閉下這條規則即可,還有一種方法是不啟用這個,然後在自定義規則中針對iis去做幾條防護即可。

image

      開始講自定義:

      如下圖,一般情況下iis伺服器就做這麼7條即可,我是這麼分的,0開頭是針對系統,1開頭是針對iis。

image

      下面講第一條,這個規則不能阻擋黑客利用cmdshell建立管理員,不能阻擋SQL提權管理員,他只有一個用處就是建立不了那種劫持的、使用者管理中刪除不了的管理員,能做到這點就足夠了,因為建立的賬戶和登錄檔屁關係沒有;

image

      下面講第二條,如果你的iis沒有用aspx,要阻止的部分可以改為*.vb,這個主要也是防止加使用者的一部分;

image

      下面講第三條,這個不能防止黑客上傳個別的檔名的cmd.exe,但是至少系統自身的是保護了的,當你需要用cmd的時候要麼關閉這個規則,要麼用powershell,會呼叫powershell的馬還不多,哈哈;

image

        下面繼續第四條,這個在一定程度上防止了黑客上傳cmd.exe之類的檔案,你可以在這個基礎上補充*.cmd\*.bat之類的規則;

image

      第五條開始iis的規則,iis主要依託應用池,應用池的程序就是w3wp.exe,如果你的伺服器上還跑了ngnix和tomcat,可以在後面加個逗號,然後加上“ngninx.exe,java.exe”,啟用這個規則後,如果你用風訊之類的asp的cms,在後臺就修改不了配置檔案了,上伺服器手動改吧你。

      然後那種把mdb改成asa字尾的會使勁觸發這個規則,趕緊改會mdb吧。

image

      下面第六條,這個是針對php的,我在php前面加了*,其實後面也可以加*,因為現在還有集中類似.5php的檔案可以當php執行,看你的php應用是什麼版本了。

image

      第七條是針對第五條的補充,當然還可以補充更多的。

image

      看了這麼多條,你知道改怎麼做了吧?比如用到aspx的,還可以把.config之類的加上,動態的指令碼就是呼叫資料庫嘛,就資料庫會變化和修改,這些檔案本身是不需要改動的。

      所以針對系統和應用層就是這個原則。

      從理論上講,McAfee的規則也是可以防Struts漏洞的,至於怎麼做,我都沒空去搭tomcat環境,後面告訴大家吧。

      安全的伺服器有三要素:

      安全乾淨的伺服器環境,跟環境無關的東西不要安裝;

      埠可以開,但不屬於連線範圍的IP最好要限制;

      把QQ安全管家、360安全衛士給老子解除安裝掉。

      最後再說明一個事實,IIS防火牆和防篡改之類的軟體和裝置是最沒用的。

      @Surp4ss,上半部已寫完,目測1萬字,沒有做多大的保留,McAfee可以到我論壇找找,也許能下載到。