萬盛學電腦網

 萬盛學電腦網 >> 病毒防治 >> 防止被黑之網絡服務器安全經驗談

防止被黑之網絡服務器安全經驗談

  1、對數據庫進行安全配置,例如你的程序連接數據庫所使用的帳戶/口令/權限,如果是浏覽新聞的,用只讀權限即可;可以對不同的模塊使用不同的帳戶/權限;另外,數據庫的哪些存儲過程可以調用,也要進行嚴格地配置,用不到的全部禁用(特別是cmd這種),防止注入後利用數據庫的存儲過程進行系統調用;

  2、在獲取客戶端提交的參數時,進行嚴格的過濾,包括參數長短、參數類型等等;

  3、對管理員後台進行嚴格的保護,有條件的話,應該設置為只允許特定的IP訪問(例如只允許管理員網段訪問)——這個要根據實際情況來看的;

  4、對操作系統進行安全配置,防止注入後調用系統的功能,例如把

  cmd.exe/tftp.exe/ftp.exe/net.exe

  這些文件全部轉移到其他目錄,並對目錄進行嚴格的權限指派;

  5、設置網絡訪問控制;

  6、有條件的話,配置針對HTTP的內容過濾,過濾病毒、惡意腳本等;

  7、如果有必要,可以考慮選擇HTTPS,這樣可以防止很多的注入工具掃描,我以前自己開發注入檢測工具的時候,考慮過做支持HTTPS方式的,但目前還沒付諸實施。

  相信你也看出來了,總的來說程序方面主要考慮權限、參數過濾等問題;權限主要包括IIS浏覽權限、數據庫調用權限。除此以外,還要考慮數據庫、操作系統的安全配置。另外,不知道你們在開發過程中會不會用到其他人開發的組件,例如圖片上傳之類的,這類組件你們研究過其安全性麼?或者開發的過程中,絕大多數人會使用網上、書上提供的現成代碼,例如用戶登錄驗證等等,這些公開代碼,也要研究其安全性問題。

  架設FTP服務器,一向是把安全放在首位,特別是利用IIS之類工具建立起來的FTP服務器更是如此。如果設置不當遭受到惡意攻擊,那造成整個服務器系統崩潰也絕不是危言聳聽的! 因此,采取合理、周全的安全管理是很有必要的。

  我們就從IIS的安全說起。

  IIS,從NT系統內核開始成為自帶的重要信息發布載體,但其不可避免的漏洞也在不少的資料裡提及。IIS用作FTP服務器架設,主要是其簡單易懂的設置贏得不少人青睐;因此,要用好IIS,我們得從下面這些方面來考慮其安全問題:

  1.安裝系統補丁。微軟網站經常在其官方網發布最新的系統安全補丁,大家可以用系統自帶的Windows update程序隨時更新。

  2.FTP目錄的設定。比較常見的就是將主目錄指定到邏輯盤,再對每個細目錄按不同的用戶設置不同的訪問權限,並關閉一些不需要的服務,這可以對不良人士利用IIS溢出漏洞訪問到系統盤作個第一級防護。

  3.盡量不要使用21這個默認端口號,並啟用日志,以便FTP服務出現異常時檢查。

  另一款FTP架設軟件Serv_U。

  軟件界面如下圖所示。感覺此款軟件在安全性方面做得比較好,其設置也不易出錯,筆者用過一段時間感覺其速度也比IIS要快得多。即使這樣,同樣也應注意其正確的配置:

  1.有關域中服務器密碼設定。

  Serv_U提供了三種安全密碼類型:規則密碼、OTPS/KEY MD4和OTPS/KEY MD5,不言而喻,規則密碼的安全性是最低的。一般我們設置好了有管理權限的賬戶後,再在“常規選項卡下打開“密碼類型下拉框,從中選擇後兩種類型相對要安全得多。

  2.選中“攔截FTP_bounce攻擊和FXP。FXP也稱跨服務器攻擊,簡單的說:

  當惡意用戶通過在PORT命令中加入特定的地址信息,會使FTP服務器與其它非客戶端的機器建立連接,而如果FTP服務器有權訪問那些非客戶端的電腦時,那就可以通過FTP服務器這個“中介機構,實現與目標服務器的連接!

  3.跟IIS一樣,最好也將主目錄移到其它分區,同時在為用戶設置權限時最好先設低點,等需要時再設定寫入、修改等權限;並將服務日志以文件形式保存,以便日後查閱。

  說了架設軟件,再來說操作系統本身。

  考慮到FTP服務器的安全性,所以最好是采用Win2000服務器版、winxp或是Windows2003企業版,並注意隨時下載安全補丁升級。

  1.可以用系統自帶的“Internet連接防火牆功能進行安全設置。打開“本地連接屬性對話框,進入“高級選項卡,將“通過限制或阻止來自Internet的對此計算機的訪問來保護我的計算機和網絡打勾;然後點右下角的“設置按鈕進入“高級設置,選中“FTP服務器再點編輯,如圖所示,除了IP地址一欄外,其余選項都不能更改。如果你預先設置的FTP服務器端口不是其默認的21,請返回上一步在“服務選項卡下方點“添加,輸入服務器名稱和IP地址,並將外部內部端口號填入你的預設值即可。

  2.“TCP/IP篩選功能。依次進入“本地連接---“常規---“Internet協議(TCP/IP),然後雙擊打開,再點“高級按鈕,切換到“選項即可開始設置。如下圖所示,這裡我們可以設置系統只允許開放的端口,這種篩選設置可以有效防止最常見的如139端口的入侵,但該方法缺點同樣明顯:功能過於簡單,只能設置允許開放的端口,不能自定義要關閉的端口,如需開放多個端口還要一一手工添加,比較麻煩。

  服務器安全是個永遠也說不完的話題,關鍵還是要大家在實際管理中多多總結經驗,不斷累積。通過以上的基本管理設置後,你的FTP應該具備了一定的安全保障,可以放心的投入使用了!

  U盤病毒,每次在Linux下面看到這個什麼auto之類的文件。

  ls -l發現,屬性竟然全不是?

  結果是刪不掉了。

  經過查詢得到的原因是linux不能處理以“.結尾的文件。所以在這個地方不能刪除。

  不過解決的辦法是有的。

  方法如下:

  首先如果你是系統自動掛載U盤,請先umount

  然後,輸入如下:

  sudo mount -t msDos /dev/sd* /media/disk

  這裡和默認不同的是

  -t參數從vfat 變成msdos。因為vfat是針對fat32。msdos是針對fat16。

  當再次打開U盤,會發現。名字已經變成了autorn。因為fat16的文件名只能顯示6位。如果有多的只能用,省略。

  不過這樣就可以刪除病毒了。

copyright © 萬盛學電腦網 all rights reserved