Sicherheitsüberlegungen zur Windows-Serververwaltung

Webserver

1. Der Webserver schaltet unnötige IIS-Komponenten ab, z. B. durch Deaktivieren von WEV-, CGI- und ASP-Funktionen
2. Den physischen Pfad der Website ausblenden, die Standardwebsite löschen und den physischen Pfad der Website ändern
3. Löschen Sie nutzlose virtuelle Verzeichnisse und IIS-Zuordnungen und behalten Sie nur die Zuordnungen von Dateien, die Suffixe erfordern.
4. Aktivieren Sie die IIS-Protokollierung und überprüfen Sie die Protokolle täglich
5. Legen Sie die Zugriffsberechtigungen für das Website-Verzeichnis auf Leseberechtigungen fest, entfernen Sie Schreib- und Verzeichnis-Browsing-Berechtigungen; versuchen Sie, keine Ausführungsberechtigungen zu erteilen

6. Verhindern Sie, dass die Access-Datenbank heruntergeladen wird. Der spezifische Vorgang lautet: Fügen Sie die Zuordnung der Erweiterung .mdb als verboten hinzu (die Standardeinstellung ist POST, GET,)

7. Deaktivieren Sie die VBScript-Ausführungsberechtigungen

Datenbankserver

1. SQLSERVER deaktiviert den Befehl xpcmd..
2. Bei SQL Server-Servern ist die Verwendung von „sa“ als Zugriffskonto verboten. Die Zugriffskontoberechtigungen können öffentlichen Berechtigungen (Lesen, Schreiben) zugewiesen werden.
3. Um die sichere Verbindung des Datenbankservers zu gewährleisten, führen Sie IP-Zugriffsbeschränkungen durch und ändern Sie den Standardport

4. Am besten mit niedrigen Berechtigungen ausführen

Prävention von Web-Trojaner-Backdoors

1. Deaktivieren Sie FSO-Objekte, um das Kopieren und Verbreiten von Virenskripten zu verhindern
regsvr32 /u scrrun.dll
2. Deaktivieren Sie das adodb.stream-Objekt
3. Trojan Finder einrichten

4. Verhindern Sie, dass PHP-, ASP- und andere Dateien geändert werden. Sie können mit McAfee zusammenarbeiten

Schwachstellen im Webserver

1. IIS6-Parsing-Sicherheitslücke Wenn ein Verzeichnis den Namen „xxx.asp“ trägt, werden alle Dateitypen im Verzeichnis geparst und als ASP-Dateien ausgeführt

Wenn eine Dateierweiterung die Form „.asp;*.jpg“ hat, wird die Datei auch analysiert und als ASP-Datei ausgeführt. * Sie können alles schreiben oder es kann leer gelassen werden. Prinzip: IIS kann das Suffix nicht erkennen und standardmäßig wird das erste Suffix verwendet.

2. Sicherheitslücke im Windows-Benennungsmechanismus In der Windows-Umgebung dürfen xx.jpg[Leerzeichen] oder xx.jpg. Diese beiden Dateitypen dürfen nicht vorhanden sein. Bei einem solchen Namen entfernt Windows standardmäßig das Leerzeichen oder den Punkt, was ebenfalls ausgenutzt werden kann!
Beim Hochladen von Daten auf einen Windows-Host können Sie das Paket erfassen und den Dateinamen ändern, indem Sie am Ende ein Leerzeichen oder einen Punkt hinzufügen, um zu versuchen, die Blacklist zu umgehen. Wenn der Upload erfolgreich ist, wird der letzte Punkt oder das letzte Leerzeichen entfernt und Sie können die Shell abrufen. Wenn Sie beispielsweise eine neue Datei „asp.asp.“ erstellen und speichern, wird der Dateiname automatisch zu „asp.asp“ und der Dateiname lautet „asp.asp..“, „asp.asp口“ (口 markiert ein Leerzeichen). Beim Hochladen einer Datei können Sie das Dateisuffix in „asp.xx.“ ändern, um eine Überprüfung zu vermeiden.

3. IIS6, 7, 7.5 Mapping-Probleme

IIS ordnet Dateien der Typen .asp, .cer, .asa und .cdx auf die gleiche Weise zu wie ASP.

4.IIS 7.0/IIS 7.5/Nginx <=0.8.37 FastCGI-Problem

Wenn Fast-CGI standardmäßig aktiviert ist, wird durch das Hinzufügen von /xx.php nach einem Dateipfad (/xx.jpg) /xx.jpg/xx.php als PHP-Datei analysiert.

Gängige Ausnutzungsmethoden: Fügen Sie ein Bild mit einer Textdatei zusammen, die Backdoor-Code enthält. Schreiben Sie den bösartigen Text nach dem Binärcode des Bildes, um eine Beschädigung des Headers und des Endes der Bilddatei zu vermeiden.

zB kopiere xx.jpg/b + yy.txt/a xy.jpg

######################################

/b bedeutet Binärmodus

/a bedeutet ASCII-Modus xx.jpg normale Bilddatei

yy.txt-Inhalt');?>

Es bedeutet, eine Datei mit dem Namen shell.php zu schreiben.

######################################

Suchen Sie einen Ort zum Hochladen von xy.jpg, suchen Sie dann die Adresse von xy.jpg und fügen Sie nach der Adresse /xx.php hinzu, um den schädlichen Text auszuführen.

Generieren Sie dann einen Satz Trojan Shell.php Passwort cmd im Bildverzeichnis

Weitere Sicherheitsprobleme finden Sie in den zuvor von 123WORDPRESS.COM veröffentlichten Artikeln.