服务器安全怎么设置好
服务器的安全设置,大家一般是从防范角度来做的,今天,我们从入侵者的角度浅谈服务器安全配置基本知识,既然我们是从入侵者角度来考虑,那么我们首先需要知道入侵者的入侵方式。目前较为流行web入侵方式都是通过寻找程序的漏洞先得到网站的webshell然后再根据服务器的配置来找到相应的可以利用的方法进行提权,进而拿下服务器权限。所以配合服务器来设置防止webshell是有效的方法。
一、防止数据库被非法下载
应当说,有一点网络安全的管理员,都会把从网上下载的网站程序的默认数据库路径进行更改。当然也有一部分管理员非常粗心,拿到程序直接在自己的服务器上进行安装,甚至连说明文件都不进行删除,更不要说更改数据库路径了。这样黑客就可以通过直接从源码站点下载网站源程序,然后在本地测试找到默认的数据库,再通过下载数据库读取里面的用户信息和资料(一般是经过MD5加密的)找到管理入口进行登陆获得webshell。还有一种情况是由于程序出错暴出了网站数据库的路径,那么怎么防止这种情况的发生呢?我们可以添加mdb的扩展映射。如下图所示:
打开IIS添加一个MDB的映射,让mdb解析成其他下载不了的文件:“IIS属性”—“主目录”—“配置”—“映射”—“应用程序扩展”里面添加.mdb文件应用解析,至于用于解析它的文件大家可以自己进行选择,只要访问数据库文件出现无法访问就可以了。
这样做的好处是:1只是要是mdb后缀格式的数据库文件就肯定下载不了;2对服务器上所有的mdb文件都起作用,对于虚拟主机管理员很有用处。
二、防止上传
针对以上的配置如果使用的是MSSQL的数据库,只要存在注入点,依然可以通过使用注入工具进行数据库的猜解。倘若上传文件根本没有身份验证的话,我们可以直接上传一个asp的木马就得到了服务器的webshell。
对付上传,我们可以总结为:可以上传的目录不给执行权限,可以执行的目录不给上传权限。Web程序是通过IIS用户运行的,我们只要给IIS用户一个特定的上传目录有写入权限,然后又把这个目录的脚本执行权限去掉,就可以防止入侵者通过上传获得webshell了。配置方法:首先在IIS的web目录中,打开权限选项卡、只给IIS用户读取和列出目录权限,然后进入上传文件保存和存放数据库的目录,给IIS用户加上写入权限,最后在这两个目录的“属性”—“执行权限”选项把“纯脚本”改为“无”即可。见下图
最后提醒一点,在你设置以上权限的时候,一定要注意到设置好父目录的继承。避免所做的设置白费。
三、MSSQL注入
对于MSSQL数据库的防御,我们说,首先要从数据库连接帐户开始。数据库不要用SA帐户。使用SA帐户连接数据库对服务器来说就是一场灾难。一般来说可以使用DB_OWNER权限帐户连接数据库,如果可以正常运行,使用public用户最安全的。设置成dbo权限连接数据库之后,入侵者基本就只能通过猜解用户名和密码或者是差异备份来获得webshell了,对于前者,我们可以通过加密和修改管理后台的默认登陆地址来防御。对于差异备份,我们知道它的条件是有备份的权限,并且要知道web的目录。寻找web目录我们说通常是通过遍历目录进行寻找或者直接读取注册表来实现。无路这两个方法的哪一种,都用到了xp_regread和xp_dirtree两个扩展存储过程,我们只需要删除这两个扩展存储就可以了,当然也可以把对应的dll文件也一起删除。
但是如果是由于程序出错自己暴出了web目录,就没有办法了。所以我们还要让帐户的权限更低,无法完成备份操作。具体操作如下:在这个帐户的属性—数据库访问选项里只需要对选中对应的数据库并赋予其DBO权限,对于其他数据库不要操作。接着还要到该数据库—属性—权限把该用户的备份和备份日志的权限去掉,这样入侵者就不能通过差异备份获得webshell了。
服务器安全设置
目前流行的挂木马的基本步骤(可能有个别地方不准确): 1、利用杰奇系统的漏洞,上传具有一定危险功能的文件,表现为:zh.php、cmd.exe、*.asp, 这几个文件都具有不同的目的,只要被上传了这几个文件,相应的js文件就会被修改,然后就被挂马了。 2、上传了文件后,如果你的权限设置的不对,比如多给了运行权限,该黑客就可以利用这 几个文件进行提权,直接可以创建管理员账号,然后通过*.asp文件获得你的远程连接的端口,然后利用注入的管理员账号登录系统,进入系统了,那就随便改啦。 所以针对上面的步骤,我们可以这样做: 1、权限一定要设置好,大部分网站目录只给读取权限即可,个别的多给写入权限。 2、所有的js文件都改成只读的 3、删除系统的以下三个文件,执行脚本如下:(开始-运行里面就可以直接执行) regsvr32 /u %SystemRoot%\System32\wshom.ocx regsvr32 /u %SystemRoot%\System32\shell32.dll regsvr32 /u %SystemRoot%\System32\wshext.dll 4、修改远程链结默认的3389端口,改成12345 12323等等类似的。群共享里有软件直接修改重启机器生效。 设置好了以上的几步后,针对杰奇的漏洞产生的木马,基本上就能防止了。当然,其他的漏洞还是得需要好好设置,可以参考群共享里的一篇word文档,服务器安全设置 贴一下这次挂马的代码,请大家仔细检查自己的js文件中是否有下面的代码: 晕,我的都被我删除了,没了。谁能提供我一个被修改过的js文件。 已经中木马的人的找马步骤: 1、在杰奇网站的所有目录下寻找这样的文件zh.php、zp.php、*.asp、cmd.exe等文件,直 接删除即可。 2、检查你的所有js文件,如果发现下面这样的代码,那就是木马代码。删除这些木马代码。 本文档的服务器安全设置分三个部分 (一)服务器的基本安全设置 本配置仅适合Win2003,部分内容也适合于Win2000。很多人觉得3389不安全,其实只要设置好,密码够长,攻破3389也不是件容易的事情,我觉得别的远程软件都很慢,还是使用了3389连接。
Windows服务器安全加固方案
P43页 Windows 2008服务器安全加固方案 来源:中国红盟时间:2010-1-27 9:09:00 点击:201 今日评论:0 条Windows 2008服务器安全加固方案(一)因为IIS(即Internet Information Server)的方便性和易用性,使它成为最受欢迎的Web 服务器软件之一。但是,IIS的安全性却一直令人担忧。如何利用IIS建立一个安全的Web 服务器,是很多人关心的话题。要创服务器安全检测建一个安全可靠的Web服务器,必须要实现Windows 2003和IIS的双重安全,因为IIS的用户同时也是Windows 2003的用户,并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制,所以保护IIS安全的第一步就是确保Windows 2000操作系统的安全,所以要对服务器进行安全加固,以免遭到黑客的攻击,造成严重的后果。 我们通过以下几个方面对您的系统进行安全加固: 1. 系统的安全加固:我们通过配置目录权限,系统安全策略,协议栈加强,系统服务和访问控制加固您的系统,整体提高服务器的安全性。 2. IIS手工加固:手工加固iis可以有效的提高iweb站点的安全性服务器安全加固,合理分配用户权限,配置相应的安全策略,有效的防止iis用户溢出提权。 3. 系统应用程序加固,提供应用程序的安全性,例如sql的安全配置以及服务器应用软件的安全加固。 系统的安全加固: 1.目录权限的配置: 1.1 除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权,之后再对其下的子目录作单独的目录权限,如果WEB站点目录,你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限,如果想使网站更加坚固,可以分配只读权限并对特殊的目录作可写权限。 1.2 系统所在分区下的根目录都要设置为不继承父权限,之后为该分区只赋予Administrators 和SYSTEM有完全控制权。 1.3 因为服务器只有管理员有本地登录权限,所在要配置Documents and Settings这个目录权限只保留Administrators和SYSTEM有完全控制权,其下的子目录同样。另外还有一个隐藏目录也需要同样操作。因为如果你安装有PCAnyWhere那么他的的配置信息都保存在其下,使用webshell或FSO可以轻松的调取这个配置文件。 1.4 配置Program files目录,为Common Files目录之外的所有目录赋予Administrators和SYSTEM有完全控制权。
2003服务器安全设置
一、先关闭不需要的端口 我比较小心,先关了端口。只开了3389、21、80、1433,有些人一直说什么默认的3389不安全,对此我不否认,但是利用的途径也只能一个一个的穷举爆破,你把帐号改了密码设置为十五六位,我估计他要破上好几年,哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上,然后添加你需要的端口即可。PS一句:设置完端口需要重新启动!
当然大家也可以更改远程连接端口方法: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE \ SYSTEM\ Current ControlSet \ Control \ Terminal Server\WinStations\RDP-Tcp] "PortNumber"=dword:00002683 保存为.REG文件双击即可!更改为9859,当然大家也可以换别的端口,直接打开以上注册表的地址,把值改为十进制的输入你想要的端口即可!重启生效!
还有一点,在2003系统里,用TCP/IP筛选里的端口过滤功能,使用FTP服务器的时候,只开放21端口,在进行FTP传输的时候,FTP 特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的Windows连接防火墙能很好的解决这个问题,不推荐使用网卡的TCP/IP过滤功能。 做FTP下载的用户看仔细,如果要关闭不必要的端口,在 \system32\drivers\etc\services中有列表,记事本就可以打开的。如果懒的话,最简单的方法是启用WIN2003的自身带的网络防火墙,并进行端口的改变。功能还可以!
IE11浏览器安全设置在哪里怎么设置
IE11浏览器安全设置在哪里怎么设置 网络安全是目前互联网的热门话题之一,作为个人用户的我们同样需要关注,做好防护。浏览器的安全设置如果设置的过低,很容易导致病毒入侵,那么IE11浏览器的安全设置在哪里呢?又该如何进行设置?下面小编给大家揭晓答案! 方法步骤 1、首先打开IE浏览器,然后如下图所示,找到浏览器上方菜单栏上“工具”选项,单击点击此选项,点击工具选项之后在弹出的下拉列表中选择internet选项,进入到IE浏览器的设置选项; 2、进入下图之后,可以看到internet选项窗口,我们点击红框所示的安全按钮; 3、这时候就进入到浏览器的安全设置界面,然后点击下图所示的自定义级别按钮,可以对安全选项进行自定义设置,点击自定义级别之后,弹出右侧所示的窗口,这里可以进行各种安全设置;
4、滑动右侧的滑块,可以对浏览器各种拦截插件的功能进行设置,可以设置为启用或者提示或者禁用; 5、如果设置过多,自己感觉设置乱了,可以直接点击下图所示的重置按钮,然后在弹出的对话框中选择是,即可对安全设置进行重置了,以上就是IE浏览器的安全设置操作步骤。 相关阅读:2018网络安全事件: 一、英特尔处理器曝“Meltdown”和“Spectre漏洞” 2018年1月,英特尔处理器中曝“Meltdown”(熔断)和“Spectre”(幽灵)两大新型漏洞,包括AMD、ARM、英特尔系统
和处理器在内,几乎近20年发售的所有设备都受到影响,受影响的设备包括手机、电脑、服务器以及云计算产品。这些漏洞允许恶意程序从其它程序的内存空间中窃取信息,这意味着包括密码、帐户信息、加密密钥乃至其它一切在理论上可存储于内存中的信息均可能因此外泄。 二、GitHub 遭遇大规模Memcached DDoS 攻击 2018年2月,知名代码托管网站GitHub 遭遇史上大规模Memcached DDoS 攻击,流量峰值高达1.35 Tbps。然而,事情才过去五天,DDoS攻击再次刷新纪录,美国一家服务提供商遭遇DDoS 攻击的峰值创新高,达到1.7 Tbps!攻击者利用暴露在网上的Memcached 服务器进行攻击。网络安全公司Cloudflare 的研究人员发现,截止2018年2月底,中国有2.5万Memcached 服务器暴露在网上。 三、苹果iOS iBoot源码泄露 2018年2月,开源代码分享网站GitHub(软件项目托管平台)上有人共享了iPhone 操作系统的核心组件源码,泄露的代码属于iOS 安全系统的重要组成部分——iBoot。iBoot 相当于是Windows 电脑的BIOS 系统。此次iBoot 源码泄露可
服务器安全管理制度
服务器安全管理制度 1. 执行服务器管理制度目的 为安全有效地管理机房及服务器,促进网络系统安全的应用.高效运行,特制定本规章制度,请遵照执行。 2. 服务器管理 2.1 服务器监控 2.1.1 服务器日志监控 每天检查服务器系统日志,安全日志进行检查对错误、异常、警告等日志进行分析判断 并将判断结果进行有效解决处理并记录到《服务器监控记录表》,若服务器故障请按服务器故障处理流程及时处理并记录到《服务器维护及故障处理记录表》。 2.1.2 服务器面板信息监控 每天检查负责机房内所有服务器、存储、UPS及其他机房设备面板信息,对异常的指示信息及时作出分析判断并将判断结果进行有效解决处理并记录到《服务器监控记录表》,若服务器故障请按服务器故障处理流程及时处理并记录到《服务器维护及故障处理记录表》。 2.1.3 服务器操作系统信息监控 每天检查所有服务器系统信息,包括磁盘空间使用率、系统资源使用率、杀毒软件、服务器进程、必须启动的服务、用户访问记录、服务器时间。若有异常进行分析判断并将判断结果进行有效解决处理并记录到《服务器监控记录表》,若服务器故障请按服务器故障处理流程及时处理并记录到《服务器维护及故障处理记录表》。2.1.4 服务器数据库信息监控 每天检查服务器所有数据库运行状态。包括数据库定时代理运行、数据库备份计划、数据库日志及归档、数据库表空间使用率。若有异常进行分析判断并将判断结果进行有效解决处理并记录到《服务器监控记录表》,若服务器故障请按服务器故障处理流程及时处理并记录到《服务器维护及故障处理记录表》。 若监控数据库时发现数据库文件或日志增长过快等情况及时与负责系统的程序员检查是否为程序异常导致。 2.1.5 服务器数据备份监控 每天检查服务器数据备份情况,定期维护备份空间,若有异常及时处理。 2.2 服务器日常维护及故障处理 2.2.1 服务器定期维护 根据《服务器管理方案表》定期对服务器进行维护,维护内容如下: 2.2.1.1 在停止所有用户会话的情况下进行重启服务器释放资源使用。 2.2.1.2 检查数据库使用状态、裸设备,清理僵死进程、临时表空间等。 2.2.1.3 清理过期的数据库归档日志释放数据库归档日志空间,并收缩数据库。 2.2.1.4 根据数据库每天监控得到的数据适当调整表空间大小、临时表空间大小、内存使用调整、归档日 志库大小等。 2.2.1.5 清除数据库中无效的索引、存储过程、定时代理等。 2.2.1.6 每月备份一次服务器及数据库系统文件、并清理一次系统及安全日志(先备份再清除)。 2.2.1.7 每月对服务器进行一次硬件检测维护,主要包括安全隐患、性能等方面、如机器温度、使用率等。 2.2.1.8 每周每台服务器杀毒软件至少升级一次、全盘杀毒一次。 2.2.1.9 服务器必须启动服务必须设置为自动启动,人为重启服务器后必须检查各项系统运行必须服务是 否启动正常。
服务器基本安全配置
服务器基本安全配置 1.用户安全 (1)运行lusrmgr.msc,重命名原Administrator用户为自定义一定长度的名字,并新建同名 Administrator普通用户,设置超长密码去除所有隶属用户组。 (2)运行gpedit.msc——计算机配置—安全设置—账户策略—密码策略 启动密码复杂性要求,设置密码最小长度、密码最长使用期限,定期修改密码保证服务器账户的密码安全。 (3)运行gpedit.msc——计算机配置—安全设置—账户策略—账户锁定策略 启动账户锁定,设置单用户多次登录错误锁定策略,具体设置参照要求设置。
(4)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项 交互式登录:不显示上次的用户名;——启动 交互式登录:回话锁定时显示用户信息;——不显示用户信息 (5)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项 网络访问:可匿名访问的共享;——清空 网络访问:可匿名访问的命名管道;——清空 网络访问:可远程访问的注册表路径;——清空 网络访问:可远程访问的注册表路径和子路径;——清空 (6)运行gpedit.msc——计算机配置—安全设置—本地策略 通过终端服务拒绝登陆——加入一下用户(****代表计算机名)ASPNET Guest IUSR_***** IWAM_***** NETWORK SERVICE SQLDebugger 注:用户添加查找如下图:
(7)运行gpedit.msc——计算机配置—安全设置—本地策略—策略审核 即系统日志记录的审核消息,方便我们检查服务器的账户安全,推荐设置如下: (8)
互联网服务器安全解决方案
1.1.1服务器安全解决方案 Trend Micro Deep Security发大发发大发啊方案是一种在虚拟、云计算和传统的数据中心环境之间统一安全性的服务器和应用程序防护软件。它帮助组织预防数据泄露和业务中断,符合包括 PCI 在内的关键法规和标准,并有助于应当今经济形势之要求降低运营成本。Deep Security 解决方案使系统能够自我防御,并经过优化,能够帮助您保护机密数据并确保应用程序的可用性。趋势科技的基于服务器的安全防护软件主要在服务器群上实现以下6大模块的安全控制: 1.基于主机的IDS/IPS ●防护未知漏洞,被未知攻击 ●防护已知攻击 ●防护零日攻击,确保未知漏洞不会被利用 2.Web应用防护 ●防护web应用程序的弱点和漏洞 ●防护Web应用程序的历史记录 ●支持PCI规范。 3.应用程序控制 ●侦测通过非标准端口进行通讯相关协议 ●限制和设定哪些应用程序能通过网络被访问 ●侦测和阻断恶意软件通过网络进行访问 4.基于主机的防火墙 5.一致性检查和监控 ●重要的操作系统和应用程序文件控制(文件,目录,注册表以及键值等等) ●监控制定的目录 ●灵活并且主动实用的监控 ●审计日志和报表 6.日志检查和审计 ●搜集操作系统和应用程序的日志,便于安全检查和审计 ●可疑行为侦测
●搜集安全行为相关的管理员设定 1.1.1.1 产品特点 数据中心服务器安全架构必须解决不断变化的 IT 架构问题,包括虚拟化和整合、新服务交付模式以及云计算。对于所有这些数据中心模式,Deep Security 解决方案可帮助: 1.1.1.1.1通过以下方式预防数据泄露和业务中断 ?在服务器自身位置提供一道防线–无论是物理服务器、虚拟服务器还是云服务器 ?针对 Web 和企业应用程序以及操作系统中的已知和未知漏洞进行防护,并阻止对这些系统的攻击 ?帮助您识别可疑活动及行为,并采取主动或预防性的措施 1.1.1.1.2通过以下方式实现合规性 ?满足六大 PCI 合规性要求(包括 Web 应用程序安全、文件完整性监控和服务器日志收集)及其他各类合规性要求 ?提供记录了所阻止的攻击和策略合规性状态的详细可审计报告,缩短了支持审计所需的准备时间 1.1.1.1.3通过以下方式支持降低运营成本 ?提供漏洞防护,以便能够对安全编码措施排定优先级,并且可以更具成本效益地实施未预定的补丁 ?为组织充分利用虚拟化或云计算并实现这些方法中固有的成本削减提供 必要的安全性 ?以单个集中管理的软件代理提供全面的防护–消除了部署多个软件客 户端的必要性及相关成本 1.1.1.1.4全面易管理的安全性 Deep Security 解决方案使用不同的模块满足了关键服务器和应用程序的防护要求: