Serv-U防溢出提權攻擊解決設置方法
2024-09-09 20:58:02
供稿:網友
前言:
大家應該都還沒有忘記三年前在Serv-U5.004版的之前所有版本的"Serv-U FTPMDTM命令緩沖區溢出"與"Serv-U FTP服務器LIST命令超長-l參數遠程緩沖區溢出漏洞"吧,這個漏洞讓很多服務器管理員立坐不安,也讓很多大型的站點、甚至電信級的服務器淪陷了...隨著Serv-U新版本的推出,這個漏同已經不存在了;雖然溢出不存在了,但黑客永遠也沒有停止,所以伴隨著來的又是Serv-U5.0到6.0之黑客常用的本地提升權限缺陷。(注:最常見的就如webshell+su提權,我在 Baidu輸入"Serv-U提權"關鍵詞,搜索結果“百度一下,找到相關網頁約34,000篇,用時0.001秒 ”)因此,解決Serv-U的安全問題迫在眉睫。
Serv-U提權雖然嚴格來說這個不應該算是Serv-U的重大漏洞,但只要因管理員的配置不當將會產生嚴重的后果;下面LeeBolin就來為大家介紹下如何安全配置 Serv-U,才能保證Serv-U甚至服務器的安全,跟我來.“go,go,go...”(最近CS玩多了,嘻嘻 :P)
Serv-U防溢出提權攻擊解決辦法解決辦法正文:
一、大家知道Liunx系統和Unix系統比Windows安全的一個重要原因在于:Linux和Unix的系統服務不使用root權限,而是使用權限比較低的另外一個單獨用戶,比如web服務使用了nobody這個用戶。而Serv-U默認是以system身份運行的,而System這個系統內置賬戶對本機有完全操作的權限;因此如果攻擊者利用Serv-U程序的漏洞而獲得了可執行shell的那,那么他將可以隨意控制操作系統里任何一個目錄了
二、我們根據一的講解知道了為什么Serv-U提權與溢出攻擊可怕的原因了,那么我們該如何防止這一類攻擊的發生呢?答案就是降底Serv-U的運行權限與控制Serv-U的“Acls”可訪問目錄...好,下面就一步一步跟我來吧!
三、Serv-U安全配置
1、首先請保持合用Serv-U的最新版本(目前新版為6.4...)。然后在安裝Serv-U的時候盡量不要選擇默認的安裝目錄,比如俺將Serv-U 安裝在D:/Pro_LeeBolin^_^/Serv-U#$2008$/...(因為這樣復雜的目錄名可防止Hacker的猜解)
2、然后將Serv-U取消MDTM命令的執行,修改Serv-U FTP Banner并開啟好Serv-U的FTP日志保存到非系統盤,日志選擇記錄好Serv-U命名用了那些命令與DLL,并為Serv-U設置一個強壯的本地管理密碼(因提權多是因為Serv-U的默認管理員:LocalAdministrator,默認密碼:#l@$ak#.lk;0@P所造成的,呵呵 $_$),你還可以選擇將Serv-U的FTP賬戶信息保存到注冊表,不要存在Serv-U目錄下的ini文中,這樣更加安全。
3、我們再開啟"計算機管理"新建一個用戶Serv-UAdmin,設置好密碼。將用戶退出Users組,不加入任何組。并在用戶的“終端服務配置文件”選項里取消“允許登錄到終端服務器。并且禁止Serv-UAdmin用戶的本地登陸。進入控制面板 -> 管理工具 -> 本地安全策略 -> 本地策略 -> 用戶權利指派 -> 拒絕本地登陸。(備注:這個用戶我們將它來作為俺們Serv-U的服務運行賬號,嘿嘿)[(AD^_^:游刃在技術鬼神邊緣,打造服務器安全神話!創世紀網絡技術前瞻,成就互聯網革命先驅!服務器安全討論區[S.S.D.A]) ]
