服務器有效設置防止web入侵圖文方法

2024-09-10 00:05:30

字體：大中小

來源：轉載

供稿：網友

所以配合服務器來設置防止webshell是有效的方法。
一、防止數據庫被非法下載
應當說，有一點網絡安全的管理員，都會把從網上下載的網站程序的默認數據庫路徑進行更改。當然也有一部分管理員非常粗心，拿到程序直接在自己的服務器上進行安裝，甚至連說明文件都不進行刪除，更不要說更改數據庫路徑了。這樣黑客就可以通過直接從源碼站點下載網站源程序，然后在本地測試找到默認的數據庫，再通過下載數據庫讀取里面的用戶信息和資料(一般是經過MD5加密的)找到管理入口進行登陸獲得webshell。還有一種情況是由于程序出錯暴出了網站數據庫的路徑，那么怎么防止這種情況的發生呢?我們可以添加mdb的擴展映射。如下圖所示：

打開IIS添加一個MDB的映射，讓mdb解析成其他下載不了的文件：“IIS屬性”—“主目錄”—“配置”—“映射”—“應用程序擴展”里面添加.mdb文件應用解析，至于用于解析它的文件大家可以自己進行選擇，只要訪問數據庫文件出現無法訪問就可以了。
這樣做的好處是：1只是要是mdb后綴格式的數據庫文件就肯定下載不了；2對服務器上所有的mdb文件都起作用，對于虛擬主機管理員很有用處。
二、防止上傳
針對以上的配置如果使用的是MSSQL的數據庫，只要存在注入點，依然可以通過使用注入工具進行數據庫的猜解。倘若上傳文件根本沒有身份驗證的話，我們可以直接上傳一個asp的木馬就得到了服務器的webshell。
對付上傳，我們可以總結為：可以上傳的目錄不給執行權限，可以執行的目錄不給上傳權限。Web程序是通過IIS用戶運行的，我們只要給IIS用戶一個特定的上傳目錄有寫入權限，然后又把這個目錄的腳本執行權限去掉，就可以防止入侵者通過上傳獲得webshell了。配置方法：首先在IIS的web目錄中，打開權限選項卡、只給IIS用戶讀取和列出目錄權限，然后進入上傳文件保存和存放數據庫的目錄，給IIS用戶加上寫入權限，最后在這兩個目錄的“屬性”—“執行權限”選項把“純腳本”改為“無”即可。見下圖