1、服務器安全維護一 IIS優化1、禁止多余的Web服務擴展 IIS6.0支持多種服務擴展，有些管理員偷懶或者不求甚解，擔心Web運行中出現解析錯誤，索性在建站時開啟了所有的Web服務擴展。殊不 知，這其中的有些擴展比如“所有未知CGI擴展”、“在 HYPERLINK / 服務器端的包含文件”等是Web運行中根本用不到的，況且還占用IIS資源影響性能拖垮Web，甚 至某些擴展存在漏洞容易被攻擊者利用。因此，科學的原則是，用到什么擴展就啟用什么擴展。如果企業站點是靜態頁面，那什么擴展都不要開啟。不過現在的企業站點都是交互的動態頁面比如asp、php、jsp等。如果是asp頁面，那只 需開啟“Acti

2、ve Server Pages”即可。對于php、jsp等動態頁面IIS6.0默認是不支持的需要進行安裝相應組件實現對這些擴展的支持。不過，此時用不到的擴展完全可以 禁用。禁止Web服務擴展的操作非常簡單，打開“IIS管理器”，在左窗格中點擊“Web服務擴展”，在右側選擇相應的擴展，然后點擊“禁用”即可。(圖1)2、刪除不必要的IIS擴展名映射IIS默認支持.asp、.cdx等8種擴展名的映射，這其中除了.asp之外其他的擴展幾乎用不到。這些用不著的擴展會加重web HYPERLINK / 服務器的負擔，而且帶來一定的安全隱患。比如.asa，.cer等擴展名，就可以被攻擊者利用來獲得websh

3、ell。因為一般的asp系統都會限制asp文件的上傳，但如果沒有限制.asa或者.cer等擴展名，攻擊者就可以更改文件后綴突破上傳限制，運行.asa或者.cer的文件獲得webshell。(圖 2)刪除IIS擴展名的操作是：打開IIS管理器，右鍵單擊“默認Web站點”選擇“屬性”，點擊“主目錄”選項卡，然后點擊“配置”打開應用程序 窗口，最后根據自己的需要選擇不必要的應用程序映射比如.shtml, .shtm, .stm等，然后點擊“刪除”即可。(圖3)服務器安全維護（二）磁盤權限設置很簡單，大體來說就幾步：先創建一個用戶組，以后任何的站點的用戶都建在這個組里，然后配置這個組在各個分區沒有權限

4、或完全拒絕（直接在根磁盤配置就能夠了，不要替換任何子目錄的權限）。然后再配置各個IIS用戶在各自的文檔夾里的權限。第二，改名或卸載不安全組件 第三，把system32下面的一些常用網絡命令配置成只有 system administrators 能夠訪問 其他用戶全部刪除，如net.exe tftp.exe at.exe 網上應該有很多相關介紹了第四，使用一般用戶啟動mssql或mysql數據庫假如出現asp數據庫連不上的問題，應該是c:windowstemp c:WINDOWSIIS Temporary Compressed Files 文檔夾沒有給虛擬用戶組權限，給他可讀可寫。這樣配置出來，

5、不支持， 要支持的話 c:WINDOWSMicrosoft.NETFrameworkv1.1.4322這個目錄也要給虛擬用戶組可運行權限，web文檔夾要加上iis_wpg可讀可寫，但開啟會帶來新的安全問題，假如無需的話不建議開啟。ASP的安全設置：設置過權限和服務之后，防范asp木馬還需要做以下工作，在cmd窗口運行以下命令：regsvr32/u C:WINNTSystem32wshom.ocxdel C:WINNTSystem32wshom.ocxregsvr32/u C:WINNTsystem32shell32.dlldel C:WINNTsystem32shell32.dll即可將WSc

6、ript.Shell, Shell.application, WScript.Network組件卸載，可有效防止asp木馬通過wscript或shell.application執行命令以及使用木馬查看一些系統敏感信息。另法：可取消以上文件的users用戶的權限，重新啟動IIS即可生效。但不推薦該方法。另外，對于FSO由于用戶程序需要使用，服務器上可以不注銷掉該組件，這里只提一下FSO的防范，但并不需要在自動開通空間的虛擬商服務器上使用，只適合于手工開通的站點。可以針對需要FSO和不需要FSO的站點設置兩個組，對于需要FSO的用戶組給予c: winntsystem32scrrun.dll文件的執

7、行權限，不需要的不給權限。重新啟動服務器即可生效。對于這樣的設置結合上面的權限設置，海陽木馬已經在這里失去了作用.服務器安全維護（三）MySQL安全設置：如果服務器上啟用MySQL數據庫，MySQL數據庫需要注意的安全設置為：刪除mysql中的所有默認用戶，只保留本地root帳戶，為root用戶加上一個復雜的密碼。賦予普通用戶 updatedeletealertcreatedrop權限的時候，并限定到特定的數據庫，尤其要避免普通客戶擁有對mysql數據庫操作的權限。檢查 mysql.user表，取消不必要用戶的shutdown_priv,reload_priv,process_priv和Fil

8、e_priv權限，這些權限可能泄漏更多的服務器信息包括非mysql的其它信息出去。可以為mysql設置一個啟動用戶，該用戶只對mysql目錄有權限。設置安裝目錄的data數據庫的權限(此目錄存放了mysql數據庫的數據信息)。對于mysql安裝目錄給users加上讀取、列目錄和執行權限。Serv-u安全問題：安裝程序盡量采用最新版本，避免采用默認安裝目錄，設置好serv-u目錄所在的權限，設置一個復雜的管理員密碼。修改serv-u的 banner信息，設置被動模式端口范圍（40014003）在本地服務器中設置中做好相關安全設置：包括檢查匿名密碼，禁用反超時調度，攔截“FTP bounce”攻擊

9、和FXP，對于在30秒內連接超過3次的用戶攔截10分鐘。域中的設置為：要求復雜密碼，目錄只使用小寫字母，高級中設置取消允許使用 MDTM命令更改文件的日期。更改serv-u的啟動用戶：在系統中新建一個用戶，設置一個復雜點的密碼，不屬于任何組。將servu的安裝目錄給予該用戶完全控制權限。建立一個FTP根目錄，需要給予這個用戶該目錄完全控制權限，因為所有的ftp用戶上傳，刪除，更改文件都是繼承了該用戶的權限，否則無法操作文件。另外需要給該目錄以上的上級目錄給該用戶的讀取權限，否則會在連接的時候出現530 Not logged in, home directory does not exist。比

10、如在測試的時候ftp根目錄為d:soft，必須給d盤該用戶的讀取權限，為了安全取消d盤其他文件夾的繼承權限。而一般的使用默認的 system啟動就沒有這些問題，因為system一般都擁有這些權限的。MSSQL數據庫服務器的安全設置對于專用的MSSQL數據庫服務器，對外只開放1433和5631端口。對于MSSQL首先需要為sa設置一個強壯的密碼，使用混合身份驗證,加強數據庫日志的記錄,審核數據庫登陸事件的”成功和失敗”.刪除一些不需要的和危險的OLE自動存儲過程(會造成企業管理器中部分功能不能使用),這些過程包括如下:Sp_OACreate Sp_OADestroy Sp_OAGetErrorI

11、nfo Sp_OAGetPropertySp_OAMethod Sp_OASetProperty Sp_OAStop去掉不需要的注冊表訪問過程,包括有:Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalueXp_regenumvalues Xp_regread Xp_regremovemultistringXp_regwrite去掉其他系統存儲過程，如果認為還有威脅，當然要小心Drop這些過程，可以在測試機器上測試，保證正常的系統能完成工作，這些過程包括：xp_cmdshell xp_dirtree xp_dropwebtask sp_ad

12、dsrvrolememberxp_makewebtask xp_runwebtask xp_subdirs sp_addloginsp_addextendedproc在實例屬性中選擇TCP/IP協議的屬性。選擇隱藏 SQL Server 實例可防止對1434端口的探測,可修改默認使用的1433端口。除去數據庫的guest賬戶把未經認可的使用者據之在外。 例外情況是master和 tempdb 數據庫,因為對他們guest帳戶是必需的。另外注意設置好各個數據庫用戶的權限，對于這些用戶只給予所在數據庫的一些權限。在程序中不要用sa用戶去連接任何數據庫。網絡上有建議大家使用協議加密的，千萬不要這么做

13、，否則你只能重裝MSSQL了。服務器安全維護 （四）入侵檢測工作作為服務器的日常管理，入侵檢測是一項非常重要的工作，在平常的檢測過程中，主要包含日常的服務器安全例行檢查和遭到入侵時的入侵檢查，也就是分為在入侵進行時的安全檢查和在入侵前后的安全檢查。日常的安全檢測日常安全檢測主要針對系統的安全性，工作主要按照以下步驟進行：1查看服務器狀態：打開進程管理器，查看服務器性能，觀察CPU和內存使用狀況。查看是否有CPU和內存占用過高等異常情況。2檢查當前進程情況切換“任務管理器”到進程，查找有無可疑的應用程序或后臺進程在運行。用進程管理器查看進程時里面會有一項taskmgr，這個是進程管理器自身的進程

14、。如果正在運行windows更新會有一項wuauclt.exe進程。通常的后門如果有進程的話，一般會取一個與系統進程類似的名稱，如svch0st.exe，此時要仔細辨別通常迷惑手段是變字母o為數字0，變字母l為數字13檢查系統帳號打開計算機管理，展開本地用戶和組選項，查看組選項，查看administrators組是否添加有新帳號，檢查是否有克隆帳號。4查看當前端口開放情況使用netstat -an，查看當前的端口連接情況，尤其是注意與外部連接著的端口情況，看是否有未經允許的端口與外界在通信。如有，立即關閉該端口并記錄下該端口對應的程序并記錄，將該程序轉移到其他目錄下存放以便后來分析。5檢查系統

15、服務運行services.msc，檢查處于已啟動狀態的服務，查看是否有新加的未知服務并確定服務的用途。對于不清楚的服務打開該服務的屬性，查看該服務所對應的可執行文件是什么，如果確定該文件是系統內的正常使用的文件，可粗略放過。查看是否有其他正常開放服務依存在該服務上，如果有，可以粗略的放過。如果無法確定該執行文件是否是系統內正常文件并且沒有其他正常開放服務依存在該服務上，可暫時停止掉該服務，然后測試下各種應用是否正常。對于一些后門由于采用了hook系統API技術，添加的服務項目在服務管理器中是無法看到的，這時需要打開注冊表中的 HKEY_LOCAL_MACHINESYSTEMCurrentCon

16、trolSetServices項進行查找，通過查看各服務的名稱、對應的執行文件來確定是否是后門、木馬程序等。6查看相關日志運行eventvwr.msc，粗略檢查系統中的相關日志記錄。在查看時在對應的日志記錄上點右鍵選“屬性”，在“篩選器”中設置一個日志篩選器，只選擇錯誤、警告，查看日志的來源和具體描述信息。對于出現的錯誤如能在服務器常見故障排除中找到解決辦法則依照該辦法處理該問題，如果無解決辦法則記錄下該問題，詳細記錄下事件來源、ID號和具體描述信息，以便找到問題解決的辦法。7檢查系統文件主要檢查系統盤的exe和dll文件，建議系統安裝完畢之后用dir *.exe /s 1.txt將C盤所有的

17、exe文件列表保存下來，然后每次檢查的時候再用該命令生成一份當時的列表，用fc比較兩個文件，同樣如此針對dll文件做相關檢查。需要注意的是打補丁或者安裝軟件后重新生成一次原始列表。檢查相關系統文件是否被替換或系統中是否被安裝了木馬后門等惡意程序。必要時可運行一次殺毒程序對系統盤進行一次掃描處理。8檢查安全策略是否更改打開本地連接的屬性，查看“常規”中是否只勾選了“TCP/IP協議”，打開“TCP/IP”協議設置，點“高級”=“選項”，查看 “IP安全機制”是否是設定的IP策略，查看“TCP/IP”篩選允許的端口有沒有被更改。打開“管理工具”=“本地安全策略”，查看目前使用的IP安全策略是否發生

18、更改。9檢查目錄權限重點查看系統目錄和重要的應用程序權限是否被更改。需要查看的目錄有c:;c:winnt;C:windowssystem32;c:C:windowssystem32inetsrv;C:windowssystem32netsrvdata;c:documents and Settings;然后再檢查serv-u安裝目錄，查看這些目錄的權限是否做過變動。檢查system32下的一些重要文件是否更改過權限，包括：cmd，net，ftp，tftp，cacls等文件。10檢查啟動項主要檢查當前的開機自啟動程序。可以使用msconfig.exe來檢查開機自啟動的程序。發現入侵時的應對措施對于即時發現的入侵事件，以下情況針對系統已遭受到破壞情況下的處理，系統未遭受到破壞或暫時無法察覺到破壞先按照上述的檢查步驟檢查一遍后再酌情考慮以下措施。系統遭受到破壞后應立即采取以下措施：視情況嚴重決定處理的方式，是通過遠程處理還是通過實地處理。如情況嚴重建議采用實地處理。如采用實地處理，在發現入侵的第一時間通知機房關閉服務器，待處理人員趕到機房時斷開網線，再進入系統進行檢查。如采用遠程處理，如情況嚴重第一時間停止所有應用服務，更改IP策略為只允許遠程管理端口進行連接然后重新啟動服務器，重新啟動之后再遠程連接上去進行處理，重啟前先用mscon