對(duì)Web服務(wù)器的攻擊可以說是層次不窮。即使防范措施做的最好�����,但是一不小心仍然會(huì)被黑客惦記�。不過根據(jù)筆者的經(jīng)驗(yàn),其實(shí)大部分攻擊都是可以防止的��。而之所以還有這么多的網(wǎng)站被黑��,主要的原因在于管理員忽視了一些基本的安全選項(xiàng)�����。
一、不要使用缺省的WEB站點(diǎn)
在IIS Web服務(wù)器安裝部署完成之后����,系統(tǒng)會(huì)建立一個(gè)默認(rèn)的Web站點(diǎn)。有些用戶就會(huì)直接使用這個(gè)站點(diǎn)進(jìn)行網(wǎng)站的開發(fā)����。這是一個(gè)非常不理智的做法,可能會(huì)帶來很大的安全隱患����。因?yàn)楹芏喙舳际轻槍?duì)默認(rèn)的Web站點(diǎn)所展開的。
如在默認(rèn)的Web站點(diǎn)中��,有一個(gè)inetpub文件夾�����。有些攻擊者喜歡在這個(gè)文件夾中放置一些黑客工具���,如竊取密碼、Dos攻擊等等�。從而使得他們可以遠(yuǎn)程遙控這些工具,造成服務(wù)器的癱瘓。由于默認(rèn)的站點(diǎn)與文件夾的相關(guān)配置信息基本上是相同的��,這就方便了攻擊者對(duì)服務(wù)器進(jìn)行工具�����。連信息搜集這一個(gè)步驟都可以省了�����。一些通過IP地址與服務(wù)掃描的黑客工具���,其使用的就是默認(rèn)站點(diǎn)這個(gè)空子�。
防范措施:
其實(shí)這一個(gè)風(fēng)險(xiǎn)還是很容易避免的�。最簡單的方法就是在建立網(wǎng)站的時(shí)候,不要使用這個(gè)默認(rèn)的站點(diǎn)��。而且需要將這個(gè)站點(diǎn)禁用掉��。其實(shí)這個(gè)方法是一個(gè)最基本的安全措施����。如在路由器等網(wǎng)絡(luò)設(shè)備上,出于安全需要����,也要求管理員禁用掉默認(rèn)的用戶名�����。這是同樣的道理��。然后也不要使用原有的文件夾�����。用戶可以將真實(shí)的Web站點(diǎn)指向一個(gè)特定的位置�。如果要進(jìn)一步提高安全性的話���,還可以對(duì)這個(gè)文件夾設(shè)置NTFS權(quán)限等措施�?����?梢娨A(yù)防這個(gè)安全風(fēng)險(xiǎn)是輕而易舉的事情�����。但是現(xiàn)實(shí)中�����,可能用戶就是覺得其小����,而沒有引起足夠的重視。從而給攻擊者有機(jī)可乘���。
二�����、嚴(yán)格控制服務(wù)器的寫訪問權(quán)限
在一些內(nèi)容比較多����、結(jié)構(gòu)比較復(fù)雜的Web服務(wù)器��,往往多個(gè)用戶都對(duì)服務(wù)器具有寫入的權(quán)限�����。如sina網(wǎng)站����,有專門人員負(fù)責(zé)新聞板塊��,有專門人員負(fù)責(zé)博客����,有專門人員負(fù)責(zé)論壇等等���。由于有眾多的用戶對(duì)網(wǎng)站服務(wù)器具有寫入的權(quán)限��,就可能會(huì)帶來一定的安全隱患�����。如某個(gè)用戶的密碼泄露的話����,就會(huì)乘機(jī)對(duì)服務(wù)器進(jìn)行破壞����。其實(shí)雖然他們都具有對(duì)服務(wù)器的寫入權(quán)限,但是他們的分工是不同的�。每個(gè)人都有自己的領(lǐng)域。
再如一個(gè)大學(xué)校園的校園網(wǎng)�����,一個(gè)Web服務(wù)器實(shí)際上可能擁有多個(gè)網(wǎng)站,多個(gè)管理員����。如各個(gè)學(xué)院有自己的網(wǎng)站等等��。此時(shí)管理員都有對(duì)服務(wù)器修改的權(quán)限�。權(quán)限控制不嚴(yán)格的話,那么服務(wù)器上的文件夾就可能會(huì)處于非常危險(xiǎn)的境地�。
防范措施:
這個(gè)防范措施也比較簡單,其基本的原理就是給與用戶最小的權(quán)限���。如可以根據(jù)網(wǎng)站板塊的不同�,將相關(guān)的內(nèi)容放置到對(duì)應(yīng)的文件夾中�����。然后每個(gè)特定的用戶只能夠訪問自己負(fù)責(zé)內(nèi)容的文件夾����。如此的話,即使某個(gè)管理員用戶的密碼泄露了�,那么其影響的也只是一個(gè)文件夾。而不會(huì)對(duì)其他用戶的文件夾產(chǎn)生不利影響��。
其次就是最好不要講Web服務(wù)器同其他的應(yīng)用服務(wù)放置在一起。特別對(duì)于企業(yè)來說���,可能為了節(jié)省成本����,喜歡將Web服務(wù)器與文件服務(wù)器等部署在同一個(gè)服務(wù)器上��。這是一種非常危險(xiǎn)的方式�����。因?yàn)閷?duì)于文件服務(wù)器來說����,可能每個(gè)用戶都具有往服務(wù)器上寫入的權(quán)限。而這就會(huì)給木馬���、病毒等提供機(jī)會(huì)���。從而也會(huì)影響到Web服務(wù)器的安全。
總之管理員需要嚴(yán)格限制Web服務(wù)器的寫入權(quán)限�。在分配用戶權(quán)限的時(shí)候,如果要給用戶寫的權(quán)限,那么最好能夠結(jié)合NTFS權(quán)限管理�����,只提供用戶特定文件夾的寫入權(quán)限�����。其次就是最好將Web服務(wù)器同文件服務(wù)器等分開���,爭取只有少量的用戶具有對(duì)服務(wù)器寫入的權(quán)限。
三��、不定時(shí)的檢查服務(wù)器上的 bat與exe文件
大部分攻擊者都系統(tǒng)使用bat或者exe文件來進(jìn)行攻擊��。如有些攻擊者會(huì)利用操作系統(tǒng)的任務(wù)管理器�。讓系統(tǒng)每天或者每隔一段固定的時(shí)間調(diào)用某個(gè)程序。這些程序就是以bat或者exe結(jié)尾的��,或則是以reg文件結(jié)尾的����。這些文件具有非常大的破壞性。如黑客可以利用這些文件更改注冊(cè)表�、建立隱形帳戶、發(fā)送文件給黑客等等。
防范措施:
有時(shí)候即使管理員采用了病毒防火墻等措施�����,或者每天對(duì)服務(wù)器進(jìn)行殺毒����,也很難找到這些文件。此時(shí)管理員可以采用一個(gè)比較原始的方法���,就是通過擴(kuò)展名來搜索這些文件�����。然后查看是否有可疑的���。筆者的做法是,Web服務(wù)器部署完成之后�,先利用擴(kuò)展名exe、bat�、reg等作為查找條件,查找相關(guān)的文件�����。然后將文件名存放到一個(gè)表格中。以后每天或者每周再查找一次����,然后跟原有的表格進(jìn)行對(duì)比,看看是否增加了一些文件��。如果有增加的話��,那么這些增加的文件就可能是問題文件���。用戶可以使用記事本(注意千萬不能夠直接雙擊打開)這些文件,看看其代碼����。或者直接將這些文件刪除掉���,免除后患��。
四���、對(duì)于IIS目錄采用嚴(yán)格的訪問策略
IIS目錄是Web服務(wù)器中很重要的一個(gè)目錄。其相當(dāng)于人的大腦����,控制著Web服務(wù)器的運(yùn)行��。為此在規(guī)劃Web服務(wù)器安全的時(shí)候����,要對(duì)此進(jìn)行特別的關(guān)注����。不過在實(shí)際工作中,這個(gè)目錄卻沒有引起用戶的足夠高的關(guān)注�。他們有些甚至直接使用系統(tǒng)的默認(rèn)設(shè)置,也沒有進(jìn)行后續(xù)的追蹤���。這都有可能成為以后網(wǎng)站被黑��、服務(wù)器癱瘓的起因���。
防范措施:
對(duì)于IIS目錄的安全,筆者認(rèn)為至少需要做到兩點(diǎn)��。一是需要對(duì)IP地址�����、子網(wǎng)、域名等加以限制��。如根據(jù)追蹤發(fā)現(xiàn)某個(gè)不知名的IP地址經(jīng)常ping Web服務(wù)器�����,此時(shí)就需要及時(shí)的將這個(gè)IP地址拉入黑名單��,禁止其訪問IIS目錄�����。二是需要做好追蹤�、分析工作。管理員可以使用一些軟件來記錄用戶對(duì)IIS目錄的訪問����。如是否有用戶試圖越權(quán)訪問其沒有權(quán)限的目錄等等���。限制與事后追蹤�,對(duì)于IIS目錄的安全來說��,是兩把保護(hù)傘�����,一把都不能夠缺。
五���、做好服務(wù)器的升級(jí)工作
如果在服務(wù)器上只部署了一個(gè)Web服務(wù)��,那么筆者建議在第一時(shí)間對(duì)操作系統(tǒng)與IIS服務(wù)器進(jìn)行升級(jí)�。通過給系統(tǒng)與服務(wù)打補(bǔ)丁�,是提高Web服務(wù)器安全的最好方法之一。畢竟現(xiàn)在很多的黑客其攻擊都是停留在對(duì)現(xiàn)有漏洞的攻擊���。如果將這些已經(jīng)發(fā)現(xiàn)的漏洞補(bǔ)上��,那么遭受到攻擊的可能性就會(huì)小許多��。
不過在升級(jí)的過程中需要注意�。如果在Web服務(wù)器上還有第三方的服務(wù)或者非微軟的產(chǎn)品�,那么在升級(jí)之前需要先進(jìn)行測試。判斷操作系統(tǒng)與IIS服務(wù)最新的補(bǔ)丁是否跟現(xiàn)有的其他服務(wù)與產(chǎn)品相互沖突��。雖然這個(gè)沖突的幾率還是比較少的�����,但是這個(gè)測試的工作不可缺。
六��、禁用不需要的服務(wù)
IIS服務(wù)器部署完成之后���,其可能還會(huì)同時(shí)裝有其他的應(yīng)用服務(wù)�����。如FTP�����、SMTP等等�����。這些服務(wù)都帶有比較大的安全隱患���。如FTP本身就是被設(shè)計(jì)滿足簡單的讀寫訪問�����。如果你在Web服務(wù)器上采取了比較嚴(yán)格的安全措施���。但是在FTP服務(wù)上沒有�����。則攻擊者就可以先利用FTP服務(wù)器下載一些黑客的工具�����。然后再借助這些工具從內(nèi)部發(fā)起對(duì)Web服務(wù)器的攻擊���。此時(shí)攻擊成功率就會(huì)高許多����。
所以如果某些服務(wù)不需要的話����,需要在第一時(shí)間禁用它。寧可以后有需要的時(shí)候i���,再花時(shí)間打開���。每個(gè)服務(wù)都好像房間的門。如果將不需要的門堵死�,那么安全工作就會(huì)好做許多�����。因?yàn)樾枰P(guān)注的“門”的數(shù)量大大減少了�。
以上這六點(diǎn)雖然不怎么起眼��,但是確是大家在日常工作中經(jīng)常容易忽視的地方�。從小處著眼,能夠讓你的Web服務(wù)器在安全方面前進(jìn)一大步����。
