現(xiàn)在我們打開“開始菜單”→“程序”→“管理工具”→“Internet 信息服務(wù)(IIS)管理器”，彈出一個(gè)IIS管理器窗口，在里面找到“FTP站點(diǎn)” →“默認(rèn) FTP 站點(diǎn)”，并在“默認(rèn) FTP 站點(diǎn)”里點(diǎn)擊鼠標(biāo)右鍵，選擇“屬性”選擇，出現(xiàn)一個(gè)“默認(rèn) FTP 站點(diǎn)屬性”對(duì)話框，選擇“主目錄”標(biāo)簽，把原來默認(rèn)的地址改為我們剛才建立的文件夾D:\cnhack 的路徑，下面會(huì)有三個(gè)選項(xiàng)，分別是、“讀取、寫入、記錄訪問”，你可以根據(jù)需要勾選，如果中介提供給別人下載的FTP空間，則不要勾選寫入選項(xiàng)，如果需要提供給別人上傳及更改FTP空間內(nèi)容的，則需要勾選寫入選項(xiàng)。本例中，我們是讓朋友可以把數(shù)據(jù)上傳到FTP空間的，所以我們勾選了“寫入”選項(xiàng)，如下圖（圖20）所示：

（圖

下面我們?cè)賮砼渲檬褂弥付ǖ奈覀儎偛沤⒌馁~號(hào)cnhack 才能登陸現(xiàn)在這個(gè)FTP空間，我們現(xiàn)在點(diǎn)擊“安全帳戶”標(biāo)簽，再點(diǎn)擊“瀏覽”按鈕，根據(jù)提示選擇我們剛才建立的cnhack用戶名，然后點(diǎn)擊確定，這樣就指定了這個(gè)空間只有使用我們?cè)O(shè)置的 cnhack 用戶賬號(hào)才能登陸，記住不要勾選下面的“只允許匿名連接”選項(xiàng)，因?yàn)檫@樣將會(huì)帶來安全問題，如下圖（圖21）所示：

（圖

現(xiàn)在我們?cè)賮碇付ㄔ?/span>FTP站點(diǎn)的IP地址，我們只要點(diǎn)擊“FTP站點(diǎn)”標(biāo)簽，然后在“IP地址（I）”的右欄輸入框里輸入我們本機(jī)的IP地址即可。還有可以在“TCP/IP端口（T）”的右輸入框里修改當(dāng)前FTP站點(diǎn)的TCP/IP端口號(hào)，默認(rèn)情況下是使用21端口的。如下圖（圖22）所示：

（圖

這樣一個(gè)安全的FTP站點(diǎn)就建立成功了。使用IIS6建立的FTP服務(wù)器可以使用IE及FTP客戶端軟件登陸FTP空間。而且功能強(qiáng)大。

　　10、IIS6下防范WebShell安全配置：

前幾節(jié)中，我們已經(jīng)介紹過了如何在IIS6下配置CGI、PHP，在Win2003系統(tǒng)下，ASP和ASPX都是系統(tǒng)組件，都可以在“開始菜單” →“控制面版”→“添加刪除程序”里安裝及刪除的。關(guān)于安裝及配置上述組件的方法在這里不再詳述。

　?。?/span>1）配置一個(gè)簡(jiǎn)單的WWW虛擬主機(jī)：

現(xiàn)在我們舉例如何組建一個(gè)WWW的虛擬主機(jī)網(wǎng)站，我們現(xiàn)在打開“Internet 信息服務(wù)(IIS)管理器”，在左欄窗口中雙擊“網(wǎng)站”會(huì)展開一個(gè)關(guān)聯(lián)菜單，找到“默認(rèn)網(wǎng)站”點(diǎn)擊右鍵出現(xiàn)一個(gè)菜單，選擇菜單里的“屬性”選項(xiàng)，彈出一個(gè)“默認(rèn)網(wǎng)站屬性”窗口，現(xiàn)在我們選擇“網(wǎng)站”標(biāo)簽，在“IP地址（I）”的右欄里輸入你機(jī)器的IP地址，本例中，我們的IP地址輸入為 192.168.0.8 ，這個(gè)IP地址就是我本機(jī)的IP地址，在“TCP端口（T）”里我們可以看到默認(rèn)的瀏覽窗口是80，在這里我們可以更改瀏覽網(wǎng)站的端口號(hào)，點(diǎn)擊右欄的“高級(jí)（D）”按鈕，我們可以在里面添加或刪除我們網(wǎng)站的瀏覽域名，當(dāng)然這個(gè)域名是你在Internet上申請(qǐng)來的，并把域名的A記錄指向到了你的本機(jī)IP，以后我們就可以使用域名記錄來訪問你的網(wǎng)站了。

現(xiàn)在我們來配置這個(gè)虛擬主機(jī)的WWW訪問目錄，我們點(diǎn)擊“主目錄”標(biāo)簽，在“本地路徑（C）”的右欄里輸入你這個(gè)虛擬主機(jī)在WWW所要瀏覽的目錄，在本例中，我們輸入D:\cnhack ，這樣明人就能在WWW上通過 http 協(xié)議訪問我們服務(wù)器里的 D:\cnhack 目錄里的資源了。在“本地路徑（C）”的下方有多個(gè)可勾選的選項(xiàng)，一般我們保留默認(rèn)的就行了，千萬不要勾選“寫入”項(xiàng)，因?yàn)檫@樣將會(huì)導(dǎo)致服務(wù)器的安全問題，一般我們只使用默認(rèn)的“讀取（R）、記錄訪問（V）、索引資源（I）”就已經(jīng)足夠了。如下圖（圖23）所示：

（圖

我們還可以在“文檔”標(biāo)簽里添加虛擬主機(jī)默認(rèn)的首頁文件名等，這樣一個(gè)簡(jiǎn)單的虛擬主機(jī)服務(wù)就配置完成了。如果你已經(jīng)按上幾節(jié)所寫的配置過成，那么現(xiàn)在你的這個(gè)虛擬主機(jī)將會(huì)是已經(jīng)支持ASP、ASPX、CGI、PHP、FSO、JMAIL、MySql、SMTP、POP3、FTP、3389終端服務(wù)、遠(yuǎn)程桌面Web連接管理服務(wù)等功能強(qiáng)大的服務(wù)器了。

（2）、安全使用FSO主機(jī)：

其實(shí)按我們上一節(jié)所說的配置一個(gè)簡(jiǎn)單的虛擬主機(jī)，這樣的主機(jī)是存在各種WEBSHELL的威脅的，假如你給朋友開了個(gè)虛擬主機(jī)空間，那么這個(gè)虛擬主機(jī)存在的最大安全隱患將會(huì)是FSO權(quán)限問題，其實(shí)FSO的安全隱患在Win2K系統(tǒng)里已經(jīng)是令網(wǎng)管頭疼的事了，但在Win2003中這個(gè)FSO的安全隱患卻依然沒有解決，在沒有經(jīng)過安全配置的虛擬主機(jī)下，只要黑客給虛擬主機(jī)空間上傳一個(gè)ASP木馬，黑客就能利用FSO權(quán)限瀏覽服務(wù)器里的所有文件，并能復(fù)制、刪除服務(wù)器里的所有文件，甚至能利用ASP木馬取得服務(wù)器的管理權(quán)，可見FSO安全配置的重要性。

下面我們舉例，如果黑客通過某些手段在你的虛擬主機(jī)空間上傳了一個(gè)ASP木馬，那么就等于黑客已經(jīng)擁有了一個(gè)WEBSHELL，黑客可以通過這個(gè)WEBSHELL控制整臺(tái)服務(wù)器里的數(shù)據(jù)，本例中我們介紹的是黑客們都熟悉的海陽頂端asp木馬，這種WEBSHELL能通過網(wǎng)頁在線更改、編輯、刪除、移動(dòng)、上傳、下載服務(wù)器上的任意文件，只要黑客給你的服務(wù)器傳上這個(gè)ASP木馬，你的服務(wù)器上的所有文件就會(huì)控制在黑客的手上，黑客能在你的服務(wù)器干什么？就是上面提及到的。更改、刪除、移動(dòng)……如下圖（圖24）所示：

（圖

看到這個(gè)圖，你也能想像到你的服務(wù)器到最后會(huì)變得怎么樣了，你服務(wù)器上的資料將沒有隱私可言了，想黑你服務(wù)器上的主頁或是刪除你服務(wù)器上的文件都是點(diǎn)幾下鼠標(biāo)就能辦到的了。這種ASP木馬網(wǎng)絡(luò)上各黑客網(wǎng)站均有下載，源代碼就不便寫出來了。各黑客網(wǎng)站上還有其它版本的ASP木馬下載，但基本上都是調(diào)用FSO（Scripting.FileSystemObject）寫的。

其實(shí)你如果要防范這種攻擊，你只要把ASP中的FSO（Scripting.FileSystemObject）功能刪除就行了，刪除FSO權(quán)限方法就是在CMD的命令提示符下輸入以下命令：

Regsvr32 /u c:\windows\system32\scrrun.dll

注意：在實(shí)際操作的時(shí)候要更改成為你本地系統(tǒng)安裝目錄的實(shí)際路徑，但是使用這種方法刪除也太絕了一點(diǎn)，如果以后我們想使用FSO權(quán)限，那就用不了啦。所以建議不要使用這種方法刪除FSO權(quán)限，

顯而易見，如果這樣做，那么包括站點(diǎn)系統(tǒng)管理員在內(nèi)的任何人都將不可以使用FileSystemObject對(duì)象了，這其實(shí)并不是站點(diǎn)管理人員想要得到的結(jié)果，畢竟我們使用這個(gè)對(duì)象可以實(shí)現(xiàn)方便的在線站臺(tái)管理，如果連系統(tǒng)管理員都沒法使用了，那可就得不償失了，但是不禁止這個(gè)危險(xiǎn)的對(duì)象又會(huì)給自己的站點(diǎn)帶來安全漏洞。那么有沒有兩全其美的方法呢？有！具體方法如下：

我們可以做到禁止其他人非法使用FileSystemObject對(duì)象,但是我們自己仍然可以使用這個(gè)對(duì)象。

方法如下：

查找注冊(cè)表中

HKEY_CLASSES_ROOT\Scripting.FileSystemObject 鍵值

將其更改成為你想要的字符串(右鍵-->"重命名"),比如更改成為

HKEY_CLASSES_ROOT\Scripting.FileSystemObject2

這樣,在ASP就必須這樣引用這個(gè)對(duì)象了:

Set fso = CreateObject("Scripting.FileSystemObjectnetpk")

而不能使用:

Set fso = CreateObject("Scripting.FileSystemObject")

如果你使用通常的方法來調(diào)用FileSystemObject對(duì)象就會(huì)無法使用了。

呵呵，只要你不告訴別人這個(gè)更改過的對(duì)象名稱，其他人是無法使用FileSystemObject對(duì)象的。這樣，作為站點(diǎn)管理者我們就杜絕了他人非法使用FileSystemObject對(duì)象，而我們自己仍然可以使用這個(gè)對(duì)象來方便的實(shí)現(xiàn)網(wǎng)站在線管理等等功能了！