很久以前,当偶还是个小P孩的时候,也经常不定期的玩玩肉鸡,当然米有给人造成多大的损失,而且也是一个小菜鸟,杀伤力是极其有限的,玩的很多的东西就是提权,先得到一个shell,ASP的,哈哈,这也是偶的一个情结,一直觉得ASP的不安全性,所以搞了PHP~其中的serv-U提权是极其流行的一部分。呵呵!
有时候,你不得不抱怨这个世界的疯狂,现在,偶竟然要来设置服务器安全,以防止黑客同志的破坏(或者说给他们的行为设置一些障碍吧),首先得搞定这个该死的serv-U,本来打算用MS自带的FTP的,可这个serv-U太TMD的好用了,没法子啊,要不然出了这么“大”的漏洞,使用其作为服务器的仍然不见减少呢!OK,废话就这么多,总结起来,其安全设定有下面几条:
1、安装(选择一个非常特别的文件夹)
图1:修改默认安装的目录
图2:安装结束后这里点cancel取消设置帐号(后面咱手工设)
然后点选Start automatically(system service)前面的选项,接着点下边的Start Server按钮把SERV-U加入系统服务,这样就可以随系统启动了,不用每次都手工启动。(见图3)
图3:把SERV-U加入服务
接下来就会出现如图4的界面。通过点击Set/Change Password设置一个密码。
图4:点击Set/Change Password设置密码
然后会出现如图7的界面。因为是第一次使用,所以是没有密码的,也就是说原来的密码为空。不用在old password里输入字符,直接在下面的New password和Repeat new password里输入同样的密码再点OK就可以了。这里建议设置一个足够复杂的密码,以防止别人暴力破解。自己记不得也没有关系,只要把ServUDaemon.ini里的LocalSetupPassword=这一行清除并保存,再次运行ServUAdmin.exe就不会提示你输入密码登录了。
图5:设置和更改密码界面 
有时候,你不得不抱怨这个世界的疯狂,现在,偶竟然要来设置服务器安全,以防止黑客同志的破坏(或者说给他们的行为设置一些障碍吧),首先得搞定这个该死的serv-U,本来打算用MS自带的FTP的,可这个serv-U太TMD的好用了,没法子啊,要不然出了这么“大”的漏洞,使用其作为服务器的仍然不见减少呢!OK,废话就这么多,总结起来,其安全设定有下面几条:
- 安装目录,不要使用默认(删除桌面等地方的快捷方式),而应该用一个“奇怪”的目录名
- 要注册为服务,(不然不好用的嘛~!)
- 要修改serv-U管理员密码
- serv-U的服务默认以SYSTEM权限执行的,改成一个特定的用户
- 用UE打开ServUDaemon.exe和ServUAdmin.exe,修改localadministrator为其他的等长字串。
- 修改相应的权限,以适应serv-U服务的正常运行。
1、安装(选择一个非常特别的文件夹)
图1:修改默认安装的目录
图2:安装结束后这里点cancel取消设置帐号(后面咱手工设)
然后点选Start automatically(system service)前面的选项,接着点下边的Start Server按钮把SERV-U加入系统服务,这样就可以随系统启动了,不用每次都手工启动。(见图3)
图3:把SERV-U加入服务
图4:点击Set/Change Password设置密码
然后会出现如图7的界面。因为是第一次使用,所以是没有密码的,也就是说原来的密码为空。不用在old password里输入字符,直接在下面的New password和Repeat new password里输入同样的密码再点OK就可以了。这里建议设置一个足够复杂的密码,以防止别人暴力破解。自己记不得也没有关系,只要把ServUDaemon.ini里的LocalSetupPassword=这一行清除并保存,再次运行ServUAdmin.exe就不会提示你输入密码登录了。
图5:设置和更改密码界面
下面就到了该对SERV-U进行安全设置的时候了。首先建立一个WINDOWS账号SSERVU,密码也需要足够的复杂。密码要记住,如果记不住就暂时保存在一个文件里,一会儿还要用到。(见图6)
图6:建立一个WINDOWS账号
建好账号以后,双击建好的用户编辑用户属性,从“隶属于”里删除USERS组。
图7:从隶属于里删除USERS组
从“终端服务配置文件”选项里取消“允许登录到终端服务器(W)”(windows2003下面是勾选“拒绝这个用户登录到任何终端服务器”)的选择,然后点击确定继续我们的设置。(见图8)
图8:取消“允许登录到终端服务器”
这里我们已经建好了账号,该设置服务里的账号了。现在就要用到刚才建立的这个账号,密码还没有忘记吧,马上就要用到了。
在开始菜单的管理工具里找到“服务”点击打开。在“Serv-U FTP Server服务”上点右键,选择属性继续。
然后点击“登录”进入登录账号选择界面。选择刚才建立的系统账号名,并在下面重复输入2次该账号的密码(就是刚才让你记住的那个),然后点“应用”,再次点确定,完成服务的设置。(见图9)
图9:更改启动和登录SRV-U的账号密码
接下来要先使用FTP管理工具建立一个域,再建立一个账号,建好后选择保存在注册表。(见图10)
图10:FTP用户密码保存到注册表里
图6:建立一个WINDOWS账号
建好账号以后,双击建好的用户编辑用户属性,从“隶属于”里删除USERS组。
图7:从隶属于里删除USERS组
从“终端服务配置文件”选项里取消“允许登录到终端服务器(W)”(windows2003下面是勾选“拒绝这个用户登录到任何终端服务器”)的选择,然后点击确定继续我们的设置。(见图8)
图8:取消“允许登录到终端服务器”
这里我们已经建好了账号,该设置服务里的账号了。现在就要用到刚才建立的这个账号,密码还没有忘记吧,马上就要用到了。
在开始菜单的管理工具里找到“服务”点击打开。在“Serv-U FTP Server服务”上点右键,选择属性继续。
然后点击“登录”进入登录账号选择界面。选择刚才建立的系统账号名,并在下面重复输入2次该账号的密码(就是刚才让你记住的那个),然后点“应用”,再次点确定,完成服务的设置。(见图9)
图9:更改启动和登录SRV-U的账号密码
接下来要先使用FTP管理工具建立一个域,再建立一个账号,建好后选择保存在注册表。(见图10)
图10:FTP用户密码保存到注册表里
打开注册表来测试相应的权限,否则SERV-U是没办法启动的。在开始->运行里输入regedt32点“确定”继续。
找到[HKEY_LOCAL_MACHINE\SOFTWARE\Cat Soft]分支。在上面点右键,选择权限,然后点高级,取消允许父项的继承权限传播到该对象和所有子对象,包括那些在此明确定义的项目,点击“应用”继续,接着删除所有的账号。再次点击“确定”按钮继续。这时会弹出对话框显示“您拒绝了所有用户访问Cat Soft。没有人能访问 Cat Soft,而且只有所有者才能更改权限。您要继续吗?”,点击“是”继续。接着点击添加按钮增加我们建立的SSERVU账号到该子键的权限列表里,并给予完全控制权限。到这里注册表已经设置完了。但还不能重新启动SERV-U,因为安装目录还没设置。
现在就来设置一下,只保留你的管理账号和SSERVU账号,并给予除了完全控制外的所有权限。(见图11)
图11:SERV-U安装目录权限设置
现在,在服务里重启Serv-U FTP Server服务就可以正常启动了。当然,到这里还没有完全设置完,你的FTP用户因为没有权限还是登录不了的,所以还要设置一下目录的权限。
假设你有一个WEB目录,路径是d:\web。那么在这个目录的“安全设定”里除了管理员和IIS用户都删除掉,再加入SSERVU账号,切记SYSTEM账号也删除掉。为什么要这样设置呢?因为现在已经是用SSERVU账号启动的SERV-U,而不是用SYSTEM权限启动的了,所以访问目录不再是用SYSTEM而是用SSERVU,此时SYSTEM已经没有用了,这样就算真的溢出也不可能得到SYSTEM权限。另外,WEB目录所在盘的根目录还要设置允许SSERV-U账号的浏览和读取权限,并确认在高级里设置只有该文件夹。(见图12)
图12:WEB目录所在盘的权限设置
至此,设置全部结束。现在的SERV-U设置是配合IIS设置的,因为和IIS使用不同的账号,WEB用户就不可能访问SERV-U的目录,并且WEB目录没有给予SYSTEM权限,所以SYSTEM账号也同样访问不了WEB目录,也就是说,即使使用MSSQL得到备份的权限也不能备份SHELL到你的WEB目录。你可以安全的使用SERV-U了.
找到[HKEY_LOCAL_MACHINE\SOFTWARE\Cat Soft]分支。在上面点右键,选择权限,然后点高级,取消允许父项的继承权限传播到该对象和所有子对象,包括那些在此明确定义的项目,点击“应用”继续,接着删除所有的账号。再次点击“确定”按钮继续。这时会弹出对话框显示“您拒绝了所有用户访问Cat Soft。没有人能访问 Cat Soft,而且只有所有者才能更改权限。您要继续吗?”,点击“是”继续。接着点击添加按钮增加我们建立的SSERVU账号到该子键的权限列表里,并给予完全控制权限。到这里注册表已经设置完了。但还不能重新启动SERV-U,因为安装目录还没设置。
现在就来设置一下,只保留你的管理账号和SSERVU账号,并给予除了完全控制外的所有权限。(见图11)
图11:SERV-U安装目录权限设置
现在,在服务里重启Serv-U FTP Server服务就可以正常启动了。当然,到这里还没有完全设置完,你的FTP用户因为没有权限还是登录不了的,所以还要设置一下目录的权限。
假设你有一个WEB目录,路径是d:\web。那么在这个目录的“安全设定”里除了管理员和IIS用户都删除掉,再加入SSERVU账号,切记SYSTEM账号也删除掉。为什么要这样设置呢?因为现在已经是用SSERVU账号启动的SERV-U,而不是用SYSTEM权限启动的了,所以访问目录不再是用SYSTEM而是用SSERVU,此时SYSTEM已经没有用了,这样就算真的溢出也不可能得到SYSTEM权限。另外,WEB目录所在盘的根目录还要设置允许SSERV-U账号的浏览和读取权限,并确认在高级里设置只有该文件夹。(见图12)
图12:WEB目录所在盘的权限设置
至此,设置全部结束。现在的SERV-U设置是配合IIS设置的,因为和IIS使用不同的账号,WEB用户就不可能访问SERV-U的目录,并且WEB目录没有给予SYSTEM权限,所以SYSTEM账号也同样访问不了WEB目录,也就是说,即使使用MSSQL得到备份的权限也不能备份SHELL到你的WEB目录。你可以安全的使用SERV-U了.
相关日志
服务器遭遇arp病毒攻击
服务器遭遇arp病毒攻击
12/01/2007 11:58, 
一段功能齐全的PHP常用重定向代码html+js+header
自己的利益要靠自己去争取
