加固和應對攻擊入侵,IIS的安全策略
1. 緩沖區的溢出
簡單解釋一下,緩沖區溢出主要是因為提交的數據長度超出了的服務器的接受度,從而導致服務器檢查代碼出現錯誤。而溢出可以分為基于堆棧的溢出和基于堆的溢出。在IIS 6以前的版本,Web服務是運行在LocalSystem賬戶下,如果某個黑客利用緩沖區溢出的漏洞入侵后,就可以執行大部分的管理員命令了。
利用緩沖區溢出漏洞比較名的病毒是“Redcode”和“Nimda”。eEye Digital Security 公司在1996年發現了這類漏洞的代表作HTR緩沖區漏洞。eEye還發現,IIS的抵抗力十分脆弱。如果攻擊傳送到IIS,那么輸入值就是可以執行的系統命令。HTR文件的解釋程序是將一個以.htr結尾的超長文件在ism.dll中造成輸入緩沖區溢出。
說明:根據上文的說明我們知道一個漏洞的根源就是.htr文件和System32目錄下的ism.dll有關系,如果將ism.dll和.htr文件之間存在的關系切開,或者刪除ism.dll,問題就可以解決了。
2. Unicode
想知道什么是Unicode二次解碼漏洞?打開IE,選擇“查看→編碼→Unicode(UTF-8)”,在沒有Unicode之前,沒有一個編碼可以容納數百種的數字編碼。比如我們要在你的簡體中文版的Windows 系統上看一個繁體中文(BIG5)的網頁,就需要Unicode的支持。
如果非法用戶提交一些特殊的編碼,導致IIS錯誤地打開或者錯誤地執行某些Web根目錄以外的文件,將會出現未經授權的用戶可以利用 IUSR_machinename賬號訪問用戶目錄的任何文件的情況。同時,這個賬號在默認情況下屬于Everyone和Users 組,Windows 2000 Server默認的安全權限是“Everyone完全控制”,因此所有可以訪問的文件都可能被刪除、修改或執行。
說明:可以嘗試限制網絡用戶的訪問和調用CMD命令的權限;若沒必要使用s和Msadc目錄,可以將其重新命名或者刪除;在安裝Windows NT系統時盡量不使用默認的WINNT路徑。
3. FrontPage 服務器的擴展漏洞
安裝FrontPage服務器的網站,通常會在Web目錄下有若干個以字母“_vti”開頭的目錄,這些目錄就是黑客的快捷通道。我們可以從搜索引擎上搜索默認的Frontpage目錄,這時我們能從引擎上返回大量的信息。
說明:如果你不需要FrontPage 服務器的擴展服務,直接卸載了吧,默認安裝會為我們帶來很多的隱患。
IIS安全加固策略建議
網站源代碼不會完全一樣,程序員也不會為你提供一種類型的代碼,所以下面的加固列表操作只供參考,在加固之前可以和程序的提供商取得聯系,雙方確認后,才可以修改本文中涉及到服務器擴展內容。
1. 調整IIS日志
想確定服務器是否被攻擊,日志的記錄是極其重要的。默認的日志不會為我們搜索黑客記錄提供很大的幫助,所以我們必須擴展 W3C日志記錄格式,步驟如下:
★右鍵單擊所述站點,然后從上菜單中選擇啟用“屬性→Web 站點→啟用日志記錄”復選框。
★更改日志的默認路徑,黑客成功入侵一個系統后,還會清除日志,如果啟用默認路徑,我們將無法保護日志。不過,現在比較流行的日志清除工具,大多以命令行方式刪除默認的W3C日志記錄,所以可以將默認路徑改寫,達到簡單保護的功能。
★從“活動日志格式”下拉列表中選擇“W3C 擴展日志文件格式”。單擊“屬性→擴展屬性”選項卡,然后添加以下信息的記錄:客戶IP 地址、用戶名、方法、URI 資源、HTTP 狀態、Win32 狀態、用戶代理、服務器 IP 地址、服務器端口。
日志記錄是我們被入侵后唯一可以找到漏洞的地方。就比如有些人鐘愛的“動網上傳文件”漏洞,如果你能在日志當中發現“HTTP GET 200(文件上傳成功)”,沒什么可以辯解的,肯定是沒有升級補丁或者開放了上傳權限。
2. 刪除IIS的默認示例
Windows 2000和Windows Server 2003在安裝時都會保留默認示例,它們不會為服務器帶來威脅。為了優化系統的功能,可以選擇刪除它們,屆時需要關閉IIS服務。
3. 刪除不必要擴展映射
IIS 5被預先配置為支持如.asp這樣的動態程序文件,當IIS 接收到這些類型的文件請求時,該調用由 DLL 處理,可以避免接收本文中提到的可能造成緩沖區溢出的文件類型。
選擇“WWW服務→編輯→主目錄→應用程序配置”,參照下表有針對性的選擇刪除對象:
IIS 6 的全新奉獻
我們常在網上看到關于Windows Server 2003 已經非常安全的報道,但是我們的管理員不是每天做個補丁更新的工作嗎?其實,Windows Server 2003中給我帶來最直接的感覺就是IIS 6的安全性,直到現在為止我也沒有發現IIS 6中有什么重大的漏洞。
工作進程隔離(Worker Process Isolation)以及URL的授權訪問,我在以前版本里面根本就沒有奢念。不僅如此,最主要的改進就是IIS本身的“默認可用性”和“默認鎖定擴展服務” 。
注意,當把服務器升級到Windows Server 2003的時候,如果你沒有運行IISLockdown工具,服務器是會禁止我們提供Web服務。
關鍵字:服務器、IIS、Web、網絡、漏洞、緩沖區、黑客
新文章:
- CentOS7下圖形配置網絡的方法
- CentOS 7如何添加刪除用戶
- 如何解決centos7雙系統后丟失windows啟動項
- CentOS單網卡如何批量添加不同IP段
- CentOS下iconv命令的介紹
- Centos7 SSH密鑰登陸及密碼密鑰雙重驗證詳解
- CentOS 7.1添加刪除用戶的方法
- CentOS查找/掃描局域網打印機IP講解
- CentOS7使用hostapd實現無AP模式的詳解
- su命令不能切換root的解決方法
- 解決VMware下CentOS7網絡重啟出錯
- 解決Centos7雙系統后丟失windows啟動項
- CentOS下如何避免文件覆蓋
- CentOS7和CentOS6系統有什么不同呢
- Centos 6.6默認iptable規則詳解