windows服务器挂马分析与处理之三:IIS目录权限设置

接续上一篇。
10.常见CMS权限设置。设置原则,可写目录禁止脚本执行,这样即使有上传漏洞也无法运行。

一般来说,需要上传文件的或者有缓存的目录为可写(iusr可写即可)。其他目录只需可读。我们可以把站点保存的总文件夹,如WWW或者WEB,设置iusr、iis_users可读。这样里面的站点根目录继承权限即可,免得每一个站点设置很麻烦。注意iis_users也要可读。其余保留administrator和system权限即可。

站点总目录权限设置


设置好总目录,在来设置每个站点根目录权限,此时其应该继承父目录,iusr和iis_users只有可读权限。观察改站点的目录结构,找到上传文件或者有缓存的文件夹,asp站点还有数据库文件夹,设置可写。

设置data文件夹iusr可写

设置好可写后,在IIS中禁止该文件夹的脚本功能。点击iis中的站点,处理程序映射,如下图设置,设置好后,改目录中的asp、php文件访问将报错不支持脚本运行。

禁用目录脚本执行


由于不同cms的目录结构不同,有时难免设置后网站500错误。这是可以通过逐步增加权限来测试,直至能正常访问。
在此,我总结了一些常用CMS的目录权限设置:
a、织梦Dedecms目录权限
/ iusr、iis_iusrs 根目录可读
/data 有缓存,需要写入 iusr可写
/a 生成静态html,需要写入 iusr可写
/upload 上传图片,iusr可写
如需插件更新、在线模板编辑还需要开发相应文件夹可写。
设置好后,在iis中把这些文件夹禁用脚本。
b、Aspcms权限
/ iusr、iis_iusrs 根目录可读
/data 数据库,需要写入 iusr可写(另外需要启用父路径、启用32位才能操作access)
/upload 上传文件夹,iusr可写
设置好后,在iis中把这些文件夹禁用脚本。

c.微擎。此类系统一般需要站点根目录iusr具有列出文件内容权限,不然会报错。

/ iusr、iis_iusrs 根目录可读,iusr列出目录
/addon 微擎插件目录,需要iusr可写
/data 有缓存,需要iusr可写
设置好后,在iis中把这些文件夹禁用脚本。

d.H5场景秀(仿易企秀)
/ iusr、iis_iusrs 根目录可读,iusr列出目录
/application/runtime 运行时,需要iusr可写
/uploads 上传文件夹,需要iusr可写
设置好后,在iis中把这些文件夹禁用脚本。

e.pigcms、微橙。基于thinkphp。
同样,根目录可列出。Thinkphp主要设置conf里的cache、log、data可写,cms下还有个cache、session需要可写。

关于安全软件选择:
服务器安全狗,作用不大,只要改了远程端口,服务器用户名修改,防火墙端口设置好,则可不安装(主要是内存有限)。防护arp和tcp层的攻击还是比较有用,但此类攻击不多。
IIS/apache安全狗:对漏洞多的网站有作用,尤其是简单的注入,爆破等。可以偶尔扫描一下后门。
悬镜、云锁:云锁有APP,但这些不付费的话,安装意义也不到。悬镜没有用过。
关于云服务器商选择:
阿里云,国内第一不用说,自带很多防御。
百度云,好像对百度收入有好处。价格更实惠。
其他各种云,不清楚,自己尝试。

总结:目录权限越细致越安全,最好能写入的都不可执行脚本。文章完,有机会再分享渗透学习笔记。

版权声明:

作者: freeclashnode

链接: https://www.freeclashnode.com/news/article-1402.htm

来源: FreeClashNode

文章版权归作者所有,未经允许请勿转载。

免费节点实时更新

热门文章

最新文章

归档