IIS7 平台下的Asp 与Asp.Net 网站入侵防范方法的研究

2013-08-15 00:48牛晓晨
河南科技 2013年18期
关键词:注册表木马黑客

牛晓晨

(西安邮电大学 计算机学院,陕西 西安 710121)

IIS7 是Windows Server 2008 中的一个支持HTTP 发布服务的Web 服务器, 它是网站架设的基础平台。 ASP 是Active Server Page 的缩写,意为“动态服务器页面”,是一种基于IIS 平台的动态网站开发技术,而Asp.net 是Asp 的一个升级。它们都是微软公司的技术, 因此使用它们开发出来的网站数目众多。本文从权限设置的角度来谈一下如何防范黑客对这两类网站的入侵。

1 漏洞产生原因与入侵防范方法设计

为了充分利用资源,一台服务器上往往装有多个网站。 这些网站有的是管理员自己开发的,代码的安全性跟管理员的开发水平密切相关;有的是购买商业软件,安全性较好,补丁也更新的快;有的则是网上下载的破解免费版,网站代码的安全性较差,甚至有的里面直接被植入了后门。 由于站点源码来源的复杂和开发者水平的参差不齐,要从外部预防所有可能出现的源码漏洞是不可能的,只能从内部考虑:如果黑客渗透进来了,木马被植入了网站,要怎么做才能最大化降低其破坏力?

通过权限设置可以将影响降到最低。 操作系统权限指的是不同账户对文件、文件夹和注册表等的访问能力。 IIS7 默认的匿名账户是IUSR, 这是一个具有Users 组权限的内建帐号,默认情况下服务器上所有网站的启动用户身份均是IUSR。 因此当某一网站被入侵后,由于Users 组权限的作用,黑客实际上已取得了全部网站和硬盘文件的访问权。 因此通过对不同的网站设置不同的启动账户,并对相应文件和文件夹的读取和执行权限进行设置,可以阻止黑客的进一步破坏。

2 方法实现

2.1 新建账户与指定网站启动账户

每个网站对应新建一个启动账户, 因后期需要对这些账户统一进行权限设置操作,如对注册表访问权限设置,所以还需要新建用户组IIS_guests 将这些账号加进来。

在IIS 管理器中添加网站,在弹出的选项卡中点击传递身份验证下的“连接为”按钮,选择特定用户,点击设置按钮,输入建好的用户名和密码,点确定。 建站后系统为每一个站点自动建立一个应用程序池,应用程序池的运行身份为刚才指定的账户,每个应用程序池对应一个IIS 工作进程(w3wp.exe),有多少个网站在任务管理器里就会显示有多少个进程,进程用户名显示为应用程序池名。 对于Asp 站点,到此就完成了网站启动账户的指定。 对于Asp.net 站点还需要进行如下操作:

(1)若Asp.net 的开发非.Net4.0 框架,需将应用程序池的托管模式由默认的“集成”改为“经典”。 (2)将网站的IIS 设置项中的“身份认证”选项卡里的“ASP.NET 模拟”项设为启动。(3)给予启动账户对“C:WindowsMicrosoft.NETFrameworkv2.0.50727Temporary ASP.NET Files”目录的读写权限。

2.2 文件与文件夹权限设置

2.1 节新建账户都属于authenticated users,而authenticated users 属于Users 组,因此就算把新建用户从Users 组删除,其仍具有Users 组的权限。 为了阻止黑客入侵网站后对服务器文件的访问,我们要对磁盘文件和文件夹做如下权限设置:

(1) 删除所有盘符的根权限中的Users 组和everyone 权限。因为指定的网站启动用户均默认具备了Users 组的权限,不这样做,黑客渗透入某一网站后将会看的服务器上所以盘符下的文件。 (2)删除网站文件存放目录的Users 组权限,同时添加其启动账户的读权限。 这使得只有该网站的启动账户才能访问该网站的文件。 (3)对于access 数据库文件和可上传文件的文件夹添加启动账户的写权限。 (4)如果有ftp 上传要求,需新建ftp 管理账户,并添加该账户对网站根目录的读写权限。

2.3 限制脚本执行与注册表访问权限

基本上每个网站都有上传文件和图片的功能, 而黑客往往通过上传漏洞将木马传到服务器上。 由2.2 节的权限设置可知,除上传目录外,其它目录均不可写,黑客只能将木马写入到上传目录里,所以需要关闭此目录的脚步执行功能。 关闭方法如下:在IIS 管理器里,选中某一网站上传文件夹,双击其“处理程序映射”功能选项,接着选择右侧操作子栏里的“编辑功能权限”选项,将“脚本”选项去掉,这样上传目录里的脚本就无法运行了。

远程桌面是远程管理服务器的利器, 通过修改默认的3389 端口可防止其被黑客利用,但是木马脚本可通过读取注册表来获得真实的连接端口。 因此需要在注册表[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal Server]项的权限中设置IIS_guests 组权限为拒绝读取。

3 实验测试

将海阳顶端网asp 木马和WebAdmin 2.0 Asp.net 木马放入网站进行测试,结果如下:木马只能读取入侵网站所在目录中的文件,只能修改本站点的上传目录文件和access 数据库文件,植入上传目录中的木马无法运行,远程桌面的端口信息无法获取。

4 结论

本文分析了Asp 与Asp.Net 网站脚本漏洞产生原因,给出一种基于权限设置的入侵防范方法,并进行了讲解与测试。 实验表明该方法有效地保护了服务器资源不被窃取,阻止了黑客的进一步入侵。

[1]Microsoft.MSDN Library [EB/OL].2013.http://msdn.microsoft.com/library/

猜你喜欢
注册表木马黑客
欢乐英雄
多少个屁能把布克崩起来?
小木马
骑木马
网络黑客比核武器更可怕
小木马
旋转木马
更上一层楼 用好注册表编辑器
注册表的便捷用法
注册表编辑器也玩“失忆”