服务器有效设置防止web入侵图文方法_win服务器

所以配合服务器来设置防止webshell是有效的方法。
一、防止数据库被非法下载
应当说，有一点网络安全的管理员，都会把从网上下载的网站程序的默认数据库路径进行更改。当然也有一部分管理员非常粗心，拿到程序直接在自己的服务器上进行安装，甚至连说明文件都不进行删除，更不要说更改数据库路径了。这样黑客就可以通过直接从源码站点下载网站源程序，然后在本地测试找到默认的数据库，再通过下载数据库读取里面的用户信息和资料(一般是经过MD5加密的)找到管理入口进行登陆获得webshell。还有一种情况是由于程序出错暴出了网站数据库的路径，那么怎么防止这种情况的发生呢?我们可以添加mdb的扩展映射。如下图所示：

打开IIS添加一个MDB的映射，èmdb解析成其他下载不了的文件：“IIS属性”—“主ç›å½•â€â€”“配ç½â€â€”“映射”—“应用程序æ‰å±•â€é‡Œé¢æ·»åŠ .mdb文件应用解析，至于用于解析åƒçš„文件大å¶å¯ä»¥è‡ªå·±è¿›è¡Œé€‰æ‹ï¼Œåªè¦è¿é—æ•°æåº“文件出现无法è¿é—就可以了。
这样做的好处是：1只是要是mdb后缀格式的数æåº“文件就肯åšä¸‹è½½ä¸äº†ï¼›2对服务器上所有的mdb文件都起作用，对于虚拟主机ç¡ç†å‘˜å¾ˆæœ‰ç”¨å¤„。
二、防止上传
针对以上的配ç½å¦‚果使用的是MSSQL的数æåº“，只要存在注入点，依然可以通过使用注入工具进行数æåº“的猜解。倘若上传文件根本没有身份验证的话，我们可以直接上传一个asp的木é¬å°±å¾—到了服务器的webshell。
对付上传，我们可以总结为：可以上传的ç›å½•ä¸ç»™æ‰§è¡Œæƒé™ï¼Œå¯ä»¥æ‰§è¡Œçš„ç›å½•ä¸ç»™ä¸Šä¼ æƒé™ã€‚Web程序是通过IIS用户运行的，我们只要给IIS用户一个特åšçš„上传ç›å½•æœ‰å†™å…¥æƒé™ï¼Œç„¶åŽåˆæŠŠè¿™ä¸ªç›å½•çš„脚本执行权限去掉，就可以防止入侵者通过上传获得webshell了。配ç½æ–¹æ³•ï¼šé¦–先在IIS的webç›å½•ä¸­ï¼Œæ‰“开权限选项卡、只给IIS用户读取和列出ç›å½•æƒé™ï¼Œç„¶åŽè¿›å…¥ä¸Šä¼ æ–‡ä»¶ä¿å­˜å’Œå­˜æ”¾æ•°æåº“çš„ç›å½•ï¼Œç»™IIS用户加上写入权限，最后在这两个ç›å½•çš„“属性”—“执行权限”选项把“纯脚本”改为“无”即可。见下图


最后提醒一点，在你è¾ç½ä»¥ä¸Šæƒé™çš„时候，一åšè¦æ³¨æ„åˆ°è¾ç½å¥½çˆ¶ç›å½•çš„继承。避免所做的è¾ç½ç™½è´¹ã€‚
三、MSSQL注入
对于MSSQL数æåº“的防御，我们说，首先要从数æåº“连接帐户开始。数æåº“不要用SA帐户。使用SA帐户连接数æåº“对服务器来说就是一场灾难。一般来说可以使用DB_OWNER权限帐户连接数æåº“，如果可以正常运行，使用public用户最å‰å…¨çš„。è¾ç½æˆdbo权限连接数æåº“之后，入侵者基本就只能通过猜解用户名和密码或者是å·å¼‚备份来获得webshell了，对于前者，我们可以通过加密和ä¿æ”¹ç¡ç†åŽå°çš„默è¤ç™»é™†åœ°å€æ¥é˜²å¾¡ã€‚对于å·å¼‚备份，我们知道åƒçš„条件是有备份的权限，并且要知道web的ç›å½•ã€‚寻找webç›å½•æˆ‘们说通常是通过遍历ç›å½•è¿›è¡Œå¯»æ‰¾æˆ–者直接读取注册表来åžçŽ°ã€‚无路这两个方法的哪一种，都用到了xp_regread和xp_dirtree两个æ‰å±•å­˜å‚¨è¿‡ç¨‹ï¼Œæˆ‘们只需要删除这两个æ‰å±•å­˜å‚¨å°±å¯ä»¥äº†ï¼Œå½“然也可以把对应的dll文件也一起删除。

但是如果是由于程序出错自己暴出了webç›å½•ï¼Œå°±æ²¡æœ‰åŠžæ³•äº†ã€‚所以我们还要è帐户的权限更低，无法åŒæˆå¤‡ä»½æ“ä½œã€‚具体操作如下：在这个帐户的属性—数æåº“è¿é—选项里只需要对选中对应的数æåº“并赋予其DBO权限，对于其他数æåº“不要操作。接着还要到该数æåº“—属性—权限把该用户的备份和备份日志的权限去掉，这样入侵者就不能通过å·å¼‚备份获得webshell了。