Serv-U防溢出提權(quán)攻擊解決辦法
文章簡(jiǎn)介:本文將為大家介紹在如今Microsoft系列(Win2k Win2k3)SERVER中使用最為廣泛的FTP服務(wù)器之一、大名鼎鼎的Serv-U FTP服務(wù)器中如何簡(jiǎn)單地解決Overflow溢出、以及Hacker常用的Webhsell提升權(quán)限等類攻擊的隱患與缺陷;讀完本文,您將可以使您的 Serv-U服務(wù)器免去被溢出、被提升權(quán)限的安全威脅與危險(xiǎn)。
前言:
大家應(yīng)該都還沒有忘記三年前在Serv-U5.004版的之前所有版本的"Serv-U FTPMDTM命令緩沖區(qū)溢出"與"Serv-U FTP服務(wù)器LIST命令超長(zhǎng)-l參數(shù)遠(yuǎn)程緩沖區(qū)溢出漏洞"吧,這個(gè)漏洞讓很多服務(wù)器管理員立坐不安,也讓很多大型的站點(diǎn)、甚至電信級(jí)的服務(wù)器淪陷了...隨著Serv-U新版本的推出,這個(gè)漏同已經(jīng)不存在了;雖然溢出不存在了,但黑客永遠(yuǎn)也沒有停止,所以伴隨著來(lái)的又是Serv-U5.0到6.0之黑客常用的本地提升權(quán)限缺陷。(注:最常見的就如webshell+su提權(quán),我在Baidu輸入"Serv-U提權(quán)"關(guān)鍵詞,搜索結(jié)果“百度一下,找到相關(guān)網(wǎng)頁(yè)約34,000篇,用時(shí)0.001秒 ”)因此,解決Serv-U的安全問(wèn)題迫在眉睫。
Serv-U提權(quán)雖然嚴(yán)格來(lái)說(shuō)這個(gè)不應(yīng)該算是Serv-U的重大漏洞,但只要因管理員的配置不當(dāng)將會(huì)產(chǎn)生嚴(yán)重的后果;下面LeeBolin就來(lái)為大家介紹下如何安全配置 Serv-U,才能保證Serv-U甚至服務(wù)器的安全,跟我來(lái).“go,go,go...”(最近CS玩多了,嘻嘻 :P)
Serv-U防溢出提權(quán)攻擊解決辦法解決辦法正文:
一、大家知道Liunx系統(tǒng)和Unix系統(tǒng)比Windows安全的一個(gè)重要原因在于:Linux和Unix 的系統(tǒng)服務(wù)不使用root權(quán)限,而是使用權(quán)限比較低的另外一個(gè)單獨(dú)用戶,比如web服務(wù)使用了nobody這個(gè)用戶。而Serv-U默認(rèn)是以system 身份運(yùn)行的,而System這個(gè)系統(tǒng)內(nèi)置賬戶對(duì)本機(jī)有完全操作的權(quán)限;因此如果攻擊者利用Serv-U程序的漏洞而獲得了可執(zhí)行shell的那,那么他將可以隨意控制操作系統(tǒng)里任何一個(gè)目錄了
二、我們根據(jù)一的講解知道了為什么Serv-U提權(quán)與溢出攻擊可怕的原因了,那么我們?cè)撊绾畏乐惯@一類攻擊的發(fā)生呢?答案就是降底Serv-U的運(yùn)行權(quán)限與控制Serv-U的“Acls”可訪問(wèn)目錄...好,下面就一步一步跟我來(lái)吧!
三、Serv-U安全配置
1、首先請(qǐng)保持合用Serv-U的最新版本(目前新版為 6.4...)。然后在安裝Serv-U的時(shí)候盡量不要選擇默認(rèn)的安裝目錄,比如俺將Serv-U 安裝在D:\Pro_LeeBolin^_^\Serv-U#$2008$\...(因?yàn)檫@樣復(fù)雜的目錄名可防止Hacker的猜解)
2、然后將Serv-U取消MDTM命令的執(zhí)行,修改Serv-U FTP Banner并開啟好Serv-U的FTP日志保存到非系統(tǒng)盤,日志選擇記錄好Serv-U命名用了那些命令與DLL,并為Serv-U設(shè)置一個(gè)強(qiáng)壯的本地管理密碼(因提權(quán)多是因?yàn)镾erv-U的默認(rèn)管理員:LocalAdministrator,默認(rèn)密碼:#l@$ak#.lk;0@P所造成的,呵呵 $_$),你還可以選擇將Serv-U的FTP賬戶信息保存到注冊(cè)表,不要存在Serv-U目錄下的ini文中,這樣更加安全。
3、我們?cè)匍_啟"計(jì)算機(jī)管理"新建一個(gè)用戶Serv-UAdmin,設(shè)置好密碼。將用戶退出Users組,不加入任何組。并在用戶的“終端服務(wù)配置文件”選項(xiàng)里取消“允許登錄到終端服務(wù)器。并且禁止Serv-UAdmin用戶的本地登陸。進(jìn)入控制面板 -> 管理工具 -> 本地安全策略 -> 本地策略 -> 用戶權(quán)利指派 -> 拒絕本地登陸。(備注:這個(gè)用戶我們將它來(lái)作為俺們Serv-U的服務(wù)運(yùn)行賬號(hào),嘿嘿)[(AD^_^:游刃在技術(shù)鬼神邊緣,打造服務(wù)器安全神話!創(chuàng)世紀(jì)網(wǎng)絡(luò)技術(shù)前瞻,成就互聯(lián)網(wǎng)革命先驅(qū)!服務(wù)器安全討論區(qū)[S.S.D.A]) ]
4、開始運(yùn)行"Services.msc"打開win的服務(wù)管理器,找開Serv-U Ftp Server的Serv-U服務(wù);打開“登陸”對(duì)話框。當(dāng)前默認(rèn)的為“本地系統(tǒng)帳戶”。我們將其修改為我們?cè)?中新建的Serv-UAdmin用戶,并輸入密碼。
5、下面的工作就是設(shè)置Serv-U的運(yùn)行與FTP目錄的ACLs權(quán)限了:
①C:\Documents and Settings\Serv-UAdmin 目錄加入Serv-UAdmin的權(quán)限,允許讀取與寫入..
②D:\Pro_LeeBolin^_^\Serv-U#$2008$\ Serv-U的安裝目錄加入 Serv-UAdmin的權(quán)限,允許讀取與運(yùn)行。(如果選擇了賬戶保存在ini文件的話,這里就需要增加修改與刪除權(quán)限,因增刪FTP賬戶時(shí)需要?jiǎng)h改權(quán)才成,否則不能增刪FTP賬戶喲^_^)
③如果Serv-U賬戶選擇存在注冊(cè)表的話。運(yùn)行regedt32.exe,打開注冊(cè)表編輯器。找到 [HKEY_LOCAL_MACHINE\ SOFTWARE\Cat Soft]分支。在上面點(diǎn)右鍵,選擇權(quán)限,然后點(diǎn)高級(jí),取消允許父項(xiàng)的繼承權(quán)限傳播到該對(duì)象和所有子對(duì)象,刪除除admins外的所有的賬號(hào)。僅添加 Serv-UAdmin賬號(hào)到該子鍵的權(quán)限列表,并給予完全控制權(quán)限。(如果選擇了賬戶信息保存在ini文件中的話可略過(guò)此步。)
④現(xiàn)在就來(lái)設(shè)置WEB目錄的ACLs了,比如我的虛擬主機(jī)總目錄為E:\Leebolin$(%\ wwwroot;那么我們將此WEB目錄加入 Serv-UAdmin賬號(hào)的權(quán)限即可,這樣FTP就可以訪問(wèn)我們的WEB目錄進(jìn)行上傳下載了,呵.(由于Serv-U并沒有以system運(yùn)行,所以這里只存留admins與serv-uadmin的權(quán)限就OK了。)
⑥如果是asp/php/html腳本的話,WEB目錄只需要admins & serv-uadmin & IUSR_XX即可(這里的IUSR_XX是指站點(diǎn)的匿名單用戶賬號(hào)...關(guān)于站點(diǎn)的安全與asp.Net的安全請(qǐng)參考我以前的文章:《FSO安全隱患解決辦法》、《ASP木馬Webshell之安全防范解決辦法》、《ASP.NET木馬及Webshell安全解決方案》 、《服務(wù)器安全檢查十大要素》)
四、到目前為止,我們的Serv-U已經(jīng)簡(jiǎn)單的做到了防提權(quán),防溢出了。為什么呢?因?yàn)槟艹_h(yuǎn)程溢出 overflow的話,都是通過(guò)得一shell 而進(jìn)行進(jìn)一步的hacking,而我們現(xiàn)在的Serv-U不是以system運(yùn)行,所以即使執(zhí)行了overflow指命,也并不能得到什么...防提權(quán)就不用我解釋了:因?yàn)槲覀兊腟erv-Uadmin沒有任何系統(tǒng)級(jí)的ACLs訪問(wèn)權(quán)限..
五、今天的Serv-U防溢出提權(quán)攻擊解決辦法就為大家介紹到這里,您看到此處后,你會(huì)了嗎?
后記:其實(shí)服務(wù)器、系統(tǒng)的安全是個(gè)整體的概念;有可能你其它一小點(diǎn)的疏忽就可以讓你的網(wǎng)站、甚至服務(wù)器淪陷。因此安全策略必需走防患未然的道路,任何一個(gè)小地方都不能馬虎、今天關(guān)于防Serv-U的安全配置小技巧就為大家介紹到這里...其它方面的服務(wù)器安全配置經(jīng)驗(yàn)我們?cè)谙乱黄恼略僖姲?-) 注:由于本人才疏學(xué)淺,如文中有錯(cuò)誤實(shí)為在所難免,還請(qǐng)各位看官見諒!旨在拋磚引玉。
海騰數(shù)據(jù)中心(技術(shù)部整理)
2007-10-12
海騰公告海騰數(shù)據(jù)最新新聞公告
400-6717-361
Copyright© 2004-2020 河南海騰電子技術(shù)有限公司 版權(quán)所有 經(jīng)營(yíng)性ICP/ISP證 備案號(hào):B1-20180452 豫公網(wǎng)安備 41019702002018號(hào) 電子營(yíng)業(yè)執(zhí)照