不容忽视的安全！虚拟主机也需要受到保护

很多用户认为虚拟主机不是很重要的程序，所以不会对系统造成损害。但如今的注入、上传或弱密码漏洞随处可见，虚拟主机也不例外，这也是一个薄弱环节，因此其安全性需要严格配置。

让我们以cert.ecjtu.jx.cn站点的建立为例来讨论虚拟主机的配置。

　　一、建立Windows用户

为每个网站设置一个windows用户帐户证书，删除该帐户的用户组，并将证书添加到来宾用户组。选择两个选项：用户不能更改密码，密码永远不会过期。

　　二、设置文件夹权限

1.为非站点相关目录设置权限

Windows安装后，默认情况下很多目录和文件都可以被大家浏览、查看、运行甚至修改。这给服务器安全带来很大隐患。在这里，根据我个人的经验，我想提一下入侵中常用的一些目录。

c:\；d:\；……

C:\perl

C: \温度\

C:\Mysql\

c:\php\

C:\autorun.inf

C: \文档和设置\

C: \文档和设置\所有用户\开始菜单\程序\

C: \文档和设置\所有用户\开始菜单\程序\启动

C: \文档和设置\所有用户\文档\

C: \文档和设置\所有用户\应用程序数据\赛门铁克\

C: \文档和设置\所有用户\应用程序数据\赛门铁克\pcAnywhere

c : \ WINNT \ system32 \配置\

c : \ winnt \ system32 \ inetsrv \ data \

c : \ WINDOWs \ system32 \ inet SRV \ data \

C: \程序文件

C: \程序文件\服务器

c:程序文件

c: \程序文件\上升\RAV

C: \程序文件\RealServer\

C: \程序文件\微软SQL服务器\

C: \程序文件\Java网站启动\

应该适当限制这些目录或文件的权限。例如，取消来宾用户的查看、修改和执行权限。因为篇幅关系，这里只简单提一下。

2、设置网站相关目录权限：

A.设置站点根目录的权限：将新建立的用户证书赋予相应的站点文件夹，假设d: \ cert设置了相应的权限：Adiministrators组完全控制；Cert拥有读取和运行、列出文件夹目录、读取和取消所有其他内容的权限。

b .设置可更新的文件权限：在步骤1中设置了站点根文件夹的权限后，Guest用户没有权限修改站点文件夹中的任何内容。对于有更新的网站来说，这显然是不够的。此时，有必要为要更新的单个文件设置权限。当然，这对虚拟主机提供商来说可能不方便。要在客户站点更新的文件内容可能不同。这时可以规定一个文件夹可以写可以改。例如，一些虚拟主机提供商规定网站根目录中的上传是web可上传文件夹，数据或数据库是数据库文件夹。通过这种方式，虚拟主机服务提供商可以为客户定制这两个文件夹的权限。当然，像一些好的虚拟主机提供商，我们也可以自己做一个程序给客户设置。如果你想这样做，服务提供商将不得不花费大量的金钱和人力。

　　三、特殊之处或需要注意的地方

1.主目录权限设置：可以在这里设置阅读。写作、目录浏览等。都是不必要的，最重要的是目录浏览。除非有特殊情况，否则应该关闭，否则会暴露很多重要信息。这会给黑客带来便利。默认情况下保留其余部分。

2.应用程序配置：在站点属性中，主目录中还有一个配置选项。点击进入。从应用程序映射选项中可以看出，默认情况下有许多应用程序映射。删除所有必要的保留和不必要的保留。在入侵过程中，很多程序可能会限制asp、php等文件的上传，但不会限制cer、asa等文件的上传。如果对应的应用映射没有删除，asp的后缀名称可以改为cer或asa再上传，木马就可以正常解析了。这一点经常被管理员忽略。另外增加了应用扩展映射，可执行文件可以任意选择，后缀名称为. mdb，这是为了防止后缀为mdb的用户数据库被下载。

3.目录安全设置：在站点属性中选择目录安全，单击匿名访问和身份验证控制，选择允许匿名访问，然后单击编辑。如下图所示。删除默认用户，浏览选择证书网站前一组对应的用户，输入密码。您可以选中允许IIS控制密码。此设置的目的是防止一些木马，如站长助理、ocean等跨目录、跨站点浏览，可以有效防止此类跨目录、跨站点入侵。

4.可写目录的执行权限设置：关闭所有可写目录的执行权限。由于程序的漏洞，上传一些网页木马非常流行，大部分都是通过网页上传的。由于可写目录木马无法上传，如果关闭可写目录的执行权限，上传的木马将无法正常运行。它可以有效地防止这种网络入侵。

5.处理操作错误：这里有两种方法。一是关闭错误回声。IIS属性-主目录-配置-应用程序调试-脚本错误消息，选择发送文本错误消息给客户。二是自定义错误页面。在IIS属性-自定义错误消息中，双击http错误消息中要自定义的错误页面，弹出错误映射属性设置框。消息类型有三种：默认值、URL、文件，可以根据情况自定义。一方面，它可以隐藏一些错误信息，另一方面，它可以使错误显示更加友好。

　　四、配置FTP

Ftp是大多数虚拟主机提供商的必要服务。用户站中的大部分文件都是通过ftp上传的。server是目前使用最多的ftp服务器。这里有几点需要说明。

1.必须更改管理员密码

如果入侵爱好者肯定熟悉Serv-U的权限。这些授权工具使用服务器-u的默认管理员帐户和密码运行。服务器-U管理员以超级管理员身份运行。如果不更改管理员密码，这些工具可以很好地使用。如果更改了密码，这些工具要正常工作就没那么简单了。你必须先破解管理员密码。

2.更改安装目录权限

Serv-U的默认安装目录，大家都可以浏览甚至修改。如果在安装时选择将用户信息存储在ini文件中，就可以获得ServUDaemon.ini中的所有用户信息，如果Guests有修改权限，黑客就可以成功建立拥有超级权限的用户。这不是一件好事。因此，安装server-U后，必须修改相应的文件夹权限，可以取消Guests用户的相应权限。

　　五、命令行相关操作处理

1.来宾用户被禁止执行com.exe:

我们可以通过以下命令取消客人表演com.exe的权利

cacls c : \ WINNT \ system3 \ Cmd . exe/e/d来宾.

2.禁用Wscript。外壳组件：

Wscript。Shell可以调用系统内核运行DOS基本命令。可以通过修改注册表来重命名该组件，以防止这种木马的危害。HKEY _ class _ root \ wscript . shell \和HKEY _ class _ root \ wscript . shell . 1 \被重命名为其他名称。您也可以通过更改HKEY _ class _ root \ wscript . shell \ clsid \ item和HKEY _ class _ root \ wscript . shell . 1 \ clsid \ item的值来更改两个clsid项的值，或者删除它们。

3.禁用外壳。应用程序组件

贝壳。应用程序还可以调用系统内核来运行DOS基本命令。可以通过修改注册表来重命名该组件，以防止这种木马的危害。HKEY _ class _ root \ shell . application \和HKEY _ class _ root \ shell . application . 1 \被重命名为其他名称。更改或删除HKEY类根应用程序项目的值。同时，禁止来宾用户使用shell32.dll来阻止调用此组件。使用命令：cacls c : \ winnt \ system32 \ shell32.dll/e/d来宾

4.文件系统对象组件

FileSystemObject可以对文件执行常规操作，并且可以通过修改注册表来重命名该组件，以防止此类特洛伊木马的危害。注册表项是HKEY _类_根\脚本。您可以禁用来宾用户或直接删除他们。考虑到很多上传都会用到这个组件，为了方便起见，不建议更改或删除。

5.禁止远程登录

C:\WINNT\system32目录中有一个login.cmd文件，用记事本打开，在文件末尾再取一行，添加exit保存。这样，当用户登录telnet时，他们会立即自动退出。

注意：在网络服务重新启动之前，上述注册表修改操作不会生效。

　　六、端口设置

左舷的底部是门。这个比喻很生动。如果我们服务器的所有端口都是开放的，就意味着黑客有很多门可以入侵。因此，我个人认为关闭未使用的端口是一件重要的事情。在控制面板-网络和拨号连接-本地连接-属性-互联网协议(TCP/IP)属性上，单击高级进入高级TCP/IP设置，选择选项，并从可选设置中选择TCP/IP过滤以启用TCP/IP过滤。添加必需的端口，如21和80，并关闭所有其他未使用的端口。

　　七、关闭文件共享

默认情况下，文件共享处于启用状态。我们应该取消它。在控制面板-网络和拨号连接-本地连接-属性中，在常规选项中，取消共享Microsoft网络文件和打印。最低服务原则是确保安全的重要原则。非必要服务应该关闭。可以在控制面板-管理工具-服务中设置系统服务。

　　八、关闭非必要服务

应该禁用telnet服务和远程注册表操作等服务。同时，安装尽可能少的软件。这样可以避免软件漏洞带来的一些安全问题。有的网管把QQ安装在服务器上，用服务器挂QQ，这是极其错误的。

　　九、关注安全动态及时更新漏洞补丁

对于网络管理员来说，更新漏洞补丁非常重要。更新补丁可以进一步保证系统的安全性。

虚拟主机也是一个独立的系统，会受到病毒和木马的攻击。为了系统安全，要多注意虚拟主机系统的安全配置，做好事前防范，以免日后措手不及。