親注冊登錄道勤網(wǎng)-可以查看更多帖子內(nèi)容哦�。ò蕡D片、文字詳情等)請您及時注冊登錄-bmrsportswear.com
您需要 登錄 才可以下載或查看�,沒有賬號?立即注冊
x
最近在網(wǎng)上看到一篇寫serve u 的文章寫的不錯,特地轉(zhuǎn)過來與大家一起學(xué)習(xí)
一�、Serv-U安全隱患及利用。
二���、Serv-U安裝及安全設(shè)置詳解���。
三、Serv-U相關(guān)的模式與防火墻設(shè)置���。
四���、關(guān)于Serv-U的Banner及登錄消息的設(shè)置�����。
Serv-U是一款十分經(jīng)典的FTP服務(wù)器軟件���,一直被大部分管理員和虛擬主機所使用,它簡單的安裝和配置以及強大的管理功能也一直被管理員們稱頌��。但是隨著使用者越來越多�����,也有越來越多的主機被通過Serv-U軟件所入侵����。
本文旨在提出一些切實可行的方法,徹底杜絕由Serv-U帶來的安全隱患����。
1、Serv-U的安裝:
關(guān)于Serv-U的安裝網(wǎng)上許多文章中提到要安裝在一個復(fù)雜的路徑��,個人認為這個不是十分必要�,完全可以按照你喜歡的例如:D:\soft\Serv-U目錄里。但是不推薦安裝在系統(tǒng)盤目錄里,也不推薦安裝在c:\Program files目錄里,因為這個目錄的權(quán)限的原因(詳細權(quán)限設(shè)置以后再發(fā)文專門討論)���。推薦的方式是無需安裝�����,直接使用綠色版的或直接復(fù)制在其他機器上安裝好的Serv-U的目錄����。Serv-U的用戶配置文件有兩種方式�,一種是存放在注冊表,一種是存放在ServUDaemon.ini文件����,推薦使用存放在.ini文件里面的方式���,這種方式便于ser-u軟件的升級�����,也便于重裝系統(tǒng)后的ftp用戶的恢復(fù)�,在權(quán)限設(shè)置上也相對方便�。我們這里使用6.4.0.6版,推薦使用�,這里我們假設(shè)Serv-U軟件放在的的D:\soft\Serv-U目錄里�����。
2����、權(quán)限設(shè)置:
給Serv-U單獨的用戶權(quán)限運行���。在計算機管理中新增帳戶ftp�,設(shè)置用戶不能更改密碼��,密碼用不過期�����,并設(shè)置一個復(fù)雜的密碼�,更改ftp用戶隸屬于Guests組(默認是USERS組),當(dāng)然也可以設(shè)置為不屬于任何組��。
啟動Serv-U(這時是使用默認的system權(quán)限運行的)�����,選擇本地服務(wù)器,自動開始�,將Serv-U設(shè)置為系統(tǒng)服務(wù),這樣服務(wù)器在每次重啟時Serv-U就會自動啟動���,這里我們主要利用其可以在服務(wù)中配置給Serv-U單獨用戶���。
設(shè)置D:\soft\Serv-U目錄的權(quán)限為只保留administrators,ftp兩個用戶的權(quán)限���,權(quán)限都是完全控制即可���,并替換到所有子目錄。
在計算機管理中找到服務(wù)���,找到Serv-U FTP 服務(wù)器,右鍵屬性��,在登錄選項卡中將登錄身份從本地系統(tǒng)帳戶改為此帳戶���,帳戶選擇ftp�����,并輸入設(shè)置好的密碼����。確定后會提示將在服務(wù)重啟后生效,接著點右鍵�,重新啟動,如果啟動成功��,你的Serv-U就在低權(quán)限下運行了��。
上傳目錄權(quán)限的設(shè)置:因為Serv-U是用ftp這個帳戶運行的����,所以上傳的目錄給予ftp用戶的完全訪問權(quán)限就可以了,比如我們可以設(shè)置D����、E、F盤的權(quán)限為administrators和ftp完全控制的權(quán)限�����,System權(quán)限也不用加了�����,如果Serv-U用默認權(quán)限運行,則必須加入system權(quán)限才能對該目錄進行ftp操作��。
3����、安全隱患及利用
Serv-U在本機有一個默認監(jiān)聽端口,默認監(jiān)聽127.0.0.1:43958,在本機才能連接這個管理端口,默認管理賬號是LocalAdministrator,默認密碼是"#l@$ak#.lk;0@P"�,這個密碼是固定的。所以幾乎所有的針對Serv-U攻擊的木馬便是利用此來添加Serv-U用戶的�,比如增加一個指向C盤的超級管理員用戶,夠可怕吧���。
這里我們用一個常用的ASP木馬中舉例說明:(Serv-U提權(quán)超強版)
提權(quán)后可以直接執(zhí)行命令添加管理員帳戶�����,并且加了個隱藏的管理員帳戶(當(dāng)然這個帳戶隱藏方式比較低級)如果成功了���,用這個帳戶遠程登錄上去創(chuàng)建一個克隆的管理員帳戶,再把這個刪掉)����。管理員如果連Serv-U安全都做不很好的�,對于隱藏度很高的克隆的帳號也不一定能發(fā)現(xiàn)����,所以Serv-U的安全不容忽視����。
比如俺一個朋友就喜歡用SQLDebugger 、SUPPORT_XXX等這樣的帳戶克隆出管理員帳戶��,查看屬性又看不出來���,很容易逃脫管理員的眼睛����。
如何徹底解決這個安全隱患���,有個最簡單的方法就是給Serv-U設(shè)置一個本地管理密碼�����,也就是所有增加刪除修改Serv-U的用戶及更改設(shè)置的操作�,都需要經(jīng)過本地密碼驗證�����。
可能有的管理員認為服務(wù)器密碼就他自己知道,別人上不去�,更何況增加Serv-U帳戶了,所以就不設(shè)置密碼�,認為這完全是多此一舉,這就大錯特錯了��。
這里再介紹另一種解決問題的方法�����,結(jié)合上面的設(shè)置本地管理密碼可以讓我們的Serv-U更安全�。就是修改Serv-U的默認管理帳號和密碼,這里我們用到了UltraEdit-32這個軟件��。
用UltraEdit-32打開servUAdmin.exe 查找LocalAdministrator,和#l@$ak#.lk;0@P����,將這兩個字符串修改為等長度的字符串保存即可,注意一定是等長度的����。
當(dāng)然這還不夠,還要打開ServUDaemon.exe���,操作如法炮制���,但修改后的字符串要務(wù)必與ServuAdmin.exe中修改的相同,否則Serv-U是無法進行用戶管理的��。
經(jīng)過設(shè)置Serv-U本地管理密碼和修改Serv-U文件這兩步大刀闊斧的改革后���,再試試剛才的木馬��,雖然也能提示執(zhí)行命令成功����,但實際服務(wù)器卻沒有任何變化���,奈何不了了��。
簡單總結(jié)一下以上所說的安全要點:
1��、盡量使用最新版的Serv-U�����,如果英文還可以�,推薦直接用英文版的��,如果要用中文的,一定要在其他機器進行測試�����,確認漢化包無流氓插件后再在正式服務(wù)器上使用����。
2、設(shè)置Serv-U運行于普通用戶權(quán)限�����,這樣即使通過木馬執(zhí)行net localgroup administrators XXX /Add也不可能執(zhí)行成功了�。
3、設(shè)置Serv-U的目錄權(quán)限���,只給administrators和運行Serv-U用戶的權(quán)限�,其他的都不要給�,尤其是everyone權(quán)限(在服務(wù)器上使用everyone權(quán)限要十分慎重,網(wǎng)上有很多文章圖懶法不管三七二十一加個everyone就算了的��。您可不要圖懶也加個everyone就算了��,我所配置的服務(wù)器中沒有一處是使用everyone權(quán)限的。)和guests權(quán)限����,users用戶權(quán)限也不要給。目的就是徹底防止通過Webshell訪問到Serv-U目錄�����,如果這一步設(shè)置不嚴�,即使設(shè)了Serv-U密碼��,通過Webshell下載了你的Serv-U去破解或者用UltraEdit-32打開分析��,也一樣可能造成攻擊�����。
4�、磁盤目錄權(quán)限,也就是你用ftp操作的目錄權(quán)限例如WEB目錄等���,除了必要的IIS帳戶權(quán)限外�����,只加administrators和用來運行Serv-U的帳戶的權(quán)限即可(可設(shè)為完全控制)��。
5、務(wù)必要設(shè)置一個本地管理密碼,防止通過Webshell連接默認用戶名密碼的方式進行攻擊����。
6、推薦用UltraEdit-32更改Serv-U默認的帳戶密碼��,其實也花不了很多時間�����。
7�����、端口的設(shè)置�,完全可以根據(jù)個人喜好設(shè)置����,個人認為與安全并無多大關(guān)系,因為即使更改了默認的21端口����,如果有人想攻擊,一樣可以掃描出來。
只要嚴格注重了以上幾點���,那么可以說你可以安全放心的使用你的Serv-U了�����。當(dāng)然����,服務(wù)器的安全是一個整體��,任何地方的疏忽都有可能造成整個服務(wù)器的安全隱患����。以上所說僅僅是與Serv-U相關(guān)的安全設(shè)置�����,絕不代表整個服務(wù)器就安全了����。這一點務(wù)必注意。下面說說防火墻的設(shè)置�。
三、Serv-U相關(guān)的防火墻設(shè)置:
關(guān)于防火墻的處理最常見的一個難題是主動FTP與被動FTP的區(qū)別以及如何配置防火墻并完美地支持它們。很多管理員可能都發(fā)現(xiàn)����,在開了防火墻的服務(wù)器上利用FTP傳輸總有這樣那樣的小問題,有時傳輸數(shù)據(jù)“不夠流暢”�����。幸運地是�����,本文能夠幫助你徹底搞清在防火墻環(huán)境中如何支持FTP這個問題上的煩惱��。
FTP服務(wù)是僅基于TCP的服務(wù)�����,不支持UDP���。 與眾不同的是FTP使用2個端口�,一個數(shù)據(jù)端口和一個命令端口(也可叫做控制端口)����。通常來說這兩個端口是命令端口(21)和數(shù)據(jù)端口(20)���。但當(dāng)我們發(fā)現(xiàn)根據(jù)(FTP工作)方式的不同數(shù)據(jù)端口并不總是20時,新的問題就出來了�。
主動FTP:
主動方式的FTP是這樣的:客戶端從一個任意的非特權(quán)端口N(N>;1024)連接到FTP服務(wù)器的命令端口,也就是21端口���。然后客戶端開始監(jiān)聽端口N+1�����,并發(fā)送FTP命令“port N+ 1”到FTP服務(wù)器�����。接著服務(wù)器會從它自己的數(shù)據(jù)端口(20)連接到客戶端指定的數(shù)據(jù)端口(N+1)。
針對FTP服務(wù)器前面的防火墻來說����,必須允許以下通訊才能支持主動方式FTP
任何端口到FTP服務(wù)器的21端口 (客戶端初始化的連接 S)
FTP服務(wù)器的21端口到大于1023的端口(服務(wù)器響應(yīng)客戶端的控制端口 S->C)
FTP服務(wù)器的20端口到大于1023的端口(服務(wù)器端初始化數(shù)據(jù)連接到客戶端的數(shù)據(jù)端口 S->C)
大于1023端口到FTP服務(wù)器的20端口(客戶端發(fā)送ACK響應(yīng)到服務(wù)器的數(shù)據(jù)端口 S)
主動方式FTP的主要問題實際上在于客戶端。FTP的客戶端并沒有實際建立一個到服務(wù)器數(shù)據(jù)端口的連接��,它只是簡單的告訴服務(wù)器自己監(jiān)聽的端口號�,服務(wù)器再回來連接客戶端這個指定的端口。對于客戶端的防火墻來說�,這是從外部系統(tǒng)建立到內(nèi)部客戶端的連接�,這是通常會被阻塞的��。
被動FTP
為了解決服務(wù)器發(fā)起到客戶的連接的問題���,人們開發(fā)了一種不同的FTP連接方式����。這就是所謂的被動方式��,或者叫做PASV����,當(dāng)客戶端通知服務(wù)器它處于被動模式時才啟用。在常用的FTP傳輸軟件中也均有相關(guān)設(shè)置��,例如FlashFXP的在選項-》參數(shù)設(shè)置-》代理里面就有相關(guān)選項�����。
在被動方式FTP中�,命令連接和數(shù)據(jù)連接都由客戶端,這樣就可以解決從服務(wù)器到客戶端的數(shù)據(jù)端口的入方向連接被防火墻過濾掉的問題�����。當(dāng)開啟一個FTP連接時,客戶端打開兩個任意的非特權(quán)本地端口(N >; 1024和N+1)���。第一個端口連接服務(wù)器的21端口����,但與主動方式的FTP不同�����,客戶端不會提交PORT命令并允許服務(wù)器來回連它的數(shù)據(jù)端口��,而是提交PASV命令��。這樣做的結(jié)果是服務(wù)器會開啟一個任意的非特權(quán)端口(P >; 1024)�,并發(fā)送PORT P命令給客戶端。然后客戶端發(fā)起從本地端口N+1到服務(wù)器的端口P的連接用來傳送數(shù)據(jù)�。
對于服務(wù)器端的防火墻來說��,必須允許下面的通訊才能支持被動方式的FTP:
從任何端口到服務(wù)器的21端口 (客戶端初始化的連接 S)
服務(wù)器的21端口到任何大于1023的端口 (服務(wù)器響應(yīng)到客戶端的控制端口的連接 S->C)
從任何端口到服務(wù)器的大于1023端口 (入�����;客戶端初始化數(shù)據(jù)連接到服務(wù)器指定的任意端口 S)
服務(wù)器的大于1023端口到遠程的大于1023的端口(出��;服務(wù)器發(fā)送ACK響應(yīng)和數(shù)據(jù)到客戶端的數(shù)據(jù)端口 S->C)護衛(wèi)神教程整理
下面簡要總結(jié)一下主動與被動FTP優(yōu)缺點:
主動FTP對FTP服務(wù)器的管理有利,但對客戶端的管理不利�����。因為FTP服務(wù)器企圖與客戶端的高位隨機端口建立連接��,而這個端口很有可能被客戶端的防火墻阻塞掉���。被動FTP對FTP客戶端的管理有利�����,但對服務(wù)器端的管理不利����。因為客戶端要與服務(wù)器端建立兩個連接�����,其中一個連到一個高位隨機端口��,而這個端口很有可能被服務(wù)器端的防火墻阻塞掉���。
幸運的是���,有折衷的辦法����。既然FTP服務(wù)器的管理員需要他們的服務(wù)器有最多的客戶連接����,那么必須得支持被動FTP。我們可以通過為FTP服務(wù)器指定一個有限的端口范圍來減小服務(wù)器高位端口的暴露�����。這樣����,不在這個范圍的任何端口會被服務(wù)器的防火墻阻塞。雖然這沒有消除所有針對服務(wù)器的危險����,但它大大減少了危險。
在安裝Serv-U并初次運行的時候����,防火墻會提示提示是否允許Serv-U連接網(wǎng)絡(luò)��,這里我們選擇允許。這樣ServUDaemon.exe就在防火墻的信任的程序當(dāng)中了����。
再在防火墻中添加端口,注意如果你的FTP端口是默認的21��,那么需要添加兩個端口���,21和20�����。如果你的FTP端口是1000����,那么還要添一個999��,以此類推��。值得一提的是����,添加完端口后,在防火墻的高級設(shè)置里就不用設(shè)置了,以個人經(jīng)驗這個地方如果再開啟了�,反而會有些問題。之前曾因為這個地方的設(shè)置百思不得其解而郁悶過����,后來終于搞懂只設(shè)一個地方即可。如圖所示:
接下來設(shè)置Serv-U的PASV:如圖所示�,這個地方的設(shè)置關(guān)系到常遇到的FTP傳輸是否“流暢”的問題,尤其是在網(wǎng)速慢的情況����。這里的端口范圍要指定的一定要是服務(wù)器上空閑的一段端口范圍,比如有的軟件用了3306����,這里就不要用3000-3500了,這個地方所說的也就是前面提到的為FTP服務(wù)器指定一個有限的端口范圍來減小服務(wù)器高位端口的暴露�。這也是國內(nèi)很多虛擬主機商的做法。
再來看一下傳輸?shù)那闆r:從FlashFXP的傳輸日志中可以看到?jīng)]傳輸一個文件端口就會從指定的PASV端口加一個���,加到最大后再重新返回端口范圍的最小端口����,如此循環(huán)實現(xiàn)FTP文件傳送����。顯然如果這里不能順利的開啟端口��,就會造成FTP傳輸?shù)耐nD,也就是常說的不流暢���,需要重新連接一下FTP����。
總之���,Serv-U涉及的防火墻方面的設(shè)置并不是很多���,基本上就是防火墻模式中最常見的基于端口的和基于程序的兩種方式,其他防火墻也可以按此設(shè)置即可��。
四����、最后補充一點關(guān)于Serv-U的Banner和登錄消息設(shè)置。
大家可能都碰到的類似以下的連接FTP服務(wù)器時的提示信息����,其實這個地方即使不知道對方FTP帳戶密碼,只要知道端口(也可能通過掃描出的端口嘗試出來)用FTP傳輸軟件連接一下就會出來了,甚至直接在DOS窗口用命令提示符open一下你的FTP服務(wù)器�,也會出來類似的提示信息,這樣豈不就老老實實的告訴別人你用的Serv-U做的FTP服務(wù)器并且所用的版本了么�����?
[右] 已連接到 60.215.XX.XX
[右] 220 Serv-U FTP Server v6.4 for WinSock ready...
護衛(wèi)神教程整理 [右] USER XPB
[右] 331 User name okay, need password.
[右] PASS (隱藏)
[右] 230 User logged in, proceed.
[右] SYST
[右] 215 UNIX Type: L8
[右] FEAT
[右] 211-Extension supported
[右] CLNT
其實在Serv-U中也有設(shè)置�����,在域的設(shè)置中有消息一項���,可以自定義服務(wù)器響應(yīng)消息�,這里可以根據(jù)你喜歡的把這些消息改掉���,例如改為Welcome to Microsoft FTP Service... 等等其他FTP服務(wù)軟件的Banner,可以起到一定的迷惑作用�。
其次我們說一下大家可能也常碰到的下面這種提示是如何做出來的�。
程序代碼
[右] 已連接到 202.194.XXX.XXX
[右] 220-歡迎登錄XX大學(xué)FTP服務(wù)器...
[右] 220-你的IP地址是:211.64.XXX.XXX
[右] 220-目前服務(wù)器所在的時間是 08:56:45
[右] 220-已經(jīng)有 1585 個用戶在最近24小時訪問過本FTP
[右] 220-本FTP服務(wù)器已經(jīng)運行了 21 天,18 小時 和 6 分���。
[右] 220-
[右] 220-服務(wù)器的運行情況:
[右] 220-
[右] 220-所有登錄用戶數(shù)量: 26 total
[右] 220-當(dāng)前登錄用戶數(shù)量: 18
[右] 220-已經(jīng)下載字節(jié)數(shù): 372000 Kb
[右] 220-已經(jīng)上傳字節(jié)數(shù): 118940 Kb
[右] 220-已經(jīng)下載文件數(shù): 92
[右] 220-已經(jīng)上傳文件數(shù): 1360
[右] 220-服務(wù)器平均帶寬: 810 Kb/sec
[右] 220 服務(wù)器當(dāng)前帶寬: 945 Kb/sec
[右] USER xpb
其實這個設(shè)置這個地方也很簡單�,只需要設(shè)置一個用戶登錄時的消息文件就可以了����,設(shè)置的地方就在Serv-U的域的設(shè)置里面��,就在上邊設(shè)置服務(wù)器響應(yīng)消息的下面�����,其中登錄消息文件格式如下:
程序代碼
您已經(jīng)成功登錄FTP服務(wù)器
你的IP地址是:%IP
目前服務(wù)器所在的時間是 %time
已經(jīng)有 %u24h 個用戶在最近24小時訪問過本FTP
本FTP服務(wù)器已經(jīng)運行了 %ServerDays 天,%ServerHours 小時 和 %ServerMins 分���。
服務(wù)器的運行情況:
所有登錄用戶數(shù)量: %loggedInAll total
當(dāng)前登錄用戶數(shù)量: %Unow
已經(jīng)下載字節(jié)數(shù): %ServerKbDown Kb
已經(jīng)上傳字節(jié)數(shù): %ServerKbUp Kb
已經(jīng)下載文件數(shù): %ServerFilesDown
已經(jīng)上傳文件數(shù): %ServerFilesUp
服務(wù)器平均帶寬: %ServerAvg Kb/sec
服務(wù)器當(dāng)前帶寬: %ServerKBps Kb/sec
將此文件保存問例如logininfo.txt的文本文件�����,放于Serv-U目錄(也可以放到其他目錄�,放到這里是因為不用再單獨設(shè)置該文件的權(quán)限了)���,然后把該文件設(shè)置為登錄時的消息文件���,就可以了
道勤主機提供365天*24小時全年全天無休、實時在線�����、零等待的售后技術(shù)支持。竭力為您免費處理您在使用道勤主機過程中所遇到的一切問題!
如果您是道勤主機用戶���,那么您可以通過QQ【792472177】�����、售后QQ【59133755】�、旺旺【詮釋意念】��、微信:q792472177免費電話�����、后臺提交工單這些方式聯(lián)系道勤主機客服���!
如果您不是我們的客戶也沒問題�,點擊頁面最右邊的企業(yè)QQ在線咨詢圖標(biāo)聯(lián)系我們并購買后���,我們?yōu)槟赓M進行無縫搬家服務(wù)����,讓您享受網(wǎng)站零訪問延遲的遷移到道勤主機的服務(wù)�! | 
窺視卡
雷達卡
發(fā)表于 2015-11-6 19:22:47
QQ好友和群
QQ空間
收藏
淘帖
支持
反對
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
千斤頂
顯身卡
/2 
