Dream Maker 老漂 不要有和人斗的心,你要赢的是你自己!

为SERV-U打造最安全的FTP设置

作为一款经典的FTP服务器软件,SERV-U一直被大部分管理员所使用,它简单的安装和配置以及强大的管理功能的人性化也一直被管理员们称颂。但是随着使用者越来越多,该软件的安全问题也逐渐显露出来。
    首先是SERV-U的SITE CHMOD漏洞和Serv-U MDTM漏洞,即利用一个账号可以轻易的得到SYSTEM权限。其次是Serv-u的本地溢出漏洞,即Serv-U有一个默认的管理用户(用户名:localadministrator,密码:# @$ak#. k;0@p),任何人只要通过一个能访问本地端口43958的账号就可以随意增删账号和执行任意内部和外部命令。
  
  此时,人们才开始重视起SERV-U的安全来,并采取了一些相关措施,如修改SERV-U的管理端口、账号和密码等。但是,修改后的内容还是保留在ServUDaemon.exe文件里,因此下载后用如UltraEdit之类的16进制编辑软件就可以很轻易的获取到修改后的端口、账号和密码。
  
  从SERV-U6.0.0.2开始,该软件有了登录密码功能,这样如果加了管理密码,并且设置比较妥善的话,SERV-U将会比原来安全的多。现在我们就开始SERV-U的设置之旅,采用版本是SERV-U 6.0.0.2。
  
  古语有云,千尺之台始于垒土,设置SERV-U的安全就从安装开始。这篇文章主要是写SERV-U的安全设置,所以不会花费太多的功夫来介绍安装,只说一下要点。
  
  SERV-U默认是安装在C:Program FilesServ-U目录下的,我们最好做一下变动。例如改为:D:u89327850mx8utu432X$UY32x211936890co7v23x1t3(图1)这样的路径,如果安装盘符WEB用户不能浏览的话,他便很难猜到安装的路径。当然,安装后会在桌面和开始菜单上生成快捷方式,建议删除,因为一般不会使用到它。可能你要问了,那应该怎样进入SERV-U的设置界面呢?其实很简单,双击下右角任务栏里的Tray Monitor小图标来启动SERV-U的管理界面。
""
   图1:修改安装的目录
   安装的时候只选前2项就可以了,后面的2个是说明和在线帮助文件。(见图2)
  
""
图2:安装时候只需要选择前2项
  
  下图是生成的开始菜单组里的文件夹的名字,建议更改成比较不像SERV-U的名字,或者是删除该文件夹。(见图3)
 
""
  图3:更改安装后生成开始菜单组里文件夹的名字
  
  安装完成后会出现一个向导让你建立一个域和账号。在这里点Cancel取消向导。用向导生成的账号会带来一些问题,所以下面采用手工方式建立域和账号。(见图4)
  
""
图4:点Cancel取消向导
  然后点选Start automatically(system service)前面的选项,接着点下边的Start Server按钮把SERV-U加入系统服务,这样就可以随系统启动了,不用每次都手工启动。(见图5)
 
""
  图5:把SERV-U加入服务
  接下来就会出现如图6的界面。通过点击Set/Change Password设置一个密码。
""
图6:点击Set/Change Password设置密码
  然后会出现如图7的界面。因为是第一次使用,所以是没有密码的,也就是说原来的密码为空。不用在old password里输入字符,直接在下面的New password和Repeat new password里输入同样的密码再点OK就可以了。这里建议设置一个足够复杂的密码,以防止别人暴力破解。自己记不得也没有关系,只要把ServUDaemon.ini里的LocalSetupPassword=这一行清除并保存,再次运行ServUAdmin.exe就不会提示你输入密码登录了。
 
""
图7:设置和更改密码界面
  下面就到了该对SERV-U进行安全设置的时候了。首先建立一个WINDOWS账号SSERVU,密码也需要足够的复杂。密码要记住,如果记不住就暂时保存在一个文件里,一会儿还要用到。(见图8)
  
""
图8:建立一个WINDOWS账号
  建好账号以后,双击建好的用户编辑用户属性,从“隶属于”里删除USERS组。
  
""
图9:从隶属于里删除USERS组
  从“终端服务配置文件”选项里取消“允许登录到终端服务器(W)”的选择,然后点击确定继续我们的设置。(见图10)

""
图10:取消“允许登录到终端服务器”
  这里我们已经建好了账号,该设置服务里的账号了。现在就要用到刚才建立的这个账号,密码还没有忘记吧,马上就要用到了。
  
  在开始菜单的管理工具里找到“服务”点击打开。在“Serv-U FTP Server服务”上点右键,选择属性继续。
  
  然后点击“登录”进入登录账号选择界面。选择刚才建立的系统账号名,并在下面重复输入2次该账号的密码(就是刚才让你记住的那个),然后点“应用”,再次点确定,完成服务的设置。(见图11)
  
""
图11:更改启动和登录SRV-U的账号密码
  接下来要先使用FTP管理工具建立一个域,再建立一个账号,建好后选择保存在注册表。(见图12)
  
""
图12:FTP用户密码保存到注册表里
  打开注册表来测试相应的权限,否则SERV-U是没办法启动的。在开始->运行里输入regedt32点“确定”继续。
  
  找到[HKEY_LOCAL_MACHINESOFTWARECat Soft]分支。在上面点右键,选择权限,然后点高级,取消允许父项的继承权限传播到该对象和所有子对象,包括那些在此明确定义的项目,点击“应用”继续,接着删除所有的账号。再次点击“确定”按钮继续。这时会弹出对话框显示“您拒绝了所有用户访问Cat Soft。没有人能访问 Cat Soft,而且只有所有者才能更改权限。您要继续吗?”,点击“是”继续。接着点击添加按钮增加我们建立的SSERVU账号到该子键的权限列表里,并给予完全控制权限。到这里注册表已经设置完了。但还不能重新启动SERV-U,因为安装目录还没设置。
  
  现在就来设置一下,只保留你的管理账号和SSERVU账号,并给予除了完全控制外的所有权限。(见图13)

""
图13:SERV-U安装目录权限设置
  现在,在服务里重启Serv-U FTP Server服务就可以正常启动了。当然,到这里还没有完全设置完,你的FTP用户因为没有权限还是登录不了的,所以还要设置一下目录的权限。
  
  假设你有一个WEB目录,路径是d:web。那么在这个目录的“安全设定”里除了管理员和IIS用户都删除掉,再加入SSERVU账号,切记SYSTEM账号也删除掉。为什么要这样设置呢?因为现在已经是用SSERVU账号启动的SERV-U,而不是用SYSTEM权限启动的了,所以访问目录不再是用SYSTEM而是用SSERVU,此时SYSTEM已经没有用了,这样就算真的溢出也不可能得到SYSTEM权限。另外,WEB目录所在盘的根目录还要设置允许SSERV-U账号的浏览和读取权限,并确认在高级里设置只有该文件夹。(见图14)
  
""
图14:WEB目录所在盘的权限设置
  至此,设置全部结束。现在的SERV-U设置是配合IIS设置的,因为和IIS使用不同的账号,WEB用户就不可能访问SERV-U的目录,并且WEB目录没有给予SYSTEM权限,所以SYSTEM账号也同样访问不了WEB目录,也就是说,即使使用MSSQL得到备份的权限也不能备份SHELL到你的WEB目录。你可以安全的使用SERV-U了。
""

Serv-U FTP软件的攻击防守

在看这篇文章之前,有几点要注意
1、everyone用户完全控制目录在服务器上绝对不能出现
2、WEB目录上的权限都是独立的一般情况下是读取和写入,无运行权利
3、ipsec做了限定相关出入站端口访问
Serv-u本地默认管理端口,以默认管理员登陆新建域和用户来执行命令,Serv-u V3.x以上的版本默认本地管理端口是:127.0.0.1:43958,所以只能本机连接,默认管理员:
LocalAdministrator,默认密码:#l@$ak#.lk;0@P,这是集成在Serv-u内部的,可以以Guest权限来进连接,对Serv-u进行管理,如图1
""
防止办法和对策:
serv-U v6以下的版本可以直接用Ultraedit修改文件ServUDaemon.exe和ServUAdmin.exe,把默认密码修改成等长度的其它字符就可以了,用
Ultraedit打开ServUAdmin.exe查找最后一个B6AB(43958的16进制),替换成自定义的端口比如3930(12345),不过因为serv-U v6以下版本有远程缓冲区溢出漏洞,不建议使用
serv-U v6以上的版本可以在ServUDaemon.ini中加上LocalSetupPortNo=12345,可改变默认的管理端口,采用ipsec限制任何IP访问12345端口访
问,即增加12345端口的阻止,如果不改默认端口,就增加43958端口的阻止,如果"使用设置更改密码"的按钮,即在 ServUDaemon.ini中加上
LocalSetupPassword=ah6A0ED50ADD0A516DA36992DB43F3AA39之类的MD5密码,如果不修改默认管理密码的话, 原来的#l@$ak#.lk;0@P依旧保存只有当密码为空时使用,再加上管理端口的限定LocalSetupPortNo=12345,当然程序中也要改端口的
""
设置目录权限,通过去掉Web目录IIS访问用户的执行权限来防止使用Webshell来运行Exp程序,但这个方法有一定的局限性,需要设置的目录很多,不能有一点疏漏,如果有一个目录设置错误,就会导致可以在这个目录上传并运行Exp,因为WEB上的权限都是独立的一般情况下是读取和写入.无运行权利.那么上传其他文件进行执行成功可能性不大,修改Serv-u安装目录C:\Program Files\Serv-U的权限(比如说这个目录,不过为了安全,请不要使用默认目录),administrator组完全控制,拒绝Guests组用户访问Serv-U目录,这是防止用户使用webshell来下载 ServUDaemon.exe,用Ultraedit打开分析Serv-U的帐号密码,并修改编译上传运行,那前面做的工作都没有作用了,因为这里默认管理端口在程序文件中已经修改,在ServUDaemon.ini中也已经修改,这样来说默认的管理员连接不上了
""
最后一条,因为Serv-U是以服务启动默认是以System权限运行的,才会有被权限提升的可能。只需要把Serv-U的启动用户改成一个USER组的用户,那么就再不会有所谓的权限提升了。但要注意的是,这个低权限用户一定要对Serv-U安装目录和提供FTP服务的目录或盘符有完全控制的权限。经测试发现,使用普通组用户启动的Serv-U是不能增加用户和删除用户的,其他一切正常""

目前网上最完美的服务器整体安全设置策略

Echo 给系统危险文件设置权限设定完毕! 请按任意键返回并选2继续...
PAUSE >nul
Goto start

:SetFolder
CLS
MODE con: COLS=80 LINES=18
COLOR 70
Echo.
Rem 删除C盘的everyone的权限
cd/

cscript.exe xcacls.vbs "%SystemDrive%" /r "CREATOR OWNER" /e
cscript.exe xcacls.vbs "%SystemDrive%" /r "everyone" /e
cscript.exe xcacls.vbs "%SystemRoot%" /r "everyone" /e
@REM "cscript.exe xcacls.vbs "%SystemRoot%/Registration" /r "everyone" /e " 这个不能去Everyone权限
cscript.exe xcacls.vbs "%SystemDrive%/Documents and Settings" /r "everyone" /e
cscript.exe xcacls.vbs "%SystemDrive%/Documents and Settings/All Users" /r "everyone" /e
cscript.exe xcacls.vbs "%SystemDrive%/Documents and Settings/All Users/Documents"  /r "everyone" /e

Rem 删除C盘的所有的users的访问权限
cd/

cscript.exe xcacls.vbs "%SystemDrive%/Documents and Settings/All Users" /r "users" /e
cscript.exe xcacls.vbs "%SystemDrive%/Documents and Settings/All Users/Documents"  /r "users" /e
cscript.exe xcacls.vbs "%SystemDrive%/Documents and Settings/All Users/Application Data"  /r "users" /e
cscript.exe xcacls.vbs "%SystemDrive%" /r "users" /e
cscript.exe xcacls.vbs "%SystemDrive%/Program Files" /r "users" /e
cscript.exe xcacls.vbs "%SystemDrive%/Documents and Settings" /r "users" /e
cscript.exe xcacls.vbs "%SystemRoot%" /r "users" /e
cscript.exe xcacls.vbs "%SystemRoot%/addins" /r "users" /e
cscript.exe xcacls.vbs "%SystemRoot%/AppPatch" /r "users" /e
cscript.exe xcacls.vbs "%SystemRoot%/Connection Wizard" /r "users" /e
cscript.exe xcacls.vbs "%SystemRoot%/Debug" /r "users" /e
cscript.exe xcacls.vbs "%SystemRoot%/Driver Cache" /r "users" /e
cscript.exe xcacls.vbs "%SystemRoot%/Help" /r "users" /e
cscript.exe xcacls.vbs "%SystemRoot%/IIS Temporary Compressed Files" /r "users" /e
cscript.exe xcacls.vbs "%SystemRoot%/java" /r "users" /e
cscript.exe xcacls.vbs "%SystemRoot%/msagent" /r "users" /e
cscript.exe xcacls.vbs "%SystemRoot%/mui" /r "users" /e
cscript.exe xcacls.vbs "%SystemRoot%/repair" /r "users" /e
cscript.exe xcacls.vbs "%SystemRoot%/Resources" /r "users" /e
cscript.exe xcacls.vbs "%SystemRoot%/security" /r "users" /e
cscript.exe xcacls.vbs "%SystemRoot%/system" /r "users" /e
cscript.exe xcacls.vbs "%SystemRoot%/TAPI" /r "users" /e
cscript.exe xcacls.vbs "%SystemRoot%/twain_32" /r "users" /e
cscript.exe xcacls.vbs "%SystemRoot%/Web" /r "users" /e
cscript.exe xcacls.vbs "%SystemRoot%/system32/3com_dmi" /r "users" /e
cscript.exe xcacls.vbs "%SystemRoot%/system32/administration" /r "users" /e
cscript.exe xcacls.vbs "%SystemRoot%/system32/Cache" /r "users" /e
cscript.exe xcacls.vbs "%SystemRoot%/system32/CatRoot2" /r "users" /e
cscript.exe xcacls.vbs "%SystemRoot%/system32/Com" /r "users" /e
cscript.exe xcacls.vbs "%SystemRoot%/system32/config" /r "users" /e
cscript.exe xcacls.vbs "%SystemRoot%/system32/dhcp" /r "users" /e
cscript.exe xcacls.vbs "%SystemRoot%/system32/drivers" /r "users" /e
cscript.exe xcacls.vbs "%SystemRoot%/system32/export" /r "users" /e
cscript.exe xcacls.vbs "%SystemRoot%/system32/icsxml" /r "users" /e
cscript.exe xcacls.vbs "%SystemRoot%/system32/lls" /r "users" /e
cscript.exe xcacls.vbs "%SystemRoot%/system32/LogFiles" /r "users" /e
cscript.exe xcacls.vbs "%SystemRoot%/system32/MicrosoftPassport" /r "users" /e
cscript.exe xcacls.vbs "%SystemRoot%/system32/mui" /r "users" /e
cscript.exe xcacls.vbs "%SystemRoot%/system32/oobe" /r "users" /e
cscript.exe xcacls.vbs "%SystemRoot%/system32/ShellExt" /r "users" /e
cscript.exe xcacls.vbs "%SystemRoot%/system32/wbem" /r "users" /e

Rem 添加iis_wpg的访问权限
cscript.exe xcacls.vbs "%SystemDrive%" /g iis_wpg:;b468 /e
cscript.exe xcacls.vbs "%SystemRoot%" /g iis_wpg:b1468;b1468 /e
cscript.exe xcacls.vbs "%SystemDrive%/Program Files/Common Files" /g iis_wpg:r /e
cscript.exe xcacls.vbs "%SystemRoot%/Downloaded Program Files" /g iis_wpg:c /e
cscript.exe xcacls.vbs "%SystemRoot%/Help" /g iis_wpg:c /e
cscript.exe xcacls.vbs "%SystemRoot%/IIS Temporary Compressed Files" /g iis_wpg:c /e
cscript.exe xcacls.vbs "%SystemRoot%/Offline Web Pages" /g iis_wpg:c /e
cscript.exe xcacls.vbs "%SystemRoot%/System32" /g iis_wpg:c /e
cscript.exe xcacls.vbs "%SystemRoot%/Tasks" /g iis_wpg:c /e
cscript.exe xcacls.vbs "%SystemRoot%/Web" /g iis_wpg:c /e

Rem 添加iis_wpg的访问权限[装了MACFEE的软件专用]
cscript.exe xcacls.vbs "%SystemDrive%/Program Files/Network Associates" /g iis_wpg:r /e

Rem 添加users的访问权限
cscript.exe xcacls.vbs "%SystemRoot%/temp" /g Everyone:m /e
cscript.exe xcacls.vbs "%SystemRoot%/Microsoft.NET/Framework" /g users:b1468;b1468 /e



Rem 禁止[列出文件夹 / 读取数据]此权限出现
Rem -------------------------------------------
Rem 添加Users的访问权限[装了PHP的服务器专用]
cscript.exe xcacls.vbs "C:\php5" /g users:b468;b468 /e
cscript.exe xcacls.vbs "%SystemRoot%/system32" /r "users" /e
cscript.exe xcacls.vbs "%SystemRoot%/System32" /g users:b468;b468 /e
Rem -------------------------------------------

Rem 删除C盘Windows下的所有的危险文件夹

attrib %SystemRoot%/Web/printers -s -r -h
del %SystemRoot%\Web\printers\*.* /s /q /f
rd %SystemRoot%\Web\printers /s /q

attrib %SystemRoot%\Help\iisHelp -s -r -h
del %SystemRoot%\Help\iisHelp\*.* /s /q /f
rd %SystemRoot%\Help\iisHelp /s /q

attrib %SystemRoot%\system32\inetsrv\iisadmpwd -s -r -h
del %SystemRoot%\system32\inetsrv\iisadmpwd\*.* /s /q /f
rd %SystemRoot%\system32\inetsrv\iisadmpwd /s /q

Echo 给系统危险文件夹设置权限设定完毕! 请按任意键返回并选3继续...
PAUSE >nul
Goto start

:Service
CLS
MODE con: COLS=80 LINES=18
COLOR 70
Echo.
@REM Smart Card (智慧卡)
@REM 微软:管理这个计算机所读取智能卡的存取。如果这个服务被停止,这个计算机将无法读取智能卡。如果这个服务被停用,任何明确依@REM 存于它的服务将无法启动。
@REM 补充: 如果你不使用 Smart Card ,那就可以关了
@REM 依存: Plug and Play
@REM 建议: 禁用
sc config   SCardSvr start= DISABLED
sc stop SCardSvr

@REM Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)[For XP]
@REM 微软:为您的家用网络或小型办公室网络提供网络地址转译、寻址及名称解析服务和/或防止干扰的服务。
@REM 补充: 如果你不使用因特网联机共享(ICS)或是 XP 内含的因特网联机防火墙(ICF)你可以关掉
@REM 依存: Application Layer Gateway Service、Network Connections、Network Location Awareness(NLA)、remote Access Connection @REM  Manager
@REM 建议: 禁用
sc config   SharedAccess start= DEMAND
sc stop SharedAccess

@REM Windows Image Acquisition (WIA) (Windows影像取得程序)
@REM 微软: 为扫描仪和数字相机提供影像撷取服务。
@REM 补充:如果扫描仪和数字相机内部具有支持WIA功能的话,那就可以直接看到图档,不需要其它的驱动程序,所以没有扫描仪和数字相机@REM 的使用者大可关了
@REM 依存:remote Procedure Call (RPC)
@REM 建议: 禁用
sc config   stisvc start= DISABLED
sc stop stisvc

@REM MS Software Shadow Copy Provider[For XP]
@REM 微软:管理磁盘区阴影复制服务所取得的以软件为主的磁盘区阴影复制。如果停止这个服务,就无法管理以软件为主的磁盘区阴影复制。
@REM 补充: 如上所说的,用来备份的东西,如 MS Backup 程序就需要这个服务
@REM 依存:remote Procedure Call (RPC)
@REM 建议: 禁用
sc config   swprv start= DISABLED
sc stop swprv

@REM Performance Logs and Alerts (效能记录文件及警示)
@REM 微软:基于事先设定的排程参数,从本机或远程计算机收集效能数据,然后将数据写入记录或?#124;发警讯。如果这个服务被停止,将@REM 不会收集效能信息。如果这个服务被停用,任何明确依存于它的服务将无法启动。
@REM 补充: 没什么价值的服务
@REM 建议: 禁用
sc config   SysmonLog start= DISABLED
sc stop SysmonLog

@REM Telephony (电话语音)
@REM 微软:为本机计算机上及经由局域网络连接到正在执行此服务的服务器上,控制电话语音装置和 IP 为主语音联机的程序,提供电话语@REM 音 API (TAPI) 支持。
@REM 补充: 一般的拨号调制解调器或是一些 DSL/Cable 可能用到
@REM 依存: Plug and Play、remote Procedure Call (RPC)、remote Access Connection Manager、remote Access Auto Connection @REM Manager
@REM 建议: 手动
sc config   TapiSrv start= DISABLED
sc stop SysmonLog

@REM Distributed Link Tracking Client (分布式连结追踪客户端)
@REM 微软: 维护计算机中或网络网域不同计算机中 NTFS 档案间的连结。
@REM 补充: 维护区网内不同计算机之间的档案连结
@REM 依存:remote Procedure Call (RPC)
@REM 建议: 禁用
sc config   TrkWks start= DISABLED
sc stop TrkWks

@REM Portable Media Serial Number
@REM 微软: Retrieves the serial number of any portable music player connected to your computer
@REM 补充:透过联机计算机重新取得任何音乐拨放序号?没什么价值的服务
@REM 建议: 禁用
sc config   WmdmPmSN start= DISABLED
sc stop WmdmPmSN

@REM WMI Performance Adapter
@REM 微软: 提供来自 WMIHiPerf 提供者的效能链接库信息。
@REM 补充: 如上所提
@REM 依存:remote Procedure Call (RPC)
@REM 建议: 禁用
sc config   WmiApSrv start= DISABLED
sc stop WmiApSrv

@REM Automatic Updates
@REM 微软: 启用重要 Windows 更新的下载及安装。如果停用此服务,可以手动的从 Windows Update 网站上更新操作系统。
@REM 补充: 允许 Windows 于背景自动联机之下,到 Microsoft Servers 自动检查和下载更@REM 新修补程序
@REM 建议: 禁用
sc config   wuauserv start= DISABLED
sc stop wuauserv

@REM Fast User Switching Compatibility[For XP]
@REM 为在多用户下需要协助的应用程序提供管理。依赖RPC。
sc config   FastUserSwitchingCompatibility start= DEMAND
sc stop FastUserSwitchingCompatibility

@REM System Restore Service[For XP]
@REM 执行系统还原功能。要停止服务,请从“我的电脑”的属性中的系统还原选项卡关闭系统还原。
sc config   srservice start= DISABLED
sc stop srservice

@REM SSDP Discovery Service[For XP]
@REM 启动您家庭网络上的 UPnP 设备的发现。
sc config   SSDPSRV start= DISABLED
sc stop SSDPSRV

@REM telnet
@REM 允许远程用户登录到此计算机并运行程序,并支持多种 TCP/IP Telnet 客户,包括基于 UNIX 和 Windows 的计算机。如果此服务停止,远程用户就不能访问程序,任何直接依靠它的服务将会启动失败。
sc config   TlntSvr start= DISABLED
sc stop TlntSvr

@REM Universal Plug and Play Device Host[For XP]
@REM 为主持通用即插即用设备提供支持。
sc config   upnphost start= DEMAND
sc stop upnphost

@REM Security Center[For XP]
@REM 监视系统安全设置和配置。
sc config   wscsvc start= DISABLED
sc stop wscsvc

@REM System Event Notification
@REM 监视系统事件并通知 COM+ 事件系统“订阅者(subscriber)”。如果此服务被停用,COM+ 事件系统“订阅者”将接收不到系统事件通知。如果此服务被禁用,任何依赖于它的服务将无法启用。
@REM 建议: 禁用
sc config   SENS start= DISABLED
sc stop SENS

@REM COM+ Event System
@REM 支持系统事件通知服务 (SENS),此服务为订阅的组件对象模型 (COM) 组件提供自动分布事件功能。如果停止此服务,SENS 将关闭,而且不能提供登录和注销通知。如果禁用此服务,显式依赖此服务的其他服务都将无法启动。
@REM 建议: 禁用
sc config   EventSystem start= DISABLED
sc stop EventSystem

@REM Windows Audio
@REM 管理基于 Windows 的程序的音频设备。如果此服务被终止,音频设备及其音效将不能正常工作。如果此服务被禁用,任何依赖它的服务将无法启动。
@REM 补充:服务器上用什么声卡呀,去掉了!
@REM 建议: 禁用
sc config   AudioSrv start= DISABLED
sc stop AudioSrv

@REM Computer Browser
@REM 维护网络上计算机的更新列表,并将列表提供给计算机指定浏览。如果服务停止,列表不会被更新或维护。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。
@REM 建议: 禁用
sc config   Browser start= DISABLED
sc stop Browser

@REM Task Scheduler
@REM 使用户能在此计算机上配置和计划自动任务。如果此服务被终止,这些任务将无法在计划时间里运行。如果此服务被禁用,任何依赖它的服务将无法启动。
@REM 建议: 禁用
sc config   Schedule start= DISABLED
sc stop Schedule

@REM Routing and Remote Access
@REM 在局域网以及广域网环境中为企业提供路由服务。
@REM 建议: 禁用
sc config   RemoteAccess start= DISABLED
sc stop RemoteAccess

@REM Removable Storage
@REM 管理和编录可移动媒体并操作自动化可移动媒体设备。如果这个服务被停止,依赖可移动存储的程序,如备份和远程存储将放慢速度。如果禁用这个服务,所有专依赖这个服务的服务将无法启动。
@REM 建议: 禁用
sc config   NtmsSvc start= DISABLED
sc stop NtmsSvc

@REM Remote Registry
@REM 使远程用户能修改此计算机上的注册表设置。如果此服务被终止,只有此计算机上的用户才能修改注册表。如果此服务被禁用,任何依赖它的服务将无法启动。
@REM 建议: 禁用
sc config   RemoteRegistry start= DISABLED
sc stop RemoteRegistry

@REM Print Spooler
@REM 管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用,本地计算机上的打印将不可用。如果此服务被禁用,任何依赖于它的服务将无法启用。
@REM 建议: 禁用
sc config   Spooler start= DISABLED
sc stop Spooler

@REM Error Reporting Service
@REM 收集、存储和向 Microsoft 报告异常应用程序崩溃。如果此服务被停用,那么错误报告仅在内核错误和某些类型用户模式错误时发生。如果此服务被禁用,任何依赖于它的服务将无法启用。
@REM 建议: 禁用
sc config   ERSvc start= DISABLED
sc stop ERSvc

@REM Workstation
@REM 创建和维护到远程服务的客户端网络连接。如果服务停止,这些连接将不可用。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。黑客可以用此服务看到所有计算机用户。
@REM 建议: 禁用
sc config   lanmanworkstation start= DISABLED
sc stop lanmanworkstation

@REM Help and Support
@REM 启用在此计算机上运行帮助和支持中心。如果停止服务,帮助和支持中心将不可用。如果禁用服务,任何直接依赖于此服务的服务将无法启动。
@REM 建议: 禁用
sc config   helpsvc start= DISABLED
sc stop helpsvc

Echo 系统服务优化设定完毕! 请按任意键返回并选4继续...
pause >nul
Goto start

:Reg
MODE con: COLS=80 LINES=18
COLOR 70
Echo.
Rem 注册表相关设定

reg delete HKEY_CLASSES_ROOT\WScript.Shell /f

reg delete HKEY_CLASSES_ROOT\WScript.Shell.1 /f

reg delete HKEY_CLASSES_ROOT\Shell.application /f

reg delete HKEY_CLASSES_ROOT\Shell.application.1 /f

reg delete HKEY_CLASSES_ROOT\WSCRIPT.NETWORK /f

reg delete HKEY_CLASSES_ROOT\WSCRIPT.NETWORK.1 /f

regsvr32 /s /u wshom.ocx

regsvr32 /s /u wshext.dll

regsvr32 /s /u shell32.dll

regsvr32 /s /u zipfldr.dll

Echo 注册表危险组件删除设定完毕! 请按任意键返回并选5继续...
PAUSE >nul
Goto start

:Ddos
MODE con: COLS=80 LINES=18
COLOR 70
Echo.
Rem 防DDOS洪水攻击处理

reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoRecentDocsMenu /t REG_BINARY /d "01 00 00 00" /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoRecentDocsHistory /t REG_BINARY /d "01 00 00 00" /f
reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v DontDisplayLastUserName /t REG_SZ /d 1 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa" /v restrictanonymous /t REG_DWORD /d "00000001" /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Parameters" /v AutoShareServer /t REG_DWORD /d "00000000" /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Parameters" /v AutoShareWks /t REG_DWORD /d "00000000" /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters" /v EnableICMPRedirect /t REG_DWORD /d "00000000" /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters" /v KeepAliveTime /t REG_DWORD /d "0x000927c0" /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters" /v SynAttackProtect /t REG_DWORD /d "00000002" /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters" /v TcpMaxHalfOpen /t REG_DWORD /d "0x000001f4" /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters" /v TcpMaxHalfOpenRetried /t REG_DWORD /d "00000190" /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters" /v TcpMaxConnectResponseRetransmissions /t REG_DWORD /d "00000001" /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters" /v TcpMaxDataRetransmissions /t REG_DWORD /d "00000003" /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters" /v TCPMaxPortsExhausted /t REG_DWORD /d "00000005" /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters" /v DisableIPSourceRouting /t REG_DWORD /d "00000002" /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters" /v TcpTimedWaitDelay /t REG_DWORD /d "0x0000001e" /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters" /v TcpNumConnections /t REG_DWORD /d "0x00004e20" /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters" /v EnablePMTUDiscovery /t REG_DWORD /d "00000000" /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters" /v NoNameReleaseOnDemand /t REG_DWORD /d "00000001" /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters" /v EnableDeadGWDetect /t REG_DWORD /d "00000000" /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters" /v PerformRouterDiscovery /t REG_DWORD /d "00000000" /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters" /v EnableICMPRedirects /t REG_DWORD /d "00000000" /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters" /v BacklogIncrement /t REG_DWORD /d "00000005" /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters" /v MaxConnBackLog /t REG_DWORD /d "0x000007d0" /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters" /v EnableDynamicBacklog /t REG_DWORD /d "00000001" /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters" /v MinimumDynamicBacklog /t REG_DWORD /d "00000014" /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters" /v MaximumDynamicBacklog /t REG_DWORD /d "00007530" /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters" /v DynamicBacklogGrowthDelta /t REG_DWORD /d "0x0000000a" /f

Rem 禁止dump file的产生和删除现有MEMORY.DMP文件
Rem dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料。然而,它也能够给黑客提供一些敏感信息比如一些应用程序的密码等。

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl" /v CrashDumpEnabled /t REG_DWORD  /d 00000000 /f

attrib %SystemRoot%\MEMORY.DMP -s -r -h
del %SystemRoot%\MEMORY.DMP /s /q /f

Echo 防DDOS洪水攻击处理完毕! 请按任意键返回并选6继续...
PAUSE >nul
Goto start


:restartiis
MODE con: COLS=80 LINES=18
COLOR 70
Echo.
Rem 重启IIS使设置生效

iisreset.exe

Echo IIS服务重启完毕! 请按任意键返回并选其他操作继续...
PAUSE >nul
Goto start

:End
Exit

==========以上为BAT内容,我是分割线,请不要复制我!================

怎么看iis版本?

打开   iis   ,看“帮助(H)”里有个“关于   Internet   信息服务(IIS)管理器   ”

挖掘IIS6.0管理网站的新招

尽管IIS6.0的推出已有一些时日,相信许多网民使用它管理各类网站已经烂熟于心,不过IIS6.0就像Windows操作系统一样深不见底,要是用力挖掘的话,还是能发现很多新应用技巧的,或许下面提供的几则管理网站的新技巧你并不熟悉。

  尽管IIS6.0的推出已有一些时日,相信许多网民使用它管理各类网站已经烂熟于心,不过IIS6.0就像Windows操作系统一样深不见底,要是用力挖掘的话,还是能发现很多新应用技巧的,或许下面提供的几则管理网站的新技巧你并不熟悉。

  1、阻止网站耗费太多内存资源

  使用IIS6.0管理网站时,常常会遇到网站运行一段时间之后,系统的内存资源占用率往往达到90%左右的情形;在这种情形下继续访问网站时,会明显感觉到网站页面打开速度太慢。为了有效避免这种现象的发生,我们可以巧妙地对IIS6.0中的应用程序池进行设置,让其定时回收不工作的进程,同时有效限制网站最大可以使用的内存数目,确保服务器始终能够稳定地运行。下面就是具体的设置步骤:

  依次单击“开始”/“设置”/“控制面板”命令,在打开的控制面板窗口中,双击“管理工具”图标,接着再双击“Internet信息服务管理器”图标,打开IIS6.0的控制台窗口;

在windows 2003中如何关闭iis admin service服务?

阅读以下内容后回答上面问题。谢谢!

“先在服务里关闭iis admin service服务
找到windows\system32\inesrv\下的metabase.xml,
打开,找到ASPMaxRequestEntityAllowed 把他修改为需要的值,
然后重启iis admin service服务”

开始-控制面板-管理-服务
找到iis admin
双击-停止

最新版PhpMyadmin安装教程

最近转向研究PHP了,呵呵,刚开始没有一点头绪
数据库什么的都没有ASP的ACCESS来的方便,此篇文仅供像我一样刚入门PHP
的菜菜们看看,呵呵

网上找的教程大多是 针对phpMyAdmin 2.7 (含)以下版本的, phpMyAdmin 2.7 (含)以下版本都找得到 config.inc.php 可以做设定;但是 phpMyAdmin 2.8.1 以上版本却没有 config.inc.php ,目前的最新版本是phpMyAdmin-2.8.2.1(官方8月2日发布).
以下教程是我自已摸索整理的,相关人员看不看能否勉强给个落伍。
phpMyAdmin 2.8. 2.1安装流程:
  1.下载目前最新版 phpMyAdmin 2.8.2.1 .
  2.在根目录下新建一个目录(例如: im286).
  3.解压缩并上传所有的档案到目录 im286 .
  4.打开浏览器,输入以下网址:http://你的网站/im286/
  5.在上述网页的"Servers"选项选择"Add"设定主机,
   server hostname: localhost
   Server port: 3306 (保持空白即可)
   Server socket: (保持空白即可)
   Authentication type 请选 http(有可能不能选择,跳过先不管它)
   User for config auth 及 Password for config auth 请自行设定
   phpMyAdmin control user 及 phpMyAdmin control user password 请自行设定
           最后按 Add 加入.
  6.先在根目录新建 2个空目录,在 Features 选项按下"Upload/Download",将"Upload directory", "Save directory" 各自指定上述 2个空目录,按"Update".
  7.在"Configuration"选项按下"Display",将 phpMyAdmin 2.8.1 setup 的所有内容 copy 下来,在用 网页编辑工具frontpage或DW等 存成"config.inc.php".
  8.将 config.inc.php 上传到根目录.(注,打开查看config.inc.php是否$cfg['Servers'][$i]['connect_type'] = 'http';这项,没有自已改过来)
  9.现在应当就可以按:[url]http://www.你的网址.com/im286[/url]来访问了

  安装完成后,记得将 setup.php 檔(位于 im286/scripts/ )删除,以防再次被安装。

注意以上im286是我举例的一个文夹名,大家可以任意自已命名""

注意:如果你使用的phpmyadmin是老版本的(phpmyadmin的配置文件在phpmyadmin的解压目录根目录下)而mysql则是较新版本的则需要多一步设置(由于MySQL 4.1 及其后版本验证协议使用的密码哈希算法与老的客户端不兼容,所以需要设置一下,使得密码兼容)。修改方式如下:
首先打开MySQL Command Line Client的命令行:(可以在 开始—程序 中打开mysql的程序组中选择)
在打开的命令行中,会要求输入密码,这里输入root帐号的密码,输入后出现提示符:
mysql>

接下来修改密码与老版本的密码匹配。
命令格式如下:
SET PASSWORD FOR 'root'@'localhost' = OLD_PASSWORD('XXXXX');
XXXXX表示安装时候设置的root帐号密码
这样ROOT密码就设置成与老版本密码兼容了

win2003下IIS6.0 PHP5+MYSQL5+PHPMYADMIN 简单配置教程

看到网上有很多教程,写的很详细.
不过不太适合自己.
把配置参数写一下,在加点说明.主要自己理解~~~o(∩_∩)o...

先配PHP把!
1.解开PHP5压缩包放到C盘,如c:\php5.2.1

2.进目录找到php.ini-dist文件,去掉-dist,用记事本打开编辑.常用几个参数改下就可以:

extension_dir = "d:\php5\ext"         \\这个是指向DLL组件的目录   
session.save_path="d:\php5\sessions"  \\这个是session的缓存,自己建,随便什么名字都可以.也可以不放这里面,但是要注意权限,一般我不注意安全,直接加everyone呼呼~~~
extension=php_mbstring.dll                \\去掉前面的分号下面同理
extension=php_gd2.dll                     
extension=php_mcrypt.dll
extension=php_mysql.dll
完了保存.然后拷贝到c:\windows目录下

3.到c:\php5这个目录,把php5ts.dll,libmysql.dll,libmcrypt.dll这3个文件拷到c:\windows\system32目录下.

4.下面是IIS加载了.
打开IIS=>>web服务扩展=>>添加一个新的web服务扩展=>>扩展名填 php ,点添加|浏览|c:\php5\php5isapi.dll 然后在选中设置扩展状态为允许 =>>确定
打开IIS=>>网站=>>右键=>>属性=>>主目录=>>配置=>>添加=>>可执行文件名同样填c:\php5\php5isapi.dll,扩展名同样填php=>>然后一路确定.

5.配置好了,把下面3行代码保存成env.php,放到默认站点里面测试下就可以了.
<?php
phpinfo();
?>
6.装zend,除了在版权声明那里要点一些我同意,其他一律下一步,任何提示甭管,直到安装完成.
注意:配PHP就这么简单,不过要注意磁盘或目录的权限,否则同样也配不成功.....看别人写的教程太复杂了,自己注释几句话感觉越注释越复杂的说,NND......

现在来装MYSQL5
1.运行setup=>>下一步=>>想拿空机器配然后把步骤写下来的,怕明天做系统麻烦,就做了ghost,快半个小时也没起来,估计挂了...NND...明天补上.
----------好了,回来补上.
这里用Setup.exe这种安装版,运行setup.exe=>>Next(下一步)=>>Custom(定制)=>>Next(下一步)=>>Change(改变)来选择安装的位置,一般我装在D盘.看个人需要了.如果安装在C盘,数据不想放在C盘,装完就更换my.ini=>>Next(下一步)=>>Install=>>会进行解压安装,进行完之后选择Skip sign-up(跳过),然后Next(下一步)=>>Finish(整理)(注意,这时不需要你手动操作,configure那个立即运行mysql项应该是选中的)=>>出现新的对话框,继续点next=>>这里有两个选项,我选standard configuration(标准配置)=>>next=>>这里有3个复选框,其中includ开头的这个默认是没选中状态,给它选中,其他不要管=>>next=>>默认只选中了modify开头的,其他的也不用选,填两次密码继续按next=>>execute(执行安装)=>>OK完成!!

现在来配phpmyadmin
1.解压缩并拷贝文件到你想要用的网站目录
2.到目录libraries下打开config.default.php
3.下面3个参数改一下
cfg['PmaAbsoluteUri'] = 'http://localhost/phpmyadmin/'   //就这个格式,你phpmyadmin的访问地址
cfg['blowfish_secret'] = '123456'                        //随便加个密码就行了,但是不能留空
cfg['Servers'][$i]['auth_type'] = 'cookie'               //默认是config,安全期间最好修改
                       
没技术含量,重要的就是红色的参数部分的,其他的操作一次就全记住了,我配过N台服务器了,上面这些参数还的到记事本里面查.记不住.呵呵.以前经常写个blog,但是那个blog泄密啊!所以就不用了.源文件在本地保存着,改天整理一下拿出来发这里.呵呵.

E文外贸网应杜绝的问题

国外英文网站最常见的问题:

网站设计中国化,不符合国外用户浏览习惯,导致外国人很难找到他想要的资讯和浏览习惯感觉别扭;
网站布局不人性化,没有互动,当用户找了很久没有找到他想要的信息后,想直接通过网络咨询却难找到最详细的联系方式和相关负责人;
网站设计不专业,做工粗糙,很多英文语法错误,导致让国外用户感觉该公司很小很不专业而且粗心,而得不到其合作机会;
网站在国外无法打开,要不国外用户打开其网站慢的难以忍受,导致用户没有耐心早已关闭网站,而连合作的机会都没有;
网站上的留言反馈、在线咨询、电邮咨询是摆设,用户问了半天,没有得到回复,而早已经找到别家供应商了;
网站基本优化没有做,在海外系列搜索引擎上排名到好几页开外,让采购商很难找到;
网站优化做弊,被搜索引擎封了,导致在搜索引擎上找不到该网站;
忽略了国外当地用户习惯,忽略了当地的知名的网站和黄页等采购商常用的工具。
针对上述问题解决办法,千百度网络工作室建议此类客户专注以下几点:

网站设计全盘西方化,注意字体大小(西方人喜欢较小字体)、浏览器编码(海外很多用户没有安装中文语言支持,网站应该用utf-8编码)、细节处理(语言细节、网站设计精细等)。
网站设计参考国外知名大公司,做出大气、稳重的气势来,如ibm.com等。国外用户很少来大陆来考察,很多信息都是通过网站来了解到的,公司如果小,应该在网站上做出大气来,显示自己公司的实力和专业,公司如果大,更应该展示自己的资质和实力。
网站必须放置在海外的服务器上去,保证海外用户访问网站的速度,如果是全球化的用户群体,建议使用美国的主机,毕竟美国互联网资源最丰富。如果是其他地区和国家,建议选购当地的网站空间。
企业邮局,太重要了,大量的Email产生业务,一封都不能丢失或出其它问题。保证全球收发正常,现在根据大陆的情况来看,采用的企业邮局服务器放置在大陆的话,基本上在海外有很多国家收不到你的企业邮局。不用企业邮局又不行,国外用户很注重公司的形象,企业邮局是最基本的。这样就要使用在海外的企业邮局了。企业邮局服务器在美国或欧洲或香港台湾,邮件服务器IP必须做反向解析,邮件系统尽量选择国外的邮件系统。同时最好选择有中继海外服务器转发功能,大陆的邮件发不过去,还可以通过境外的服务器来转发该电邮。
网站建设过程中要进行最基本的网站优化,如关键词优化、导航优化、标签优化、关键词密度等都必须注意到,这些也可以算是现在网站建设的基本配置了。
网站建设要注意人性化设计,看看Dell、Apple、Aol、iriver等网站,简洁明了,重要的信息总是出现在最醒目的位置,联系方式详细,找不到自己要的信息的时候,有很多方式可以让他来直接和公司相关负责人沟通,如及时电邮、即时通讯、网络电话等。让用户总是能够找到他想要的信息。国外的网站很多都是自助式的,就是因为网站上导购非常清晰,注释说明很明了,访问者按照一步步使用说明就可以完成他要了解的东西,如果有疑问,又能很方便的找到相关联系人,让问题得到及时的解决。
不要为了投机取巧,去做一些不诚信的营销方式,如发送垃圾邮件、搜索引擎做弊等,后果很严重。
多了解下目标客户群体的使用习惯。如在欧洲,很多专业的采购商使用黄页的次数比网络多。某些地方又是使用B2B商务平台比搜索引擎多,有些地方又是相反,还有展会等,要根据不同地区的习惯来制定不同的网络营销预算。
解决方法:

寻找专业有实力和经验长期开发海外网站的网站建设公司,专业表现在熟悉外贸、精通英文、网站设计程序开发专业。
选择您客户群体所在的当地网站空间或服务器租用托管,方便您客户快速能打开您的网站。
除了上面的基本点外,最好有后续的推广服务,如网站优化、海外推广方法介绍等。谁也没有精力老是去找很多公司来合作,谁能一条龙,而又很专业的搞定最好不过了。
服务及时,公司有实力,从业人员水平高等。

阿江的WINDOWS服务器安全设置

前言

其实,在服务器的安全设置方面,我虽然有一些经验,但是还谈不上有研究,所以我写这篇文章的时候心里很不踏实,总害怕说错了会误了别人的事。

本文更侧重于防止ASP漏洞攻击,所以服务器防黑等方面的讲解可能略嫌少了点。

基本的服务器安全设置

安装补丁

安装好操作系统之后,最好能在托管之前就完成补丁的安装,配置好网络后,如果是2000则确定安装上了SP4,如果是2003,则最好安装上SP1,然后点击开始→Windows Update,安装所有的关键更新。

安装杀毒软件

虽然杀毒软件有时候不能解决问题,但是杀毒软件避免了很多问题。我一直在用诺顿2004,据说2005可以杀木马,不过我没试过。还有人用瑞星,瑞星是确定可以杀木马的。更多的人说卡巴司机好,不过我没用过。

不要指望杀毒软件杀掉所有的木马,因为ASP木马的特征是可以通过一定手段来避开杀毒软件的查杀。

设置端口保护和防火墙、删除默认共享