CONSULTING QIAN1
咨询千一
选择下列产品马上在线沟通
微信扫码咨询
咨询电话:0833-2134912
你可能遇到了下面的问题
关闭右侧工具栏

研习记录

windows服务器挂马分析与处理之三:IIS网站(常见CMS)目录权限设置
  • 作者:CHEN
  • 来源:2019/3/31记
接续上一篇。

10.常见CMS权限设置。设置原则,可写目录禁止脚本执行,这样即使有上传漏洞也无法运行。
 
一般来说,需要上传文件的或者有缓存的目录为可写(iusr可写即可)。其他目录只需可读。我们可以把站点保存的总文件夹,如WWW或者WEB,设置iusr、iis_users可读。这样里面的站点根目录继承权限即可,免得每一个站点设置很麻烦。注意iis_users也要可读。其余保留administrator和system权限即可。
站点总目录权限设置

设置好总目录,在来设置每个站点根目录权限,此时其应该继承父目录,iusr和iis_users只有可读权限。观察改站点的目录结构,找到上传文件或者有缓存的文件夹,asp站点还有数据库文件夹,设置可写。
设置data文件夹iusr可写
 
设置好可写后,在IIS中禁止该文件夹的脚本功能。点击iis中的站点,处理程序映射,如下图设置,设置好后,改目录中的asp、php文件访问将报错不支持脚本运行。
禁用目录脚本执行

由于不同cms的目录结构不同,有时难免设置后网站500错误。这是可以通过逐步增加权限来测试,直至能正常访问。

在此,我总结了一些常用CMS的目录权限设置:

a、织梦Dedecms目录权限
/  iusr、iis_iusrs 根目录可读
/data 有缓存,需要写入 iusr可写
/a 生成静态html,需要写入 iusr可写
/upload 上传图片,iusr可写
如需插件更新、在线模板编辑还需要开发相应文件夹可写。
设置好后,在iis中把这些文件夹禁用脚本。

b、Aspcms权限
/  iusr、iis_iusrs 根目录可读
/data 数据库,需要写入 iusr可写(另外需要启用父路径、启用32位才能操作access)
/upload 上传文件夹,iusr可写
设置好后,在iis中把这些文件夹禁用脚本。
 
c.微擎。此类系统一般需要站点根目录iusr具有列出文件内容权限,不然会报错。
/  iusr、iis_iusrs 根目录可读,iusr列出目录
/addon  微擎插件目录,需要iusr可写
/data   有缓存,需要iusr可写
设置好后,在iis中把这些文件夹禁用脚本。
 
d.H5场景秀(仿易企秀)
/  iusr、iis_iusrs 根目录可读,iusr列出目录
/application/runtime  运行时,需要iusr可写
/uploads  上传文件夹,需要iusr可写
设置好后,在iis中把这些文件夹禁用脚本。
 
e.pigcms、微橙。基于thinkphp。
同样,根目录可列出。Thinkphp主要设置conf里的cache、log、data可写,cms下还有个cache、session需要可写。
 
关于安全软件选择:
服务器安全狗,作用不大,只要改了远程端口,服务器用户名修改,防火墙端口设置好,则可不安装(主要是内存有限)。防护arp和tcp层的攻击还是比较有用,但此类攻击不多。
IIS/apache安全狗:对漏洞多的网站有作用,尤其是简单的注入,爆破等。可以偶尔扫描一下后门。
悬镜、云锁:云锁有APP,但这些不付费的话,安装意义也不到。悬镜没有用过。

关于云服务器商选择:
阿里云,国内第一不用说,自带很多防御。
百度云,好像对百度收入有好处。价格更实惠。
其他各种云,不清楚,自己尝试。
 
总结:目录权限越细致越安全,最好能写入的都不可执行脚本。文章完,有机会再分享渗透学习笔记。