互联网火爆行业发展越来越大,安装和使用服务器的人也比较多,而且服务器也存在安全隐患导致被恶意控制。现在给大家普及一下服务器被写入权限的常用手法及防范方式作出一个列举和概述。服务器在网络上是以IP作为存在标识的。相应的方式就是针对于不同端口所作出的入亲。 一、80端口 此端口默认为WEB访问端口 ,出现提权的情况一般是由于IIS匿名用户非自定义及站点默认目录权限过高,导致通过特定代码恶意写入了web shell文件拿到的权限。 防范方式 自定义web匿名访问用户,将站点目录转移至非系统盘,匿名用户删除组权限并控制写入权限。
二、139及445端口 139端口是windows netbios 和文件及打印共享端口,445端口是专用的文件本地共享端口。通过这2个端口的侦测和请求可以直接穿越管理员权限拿到服务器管理SHELL 防范方式 1 关闭139 本地连接属性-TCP/IP属性-高级-wins-禁用tcp/ip上的netbios 2 关闭445 修改注册表,添加一个键值 Hive: HKEY_LOCAL_MACHINE Key: System\CurrentControlSet\Services\NetBT\Parameters Name: SMBDeviceEnabled Type: REG_DWORD Value: 0
三、1433端口 此端口默认为MSSQLSERVER各版本的对外通讯端口,一般情况下是由于未删除危险SP及管理员SA密码强度过弱导致的入亲。 防范方式详情参见http://txnet365.com/jsxy/358.jhtml 四 3306端口 该端口是默认的mysql对外通讯端口,出现入亲的情况一般是由于弱口令及服务为默认系统启动导致的通过mysql远程登录提权 防范方式 详情参见http://txnet365.com/jsxy/355.jhtml 五 3389端口 该端口导致的入亲基本上可以完全肯定为管理员口令密码强度过弱导致,建议管理员密码不低于8位,最好为大小写字母+数字+符号的高强度混合密码 另外 修改默认的远程连接端口也可以避免这一情况发生 修改方式 步骤:打开“开始→运行”, 输入“regedit”,打开注册表,进入以下路径: [HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Control\Terminal Server\ Wds\rdpwd\Tds\tcp\PortNamber 修改这个DWORD键值的值(默认D3D-3389的16进制) 注意进制问题 再打开[HKEY_LOCAL_MACHINE\ SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\RDP\Tcp\PortNumber 修改这个DWORD键值的值(默认D3D-3389的16进制) 修改完毕,重新启动电脑,以后远程登录的时候就使用新端口登陆了
