serv-u安全配置完整版
栏目:win服务器问题汇总
时间:2019-11-09 08:29
一、serv-u安全隐患及利用。
二、serv-u安装及安全设置详解。
三、serv-u相关的模式与防火墙设置。
四、关于serv-u的Banner及登录消息的设置。
Serv-U是一款十分经典的FTP服务器软件,一直被大部分管理员和虚拟主机所使用,它简单的安装和配置以及强大的管理功能也一直被管理员们称颂。但是随着使用者越来越多,也有越来越多的主机被通过Serv-U软件所入侵。
本文旨在提出一些切实可行的方法,彻底杜绝由Serv-u带来的安全隐患。
1、Serv-u的安装:
关于Serv-u的安装网上许多文章中提到要安装在一个复杂的路径,个人认为这个不是十分必要,完全可以按照你喜欢的例如:D:\soft\Serv-u目录里。但是不推荐安装在系统盘目录里,也不推荐安装在c:\Program files目录里,因为这个目录的权限的原因(详细权限设置以后再发文专门讨论)。推荐的方式是无需安装,直接使用绿色版的或直接复制在其他机器上安装好的Serv-U的目录。serv-u的用户配置文件有两种方式,一种是存放在注册表,一种是存放在ServUDaemon.ini文件,推荐使用存放在.ini文件里面的方式,这种方式便于ser-u软件的升级,也便于重装系统后的ftp用户的恢复,在权限设置上也相对方便。另外版本的选择一定要选择6.3版本以上的,现在最新的是 6.4.0.6 ,推荐使用,这里我们假设serv-u软件放在的的D:\soft\Serv-U目录里。
2、权限设置:
给serv-u单独的用户权限运行。在计算机管理中新增帐户ftp,设置用户不能更改密码,密码用不过期,并设置一个复杂的密码,更改ftp用户隶属于Guests组(默认是USERS组),当然也可以设置为不属于任何组。
启动serv-u(这时是使用默认的system权限运行的),选择本地服务器,自动开始,将serv-u设置为系统服务,这样服务器在每次重启时serv-u就会自动启动,这里我们主要利用其可以在服务中配置给serv-u单独用户。
设置D:\soft\Serv-U目录的权限为只保留administrators,ftp两个用户的权限,权限都是完全控制即可,并替换到所有子目录。
在计算机管理中找到服务,找到Serv-U FTP 服务器,右键属性,在登录选项卡中将登录身份从本地系统帐户改为此帐户,帐户选择ftp,并输入设置好的密码。确定后会提示将在服务重启后生效,接着点右键,重新启动,如果启动成功,你的serv-u就在低权限下运行了。
上传目录权限的设置:因为serv-u是用ftp这个帐户运行的,所以上传的目录给予ftp用户的完全访问权限就可以了,比如我们可以设置D、E、F盘的权限为administrators和ftp完全控制的权限,System权限也不用加了,如果serv-u用默认权限运行,则必须加入system权限才能对该目录进行ftp操作。
3、安全隐患及利用
Serv-u在本机有一个默认监听端口,默认监听127.0.0.1:43958,在本机才能连接这个管理端口,默认管理账号是LocalAdministrator,默认密码是"#l@$ak#.lk;0@P",这个密码是固定的。所以几乎所有的针对serv-u攻击的木马便是利用此来添加serv-u用户的,比如增加一个指向C盘的超级管理员用户,够可怕吧。
这里我们用一个常用的ASP木马中举例说明:(serv-u提权超强版)
提权后可以直接执行命令添加管理员帐户,并且加了个隐藏的管理员帐户(当然这个帐户隐藏方式比较低级)如果成功了,用这个帐户远程登录上去创建一个克隆的管理员帐户,再把这个删掉)。管理员如果连serv-u安全都做不很好的,对于隐藏度很高的克隆的帐号也不一定能发现,所以Serv-U的安全不容忽视。
比如俺一个朋友就喜欢用SQLDebugger 、SUPPORT_XXX等这样的帐户克隆出管理员帐户,查看属性又看不出来,很容易逃脱管理员的眼睛。