關(guān)于腳本入侵的文章，網(wǎng)上已經(jīng)是泛濫之勢(shì)。原創(chuàng)的雖然多，但是抄襲的也不少。很多人用http://whois.webhosting.info查詢(xún)一下某個(gè)IP的所有域名，然后找個(gè)腳本漏洞進(jìn)入服務(wù)器就以黑客自居。未公布的漏洞，我不知道，所以請(qǐng)不要用來(lái)打擊我。好了，廢話我不多說(shuō)了，在這里說(shuō)一下我以為比較安全的win2000虛擬主機(jī)的權(quán)限設(shè)置方法，僅僅是說(shuō)下權(quán)限設(shè)置。

　　一.虛擬主機(jī)需要的軟件及環(huán)境

　　1.Serv-U5.0.11(似乎不安全，但是也未必)

　　2.Mysql數(shù)據(jù)庫(kù)

　　3.Mssql數(shù)據(jù)庫(kù)

　　4.PcAnyWhere遠(yuǎn)程控制

　　5.殺毒軟件，我一般使用諾頓8.0

　　6.php5

　　7.ActivePerl5.8

　　以上各種軟件，除Mssql數(shù)據(jù)庫(kù)以為，其他的都應(yīng)去官方網(wǎng)站下載推薦版本安裝。下面開(kāi)始就是安裝設(shè)置了，從系統(tǒng)安裝完開(kāi)始。假設(shè)系統(tǒng)安裝的windows2000高級(jí)服務(wù)器版，系統(tǒng)分為c盤(pán)，d盤(pán)和e盤(pán)，全部是ntfs格式。

　　二.系統(tǒng)端口設(shè)置

　　虛擬主機(jī)，一般同時(shí)使用PcanyWhere和終端服務(wù)進(jìn)行控制，終端服務(wù)要更改端口，比如修改成8735端口。根據(jù)要開(kāi)放的服務(wù)，去設(shè)置TCP/IP篩選。為什么不使用本地安全策略了?個(gè)人認(rèn)為T(mén)CP/IP篩選比較嚴(yán)格，因?yàn)檫@里是除非明確允許否則拒絕，而本地安全策略是除非明確拒絕否則允許。如果我理解不當(dāng)，還請(qǐng)指教。TCP/IP篩選設(shè)置如下：

　　TCP端口只允許21，80，5631，8735，10001，10002，10003，10004，10005;IP協(xié)議只允許6;UDP端口我沒(méi)有做過(guò)詳細(xì)測(cè)試，不敢亂說(shuō)，以后測(cè)試了再補(bǔ)上。TCP/IP端口里面的10001-10005是設(shè)置Serv-U的PASV模式使用的端口，當(dāng)然也可以使用別的。

　　本地連接屬性里面，卸載所有的其他協(xié)議，只留下Internet協(xié)議(TCP/IP)，順便把a(bǔ)dministrator帳號(hào)改個(gè)復(fù)雜點(diǎn)的名字，并且在本地安全策略里面設(shè)置不顯示上次登陸帳號(hào)，對(duì)帳號(hào)鎖定做出合適的設(shè)置。然后重新啟動(dòng)計(jì)算機(jī)，這步設(shè)置已經(jīng)完成。

　　三.系統(tǒng)權(quán)限設(shè)置

　　現(xiàn)在開(kāi)始安裝軟件，所有的軟件都安裝在d盤(pán)，e盤(pán)作數(shù)據(jù)備份使用。先安裝Serv-U到d:\Serv-U，并且漢化順便破解，嘿嘿。然后依次安裝到d盤(pán)。現(xiàn)在開(kāi)始設(shè)置權(quán)限。首先二話不說(shuō)，c盤(pán)，d盤(pán)和e盤(pán)的安全里面把Everyone刪除，添加改名后的administrator和system，讓他們完全控制。高級(jí)里面重置所有子對(duì)象的權(quán)限并允許傳播可繼承權(quán)限。這樣系統(tǒng)所有的文件，目錄全部是由改名后的administrator和system控制了，并且自動(dòng)繼承上級(jí)目錄的權(quán)限，下面開(kāi)始為每個(gè)目錄設(shè)置對(duì)應(yīng)的權(quán)限。

　　運(yùn)行asp，建立數(shù)據(jù)庫(kù)連接需要使用C:\Program Files\Common Files目錄下面的文件。在這里，設(shè)置C:\Program Files\Common Files權(quán)限，加入everyone，權(quán)限為讀取，列出文件夾目錄，讀取及運(yùn)行。還可以使用高級(jí)標(biāo)簽進(jìn)行更加嚴(yán)格的設(shè)置，但是我沒(méi)有做過(guò)，不敢胡說(shuō)。

　　運(yùn)行php，需要設(shè)置c:\winnt\php.ini的權(quán)限，讓everyone有讀取權(quán)限即可。如果php的session目錄設(shè)置為c:\winnt\temp目錄，此目錄應(yīng)該讓everyone有讀取寫(xiě)入權(quán)限。為提高性能，php設(shè)置為使用isapi解析，d:\php目錄讓everyone有讀取，列出文件夾目錄，讀取及運(yùn)行權(quán)限。至于php.ini的設(shè)置，這里我就不說(shuō)了。******我不很懂，第二我只講系統(tǒng)權(quán)限設(shè)置。

　　運(yùn)行cgi，設(shè)置d:\perl讓everyone有讀取，列出文件夾目錄，讀取及運(yùn)行權(quán)限。順便說(shuō)下，cgi設(shè)置為使用isapi方式解析有利于安全和性能。

　　現(xiàn)在說(shuō)下讓人頭大的Serv-U的設(shè)置了。這東西功能確實(shí)強(qiáng)大，但是安全性不怎么好，需要我們來(lái)改造。***首先的是溢出攻擊，5.0.11好象已經(jīng)沒(méi)有這個(gè)缺陷了。其次是修改ini配置文件，這里已經(jīng)沒(méi)有權(quán)限修改了，略過(guò)不提。據(jù)我所知現(xiàn)在******的辦法就是使用默認(rèn)的管理帳號(hào)和密碼添加有寫(xiě)入執(zhí)行權(quán)限的帳號(hào)來(lái)執(zhí)行木馬了。把默認(rèn)帳號(hào)密碼修改掉就完了，這個(gè)東西直接使用editplus之類(lèi)的編輯器打開(kāi)ServUDaemon.exe和ServUAdmin.exe修改就可以了。如果懶得麻煩，隨便什么語(yǔ)言寫(xiě)個(gè)程序都很容易作到。我以前寫(xiě)過(guò)一個(gè)這樣的東西，方便自己設(shè)置。現(xiàn)在Serv-U基本上沒(méi)有什么問(wèn)題了。至于數(shù)據(jù)庫(kù)，權(quán)限已經(jīng)不用設(shè)置了，直接繼承d盤(pán)根目錄就可以。至于里面的帳號(hào)密碼該怎么設(shè)置，我也懶得說(shuō)了。

　　現(xiàn)在***后一點(diǎn)，就是設(shè)置c:\winnt\system32目錄和他下面的一些東西了。很多程序運(yùn)行需要這里的動(dòng)態(tài)連接庫(kù)，而且這里文件太多，我也沒(méi)有弄明白所有的，把目錄c:\winnt\system32給everyone賦予讀取，列出文件夾目錄，讀取及運(yùn)行即可。其實(shí)，這樣做是不安全的，但是別慌，我們還沒(méi)有完。在這個(gè)目錄下面，我們還需要對(duì)幾個(gè)特別程序進(jìn)行單獨(dú)的設(shè)置。首先就是cacls.exe，嘿嘿，先把這個(gè)設(shè)置了在說(shuō)別的。這東東是設(shè)置權(quán)限用的，讓它不繼承父目錄權(quán)限，并且讓它拒絕任何人訪問(wèn)，因?yàn)槲覀円话悴皇褂眠@個(gè)鳥(niǎo)東西。其他的要設(shè)置的程序列表如下：net.exe,cmd.exe,ftp.exe,tftp.exe,telnet.exe，這幾個(gè)程序設(shè)置成只允許改名后的administrator訪問(wèn)。