为了从根本上解决问题,我们建议所有用户升级受控端安装包到2011-8-13版,并点击设置"ASP.net严格安全模型"及"拦截可能入侵"功能:
对于最新的受控端(2011-8-13版),在自动设置受控中增加了"拦截可能入侵"功能,我们要求所有使用宽松asp.net权限的用户,或曾发生过入侵的用户,都要选上这个功能。另外增加的功能是“记录相关入侵日志”,一般不需要启用。
如果您要升级到最新的受控端,请注意以下几点条件必须满足:
1.服务器上的超级管理员组名必须是administrators,不能更改组名,不然有可能造成服务器操作系统不正常。
2.您必须在安装后Mysql,MSsql,并设置这两个软件运行在普通用户的情况下,才能安装最新版本的受控端安装,不然会造成Myqsl及Mssql被拦截。
注意,"拦截可能入侵"功能并不能代替星外杀马的扫描所有盘权限的功能,因此,就算您启用拦截入侵行为的功能,您一样需要用星外杀马扫描所有盘的权限,确保权限正常,而且,在您添加新的超级管理员帐号后,或安装新的软件或新的补丁后,您也要用星外杀马扫描所有盘的权限,以确保服务器权限完全正常。"拦截可能入侵"功能可以代替星外杀马的“自动删除写入C盘指定格式文件”的功能,因此,您不需要长期运行星外杀马软件。
"拦截可能入侵"功能安装后默认处于关闭状态,请您在自动设置受控中启动它.
另外,如果您需要增加超过管理员,或重装Mssql,或重装mysql,或更改SQL的运行用户,请您在做这些操作前先关闭"拦截可能入侵"功能。
对于服务器上的杀毒软件,我们建议装Mcafee,请不重装360,很多版本的360都有提权问题.
安装操作系统补丁后(有时会自动更改权限),因此在每次安装补丁后,请用星外杀马再扫下C盘,再用安全包处理,不然会入侵。
在2011-6-8星外发布了新版的星外杀马扫描工具(在群共享或星外后台可以下载)
以下所说的问题所有设置了asp.net严格安全的用户不受影响:
注意,我们建议删除目录:
C:\Inetpub\AdminScripts
虽然在配置好安全后无法利用来入侵,但这个目前中的程序仍然有可能泄漏敏感的信息
在扫描结果中我们发现在大量服务器存在以下问题.
文件:C:\WINDOWS\TAPI\tsec.ini
处理办法:将这个文件改为只有adms,system读的权限.修改后重启服务器后,扫描可能仍然提示权限有问题,但这种情况不用管了,因为权限已变成了users拒绝了,这是正常的,不用处理了.
360的
文件:C:\Program Files\360\360sd\Section\mutex.db
文件:C:\Program Files\360\360Safe\deepscan\Section\mutex.db
文件:C:\Program Files\360\360Safe\AntiSection\mutex.db
处理办法:直接完全删除360,所有360删除光后留下的文件都要删除
Flash:
文件:C:\WINDOWS\system32\Macromed\Flash\Flash10q.ocx
处理办法:直接完全删除(不要保留在回收站),不要在服务器上装Flash组件
IISrewrite3
文件:C:\Program Files\Helicon\ISAPI_Rewrite3\Rewrite.log
文件:C:\Program Files\Helicon\ISAPI_Rewrite3\httpd.conf
文件:C:\Program Files\Helicon\ISAPI_Rewrite3\error.log
处理办法:将三个文件的权限改成erveryone只读权限(没有写的权限)
DU Meter的流量统计信息日志文件
c:\Documents and Settings\All Users\Application Data\Hagel Technologies\DU Meter\log.csv
处理办法:删除它
诺顿
c:\Program Files\Common Files\Symantec Shared\Persist.bak
c:\Program Files\Common Files\Symantec Shared\Validate.dat
c:\Program Files\Common Files\Symantec Shared\Persist.Dat
处理办法:直接完全删除这个软件
华盾
文件:C:\WINDOWS\hchiblis.ibl
处理办法:直接完全删除这个过滤软件,如果因为别的原因不能删除,可以将权限改成users读与写,不能有everyone或users运行的权限.
一流过滤:
文件:C:\7i24.com\iissafe\log\startandiischeck.txt
文件:C:\7i24.com\iissafe\log\scanlog.htm
文件:C:\7i24.com\iissafe\log\perf.csv
如果已经是最新版本的一流(2011-2-19)就不需要处理,如果是旧版本的,要先删除这三个文件,然后再升级一流.正常情况下,这三个文件只有everyone读写的权限(没有运行,也没有users用户的权限)
其他有可能提示的文件:
文件:C:\WINDOWS\Temp\Temporary Internet Files\Content.IE5\index.dat
文件:C:\WINDOWS\Temp\History\History.IE5\index.dat
文件:C:\WINDOWS\Temp\Cookies\index.dat
检查文件在高级权限管理中,是不是有everyone运行的权限,如果没有,就不用处理,如果有运行的权限要取消运行权限
文件:C:\7i24.com\LinkGate\log\....
目录:C:\7i24.com\LinkGate\log
目录:C:\7i24.com\serverdoctor\log\
文件:C:\7i24.com\serverdoctor\log\....
不需要处理,星外的防盗链,服务器医生等软件默认已自动设置好权限
如果看下这样的提示:
2011-6-8 15:04:50,方法失败,意外错误代码为 32。
这是扫描软盘A:造成的,不用处理
部分zend版本可能有这个提示:
文件:C:\Program Files\Zend\ZendOptimizer-3.3.0\lib\Optimizer-3.3.0\php-5.2.x\ZendOptimizer.dll
目录:C:\Program Files\Zend\ZendOptimizer-3.3.0\lib\Optimizer-3.3.0\php-5.2.x......
处理办法:将everyone的权限删除,改成adms,system全部权限,users只读权限.
如果你启用了ASP压缩(GZIP等)
文件:C:\WINDOWS\system32\inetsrv\ASP Compiled Templates\PID5828.TMP\ASPFD.tmp等类似的文件
处理办法:检查这些文件在高级管理中有没有everyone运行的权限,如果没有,就不需要处理.(正常是没有的)
除了上面列出的文件外,如果您的服务器还提示有别的文件有权限问题,处理的原则是:
1.能不安装的软件就不要安装.
2.如果这个文件必须保留,我们要求所有提示有权限问题的文件,都不能有everyone或users用户运行的权限.
处理后,请再用星外杀马扫描一次.
以下是旧的说明:
2011-3-9
经查我们发现部分服务器仍然存在安全问题,因此发布了新的扫描工具及安全包,请所有用户马上扫描并用安全包处理.
注意
2011-2-19 22:00 有用户反映安装了一流监控后,部分服务器的c:\7i24.com\iissafe\log\sys的权限不正常,经检查,正常的权限是只有erveryone权限,不应该有users权限组的任何权限的,如果你的服务器上有这个目录,并且这个目录多了users的权限,请马上下载最新版本的安全包,点"纠正出错的一流权限"就可以解决.如果用最新版本星外杀马提示"这是一流监控的目录权限问题未修正!请马上联系星外支持解决!!!"表明你尚未用最新的安全包处理,请用安全包处理后,再扫描一次。
关于c:\7i24.com\iissafe\log及\log\sys目录,正常的权限情况下,复制cmd.exe进去,双击是无法运行的,大家可以测试下,如果能运行肯定就是错的.
近期有用户的报告发映服务器被入侵,经查是回收站目录的权限有错造成的.
(最新发现一键GHOST产生的默认备份目录如~1也会有安全问题)
注意
请您在设置完安全包后,使用星外杀马工具最新版本点击扫描所有盘的所有目录功能,检查有没有权限问题,下载地址参考(更新于2011-3-9 !!!):
http://sys.7i24.com/system/support/show.asp?id=20101231000556
对于软件扫出来有权限问题的目录,除了C:\7i24.com目录外,别的目录,都要改成adms,system全部权限,别的,如everyone的权限都应该删除.users的权限也不能有写入的权限,另外,如果提示"这是一流监控的目录权限问题未修正!请马上联系星外支持解决!!!"表明你尚未用最新的安全包处理,请用安全包处理后,再扫描一次.
另外,所有安装诺顿10的用户,请马上升级成诺顿11,不然以下目录一升级诺顿就有权限问题:
C:\Program Files\Symantec AntiVirus\SAVRT
C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\I2_LDVP.TMP
这个目录会造成入侵.
以前的旧的说明:
请下载最新版的安全包(2011-1-13),点击"设置回收站目录权限"及"设置Users关键目录权限"功能,就可以解决以下问题:
回收站目录的权限存在users组成写入与运行权限造成的提权:
如:
C:\RECYCLER
D:\RECYCLER
....
等目录,这些目录默认是隐藏的,您要看到这些目录需要显示系统文件才能看到.
如果这些目录中有你不认识的vbs,exe等文件就很可能是入侵后的后门.
注意,使用最新安全包后,可能会提示回收站被破坏,不用担心,这个提示不影响使用,也不用处理.安全包只能限制了USERs用户的调用回收站造成不安全.正常情况下,回收站只应该有adms,sytem全部的权限.
另外,我们还检查了所有可能有权限问题的目录,请点击设置"设置Users关键目录权限"功能,就可以解决,此功能对windows 2003/windows 2008R2同样有用,请您务必操作!
以下是近期的安全提示:
请下载最新版的安全包,点击"设置Media等目录权限"功能,就可以解决以下问题:
(其他的功能不用点,最新版的安全包可以用主控用户名登陆星外网站,在软件下载,老用户升级中下载)
如果以下目录中存在任何文件,可能是入侵造成的,在设置安全包后,里面的文件应该手工删除(PHP目录中默认的文件除外):
如以下目录:
C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index\
C:\php\dev,C:\php\ext,C:\PHP\extras,C:\PHP\PEAR
C:\wmpub
C:\upload
C:\inetpub
以下是问题的完整说明:
有用户说以下目录
C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index\
有users,或everyone写入的权限,大家查下有没有这个问题
无论是否存在这样的问题,请运行以下命令,可以直接处理权限,从而防止入侵:
先在开始中,输入CMD运行后,再输入:
ECHO Y|cacls "C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index" /P SYSTEM:F
另外,以下是近期的安全问题,也请检查
关于C:\php下的子目录权限不正常造成服务器被入侵的处理办法
在2010-11-23我们接到两个用户反映有服务器C:\php\dev,C:\php\ext,C:\PHP\extras,C:\PHP\PEAR
中发现了被上传cmd.exe文件,经检查,我们发现这些目录的权限多了users用户组写入权限,经我们检测,默认情况下安装星外的PHP包并没发生这样的问题,有可能是安装其他软件影响了,
在不确定原因的情况下,我们发布了新版本的PHP安装包(更新于2010-11-23),您可以登陆星外客服中心下载此PHP安装包来解决这个问题.
处理办法
1.停止IIS
2.在添加删除中删除原来的星外PHP安装包
3.删除c:\php目录所有文件
4.安装最新版本的PHP安装包,这个安装包会强行将原来错的users权限改正.
更新PHP安装包并不会影响用户的网站,不用担心.
补充
(
如何确定我的服务器也有这个问题?
您可以检查C:\PHP\extras的权限,权限里面有一个高级,如果里面有users组的特殊权限,里面有写入权限就是不正确的.
另外,我们发现部分服务器的C:\wmpub目录的权限也存在同样的问题.
)
目录或文件的权限设置有错会造成入侵!
1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!
2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
5. 如有链接无法下载、失效或广告,请联系管理员处理!
6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
7. 如果您也有好的资源或教程,您可以投稿发布,成功分享后有金币奖励和额外收入!
8. 重点来了,想白嫖的站长们可每日签到获取金币来免费购买本站资源,等级不同赠送金币不同哦!
- ¥540 M币 购买了 RStack模板-时尚前台NO1
- ¥1 M币 购买了 主控端许可证2018
- ¥1 M币 购买了 [主控端] 安装包 (2020-8-5)
- ¥1 M币 购买了 鸟云版星外最新主控许可证
- ¥1 M币 购买了 鸟云版星外最新主控许可证
- ¥1 M币 购买了 [主控端] 安装包 (2020-8-5)
- ¥1 M币 购买了 [主控端] 安装包 (2020-8-5)
- ¥1 M币 购买了 星外最新WWW升级包更新于2020-11-25
- ¥0.9 M币 购买了 RSTACK-主控财务系统(最后更新2021-11...
- ¥0.9 M币 购买了 一对一主机管理系统-9号模板
- ¥0.9 M币 购买了 一对一主机管理系统-8号模板
- ¥1080 M币 购买了 星外模板-蓝色简单(前台)
- ¥1485 M币 购买了 星外模板-西部数码(前台+会员+弹性)
- ¥1 M币 购买了 RStack模板-默认蓝
- ¥1 M币 购买了 一对一主机管理系统-8号模板
- ¥1 M币 购买了 星外安全包
- ¥10 M币 购买了 星外主控对接创梦2.17/vps/cdn被控
- ¥1 M币 购买了 PHP多版本切换
- ¥1500 M币 购买了 星外模板-蓝色拨号(前台+会员)
- ¥500 M币 购买了 星外插件-实名认证(三网合一)
- ¥1 M币 购买了 [主控端] 安装包 (2020-8-5)
- ¥1 M币 购买了 主控端许可证2018
- ¥500 M币 购买了 星外模板-汉网互联(会员中心)
- ¥500 M币 购买了 星外模板-汉网互联(会员中心)
- ¥1500 M币 购买了 星外模板-红色霸气(前台+会员)
- ¥500 M币 购买了 星外模板-红色霸气(全功能版代理中心...
- ¥500 M币 购买了 星外模板-红色霸气(全功能版代理中心...
- ¥500 M币 购买了 星外模板-红色霸气(会员中心)
- ¥1 M币 购买了 星外最新WWW升级包更新于2020-11-25
- ¥1 M币 购买了 [主控端] 安装包 (2020-8-5)
- ¥1 M币 购买了 鸟云版星外最新主控许可证
- ¥999 M币 购买了 RStack-红色会员中心
- ¥1 M币 购买了 星外PHP5.2.17自动安装包
- ¥1 M币 购买了 受控端安装包自动升级包V2.0.0.5
- ¥1 M币 购买了 鸟云版星外最新被控许可证
- ¥1 M币 购买了 虚拟主机受控端安装包2020
- ¥1 M币 购买了 一对一主机管理系统-9号模板