这是我使用的论坛被黑了3次后的一个心得,我希望我的惨痛经历所得到的一些经验能够对能对大家有所帮助。
首先, 如果你的论坛被黑了,请将你的论坛中所有的asp文件都删除,或者逐一检查asp文件的代码,然后使用官方最新的下载包传上去,以避免黑客留下的后门被继续利用。
如果你的论坛继续是6.0的没有升级,而且无法进行上面所说的第二和第三条进行设置,那就放弃6.0,升级到7.0sp2吧。
下面进入正题。
面向范围:拥有可以进行完全控制的服务器,或者可以让服务商帮助你实现以下设置。
论坛常见的两个风险:浏览帖子者自动转向指定页面(木马或病毒页面),也被人称为跨站攻击;被人利用上传组件的漏洞上传asp木马,从而对论坛数据甚至服务器安全造成重大影响(如此次使用动网论坛的被大规模攻击的情况就是利用了上传组件的一个漏洞)。
1.论坛的安全设置:关闭flash标签,关闭多媒体标签(主要是QT标签).
攻击者可以利用flash或者多媒体标签发表特殊的帖子,让所有浏览到其发帖或者跟贴的论坛用户都会自动转向其指定的包含有恶意代码的页面。
若您的论坛开启了html解析,在后台基本设置中的“论坛脚本过滤扩展设置”中过滤iframe|object|script|标签,若不过滤,则攻击者照样可以使用html的这些标签实现页面自动转移。
2.IIS中的设置:
对不需要asp有执行许可的目录,如data目录,images目录,uploadfile,uploadface等里面没有asp文件的目录,根本不需要对其设置asp的运行权。而默认是整站都有asp的运行权的,所以需要在IIS中将以上目录的“执行许可”设置为“无”(在IIS管理器中右键点相关目录,选择属性,在属性界面中设置)。
禁止这些目录的尤其是uploadfile和uploadface这些上传相关的目录的asp执行许可,能够使得即使有人利用了动网的上传漏洞在这些目录里面传上了木马文件,但这些asp木马文件却无法运行。
3.NTFS中的设置:
NTFS权限设置应该是一个安全设置的基本前提。关键点有:
(1)删除默认的Everyone对web目录所有的权限。
(2)一般情况下,Administrator和system对web目录应拥有完全的权限。
(3)对web目录设置IUSR_ServerName(此帐号是web访问者使用的系统默认帐号)的详细权限:只有三个目录需要有读和写的权限,分别是data,uploadfile和uploadimage,其他的目录和论坛根目录只设置读的权限即可。这样设置的目的在于,即使被人上传了asp木马,若没有取得管理员权限,他也无法对论坛的asp文件进行修改,从而使得即使被攻击,也可以将损失面降低到最少(比如你的插件和自己写的代码不会被删除)。
4.随时注意动网官方的更新,及时打上最新的安全补丁。
以上安全设置,是在论坛所在服务器整体安全的情形下所针对动网进行的细化设置。若整体服务器都不安全,能被人轻易取得管理员权限,则倾巢之下,焉有完卵。(作者:我的似水年华)
