论坛首页 > 空间租用 > 巧妙利用主机管理防止木马程序  
作者
本主题已被浏览6169次 回复0次
chinainfoa



头衔:守护天王
来自:新疆
积分:941
注册:2006年4月
发表于: 2007/4/7 10:05:19  查看作者档案  给作者发送电子邮件  访问作者主页  查看IP地址  QQ号码:183675925  MSN号码:fxm@cxx.cn


大家都知道DVBBS及一些的网站上传管理中都存在这上传漏洞,可以利用这个上传漏洞绕过对上传文件的验证,从而对网站的任意文件进行修改.
 

下面将介绍如何利用中国信息港主机管理系统巧妙的防止此漏洞,本系统支持全国首创的设置,允许关闭写入权限,锁定虚拟主机。

   对安全要重要意义,例如可以将ACCESS放在db目录,
而将web目录的写入关闭, 令到ASP木马根本无法上传,这样比关闭FSO更安全。

请注意,关闭写入权限的同时会令到FTP的上传功能同时关闭。

下面就以DVBBS为例做一个简单的介绍:

 

一,首先将CONN.ASP 这个文件的数据库的连接路径更改为在DB目录下,例如将BBS的文件直接放在WEB目录下,此数据库连接路径应该做如下设置:(红色部分)
<%@ LANGUAGE = VBScript CodePage = 936%>
<%
Option Explicit
Response.Buffer = True
Dim Startime
Dim SqlNowString,Dvbbs,template,MyBoardOnline
Dim Conn,Plus_Conn,Db,MyDbPath
Const fversion="7.1.0 Sp1"
Const EnabledSession= True
Startime = Timer()
'系统采用XML版本设置
'最高版本为.4.0 依次为: Const MsxmlVersion=".3.0" Const MsxmlVersion=".2.6" 最低版本Const MsxmlVersion=""
Const MsxmlVersion=".3.0"
'可修改设置一:========================定义数据库类别,1为SQL数据库,0为Access数据库=============================
Const IsSqlDataBase = 0
MyDbPath = ""
'If IsSqlDataBase = 1 Then
'必修改设置二:========================SQL数据库设置=============================================================
'sql数据库连接参数:数据库名(SqlDatabaseName)、用户密码(SqlPassword)、用户名(SqlUsername)、
'连接名(SqlLocalName)(本地用local,外地用IP)
Const SqlDatabaseName = "dvbbs"
Const SqlPassword = "dvbbs"
Const SqlUsername = "dvbbs"
Const SqlLocalName = "(local)"
'========================================================================
SqlNowString = "GetDate()"
Else
'必修改设置三:========================Access数据库设置==========================================================
'免费用户第一次使用请修改本处数据库地址并相应修改data目录中数据库名称,如:将dvbbs6.mdb修改为dvbbs6.asp
Db = "../db/dvbbs7.mdb"
'==============================================================================
SqlNowString = "Now()"
End If
Const IsDeBug = 1
Set Dvbbs = New Cls_Forum
Set template = New cls_templates
Sub ConnectionDatabase
 Dim ConnStr
 If IsSqlDataBase = 1 Then
  ConnStr = "Provider = Sqloledb; User ID = " & SqlUsername & "; Password = " & SqlPassword & "; Initial Catalog = " & SqlDatabaseName & "; Data Source = " & SqlLocalName & ";"
 Else
  ConnStr = "Provider = Microsoft.Jet.OLEDB.4.0;Data Source = " & Server.MapPath(MyDbPath & db)
 End If
 On Error Resume Next
 Set conn = Server.CreateObject("ADODB.Connection")
 conn.open ConnStr
 If Err Then
  err.Clear
  Set Conn = Nothing
  Response.Write "数据库连接出错,请检查连接字串。"'注释,需要把这几个字翻译成英文。
  Response.End
 End If
End Sub
'-----------------------------------------------------------------------------------------------------
'独立道具库连接设置
Sub Plus_ConnectionDatabase
 Dim ConnStr
 If IsSqlDataBase = 1 Then
  'sql数据库连接参数:数据库名、用户密码、用户名、连接名(本地用local,外地用IP)
  Dim SqlDatabaseName,SqlPassword,SqlUsername,SqlLocalName
  SqlDatabaseName = "dvbbs7"
  SqlPassword = "dvbbs"
  SqlUsername = "dvbbs"
  SqlLocalName = "(local)"
  ConnStr = "Provider = Sqloledb; User ID = " & SqlUsername & "; Password = " & SqlPassword & "; Initial Catalog = " & SqlDatabaseName & "; Data Source = " & SqlLocalName & ";"
 Else
  Dim Db
  '免费用户第一次使用请修改本处数据库地址并相应修改data目录中数据库名称,如将dvbbs6.mdb修改为dvbbs6.asp
  Db = MyDbPath & "data/Dv_Plus_Tools.mdb"
  ConnStr = "Provider = Microsoft.Jet.OLEDB.4.0;Data Source = " & Server.MapPath(db)
 End If
 On Error Resume Next
 Set Plus_Conn = Server.CreateObject("ADODB.Connection")
 Plus_Conn.open ConnStr
 If Err Then
  err.Clear
  Set Plus_Conn = Nothing
  Response.Write "插件数据库连接出错,请检查连接字串。"'注释,需要把这几个字翻译成英文。
  Response.End
 End If
End Sub
'-----------------------------------------------------------------------------------------------------
%>


将数据库放在DB目录下还可以让数据库不被恶意下载确保数据库的安全性.

 

设置完连接路径后并非这样就可以防止木马了更关键的部分是在下面:

登陆用户管理系统:选择空间管理---管理---关闭写入权限(web)



顶尖服务器先驱
服务器租用6000起/托管2500起/空间租用一M/一元起/

公司地址:郑州市农业路东16号省汇中心A座2002室 
直销服务热线:0371-65750497 65707807 
渠道专线:0371-65707809
业务传真:0371-65707807 
信息反馈:fxm@cxx.cn
7*24小时服务热线 0371-65111123
OICQ在线支持:595701041 328173490
业务网址:http://www.cncnc.com.cn


本主题由 chinainfoa 编辑于 2008-1-4 10:04:59

第1篇


共1页 1
在线统计
 游客 游客 游客 游客 游客 游客
当前共有6名用户在线 图例: 总版主版主用户游客