国产欧美日韩第一页|日本一二三不卡视频|在线精品小视频,亚洲第一免费播放区,metcn人体亚洲一区,亚洲精品午夜视频

關(guān)于Serv-u的Banner及登錄消息的設置。

2015-11-13 17:19:12 18154

關(guān)于serv-u的Banner及登錄消息的設置。
Serv-U是一款十分經(jīng)典的FTP服務(wù)器軟件,一直被大部分管理員和虛擬主機所使用,它簡(jiǎn)單的安裝和配置以及強大的管理功能也一直被管理員們稱(chēng)頌。但是隨著(zhù)使用者越來(lái)越多,也有越來(lái)越多的主機被通過(guò)Serv-U軟件所入侵。
本文旨在提出一些切實(shí)可行的方法,徹底杜絕由Serv-u帶來(lái)的安全隱患。
1、Serv-u的安裝:
關(guān)于Serv-u的安裝網(wǎng)上許多文章中提到要安裝在一個(gè)復雜的路徑,個(gè)人認為這個(gè)不是十分必要,完全可以按照你喜歡的例如:D:softServ-u目錄里。但是不推薦安裝在系統盤(pán)目錄里,也不推薦安裝在c:Program files目錄里,因為這個(gè)目錄的權限的原因(詳細權限設置以后再發(fā)文專(zhuān)門(mén)討論)。推薦的方式是無(wú)需安裝,直接使用綠色版的或直接復制在其他機器上安裝好的Serv-U的目錄。serv-u的用戶(hù)配置文件有兩種方式,一種是存放在注冊表,一種是存放在ServUDaemon.ini文件,推薦使用存放在.ini文件里面的方式,這種方式便于ser-u軟件的升級,也便于重裝系統后的ftp用戶(hù)的恢復,在權限設置上也相對方便。另外版本的選擇一定要選擇6.3版本以上的,現在最新的是 6.4.0.6 ,推薦使用,這里我們假設serv-u軟件放在的的D:softServ-U目錄里。
2、權限設置:
給serv-u單獨的用戶(hù)權限運行。在計算機管理中新增帳戶(hù)ftp,設置用戶(hù)不能更改密碼,密碼用不過(guò)期,并設置一個(gè)復雜的密碼,更改ftp用戶(hù)隸屬于Guests組(默認是USERS組),當然也可以設置為不屬于任何組。
啟動(dòng)serv-u(這時(shí)是使用默認的system權限運行的),選擇本地服務(wù)器,自動(dòng)開(kāi)始,將serv-u設置為系統服務(wù),這樣服務(wù)器在每次重啟時(shí)serv-u就會(huì )自動(dòng)啟動(dòng),這里我們主要利用其可以在服務(wù)中配置給serv-u單獨用戶(hù)。
設置D:softServ-U目錄的權限為只保留administrators,ftp兩個(gè)用戶(hù)的權限,權限都是完全控制即可,并替換到所有子目錄。
在計算機管理中找到服務(wù),找到Serv-U FTP 服務(wù)器,右鍵屬性,在登錄選項卡中將登錄身份從本地系統帳戶(hù)改為此帳戶(hù),帳戶(hù)選擇ftp,并輸入設置好的密碼。確定后會(huì )提示將在服務(wù)重啟后生效,接著(zhù)點(diǎn)右鍵,重新啟動(dòng),如果啟動(dòng)成功,你的serv-u就在低權限下運行了。
上傳目錄權限的設置:因為serv-u是用ftp這個(gè)帳戶(hù)運行的,所以上傳的目錄給予ftp用戶(hù)的完全訪(fǎng)問(wèn)權限就可以了,比如我們可以設置D、E、F盤(pán)的權限為administrators和ftp完全控制的權限,System權限也不用加了,如果serv-u用默認權限運行,則必須加入system權限才能對該目錄進(jìn)行ftp操作。
3、安全隱患及利用
Serv-u在本機有一個(gè)默認監聽(tīng)端口,默認監聽(tīng)127.0.0.1:43958,在本機才能連接這個(gè)管理端口,默認管理賬號是LocalAdministrator,默認密碼是"#l@$ak#.lk;0@P",這個(gè)密碼是固定的。所以幾乎所有的針對serv-u攻擊的木馬便是利用此來(lái)添加serv-u用戶(hù)的,比如增加一個(gè)指向C盤(pán)的超級管理員用戶(hù),夠可怕吧。
這里我們用一個(gè)常用的ASP木馬中舉例說(shuō)明:(serv-u提權超強版)
提權后可以直接執行命令添加管理員帳戶(hù),并且加了個(gè)隱藏的管理員帳戶(hù)(當然這個(gè)帳戶(hù)隱藏方式比較低級)如果成功了,用這個(gè)帳戶(hù)遠程登錄上去創(chuàng )建一個(gè)克隆的管理員帳戶(hù),再把這個(gè)刪掉)。管理員如果連serv-u安全都做不很好的,對于隱藏度很高的克隆的帳號也不一定能發(fā)現,所以Serv-U的安全不容忽視。
比如俺一個(gè)朋友就喜歡用SQLDebugger 、SUPPORT_XXX等這樣的帳戶(hù)克隆出管理員帳戶(hù),查看屬性又看不出來(lái),很容易逃脫管理員的眼睛。
如何徹底解決這個(gè)安全隱患,有個(gè)最簡(jiǎn)單的方法就是給serv-u設置一個(gè)本地管理密碼,也就是所有增加刪除修改serv-u的用戶(hù)及更改設置的操作,都需要經(jīng)過(guò)本地密碼驗證。
可能有的管理員認為服務(wù)器密碼就他自己知道,別人上不去,更何況增加serv-u帳戶(hù)了,所以就不設置密碼,認為這完全是多此一舉,這就大錯特錯了。這里再介紹另一種解決問(wèn)題的方法,結合上面的設置本地管理密碼可以讓我們的Serv-u更安全。就是修改serv-u的默認管理帳號和密碼,這里我們用到了UltraEdit-32這個(gè)軟件。
用UltraEdit-32打開(kāi)servUAdmin.exe 查找LocalAdministrator,和#l@$ak#.lk;0@P,將這兩個(gè)字符串修改為等長(cháng)度的字符串保存即可,注意一定是等長(cháng)度的。當然這還不夠,還要打開(kāi)ServUDaemon.exe,操作如法炮制,但修改后的字符串要務(wù)必與ServuAdmin.exe中修改的相同,否則Serv-u是無(wú)法進(jìn)行用戶(hù)管理的。
經(jīng)過(guò)設置Serv-U本地管理密碼和修改Serv-u文件這兩步大刀闊斧的改革后,再試試剛才的木馬,雖然也能提示執行命令成功,但實(shí)際服務(wù)器卻沒(méi)有任何變化,奈何不了了。
簡(jiǎn)單總結一下以上所說(shuō)的安全要點(diǎn):
1、盡量使用最新版的Serv-u,如果英文還可以,推薦直接用英文版的,如果要用中文的,一定要在其他機器進(jìn)行測試,確認漢化包無(wú)流氓插件后再在正式服務(wù)器上使用。
2、設置Serv-u運行于普通用戶(hù)權限,這樣即使通過(guò)木馬執行net localgroup administrators XXX /Add也不可能執行成功了。

3、設置Serv-u的目錄權限,只給administrators和運行serv-u用戶(hù)的權限,其他的都不要給,尤其是everyone權限(在服務(wù)器上使用everyone權限要十分慎重,網(wǎng)上有很多文章圖懶法不管三七二十一加個(gè)everyone就算了的。您可不要圖懶也加個(gè)everyone就算了,我所配置的服務(wù)器中沒(méi)有一處是使用everyone權限的。)和guests權限,users用戶(hù)權限也不要給。目的就是徹底防止通過(guò)Webshell訪(fǎng)問(wèn)到Serv-u目錄,如果這一步設置不嚴,即使設了Serv-u密碼,通過(guò)Webshell下載了你的Serv-u去破解或者用UltraEdit-32打開(kāi)分析,也一樣可能造成攻擊。
4、磁盤(pán)目錄權限,也就是你用ftp操作的目錄權限例如WEB目錄等,除了必要的IIS帳戶(hù)權限外,只加administrators和用來(lái)運行serv-u的帳戶(hù)的權限即可(可設為完全控制)。
5、務(wù)必要設置一個(gè)本地管理密碼,防止通過(guò)Webshell連接默認用戶(hù)名密碼的方式進(jìn)行攻擊。
6、推薦用UltraEdit-32更改serv-u默認的帳戶(hù)密碼,其實(shí)也花不了很多時(shí)間。
7、端口的設置,完全可以根據個(gè)人喜好設置,個(gè)人認為與安全并無(wú)多大關(guān)系,因為即使更改了默認的21端口,如果有人想攻擊,一樣可以?huà)呙璩鰜?lái)。
只要嚴格注重了以上幾點(diǎn),那么可以說(shuō)你可以安全放心的使用你的Serv-u了。當然,服務(wù)器的安全是一個(gè)整體,任何地方的疏忽都有可能造成整個(gè)服務(wù)器的安全隱患。以上所說(shuō)僅僅是與Serv-U相關(guān)的安全設置,絕不代表整個(gè)服務(wù)器就安全了。這一點(diǎn)務(wù)必注意。下面說(shuō)說(shuō)防火墻的設置。


三、Serv-u相關(guān)的防火墻設置:
關(guān)于防火墻的處理最常見(jiàn)的一個(gè)難題是主動(dòng)FTP與被動(dòng)FTP的區別以及如何配置防火墻并完美地支持它們。很多管理員可能都發(fā)現,在開(kāi)了防火墻的服務(wù)器上利用FTP傳輸總有這樣那樣的小問(wèn)題,有時(shí)傳輸數據“不夠流暢”。幸運地是,本文能夠幫助你徹底搞清在防火墻環(huán)境中如何支持FTP這個(gè)問(wèn)題上的煩惱。
FTP服務(wù)是僅基于TCP的服務(wù),不支持UDP。 與眾不同的是FTP使用2個(gè)端口,一個(gè)數據端口和一個(gè)命令端口(也可叫做控制端口)。通常來(lái)說(shuō)這兩個(gè)端口是命令端口(21)和數據端口(20)。但當我們發(fā)現根據(FTP工作)方式的不同數據端口并不總是20時(shí),新的問(wèn)題就出來(lái)了。
主動(dòng)FTP:
主動(dòng)方式的FTP是這樣的:客戶(hù)端從一個(gè)任意的非特權端口N(N>;1024)連接到FTP服務(wù)器的命令端口,也就是21端口。然后客戶(hù)端開(kāi)始監聽(tīng)端口N+1,并發(fā)送FTP命令“port N+ 1”到FTP服務(wù)器。接著(zhù)服務(wù)器會(huì )從它自己的數據端口(20)連接到客戶(hù)端指定的數據端口(N+1)。
針對FTP服務(wù)器前面的防火墻來(lái)說(shuō),必須允許以下通訊才能支持主動(dòng)方式FTP
任何端口到FTP服務(wù)器的21端口 (客戶(hù)端初始化的連接 S)
FTP服務(wù)器的21端口到大于1023的端口(服務(wù)器響應客戶(hù)端的控制端口 S->C)
FTP服務(wù)器的20端口到大于1023的端口(服務(wù)器端初始化數據連接到客戶(hù)端的數據端口 S->C)
大于1023端口到FTP服務(wù)器的20端口(客戶(hù)端發(fā)送ACK響應到服務(wù)器的數據端口 S)
主動(dòng)方式FTP的主要問(wèn)題實(shí)際上在于客戶(hù)端。FTP的客戶(hù)端并沒(méi)有實(shí)際建立一個(gè)到服務(wù)器數據端口的連接,它只是簡(jiǎn)單的告訴服務(wù)器自己監聽(tīng)的端口號,服務(wù)器再回來(lái)連接客戶(hù)端這個(gè)指定的端口。對于客戶(hù)端的防火墻來(lái)說(shuō),這是從外部系統建立到內部客戶(hù)端的連接,這是通常會(huì )被阻塞的。
被動(dòng)FTP

為了解決服務(wù)器發(fā)起到客戶(hù)的連接的問(wèn)題,人們開(kāi)發(fā)了一種不同的FTP連接方式。這就是所謂的被動(dòng)方式,或者叫做PASV,當客戶(hù)端通知服務(wù)器它處于被動(dòng)模式時(shí)才啟用。在常用的FTP傳輸軟件中也均有相關(guān)設置,例如FlashFXP的在選項-》參數設置-》代理里面就有相關(guān)選項。
在被動(dòng)方式FTP中,命令連接和數據連接都由客戶(hù)端,這樣就可以解決從服務(wù)器到客戶(hù)端的數據端口的入方向連接被防火墻過(guò)濾掉的問(wèn)題。當開(kāi)啟一個(gè)FTP連接時(shí),客戶(hù)端打開(kāi)兩個(gè)任意的非特權本地端口(N >; 1024和N+1)。第一個(gè)端口連接服務(wù)器的21端口,但與主動(dòng)方式的FTP不同,客戶(hù)端不會(huì )提交PORT命令并允許服務(wù)器來(lái)回連它的數據端口,而是提交PASV命令。這樣做的結果是服務(wù)器會(huì )開(kāi)啟一個(gè)任意的非特權端口(P >; 1024),并發(fā)送PORT P命令給客戶(hù)端。然后客戶(hù)端發(fā)起從本地端口N+1到服務(wù)器的端口P的連接用來(lái)傳送數據。
對于服務(wù)器端的防火墻來(lái)說(shuō),必須允許下面的通訊才能支持被動(dòng)方式的FTP:
從任何端口到服務(wù)器的21端口 (客戶(hù)端初始化的連接 S)
服務(wù)器的21端口到任何大于1023的端口 (服務(wù)器響應到客戶(hù)端的控制端口的連接 S->C)
從任何端口到服務(wù)器的大于1023端口 (入;客戶(hù)端初始化數據連接到服務(wù)器指定的任意端口 S)
服務(wù)器的大于1023端口到遠程的大于1023的端口(出;服務(wù)器發(fā)送ACK響應和數據到客戶(hù)端的數據端口 S->C)
下面簡(jiǎn)要總結一下主動(dòng)與被動(dòng)FTP優(yōu)缺點(diǎn):
主動(dòng)FTP對FTP服務(wù)器的管理有利,但對客戶(hù)端的管理不利。因為FTP服務(wù)器企圖與客戶(hù)端的高位隨機端口建立連接,而這個(gè)端口很有可能被客戶(hù)端的防火墻阻塞掉。被動(dòng)FTP對FTP客戶(hù)端的管理有利,但對服務(wù)器端的管理不利。因為客戶(hù)端要與服務(wù)器端建立兩個(gè)連接,其中一個(gè)連到一個(gè)高位隨機端口,而這個(gè)端口很有可能被服務(wù)器端的防火墻阻塞掉。

幸運的是,有折衷的辦法。既然FTP服務(wù)器的管理員需要他們的服務(wù)器有最多的客戶(hù)連接,那么必須得支持被動(dòng)FTP。我們可以通過(guò)為FTP服務(wù)器指定一個(gè)有限的端口范圍來(lái)減小服務(wù)器高位端口的暴露。這樣,不在這個(gè)范圍的任何端口會(huì )被服務(wù)器的防火墻阻塞。雖然這沒(méi)有消除所有針對服務(wù)器的危險,但它大大減少了危險。
在安裝Serv-U并初次運行的時(shí)候,防火墻會(huì )提示提示是否允許Serv-U連接網(wǎng)絡(luò ),這里我們選擇允許。這樣ServUDaemon.exe就在防火墻的信任的程序當中了。
再在防火墻中添加端口,注意如果你的FTP端口是默認的21,那么需要添加兩個(gè)端口,21和20。如果你的FTP端口是1000,那么還要添一個(gè)999,以此類(lèi)推。值得一提的是,添加完端口后,在防火墻的高級設置里就不用設置了,以個(gè)人經(jīng)驗這個(gè)地方如果再開(kāi)啟了,反而會(huì )有些問(wèn)題。之前曾因為這個(gè)地方的設置百思不得其解而郁悶過(guò),后來(lái)終于搞懂只設一個(gè)地方即可。如圖所示:
接下來(lái)設置Serv-U的PASV:如圖所示,這個(gè)地方的設置關(guān)系到常遇到的FTP傳輸是否“流暢”的問(wèn)題,尤其是在網(wǎng)速慢的情況。這里的端口范圍要指定的一定要是服務(wù)器上空閑的一段端口范圍,比如有的軟件用了3306,這里就不要用3000-3500了,這個(gè)地方所說(shuō)的也就是前面提到的為FTP服務(wù)器指定一個(gè)有限的端口范圍來(lái)減小服務(wù)器高位端口的暴露。這也是國內很多虛擬主機商的做法。
再來(lái)看一下傳輸的情況:從FlashFXP的傳輸日志中可以看到?jīng)]傳輸一個(gè)文件端口就會(huì )從指定的PASV端口加一個(gè),加到最大后再重新返回端口范圍的最小端口,如此循環(huán)實(shí)現FTP文件傳送。顯然如果這里不能順利的開(kāi)啟端口,就會(huì )造成FTP傳輸的停頓,也就是常說(shuō)的不流暢,需要重新連接一下FTP。
總之,Serv-U涉及的防火墻方面的設置并不是很多,基本上就是防火墻模式中最常見(jiàn)的基于端口的和基于程序的兩種方式,其他防火墻也可以按此設置即可。
四、最后補充一點(diǎn)關(guān)于Serv-u的Banner和登錄消息設置。
大家可能都碰到的類(lèi)似以下的連接FTP服務(wù)器時(shí)的提示信息,其實(shí)這個(gè)地方即使不知道對方FTP帳戶(hù)密碼,只要知道端口(也可能通過(guò)掃描出的端口嘗試出來(lái))用FTP傳輸軟件連接一下就會(huì )出來(lái)了,甚至直接在DOS窗口用命令提示符open一下你的FTP服務(wù)器,也會(huì )出來(lái)類(lèi)似的提示信息,這樣豈不就老老實(shí)實(shí)的告訴別人你用的Serv-U做的FTP服務(wù)器并且所用的版本了么?
[右] 已連接到 60.215.XX.XX
[右] 220 Serv-U FTP Server v6.4 for WinSock ready...
[右] USER XPB
[右] 331 User name okay, need password.
[右] PASS (隱藏)
[右] 230 User logged in, proceed.
[右] SYST
[右] 215 UNIX Type: L8
[右] FEAT
[右] 211-Extension supported
[右] CLNT
其實(shí)在Serv-u中也有設置,在域的設置中有消息一項,可以自定義服務(wù)器響應消息,這里可以根據你喜歡的把這些消息改掉,例如改為Welcome to Microsoft FTP Service... 等等其他FTP服務(wù)軟件的Banner,可以起到一定的迷惑作用。
其次我們說(shuō)一下大家可能也常碰到的下面這種提示是如何做出來(lái)的。
程序代碼
[右] 已連接到 202.194.XXX.XXX
[右] 220-歡迎登錄XX大學(xué)FTP服務(wù)器...
[右] 220-你的IP地址是:211.64.XXX.XXX
[右] 220-目前服務(wù)器所在的時(shí)間是 08:56:45
[右] 220-已經(jīng)有 1585 個(gè)用戶(hù)在最近24小時(shí)訪(fǎng)問(wèn)過(guò)本FTP
[右] 220-本FTP服務(wù)器已經(jīng)運行了 21 天,18 小時(shí) 和 6 分。
[右] 220-
[右] 220-服務(wù)器的運行情況:
[右] 220-
[右] 220-所有登錄用戶(hù)數量: 26 total
[右] 220-當前登錄用戶(hù)數量: 18
[右] 220-已經(jīng)下載字節數: 372000 Kb
[右] 220-已經(jīng)上傳字節數: 118940 Kb
[右] 220-已經(jīng)下載文件數: 92
[右] 220-已經(jīng)上傳文件數: 1360
[右] 220-服務(wù)器平均帶寬: 810 Kb/sec
[右] 220 服務(wù)器當前帶寬: 945 Kb/sec
[右] USER xpb
其實(shí)這個(gè)設置這個(gè)地方也很簡(jiǎn)單,只需要設置一個(gè)用戶(hù)登錄時(shí)的消息文件就可以了,設置的地方就在Serv-u的域的設置里面,就在上邊設置服務(wù)器響應消息的下面,其中登錄消息文件格式如下:
程序代碼
您已經(jīng)成功登錄FTP服務(wù)器
你的IP地址是:%IP
目前服務(wù)器所在的時(shí)間是 %time
已經(jīng)有 %u24h 個(gè)用戶(hù)在最近24小時(shí)訪(fǎng)問(wèn)過(guò)本FTP
本FTP服務(wù)器已經(jīng)運行了 %ServerDays 天,%ServerHours 小時(shí) 和 %ServerMins 分。
服務(wù)器的運行情況:
所有登錄用戶(hù)數量: %loggedInAll total
當前登錄用戶(hù)數量: %Unow
已經(jīng)下載字節數: %ServerKbDown Kb
已經(jīng)上傳字節數: %ServerKbUp Kb
已經(jīng)下載文件數: %ServerFilesDown
已經(jīng)上傳文件數: %ServerFilesUp
服務(wù)器平均帶寬: %ServerAvg Kb/sec
服務(wù)器當前帶寬: %ServerKBps Kb/sec
將此文件保存問(wèn)例如logininfo.txt的文本文件,放于Serv-u目錄(也可以放到其他目錄,放到這里是因為不用再單獨設置該文件的權限了),然后把該文件設置為登錄時(shí)的消息文件,就可以了 

提交成功!非常感謝您的反饋,我們會(huì )繼續努力做到更好!

這條文檔是否有幫助解決問(wèn)題?

非常抱歉未能幫助到您。為了給您提供更好的服務(wù),我們很需要您進(jìn)一步的反饋信息:

在文檔使用中是否遇到以下問(wèn)題:
-->