记住在网上从前看过一个帖子，假如没有记错的话，它所介绍的关于安全设置的内容主要是针对代码的，而今日我要说的Web服务器的安全则是从安全设置视点动身的，即便你不会代码依照我介绍的办法也能做到相应的安全。

 

一、进犯

1、旁注

在对网站的进犯中咱们常常会听到一个名词“旁注”，那么“旁注”到底是什么意思呢？望文生义，“旁注”便是说咱们要进犯一个网站或许一台服务器，在正面交锋中，咱们无法将其拿下，那么咱们就从周围打破，然后再转到方针网站上将其拿下。举个形象点的比方来说，比方咱们要进入一间房子，发现从正门进不去，但是咱们十分想进去，那要怎么办呢？这时有些人必定会说翻窗户，是的，这儿的翻窗户实践上便是旁注的意思，我想这样说咱们应该都了解了吧！

2、上传缝隙

上传缝隙也是侵略网站的一种常用办法，其实践意思便是说网站代码存在缝隙，咱们能够经过直接上传或许经过修正上传数据包的办法来将咱们的ASP木马上传到服务器上，然后得到webshell。至于怎么操作的不是本文的要点，这儿我就不多说了。

二、考虑

不论你是运用何种办法得到他人的webshell，但只需你得到了，那么接下来面临的更大问题便是获取服务器的体系权限了，当然关于怎么提权，也不是我今日要讲的内容，咱们需求考虑的是，怎么避免他人提权及怎样经过 *** 的安全设置来阻挠那些所谓的“黑客”！

三、剖析

网站被侵略一般情况下都是网站代码呈现了问题，假如说咱们底子不会代码，但又想确保网站的安全，这的确有些困难的，但仍是有些办法的，下面我将从几个方面来给咱们说说一台虚拟主机应该怎么装备然后使它变得更安全。

四、实战

1、全体权限的掌握

想要设置权限，那么就先要确保你的磁盘文件体系为NTFS，这儿我强烈建议那些想架起网站和已经是ISP的人员这么做，由于这能够大大的进步服务器的安全性，附上FAT/FAT32转NTFS的指令Can-vert盘符/fs：ntfs/x，全体的权限便是这祥的，一起咱们还要把每个磁盘的权限都设置为只要adminisLrators和svstem彻底操控，其他的任何组，任何用户，都不给权限。

2、默许站点的删去

为什么要删去，信任咱们都理解吧，原因便是你知道默许站点的途径，黑客也相同知道，所以没必要给黑客留下时机，请咱们坚决果断的删去吧。

3、树立全体目录

这样能够便利咱们日后的办理，比方说，我会把需求架起的网站悉数放置在某个分区的Web文件夹内，今后自己看见了，就知道这个文件夹是自己专门用来放网站的，它里边悉数都是服务器上的网站。

4、单一的站点单一的用户

这又是什么意思呢？且听我渐渐道来。所谓单一的站点单一的用户，这个办法是针对那些做虚拟主机的服务商而言的，试想一下，假如一切站点都是运用的同一个用户(IUSR机器名)，那么黑客拿下一个站点的权限，岂不是整个虚拟主机上的站点都被得到了？

详细的设置办法如下：

(1)首要树立一个guests组的用户，比方说站点为aaa，那咱们就树立一个aaa的用户，暗码也为aaa（这是为了便利自己日后办理，以免站点多了，把暗码给忘记了），将这个用户从users组删去而且加入到guests组，相关指令如下：

(2)将上面树立的用户别离应用到IIS与根目录上，权限的分配这个过程是关于站点目录而言的。接下来要对IIS进行设置，右键点击aaa站点，挑选特点  目录安全性身份验证和拜访操控修改，将aaa用户和暗码填写进去。

至此，单一站点单一用户设置完结。特别需求留意一下，这儿我只说明晰aaa站点跟aaa用户的设置，假如有bbb站点，那么你就应该树立一个bbb用户，然后依照上面过程进行操作即可。

5、避免上传缝隙的IIS设置

咱们知道一个好的站点，必定是需求上传功用的，也正是由于这个原因而导致了许多网站被侵略，那么关于上传文件夹咱们应该怎么处理呢？下面咱们假定aaa站点内存在一个专门用来寄存用户上传文件的文件夹“uploadfiles”，然后咱们对其进行设置，在IIS中找到这个文件夹右键点击“特点——目录——履行权限”，将本来的“纯脚本”改为“无”。为什么要这样设置呢？由于咱们知道用户上传的文件要么是一些exe文件，要么是一些图片或许是一些rar文件，而这些文件是肯定不会存在需求IIS解说的脚本的，也便是说这些文件底子不需求解说，就能够被咱们直接阅读，这样设置后即便黑客上传了ASP木马，他也阅读不了。

6、删去IIS中不必要的相关

在IIS中，不论你是什么站点，ASP的也好，或许PHP的也好，实践上都是需求一个解说器对相应的ASP脚本语言、PHP脚本语言进行解说，而用户经过IE阅读到的页而，其实都是IIS解说之后的成果，因而咱们只耍将用到的脚本语言留下就能够了，其它剩余的都能够删去。详细操作如下：右键点击要设置的站点，挑选“特点——主目录——装备——映射——应用程序扩展”，将里边不需求的悉数删去。这样操作后，就能够有用的避免黑客上传一些后缀为basa.cer的木马来得到webshell了。

[1] [2]  黑客接单网