防范Serv-U漏洞

安全对策

　　Serv-U安全隐患重重，那么如何才能防范入侵呢？笔者以Windows 2003 Sp1系统、NTFS分区为例，在保证系统安装好最新补丁的情况下，来对系统进行安全部署。首先安装Serv-U最新版本于非系统分区，由于默认情况下系统盘的一些目录都被赋予了everyone权限，这给攻击者在获取Webshell的时候执行攻击程序提供了环境。安装过程很简单，注意安装过程中是否有必要设置匿名登录，否则禁止匿名登录。

1．系统权限设置
　　第一步：对Serv-U目录设置权限。对用户组进行清理，留下Administrators和system，我们赋予Administrator权限，当然我们还可以新建立一个用户组来对Serv-U操作，把目录赋予此用户完全控制的能力，不过此方法不适合虚拟主机进行日常添加和删除用户操作。
　　第二步：建立一个FTP用户目录，根目录赋予Administrators完全控制权限，System只读权限。
　　第三步：为每个用户创建各自的目录，并赋予如下安全策略：
　　删除 Everyone group（这里尤为关键）
　　该System account's folder's 完全控制
　　添加给用此目录的用户完全访问控制
　　第四步：通过Serv-U设置用户权限，取消“执行”权限。在Web目录中去掉执行权限，以防止取得webshell后运行攻击程序来对Serv-U进行攻击。在进行权限设置的时候请遵循基本规律：有特殊属性的放在前面，共用属性的放在后面！

　　此外，针对Serv-U的插件实现账号隐藏的攻击方式惟有在目录权限设置不当并且入侵者取得WebShell的时候进行文件替换，挂接Dll。只要权限设置合理，定期对Serv-U目录检查，Serv-U安装后文件并不多，此类攻击方式很容易现形。

2．防范大容量文件攻击
　　在安装好FTP软件后，首先需要添加自己的域，然后在域上添加FTP的登录用户，当添加用户后，软件一般默认没有对添加的用户进行文件上传、下载的速率进行设置，因此这样一来就有被攻击的隐患，那就是黑客会利用这个漏洞对FTP软件发送大容量的文件，然后导致FTP处理不过来而造成程序没响应或者自动关闭。
　　在“常规”中能看到“最大上传速度、最大下载速度（KB/秒）”的选项。我们一般默认是不填的，建议用户设置一个具体的数字来限制这个速度。同时，最好把在“空闲超时、任务超时、最大用户数”的选项上也设置一个具体的数值。一般地，默认10分钟就足够了（见图2）。



3．溢出防范
　　近期内暂未发现软件所造成的缓冲区溢出漏洞，但是建议用户关注安全新闻，注意打补丁，新版本中也解决了出现的BUG，最好的方法就是升级，以免造成不必要的损失。当然这是极为被动的方式，但愿广大朋友对安全多一点认识，多一点细致，多一点防范，也就会少一点损失。

4．端口密码设置
　　由于笔者使用的是Serv-U6.0.0.2版本，固可以在ServUDaemon.ini中加上LocalSetupPortNo=12345来改变本地管理端口，不用去改ServUDaemon.exe。修改以后我们要利用IPSec来限制IP访问12345端口。在新版本Serv-U6.0.0.2中已经提供对本地密码进行修改的功能，在其主界面右边，我们可以更改设置本地服务器密码，这样一来，就需要输入密码才能进行本地管理，默认的是#l@$ak#.lk;0@P也就是空，不需要密码就可以管理。我们设置和更改密码的时候，旧密码留空，然后设置好你的本地管理密码。设置完成后会在ServUDaemon.ini中添加LocalSetupPassword=eq8BD223881747 DB4FCC458FC5EE3774D6之类的一段（见图3）。

5．传输安全
　　由于Serv-U在未开启SSL时，FTP传输是以明文方式传输数据，在位于路由或交换环境下，这很容易被嗅探工具捕获，如强大的Sniffer Pro、NetXray，小一点的arpsniffer、Dsniffer都可以抓到，利用此方式攻击，很多安全站点被渗透也不是什么新鲜的话题了。所以下面我们来看看如何启用Serv-U的SSL功能。

上一页  [1] [2] [3] 下一页