輕量應用伺服器如何添加安全組件

1. 阿里雲上買了個輕量應用伺服器，要怎麼把自己做好的網頁放上去

有兩種方式。

1、第一種是購買輕量應用伺服器時選擇你喜歡的建站程序鏡像，比如wordpress。

2. 阿里雲輕量應用伺服器（Aliyun Linux鏡像）購買成功如何配置

在伺服器列表中點擊你要進入的輕量應用伺服器，能夠看到下圖中的控制台界面。

左側是操作功能列表，建站常用的功能全在這里了，只要把這里幾個功能操作一遍，就能輕松建站不求人。

右側是點擊左側功能區之後，看到對應的詳細信息和操作引導，照著做就很輕松完成了。

3. Windows 伺服器安全設置的方法教程

阿江的Windows 2000伺服器安全設置教程

前言

其實，在伺服器的安全設置方面，我雖然有一些經驗，但是還談不上有研究，所以我寫這篇文章的時候心裡很不踏實，總害怕說錯了會誤了別人的事。

本文更側重於防止ASP漏洞攻擊，所以伺服器防黑等方面的講解可能略嫌少了點。

基本的伺服器安全設置

安裝補丁

安裝好操作系統之後，最好能在託管之前就完成補丁的安裝，配置好網路後，如果是2000則確定安裝上了SP4，如果是2003，則最好安裝上SP1，然後點擊開始→Windows Update，安裝所有的關鍵更新。

安裝殺毒軟體

雖然殺毒軟體有時候不能解決問題，但是殺毒軟體避免了很多問題。我一直在用諾頓2004，據說2005可以殺木馬，不過我沒試過。還有人用瑞星，瑞星是確定可以殺木馬的。更多的人說卡巴司機好，不過我沒用過。

不要指望殺毒軟體殺掉所有的木馬，因為ASP木馬的特徵是可以通過一定手段來避開殺毒軟體的查殺。

設置埠保護和防火牆、刪除默認共享

都是伺服器防黑的措施，即使你的伺服器上沒有IIS，這些安全措施都最好做上。這是阿江的盲區，大概知道屏蔽埠用本地安全策略，不過這方面的東西網上攻略很多，大家可以擻出來看看，晚些時候我或者會復制一些到我的網站上。

許可權設置

阿江感覺這是防止ASP漏洞攻擊的關鍵所在，優秀的許可權設置可以將危害減少在一個IIS站點甚至一個虛擬目錄里。我這里講一下原理和設置思路，聰明的朋友應該看完這個就能解決問題了。

許可權設置的原理

WINDOWS用戶，在WINNT系統中大多數時候把許可權按用戶（組）來劃分。在【開始→程序→管理工具→計算機管理→本地用戶和組】管理系統用戶和用戶組。

NTFS許可權設置，請記住分區的時候把所有的硬碟都分為NTFS分區，然後我們可以確定每個分區對每個用戶開放的許可權。【文件（夾）上右鍵→屬性→安全】在這里管理NTFS文件（夾）許可權。

IIS匿名用戶，每個IIS站點或者虛擬目錄，都可以設置一個匿名訪問用戶（現在暫且把它叫「IIS匿名用戶），當用戶訪問你的網站的.ASP文件的時候，這個.ASP文件所具有的許可權，就是這個「IIS匿名用戶所具有的許可權。

許可權設置的思路

要為每個獨立的要保護的個體（比如一個網站或者一個虛擬目錄）創建一個系統用戶，讓這個站點在系統中具有惟一的可以設置許可權的身份。

在IIS的【站點屬性或者虛擬目錄屬性→目錄安全性→匿名訪問和驗證控制→編輯→匿名訪問→編輯】填寫剛剛創建的那個用戶名。

設置所有的分區禁止這個用戶訪問，而剛才這個站點的主目錄對應的那個文件夾設置允許這個用戶訪問（要去掉繼承父許可權，並且要加上超管組和SYSTEM組）。

這樣設置了之後，這個站點里的ASP程序就只有當前這個文件夾的許可權了，從探針上看，所有的硬碟都是紅叉叉。

我的設置方法

我是先創建一個用戶組，以後所有的站點的用戶都建在這個組里，然後設置這個組在各個分區沒病許可權。然後再設置各個IIS用戶在各在的文件夾里的許可權。

因為比較多，所以我很不想寫，其實知道了上面的原理，大多數人都應該懂了，除非不知道怎麼添加系統用戶和組，不知道怎麼設置文件夾許可權，不知道IIS站點屬性在那裡。真的有那樣的人，你也不要著急，要沉住氣慢慢來，具體的方法其實自己也能摸索出來的，我就是這樣。當然，如果我有空，我會寫我的具體設置方法，很傲能還會配上圖片。

改名或卸載不安全組件

不安全組件不驚人

我的在阿江探針1.9里加入了不安全組件檢測功能（其實這是參考7i24的代碼寫的，只是把界面改的友好了一點，檢測方法和他是基本一樣的），這個功能讓很多站長吃驚不小，因為他發現他的伺服器支持很多不安全組件。

其實，只要做好了上面的許可權設置，那麼FSO、XML、strem都不再是不安全組件了，因為他們都沒有跨出自己的文件夾或者站點的許可權。那個歡樂時光更不用怕，有殺毒軟體在還怕什麼時光啊。

最危險的組件是WSH和Shell，因為它可以運行你硬碟里的EXE等程序，比如它可以運行提升程序來提升SERV-U許可權甚至用SERVU來運行更高許可權的系統程序。

卸載最不安全的組件

最簡單的辦法是直接卸載後刪除相應的程序文件。將下面的代碼保存為一個.BAT文件，

regsvr32/u C:WINNTSystem32wshom.ocx

del C:WINNTSystem32wshom.ocx

regsvr32/u C:WINNTsystem32shell32.dll

del C:WINNTsystem32shell32.dll

然後運行一下，WScript.Shell, Shell.application, WScript.Network就會被卸載了。可能會提示無法刪除文件，不用管它，重啟一下伺服器，你會發現這三個都提示「×安全了。

改名不安全組件

需要注意的是組件的名稱和Clsid都要改，並且要改徹底了。下面以Shell.application為例來介紹方法。

打開注冊表編輯器【開始→運行→regedit回車】，然後【編輯→查找→填寫Shell.application→查找下一個】，用這個方法能找到兩個注冊表項：「{13709620-C279-11CE-A49E-444553540000}和「Shell.application。為了確保萬無一失，把這兩個注冊表項導出來，保存為 .reg 文件。

比如我們想做這樣的更改

13709620-C279-11CE-A49E-444553540000 改名為 13709620-C279-11CE-A49E-444553540001

Shell.application 改名為 Shell.application_ajiang

那麼，就把剛才導出的.reg文件里的內容按上面的對應關系替換掉，然後把修改好的.reg文件導入到注冊表中（雙擊即可），導入了改名後的注冊表項之後，別忘記了刪除原有的`那兩個項目。這里需要注意一點，Clsid中只能是十個數字和ABCDEF六個字母。

下面是我修改後的代碼（兩個文件我合到一起了）：

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}]

@="Shell Automation Service"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}InProcServer32]

@="C:WINNTsystem32shell32.dll"

"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}ProgID]

@="Shell.Application_ajiang.1"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}TypeLib]

@="{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}Version]

@="1.1"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}VersionIndependentProgID]

@="Shell.Application_ajiang"

[HKEY_CLASSES_ROOTShell.Application_ajiang]

@="Shell Automation Service"

[HKEY_CLASSES_ROOTShell.Application_ajiangCLSID]

@="{13709620-C279-11CE-A49E-444553540001}"

[HKEY_CLASSES_ROOTShell.Application_ajiangCurVer]

@="Shell.Application_ajiang.1"

你可以把這個保存為一個.reg文件運行試一下，但是可別就此了事，因為萬一黑客也看了我的這篇文章，他會試驗我改出來的這個名字的。

防止列出用戶組和系統進程

我在阿江ASP探針1.9中結合7i24的方法利用getobject("WINNT")獲得了系統用戶和系統進程的列表，這個列表可能會被黑客利用，我們應當隱藏起來，方法是：

【開始→程序→管理工具→服務】，找到Workstation，停止它，禁用它。

防止Serv-U許可權提升

其實，注銷了Shell組件之後，侵入者運行提升工具的可能性就很小了，但是prel等別的腳本語言也有shell能力，為防萬一，還是設置一下為好。

用Ultraedit打開ServUDaemon.exe查找Ascii：LocalAdministrator，和#l@$ak#.lk;0@P，修改成等長度的其它字元就可以了，ServUAdmin.exe也一樣處理。

另外注意設置Serv-U所在的文件夾的許可權，不要讓IIS匿名用戶有讀取的許可權，否則人家下走你修改過的文件，照樣可以分析出你的管理員名和密碼。

利用ASP漏洞攻擊的常見方法及防範

一般情況下，黑客總是瞄準論壇等程序，因為這些程序都有上傳功能，他們很容易的就可以上傳ASP木馬，即使設置了許可權，木馬也可以控制當前站點的所有文件了。另外，有了木馬就然後用木馬上傳提升工具來獲得更高的許可權，我們關閉shell組件的目的很大程度上就是為了防止攻擊者運行提升工具。

如果論壇管理員關閉了上傳功能，則黑客會想辦法獲得超管密碼，比如，如果你用動網論壇並且資料庫忘記了改名，人家就可以直接下載你的資料庫了，然後距離找到論壇管理員密碼就不遠了。

作為管理員，我們首先要檢查我們的ASP程序，做好必要的設置，防止網站被黑客進入。另外就是防止攻擊者使用一個被黑的網站來控制整個伺服器，因為如果你的伺服器上還為朋友開了站點，你可能無法確定你的朋友會把他上傳的論壇做好安全設置。這就用到了前面所說的那一大堆東西，做了那些許可權設置和防提升之後，黑客就算是進入了一個站點，也無法破壞這個網站以外的東西。

4. 阿里雲伺服器ECS怎樣添加安全組規則

打開控制台，找到您的ECS實例,最後面有，目錄。點擊，就會看到安全組，神卓伺服器安全 ，如果不會操作，直接打電話給他們客戶，24小時都有在的，服務還可以的，他們會教你如何操作。忘採納，謝謝！！！

5. 伺服器安全狗怎樣配置

導語：網站安全狗是安全狗旗下的一款集網站內容安全防護、網站資源保護、網站加速及網站流量保護功能為一體的伺服器工具。下面我為您收集整理了伺服器安全狗配置，歡迎閱讀!

1、下載網站安全狗到伺服器上，安裝完成後，即可對網站進行防護。在網路上搜索「安全狗」就可以看到官網信息。

2、可利用掃描功能 對網站進行整體掃描，看網站是否存在安全威脅，如是否被掛馬、被掛黑鏈、是否存在網頁木馬、以及畸形文件等。

3、開啟主動防禦。包括網站漏洞防護、網馬防護、危險組件防護、禁止IIS執行程序、一句話後門防護。【開啟之後記得要點擊保存，才能生效】

網站漏洞防護可以防SQL、XSS等注入行為;

網馬防護主要是攔截上傳或瀏覽的網頁木馬，保護網站安全;

危險組件防護，前面攔截惡意代碼對組件的調用許可權;

禁止IIS執行程序，全面攔截IIS執行惡意程序;

一句話後門防護，可有效攔截PHP一句話後門。

開啟CC攻擊防護。

4、CC攻擊(ChallengeCollapsar)是藉助代理伺服器生成指向受害主機的合法請求，實現DOS和偽裝。模擬多個用戶不停的進行訪問那些需要大量數據操作，大量CPU時間的頁面，使得頁面打開速度緩慢。CC攻擊防護基本原理是防止一個IP多次不斷刷新而斷開與該IP得連接，防止伺服器癱瘓,達到了防攻擊目的。

5、在進行訪問規則設置的時候，如果是新手，建議直接使用默認值。同時該設置也支持自主設置，用戶可根據實際情況設置參數，已達到最佳防護效果。

開啟資源保護，包括資源防盜鏈、網站特定資源保護、網站後台防護等，保護網站安全。

6、在網站後台防護中，建議啟用臨時黑名單，比如說60秒內非法訪問3次，將會被凍結5分鍾，5分鍾後才可繼續使用。參數，用戶可以根據自己的實際情況進行設置。設置後，記得點擊保存生效。

啟用網站加速，主要針對圖片、視頻、js、flash等靜態資源進行加速，操作簡單易用。

網站加速功能默認是關閉的，如有需要可進行開啟。點擊「開啟按鈕」開啟網站加速服務，隨後把想加速的.網站添加到列表中並開啟加速即可。(需要注意的是，如果沒有加入安全狗服雲，點擊開啟時，就會看到一個提示：「加入服雲，才能開啟使用網站加速功能」。)

7、IP黑白名單的設置。

IP白名單設置可以通過設置一些值得信賴IP地址為白名單地址，從而使它們能夠順利的訪問網站;

IP黑名單是相對白名單進行設置的，目的是為了通過設置一些不良IP地址為黑名單地址，從而限制它們訪問網站。

用戶可以點擊「啟用」選項開啟IP黑白名單功能，設置好後需要保存!

8、可以在網站安全狗防護日誌中查看到每日防護具體信息，便於你及時調整安全防護措施。同時，如果想把哪個被攔截IP添加到IP黑白名單，可直接選中某個日誌，右鍵單擊即可把IP添加到黑白名單中。

網站安全狗的功能很強大，還有很多細節信息並沒有一一寫出來，大家如有需要可以到官網詳細了解一番。同時安全狗的其他產品服務：伺服器安全狗、安全狗服雲等也可以了解下，比如說：安全狗服雲手機端，可以遠程管理伺服器和網站安全等。

6. 如何配置阿里雲伺服器安全組 具體的操作方法

1、首先登陸阿里雲控制台首頁，沒有阿里雲賬號的要先注冊哦

2、然後點擊左側的雲伺服器ECS，進入你的伺服器列表

3、找到你需要配置安全組的伺服器，然後點擊進去，可以看到左側的本實例安全組的選項，點擊右邊的配置配置

4、點擊左邊添加安全組規則來添加一條安全租規則吧，這里我們需要填寫埠的范圍以及授權對象就可以了

5、填寫好之後點擊確定，然後再返回安全組的列表就可以看到你剛剛創建的安全組規則了，這里你可以在你的伺服器上測試一下看看埠是否已經打開