网站安全狗V3.0--禁止执行IIS程序操作及实战教程
黑客攻击存有漏洞的网站,通过上传webshell恶意可执行程序或者恶意木马文件到网站或者服务器上,就可非法获取服务器上信息。网站安全很重要,那怎样才能保护这些信息不被恶意获取呢?网站安全狗“主动防御”功能模块的“禁止执行程序防护”功能全面拦截IIS执行恶意程序,保护网站安全。那怎样对“禁止执行程序防护功能”进行设置,才能起到更好的防护效果呢?下面我们通过一个实例来阐述该功能的设置。
首先,我们来看看未开启禁止IIS执行程序功能情况(安装完网站安全狗后,该功能默认设置为“关闭”状态),如下图所示:
http://bbs.safedog.cn/data/attachment/forum/201305/28/102440r2r15rm6g1mpi844.jpg
图1 未开启禁止IIS执行程序功能
网站安全狗“禁止IIS执行程序”功能默认没有开启,当我们通过网站IE访问test.aspx网马文件,然后通过cmdshell输入相应的查询命令(例如:net user)则会显示获取的服务器账号信息,截图如下:
http://bbs.safedog.cn/data/attachment/forum/201305/28/1024404kdy6sy6oz626554.jpg
图2 网马正常获取到账号信息截图
接下来,我们再来看看,开启了禁止IIS执行程序功能会呈现怎样的情况:
http://bbs.safedog.cn/data/attachment/forum/201305/28/1024401yonrz01dr921oo7.jpg
图3 开启禁止IIS执行程序功能
当我们开启了网站安全狗禁止IIS执行程序功能,这时候网站就受到了网站安全狗的防护,执行test.aspx网马文件时候就无法获取到相应服务器账号信息,截图如下:
http://bbs.safedog.cn/data/attachment/forum/201305/28/102440bbv2o1vuqbyvboez.jpg
图4 开启该功能就无法获取到信息
同时,在网站安全狗的防护日志中,我们也可以查看到相对应的被成功拦截的防护日志,截图如下:
http://bbs.safedog.cn/data/attachment/forum/201305/28/102441dglhghgho03gnd8h.jpg
图5 拦截的防护日志
同时,用户还可以利用“禁止IIS执行程序”功能下的白名单功能,将希望不被拦截的应用程序添加到该白名单中。下面我们一起来看看,怎样设置该白名单:
设置白名单:
(1)设置应用程序白名单
用户可以把希望不被拦截的应用程序添加到白名单中。本实例中用户执行C:\WINDOWS\Microsoft.NET\Framework\v3.5\vbc.exe时候出现以下的网站安全狗拦截日志:
http://bbs.safedog.cn/data/attachment/forum/201305/28/102441effwz2mmfe3igjvv.jpg
图6 拦截记录
若用户希望不拦截C:\WINDOWS\Microsoft.NET\Framework\v3.5\vbc.exe,可以将其添加到应用程序白名单中。以下为设置的截图:
http://bbs.safedog.cn/data/attachment/forum/201305/28/102441wqzpuek212ozp4vq.jpg
设置完成之后的截图:
http://bbs.safedog.cn/data/attachment/forum/201305/28/10244160ypd26ppv8uyblb.jpg
图7 添加应用程序到白名单
(2)增加应用池的白名单
用户可以把希望不被拦截应用程序池添加到应用程序池白名单中,可以根据添加向导增加应用池的白名单,如下图:
http://bbs.safedog.cn/data/attachment/forum/201305/28/102441dkkkbl5wdppuskap.jpg
图8 选择应用程序池
http://bbs.safedog.cn/data/attachment/forum/201305/28/102442mm1m8778c671nzm6.jpg
图9 增加到应用程序池
页:
[1]