打造windows下phpmysqliis安全平臺(tái)_圖文.

1、打造 windows 下 php+mysql+iis 安全平臺(tái)我們最終的目標(biāo)是 Web 站點(diǎn)只運(yùn)行 php，不支持 asp 不支持 ,讓特定的目錄 或者子網(wǎng)站不能執(zhí)行 php 腳本，例如圖片目錄，我們對(duì)它設(shè)置成不能運(yùn)行php，這樣就算您的網(wǎng)站被黑客”登錄了后臺(tái)，能上傳文件。但是最終他也不能執(zhí)行webshell。就算拿到了 webshell，他也不能讀目錄或者文件，不能執(zhí)行命令。換句大話就是說強(qiáng)大 的 webshell在黑客手上沒有任何的利用價(jià)值，讓黑客最終直接抓狂而死。呵呵！其實(shí)做到這一點(diǎn)不是非常的難，跟隨我的腳步來吧。學(xué)完本文章你就能獨(dú)立的完成這樣的變態(tài)的服務(wù)器配置 了。一、php.ini

2、文件變態(tài)配置我們?yōu)槭裁窗?php.ini 放在最前面寫呢，因?yàn)槲覀兊腤eb 網(wǎng)站是 php 的，所以很多默認(rèn)的選項(xiàng)是不安全的。給黑客留下了非常多的可利用機(jī)會(huì)，所以第一步我們必須要把php.i ni 設(shè)置的變態(tài)些，這樣就能阻止一般腳本黑客的攻擊了。我們首先來了解一些php.i ni 的基本概念性?？瞻鬃址鸵苑痔?hào)開始的行被簡(jiǎn)單地忽略。設(shè)置指令的格式如下：directive = value 指令名（directive是大小寫敏感的！所以foo=bar不同于FOO=bar。值（value 可以是：1.用引號(hào)界定的字符串（如：foo2.一個(gè)數(shù)字（整數(shù)或浮點(diǎn)數(shù)，如：0，1，34,-1，33.553.一個(gè)

3、 PHP 常量（女口： E_ALL，M_PI4.一個(gè) INI 常量（On, Off, none5.一個(gè)表達(dá)式（如：E_ALL & E_NOTICE還有另外一個(gè)是設(shè)置布爾值，1 為 On 就是開啟，0 為 Off 就是關(guān)閉。php.ini 分了很多部分，例如：模塊部分，php 全局配置，數(shù)據(jù)庫(kù)配置，等等。如圖1 所示是一個(gè)基本的php.ini的例子。了解了基本的概念以后我們就可以開始變態(tài)配置之旅。com第一個(gè)重要的參數(shù)是register_globals.這個(gè)配置影響到 php 如何接收傳遞過來的參數(shù)，說白了 register_globals的意思就是注冊(cè)為全局變量，所以當(dāng)該參數(shù)為值On

4、的時(shí)候，傳遞過來的值會(huì)被直接的注冊(cè)為全局變量直接使用，而當(dāng)該參數(shù)值為Of 的時(shí)候，我們需要到從特定的數(shù)組里去得到它。從wO 很多的 php 漏洞來看一大部分是因?yàn)镽egister_Globals 為 On 的時(shí)候被利用的，所以強(qiáng)烈推薦將這個(gè)參數(shù)修改成Off， php 目前的最高版中此參數(shù)都是默認(rèn)是Of 的，沒啥說的了，如果你用的版本比較老的話一定要修改這里。第二個(gè)重要的參數(shù)是magic_quotes_gpc。如果你把 magic_quotes_gpc 設(shè)置成了 Of，那么 php 就不會(huì)對(duì) 4 種字符（單引號(hào)，”（雙引號(hào)， （反斜線 和空字符進(jìn)行轉(zhuǎn)義，那這樣 的話就會(huì)造成服務(wù)器可

5、能會(huì)被非法注入的可能。但是如果你把Magic_quotes_gpc 設(shè)置成 On 的話，php 就會(huì)給$_POST $_GET $_COOKIE 提交的變量中如果有上面四種字符的話就會(huì)加上反斜扛.這樣就會(huì)大大地提高php 的安全性。強(qiáng)烈推薦將Magic_quotes_gpc 設(shè)置為 Or。第三個(gè)比較重要的是display_errors。為什么說這個(gè)參數(shù)重要呢，因?yàn)闆]有不會(huì)犯錯(cuò)誤的開發(fā)者，php 的 display_errors參數(shù)就是幫助開發(fā)者定位和確定這些錯(cuò)誤的。可是如果php 提供的這些信息被黑客了解到的話，這就不妙了。如圖2 所示為某國(guó)庫(kù)的網(wǎng)站，因?yàn)閷?duì)display_errors沒有進(jìn)行

6、設(shè)置，導(dǎo)致web 目錄泄露。這對(duì)于黑客來說可是非常重要的信息，因?yàn)楹芏鄷r(shí)候的滲透都需要知道web 目錄，例如 webshell 的寫入等等。所以我們強(qiáng)烈推薦大家把這個(gè)參數(shù)設(shè)置成 Of。mj圖 14-fcii - B4 & , - I - F . * R - - - P -F- I - ! JipT 9- r i-r - I - - I - * -AT-AHHH- - NWM -j- -_W- ilc Ji - - -.-r.HM ifiii w r vtJw FI第四個(gè)重要的參數(shù)就是 safe_mode，就是我們常說的安全模式。php 的安全模式是個(gè)非常重要的內(nèi)嵌的安全機(jī)制，能夠控制一

7、些php 中的函數(shù)，比如 system（等函數(shù)，同時(shí)把很多文件操作函數(shù)進(jìn)行了權(quán)限控制，也不允許對(duì)某些關(guān)鍵文件的訪問，比如/etc/passwd，但是默認(rèn)的php.ini 是沒有打開安全模式的，我們把它打開。safe_mode = on。第五個(gè)參數(shù)是 open_basedir，使用 open_basedir 選項(xiàng)能夠控制 PHP 腳本只能訪問指定的 目錄，這樣能夠避免 PHP 腳本訪問不應(yīng)該訪問的文件，一定程度上限制了webshell 的危害，我們一般可以設(shè)置為只能訪問網(wǎng)站目錄（假設(shè)網(wǎng)站目錄為 E:test : open_basedir = E:test第六個(gè)參數(shù)是 disable_functi

8、ons，使用 disable_functions可以限制一些對(duì)于系統(tǒng)來說威脅很大的函數(shù)。例如，我們?cè)诘谝徊糠种锌吹降挠衟hpinfo（函數(shù)的網(wǎng)頁(yè)中可以看到關(guān)于php 的環(huán)境變量等。還有可以利用system，exec 等函數(shù)來執(zhí)行系統(tǒng)命令等等。這里我們推薦過濾的函數(shù)如下。disable_functions = phpinfo，passthru ，exec， system， chroot ， scandir ，chgrp，chown, shell_exec ， proc_open，proc_get_status ， ini_alter， ini_alter， ini_restoredl， pfso

9、ckopen，openlog，syslog ，readlink ，symlink ， popepassthru ， stream_socket_server。大家如果對(duì)某個(gè)函數(shù)不了解的話，可以google 搜索得到函數(shù)的作用，然后來決定您自己的服務(wù)器是否禁止掉。第七個(gè)參數(shù)是 Com 組件。Windows 平臺(tái)下的 PHP 腳本平臺(tái)存在一個(gè)安全漏洞，使得PHP 設(shè)置即使在安全模式下（safe_mode，仍舊允許攻擊者使用COM 函數(shù)來創(chuàng)建系統(tǒng)組件來執(zhí)行任意命令。漏洞出現(xiàn)的原因是由于在安全模式下的PHP 平臺(tái)雖然 system（;pathru（ 函數(shù)被禁止，但是 com.allow_dcom 的設(shè)

10、置依舊是為 true。以至于攻擊者可以使用COM 函數(shù)創(chuàng)建系統(tǒng)組件對(duì)象來運(yùn)行系統(tǒng)命令。如果是默認(rèn)的 Apache 設(shè)置或者 Web 服務(wù)器以 Loacalsystem 權(quán)限或 Administrators 權(quán)限 運(yùn)行，攻擊者可以使用這個(gè)漏洞來提升權(quán)限。所以我們必須要關(guān)閉掉com.allow_dcom 這個(gè)參數(shù)默認(rèn)是 True，我們需要吧這個(gè)參數(shù)修改成com.allow_dcom=false。第八個(gè)參數(shù)是expose_php。這個(gè)參數(shù)決定是否暴露PHP 被安裝在服務(wù)器上。如圖3 所示，如果這個(gè)參數(shù)設(shè)置為 On 的話就會(huì)把 php 的版本等泄露出來了。我們的推薦值是Off。一尸靄厝冊(cè)冊(cè)因礙訊訊!1

11、屋個(gè)咱咱loo -IH門門7lln?1rlr 17ln?I不二逮第竄MEigl1plliilltllblltf&l1(9暉00271盤前mdjxri足DLUn址問慟：0TI#kIQjgjJii白竝zFQ|I尅!Mnn| -j平iq-細(xì)曲細(xì)Mi-U0-f側(cè)口訊瓷科砂*耳屬口出口自fM.p cvPag兄!U113訊“WH科毎R前鼻和血I*忌搖由HQgZ0T基本上的參數(shù)我們就介紹完了，當(dāng)然php.i ni 還需要配置，大部分設(shè)置跟安全是沒有關(guān)系的，很大一部分都跟 PHP 運(yùn)行的效果（例如優(yōu)化等有關(guān)系，如果大家有興趣的話可以自己參考 一下 php的官方手冊(cè)來具體了解一下。注意：修改完php.i

12、ni 以后，必須重新啟動(dòng) IIS，不然你設(shè)置的內(nèi)容不會(huì)即時(shí)生效。、IIS 變態(tài)配置我們配置完了 php.ini ，雖然已經(jīng)算是相當(dāng)安全了。但是畢竟最重要的設(shè)置還是在IIS 上面，IIS 可以限制某些用戶的登錄，同時(shí)也可以為數(shù)據(jù)增加SSL（安全套接層來增強(qiáng)數(shù)據(jù)在傳輸過程中的安全性?？梢岳?IIS 限制某些應(yīng)用程序例如php 的執(zhí)行規(guī)則，例如，讓 php 只能運(yùn)行在指定的目錄中，其他的目錄是不能執(zhí)行php 的。下面舉個(gè)例子就好理解了，例如： 這個(gè)網(wǎng)站，大家都知道的，這個(gè)是新浪的。新浪每天的訪問量是非常大的，所以他不可能把所有的東西都放在一個(gè)服務(wù)器上面，這個(gè) 時(shí)候可能就會(huì)把特定的資源例如圖片，視頻

13、等放到一個(gè)專門的服務(wù)器上。這個(gè)時(shí)候，新浪的安 全管理員就做了個(gè)非常變態(tài)的策略，就是在這些提供特定資源的服務(wù)器上面不能運(yùn)行任何的腳 本，例如不能執(zhí)行 php 等，當(dāng)然我這里只是舉個(gè)例子，因?yàn)榇蟛糠值男吕说姆?wù)器都是Linux系列的，在他上面跑的可能是Nginx 或者是 apache，apache 的這部分設(shè)置我們會(huì)在以后的教程中涉及。所以希望大家關(guān)注我寫的文章啊，呵呵！第一個(gè)變態(tài)的服務(wù)器配置.我們繼續(xù)來討論 IIS.基本的配置請(qǐng)參考第一部分的文章，這里我們就不多說廢話了，我們第一個(gè)實(shí)現(xiàn)的功能是特定 的 php 目錄或者是網(wǎng)站不能運(yùn)行php。如圖 4 所示是我們的網(wǎng)站和網(wǎng)站的資源。劃線部分是我們的

14、目錄，這里我新建一個(gè)目錄例如images 目錄，然后在 images 目錄下建立一個(gè) 2009.php的文件，內(nèi)容是 phpinfo，如圖 5 說明我們正常執(zhí)行了。我們要達(dá)到的目的是讓這個(gè)目錄不支 持 php 的執(zhí)行.下面我們來看一下如何實(shí)現(xiàn)的。我們有兩種辦法。第一種是首先打開 IIS 信息服務(wù)管理器，打開我們的網(wǎng)站，然后找到我們剛才新建的目 錄，右鍵點(diǎn)擊W71 IH価科11?*0/Aff 141HQ23671 !29HD:A科TM叫口n&nIB15*101JINDZ71 118WMO丄fefljDrflflaZJ UH越*丄w叫詛耳亠馬!*WWlWTQxom目錄屬性，如圖6 所示。我

15、們看劃紅線的地方，這里有三個(gè)選項(xiàng)，分別是無，純腳本，還有一個(gè)是腳本和可執(zhí)行文件。這里我們選擇無，然后單擊“確定”按鈕。如圖7 所示，我們?cè)偎⑿乱幌戮蜁?huì)看到2009.php 不可以運(yùn)行了。第二種辦法是利用應(yīng)用程序池來配置，具體的實(shí)現(xiàn)方法為：如圖8 所示，我們選擇畫紅線的部分，然后就創(chuàng)建了一個(gè)和網(wǎng)站名字一樣的應(yīng)用程序池，然后我們單擊“配置”按鈕出現(xiàn)如 圖 9 所示的畫面，我們這里把.php 的擴(kuò)展去掉。如圖 10 所示，我們的腳本不能運(yùn)行了，出現(xiàn) 了 404 的錯(cuò)誤，但是我們?cè)L問圖片還是一樣可以訪問，如圖11 所示。當(dāng)然上面的配置也可以用于特定的服務(wù)器，例如，您的公司規(guī)模比較大，需要建立一個(gè)專門的

16、圖片服務(wù)器來緩解主服 務(wù)器的負(fù)載，就可以使用這個(gè)很變態(tài)的方法。圖 6圖 4圖 5*1 A * lift ll3|H3fi. jl!-qrir-ai霹*九n ii三中齊?a:.曽 MgyiKi H. tJl：r a:SF.rr FLTgt|.啦hBr.i如JSH:HULF,* 1* ? n-a .mi：eMtiififf*ii - Juflwtf s ? ik n、Tifw；IZITLC： ki 4+ IfW1理FW曹T 盲浮珂IT1 dEHij4g|OM*Miil1bB3v，*iAqriMfl -n*L -JLLI HE J口HK “尹L1 h -甲l-F DT SEr- nE.HIVi*W-

17、rr !吵k CMil St1 !-、 !I TKlk-!nJarLXT.KiriJM* lu .L1-A，!H亠.Aa B_npng j_uM Iir i n - Fl：I pHT#.I t!l v-tw All 7rf q慣郢冋TL*.B fUllrot 加UM smtflifTris- IM，AJHJtA E_JIE t M ；*p t TTf * T| r I* nti E出 尸埒三避*=*r*iii詢L m f ir：- r *Bmf.-s in 心胃i rwT 匸心”.wBns*悴工maifi畔丘鼻曲rh*1 r-RSrFl*a# iiF r第二個(gè)變態(tài)的服務(wù)器配置相信一部分人都知道

18、就是給特定的目錄上集成Windows 2003 的身份驗(yàn)證功能，例如后臺(tái)的設(shè)置。一個(gè)很常見的場(chǎng)景如下：如果我的后臺(tái)目錄是admin 的話，我這里有 2 個(gè)驗(yàn)證用戶和密碼。第一道防護(hù)是服務(wù)器上的集成身份驗(yàn)證，就是給服務(wù)器上添加一個(gè)用戶，然后設(shè)置一個(gè)非 常變態(tài)的密碼。第二道防護(hù)就是網(wǎng)站本身的用戶名和密碼，當(dāng)然這兩道防護(hù)的密碼一定不能相同，不然跟 沒用一樣。下面，我們來實(shí)現(xiàn)一下這個(gè)功能。例如，我們要配置的目錄是admin，右鍵點(diǎn)擊admin 的屬性，如圖 12 所示，我們單擊“身份驗(yàn)證和訪問控制”下的“編輯”按鈕，彈出如 圖 13 所示的對(duì)話框，我們選擇“ 集成 windows 身份驗(yàn)證”就可以了，

19、同時(shí)去掉“啟用匿名” 前面的對(duì)勾，然后單擊“確定”按鈕。我們?cè)俅卧L問后臺(tái)目錄就會(huì)出現(xiàn)了如圖14 所示的畫面，要求我們輸入 windows 服務(wù)器上的用戶名和密碼。我們現(xiàn)在新建一個(gè)本地的用戶，然后把他的權(quán)限設(shè)置為最小的。我們單擊開始菜單- 運(yùn)行- 輸入 cmd,然后在 cmd 中輸入 net user test test /add。添加一個(gè)用戶，這一步?jīng)]啥說的。下面講解如何降低 test 用戶的權(quán)限，右鍵點(diǎn)擊“我的電腦”，選擇“管理”，彈出“計(jì)算機(jī)管理”對(duì)話框，如圖 15 所示，選擇右鍵單擊剛才新建的 test 用戶選擇“屬性”，我們選擇用戶“密碼永不過期”，然后選擇撥入選擇拒絕訪問點(diǎn)確定，回到

20、剛才的目錄中，我們輸入我們新建的用戶就可以查看了。圖 12用戶名冊(cè)：pE3_AA-aSAF9F2ZIlTrZ吐碼-Xr*Vr7777t安大件用戶詢聞飪這H櫓HEE住用訂下券躺弦下，萎求用尸名和譽(yù)碼g癖伍旺鼻雪空i廣ms期務(wù)M&越褊側(cè)斑r寸n臥皚證型醴則式姙銅傀】廠JTTr*p4rt UftHttEtX)認(rèn)畑1喚1|旳廠一-1書助闇J圖 13:卑 * 1工” 畫里1-J*1IT幢|工具ij 1相E? QI 1* ”-:二;99crwp ei* * 口求堆址 *|fj亦1卩.L日0 1 1 tfe 2 r. i n i-r “ I測(cè)3)圖 14I知玄 哋電廠査吒匚如 炯即-I卉圖 15第三

21、個(gè)配置就是服務(wù)器只支持 php 其他任何腳本都不支持。這個(gè)很容易就實(shí)現(xiàn)了，我們不 說廢話，如圖 16 所示就可以搞定了，只留下 php 就可以了，其他全部刪除。當(dāng)然如果您的服 務(wù)器需要支持 asp和 asp .net 的話只留下 asp，asp .net 和 php 就行了。其他全部刪除即可。圖 16三、web 目錄的變態(tài)權(quán)限配置其實(shí)我們?cè)诘?2 部分的時(shí)候已經(jīng)涉及到了基本的權(quán)限配置原則等，這里我們只是做一些擴(kuò)展。例如，我們的網(wǎng)站的目錄是E:test 。右鍵單擊目錄，選擇“屬性”，彈出如圖17 所示對(duì)話框，我們把 IUSR_十算機(jī)名添加進(jìn)來，這個(gè)賬號(hào)是IIS 匿名用戶的訪問賬號(hào)。BWORFTOflUfedHter星d wiW5UI-HJWBJPB|-4WaiB.n家METif ITT出叭?？贏nidni譽(yù)林 n* tm*r iCC Frpr fi.iH塞FSTM甘血1-W 市11“ ITiTiSrHB.勘爭(zhēng)曰畔!沖 EJH CtirtiRi. llljKiDO自十牌甜扌屮耳頁(yè)蜩嘶J IM 4- IKfcHSMSUUbV9.+Bit eAmrflMP內(nèi)手土竹 心KT Mffiffli -注意畫長(zhǎng)方形的地方一定不要選擇。不然黑客就能上傳webshell 到你的目錄了。但