Serv u software attack defense

  

Antes de leer este artículo, hay algunos puntos a los que prestar atención

1, el control total de todos los directorios en el servidor no debe aparecer

2, WEB Los permisos en el directorio son independientes. En general, se leen y escriben, no tienen derechos de ejecución

3, ipsec ha definido el acceso de puertos de entrada y salida relevantes

Serv-u administración predeterminada local El puerto, el administrador predeterminado inicia sesión nuevo dominio y el usuario para ejecutar el comando, el puerto de administración local predeterminado de Serv-u V3.x o posterior es: 127.0.0.1:43958, por lo que solo se puede conectar la máquina local, el administrador predeterminado:

LocalAdministrator, contraseña predeterminada: #l@$ak#.lk; 0 @ P, que está integrado dentro de Serv-u, se puede conectar con el permiso de invitado, administre Serv-u, como se muestra en la Figura 1 < Br>


Medidas preventivas y contramedidas: Serv-U v6 e inferior pueden modificar directamente los archivos ServUDaemon.exe y ServUAdmin.exe con Ultraedit, y cambiar la contraseña predeterminada a otros caracteres de igual longitud. , use

Ultraedit para abrir ServUAdmin.exe para encontrar el último B6AB (4395 8 hex), reemplazado por un puerto personalizado como 3930 (12345), pero como serv-U v6 e inferior tienen una vulnerabilidad de desbordamiento de búfer remoto, no se recomienda usar

serv-U v6 o una versión superior Puede agregar LocalSetupPortNo = 12345 a ServUDaemon.ini, puede cambiar el puerto de administración predeterminado, usar ipsec para restringir cualquier acceso de IP al acceso a puerto 12345

, es decir, aumentar el bloqueo del puerto 12345, si no cambia el puerto predeterminado, Aumente el bloqueo del puerto 43958. Si usa el botón "Cambiar contraseña", agregue la contraseña MD5 como

LocalSetupPassword = ah6A0ED50ADD0A516DA36992DB43F3AA39 a ServUDaemon.ini. Si no modifica la contraseña de administración predeterminada, la original #l@$ak#.lk; 0 @ P todavía se guarda solo cuando la contraseña está vacía, más el LocalSetupPortNo limitado del puerto de administración = 12345, por supuesto, el programa también necesita cambiar el puerto


Establezca los permisos de directorio, elimine los permisos de ejecución del usuario de acceso a IIS del directorio web para evitar el uso de Webshell para ejecutar el programa Exp, pero este método tiene ciertas limitaciones, debe configurar muchos directorios, no puede tener una pequeña omisión, como Si se produce un error en la configuración del directorio, se cargará y ejecutará Exp en este directorio, ya que los permisos en la WEB son independientes y generalmente leen y escriben. No hay derechos de ejecución. Luego, cargue otros archivos para una ejecución exitosa. No es muy bueno, modifique los permisos del directorio de instalación de Serv-u C: \\ Archivos de programa \\ Serv-U (por ejemplo, este directorio, pero por seguridad, no use el directorio predeterminado), el grupo de administradores tiene control total y al grupo de invitados se le niega el acceso a Serv. Directorio U: esto es para evitar que los usuarios usen webshell para descargar ServUDaemon.exe, utilicen Ultraedit para abrir la contraseña de la cuenta Serv-U y modifiquen la operación de carga de compilación, luego el trabajo anterior no tiene efecto, porque el puerto de administración predeterminado está en el archivo de programa. Se modificó, también se modificó en ServUDaemon.ini, por lo que la conexión de administrador predeterminada no se encuentra en


la última, porque Serv-U es iniciada por el servicio es la predeterminada Si se ejecuta el permiso del sistema, habrá una posibilidad de ser promovido. Simplemente cambie el usuario de arranque de Serv-U a un usuario del grupo USER, entonces no habrá una llamada escalada de privilegios. Sin embargo, debe tenerse en cuenta que este usuario de baja potencia debe tener control total sobre el directorio de instalación de Serv-U y el directorio o letra de unidad que proporciona el servicio FTP. Se ha encontrado a través de las pruebas que Serv-U comenzó con usuarios de grupos normales que no pueden agregar usuarios y eliminar usuarios, y todo lo demás es normal.

Copyright © Conocimiento de Windows All Rights Reserved