0
2010/03/22 
22:30 
302
有许多管理员都遇到过这种情况,当ser-u开启的时候总被攻击,关闭了之后就安全了,这是因为ser-u漏洞太多,很容易被攻击,如果管理员处理不当, 还会导致将整个服务器献于他人之手,所以我们应该很好的配置ser-u,以免遭到不必要的攻击..
一、大家知道Liunx系统和Unix系统比Windows安全的一个重要原因在于:Linux和Unix的系统服务不使用root权限,而是使用权限比较低的另外一个单独用户,比如web服务使用了nobody这个用户。而Serv-U默认是以system身份运行的,而System这个系统内置账户对本机有完全操作的权限;因此如果攻击者利用Serv-U程序的漏洞而获得了可执行shell的那,那么他将可以随意控制操作系统里任何一个目录了..
二、我们根据一的讲解知道了为什么Serv-U提权与溢出攻击可怕的原因了,那么我们该如何防止这一类攻击的发生呢?答案就是降底Serv-U的运行权限与控制Serv-U的“Acls”可访问目录...好,下面就一步一步跟我来吧!
三、Serv-U安全配置
1、首先请保持合用Serv-U的最新版本(目前新版为6.4...)。然后在安装Serv-U的时候尽量不要选择默认的安装目录,比如俺将Serv-U 安装在D:/Pro_LeeBolin^_^/Serv-U#$2008$/...(因为这样复杂的目录名可防止Hacker的猜解)
2、然后将Serv-U取消MDTM命令的执行,修改Serv-U FTP Banner并开启好Serv-U的FTP日志保存到非系统盘,日志选择记录好Serv-U命名用了那些命令与DLL,并为Serv-U设置一个强壮的本地管理密码(因提权多是因为Serv-U的默认管理员),你还可以选择将Serv-U的FTP账户信息保存到注册表,不要存在Serv-U目录下的ini 文中,这样更加安全。
3、我们再开启"计算机管理"新建一个用户Serv-UAdmin,设置好密码。将用户退出Users组,不加入任何组。并在用户的“终端服务配置文件” 选项里取消“允许登录到终端服务器。并且禁止Serv-UAdmin用户的本地登陆。进入控制面板 -> 管理工具 -> 本地安全策略 -> 本地策略 -> 用户权利指派 -> 拒绝本地登陆。(备注:这个用户我们将它来作为俺们Serv-U的服务运行账号,嘿嘿)
4、开始运行"Services.msc"打开win的服务管理器,找开Serv-U Ftp Server的Serv-U服务;打开“登陆”对话框。当前默认的为“本地系统帐户”。我们将其修改为我们在3中新建的Serv-UAdmin用户,并输入密码。
5、下面的工作就是设置Serv-U的运行与FTP目录的ACLs权限了.如果是asp/php/html脚本的话,WEB目录只需要admins & serv-uadmin & IUSR_XX即可(这里的IUSR_XX是指站点的匿名单用户账号...
四、到目前为止,我们的Serv-U已经简单的做到了防提权,防溢出了。为什么呢?因为能常远程溢出overflow的话,都是通过得一shell 而进行进一步的hacking,而我们现在的Serv-U不是以system运行,所以即使执行了overflow指命,也并不能得到什么...防提权就不用我解释了:因为我们的Serv-Uadmin没有任何系统级的ACLs访问权限..
一、大家知道Liunx系统和Unix系统比Windows安全的一个重要原因在于:Linux和Unix的系统服务不使用root权限,而是使用权限比较低的另外一个单独用户,比如web服务使用了nobody这个用户。而Serv-U默认是以system身份运行的,而System这个系统内置账户对本机有完全操作的权限;因此如果攻击者利用Serv-U程序的漏洞而获得了可执行shell的那,那么他将可以随意控制操作系统里任何一个目录了..
二、我们根据一的讲解知道了为什么Serv-U提权与溢出攻击可怕的原因了,那么我们该如何防止这一类攻击的发生呢?答案就是降底Serv-U的运行权限与控制Serv-U的“Acls”可访问目录...好,下面就一步一步跟我来吧!
三、Serv-U安全配置
1、首先请保持合用Serv-U的最新版本(目前新版为6.4...)。然后在安装Serv-U的时候尽量不要选择默认的安装目录,比如俺将Serv-U 安装在D:/Pro_LeeBolin^_^/Serv-U#$2008$/...(因为这样复杂的目录名可防止Hacker的猜解)
2、然后将Serv-U取消MDTM命令的执行,修改Serv-U FTP Banner并开启好Serv-U的FTP日志保存到非系统盘,日志选择记录好Serv-U命名用了那些命令与DLL,并为Serv-U设置一个强壮的本地管理密码(因提权多是因为Serv-U的默认管理员),你还可以选择将Serv-U的FTP账户信息保存到注册表,不要存在Serv-U目录下的ini 文中,这样更加安全。
3、我们再开启"计算机管理"新建一个用户Serv-UAdmin,设置好密码。将用户退出Users组,不加入任何组。并在用户的“终端服务配置文件” 选项里取消“允许登录到终端服务器。并且禁止Serv-UAdmin用户的本地登陆。进入控制面板 -> 管理工具 -> 本地安全策略 -> 本地策略 -> 用户权利指派 -> 拒绝本地登陆。(备注:这个用户我们将它来作为俺们Serv-U的服务运行账号,嘿嘿)
4、开始运行"Services.msc"打开win的服务管理器,找开Serv-U Ftp Server的Serv-U服务;打开“登陆”对话框。当前默认的为“本地系统帐户”。我们将其修改为我们在3中新建的Serv-UAdmin用户,并输入密码。
5、下面的工作就是设置Serv-U的运行与FTP目录的ACLs权限了.如果是asp/php/html脚本的话,WEB目录只需要admins & serv-uadmin & IUSR_XX即可(这里的IUSR_XX是指站点的匿名单用户账号...
四、到目前为止,我们的Serv-U已经简单的做到了防提权,防溢出了。为什么呢?因为能常远程溢出overflow的话,都是通过得一shell 而进行进一步的hacking,而我们现在的Serv-U不是以system运行,所以即使执行了overflow指命,也并不能得到什么...防提权就不用我解释了:因为我们的Serv-Uadmin没有任何系统级的ACLs访问权限..
DiskGen3.0可以直接在windows下进行操作,你把它安装在c盘,然后运行后选择好硬盘后,点击“硬盘 - 搜索已丢失分区(重建分区表)”菜单项,或在右键菜单中选择“搜索已丢失分区(重建分区表)”。程序弹出“搜索分区”对话框:可选择的搜索范围有:
有下列两种搜索方式供选择:(你可以选择高级方式,然后浏览我的电脑看看找到的是不是你需要的文件,用高级方式时最好对你原先每个分区的大小有一定的了解。)
1、自动方式:采用自动方式时,对于搜索到的每一个分区,程序自动保留,然后继续搜索后面的区域,直到搜索到硬盘结尾。
2、高级方式:每搜索到一个分区,都提示并询问用户是否保留。在做出是否保留的选择之前,用户可以首先浏览分区内的文件以判断搜索到的分区是否正确。另外在此方式下,还可以设置更多搜索选项。这些选项有:
a) 按柱面:只搜索硬盘每个柱面的第一个扇区,判断其是否含有分区引导信息。速度很快。
如果无法判断程序搜索到的分区是否正确,可以在不关闭本提示的情况下到主界面中查看刚刚搜索到的分区内的文件。如果通过文件判断该分区不正确,请点击提示对话框中的“跳过”按钮。如果分区正确,请点击“保留”按钮以保留搜索到的分区。点击保留后,程序不会立即保存分区表(不写硬盘)。继续搜索其它分区,直到搜索结束。
在不保存的情况下,可以利用本软件访问分区内的文件,甚至恢复分区内的已删除文件。但是只有在保存分区表后,搜索到的分区才能被操作系统识别及访问。
保存你搜索到的分区,请点击“硬盘”菜单下的“保存分区表”或者按(F8)键。最后在退出重启生效
如果想放弃所有搜索结果,请点击“硬盘 - 重新加载当前硬盘”菜单项。
另外可以创建VMWARE虚拟盘和制作USB的启动盘。
下载地址http://www.onlinedown.net/soft/9570.htm#down
有下列两种搜索方式供选择:(你可以选择高级方式,然后浏览我的电脑看看找到的是不是你需要的文件,用高级方式时最好对你原先每个分区的大小有一定的了解。)
1、自动方式:采用自动方式时,对于搜索到的每一个分区,程序自动保留,然后继续搜索后面的区域,直到搜索到硬盘结尾。
2、高级方式:每搜索到一个分区,都提示并询问用户是否保留。在做出是否保留的选择之前,用户可以首先浏览分区内的文件以判断搜索到的分区是否正确。另外在此方式下,还可以设置更多搜索选项。这些选项有:
a) 按柱面:只搜索硬盘每个柱面的第一个扇区,判断其是否含有分区引导信息。速度很快。
如果无法判断程序搜索到的分区是否正确,可以在不关闭本提示的情况下到主界面中查看刚刚搜索到的分区内的文件。如果通过文件判断该分区不正确,请点击提示对话框中的“跳过”按钮。如果分区正确,请点击“保留”按钮以保留搜索到的分区。点击保留后,程序不会立即保存分区表(不写硬盘)。继续搜索其它分区,直到搜索结束。
在不保存的情况下,可以利用本软件访问分区内的文件,甚至恢复分区内的已删除文件。但是只有在保存分区表后,搜索到的分区才能被操作系统识别及访问。
保存你搜索到的分区,请点击“硬盘”菜单下的“保存分区表”或者按(F8)键。最后在退出重启生效
如果想放弃所有搜索结果,请点击“硬盘 - 重新加载当前硬盘”菜单项。
另外可以创建VMWARE虚拟盘和制作USB的启动盘。
下载地址http://www.onlinedown.net/soft/9570.htm#down
页面永久性移走(301重定向)是一种非常重要的“自动转向”技术。
301重定向可促进搜索引擎优化效果
从搜索引擎优化角度出发,301重定向是网址重定向最为可行的一种办法。当网站的域名发生变更后,搜索引擎只对新网址进行索引,同时又会把旧地址下原有的外部链接如数转移到新地址下,从而不会让网站的排名因为网址变更而收到丝毫影响。同样,在使用301永久性重定向命令让多个域名指向网站主域时,亦不会对网站的排名产生任何负面影响。
302重定向可影响搜索引擎优化效果
迄今为止,能够对302重定向具备优异处理能力的只有Google。也就是说,在网站使用302重定向命令将其它域名指向主域时,只有Google会把其它域名的链接成绩计入主域,而其它搜索引擎只会把链接成绩向多个域名分摊,从而削弱主站的链接总量。既然作为网站排名关键因素之一的外链数量受到了影响,网站排名降低也是很自然的事情了。
综上所述,在众多重定向技术中,301永久性重定向是最为安全的一种途径,也是极为理想的一款解决方案。
对于正确实施301重定向,有这样几个方法可供大家参考:
1.在.htaccess文件中增加301重定向指令
采用“mod_rewrite”技术,形如:
RewriteEngine on
RewriteRule ^(.*)$ http://www.wormsky.com/$1 [R=301,L]
2.适用于使用Unix网络服务器的用户
通过此指令通知搜索引擎的spider你的站点文件不在此地址下。这是较为常用的办法。
形如:Redirect 301 / http://www.wormsky.com/
3.在服务器软件的系统管理员配置区完成301重定向
适用于使用Window网络服务器的用户
4.绑定/本地DNS
如果具有对本地DNS记录进行编辑修改的权限,则只要添加一个记录就可以解决此问题。若无此权限,则可要求网站托管服务商对DNS服务器进行相应设置。
DNS服务器的设置
若要将blog.wormsky.com指向www.wormsky.com,则只需在DNS服务中应增加一个别名记录,可写成:blog IN CNAME www.wormsky.com。
如需配置大量的虚拟域名,则可写成:* IN CNAME www.wormsky.com.
这样就可将所有未设置的以wormsky.com结尾的记录全部重定向到www.wormsky.com上。
5.用ASP/PHP实现301重定向:
ASP:
Response.Status="301 Moved Permanently"
Response.AddHeader "Location","http://www.wormsky.com/"
Response.End
PHP:
header("HTTP/1.1 301 Moved Permanently");
header("Location:http://www.wormsky.com/");
exit();
301重定向可促进搜索引擎优化效果
从搜索引擎优化角度出发,301重定向是网址重定向最为可行的一种办法。当网站的域名发生变更后,搜索引擎只对新网址进行索引,同时又会把旧地址下原有的外部链接如数转移到新地址下,从而不会让网站的排名因为网址变更而收到丝毫影响。同样,在使用301永久性重定向命令让多个域名指向网站主域时,亦不会对网站的排名产生任何负面影响。
302重定向可影响搜索引擎优化效果
迄今为止,能够对302重定向具备优异处理能力的只有Google。也就是说,在网站使用302重定向命令将其它域名指向主域时,只有Google会把其它域名的链接成绩计入主域,而其它搜索引擎只会把链接成绩向多个域名分摊,从而削弱主站的链接总量。既然作为网站排名关键因素之一的外链数量受到了影响,网站排名降低也是很自然的事情了。
综上所述,在众多重定向技术中,301永久性重定向是最为安全的一种途径,也是极为理想的一款解决方案。
对于正确实施301重定向,有这样几个方法可供大家参考:
1.在.htaccess文件中增加301重定向指令
采用“mod_rewrite”技术,形如:
RewriteEngine on
RewriteRule ^(.*)$ http://www.wormsky.com/$1 [R=301,L]
2.适用于使用Unix网络服务器的用户
通过此指令通知搜索引擎的spider你的站点文件不在此地址下。这是较为常用的办法。
形如:Redirect 301 / http://www.wormsky.com/
3.在服务器软件的系统管理员配置区完成301重定向
适用于使用Window网络服务器的用户
4.绑定/本地DNS
如果具有对本地DNS记录进行编辑修改的权限,则只要添加一个记录就可以解决此问题。若无此权限,则可要求网站托管服务商对DNS服务器进行相应设置。
DNS服务器的设置
若要将blog.wormsky.com指向www.wormsky.com,则只需在DNS服务中应增加一个别名记录,可写成:blog IN CNAME www.wormsky.com。
如需配置大量的虚拟域名,则可写成:* IN CNAME www.wormsky.com.
这样就可将所有未设置的以wormsky.com结尾的记录全部重定向到www.wormsky.com上。
5.用ASP/PHP实现301重定向:
ASP:
Response.Status="301 Moved Permanently"
Response.AddHeader "Location","http://www.wormsky.com/"
Response.End
PHP:
header("HTTP/1.1 301 Moved Permanently");
header("Location:http://www.wormsky.com/");
exit();
本站算是Bo-Blog的忠实用户,从2006年用到现在。
Bo-Blog的开发者bob估计最近忙于开发新的2.5,没空做新年模板。
至于其他模板高手,也不知道干嘛去了,貌似现在Bo的用户流失不少吧,去用WordPress了。
我虽然也关注过WP,但没有换,我觉得Bo挺好,习惯和懒也算其中一个原因。
2.5版本我想很强悍,期待中....
这几天想用个现成的2010新年模板,找了下,还真没有,只能自己DIY一个了。不过,我作图和CSS都太菜,所以只能拿着bob的作品“老坛装新酒”。这个模板2007年首次用于Bo-Blog、2008年由bob亲自“老坛装新酒”,如今,我继续,拿个小老虎替换上去,马马虎虎还能看,总之要的就是辞旧迎新,新年新气象这个感觉!
最后,希望越来越多的人支持Bo-blog - www.bo-blog.com
模板演示:
http://www.wormsky.com/index.php?tem=NewYear2010
模板截图:
下载地址:
下载文件 (已下载 132 次)
登陆后台,外观扩展->模板设置,输入模板存放的文件夹名"NewYear2010"确定!
Bo-Blog的开发者bob估计最近忙于开发新的2.5,没空做新年模板。
至于其他模板高手,也不知道干嘛去了,貌似现在Bo的用户流失不少吧,去用WordPress了。
我虽然也关注过WP,但没有换,我觉得Bo挺好,习惯和懒也算其中一个原因。
2.5版本我想很强悍,期待中....
这几天想用个现成的2010新年模板,找了下,还真没有,只能自己DIY一个了。不过,我作图和CSS都太菜,所以只能拿着bob的作品“老坛装新酒”。这个模板2007年首次用于Bo-Blog、2008年由bob亲自“老坛装新酒”,如今,我继续,拿个小老虎替换上去,马马虎虎还能看,总之要的就是辞旧迎新,新年新气象这个感觉!
最后,希望越来越多的人支持Bo-blog - www.bo-blog.com
模板演示:
http://www.wormsky.com/index.php?tem=NewYear2010
模板截图:
下载地址:
下载文件 (已下载 132 次)登陆后台,外观扩展->模板设置,输入模板存放的文件夹名"NewYear2010"确定!
由于本人使用的也是Bo-blog,现在发现百度收录较少,权重也比较低,所以关注了下bo-blog程序本身在seo方面的不足,看到以下网友写的帖子,放一起方便大家参考,共3篇。
----------以seo观点谈bo-blog的失误----------
php博客程序bo-blog蛮好用,前不久我用bo-blog做了个小站,因为做的是站是传播一种新理念,关于这方面内容的网站并不多,很快两个关键字百度排名第一位,虽然来的ip不多但收益还是可以的。
持续一星期后发现两个关键字同时下滑,在百度前几页都找不到,甚至搜索我自己的网站名都没有排第一。然而百度收录良好,几天就更新。
我仔细的分析了下自己的站,因为这站没做什么seo,硬说有也只是文章中多出现几次关键字,外链就那么一两个不会有问题。最终我把问题的关键锁定在了内链上,可以说使用bo-blog程序都会有这个问题。
本文重点:用bo-blog的朋友可以点下你们的“分类”项目,出现了一系列的文章,而格式是“[文章所在类别]+文章标题”,但文章所在类别是同一个链接。也就是说某个分类下所有文章的[文章所在类别]都链接到同一网页,虽然这样做并不会被k,因为这是作为列表的需要,加了链接,不会简单的当作关键字密度过高来处理。但百度的蜘蛛会很不爽,有被欺骗的感觉,网站很容易被降权。
昨天我小小调整了下bo-blog程序,关注几天,跟踪报道。
相对而言,ASP的Z-blog没这个问题,都说做seo Z-blog比较好,但个人比较偏好php,年轻人当然喜欢新食物。
做seo直觉很重要,一定要多想。类似bo-blog程序,一个分类项目页面,出现了N多个相同链接,不但内容相同,目标页也相同,从人的角度思考,是否感觉被耍了?没k你站已经给足你面子了。
----------以seo观点谈bo-blog的失误----------
php博客程序bo-blog蛮好用,前不久我用bo-blog做了个小站,因为做的是站是传播一种新理念,关于这方面内容的网站并不多,很快两个关键字百度排名第一位,虽然来的ip不多但收益还是可以的。
持续一星期后发现两个关键字同时下滑,在百度前几页都找不到,甚至搜索我自己的网站名都没有排第一。然而百度收录良好,几天就更新。
我仔细的分析了下自己的站,因为这站没做什么seo,硬说有也只是文章中多出现几次关键字,外链就那么一两个不会有问题。最终我把问题的关键锁定在了内链上,可以说使用bo-blog程序都会有这个问题。
本文重点:用bo-blog的朋友可以点下你们的“分类”项目,出现了一系列的文章,而格式是“[文章所在类别]+文章标题”,但文章所在类别是同一个链接。也就是说某个分类下所有文章的[文章所在类别]都链接到同一网页,虽然这样做并不会被k,因为这是作为列表的需要,加了链接,不会简单的当作关键字密度过高来处理。但百度的蜘蛛会很不爽,有被欺骗的感觉,网站很容易被降权。
昨天我小小调整了下bo-blog程序,关注几天,跟踪报道。
相对而言,ASP的Z-blog没这个问题,都说做seo Z-blog比较好,但个人比较偏好php,年轻人当然喜欢新食物。
做seo直觉很重要,一定要多想。类似bo-blog程序,一个分类项目页面,出现了N多个相同链接,不但内容相同,目标页也相同,从人的角度思考,是否感觉被耍了?没k你站已经给足你面子了。
