服务器安全防护方案

较为流行web入侵方式是通过寻找程序的漏洞，先得到网站的webshell，然后再根据主机配置找到相应的可以利用的方法进行提权，进而拿下主机权限的。所以，配合主机安全防护来设置防止webshell是有效的方法。

一、防止数据库被下载

有一部分管理员非常粗心，拿到程序直接在自己的主机上进行安装，甚至连说明文件都不进行删除，更不要说更改数据库路径了。这样黑客就可以通过直接从源码站点下载网站源程序，然后在本地测试找到默认的数据库，再通过下载数据库读取里面的用户信息和资料找到管理入口进行登陆获得webshell。

还有一种情况是由于程序出错暴出了网站数据库的路径，防止这种情况的发生，我们可以添加mdb的扩展映射。

打开IIS添加一个MDB的映射，让mdb解析成其他下载不了的文件：“IIS属性”—“主目录”—“配置”—“映射”—“应用程序扩展”里面添加.mdb文件应用解析，至于用于解析它的文件大家可以自己进行选择，只要访问数据库文件出现无法访问就可以了。

二、防止木马上传

针对以上的配置如果使用的是MSSQL的数据库，只要存在注入点，依然可以通过使用注入工具进行数据库的猜解。倘若上传文件根本没有身份验证的话，我们可以直接上传一个asp的木马就得到了主机的webshell。

对付上传，可以上传的目录不给执行权限，可以执行的目录不给上传权限。Web程序是通过IIS用户运行的，我们只要给IIS用户一个特定的上传目录有写入权限，然后又把这个目录的脚本执行权限去掉，就可以防止入侵者通过上传获得webshell了。

配置方法：首先在IIS的web目录中，打开权限选项卡、只给IIS用户读取和列出目录权限，然后进入上传文件保存和存放数据库的目录，给IIS用户加上写入权限，最后在这两个目录的“属性”—“执行权限”选项把“纯脚本”改为“无”即可。在设置以上权限的时候，一定要注意到设置好父目录的继承。避免所做的设置白费。

三、防止MSSQL注入

对于MSSQL数据库的防御，首先要从数据库连接帐户开始。数据库不要用SA帐户。使用SA帐户连接数据库对主机来说就是一场灾难。一般来说，可以使用DB_OWNER权限帐户连接数据库，如果可以正常运行，使用public用户最安全的。设置成dbo权限连接数据库之后，入侵者基本就只能通过猜解用户名和密码或者是差异备份来获得webshell了。

对于前者，我们可以通过加密和修改管理后台的默认登陆地址来防御。对于差异备份，它的条件是有备份的权限，并且要知道web的目录。寻找web目录通常是通过遍历目录进行寻找或者直接读取注册表来实现。无路哪一种，都用到了xp_regread和xp_dirtree两个扩展存储过程，只需要删除这两个扩展存储就可以了，当然也可以把对应的dll文件也一起删除。

以上是主机安全防护方案介绍，精选高品质数据中心搭建万兆集群，全新打造推出，高防数据中心通过T级带宽接入，海量防护，产品链接

提示：现在腾讯云新人点击注册然后实名认证后，可以点此一键领取2860元代金券，然后点此进入腾讯云活动页面参加优惠力度非常大的腾讯云3年和5年时长服务器活动，一次性买多年，免得续费贵，这样就可以获得最大的优惠折扣，省钱。