刪除默認建立的站點的虛擬目錄,停止默認web站點,刪除對應的文件目錄c:inetpub,配置所有站點的公***設置,設置好相關的連接數限制,帶寬設置以及性能設置等其他設置。配置應用程序映射,刪除所有不必要的應用程序擴展,只保留asp,php,cgi,pl,aspx應用程序擴展。對於php和cgi,推薦使用isapi方式解析,用exe解析對安全和性能有所影響。用戶程序調試設置發送文本錯誤信息給戶。對於數據庫,盡量采用mdb後綴,不需要更改為asp,可在IIS中設置壹個mdb的擴展映射,將這個映射使用壹個無關的dll文件如C:WINNTsystem32inetsrvssinc.dll來防止數據庫被下載。設置IIS的日誌保存目錄,調整日誌記錄信息。設置為發送文本錯誤信息。修改403錯誤頁面,將其轉向到其他頁,可防止壹些掃描器的探測。另外為隱藏系統信息,防止telnet到80端口所泄露的系統版本信息可修改IIS的banner信息,可以使用winhex手工修改或者使用相關軟件如banneredit修改。對於用戶站點所在的目錄,在此說明壹下,用戶的FTP根目錄下對應三個文件佳,wwwroot,database,logfiles,分別存放站點文件,數據庫備份和該站點的日誌。如果壹旦發生入侵事件可對該用戶站點所在目錄設置具體的權限,圖片所在的目錄只給予列目錄的權限,程序所在目錄如果不需要生成文件(如生成html的程序)不給予寫入權限。因為是虛擬主機平常對腳本安全沒辦法做到細致入微的地步,更多的只能在方法用戶從腳本提升權限:ASP的安全設置:設置過權限和服務之後,防範asp木馬還需要做以下工作,在cmd窗口運行以下命令:regsvr32/uC:WINNTSystem32wshom.ocxdelC:WINNTSystem32wshom.ocxregsvr32/uC:WINNTsystem32shell32.dlldelC:WINNTsystem32shell32.dll即可將WScript.Shell,Shell.application,WScript.Network組件卸載,可有效防止asp木馬通過wscript或shell.application執行命令以及使用木馬查看壹些系統敏感信息。另法:可取消以上文件的users用戶的權限,重新啟動IIS即可生效。但不推薦該方法。另外,對於FSO由於用戶程序需要使用,服務器上可以不註銷掉該組件,這裏只提壹下FSO的防範,但並不需要在自動開通空間的虛擬商服務器上使用,只適合於手工開通的站點。可以針對需要FSO和不需要FSO的站點設置兩個組,對於需要FSO的用戶組給予c:winntsystem32scrrun.dll文件的執行權限,不需要的不給權限。重新啟動服務器即可生效。對於這樣的設置結合上面的權限設置,妳會發現海陽木馬已經在這裏失去了作用!PHP的安全設置:默認安裝的php需要有以下幾個註意的問題:C:winntphp.ini只給予users讀權限即可。在php.ini裏需要做如下設置:Safe_mode=onregister_globals=Offallow_url_fopen=Offdisplay_errors=Offmagic_quotes_gpc=On[默認是on,但需檢查壹遍]open_basedir=web目錄disable_functions=passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod默認設置com.allow_dcom=true修改為false[修改前要取消掉前面的;]MySQL安全設置:如果服務器上啟用MySQL數據庫,MySQL數據庫需要註意的安全設置為:刪除mysql中的所有默認用戶,只保留本地root帳戶,為root用戶加上壹個復雜的密碼。賦予普通用戶updatedeletealertcreatedrop權限的時候,並限定到特定的數據庫,尤其要避免普通客戶擁有對mysql數據庫操作的權限。檢查mysql.user表,取消不必要用戶的shutdown_priv,reload_priv,process_priv和File_priv權限,這些權限可能泄漏更多的服務器信息包括非mysql的其它信息出去。可以為mysql設置壹個啟動用戶,該用戶只對mysql目錄有權限。設置安裝目錄的data數據庫的權限(此目錄存放了mysql數據庫的數據信息)。對於mysql安裝目錄給users加上讀取、列目錄和執行權限。Serv-u安全問題:安裝程序盡量采用最新版本,避免采用默認安裝目錄,設置好serv-u目錄所在的權限,設置壹個復雜的管理員密碼。修改serv-u的banner信息,設置被動模式端口範圍(4001—4003)在本地服務器中設置中做好相關安全設置:包括檢查匿名密碼,禁用反超時調度,攔截“FTPbounce”攻擊和FXP,對於在30秒內連接超過3次的用戶攔截10分鐘。域中的設置為:要求復雜密碼,目錄只使用小寫字母,高級中設置取消允許使用MDTM命令更改文件的日期。更改serv-u的啟動用戶:在系統中新建壹個用戶,設置壹個復雜點的密碼,不屬於任何組。將servu的安裝目錄給予該用戶完全控制權限。建立壹個FTP根目錄,需要給予這個用戶該目錄完全控制權限,因為所有的ftp用戶上傳,刪除,更改文件都是繼承了該用戶的權限,否則無法操作文件。另外需要給該目錄以上的上級目錄給該用戶的讀取權限,否則會在連接的時候出現530Notloggedin,homedirectorydoesnotexist.比如在測試的時候ftp根目錄為d:soft,必須給d盤該用戶的讀取權限,為了安全取消d盤其他文件夾的繼承權限。而壹般的使用默認的system啟動就沒有這些問題,因為system壹般都擁有這些權限的