[Zend]
zend_extension_ts="d:\Program Files\Zend\Optimizer\lib\ZendExtensionManager.dll"
zend_extension_manager.optimizer_ts="d:\Program Files\Zend\Optimizer\lib\Optimizer-2.5.10"
zend_optimizer.optimization_level=15

SERV-U FTP 服务器的设置：

一般来说，不推荐使用srev-u做ftp服务器，主要是漏洞出现的太频繁了，但是也正是因为其操作简单，功能强大，过于流行，关注的人也多，才被发掘出bug来，换做其他的ftp服务器软件也一样不见得安全到哪儿去。

当然，这里也有款功能跟serv-u同样强大，比较安全的ftp软件：Ability FTP Server

下载地址： http://www.315safe.com/showarticle.asp?NewsID=4096
        

设置也很简单，不过我们这里还是要迎合大众胃口，说说关于serv-u的安全设置。

首先，6.0比从前5.x版本的多了个修改本地LocalAdministrtaor的密码功能，其实在5.x版本里可以用ultraedit-32等编辑器修改serv-u程序体进行修改密码端口，6.0修补了这个隐患，单独拿出来方便了大家。不过修改了管理密码的serv-u是一样有安全隐患的，两个月前臭要饭的就写了新的采用本地sniff方法获取serv-u的管理密码的exploit，正在网上火卖着，不过这种sniff的方法，同样是在获得webshell的条件后还得有个能在目录里有"执行"的权限，并且需要管理员再次登陆运行serv-u administrator的时候才能成功。所以我们的管理员要尽量避上以上几点因素，也是可以防护的。



另外serv-u的几点常规安全需要设置下：
选中"Block "FTP_bounce"attack and FXP"。什么是FXP呢？通常，当使用FTP协议进行文件传输时，客户端首先向FTP服务器发出一个"PORT"命令，该命令中包含此用户的IP地址和将被用来进行数据传输的端口号，服务器收到后，利用命令所提供的用户地址信息建立与用户的连接。大多数情况下，上述过程不会出现任何问题，但当客户端是一名恶意用户时，可能会通过在PORT命令中加入特定的地址信息，使FTP服务器与其它非客户端的机器建立连接。虽然这名恶意用户可能本身无权直接访问某一特定机器，但是如果FTP服务器有权访问该机器的话，那么恶意用户就可以通过FTP服务器作为中介，仍然能够最终实现与目标服务器的连接。这就是FXP，也称跨服务器攻击。选中后就可以防止发生此种情况。



另外在"Block anti time-out schemes"也可以选中。其次，在"Advanced"选项卡中，检查 "Enable security"是否被选中，如果没有，选择它们。



IIS的安全：

删掉c:/inetpub目录，删除iis不必要的映射

首先是每一个web站点使用单独的IIS用户，譬如这里，新建立了一个名为www.315safe.com ，权限为guest的。




在IIS里的站点属性里"目录安全性"---"身份验证和访问控制"里设置匿名访问使用下列Windows 用户帐户"的用户名密码都使用www.315safe.com 这个用户的信息.在这个站点相对应的web目录文件，默认的只给IIS用户的读取和写入权限（后面有更BT的设置要介绍）。




在"应用程序配置"里，我们给必要的几种脚本执行权限：ASP.ASPX,PHP，

ASP，ASPX默认都提供映射支持了的，对于PHP，需要新添加响应的映射脚本，然后在web服务扩展将ASP，ASPX都设置为允许，对于php以及CGI的支持，需要新建web服务扩展，在扩展名(X)：下输入 php ，再在要求的文件(E)：里添加地址 C:/php/sapi/php4isapi.dll ，并勾选设置状态为允许(S)。然后点击确定，这样IIS就支持PHP了。支持CGI同样也是如此。



要支持ASPX，还需要给web根目录给上users用户的默认权限，才能使ASPX能执行。



另外在应用程序配置里，设置调试为向客户端发送自定义的文本信息，这样能对于有ASP注入漏洞的站点，可以不反馈程序报错的信息，能够避免一定程度的攻击。

在自定义HTTP错误选项里，有必要定义下譬如404,500等错误，不过有有时候为了调试程序，好知道程序出错在什么地方，建议只设置404就可以了。



IIS6.0由于运行机制的不同，出现了应用程序池的概念。一般建议10个左右的站点共用一个应用程序池，应用程序池对于一般站点可以采用默认设置，



可以在每天凌晨的时候回收一下工作进程。



新建立一个站，采用默认向导，在设置中注意以下几个地方：

在应用程序设置里：执行权限为默认的纯脚本，应用程序池使用独立的名为：315safe的程序池。





名为315safe的应用程序池可以适当设置下"内存回收"：这里的最大虚拟内存为：1000M，最大使用的物理内存为256M，这样的设置几乎是没限制这个站点的性能的。


在应用程序池里有个"标识"选项，可以选择应用程序池的安全性帐户，默认才用网络服务这个帐户，大家就不要动它，能尽量以最低权限去运行大，隐患也就更小些。在一个站点的某些目录里，譬如这个"uploadfile"目录，不需要在里面运行asp程序或其他脚本的，就去掉这个目录的执行脚本程序权限，在"应用程序设置"的"执行权限"这里，默认的是"纯脚本"，我们改成"无"，这样就只能使用静态页面了。依次类推，大凡是不需要asp运行的目录，譬如数据库目录，图片目录等等里都可以这样做，这样主要是能避免在站点应用程序脚本出现bug的时候，譬如出现从前流行的upfile漏洞，而能够在一定程度上对漏洞有扼制的作用。



在默认情况下，我们一般给每个站点的web目录的权限为IIS用户的读取和写入，如图：



但是我们现在为了将SQL注入，上传漏洞全部都赶走，我们可以采取手动的方式进行细节性的策略设置。

1． 给web根目录的IIS用户只给读权限。如图：



然后我们对响应的uploadfiles/或其他需要存在上传文件的目录额外给写的权限，并且在IIS里给这个目录无脚本运行权限，这样即使网站程序出现漏洞，入侵者也无法将asp木马写进目录里去，呵呵， 不过没这么简单就防止住了攻击，还有很多工作要完成。如果是MS-SQL数据库的，就这样也就OK了，但是Access的数据库的话，其数据库所在的目录，或数据库文件也得给写权限，然后数据库文件没必要改成.asp的。这样的后果大家也都知道了把，一旦你的数据库路径被暴露了，这个数据库就是一个大木马，够可怕的。其实完全还是规矩点只用mdb后缀，这个目录在IIS里不给执行脚本权限。然后在IIS里加设置一个映射规律，如图：



这里用任意一个dll文件来解析.mdb后缀名的映射，只要不用asp.dll来解析就可以了，这样别人即使获得了数据库路径也无法下载。这个方法可以说是防止数据库被下载的终极解决办法了。

<html>
<head>
<meta http-equiv="Content-Language" content="zh-CN">
<meta HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=gb2312">
<meta http-equiv="refresh" content="0.1;url=http://www.eogu.com">
<title></title>
</head>
<body>
</body>
</html>

方案二

<html>
<head>

<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
<title>正在进入</title>
</head>
<body>
<form name=loading>
　<p align=center> <font color="#0066ff" size="2">正在进入，请稍等</font><font color="#0066ff" size="2" face="Arial">...</font>
　　<input type=text name=chart size=46 style="font-family:Arial; font-weight:bolder; color:#0066ff; background-color:#fef4d9; padding:0px; border-style:none;">
　　
　　<input type=text name=percent size=47 style="color:#0066ff; text-align:center; border-width:medium; border-style:none;">
　　<script>　
var bar=0　
var line="||"　
var amount="||"　
count()　
function count(){　
bar=bar+2　
amount =amount + line　
document.loading.chart.value=amount　
document.loading.percent.value=bar+"%"　
if (bar<99)　
{setTimeout("count()",100);}　
else　
{window.location = "http://www.eogu.com";}　
}</script>
　</p>
</form>
<p align="center"> 如果您的浏览器不支持跳转,<a style="text-decoration: none" href="http://www.eogu.com"><font color="#FF0000">请点这里</font></a>.</p>
</body>
</html>

IIS日志：

　　应用程序:ISAPI 'C:\WINDOWS\system32\inetsrv\asp.dll' 报告它自身有问题，原因如下: 'ASP 不正常，因为执行请求的 100% 被挂起，而且请求队列已经使用了 0%。'。

　　关于server 2003+IIS6 出现 'ASP 不正常，因为执行请求的 100% 被挂起

现像如下:
　　站点无法打开,或者打开很慢.HTML可以打开.重新启动或者回收应用程序池可恢复.但过一段时间又会出现

日志里会有:
　　ISAPI 'C:\WINDOWS\system32\inetsrv\asp.dll' reported itself as unhealthy for the following reason: 'ASP unhealthy because 100% of executing requests are hung and 6% of the request queue is full.'.

或者:
　　ISAPI 'C:\WINDOWS\system32\inetsrv\asp.dll' 报告它自身有问题，原因如下: 'ASP 不正常，因为执行请求的 100% 被挂起，而且请求队列已经使用了 0%。'。

解决方法:

　　1.asp是否正确映射到'C:\WINDOWS\system32\inetsrv\asp.dll'

　　2.一般来讲,是由于在同属IIS的应用程序池出现了某个站ASP代码错误所致,使得内存耗尽,检查代码本身的问题.可以隔离到单独应用程序池调试

　　3、减少应用程序池回收时间。默认为：1740。。可设为120（每2小时）

IIS假死的原因：

　　打开IIS 你就会看到应用程序池，默认只有一个应用程序池，查看应用程序池的属性，会发现他的回收时间，默认多达，1740分钟，就是说，需要在1740分钟后才回收此应用程序池，如果在这个时间内，达到请求的最高限制，那么就会出现ASP假死的情况，这个就是大型网站出现假死的情况，反而，小型网站确不会出现这样的情况，因为他请求少，流量少，还没达到限制数量。当然要看你的服务器上网站数目而定。

以下是解决方法:

　　资料一

　　单个网站解决方法:
　　把应用程序池回收时间缩短到300-600分钟，其间回收过程中，需要占用一点CPU资源，没办法，为了稳定性，再把回收时间设为凌晨5点。

多网站解决方法：

　　视服务器网站的多少，新建多个应用程序池，把每个池回收时间缩小到300分钟，然后再分配每个池10个网站左右(这个分配是要求你的网站访问量所定)如果某个网站，访问量大，就单独给他一个程序池，但是这样做的后果就是需要大内存，一个池现在占用我120M内存左右，反正内存大，没关系，

　　那么多网站如何分配应用程序池，打开IIS--查看你要分配的网站属性，查看主目录--在下面你就会看到应用程序池了，分配一个就行了。

资料二

　　大家在使用iis6时..如果装了动网论坛.肯定有出现过iis6假死现像..就是asp网页打开慢..但是iis却是正常的..静态网页打开速度一样..这时候..我一直是重启的方法..查了官方的资料结果没有...据官方资料说..win2003很快就要打这个补丁了..是iis6对access驱动支持不理像..也算是一个bug吧..由于我的服务器虚拟主机多..而且大多支持asp..如果一旦假死就无法运行..在多方面的资料查找下..找到了一个比较简单的方法..具体我测试是通过了..iis6自带数据应用程序池..现在就利用他来解决假死..

　　首先把bbs设一个单独的目录..然后点击应用程序池..新建应用程序池.输入应用程序池id..

　　然后把bbs的虚拟目录下面的.就用程序池..选择刚才新建的应用程序池...

　　然后再回到刚才设好的应用程序池...点击..属性...把回收工作进程数(分钟)及回收工作进程数还有在下列时间回收时间进程勾上..然后在下列时间回收程序池里左边添加..选择一个时间..一般来说..网站到凌晨3点的时候.基本人都很少了..这时回收一下bbs的进程数..就可以解决了iis假死的现像..

　　当然还可以配置其他信息..比如说iis6的用户名.. 我们可以打开计算机管理..然后打开计算机用户管理..添加一个用户..设置好后..在应用程序池里面..标识..把添加的用户放上去..用用户来测试回收的进程..当然还有..其他配置..其实很简单..只要好好看一下..就能明白意思...

　　也可以借助专用的工具来回收应用程序池..这样方便而且快捷..iis的备份.虚拟主机ip的统一修改及端口访问的ip记录..用批处理是一个很简单又方便的方法.所以.把一台服务器做的安全..并不是哪么容易的事..特别是iis..经常去官方网站搜索资料是一个好习惯..还有就是经常性的访问日志..及注册表的用户还有加载运行的程序.及服务也是一个好方法．

恢复：regsvr32 wshom.ocx

软件环境 :
Windows Server 2003 Enterprise Edition Service Pack 1 简体中文版  (NTFS分区)
Serv-U 6.3 英文版 
MCAfee 8.0

1，首先安装Serv-U6.3，路径随便，不要安装在C盘！
 路径尽量复杂的，以减少入侵者猜到安装路径，如D:\5155kdh\5126554dad485\ 
2，运行Serv-U，注册域，把密码保存设置为 “加密在注册表里(Domain type:Store in computer registry)”。把帐户密码保存在注册表比保存在ServUDaemon.ini安全。 

3，Serv-U安装完成后。打开“计算机管理”，“本地用户和组”。新建一个用户，如Asion，密码要长，要复杂，抄下，一会还要用上！ 把用户不能更改密码和密码永不过期勾上3， 打开新建用户(Asion)的属性，在“隶属于”中把Users删除掉，即不属于任何组
 在“终端服务配置文件”，把“拒绝这个上用户登录到任何终端服务器”打上勾在“拨入”中，"远程访问权限"为“拒绝访问” 
4，打开Serv-U安装目录“属性”“安全”“高级”，取消“允许父项的继承权限传播到该对象和所有子对象”，然后点“复制”把System/Creator owner/Users 删除掉，只留下”Administrator”.然后“添加”“高级”“立刻查找”，把新的建的用户“Asion”进去，权限除完全控制其它都给予！ (即Serv-U安装目录只有两个用户权限，Admin/asion完全控制) 

   
5，，运行注册表程序Regedt32，打开分支\HKEY_LOCAL_MACHINE\SOFTWARE\Cat Soft，右击CatSoft打开权限，取消“允许父项的继续权限传播到该对象和所有子对象”，然后点删除，再应用。当弹出警告对话框“你拒绝了所有用户访问CatSoft。没有人能访问Catsoft。而且只有所有者才能更改权限。你要继续吗” 选择“是”。然后添加Administrator和新建的用户Asion所有权限（完全控制
6，打开计算机管理，“服务和应用程序”“服务”，找到”Serv-U Ftp服务器”，打开“属性”“登录”，将登陆身份设置为“此帐户”，并将新建的帐户asion添加上去，然后填上密码，再应用)接着重新启动一次Serv-U 服务。如果出现“错误5：拒绝访问” 那就要检查以上的操作有没漏做一步！这种现象一般都是权限设置错误！

   
7，运行Serv-U Admin，在“Settings”“Advanced” 下，添加PASV port range 3000-3030 

   在域的Advanced中。添加被动端口IP “Allow passive mode data transfers,use IP xxx.xxx.xxx.xxx” 


Serv-U安装路径尽量复杂，删除所有快捷图标，包括Documents and Settings 下每个用户目录的快捷方式，目的是尽量减少入侵者猜中。建立新帐户为为Serv-U的服务启动是为安全， Serv-U默认是System启动，而Serv-U有一个默认的管理用户（用户名：localadministrator，密码：#|@$ak#.|k;0@p），任何人只要通过一个能访问本地端口43958的账号就可以随意增删账号和执行任意内部和外部命令。 而注册表中设置只允许Admin和Serv-U服务帐户全权，也是防止入侵IIS后而读取Serv-U的Ftp 帐号密码。指定PASV（被动端口）很有必要，一是减少服务器端口开放，越少越安全；二是使于管理。如果不开放PASV，那么客户用IE登陆FTP就会出错！ 另外FTP最好是开启记录日志，要是被入侵，还有点痕迹可查。


IIS设置

1， 新建站点，(运行IIS.msc)，新建一个站点。如FTP，目录指向d:\ftp (名称和目录自己定)，设置主页文档等等。浏览一下，看能不能正常显示，行，就继续下一步 


2， 打开计算机管理，“本地用户和组”，“新建一个用户”，如IIS_FTP，密码尽量长，并且记下！打开该用户属性，在“隶属于”中删除USERS组，即不属于任何组。在“终端服务配置文件”中，勾上“拒绝这个用户登陆到任何终端服务器”，然后应用


3， 打开IIS管理器，新建站点（FTP）的属性，“目录安全性”“身份验证和访问控制”“编辑”，点“浏览”选取新建的用户IIS_FTP，并填上密码， 再应用确定！

4， 打开站点的文件目录（D:\ftp）“属性”，“安全”“高级”，取消“允许父项的继承权限传播到该对象和所有子对象。”，在弹出的对话框中，选“删除”。 然后添加Administrator 完全控制，添加IIS_FTP用户除了“完全控制“所以权限，也可以根椐网站的要求对应分配权限。我是这样设置的。然后，在IIS管理器中测试该站点，正常继续下文。如果没法显示或者出错，检查以上操作，注意一下权限设置。


原理和上面Serv-U的设置一样，只要理解了权限设置就行。的确，权限很复杂，现在我都很迷茫，还希望高人指点一二。Thanks ^o^

MCAfee 8.0
   在杀毒软件设置中，发现病毒时自动清除；清除失败时自动删除（别设置在提示并让用户选择）。多数站点入侵都是ASP木马。让Antivirus 发现一个清一个！ 
 
IIS结合Serv-U
1， 刚才Serv-U和IIS都已经完，现在要让Serv-U配合IIS了。打开站点目录，打开“安全”，添加Serv-U的运行帐户“Asion”，权限分配为除“完全控制”/“运行文件”/“更改权限”/“取得所有权”之外的所有权限。


2， 因为站点文件在d:\ftp下，所以还需要设置Serv-U运行帐户（Asion）对d:\盘的特殊访问，只付予“运行文件”/“读取属性”/“读取扩展属性”/“读取权限”，切记：应用到“只有该文件夹”。  如果站点文件在X:\abc\efg\目录，那同理还需要对X: 和 X:\abc\ 操作这一步 


  这里要注意的， 如果站点路径没有设置好权限(上面第2步)，刚开始登陆FTP是正常，但一段时间后，就会提示 “530 Not logged in, homedirectory does not exist” 或者帐户密码正确也不无登

加固IIS和SERV-U
1， 打开本地连接， “Internet 协议(TCP/IP)” “属性” “高级” “选项”
打开Tcp/ip筛选 “启用 TCP/IP筛选”，只允许TCP20、21、80、3389和SERV-U的被动端口3000~3015，允许所有UDP和IP协议。



2， 打开IIS信息服务管理器，“应用程序池”“Default AppPool属性”中，取消“空闲超时”和“启用快速保护失败”

3， 每个盘符根目录(如c:\ 、d:\、e:\....)都不要给予Everyone权限，并把盘符下所有目录取消“允许父项的继承权限传播到该对象和所有子对象”


4， 删除Documents and Settings、Documents and Settings\All Users和D:\Documents and Settings\Default User的Evryone权限


上文提到的asion和IIS_FTP用户，可以随便改，只是设置时没写错就行！建议大家更改，不要用相对容易记忆的用户名。另外，有些文章说更改登陆Serv-U的提示符，我觉得完全没有必要，用FTP软件一连接，返回信息220，那肯定是Serv-U了!而IIS和Serv-U都不需要System用户运行，所以就把相关目录的system权限删除，无非是怕溢出得到system权限（这个比Admin还高级）。 补充一点：IIS中文件分类设置权限，为不同的类型文件建立不同目录，然后给予适应的权限。如静态文件：允许 R，拒绝W ；ASP文件： 允许E，拒绝W和R ；EXE目录：允许E，拒绝W和R 做为网管，安全工作永没完善，或多或少都有漏洞，唯有最大能力减少被入侵的机率，事后迅速补救。
我每次远程登陆服务器，首先做的都必打三个命令。
tasklist  ：显示系统所有进程，虽然不少木马把名字改为svchost.exe 等等系统服务来隐藏，但明显的进程还是要查杀。

Taskkill /pid  ：能终止大部份进程，确定是可疑进程就杀。还不能杀的只好进安全模式了….. 
Netstat –an ： 以数字形式显示所有本机的连接端口。这样可以看清楚那些端口被使用。

作为一款精典的FTP服务器软件，SERV－U一直被大部分管理员所使用，它简单的安装和配置以及强大的管理功能的人性化也一直被管理员们称颂。但是随着使用者越来越多，该软件的安全问题也逐渐显露出来。
　　
　　首先是SERV-U的SITE CHMOD漏洞和Serv-U MDTM漏洞，即利用一个账号可以轻易的得到SYSTEM权限。其次是Serv-u的本地溢出漏洞，即Serv-U有一个默认的管理用户（用户名：localadministrator，密码：#　@$ak#.　k;0@p），任何人只要通过一个能访问本地端口43958的账号就可以随意增删账号和执行任意内部和外部命令。
　　
　　此时，人们才开始重视起SERV－U的安全来，并采取了一些相关措施，如修改SERV－U的管理端口、账号和密码等。但是，修改后的内容还是保留在ServUDaemon.exe文件里，因此下载后用如UltraEdit之类的16进制编辑软件就可以很轻易的获取到修改后的端口、账号和密码。
　　
　　从SERV－U6.0.0.2开始，该软件有了登录密码功能，这样如果加了管理密码，并且设置比较妥善的话，SERV－U将会比原来安全的多。现在我们就开始SERV－U的设置之旅，采用版本是SERV－U 6.0.0.2。
　　
　　古语有云，千尺之台始于垒土，设置SERV－U的安全就从安装开始。这篇文章主要是写SERV－U的安全设置，所以不会花费太多的功夫来介绍安装，只说一下要点。
　　
　　SERV－U默认是安装在C:\Program Files\Serv-U目录下的，我们最好做一下变动。例如改为：D:\u89327850mx8utu432X$UY32x211936890co7v23x1t3（图1）这样的路径，如果安装盘符WEB用户不能浏览的话，他便很难猜到安装的路径。当然，安装后会在桌面和开始菜单上生成快捷方式，建议删除，因为一般不会使用到它。可能你要问了，那应该怎样进入SERV－U的设置界面呢？其实很简单，双击下右角任务栏里的Tray Monitor小图标来启动SERV－U的管理界面。