serv-u防本地提权

现在很多木马脚本都有一个使用serv-u的LocalAdministrator帐号来提权的功能。

看了一些资料，说是要通过ultraedit来修改该帐号和密码，来防提权。

可是今天试着在serv-u上设置了管理员密码后，提权功能就失效了。

这里的管理员密码是对应着LocalAdministrator帐号的密码吗？

大家来交流serv-u的安全防范问题吧！

1.设置好目录权限，不要疏忽大意；
2.Serv-U最好不要使用默认安装路径，设置Serv-U目录的权限，只有管理员才能访问；
3.用我介绍的办法修改Serv-U的默认管理员名字和密码，喜欢的话端口也可以改掉。


Serv-U安全配置
1、首先请保持合用Serv-U的最新版本(目前新版为6.4...)。然后在安装Serv-U的时候尽量不要选择默认的安装目录，比如俺将Serv-U 安装在D:/Pro_LeeBolin^_^/Serv-U#$2008$/...(因为这样复杂的目录名可防止Hacker的猜解)

2、然后将Serv-U取消MDTM命令的执行，修改Serv-U FTP Banner并开启好Serv-U的FTP日志保存到非系统盘，日志选择记录好Serv-U命名用了那些命令与DLL，并为Serv-U设置一个强壮的本地管理密码(因提权多是因为Serv-U的默认管理员)，你还可以选择将Serv-U的FTP账户信息保存到注册表，不要存在Serv-U目录下的ini 文中，这样更加安全。

3、我们再开启"计算机管理"新建一个用户Serv-UAdmin,设置好密码。将用户退出Users组，不加入任何组。并在用户的“终端服务配置文件”选项里取消“允许登录到终端服务器。并且禁止Serv-UAdmin用户的本地登陆。进入控制面板 -> 管理工具 -> 本地安全策略 -> 本地策略 -> 用户权利指派 -> 拒绝本地登陆。(备注：这个用户我们将它来作为俺们Serv-U的服务运行账号，嘿嘿)[(AD^_^:游刃在技术鬼神边缘,打造服务器安全神话！创世纪网络技术前瞻，成就互联网革命先驱！服务器安全讨论区[S.S.D.A]) ]

4、开始运行"Services.msc"打开win的服务管理器，找开Serv-U Ftp Server的Serv-U服务;打开“登陆”对话框。当前默认的为“本地系统帐户”。我们将其修改为我们在3中新建的Serv-UAdmin用户，并输入密码。

5、下面的工作就是设置Serv-U的运行与FTP目录的ACLs权限了:


⑥如果是asp/php/html脚本的话，WEB目录只需要admins & serv-uadmin & IUSR_XX即可(这里的IUSR_XX是指站点的匿名单用户账号...关于站点的安全与asp.Net的安全请参考我以前的文章:《FSO安全隐患解决办法》、《ASP木马Webshell之安全防范解决办法》、《ASP.NET木马及Webshell安全解决方案》、《服务器安全检查十大要素》)

到目前为止，Serv-U已经简单的做到了防提权，防溢出了。为什么呢？因为能常远程溢出overflow的话，都是通过得一shell 而进行进一步的hacking，而我们现在的Serv-U不是以system运行，所以即使执行了overflow指命，也并不能得到什么...防提权就不用我解释了：因为我们的Serv-Uadmin没有任何系统级的ACLs访问权限..

我试验下了，只要加了安全密码
一般的木马serv-u提权就无法成功了。

所以建议大家赶紧加上安全密码吧。

如果要防fso的下载的话，那就要设好ntfs的权限了。