serv-U FTP軟體的攻擊防守修改教程[圖文]

在看這篇文章之前，有幾點要注意
1、everyone使用者完全控制目錄在伺服器上絕對不能出現
2、WEB目錄上的許可權都是獨立的一般情況下是讀取和寫入，無運行權利
3、ipsec做了限定相關出入站連接埠訪問
Serv-u本地預設管理連接埠，以預設管理員登陸建立域和使用者來執行命令，Serv-u V3.x以上的版本預設本地管理連接埠是：127.0.0.1:43958，所以只能本機串連，預設管理員：

LocalAdministrator，預設密碼：#l@$ak#.lk;0@P，這是整合在Serv-u內部的，可以以Guest許可權來進串連，對Serv-u進行管理,1

防止辦法和對策:
serv-U v6以下的版本可以直接用Ultraedit修改檔案ServUDaemon.exe和ServUAdmin.exe,把預設密碼修改成等長度的其它字元就可以了,用

Ultraedit開啟ServUAdmin.exe尋找最後一個B6AB(43958的16進位)，替換成自訂的連接埠比如3930（12345），不過因為serv-U v6以下版本有遠程緩衝區溢位漏洞，不建議使用

serv-U v6以上的版本可以在ServUDaemon.ini中加上LocalSetupPortNo=12345,可改變預設的管理連接埠,採用ipsec限制任何IP訪問12345連接埠訪

問,即增加12345連接埠的阻止,如果不改預設連接埠,就增加43958連接埠的阻止,如果"使用設定更改密碼"的按鈕,即在 ServUDaemon.ini中加上

LocalSetupPassword=ah6A0ED50ADD0A516DA36992DB43F3AA39之類的MD5密碼,如果不修改預設管理密碼的話, 原來的#l@$ak#.lk;0@P依舊儲存只有當密碼為空白時使用，再加上管理連接埠的限定LocalSetupPortNo=12345，當然程式中也要改連接埠的

設定目錄許可權，通過去掉Web目錄IIS訪問使用者的執行許可權來防止使用Webshell來運行Exp程式，但這個方法有一定的局限性，需要設定的目錄很多，不能有一點疏漏，如果有一個目錄設定錯誤，就會導致可以在這個目錄上傳並運行Exp，因為WEB上的許可權都是獨立的一般情況下是讀取和寫入.無運行權利.那麼上傳其他檔案進行執行成功可能性不大，修改Serv-u安裝目錄C:\Program Files\Serv-U的許可權（比如說這個目錄，不過為了安全，請不要使用預設目錄），administrator組完全控制，拒絕Guests組使用者訪問Serv-U目錄，這是防止使用者使用webshell來下載 ServUDaemon.exe，用Ultraedit開啟分析Serv-U的帳號密碼，並修改編譯上傳運行,那前面做的工作都沒有作用了,因為這裡預設管理連接埠在程式檔案中已經修改，在ServUDaemon.ini中也已經修改，這樣來說預設的管理員串連不上了

最後一條，因為Serv-U是以服務啟動預設是以System許可權啟動並執行，才會有被許可權提升的可能。只需要把Serv-U的啟動使用者改成一個USER組的使用者，那麼就再不會有所謂的許可權提升了。但要注意的是，這個低許可權使用者一定要對Serv-U安裝目錄和提供FTP服務的目錄或盤符有完全控制的許可權。經測試發現，使用普通組使用者啟動的Serv-U是不能增加使用者和刪除使用者的，其他一切正常