常見虛擬主機(jī)目錄對(duì)照

D:\virtualhost\web580651\www\????????? 新網(wǎng)虛擬主機(jī)

F:\usr\fw04408\xpinfo\????????????????? 萬(wàn)網(wǎng)虛擬主機(jī)

D:\hosting\wwwroot\????????????????????Prim@Hosting虛擬主機(jī)
e:\wwwroot\longzhihu\wwwroot\??????????? 華眾虛擬主機(jī)

d:\freehost\zhoudeyang\web\????????????? 星外虛擬主機(jī)主機(jī)

D:\vhostroot\LocalUser\gdrt\?????????????? 星外分支

f:\host\wz8088\web\??????????????????????? 星外分支

D:\Vhost\WebRoot\51dancecn\???????????? 未知

D:\vhostroot\localuser\?????????????? vhostroot

===============================================================================================

===============================================================================================

星外虛擬主機(jī)提權(quán)目錄

C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index\
C:\php\PEAR\
C:\Program Files\Zend\ZendOptimizer-3.3.0\
C:\Program Files\Common Files\有的殺毒 防火墻目錄有權(quán)限
C:\7i24.com\iissafe\log\???? 不過新版本的貌似放到C:\windows\下了，并且我也沒看到有iissafe文件夾了
C:\RECYCLER? C:\windows\temp\? 看運(yùn)氣了
c:\Program Files\Microsoft SQL Server\90\Shared\ErrorDumps\
還有這個(gè),主要看MSSQL版本問題
一切看情況而定了, 有的星外網(wǎng)站目錄和系統(tǒng)盤設(shè)置都很BT, 但是其他盤如 E,F盤,卻可讀可寫?zhàn)Ie:\recycler\
f:\recycler\

C:\Program Files\Symantec AntiVirus\SAVRT\

C:\WINDOWS\7i24.com\FreeHost
C:\php\dev
C,D,E… 以下不一定有權(quán)限
C:\~1
C:\System Volume Information

C:\Program Files\Zend\ZendOptimizer-3.3.0\docs
C:\Documents and Settings\All Users\DRM\

C:\Documents and Settings\All Users\Application Data\McAfee\DesktopProtection

C:\Documents and Settings\All Users\Application Data\360safe\softmgr\

C:\Program Files\Microsoft SQL Server\90\Shared\ErrorDumps

眾所周知要成功提權(quán)星外主機(jī)就要找到可寫可執(zhí)行目錄，可近來(lái)星外主機(jī)的目錄設(shè)置越來(lái)越BT， 幾乎沒有可寫可執(zhí)行目錄。另一個(gè)“提權(quán)思路”出現(xiàn)了。尋找服務(wù)器上安裝的第3方軟件某些文件的權(quán)限問題來(lái)進(jìn)行文件替換，將這些文件替換為我們的 cmd.exe和cscript.exe來(lái)提權(quán)，經(jīng)我測(cè)試發(fā)現(xiàn)以下服務(wù)器常用軟件的某些文件權(quán)限為Everyone即為所有用戶權(quán)限，可以修改，可以上傳 同文件名替換，刪除，最重要的是還可以執(zhí)行。

首先是我們可愛的360殺毒。

c:\Program Files\360\360Safe\AntiSection\mutex.db?? 360殺毒數(shù)據(jù)庫(kù)文件
c:\Program Files\360\360Safe\deepscan\Section\mutex.db? 360殺毒數(shù)據(jù)庫(kù)文件
c:\Program Files\360\360sd\Section\mutex.db?? 360殺毒數(shù)據(jù)庫(kù)文件

c:\Program Files\360\360Safe\deepscan\Section\mutex.db這個(gè)文件，只要安裝了360殺毒就一定存在，并且有Everyone權(quán)限。其他2個(gè)文件不一定。

c:\Program Files\Helicon\ISAPI_Rewrite3\error.log?? 態(tài)設(shè)置軟件ISAPI Rewrite日志文件
c:\Program Files\Helicon\ISAPI_Rewrite3\Rewrite.log? 態(tài)設(shè)置軟件ISAPI Rewrite日志文件
c:\Program Files\Helicon\ISAPI_Rewrite3\httpd.conf? 靜態(tài)設(shè)置軟件ISAPI Rewrite配置文件

主要是ISAPI Rewrite 3.0版本存在權(quán)限問題，老版本暫時(shí)沒發(fā)現(xiàn)有此類問題。

c:\Program Files\Common Files\Symantec Shared\Persist.bak 諾頓殺毒事件日志文件

c:\Program Files\Common Files\Symantec Shared\Validate.dat 諾頓殺毒事件日志文件

c:\Program Files\Common Files\Symantec Shared\Persist.Dat? 諾頓殺毒事件日志文件

諾頓殺毒可能局限于版本，我本機(jī)XP并未找到以上文件

以下是最后2個(gè)可替換文件
c:\windows\hchiblis.ibl? 華盾服務(wù)器管理專家文件許可證

c:\Documents and Settings\All Users\Application Data\Hagel Technologies\DU Meter\log.csv

DU Meter的流量統(tǒng)計(jì)信息日志文件

暫時(shí)知道以上文件權(quán)限為Everyone，注意，即使可替換文件的所在目錄你無(wú)權(quán)訪問，也照 樣可以替換執(zhí)行。比如D:\Program Files\360\360Safe\deepscan\Section\mutex.db，可D:\Program Files\360\360Safe\deepscan\Section目錄沒有訪問權(quán)限，用BIN牛的aspx大馬訪問D:\Program Files\360\360Safe\deepscan\Sectio顯示拒絕訪問，可mutex.db文件在該目錄下，你照樣可以上傳由cmd.exe 換名后的mutex.db文件進(jìn)行替換。

這樣一來(lái)在沒有找到可寫可執(zhí)行目錄時(shí)候，不防查看服務(wù)器上是否安裝了以上軟件，有的話可以上傳同文件名替換原文件為你的提權(quán)文件。這樣就可以成功執(zhí)行了

目錄或文件的權(quán)限設(shè)置有錯(cuò)會(huì)造成入侵!
為了從根本上解決問題,我們建議所有用戶升級(jí)受控端安裝包到2011-3-15版,并點(diǎn)擊設(shè)置"ASP.net嚴(yán)格安全模型",以下所說的問題所有設(shè)置了asp.net嚴(yán)格安全的用戶不受影響.
對(duì)于服務(wù)器上的殺毒軟件,我們建議裝Mcafee,請(qǐng)不重裝360,很多版本的360都有提權(quán)問題.
在2011-6-8星外發(fā)布了新版的星外殺馬掃描工具(在群共享或星外后臺(tái)可以下載)
在掃描結(jié)果中我們發(fā)現(xiàn)在大量服務(wù)器存在以下問題.
文件:C:\WINDOWS\TAPI\tsec.ini
處理辦法:直接完全刪除這個(gè)文件(不要保留在回收站)
360的
文件:C:\Program Files\360\360sd\Section\mutex.db
文件:C:\Program Files\360\360Safe\deepscan\Section\mutex.db
文件:C:\Program Files\360\360Safe\AntiSection\mutex.db
處理辦法:直接完全刪除360,所有360刪除光后留下的文件都要?jiǎng)h除
Flash:
文件:C:\WINDOWS\system32\Macromed\Flash\Flash10q.ocx
處理辦法:直接完全刪除(不要保留在回收站),不要在服務(wù)器上裝Flash組件

IISrewrite3
文件:C:\Program Files\Helicon\ISAPI_Rewrite3\Rewrite.log
文件:C:\Program Files\Helicon\ISAPI_Rewrite3\httpd.conf
文件:C:\Program Files\Helicon\ISAPI_Rewrite3\error.log
處理辦法:將三個(gè)文件的權(quán)限改成erveryone只讀權(quán)限(沒有寫的權(quán)限)

DU Meter的流量統(tǒng)計(jì)信息日志文件
c:\Documents and Settings\All Users\Application Data\Hagel Technologies\DU Meter\log.csv
處理辦法:刪除它
諾頓
c:\Program Files\Common Files\Symantec Shared\Persist.bak
c:\Program Files\Common Files\Symantec Shared\Validate.dat
c:\Program Files\Common Files\Symantec Shared\Persist.Dat
處理辦法:直接完全刪除這個(gè)軟件
華盾
文件:C:\WINDOWS\hchiblis.ibl
處理辦法:直接完全刪除這個(gè)過濾軟件,如果因?yàn)閯e的原因不能刪除,可以將權(quán)限改成everyone讀與寫,不能有everyone運(yùn)行的權(quán)限.
一流過濾:
文件:C:\7i24.com\iissafe\log\startandiischeck.txt
文件:C:\7i24.com\iissafe\log\scanlog.htm
如果已經(jīng)是最新版本的一流(2011-2-19)就不需要處理,如果是舊版本的,要先刪除這兩個(gè)文件,然后再升級(jí)一流.正常情況下,這兩個(gè)文件只有everyone讀寫的權(quán)限(沒有運(yùn)行)

其他有可能提示的文件:
文件:C:\WINDOWS\Temp\Temporary Internet Files\Content.IE5\index.dat
文件:C:\WINDOWS\Temp\History\History.IE5\index.dat
文件:C:\WINDOWS\Temp\Cookies\index.dat
檢查文件在高級(jí)權(quán)限管理中,是不是有everyone運(yùn)行的權(quán)限,如果沒有,就不用處理,如果有運(yùn)行的權(quán)限要取消運(yùn)行權(quán)限
文件:C:\7i24.com\LinkGate\log\....
目錄:C:\7i24.com\LinkGate\log
目錄:C:\7i24.com\serverdoctor\log\
文件:C:\7i24.com\serverdoctor\log\....
不需要處理,星外的防盜鏈,服務(wù)器醫(yī)生等軟件默認(rèn)已自動(dòng)設(shè)置好權(quán)限
如果看下這樣的提示:
2011-6-8 15:04:50,方法失敗，意外錯(cuò)誤代碼為 32。
這是掃描軟盤A:造成的,不用處理
部分zend版本可能有這個(gè)提示:
文件:C:\Program Files\Zend\ZendOptimizer-3.3.0\lib\Optimizer-3.3.0\php-5.2.x\ZendOptimizer.dll
目錄:C:\Program Files\Zend\ZendOptimizer-3.3.0\lib\Optimizer-3.3.0\php-5.2.x......
處理辦法:將everyone的權(quán)限刪除,改成adms,system全部權(quán)限,users只讀權(quán)限.

處理后,請(qǐng)?jiān)儆眯峭鈿ⅠR掃描一次.

?

以下是舊的說明:
2011-3-9
經(jīng)查我們發(fā)現(xiàn)部分服務(wù)器仍然存在安全問題,因此發(fā)布了新的掃描工具及安全包,請(qǐng)所有用戶馬上掃描并用安全包處理.

注意
2011-2-19 22:00 有用戶反映安裝了一流監(jiān)控后,部分服務(wù)器的c:\7i24.com\iissafe\log\sys的權(quán)限不正常,經(jīng)檢查,正常的權(quán)限是只有 erveryone權(quán)限,不應(yīng)該有users權(quán)限組的任何權(quán)限的,如果你的服務(wù)器上有這個(gè)目錄,并且這個(gè)目錄多了users的權(quán)限,請(qǐng)馬上下載最新版本的 安全包,點(diǎn)"糾正出錯(cuò)的一流權(quán)限"就可以解決.如果用最新版本星外殺馬提示"這是一流監(jiān)控的目錄權(quán)限問題未修正!請(qǐng)馬上聯(lián)系星外支持解決!!!"表明你尚 未用最新的安全包處理,請(qǐng)用安全包處理后,再掃描一次。

關(guān)于c:\7i24.com\iissafe\log及\log\sys目錄,正常的權(quán)限情況下,復(fù)制cmd.exe進(jìn)去,雙擊是無(wú)法運(yùn)行的,大家可以測(cè)試下,如果能運(yùn)行肯定就是錯(cuò)的.

近期有用戶的報(bào)告發(fā)映服務(wù)器被入侵,經(jīng)查是回收站目錄的權(quán)限有錯(cuò)造成的.
(最新發(fā)現(xiàn)一鍵GHOST產(chǎn)生的默認(rèn)備份目錄如~1也會(huì)有安全問題)

注意
請(qǐng)您在設(shè)置完安全包后,使用星外殺馬工具最新版本點(diǎn)擊掃描所有盤的所有目錄功能,檢查有沒有權(quán)限問題,下載地址參考(更新于2011-3-9 !!!):
http://sys.7i24.com/system/support/show.asp?id=20101231000556
對(duì)于軟件掃出來(lái)有權(quán)限問題的目錄,除了C:\7i24.com目錄外,別的目錄,都要改成 adms,system全部權(quán)限,別的,如everyone的權(quán)限都應(yīng)該刪除.users的權(quán)限也不能有寫入的權(quán)限,另外,如果提示"這是一流監(jiān)控的目錄 權(quán)限問題未修正!請(qǐng)馬上聯(lián)系星外支持解決!!!"表明你尚未用最新的安全包處理,請(qǐng)用安全包處理后,再掃描一次.
另外,所有安裝諾頓10的用戶,請(qǐng)馬上升級(jí)成諾頓11,不然以下目錄一升級(jí)諾頓就有權(quán)限問題:
C:\Program Files\Symantec AntiVirus\SAVRT
C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\I2_LDVP.TMP
這個(gè)目錄會(huì)造成入侵.

以前的舊的說明:

請(qǐng)下載最新版的安全包(2011-1-13),點(diǎn)擊"設(shè)置回收站目錄權(quán)限"及"設(shè)置Users關(guān)鍵目錄權(quán)限"功能,就可以解決以下問題:
回收站目錄的權(quán)限存在users組成寫入與運(yùn)行權(quán)限造成的提權(quán):
如:
C:\RECYCLER
D:\RECYCLER
....
等目錄,這些目錄默認(rèn)是隱藏的,您要看到這些目錄需要顯示系統(tǒng)文件才能看到.
如果這些目錄中有你不認(rèn)識(shí)的vbs,exe等文件就很可能是入侵后的后門.
注意,使用最新安全包后,可能會(huì)提示回收站被破壞,不用擔(dān)心,這個(gè)提示不影響使用,也不用處理.安全包只能限制了USERs用戶的調(diào)用回收站造成不安全.正常情況下,回收站只應(yīng)該有adms,sytem全部的權(quán)限.
另外,我們還檢查了所有可能有權(quán)限問題的目錄,請(qǐng)點(diǎn)擊設(shè)置"設(shè)置Users關(guān)鍵目錄權(quán)限"功能,就可以解決,此功能對(duì)windows 2003/windows 2008R2同樣有用,請(qǐng)您務(wù)必操作!

以下是近期的安全提示:
請(qǐng)下載最新版的安全包,點(diǎn)擊"設(shè)置Media等目錄權(quán)限"功能,就可以解決以下問題:
(其他的功能不用點(diǎn),最新版的安全包可以用主控用戶名登陸星外網(wǎng)站,在軟件下載,老用戶升級(jí)中下載)
如果以下目錄中存在任何文件,可能是入侵造成的,在設(shè)置安全包后,里面的文件應(yīng)該手工刪除(PHP目錄中默認(rèn)的文件除外):
如以下目錄:
C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index\
C:\php\dev,C:\php\ext,C:\PHP\extras,C:\PHP\PEAR
C:\wmpub
C:\upload
C:\inetpub

以下是問題的完整說明:

有用戶說以下目錄
C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index\
有users,或everyone寫入的權(quán)限,大家查下有沒有這個(gè)問題

無(wú)論是否存在這樣的問題,請(qǐng)運(yùn)行以下命令,可以直接處理權(quán)限,從而防止入侵:
先在開始中,輸入CMD運(yùn)行后,再輸入:
ECHO Y|cacls "C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index" /P SYSTEM:F

另外,以下是近期的安全問題,也請(qǐng)檢查

　關(guān)于C:\php下的子目錄權(quán)限不正常造成服務(wù)器被入侵的處理辦法

在2010-11-23我們接到兩個(gè)用戶反映有服務(wù)器C:\php\dev,C:\php\ext,C:\PHP\extras,C:\PHP\PEAR
中發(fā)現(xiàn)了被上傳cmd.exe文件,經(jīng)檢查,我們發(fā)現(xiàn)這些目錄的權(quán)限多了users用戶組寫入權(quán)限,經(jīng)我們檢測(cè),默認(rèn)情況下安裝星外的PHP包并沒發(fā)生這樣的問題,有可能是安裝其他軟件影響了,
在不確定原因的情況下,我們發(fā)布了新版本的PHP安裝包(更新于2010-11-23),您可以登陸星外客服中心下載此PHP安裝包來(lái)解決這個(gè)問題.
處理辦法
1.停止IIS
2.在添加刪除中刪除原來(lái)的星外PHP安裝包
3.刪除c:\php目錄所有文件
4.安裝最新版本的PHP安裝包,這個(gè)安裝包會(huì)強(qiáng)行將原來(lái)錯(cuò)的users權(quán)限改正.
更新PHP安裝包并不會(huì)影響用戶的網(wǎng)站,不用擔(dān)心.

補(bǔ)充
(
如何確定我的服務(wù)器也有這個(gè)問題?
您可以檢查C:\PHP\extras的權(quán)限,權(quán)限里面有一個(gè)高級(jí),如果里面有users組的特殊權(quán)限,里面有寫入權(quán)限就是不正確的.
另外,我們發(fā)現(xiàn)部分服務(wù)器的C:\wmpub目錄的權(quán)限也存在同樣的問題.

轉(zhuǎn)載于:https://www.cnblogs.com/amwld/archive/2011/08/31/2161294.html

總結(jié)

以上是生活随笔為你收集整理的常见虚拟主机目录对照及星外提权目录的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。