昔日

以普通权限运行Serv-U FTP服务器软件的操作步骤

海沙画

hack-chengyu:

默认情况下,Serv-U 以 SYSTEM 权限运行,Serv-U有一个默认的管理用户(用户名:localadministrator,密码:#|@$ak#.|k;0@p),通过一个能访问本地端口43958的账号就有可能随意增删账号和以SYSTEM权限执行命令。

 

修改Serv-u的管理端口、账号和密码后,修改后的内容还是保留在ServUDaemon.exe文件里,因此下载后用如Ultra Edit之类的16进制编辑软件还是有可能的获取到修改后的端口、账号和密码。

 

通过本文的操作方法,将 Serv-U.exe 以普通自定义用户权限运行,即使通过 Serv-U 执行命令也只是普通用户权在执行命令,可以防止恶意提权操作等。

以普通权限运行Serv-U FTP服务器软件的操作步骤 - 成雨 - 成雨s Blog-关注Web信息安全



  • 打开Windows 任务管理器,查看一下 Serv-U.exe 的运行用户权限

 

如果如下图所示,显示的是 SYSTEM 用户,则表示 SYSTEM系统权限在运行,非常危险。

以普通权限运行Serv-U FTP服务器软件的操作步骤 - 成雨 - 成雨s Blog-关注Web信息安全

 
2
、将 Serv-U 
以普通用户权限运行,建立一个用户 Serv-U_user
 
以普通权限运行Serv-U FTP服务器软件的操作步骤 - 成雨 - 成雨s Blog-关注Web信息安全  
以普通权限运行Serv-U FTP服务器软件的操作步骤 - 成雨 - 成雨s Blog-关注Web信息安全  这里只选2个选项

(1)用户不能更改密码

(2)密码用不过期

以普通权限运行Serv-U FTP服务器软件的操作步骤 - 成雨 - 成雨s Blog-关注Web信息安全

 用户建立后,默认会加入 Users 组,修改用户属性,将 Users 组取消

以普通权限运行Serv-U FTP服务器软件的操作步骤 - 成雨 - 成雨s Blog-关注Web信息安全

 
以普通权限运行Serv-U FTP服务器软件的操作步骤 - 成雨 - 成雨s Blog-关注Web信息安全  
3
、修改 Serv-U 
安装目录的NTFS 
权限

 

假设我们将Serv-U软件安装在 D:\Serv-U 目录,修改这个目录,只保留

(1)Administrators 完全控制

(2)SYSTEM完全控制

(3)Serv-U_user完全控制

如果有其他用户权限,都删除掉

以普通权限运行Serv-U FTP服务器软件的操作步骤 - 成雨 - 成雨s Blog-关注Web信息安全

 
以普通权限运行Serv-U FTP服务器软件的操作步骤 - 成雨 - 成雨s Blog-关注Web信息安全  这里可能会出现其他权限,除了这2个

(1)Administrators 完全控制

(2)SYSTEM完全控制

其他权限都删除掉

 

由于此目录继承了上级目录的权限,无法直接删除。点“高级”先取消继承的权限。

以普通权限运行Serv-U FTP服务器软件的操作步骤 - 成雨 - 成雨s Blog-关注Web信息安全

 
以普通权限运行Serv-U FTP服务器软件的操作步骤 - 成雨 - 成雨s Blog-关注Web信息安全  
以普通权限运行Serv-U FTP服务器软件的操作步骤 - 成雨 - 成雨s Blog-关注Web信息安全

 
以普通权限运行Serv-U FTP服务器软件的操作步骤 - 成雨 - 成雨s Blog-关注Web信息安全

 
以普通权限运行Serv-U FTP服务器软件的操作步骤 - 成雨 - 成雨s Blog-关注Web信息安全

 
以普通权限运行Serv-U FTP服务器软件的操作步骤 - 成雨 - 成雨s Blog-关注Web信息安全

 删除户,只保留下面2个权限

(1)Administrators 完全控制

(2)SYSTEM完全控制

 

点“添加”将 Serv-U_user 用户加上

以普通权限运行Serv-U FTP服务器软件的操作步骤 - 成雨 - 成雨s Blog-关注Web信息安全

 选择 Serv-U_user 用户,点“完全控制”,授予 Serv-U_user 用户完全控制的权限   


4
、给Serv-U 
的安装盘,D 
盘增 Serv-U_user 
加“读取权限”的权限


以普通权限运行Serv-U FTP服务器软件的操作步骤 - 成雨 - 成雨s Blog-关注Web信息安全

 我们这里的D 盘属性里,只有2个权限 (1)Administrators 完全控制

(2)SYSTEM完全控制

如果有其他权限请保留,如MySQL 等的用户权限,请保留,不要删除,以免其他程序无法运行。

 

我们这里只增加一个权限。点“高级”

 
以普通权限运行Serv-U FTP服务器软件的操作步骤 - 成雨 - 成雨s Blog-关注Web信息安全

 
以普通权限运行Serv-U FTP服务器软件的操作步骤 - 成雨 - 成雨s Blog-关注Web信息安全

 
以普通权限运行Serv-U FTP服务器软件的操作步骤 - 成雨 - 成雨s Blog-关注Web信息安全

 如果 Serv-U 正在运行,请先点“停止”,将 Serv-U 先停止

以普通权限运行Serv-U FTP服务器软件的操作步骤 - 成雨 - 成雨s Blog-关注Web信息安全

 选择“此账户”,填写 Serv-U_user 和密码,然后点确定。

以普通权限运行Serv-U FTP服务器软件的操作步骤 - 成雨 - 成雨s Blog-关注Web信息安全

 
以普通权限运行Serv-U FTP服务器软件的操作步骤 - 成雨 - 成雨s Blog-关注Web信息安全  打开Windows 任务管理器,我们看到 Serv-U.exe 已经是在 Serv-U_user 用户在运行了。

 

 

Serv-U 部分已经配置完成

 


特别说明

 


如果是老版本的Serv-U
,FTP
登录的用户名和密码可能保存在注册表里。还需在注册表里HKEY_LOCAL_MACHINE\SOFTWARE\ 
找到Serv-U 
的分支,并赋予Serv-U_user 
读写权限。否则Serv-U 
可能无法读写。

 

 


6
、修改服务器FTP
上传目录的NTFS
权限

 

由于以前 Serv-U 是 SYSTEM权限在运行,现在降权为自定义的Serv-U_user用户后,这个用户无法读写 FTP目录,也就无法 FTP 上传下载文件,需要对服务器FTP目录授予 Serv-U_user 完全控制的权限,以便 Serv-U 可以读写和 FTP上传文件。

 

假设FTP的主目录是 D:\home 目录

 

特别说明:

如果 FTP目录是其他目录,比如F 盘,需要增加一个 Serv-U_user 用户对D 盘的“读取权限”的权限。设置步骤参照上面第4步的说明。

以普通权限运行Serv-U FTP服务器软件的操作步骤 - 成雨 - 成雨s Blog-关注Web信息安全

 授予 Serv-U_user 对此目录的完全控制权限

以普通权限运行Serv-U FTP服务器软件的操作步骤 - 成雨 - 成雨s Blog-关注Web信息安全

 对于具体网站 FTP目录,例如,客户web111 的FTP目录,在原来的基础上增加 Serv-U_user 完全控制即可,这样 Serv-U 就可以读写web111 目录了。  

如果使用的是
虚拟主机管理软件,在开通空间的时候,同时增加 Serv-U_user 用户完全控制权限即可。

 

 


7
、禁止Windows 
磁盘配额对Serv-U_user 
用户使用的硬盘空间的限制

以普通权限运行Serv-U FTP服务器软件的操作步骤 - 成雨 - 成雨s Blog-关注Web信息安全

 
以普通权限运行Serv-U FTP服务器软件的操作步骤 - 成雨 - 成雨s Blog-关注Web信息安全  如果开启了磁盘配额限制,请取消对 Serv-U_user 用户的配额限制,以免无法正常FTP上传文件。

评论

热度(3)

  1. 昔日涵舐渊 转载了此文字
    海沙画
  2. 涵舐渊hack-chengyu 转载了此文字