用微軟的IIS打造一個WEB服務器是件非常簡單的事情，但是它的安全性實在不敢恭維。攻擊者通過注入、上傳、旁注等技術獲得了某個網站的Webshell，然后進一步滲透提權，直至控制整個服務器。至于如何讓攻擊者無緣Webshell那是代碼部分的問題，我們做為管理員應該如何加固Web服務器，讓攻擊者在獲得了Webshell之后無功而返呢?

一、設置命令權限

默認設置下，webshell中可以調用一些對服務器構成危險的系統命令，因此要對這些命令進行權限限制。

需要限制權限的命令主要有：

cmd.exe net.exe net1.exe ping.exe netstat.exe ftp.exe tftp.exe telnet.exe

對這些命令單獨進行設置，設置為只允許administrators組訪問，這樣既防止攻擊者新建用戶對系統進行修改，也可以防范通過Serv-U的本地提升權限漏洞來運行這些關鍵的程序了。特別提醒的是要刪除cacls.exe這個程序，防止有人通過命令行來修改權限。(圖1)

圖1

個人秘笈：在系統目錄下放一個和cmd.exe同名的監控程序，并賦予它eventone運行權限。這樣只要攻擊者在websehll中調用cmd.exe就可以觸發監控程序，記錄并追查攻擊者的蹤跡，讓他偷雞不成反蝕一把米。為我們發現入侵，直至找到攻擊者做準備。