来源: 互联网  发布时间: 2013-12-24

服务器上装的东西越少越好，远程控制只用自带的3389就绝对安全，不要相信和使用网上流行的那些远程控制软件！

不要安装ＳＥＲＶ－Ｕ，真想装的照着这个教程做，不会的可以向我请教！
------------------------------------
为SERV-U打造最安全的FTP设置
http://www./article/16109.htm
Serv-U FTP软件的攻击防守
http://www./article/16110.htm

从安全角度应该让ＭＳＳＱＬ和ＭＹＳＱＬ必须运行在普通计算机用户权限下，而不是system用户或adm用户下，否则后果不堪设想！

MYSQL设置方法：
=====================================
1． 建立用户（用计算机管理器）；
先创建一个帐户如：mysql设置好密码，记住密码，分配好组，如GUETST

2．　在分配其他必须权限,此处如果配置不好SQL将无法启动（例：mysql装在D盘）
右键点D盘，属性，安全，高级，添加，输入创建的帐户名，选择：只有该文件夹，勾上：读取权限（倒数第三个），点确定。

3．　在系统服务中配置该用户启动；
在运行里输入Services.msc回车打开服务面板，找到Mysql服务点右键属性，点登陆，登陆身份以你新建的Mysql用户登陆输入：.\帐号名，输入密码，点确定然后应用重启Mysql服务即可。

    

    来源: 互联网  发布时间: 2013-12-24

在看这篇文章之前，有几点要注意
1、everyone用户完全控制目录在服务器上绝对不能出现
2、WEB目录上的权限都是独立的一般情况下是读取和写入，无运行权利
3、ipsec做了限定相关出入站端口访问
Serv-u本地默认管理端口，以默认管理员登陆新建域和用户来执行命令，Serv-u V3.x以上的版本默认本地管理端口是：127.0.0.1:43958，所以只能本机连接，默认管理员：

LocalAdministrator，默认密码：#l@$ak#.lk;0@P，这是集成在Serv-u内部的，可以以Guest权限来进连接，对Serv-u进行管理,如图1

防止办法和对策:
serv-U v6以下的版本可以直接用Ultraedit修改文件ServUDaemon.exe和ServUAdmin.exe,把默认密码修改成等长度的其它字符就可以了,用

Ultraedit打开ServUAdmin.exe查找最后一个B6AB(43958的16进制)，替换成自定义的端口比如3930（12345），不过因为serv-U v6以下版本有远程缓冲区溢出漏洞，不建议使用

serv-U v6以上的版本可以在ServUDaemon.ini中加上LocalSetupPortNo=12345,可改变默认的管理端口,采用ipsec限制任何IP访问12345端口访

问,即增加12345端口的阻止,如果不改默认端口,就增加43958端口的阻止,如果"使用设置更改密码"的按钮,即在 ServUDaemon.ini中加上

LocalSetupPassword=ah6A0ED50ADD0A516DA36992DB43F3AA39之类的MD5密码,如果不修改默认管理密码的话, 原来的#l@$ak#.lk;0@P依旧保存只有当密码为空时使用，再加上管理端口的限定LocalSetupPortNo=12345，当然程序中也要改端口的

设置目录权限，通过去掉Web目录IIS访问用户的执行权限来防止使用Webshell来运行Exp程序，但这个方法有一定的局限性，需要设置的目录很多，不能有一点疏漏，如果有一个目录设置错误，就会导致可以在这个目录上传并运行Exp，因为WEB上的权限都是独立的一般情况下是读取和写入.无运行权利.那么上传其他文件进行执行成功可能性不大，修改Serv-u安装目录C:\Program Files\Serv-U的权限（比如说这个目录，不过为了安全，请不要使用默认目录），administrator组完全控制，拒绝Guests组用户访问Serv-U目录，这是防止用户使用webshell来下载 ServUDaemon.exe，用Ultraedit打开分析Serv-U的帐号密码，并修改编译上传运行,那前面做的工作都没有作用了,因为这里默认管理端口在程序文件中已经修改，在ServUDaemon.ini中也已经修改，这样来说默认的管理员连接不上了

最后一条，因为Serv-U是以服务启动默认是以System权限运行的，才会有被权限提升的可能。只需要把Serv-U的启动用户改成一个USER组的用户，那么就再不会有所谓的权限提升了。但要注意的是，这个低权限用户一定要对Serv-U安装目录和提供FTP服务的目录或盘符有完全控制的权限。经测试发现，使用普通组用户启动的Serv-U是不能增加用户和删除用户的，其他一切正常

    

    来源: 互联网  发布时间: 2013-12-24

首先是SERV-U的SITE CHMOD漏洞和Serv-U MDTM漏洞，即利用一个账号可以轻易的得到SYSTEM权限。其次是Serv-u的本地溢出漏洞，即Serv-U有一个默认的管理用户（用户名：localadministrator，密码：#　@$ak#.　k;0@p），任何人只要通过一个能访问本地端口43958的账号就可以随意增删账号和执行任意内部和外部命令。
　　
　　此时，人们才开始重视起SERV－U的安全来，并采取了一些相关措施，如修改SERV－U的管理端口、账号和密码等。但是，修改后的内容还是保留在ServUDaemon.exe文件里，因此下载后用如UltraEdit之类的16进制编辑软件就可以很轻易的获取到修改后的端口、账号和密码。
　　
　　从SERV－U6.0.0.2开始，该软件有了登录密码功能，这样如果加了管理密码，并且设置比较妥善的话，SERV－U将会比原来安全的多。现在我们就开始SERV－U的设置之旅，采用版本是SERV－U 6.0.0.2。
　　
　　古语有云，千尺之台始于垒土，设置SERV－U的安全就从安装开始。这篇文章主要是写SERV－U的安全设置，所以不会花费太多的功夫来介绍安装，只说一下要点。
　　
　　SERV－U默认是安装在C:\Program Files\Serv-U目录下的，我们最好做一下变动。例如改为：D:\u89327850mx8utu432X$UY32x211936890co7v23x1t3（图1）这样的路径，如果安装盘符WEB用户不能浏览的话，他便很难猜到安装的路径。当然，安装后会在桌面和开始菜单上生成快捷方式，建议删除，因为一般不会使用到它。可能你要问了，那应该怎样进入SERV－U的设置界面呢？其实很简单，双击下右角任务栏里的Tray Monitor小图标来启动SERV－U的管理界面。

　　 图1：修改安装的目录