| 网站首页 | 资讯 | 影音 | 图片 | 论坛 | 模拟驾考 | 免费取名算命 | 瓷都工具 | 留言本 | 域名 | 瓷都商城 | 汇款 | 
您现在的位置: 瓷都热线|诚信中国:“一就是一”(1941.CN) >> 资讯 >> 教程技巧0 >> 服务器类 >> 正文 登录 注册
专 题 栏 目
最 新 热 门
最 新 推 荐
相 关 文 章
网管必读:为SERV-U打造
Serv-u服务器提权进阶篇
SERV-U安全设置全攻略
体验Serv-U FTP Server 
Serv-U无法确定网络故障
企业网络防范Serv-U的漏洞         ★★★
企业网络防范Serv-U的漏洞
作者:不详 文章来源:不详 更新时间:2005-3-6 21:38:47
【声明:转载此信息在于传递更多信息,其内容表达的观点并不代表本站立场,由这些信息所产生的一切后果本站不负任何责任。如果您对本信息有什么意见,欢迎和本站联系,谢谢!】http://CiDu.Net

一、安全须知



  很多企业都将自己的网站建立在互联网上,日常有专门的维护人员进行维护,很多时候对网站的更新当然不是直接在服务器上操作,而是将要更新的网页页面通过FTP工具上传到服务器上实现。因此必须要在服务器上搭建起一个FTP系统。//by http://CiDu.Net/

  一般来说,Windows系统自带的FTP使用不方便,安全性不高而且一般使用的人也很少,借用第三方软件来实现。在众多的FTP工具当中Serv-U是一个非常热门的软件,由于功能强大安全性高而被广泛使用,目前已经出到了Serv-U 5.0以上的版本。//by http://CiDu.Net/

  二、防范措施


  漏洞一:使用大容量文件攻击


  在安装好FTP软件后,首先需要添加自己的域,然后在域上添加FTP的登录用户,当添加用户后,软件一般默认没有对添加的用户进行文件上传、下载的速率进行设置,因此这样一来就有被攻击的隐患,那就是黑客会利用这个漏洞对FTP软件发送大容量的文件,然后导致FTP处理不过来而造成程序没响应或者自动关闭。//by http://CiDu.Net/

  在“常规”中能看到“最大上传速度、最大下载速度(KB/秒)”的选项。我们一般默认是不填的,建议用户设置一个具体的数字来限制这个速度。//by http://CiDu.Net/

  同时,最好把在“空闲超时、任务超时、最大用户数”的选项上也设置一个具体的数值。一般地,默认10分钟就足够了。而最大用户数尽可能的限制在1~2个用户,不必要采取无限制用户的做法。//by http://CiDu.Net/

  漏洞二:缓冲区溢出攻击


  客户端使用“MDTM”命令的参数时缺少正确的缓冲区边界检查,可以利用这个漏洞对软件进行缓冲区溢出攻击,从而在系统上执行任意指令。“MDTM”命令目的是为了用户今天更改文件时间。如果客户端发送畸形超长的时区数据作为命令参数,可触发缓冲区溢出,从而能在系统上执行任意命令。不过此漏洞要用户使用已存在的账户登录。//by http://CiDu.Net/

  解决这个问题,首先你需要打开Serv-U软件,在你建立的域上“设置→高级”,将设置窗口中“允许MDTM命令来更改文件的日期/时间”的选项取消,目的是不允许用户更改文件的修改日期和时间防止触发缓冲区溢出。//by http://CiDu.Net/

  其次是Serv-U在处理LIST命令时对参数处理不正确,黑客可用这个漏洞对程序进行拒绝服务攻击,一旦提交超长字符串,可触发缓冲区溢出,导致服务程序崩溃。目前解决此问题的最有效的方式是通过到http://www.serv-u.com下载补丁。目前Serv-U的升级版本的推出并不是很多,高版本的肯定要比低版本的漏洞要少。因此这里建议还在使用低版本软件的用户尽快升级到最新版本,减少因为漏洞带来的危险。


声明:以上信息资料大都是网上搜集而来,版权归作者,如有版权问题请留言告知我将马上改正。
文中所提到的各种观点只是原文观点,各种说法未经一一确认。并不代表本站认可此观点!!
资讯录入:ahui    责任编辑:ahui 
  • 上一篇资讯:

  • 下一篇资讯:
  • 【字体: 】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口
    点击数:
      网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)