常見虛擬主機目錄對照

D:\virtualhost\web580651\www\????????? 新網虛擬主機

F:\usr\fw04408\xpinfo\????????????????? 萬網虛擬主機

D:\hosting\wwwroot\????????????????????Prim@Hosting虛擬主機
e:\wwwroot\longzhihu\wwwroot\??????????? 華眾虛擬主機

d:\freehost\zhoudeyang\web\????????????? 星外虛擬主機主機

D:\vhostroot\LocalUser\gdrt\?????????????? 星外分支

f:\host\wz8088\web\??????????????????????? 星外分支

D:\Vhost\WebRoot\51dancecn\???????????? 未知

D:\vhostroot\localuser\?????????????? vhostroot

===============================================================================================

===============================================================================================

星外虛擬主機提權目錄

C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index\
C:\php\PEAR\
C:\Program Files\Zend\ZendOptimizer-3.3.0\
C:\Program Files\Common Files\有的殺毒 防火墻目錄有權限
C:\7i24.com\iissafe\log\???? 不過新版本的貌似放到C:\windows\下了，并且我也沒看到有iissafe文件夾了
C:\RECYCLER? C:\windows\temp\? 看運氣了
c:\Program Files\Microsoft SQL Server\90\Shared\ErrorDumps\
還有這個,主要看MSSQL版本問題
一切看情況而定了, 有的星外網站目錄和系統盤設置都很BT, 但是其他盤如 E,F盤,卻可讀可寫餓e:\recycler\
f:\recycler\

C:\Program Files\Symantec AntiVirus\SAVRT\

C:\WINDOWS\7i24.com\FreeHost
C:\php\dev
C,D,E… 以下不一定有權限
C:\~1
C:\System Volume Information

C:\Program Files\Zend\ZendOptimizer-3.3.0\docs
C:\Documents and Settings\All Users\DRM\

C:\Documents and Settings\All Users\Application Data\McAfee\DesktopProtection

C:\Documents and Settings\All Users\Application Data\360safe\softmgr\

C:\Program Files\Microsoft SQL Server\90\Shared\ErrorDumps

眾所周知要成功提權星外主機就要找到可寫可執行目錄，可近來星外主機的目錄設置越來越BT， 幾乎沒有可寫可執行目錄。另一個“提權思路”出現了。尋找服務器上安裝的第3方軟件某些文件的權限問題來進行文件替換，將這些文件替換為我們的 cmd.exe和cscript.exe來提權，經我測試發現以下服務器常用軟件的某些文件權限為Everyone即為所有用戶權限，可以修改，可以上傳 同文件名替換，刪除，最重要的是還可以執行。

首先是我們可愛的360殺毒。

c:\Program Files\360\360Safe\AntiSection\mutex.db?? 360殺毒數據庫文件
c:\Program Files\360\360Safe\deepscan\Section\mutex.db? 360殺毒數據庫文件
c:\Program Files\360\360sd\Section\mutex.db?? 360殺毒數據庫文件

c:\Program Files\360\360Safe\deepscan\Section\mutex.db這個文件，只要安裝了360殺毒就一定存在，并且有Everyone權限。其他2個文件不一定。

c:\Program Files\Helicon\ISAPI_Rewrite3\error.log?? 態設置軟件ISAPI Rewrite日志文件
c:\Program Files\Helicon\ISAPI_Rewrite3\Rewrite.log? 態設置軟件ISAPI Rewrite日志文件
c:\Program Files\Helicon\ISAPI_Rewrite3\httpd.conf? 靜態設置軟件ISAPI Rewrite配置文件

主要是ISAPI Rewrite 3.0版本存在權限問題，老版本暫時沒發現有此類問題。

c:\Program Files\Common Files\Symantec Shared\Persist.bak 諾頓殺毒事件日志文件

c:\Program Files\Common Files\Symantec Shared\Validate.dat 諾頓殺毒事件日志文件

c:\Program Files\Common Files\Symantec Shared\Persist.Dat? 諾頓殺毒事件日志文件

諾頓殺毒可能局限于版本，我本機XP并未找到以上文件

以下是最后2個可替換文件
c:\windows\hchiblis.ibl? 華盾服務器管理專家文件許可證

c:\Documents and Settings\All Users\Application Data\Hagel Technologies\DU Meter\log.csv

DU Meter的流量統計信息日志文件

暫時知道以上文件權限為Everyone，注意，即使可替換文件的所在目錄你無權訪問，也照 樣可以替換執行。比如D:\Program Files\360\360Safe\deepscan\Section\mutex.db，可D:\Program Files\360\360Safe\deepscan\Section目錄沒有訪問權限，用BIN牛的aspx大馬訪問D:\Program Files\360\360Safe\deepscan\Sectio顯示拒絕訪問，可mutex.db文件在該目錄下，你照樣可以上傳由cmd.exe 換名后的mutex.db文件進行替換。

這樣一來在沒有找到可寫可執行目錄時候，不防查看服務器上是否安裝了以上軟件，有的話可以上傳同文件名替換原文件為你的提權文件。這樣就可以成功執行了

目錄或文件的權限設置有錯會造成入侵!
為了從根本上解決問題,我們建議所有用戶升級受控端安裝包到2011-3-15版,并點擊設置"ASP.net嚴格安全模型",以下所說的問題所有設置了asp.net嚴格安全的用戶不受影響.
對于服務器上的殺毒軟件,我們建議裝Mcafee,請不重裝360,很多版本的360都有提權問題.
在2011-6-8星外發布了新版的星外殺馬掃描工具(在群共享或星外后臺可以下載)
在掃描結果中我們發現在大量服務器存在以下問題.
文件:C:\WINDOWS\TAPI\tsec.ini
處理辦法:直接完全刪除這個文件(不要保留在回收站)
360的
文件:C:\Program Files\360\360sd\Section\mutex.db
文件:C:\Program Files\360\360Safe\deepscan\Section\mutex.db
文件:C:\Program Files\360\360Safe\AntiSection\mutex.db
處理辦法:直接完全刪除360,所有360刪除光后留下的文件都要刪除
Flash:
文件:C:\WINDOWS\system32\Macromed\Flash\Flash10q.ocx
處理辦法:直接完全刪除(不要保留在回收站),不要在服務器上裝Flash組件

IISrewrite3
文件:C:\Program Files\Helicon\ISAPI_Rewrite3\Rewrite.log
文件:C:\Program Files\Helicon\ISAPI_Rewrite3\httpd.conf
文件:C:\Program Files\Helicon\ISAPI_Rewrite3\error.log
處理辦法:將三個文件的權限改成erveryone只讀權限(沒有寫的權限)

DU Meter的流量統計信息日志文件
c:\Documents and Settings\All Users\Application Data\Hagel Technologies\DU Meter\log.csv
處理辦法:刪除它
諾頓
c:\Program Files\Common Files\Symantec Shared\Persist.bak
c:\Program Files\Common Files\Symantec Shared\Validate.dat
c:\Program Files\Common Files\Symantec Shared\Persist.Dat
處理辦法:直接完全刪除這個軟件
華盾
文件:C:\WINDOWS\hchiblis.ibl
處理辦法:直接完全刪除這個過濾軟件,如果因為別的原因不能刪除,可以將權限改成everyone讀與寫,不能有everyone運行的權限.
一流過濾:
文件:C:\7i24.com\iissafe\log\startandiischeck.txt
文件:C:\7i24.com\iissafe\log\scanlog.htm
如果已經是最新版本的一流(2011-2-19)就不需要處理,如果是舊版本的,要先刪除這兩個文件,然后再升級一流.正常情況下,這兩個文件只有everyone讀寫的權限(沒有運行)

其他有可能提示的文件:
文件:C:\WINDOWS\Temp\Temporary Internet Files\Content.IE5\index.dat
文件:C:\WINDOWS\Temp\History\History.IE5\index.dat
文件:C:\WINDOWS\Temp\Cookies\index.dat
檢查文件在高級權限管理中,是不是有everyone運行的權限,如果沒有,就不用處理,如果有運行的權限要取消運行權限
文件:C:\7i24.com\LinkGate\log\....
目錄:C:\7i24.com\LinkGate\log
目錄:C:\7i24.com\serverdoctor\log\
文件:C:\7i24.com\serverdoctor\log\....
不需要處理,星外的防盜鏈,服務器醫生等軟件默認已自動設置好權限
如果看下這樣的提示:
2011-6-8 15:04:50,方法失敗，意外錯誤代碼為 32。
這是掃描軟盤A:造成的,不用處理
部分zend版本可能有這個提示:
文件:C:\Program Files\Zend\ZendOptimizer-3.3.0\lib\Optimizer-3.3.0\php-5.2.x\ZendOptimizer.dll
目錄:C:\Program Files\Zend\ZendOptimizer-3.3.0\lib\Optimizer-3.3.0\php-5.2.x......
處理辦法:將everyone的權限刪除,改成adms,system全部權限,users只讀權限.

處理后,請再用星外殺馬掃描一次.

?

以下是舊的說明:
2011-3-9
經查我們發現部分服務器仍然存在安全問題,因此發布了新的掃描工具及安全包,請所有用戶馬上掃描并用安全包處理.

注意
2011-2-19 22:00 有用戶反映安裝了一流監控后,部分服務器的c:\7i24.com\iissafe\log\sys的權限不正常,經檢查,正常的權限是只有 erveryone權限,不應該有users權限組的任何權限的,如果你的服務器上有這個目錄,并且這個目錄多了users的權限,請馬上下載最新版本的 安全包,點"糾正出錯的一流權限"就可以解決.如果用最新版本星外殺馬提示"這是一流監控的目錄權限問題未修正!請馬上聯系星外支持解決!!!"表明你尚 未用最新的安全包處理,請用安全包處理后,再掃描一次。

關于c:\7i24.com\iissafe\log及\log\sys目錄,正常的權限情況下,復制cmd.exe進去,雙擊是無法運行的,大家可以測試下,如果能運行肯定就是錯的.

近期有用戶的報告發映服務器被入侵,經查是回收站目錄的權限有錯造成的.
(最新發現一鍵GHOST產生的默認備份目錄如~1也會有安全問題)

注意
請您在設置完安全包后,使用星外殺馬工具最新版本點擊掃描所有盤的所有目錄功能,檢查有沒有權限問題,下載地址參考(更新于2011-3-9 !!!):
http://sys.7i24.com/system/support/show.asp?id=20101231000556
對于軟件掃出來有權限問題的目錄,除了C:\7i24.com目錄外,別的目錄,都要改成 adms,system全部權限,別的,如everyone的權限都應該刪除.users的權限也不能有寫入的權限,另外,如果提示"這是一流監控的目錄 權限問題未修正!請馬上聯系星外支持解決!!!"表明你尚未用最新的安全包處理,請用安全包處理后,再掃描一次.
另外,所有安裝諾頓10的用戶,請馬上升級成諾頓11,不然以下目錄一升級諾頓就有權限問題:
C:\Program Files\Symantec AntiVirus\SAVRT
C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\I2_LDVP.TMP
這個目錄會造成入侵.

以前的舊的說明:

請下載最新版的安全包(2011-1-13),點擊"設置回收站目錄權限"及"設置Users關鍵目錄權限"功能,就可以解決以下問題:
回收站目錄的權限存在users組成寫入與運行權限造成的提權:
如:
C:\RECYCLER
D:\RECYCLER
....
等目錄,這些目錄默認是隱藏的,您要看到這些目錄需要顯示系統文件才能看到.
如果這些目錄中有你不認識的vbs,exe等文件就很可能是入侵后的后門.
注意,使用最新安全包后,可能會提示回收站被破壞,不用擔心,這個提示不影響使用,也不用處理.安全包只能限制了USERs用戶的調用回收站造成不安全.正常情況下,回收站只應該有adms,sytem全部的權限.
另外,我們還檢查了所有可能有權限問題的目錄,請點擊設置"設置Users關鍵目錄權限"功能,就可以解決,此功能對windows 2003/windows 2008R2同樣有用,請您務必操作!

以下是近期的安全提示:
請下載最新版的安全包,點擊"設置Media等目錄權限"功能,就可以解決以下問題:
(其他的功能不用點,最新版的安全包可以用主控用戶名登陸星外網站,在軟件下載,老用戶升級中下載)
如果以下目錄中存在任何文件,可能是入侵造成的,在設置安全包后,里面的文件應該手工刪除(PHP目錄中默認的文件除外):
如以下目錄:
C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index\
C:\php\dev,C:\php\ext,C:\PHP\extras,C:\PHP\PEAR
C:\wmpub
C:\upload
C:\inetpub

以下是問題的完整說明:

有用戶說以下目錄
C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index\
有users,或everyone寫入的權限,大家查下有沒有這個問題

無論是否存在這樣的問題,請運行以下命令,可以直接處理權限,從而防止入侵:
先在開始中,輸入CMD運行后,再輸入:
ECHO Y|cacls "C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index" /P SYSTEM:F

另外,以下是近期的安全問題,也請檢查

　關于C:\php下的子目錄權限不正常造成服務器被入侵的處理辦法

在2010-11-23我們接到兩個用戶反映有服務器C:\php\dev,C:\php\ext,C:\PHP\extras,C:\PHP\PEAR
中發現了被上傳cmd.exe文件,經檢查,我們發現這些目錄的權限多了users用戶組寫入權限,經我們檢測,默認情況下安裝星外的PHP包并沒發生這樣的問題,有可能是安裝其他軟件影響了,
在不確定原因的情況下,我們發布了新版本的PHP安裝包(更新于2010-11-23),您可以登陸星外客服中心下載此PHP安裝包來解決這個問題.
處理辦法
1.停止IIS
2.在添加刪除中刪除原來的星外PHP安裝包
3.刪除c:\php目錄所有文件
4.安裝最新版本的PHP安裝包,這個安裝包會強行將原來錯的users權限改正.
更新PHP安裝包并不會影響用戶的網站,不用擔心.

補充
(
如何確定我的服務器也有這個問題?
您可以檢查C:\PHP\extras的權限,權限里面有一個高級,如果里面有users組的特殊權限,里面有寫入權限就是不正確的.
另外,我們發現部分服務器的C:\wmpub目錄的權限也存在同樣的問題.

轉載于:https://www.cnblogs.com/amwld/archive/2011/08/31/2161294.html

總結

以上是生活随笔為你收集整理的常见虚拟主机目录对照及星外提权目录的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。