現(xiàn)在我們打開“開始菜單”→“程序”→“管理工具”→“Internet 信息服務(wù)(IIS)管理器”，彈出一個IIS管理器窗口，在里面找到“FTP站點” →“默認 FTP 站點”，并在“默認 FTP 站點”里點擊鼠標右鍵，選擇“屬性”選擇，出現(xiàn)一個“默認 FTP 站點屬性”對話框，選擇“主目錄”標簽，把原來默認的地址改為我們剛才建立的文件夾D:\cnhack 的路徑，下面會有三個選項，分別是、“讀取、寫入、記錄訪問”，你可以根據(jù)需要勾選，如果中介提供給別人下載的FTP空間，則不要勾選寫入選項，如果需要提供給別人上傳及更改FTP空間內(nèi)容的，則需要勾選寫入選項。本例中，我們是讓朋友可以把數(shù)據(jù)上傳到FTP空間的，所以我們勾選了“寫入”選項，如下圖（圖20）所示：

（圖

下面我們再來配置使用指定的我們剛才建立的賬號cnhack 才能登陸現(xiàn)在這個FTP空間，我們現(xiàn)在點擊“安全帳戶”標簽，再點擊“瀏覽”按鈕，根據(jù)提示選擇我們剛才建立的cnhack用戶名，然后點擊確定，這樣就指定了這個空間只有使用我們設(shè)置的 cnhack 用戶賬號才能登陸，記住不要勾選下面的“只允許匿名連接”選項，因為這樣將會帶來安全問題，如下圖（圖21）所示：

（圖

現(xiàn)在我們再來指定該FTP站點的IP地址，我們只要點擊“FTP站點”標簽，然后在“IP地址（I）”的右欄輸入框里輸入我們本機的IP地址即可。還有可以在“TCP/IP端口（T）”的右輸入框里修改當前FTP站點的TCP/IP端口號，默認情況下是使用21端口的。如下圖（圖22）所示：

（圖

這樣一個安全的FTP站點就建立成功了。使用IIS6建立的FTP服務(wù)器可以使用IE及FTP客戶端軟件登陸FTP空間。而且功能強大。

　　10、IIS6下防范WebShell安全配置：

前幾節(jié)中，我們已經(jīng)介紹過了如何在IIS6下配置CGI、PHP，在Win2003系統(tǒng)下，ASP和ASPX都是系統(tǒng)組件，都可以在“開始菜單” →“控制面版”→“添加刪除程序”里安裝及刪除的。關(guān)于安裝及配置上述組件的方法在這里不再詳述。

　?。?/span>1）配置一個簡單的WWW虛擬主機：

現(xiàn)在我們舉例如何組建一個WWW的虛擬主機網(wǎng)站，我們現(xiàn)在打開“Internet 信息服務(wù)(IIS)管理器”，在左欄窗口中雙擊“網(wǎng)站”會展開一個關(guān)聯(lián)菜單，找到“默認網(wǎng)站”點擊右鍵出現(xiàn)一個菜單，選擇菜單里的“屬性”選項，彈出一個“默認網(wǎng)站屬性”窗口，現(xiàn)在我們選擇“網(wǎng)站”標簽，在“IP地址（I）”的右欄里輸入你機器的IP地址，本例中，我們的IP地址輸入為 192.168.0.8 ，這個IP地址就是我本機的IP地址，在“TCP端口（T）”里我們可以看到默認的瀏覽窗口是80，在這里我們可以更改瀏覽網(wǎng)站的端口號，點擊右欄的“高級（D）”按鈕，我們可以在里面添加或刪除我們網(wǎng)站的瀏覽域名，當然這個域名是你在Internet上申請來的，并把域名的A記錄指向到了你的本機IP，以后我們就可以使用域名記錄來訪問你的網(wǎng)站了。

現(xiàn)在我們來配置這個虛擬主機的WWW訪問目錄，我們點擊“主目錄”標簽，在“本地路徑（C）”的右欄里輸入你這個虛擬主機在WWW所要瀏覽的目錄，在本例中，我們輸入D:\cnhack ，這樣明人就能在WWW上通過 http 協(xié)議訪問我們服務(wù)器里的 D:\cnhack 目錄里的資源了。在“本地路徑（C）”的下方有多個可勾選的選項，一般我們保留默認的就行了，千萬不要勾選“寫入”項，因為這樣將會導(dǎo)致服務(wù)器的安全問題，一般我們只使用默認的“讀?。?/span>R）、記錄訪問（V）、索引資源（I）”就已經(jīng)足夠了。如下圖（圖23）所示：

（圖

我們還可以在“文檔”標簽里添加虛擬主機默認的首頁文件名等，這樣一個簡單的虛擬主機服務(wù)就配置完成了。如果你已經(jīng)按上幾節(jié)所寫的配置過成，那么現(xiàn)在你的這個虛擬主機將會是已經(jīng)支持ASP、ASPX、CGI、PHP、FSO、JMAIL、MySql、SMTP、POP3、FTP、3389終端服務(wù)、遠程桌面Web連接管理服務(wù)等功能強大的服務(wù)器了。

（2）、安全使用FSO主機：

其實按我們上一節(jié)所說的配置一個簡單的虛擬主機，這樣的主機是存在各種WEBSHELL的威脅的，假如你給朋友開了個虛擬主機空間，那么這個虛擬主機存在的最大安全隱患將會是FSO權(quán)限問題，其實FSO的安全隱患在Win2K系統(tǒng)里已經(jīng)是令網(wǎng)管頭疼的事了，但在Win2003中這個FSO的安全隱患卻依然沒有解決，在沒有經(jīng)過安全配置的虛擬主機下，只要黑客給虛擬主機空間上傳一個ASP木馬，黑客就能利用FSO權(quán)限瀏覽服務(wù)器里的所有文件，并能復(fù)制、刪除服務(wù)器里的所有文件，甚至能利用ASP木馬取得服務(wù)器的管理權(quán)，可見FSO安全配置的重要性。

下面我們舉例，如果黑客通過某些手段在你的虛擬主機空間上傳了一個ASP木馬，那么就等于黑客已經(jīng)擁有了一個WEBSHELL，黑客可以通過這個WEBSHELL控制整臺服務(wù)器里的數(shù)據(jù)，本例中我們介紹的是黑客們都熟悉的海陽頂端asp木馬，這種WEBSHELL能通過網(wǎng)頁在線更改、編輯、刪除、移動、上傳、下載服務(wù)器上的任意文件，只要黑客給你的服務(wù)器傳上這個ASP木馬，你的服務(wù)器上的所有文件就會控制在黑客的手上，黑客能在你的服務(wù)器干什么？就是上面提及到的。更改、刪除、移動……如下圖（圖24）所示：

（圖

看到這個圖，你也能想像到你的服務(wù)器到最后會變得怎么樣了，你服務(wù)器上的資料將沒有隱私可言了，想黑你服務(wù)器上的主頁或是刪除你服務(wù)器上的文件都是點幾下鼠標就能辦到的了。這種ASP木馬網(wǎng)絡(luò)上各黑客網(wǎng)站均有下載，源代碼就不便寫出來了。各黑客網(wǎng)站上還有其它版本的ASP木馬下載，但基本上都是調(diào)用FSO（Scripting.FileSystemObject）寫的。

其實你如果要防范這種攻擊，你只要把ASP中的FSO（Scripting.FileSystemObject）功能刪除就行了，刪除FSO權(quán)限方法就是在CMD的命令提示符下輸入以下命令：

Regsvr32 /u c:\windows\system32\scrrun.dll

注意：在實際操作的時候要更改成為你本地系統(tǒng)安裝目錄的實際路徑，但是使用這種方法刪除也太絕了一點，如果以后我們想使用FSO權(quán)限，那就用不了啦。所以建議不要使用這種方法刪除FSO權(quán)限，

顯而易見，如果這樣做，那么包括站點系統(tǒng)管理員在內(nèi)的任何人都將不可以使用FileSystemObject對象了，這其實并不是站點管理人員想要得到的結(jié)果，畢竟我們使用這個對象可以實現(xiàn)方便的在線站臺管理，如果連系統(tǒng)管理員都沒法使用了，那可就得不償失了，但是不禁止這個危險的對象又會給自己的站點帶來安全漏洞。那么有沒有兩全其美的方法呢？有！具體方法如下：

我們可以做到禁止其他人非法使用FileSystemObject對象,但是我們自己仍然可以使用這個對象。

方法如下：

查找注冊表中

HKEY_CLASSES_ROOT\Scripting.FileSystemObject 鍵值

將其更改成為你想要的字符串(右鍵-->"重命名"),比如更改成為

HKEY_CLASSES_ROOT\Scripting.FileSystemObject2

這樣,在ASP就必須這樣引用這個對象了:

Set fso = CreateObject("Scripting.FileSystemObjectnetpk")

而不能使用:

Set fso = CreateObject("Scripting.FileSystemObject")

如果你使用通常的方法來調(diào)用FileSystemObject對象就會無法使用了。

呵呵，只要你不告訴別人這個更改過的對象名稱，其他人是無法使用FileSystemObject對象的。這樣，作為站點管理者我們就杜絕了他人非法使用FileSystemObject對象，而我們自己仍然可以使用這個對象來方便的實現(xiàn)網(wǎng)站在線管理等等功能了！