現(xiàn)在我們打開“開始菜單”→“程序”→“管理工具”→“Internet 信息服務(IIS)管理器”，彈出一個IIS管理器窗口，在里面找到“FTP站點” →“默認 FTP 站點”，并在“默認 FTP 站點”里點擊鼠標右鍵，選擇“屬性”選擇，出現(xiàn)一個“默認 FTP 站點屬性”對話框，選擇“主目錄”標簽，把原來默認的地址改為我們剛才建立的文件夾D:\cnhack 的路徑，下面會有三個選項，分別是、“讀取、寫入、記錄訪問”，你可以根據(jù)需要勾選，如果中介提供給別人下載的FTP空間，則不要勾選寫入選項，如果需要提供給別人上傳及更改FTP空間內(nèi)容的，則需要勾選寫入選項。本例中，我們是讓朋友可以把數(shù)據(jù)上傳到FTP空間的，所以我們勾選了“寫入”選項，如下圖（圖20）所示：

（圖

下面我們再來配置使用指定的我們剛才建立的賬號cnhack 才能登陸現(xiàn)在這個FTP空間，我們現(xiàn)在點擊“安全帳戶”標簽，再點擊“瀏覽”按鈕，根據(jù)提示選擇我們剛才建立的cnhack用戶名，然后點擊確定，這樣就指定了這個空間只有使用我們設置的 cnhack 用戶賬號才能登陸，記住不要勾選下面的“只允許匿名連接”選項，因為這樣將會帶來安全問題，如下圖（圖21）所示：

（圖

現(xiàn)在我們再來指定該FTP站點的IP地址，我們只要點擊“FTP站點”標簽，然后在“IP地址（I）”的右欄輸入框里輸入我們本機的IP地址即可。還有可以在“TCP/IP端口（T）”的右輸入框里修改當前FTP站點的TCP/IP端口號，默認情況下是使用21端口的。如下圖（圖22）所示：

（圖

這樣一個安全的FTP站點就建立成功了。使用IIS6建立的FTP服務器可以使用IE及FTP客戶端軟件登陸FTP空間。而且功能強大。

　　10、IIS6下防范WebShell安全配置：

前幾節(jié)中，我們已經(jīng)介紹過了如何在IIS6下配置CGI、PHP，在Win2003系統(tǒng)下，ASP和ASPX都是系統(tǒng)組件，都可以在“開始菜單” →“控制面版”→“添加刪除程序”里安裝及刪除的。關于安裝及配置上述組件的方法在這里不再詳述。

　?。?/span>1）配置一個簡單的WWW虛擬主機：

現(xiàn)在我們舉例如何組建一個WWW的虛擬主機網(wǎng)站，我們現(xiàn)在打開“Internet 信息服務(IIS)管理器”，在左欄窗口中雙擊“網(wǎng)站”會展開一個關聯(lián)菜單，找到“默認網(wǎng)站”點擊右鍵出現(xiàn)一個菜單，選擇菜單里的“屬性”選項，彈出一個“默認網(wǎng)站屬性”窗口，現(xiàn)在我們選擇“網(wǎng)站”標簽，在“IP地址（I）”的右欄里輸入你機器的IP地址，本例中，我們的IP地址輸入為 192.168.0.8 ，這個IP地址就是我本機的IP地址，在“TCP端口（T）”里我們可以看到默認的瀏覽窗口是80，在這里我們可以更改瀏覽網(wǎng)站的端口號，點擊右欄的“高級（D）”按鈕，我們可以在里面添加或刪除我們網(wǎng)站的瀏覽域名，當然這個域名是你在Internet上申請來的，并把域名的A記錄指向到了你的本機IP，以后我們就可以使用域名記錄來訪問你的網(wǎng)站了。

現(xiàn)在我們來配置這個虛擬主機的WWW訪問目錄，我們點擊“主目錄”標簽，在“本地路徑（C）”的右欄里輸入你這個虛擬主機在WWW所要瀏覽的目錄，在本例中，我們輸入D:\cnhack ，這樣明人就能在WWW上通過 http 協(xié)議訪問我們服務器里的 D:\cnhack 目錄里的資源了。在“本地路徑（C）”的下方有多個可勾選的選項，一般我們保留默認的就行了，千萬不要勾選“寫入”項，因為這樣將會導致服務器的安全問題，一般我們只使用默認的“讀取（R）、記錄訪問（V）、索引資源（I）”就已經(jīng)足夠了。如下圖（圖23）所示：

（圖

我們還可以在“文檔”標簽里添加虛擬主機默認的首頁文件名等，這樣一個簡單的虛擬主機服務就配置完成了。如果你已經(jīng)按上幾節(jié)所寫的配置過成，那么現(xiàn)在你的這個虛擬主機將會是已經(jīng)支持ASP、ASPX、CGI、PHP、FSO、JMAIL、MySql、SMTP、POP3、FTP、3389終端服務、遠程桌面Web連接管理服務等功能強大的服務器了。

（2）、安全使用FSO主機：

其實按我們上一節(jié)所說的配置一個簡單的虛擬主機，這樣的主機是存在各種WEBSHELL的威脅的，假如你給朋友開了個虛擬主機空間，那么這個虛擬主機存在的最大安全隱患將會是FSO權限問題，其實FSO的安全隱患在Win2K系統(tǒng)里已經(jīng)是令網(wǎng)管頭疼的事了，但在Win2003中這個FSO的安全隱患卻依然沒有解決，在沒有經(jīng)過安全配置的虛擬主機下，只要黑客給虛擬主機空間上傳一個ASP木馬，黑客就能利用FSO權限瀏覽服務器里的所有文件，并能復制、刪除服務器里的所有文件，甚至能利用ASP木馬取得服務器的管理權，可見FSO安全配置的重要性。

下面我們舉例，如果黑客通過某些手段在你的虛擬主機空間上傳了一個ASP木馬，那么就等于黑客已經(jīng)擁有了一個WEBSHELL，黑客可以通過這個WEBSHELL控制整臺服務器里的數(shù)據(jù)，本例中我們介紹的是黑客們都熟悉的海陽頂端asp木馬，這種WEBSHELL能通過網(wǎng)頁在線更改、編輯、刪除、移動、上傳、下載服務器上的任意文件，只要黑客給你的服務器傳上這個ASP木馬，你的服務器上的所有文件就會控制在黑客的手上，黑客能在你的服務器干什么？就是上面提及到的。更改、刪除、移動……如下圖（圖24）所示：

（圖

看到這個圖，你也能想像到你的服務器到最后會變得怎么樣了，你服務器上的資料將沒有隱私可言了，想黑你服務器上的主頁或是刪除你服務器上的文件都是點幾下鼠標就能辦到的了。這種ASP木馬網(wǎng)絡上各黑客網(wǎng)站均有下載，源代碼就不便寫出來了。各黑客網(wǎng)站上還有其它版本的ASP木馬下載，但基本上都是調(diào)用FSO（Scripting.FileSystemObject）寫的。

其實你如果要防范這種攻擊，你只要把ASP中的FSO（Scripting.FileSystemObject）功能刪除就行了，刪除FSO權限方法就是在CMD的命令提示符下輸入以下命令：

Regsvr32 /u c:\windows\system32\scrrun.dll

注意：在實際操作的時候要更改成為你本地系統(tǒng)安裝目錄的實際路徑，但是使用這種方法刪除也太絕了一點，如果以后我們想使用FSO權限，那就用不了啦。所以建議不要使用這種方法刪除FSO權限，

顯而易見，如果這樣做，那么包括站點系統(tǒng)管理員在內(nèi)的任何人都將不可以使用FileSystemObject對象了，這其實并不是站點管理人員想要得到的結果，畢竟我們使用這個對象可以實現(xiàn)方便的在線站臺管理，如果連系統(tǒng)管理員都沒法使用了，那可就得不償失了，但是不禁止這個危險的對象又會給自己的站點帶來安全漏洞。那么有沒有兩全其美的方法呢？有！具體方法如下：

我們可以做到禁止其他人非法使用FileSystemObject對象,但是我們自己仍然可以使用這個對象。

方法如下：

查找注冊表中

HKEY_CLASSES_ROOT\Scripting.FileSystemObject 鍵值

將其更改成為你想要的字符串(右鍵-->"重命名"),比如更改成為

HKEY_CLASSES_ROOT\Scripting.FileSystemObject2

這樣,在ASP就必須這樣引用這個對象了:

Set fso = CreateObject("Scripting.FileSystemObjectnetpk")

而不能使用:

Set fso = CreateObject("Scripting.FileSystemObject")

如果你使用通常的方法來調(diào)用FileSystemObject對象就會無法使用了。

呵呵，只要你不告訴別人這個更改過的對象名稱，其他人是無法使用FileSystemObject對象的。這樣，作為站點管理者我們就杜絕了他人非法使用FileSystemObject對象，而我們自己仍然可以使用這個對象來方便的實現(xiàn)網(wǎng)站在線管理等等功能了！