網(wǎng)絡(luò)安全基礎(chǔ)之CMD下的網(wǎng)絡(luò)安全配置
[ 2007-03-25 03:28:26 | 作者: sun ]
自帶的關(guān)于網(wǎng)絡(luò)的命令行工具很多,比如大家熟悉的Ping、Tracert、Ipconfig、Telnet、Ftp、Tftp、Netstat,還有不太熟悉的Nbtstat、Pathping、Nslookup、Finger、Route、Netsh等等。
這些命令又可分成三類:網(wǎng)絡(luò)檢測(cè)(如Ping)、網(wǎng)絡(luò)連接(如Telnet)和網(wǎng)絡(luò)配置(如Netsh)。前面兩種相對(duì)簡(jiǎn)單,本文只介紹兩個(gè)網(wǎng)絡(luò)配置工具。
Netsh
在遠(yuǎn)程Shell中使用Netsh首先要解決一個(gè)交互方式的問(wèn)題。前面說(shuō)過(guò),很多Shell不能再次重定向輸出輸出,所以不能在這種環(huán)境下交互地使用Ftp等命令行工具。解決的辦法是,一般交互式的工具都允許使用腳本(或者叫應(yīng)答文件)。比如ftp -s:filename。Netsh也是這樣:netsh -f filename。
Netsh命令的功能非常多,可以配置IAS、DHCP、RAS、WINS、NAT服務(wù)器,TCP/IP協(xié)議,IPX協(xié)議,路由等。我們不是管理員,一般沒(méi)必要了解這么多,只需用netsh來(lái)了解目標(biāo)主機(jī)的網(wǎng)絡(luò)配置信息。
1、TCP/IP配置
echo interface ip >s
echo show config >>s
netsh -f s
del s
由此你可以了解該主機(jī)有多個(gè)網(wǎng)卡和IP,是否是動(dòng)態(tài)分配IP(DHCP),內(nèi)網(wǎng)IP是多少(如果有的話)。
這個(gè)命令和ipconfig /all差不多。
注意,以下命令需要目標(biāo)主機(jī)啟動(dòng)remoteaccess服務(wù)。如果它被禁用,請(qǐng)先通過(guò)導(dǎo)入注冊(cè)表解禁,然后
net start remoteaccess
<strong>2、ARP</strong>
echo interface ip >s
echo show ipnet >>s
netsh -f s
del s
這個(gè)比arp -a命令多一點(diǎn)信息。
3、TCP/UDP連接
echo interface ip >s
echo show tcpconn >>s
echo show udpconn >>s
netsh -f s
del s
這組命令和netstat -an一樣。
4、網(wǎng)卡信息
如果Netsh命令都有其他命令可代替,那它還有什么存在的必要呢?下面這個(gè)就找不到代替的了。
echo interface ip >s
echo show interface >>s
netsh -f s
del s
Netsh的其他功能,比如修改IP,一般沒(méi)有必要使用(萬(wàn)一改了IP后連不上,就“叫天不應(yīng)叫地不靈”了),所以全部略過(guò)。
IPSec
首先需要指出的是,IPSec和TCP/IP篩選是不同的東西,大家不要混淆了。TCP/IP篩選的功能十分有限,遠(yuǎn)不如IPSec靈活和強(qiáng)大。下面就說(shuō)說(shuō)如何在命令行下控制IPSec。
XP系統(tǒng)用ipseccmd,2000下用ipsecpol。遺憾的是,它們都不是系統(tǒng)自帶的。ipseccmd在xp系統(tǒng)安裝盤(pán)的SUPPORT\TOOLS\SUPPORT.CAB中,ipsecpol在2000 Resource Kit里。而且,要使用ipsecpol還必須帶上另外兩個(gè)文件:ipsecutil.dll和text2pol.dll。三個(gè)文件一共119KB。
IPSec可以通過(guò)組策略來(lái)控制,但我找遍MSDN,也沒(méi)有找到相應(yīng)的安全模板的語(yǔ)法。已經(jīng)配置好的IPSec策略也不能被導(dǎo)出為模板。所以,組策略這條路走不通。IPSec的設(shè)置保存在注冊(cè)表中(HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local),理論上可以通過(guò)修改注冊(cè)表來(lái)配置IPSec。但很多信息以二進(jìn)制形式存放,讀取和修改都很困難。相比之下,上傳命令行工具更方便。
關(guān)于Ipsecpol和Ipseccmd的資料,網(wǎng)上可以找到很多,因此本文就不細(xì)說(shuō)了,只是列舉一些實(shí)用的例子。
在設(shè)置IPSec策略方面,ipseccmd命令的語(yǔ)法和ipsecpol幾乎完全一樣,所以只以ipsecpol為例:
1、防御Rpc-dcom攻擊
ipsecpol -p myfirewall -r rpc-dcom -f *+0:135:tcp *+0:135:udp *+0:137:udp *+0:138:udp *+0:139:tcp
*+0:445:tcp *+0:445:udp -n BLOCK -w reg -x
這條命令關(guān)閉了本地主機(jī)的TCP135,139,445和udp135,137,138,445端口。
具體含義如下:
-p myfirewall 指定策略名為myfirewall
-r rpc-dcom 指定規(guī)則名為rpc-dcom
-f ...... 建立7個(gè)篩選器。*表示任何地址(源);0表示本機(jī)地址(目標(biāo));+表示鏡像(雙向)篩選。
詳細(xì)語(yǔ)法見(jiàn)ipsecpol -?
-n BLOCK 指定篩選操作是"阻塞"。注意,BLOCK必須是大寫(xiě)。
-w reg 將配置寫(xiě)入注冊(cè)表,重啟后仍有效。
-x 立刻激活該策略。
2、防止被Ping
ipsecpol -p myfirewall -r antiping -f *+0::icmp -n BLOCK -w reg -x
如果名為myfirewall的策略已存在,則antiping規(guī)則將添加至其中。
注意,該規(guī)則同時(shí)也阻止了該主機(jī)ping別人。
3、對(duì)后門(mén)進(jìn)行IP限制
假設(shè)你在某主機(jī)上安裝了DameWare Mini Remote Control。為了保護(hù)它不被別人暴破密碼或溢出,應(yīng)該限制對(duì)其服務(wù)端口6129的訪問(wèn)。
ipsecpol -p myfw -r dwmrc_block_all -f *+0:6129:tcp -n BLOCK -w reg
ipsecpol -p myfw -r dwmrc_pass_me -f 123.45.67.89+0:6129:tcp -n PASS -w reg -x
這樣就只有123.45.67.89可以訪問(wèn)該主機(jī)的6129端口了。
如果你是動(dòng)態(tài)IP,應(yīng)該根據(jù)IP分配的范圍設(shè)置規(guī)則。比如:
ipsecpol -p myfw -r dwmrc_block_all -f *+0:6129:tcp -n BLOCK -w reg
ipsecpol -p myfw -r dwmrc_pass_me -f 123.45.67.*+0:6129:tcp -n PASS -w reg -x
這樣就允許123.45.67.1至123.45.67.254的IP訪問(wèn)6129端口。
在寫(xiě)規(guī)則的時(shí)候,應(yīng)該特別小心,不要把自己也阻塞了。如果你不確定某個(gè)規(guī)則的效果是否和預(yù)想的一樣,可以先用計(jì)劃任務(wù)"留下后路"。例如:
c:\>net start schedule
Task Scheduler 服務(wù)正在啟動(dòng) ..
Task Scheduler 服務(wù)已經(jīng)啟動(dòng)成功。
c:\>time /t
12:34
c:\>at 12:39 ipsecpol -p myfw -y -w reg
新加了一項(xiàng)作業(yè),其作業(yè) ID = 1。
然后,你有5分鐘時(shí)間設(shè)置一個(gè)myfw策略并測(cè)試它。5分鐘后計(jì)劃任務(wù)將停止該策略。
如果測(cè)試結(jié)果不理想,就刪除該策略。
c:\>ipsecpol -p myfw -o -w reg
注意,刪除策略前必須先確保它已停止。不停止它的話,即使刪除也會(huì)在一段時(shí)間內(nèi)繼續(xù)生效。持續(xù)時(shí)間取決于策略的刷新時(shí)間,默認(rèn)是180分鐘。
如果測(cè)試通過(guò),那么就啟用它。
c:\>ipsecpol -p myfw -x -w reg
最后說(shuō)一下查看IPSec策略的辦法。
對(duì)于XP很簡(jiǎn)單,一條命令搞定--ipseccmd show filters
而ipsecpol沒(méi)有查詢的功能。需要再用一個(gè)命令行工具netdiag。它位于2000系統(tǒng)安裝盤(pán)的SUPPORT\TOOLS\SUPPORT.CAB中。(已經(jīng)上傳了三個(gè)文件,也就不在乎多一個(gè)了。)
Netdiag需要RemoteRegistry服務(wù)的支持。所以先啟動(dòng)該服務(wù):
Net start remoteregistry
不啟動(dòng)RemoteRegistry就會(huì)得到一個(gè)錯(cuò)誤:
[FATAL] Failed to get system information of this machine.
netdiag這個(gè)工具功能十分強(qiáng)大,與網(wǎng)絡(luò)有關(guān)的信息都可以獲取!不過(guò),輸出的信息有時(shí)過(guò)于詳細(xì),超過(guò)命令行控制臺(tái)cmd.exe的輸出緩存,而不是每個(gè)遠(yuǎn)程cmd shell都可以用more命令來(lái)分頁(yè)的。
查看Ipsec策略的命令是:
netdiag /debug /test:ipsec
然后是一長(zhǎng)串輸出信息。IPSec策略位于最后。
軟件安裝
一個(gè)軟件/工具的安裝過(guò)程,一般來(lái)說(shuō)只是做兩件事:拷貝文件到特定目錄和修改注冊(cè)表。只要搞清楚具體的內(nèi)容,那么就可以自己在命令行下實(shí)現(xiàn)了。(不考慮安裝后需要注冊(cè)激活等情況)
WinPcap是個(gè)很常用的工具,但必須在窗口界面下安裝。在網(wǎng)上也可以找到不用GUI的版本(但還是有版權(quán)頁(yè)),其實(shí)我們完全可以自己做一個(gè)。
以WinPcap 3.0a 為例。通過(guò)比較安裝前后的文件系統(tǒng)和注冊(cè)表快照,很容易了解整個(gè)安裝過(guò)程。
除去反安裝的部分,關(guān)鍵的文件有三個(gè):wpcap.dll,packet.dll和npf.sys。前面兩個(gè)文件位于system32目錄下,第三個(gè)在system32\drivers下。而注冊(cè)表的變化是增加了一個(gè)系統(tǒng)服務(wù)NPF。注意,是系統(tǒng)服務(wù)(即驅(qū)動(dòng))不是Win32服務(wù)。
作為系統(tǒng)服務(wù),不但要在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下增加主鍵,在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root下也增加主鍵。而后者默認(rèn)只有SYSTEM身份才可以修改。幸運(yùn)的是,并不需要手動(dòng)添加它,winpcap被調(diào)用時(shí)會(huì)自動(dòng)搞定。甚至完全不用手動(dòng)修改注冊(cè)表,所有的事winpcap都會(huì)自己完成,只需要將三個(gè)文件復(fù)制到合適的位置就行了。
作為范例,還是演示一下如何修改注冊(cè)表:利用前面說(shuō)過(guò)的inf文件來(lái)實(shí)現(xiàn)。
[Version]
Signature="$WINDOWS NT$"
[DefaultInstall.Services]
AddService=NPF,,winpcap_svr
[winpcap_svr]
DisplayName=Netgroup Packet Filter
ServiceType=0x1
StartType=3
ErrorControl=1
ServiceBinary=%12%\npf.sys
將上面這些內(nèi)容保存為_(kāi)wpcap_.inf文件。
再寫(xiě)一個(gè)批處理_wpcap_.bat:
rundll32.exe setupapi,InstallHinfSection DefaultInstall 128 %CD%\_wpcap_.inf
del _wpcap_.inf
if /i %CD%==%SYSTEMROOT%\system32 goto COPYDRV
copy packet.dll %SYSTEMROOT%\system32\
copy wpcap.dll %SYSTEMROOT%\system32\
del packet.dll
del wpcap.dll
:COPYDRV
if /i %CD%==%SYSTEMROOT%\system32\drivers goto END
copy npf.sys %SYSTEMROOT%\system32\drivers\
del npf.sys
:END
del %0
然后用Winrar將所有文件(5個(gè))打包為自解壓的exe,并將『高級(jí)自解壓選項(xiàng)』->『解壓后運(yùn)行』設(shè)置為_(kāi)wpcap_.bat,命令行的winpcap安裝包就制作完成了。
注意,批處理最后一行沒(méi)有回車符。否則會(huì)因?yàn)檎谶\(yùn)行而無(wú)法刪除自己。
所有的軟件安裝,基本上可以套用這個(gè)思路。但也有例外的,那就是系統(tǒng)補(bǔ)丁的安裝。
由于系統(tǒng)補(bǔ)丁有可能要替換正在被執(zhí)行或訪問(wèn)的文件,所以用copy命令是不行的。
幸好,Windows補(bǔ)丁包支持命令行安裝。
比如:
KB824146.exe -n -z -q
-n 不保留備份
-z 不重起
-q 安靜模式
如果有一堆補(bǔ)丁要打,那么用RAR打包成自解壓文件,外加一個(gè)批處理。
for %%f in (KB??????.exe) do %%f -n -z -q
for %%f in (KB??????.exe) do del %%f
del %0
Windows腳本
很多事用腳本來(lái)做是很簡(jiǎn)潔的。下面給出幾個(gè)常用腳本的echo版。
1、顯示系統(tǒng)版本
@echo for each ps in getobject _ >ps.vbs
@echo ("winmgmts:\\.\root\cimv2:win32_operatingsystem").instances_ >>ps.vbs
@echo wscript.echo ps.caption^&" "^&ps.version:next >>ps.vbs
cscript //nologo ps.vbs & del ps.vbs
2、列舉進(jìn)程
@echo for each ps in getobject _ >ps.vbs
@echo ("winmgmts:\\.\root\cimv2:win32_process").instances_ >>ps.vbs
@echo wscript.echo ps.handle^&vbtab^&ps.name^&vbtab^&ps.executablepath:next >>ps.vbs
cscript //nologo ps.vbs & del ps.vbs
3、終止進(jìn)程
@echo for each ps in getobject _ >pk.vbs
@echo ("winmgmts:\\.\root\cimv2:win32_process").instances_ >>pk.vbs
@echo if ps.handle=wscript.arguments(0) then wscript.echo ps.terminate:end if:next >>pk.vbs
要終止PID為123的進(jìn)程,使用如下語(yǔ)法:
cscript pk.vbs 123
如果顯示一個(gè)0,表示終止成功。
然后:
del pk.vbs
4、重啟系統(tǒng)
@echo for each os in getobject _ >rb.vbs
@echo ("winmgmts:{(shutdown)}!\\.\root\cimv2:win32_operatingsystem").instances_ >>rb.vbs
@echo os.win32shutdown(2):next >>rb.vbs & cscript //nologo rb.vbs & del rb.vbs
5、列舉自啟動(dòng)的服務(wù)
@echo for each sc in getobject("winmgmts:\\.\root\cimv2:win32_service").instances_ >sc.vbs
@echo if sc.startmode="Auto" then wscript.echo sc.name^&" - "^&sc.pathname >>sc.vbs
@echo next >>sc.vbs & cscript //nologo sc.vbs & del sc.vbs
6、列舉正在運(yùn)行的服務(wù)
@echo for each sc in getobject("winmgmts:\\.\root\cimv2:win32_service").instances_ >sc.vbs
@echo if sc.state="Running" then wscript.echo sc.name^&" - "^&sc.pathname >>sc.vbs
@echo next >>sc.vbs & cscript //nologo sc.vbs & del sc.vbs
7、顯示系統(tǒng)最后一次啟動(dòng)的時(shí)間
@echo for each os in getobject _ >bt.vbs
@echo ("winmgmts:\\.\root\cimv2:win32_operatingsystem").instances_ >>bt.vbs
@echo wscript.echo os.lastbootuptime:next >>bt.vbs & cscript //nologo bt.vbs & del bt.vbs
加固你的服務(wù)器 防范VOIP安全漏洞
[ 2007-03-25 03:28:11 | 作者: sun ]
VoIP存在很多安全隱患,面臨很多安全威脅,但是這不是說(shuō)VoIP的安全性就不可救藥,實(shí)際上隨著安全事件的屢次發(fā)生,眾多VoIP廠商也在不斷的實(shí)踐中積累著經(jīng)驗(yàn),通過(guò)一些措施來(lái)更大限度的保障VoIP的安全。
但提高VoIP的安全性要雙管齊下,除了VoIP廠商要摒棄VoIP安全是一個(gè)附加產(chǎn)品的觀念,將安全技術(shù)一并根植于VoIP產(chǎn)品本身外;對(duì)于VoIP使用者而言,要充分意識(shí)到, VoIP設(shè)備的安全直接影響著整個(gè)企業(yè)基礎(chǔ)網(wǎng)絡(luò)的安全,作為管理者不要認(rèn)為采用VoIP產(chǎn)品僅僅是添加了一部網(wǎng)絡(luò)電話,如果不做好完備的防護(hù)措施,它很有可能將成為黑客輕松進(jìn)入企業(yè)內(nèi)網(wǎng)的一扇門(mén),因此企業(yè)應(yīng)選用來(lái)自IT或數(shù)據(jù)部門(mén)的專業(yè)人士來(lái)管理IP通訊系統(tǒng),而并非原有的語(yǔ)音部門(mén),這些人必須比管理傳統(tǒng)PBX的專業(yè)人員更謹(jǐn)慎小心。
可以看出VoIP面臨的安全問(wèn)題實(shí)際上大部分是IP網(wǎng)絡(luò)所面臨的問(wèn)題。因此常規(guī)的安全措施是首先要保證的,另外VoIP應(yīng)用的特殊性使其需要特殊的措施來(lái)加強(qiáng)安全性,下面筆者推薦幾種防范小措施。這幾個(gè)措施可能并沒(méi)有使用什么高深的技術(shù),但采取這幾種措施之后可能會(huì)幫助你的網(wǎng)絡(luò)堵住VoIP大漏洞。
VoIP統(tǒng)一到一個(gè)VLAN中 便于設(shè)置QoS策略
筆者見(jiàn)到很多用戶部署VoIP時(shí),往往采用VoIP和一般性數(shù)據(jù)混合在一個(gè)網(wǎng)絡(luò)之中。這種部署方式的最大軟肋在于,因VoIP對(duì)帶寬以及QoS的需求與一般數(shù)據(jù)并不相同,將直接導(dǎo)致交換、路由器以及網(wǎng)絡(luò)上諸多安全設(shè)備的傳輸效能大大降低。
將VoIP數(shù)據(jù)與一般性數(shù)據(jù)進(jìn)行甄別之后,分開(kāi)傳輸無(wú)疑是最恰當(dāng)?shù)姆椒ā6@一方法也是思科等VoIP設(shè)備供應(yīng)商們的推薦方法之一。
具體方法是,將語(yǔ)音和數(shù)據(jù)劃分到不同的虛擬局域網(wǎng)(VLAN)中分開(kāi),讓語(yǔ)音和數(shù)據(jù)在不同的虛擬局域網(wǎng)上傳輸;將VoIP統(tǒng)一到同一個(gè)VLAN中,在同一VLAN中傳輸?shù)臄?shù)據(jù)對(duì)服務(wù)質(zhì)量(QoS)要求相同,可以簡(jiǎn)化服務(wù)質(zhì)量(QoS)設(shè)置。QoS設(shè)置簡(jiǎn)化后,用戶只需為VoIP虛擬局域網(wǎng)賦予優(yōu)先級(jí)即可。有一點(diǎn)需要注意,當(dāng)VoIP如果要通過(guò)路由器進(jìn)行傳輸,仍需要第三層服務(wù)質(zhì)量。
這種方法帶來(lái)直接的好處是,兩者分開(kāi)還可以將語(yǔ)音網(wǎng)絡(luò)從數(shù)據(jù)VLAN中隱藏起來(lái),可以有效地解決數(shù)據(jù)欺騙、DoS攻擊等,因此沒(méi)有了可能會(huì)發(fā)起攻擊的計(jì)算機(jī),你的VoIP網(wǎng)絡(luò)就會(huì)安全很多。
加固你的VoIP服務(wù)器防范竊聽(tīng)
實(shí)際上,將VoIP信號(hào)統(tǒng)一到同一個(gè)VLAN中,除了上述優(yōu)點(diǎn)之外,還可以大大降低竊聽(tīng)電話現(xiàn)象的發(fā)生。如果語(yǔ)音包被人用分析儀獲取,重放語(yǔ)音就輕而易舉。虛擬局域網(wǎng)可以阻止有人從外面發(fā)動(dòng)攻擊。
俗話說(shuō)"家賊難防",上述方法只能防范外部網(wǎng)絡(luò)電話的竊聽(tīng)行為,對(duì)內(nèi)部攻擊卻難以預(yù)防。因?yàn)閮?nèi)部人員只要將任意一個(gè)終端設(shè)備接入網(wǎng)絡(luò)之中,進(jìn)行適當(dāng)配置,披上偽裝成為VoIP虛擬局域網(wǎng)的一部分,就可以任意竊聽(tīng)。要防止這種破壞,最好的辦法就是購(gòu)買(mǎi)具有強(qiáng)加密功能的VoIP電話,而這種方法要奏效,每只電話都要有加密功能。這種防范方法造價(jià)高,其保密效果到底能提升到何種程度,都很難說(shuō)。
另外一種更為直接有效的方法是"釜底抽薪"。也就是將VoIP服務(wù)器從物理上杜絕內(nèi)部和外部攻擊者,以避免別有用心者利用偵聽(tīng)技術(shù)來(lái)截取VoIP信息。具體方法是,鎖定能夠訪問(wèn)VoIP管理界面的IP地址和MAC地址,同時(shí)在SIP網(wǎng)關(guān)前放置防火墻,以達(dá)到只允許合法用戶才可以進(jìn)入相關(guān)VoIP系統(tǒng)。
譬如說(shuō),Ingate公司的防火墻就是為基于SIP的VoIP系統(tǒng)而設(shè)計(jì)。Ingate最近宣布,如今其產(chǎn)品已通過(guò)了認(rèn)證,能夠與Avaya公司的基于SIP的產(chǎn)品協(xié)同工作。確保你實(shí)施的VoIP系統(tǒng)基于SIP,那樣以后需要安全選項(xiàng)功能時(shí)不至于只能求助于你現(xiàn)有的VoIP廠商。
有些用戶不僅使用防火墻,還對(duì)相關(guān)的VoIP數(shù)據(jù)包進(jìn)行加密。然而你可知道,僅僅加密發(fā)送出去的數(shù)據(jù)是不夠的,還必須加密所有呼叫信號(hào)。加密語(yǔ)音數(shù)據(jù)包可以防止語(yǔ)音插入。例如可以通過(guò)實(shí)時(shí)安全協(xié)議(SRTP)來(lái)加密節(jié)點(diǎn)之間的通信,通過(guò)TLS來(lái)加密整個(gè)過(guò)程。
監(jiān)視跟蹤、網(wǎng)絡(luò)冗余等手段抵御DoS攻擊
竊取VoIP帳號(hào)是黑客借助VoIP網(wǎng)絡(luò)偽裝成合法客戶,進(jìn)入企業(yè)網(wǎng)絡(luò)最常用的方法之一。為了竊取帳號(hào),黑客可以說(shuō)是不擇手段,甚至是采用暴力破解方法來(lái)攻擊某一個(gè)帳號(hào)的密碼,試圖破解控制它。這勢(shì)必會(huì)引起網(wǎng)絡(luò)流量驟增,引發(fā)DoS攻擊幾率大大增加。
通過(guò)部署合適的監(jiān)視工具和入侵檢測(cè)系統(tǒng),可以幫助你發(fā)現(xiàn)試圖攻入你的VoIP網(wǎng)絡(luò)的各種嘗試。通過(guò)仔細(xì)觀察這些工具所記錄下來(lái)的日志,有助于你及時(shí)發(fā)現(xiàn)各種數(shù)據(jù)流量的異常狀況,從而可以發(fā)現(xiàn)是否有人試圖使用暴力破解帳號(hào)進(jìn)入網(wǎng)絡(luò)。
不得不承認(rèn),無(wú)論你的防范多么嚴(yán)密,總會(huì)有攻擊的發(fā)生,因此請(qǐng)做好準(zhǔn)備應(yīng)對(duì)DoS攻擊或病毒導(dǎo)致網(wǎng)絡(luò)癱瘓,其中一個(gè)辦法就是增加冗余設(shè)計(jì),一旦現(xiàn)在運(yùn)行著的系統(tǒng)遭受攻擊或出現(xiàn)意外,可以自動(dòng)切換到另一套設(shè)備上,這樣可以最大限度地減少損失,為你發(fā)現(xiàn)并解決問(wèn)題提供充裕的時(shí)間。
VoIP網(wǎng)絡(luò)的安全性很大程度上取決于網(wǎng)絡(luò)內(nèi)設(shè)備的操作系統(tǒng)和運(yùn)行在其上的各種應(yīng)用。及時(shí)維護(hù)操作系統(tǒng)和VoIP應(yīng)用系統(tǒng)的補(bǔ)丁,對(duì)于防范來(lái)自惡意軟件或病毒的威脅是非常重要的。事實(shí)上,很多攻擊都是利用了系統(tǒng)的漏洞。這一點(diǎn)與IP網(wǎng)絡(luò)的安全防御是一致的。
制定一個(gè)計(jì)劃,把自己的角色轉(zhuǎn)換成一個(gè)黑客的身份,那么嘗試用各種辦法來(lái)攻擊你的VoIP系統(tǒng)吧,盡管找不到攻擊入口并不代表你的VoIP系統(tǒng)就是安全的,但是如果能找到入口,那么別人也可以,趕快采取辦法來(lái)堵住這個(gè)漏洞。
加固VoIP網(wǎng)絡(luò)的辦法絕不僅如此,本文只撿一些必要的幾點(diǎn)進(jìn)行介紹。然而這并不是最重要的,比這更重要的是,我們要正確面對(duì)VoIP存在的安全問(wèn)題,既要承認(rèn)它的存在,又要相信通過(guò)合理、良好的設(shè)計(jì)和良好的安全習(xí)慣,我們可以把其安全風(fēng)險(xiǎn)控制在可以接受的范圍之內(nèi)。
但提高VoIP的安全性要雙管齊下,除了VoIP廠商要摒棄VoIP安全是一個(gè)附加產(chǎn)品的觀念,將安全技術(shù)一并根植于VoIP產(chǎn)品本身外;對(duì)于VoIP使用者而言,要充分意識(shí)到, VoIP設(shè)備的安全直接影響著整個(gè)企業(yè)基礎(chǔ)網(wǎng)絡(luò)的安全,作為管理者不要認(rèn)為采用VoIP產(chǎn)品僅僅是添加了一部網(wǎng)絡(luò)電話,如果不做好完備的防護(hù)措施,它很有可能將成為黑客輕松進(jìn)入企業(yè)內(nèi)網(wǎng)的一扇門(mén),因此企業(yè)應(yīng)選用來(lái)自IT或數(shù)據(jù)部門(mén)的專業(yè)人士來(lái)管理IP通訊系統(tǒng),而并非原有的語(yǔ)音部門(mén),這些人必須比管理傳統(tǒng)PBX的專業(yè)人員更謹(jǐn)慎小心。
可以看出VoIP面臨的安全問(wèn)題實(shí)際上大部分是IP網(wǎng)絡(luò)所面臨的問(wèn)題。因此常規(guī)的安全措施是首先要保證的,另外VoIP應(yīng)用的特殊性使其需要特殊的措施來(lái)加強(qiáng)安全性,下面筆者推薦幾種防范小措施。這幾個(gè)措施可能并沒(méi)有使用什么高深的技術(shù),但采取這幾種措施之后可能會(huì)幫助你的網(wǎng)絡(luò)堵住VoIP大漏洞。
VoIP統(tǒng)一到一個(gè)VLAN中 便于設(shè)置QoS策略
筆者見(jiàn)到很多用戶部署VoIP時(shí),往往采用VoIP和一般性數(shù)據(jù)混合在一個(gè)網(wǎng)絡(luò)之中。這種部署方式的最大軟肋在于,因VoIP對(duì)帶寬以及QoS的需求與一般數(shù)據(jù)并不相同,將直接導(dǎo)致交換、路由器以及網(wǎng)絡(luò)上諸多安全設(shè)備的傳輸效能大大降低。
將VoIP數(shù)據(jù)與一般性數(shù)據(jù)進(jìn)行甄別之后,分開(kāi)傳輸無(wú)疑是最恰當(dāng)?shù)姆椒ā6@一方法也是思科等VoIP設(shè)備供應(yīng)商們的推薦方法之一。
具體方法是,將語(yǔ)音和數(shù)據(jù)劃分到不同的虛擬局域網(wǎng)(VLAN)中分開(kāi),讓語(yǔ)音和數(shù)據(jù)在不同的虛擬局域網(wǎng)上傳輸;將VoIP統(tǒng)一到同一個(gè)VLAN中,在同一VLAN中傳輸?shù)臄?shù)據(jù)對(duì)服務(wù)質(zhì)量(QoS)要求相同,可以簡(jiǎn)化服務(wù)質(zhì)量(QoS)設(shè)置。QoS設(shè)置簡(jiǎn)化后,用戶只需為VoIP虛擬局域網(wǎng)賦予優(yōu)先級(jí)即可。有一點(diǎn)需要注意,當(dāng)VoIP如果要通過(guò)路由器進(jìn)行傳輸,仍需要第三層服務(wù)質(zhì)量。
這種方法帶來(lái)直接的好處是,兩者分開(kāi)還可以將語(yǔ)音網(wǎng)絡(luò)從數(shù)據(jù)VLAN中隱藏起來(lái),可以有效地解決數(shù)據(jù)欺騙、DoS攻擊等,因此沒(méi)有了可能會(huì)發(fā)起攻擊的計(jì)算機(jī),你的VoIP網(wǎng)絡(luò)就會(huì)安全很多。
加固你的VoIP服務(wù)器防范竊聽(tīng)
實(shí)際上,將VoIP信號(hào)統(tǒng)一到同一個(gè)VLAN中,除了上述優(yōu)點(diǎn)之外,還可以大大降低竊聽(tīng)電話現(xiàn)象的發(fā)生。如果語(yǔ)音包被人用分析儀獲取,重放語(yǔ)音就輕而易舉。虛擬局域網(wǎng)可以阻止有人從外面發(fā)動(dòng)攻擊。
俗話說(shuō)"家賊難防",上述方法只能防范外部網(wǎng)絡(luò)電話的竊聽(tīng)行為,對(duì)內(nèi)部攻擊卻難以預(yù)防。因?yàn)閮?nèi)部人員只要將任意一個(gè)終端設(shè)備接入網(wǎng)絡(luò)之中,進(jìn)行適當(dāng)配置,披上偽裝成為VoIP虛擬局域網(wǎng)的一部分,就可以任意竊聽(tīng)。要防止這種破壞,最好的辦法就是購(gòu)買(mǎi)具有強(qiáng)加密功能的VoIP電話,而這種方法要奏效,每只電話都要有加密功能。這種防范方法造價(jià)高,其保密效果到底能提升到何種程度,都很難說(shuō)。
另外一種更為直接有效的方法是"釜底抽薪"。也就是將VoIP服務(wù)器從物理上杜絕內(nèi)部和外部攻擊者,以避免別有用心者利用偵聽(tīng)技術(shù)來(lái)截取VoIP信息。具體方法是,鎖定能夠訪問(wèn)VoIP管理界面的IP地址和MAC地址,同時(shí)在SIP網(wǎng)關(guān)前放置防火墻,以達(dá)到只允許合法用戶才可以進(jìn)入相關(guān)VoIP系統(tǒng)。
譬如說(shuō),Ingate公司的防火墻就是為基于SIP的VoIP系統(tǒng)而設(shè)計(jì)。Ingate最近宣布,如今其產(chǎn)品已通過(guò)了認(rèn)證,能夠與Avaya公司的基于SIP的產(chǎn)品協(xié)同工作。確保你實(shí)施的VoIP系統(tǒng)基于SIP,那樣以后需要安全選項(xiàng)功能時(shí)不至于只能求助于你現(xiàn)有的VoIP廠商。
有些用戶不僅使用防火墻,還對(duì)相關(guān)的VoIP數(shù)據(jù)包進(jìn)行加密。然而你可知道,僅僅加密發(fā)送出去的數(shù)據(jù)是不夠的,還必須加密所有呼叫信號(hào)。加密語(yǔ)音數(shù)據(jù)包可以防止語(yǔ)音插入。例如可以通過(guò)實(shí)時(shí)安全協(xié)議(SRTP)來(lái)加密節(jié)點(diǎn)之間的通信,通過(guò)TLS來(lái)加密整個(gè)過(guò)程。
監(jiān)視跟蹤、網(wǎng)絡(luò)冗余等手段抵御DoS攻擊
竊取VoIP帳號(hào)是黑客借助VoIP網(wǎng)絡(luò)偽裝成合法客戶,進(jìn)入企業(yè)網(wǎng)絡(luò)最常用的方法之一。為了竊取帳號(hào),黑客可以說(shuō)是不擇手段,甚至是采用暴力破解方法來(lái)攻擊某一個(gè)帳號(hào)的密碼,試圖破解控制它。這勢(shì)必會(huì)引起網(wǎng)絡(luò)流量驟增,引發(fā)DoS攻擊幾率大大增加。
通過(guò)部署合適的監(jiān)視工具和入侵檢測(cè)系統(tǒng),可以幫助你發(fā)現(xiàn)試圖攻入你的VoIP網(wǎng)絡(luò)的各種嘗試。通過(guò)仔細(xì)觀察這些工具所記錄下來(lái)的日志,有助于你及時(shí)發(fā)現(xiàn)各種數(shù)據(jù)流量的異常狀況,從而可以發(fā)現(xiàn)是否有人試圖使用暴力破解帳號(hào)進(jìn)入網(wǎng)絡(luò)。
不得不承認(rèn),無(wú)論你的防范多么嚴(yán)密,總會(huì)有攻擊的發(fā)生,因此請(qǐng)做好準(zhǔn)備應(yīng)對(duì)DoS攻擊或病毒導(dǎo)致網(wǎng)絡(luò)癱瘓,其中一個(gè)辦法就是增加冗余設(shè)計(jì),一旦現(xiàn)在運(yùn)行著的系統(tǒng)遭受攻擊或出現(xiàn)意外,可以自動(dòng)切換到另一套設(shè)備上,這樣可以最大限度地減少損失,為你發(fā)現(xiàn)并解決問(wèn)題提供充裕的時(shí)間。
VoIP網(wǎng)絡(luò)的安全性很大程度上取決于網(wǎng)絡(luò)內(nèi)設(shè)備的操作系統(tǒng)和運(yùn)行在其上的各種應(yīng)用。及時(shí)維護(hù)操作系統(tǒng)和VoIP應(yīng)用系統(tǒng)的補(bǔ)丁,對(duì)于防范來(lái)自惡意軟件或病毒的威脅是非常重要的。事實(shí)上,很多攻擊都是利用了系統(tǒng)的漏洞。這一點(diǎn)與IP網(wǎng)絡(luò)的安全防御是一致的。
制定一個(gè)計(jì)劃,把自己的角色轉(zhuǎn)換成一個(gè)黑客的身份,那么嘗試用各種辦法來(lái)攻擊你的VoIP系統(tǒng)吧,盡管找不到攻擊入口并不代表你的VoIP系統(tǒng)就是安全的,但是如果能找到入口,那么別人也可以,趕快采取辦法來(lái)堵住這個(gè)漏洞。
加固VoIP網(wǎng)絡(luò)的辦法絕不僅如此,本文只撿一些必要的幾點(diǎn)進(jìn)行介紹。然而這并不是最重要的,比這更重要的是,我們要正確面對(duì)VoIP存在的安全問(wèn)題,既要承認(rèn)它的存在,又要相信通過(guò)合理、良好的設(shè)計(jì)和良好的安全習(xí)慣,我們可以把其安全風(fēng)險(xiǎn)控制在可以接受的范圍之內(nèi)。
仿威金..始終還是成威金了..建議區(qū)分清楚..
[ 2007-03-25 03:27:58 | 作者: sun ]
這些東西惡心程度..我不想再說(shuō)了..如題寫(xiě)分析..
運(yùn)行 logo1_.exe
釋放文件
C:\WINDOWS\logo1_.exe (與威金病毒文件存放路徑和文件名相同..)
C:\WINDOWS\SYSTEM32.vxd
C:\WINDOWS\SYSTEM32.TMP
C:\WINDOWS\SYSTEM32.vxd.dat
-----------------------------------------------------
寫(xiě)入注冊(cè)表
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"logo1_.exe"="C:\WINDOWS\logo1_.exe"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"logo1_.exe"="C:\WINDOWS\logo1_.exe"-
-----------------------------------------------------
logo1_.exe 運(yùn)行后 調(diào)用 cmd.exe 執(zhí)行命令 cmd.exe /c dir X:\*.exe /s /b >>C:\WINDOWS\SYSTEM32.vxd.dat
X為某個(gè)盤(pán)..
而后感染 X 盤(pán)內(nèi)的所有 .exe 文件..
感染后同樣釋放一個(gè)同名文件 后輟為 .exe.tmp
X盤(pán)內(nèi)
system volume information
recycled
倆個(gè)文件夾內(nèi)的 .exe 文件 感染后釋放同名文件 后輟為 .exe.dat
新添加的..
X 盤(pán)內(nèi)的每個(gè)文件夾內(nèi)釋放一個(gè) _desktop.ini
是學(xué)威金 還是 本來(lái)就出自 威金作者手里呢?
同時(shí)連入網(wǎng)絡(luò)下載木馬..這次文件名換了..
分別為
C:\WINDOWS\1.exe(Dropper.LMir.agi)
C:\WINDOWS\2.exe(瑞星不報(bào))
C:\WINDOWS\3.exe(Trojan.PSW.ZhengTu.aay)
C:\WINDOWS\4.exe(Trojan.PSW.LMir.lru)
C:\WINDOWS\5.exe(Trojan.Agent.zez)
C:\WINDOWS\6.exe(Trojan.DL.Agent.blt)
C:\WINDOWS\7.exe(Trojan.PSW.LMir.ljc)
C:\WINDOWS\8.exe(Trojan.PSW.WLOnline.cv)
被感染的.exe 文件..頭部寫(xiě)入:19613字節(jié)尾部:5字節(jié)
匯編還看到些東西..
嘗試結(jié)束進(jìn)程
ravmon.exe
ravtask.exe
ravmon.exe
mcshield.exe
vstskmgr.exe
naprdmgr.exe
updaterui.exe
tbmon.exe
ravmond.exe
trojdie.kxp
frogagent.exe
rundll32.exe
system32\drivers\spoclsv.exe(反熊貓一道? 熊貓干威金 威金干熊貓精彩)
作者留下的字..還是不變..
地址=004081B7
反匯編=MOV EDX,1_.0040858C
文本字串=瑞星 卡巴 金山 諾盾 愛(ài)老虎油!!!!!!
--------------------------------------------------------------
簡(jiǎn)單說(shuō)說(shuō)變化..
⒈ 感染的速度比上次那個(gè)快多了..上次是一個(gè)盤(pán)一個(gè)盤(pán)來(lái)..這次是除系統(tǒng)盤(pán)..其他盤(pán)一次性感染..
⒉ go.exe 和 autorun.inf 飛走咯..
⒊ _desktop.ini 都跟威金 學(xué)吧..
⒋ 結(jié)束安全軟件進(jìn)程和熊貓進(jìn)程..
運(yùn)行 logo1_.exe
釋放文件
C:\WINDOWS\logo1_.exe (與威金病毒文件存放路徑和文件名相同..)
C:\WINDOWS\SYSTEM32.vxd
C:\WINDOWS\SYSTEM32.TMP
C:\WINDOWS\SYSTEM32.vxd.dat
-----------------------------------------------------
寫(xiě)入注冊(cè)表
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"logo1_.exe"="C:\WINDOWS\logo1_.exe"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"logo1_.exe"="C:\WINDOWS\logo1_.exe"-
-----------------------------------------------------
logo1_.exe 運(yùn)行后 調(diào)用 cmd.exe 執(zhí)行命令 cmd.exe /c dir X:\*.exe /s /b >>C:\WINDOWS\SYSTEM32.vxd.dat
X為某個(gè)盤(pán)..
而后感染 X 盤(pán)內(nèi)的所有 .exe 文件..
感染后同樣釋放一個(gè)同名文件 后輟為 .exe.tmp
X盤(pán)內(nèi)
system volume information
recycled
倆個(gè)文件夾內(nèi)的 .exe 文件 感染后釋放同名文件 后輟為 .exe.dat
新添加的..
X 盤(pán)內(nèi)的每個(gè)文件夾內(nèi)釋放一個(gè) _desktop.ini
是學(xué)威金 還是 本來(lái)就出自 威金作者手里呢?
同時(shí)連入網(wǎng)絡(luò)下載木馬..這次文件名換了..
分別為
C:\WINDOWS\1.exe(Dropper.LMir.agi)
C:\WINDOWS\2.exe(瑞星不報(bào))
C:\WINDOWS\3.exe(Trojan.PSW.ZhengTu.aay)
C:\WINDOWS\4.exe(Trojan.PSW.LMir.lru)
C:\WINDOWS\5.exe(Trojan.Agent.zez)
C:\WINDOWS\6.exe(Trojan.DL.Agent.blt)
C:\WINDOWS\7.exe(Trojan.PSW.LMir.ljc)
C:\WINDOWS\8.exe(Trojan.PSW.WLOnline.cv)
被感染的.exe 文件..頭部寫(xiě)入:19613字節(jié)尾部:5字節(jié)
匯編還看到些東西..
嘗試結(jié)束進(jìn)程
ravmon.exe
ravtask.exe
ravmon.exe
mcshield.exe
vstskmgr.exe
naprdmgr.exe
updaterui.exe
tbmon.exe
ravmond.exe
trojdie.kxp
frogagent.exe
rundll32.exe
system32\drivers\spoclsv.exe(反熊貓一道? 熊貓干威金 威金干熊貓精彩)
作者留下的字..還是不變..
地址=004081B7
反匯編=MOV EDX,1_.0040858C
文本字串=瑞星 卡巴 金山 諾盾 愛(ài)老虎油!!!!!!
--------------------------------------------------------------
簡(jiǎn)單說(shuō)說(shuō)變化..
⒈ 感染的速度比上次那個(gè)快多了..上次是一個(gè)盤(pán)一個(gè)盤(pán)來(lái)..這次是除系統(tǒng)盤(pán)..其他盤(pán)一次性感染..
⒉ go.exe 和 autorun.inf 飛走咯..
⒊ _desktop.ini 都跟威金 學(xué)吧..
⒋ 結(jié)束安全軟件進(jìn)程和熊貓進(jìn)程..
博客網(wǎng)站怎樣有效阻止計(jì)算機(jī)病毒滋生
[ 2007-03-25 03:27:47 | 作者: sun ]
在浩浩互聯(lián)網(wǎng)中,安全問(wèn)題越來(lái)越重要,如何維護(hù)博客用戶的利益,保障網(wǎng)站的信息安全?
日前,有消息稱,病毒可在博客日志系統(tǒng)中隨意嵌入惡意代碼,這些惡意代碼可以傳播有害程序,從而讓博客網(wǎng)站稱為病毒的源頭。在浩浩互聯(lián)網(wǎng)中,安全問(wèn)題越來(lái)越重要,如何維護(hù)博客用戶的利益,保障網(wǎng)站的信息安全?
日前筆者就此采訪了有關(guān)博客網(wǎng)站的技術(shù)負(fù)責(zé)人。
他們一致認(rèn)為網(wǎng)站安全是博客網(wǎng)站的頭等大事。為此各家博客網(wǎng)站都做了一定的預(yù)防病毒措施。技術(shù)專家介紹國(guó)內(nèi)外的博客網(wǎng)站在安全問(wèn)題上已經(jīng)進(jìn)行了多年的探索,并已經(jīng)形成一套有效的安全機(jī)制。
我們可以從以下方面略作分析:
1,JavaScript代碼由系統(tǒng)管理
博客網(wǎng)站向來(lái)倡導(dǎo)自由化,個(gè)性化,為了使用戶的頁(yè)面更加生動(dòng)有趣,博客網(wǎng)站允許用戶自行定制JavaScript特效,但為了防止用戶嵌入危險(xiǎn)的JavaScript代碼,博客網(wǎng)站為用戶提供的JavaScript代碼是由博客網(wǎng)站自己提供,用戶自身不得編寫(xiě)JavaScript代碼,而且提供的JavaScript代碼通過(guò)了安全專家的精心挑選,這樣便從根本上杜絕了惡意代碼的滋生。
2,全方位監(jiān)控回復(fù)內(nèi)容
博客網(wǎng)站采用先進(jìn)的智能識(shí)別技術(shù),其中之一便是能夠?qū)?lái)自同一IP的評(píng)論內(nèi)容進(jìn)行攔截,還可以通過(guò)先進(jìn)的算法發(fā)現(xiàn)兩篇評(píng)論的相似性,這樣便阻止了大量垃圾評(píng)論信息的產(chǎn)生,其次還通過(guò)智能學(xué)習(xí)功能,一旦發(fā)現(xiàn)評(píng)論中的惡意鏈接,就將其記錄到數(shù)據(jù)庫(kù),防止其在此的出現(xiàn)。而且博客網(wǎng)站還允許用戶自行管理評(píng)論內(nèi)容,這樣雙管齊下,有效治理了回復(fù)中的安全隱患。
3,安全的附件監(jiān)控
信息時(shí)代到來(lái),人們已經(jīng)不能僅僅滿足于文字的閱讀,而是更希望看到聲色并茂的有趣內(nèi)容,博客網(wǎng)站為了滿足用戶追求,允許用戶在自己的頁(yè)面中加入Flash等有趣的多媒體內(nèi)容,但博客網(wǎng)站一貫重視用戶的信息安全,通過(guò)大量工作,提出了一攬子解決方案,這些方案的實(shí)施既確保了用戶內(nèi)容的聲色并茂,同時(shí)也保證了安全,這些方案中比如限制用戶上載文件的類型,通過(guò)分析程序?qū)ξkU(xiǎn)的flash進(jìn)行過(guò)濾都是很有效的方法。
技術(shù)專家介紹說(shuō),博客網(wǎng)站在努力提高自身技術(shù)的同時(shí),也在努力工作在世界科技的最尖端,通過(guò)研究搜索引擎惡意鏈接分析技術(shù)(Search Engine SPAM),目前已經(jīng)自行研發(fā)了一套有效的解決方案,消除了LinkSPAM ,保證了博客網(wǎng)站整體的清新。這樣就可以讓?xiě)粼诎l(fā)表自己的文章時(shí)悠然自得,倍感愜意!
博客中國(guó)的技術(shù)專家透露,博客網(wǎng)正在努力的尋求與世界知名信息安全公司的合作,開(kāi)發(fā)了一套類似Email filter的保護(hù)系統(tǒng),稱為blog filter ,這套系統(tǒng)的背后便是整套的安全解決體系,全方位的保護(hù)用戶的安全。
日前,有消息稱,病毒可在博客日志系統(tǒng)中隨意嵌入惡意代碼,這些惡意代碼可以傳播有害程序,從而讓博客網(wǎng)站稱為病毒的源頭。在浩浩互聯(lián)網(wǎng)中,安全問(wèn)題越來(lái)越重要,如何維護(hù)博客用戶的利益,保障網(wǎng)站的信息安全?
日前筆者就此采訪了有關(guān)博客網(wǎng)站的技術(shù)負(fù)責(zé)人。
他們一致認(rèn)為網(wǎng)站安全是博客網(wǎng)站的頭等大事。為此各家博客網(wǎng)站都做了一定的預(yù)防病毒措施。技術(shù)專家介紹國(guó)內(nèi)外的博客網(wǎng)站在安全問(wèn)題上已經(jīng)進(jìn)行了多年的探索,并已經(jīng)形成一套有效的安全機(jī)制。
我們可以從以下方面略作分析:
1,JavaScript代碼由系統(tǒng)管理
博客網(wǎng)站向來(lái)倡導(dǎo)自由化,個(gè)性化,為了使用戶的頁(yè)面更加生動(dòng)有趣,博客網(wǎng)站允許用戶自行定制JavaScript特效,但為了防止用戶嵌入危險(xiǎn)的JavaScript代碼,博客網(wǎng)站為用戶提供的JavaScript代碼是由博客網(wǎng)站自己提供,用戶自身不得編寫(xiě)JavaScript代碼,而且提供的JavaScript代碼通過(guò)了安全專家的精心挑選,這樣便從根本上杜絕了惡意代碼的滋生。
2,全方位監(jiān)控回復(fù)內(nèi)容
博客網(wǎng)站采用先進(jìn)的智能識(shí)別技術(shù),其中之一便是能夠?qū)?lái)自同一IP的評(píng)論內(nèi)容進(jìn)行攔截,還可以通過(guò)先進(jìn)的算法發(fā)現(xiàn)兩篇評(píng)論的相似性,這樣便阻止了大量垃圾評(píng)論信息的產(chǎn)生,其次還通過(guò)智能學(xué)習(xí)功能,一旦發(fā)現(xiàn)評(píng)論中的惡意鏈接,就將其記錄到數(shù)據(jù)庫(kù),防止其在此的出現(xiàn)。而且博客網(wǎng)站還允許用戶自行管理評(píng)論內(nèi)容,這樣雙管齊下,有效治理了回復(fù)中的安全隱患。
3,安全的附件監(jiān)控
信息時(shí)代到來(lái),人們已經(jīng)不能僅僅滿足于文字的閱讀,而是更希望看到聲色并茂的有趣內(nèi)容,博客網(wǎng)站為了滿足用戶追求,允許用戶在自己的頁(yè)面中加入Flash等有趣的多媒體內(nèi)容,但博客網(wǎng)站一貫重視用戶的信息安全,通過(guò)大量工作,提出了一攬子解決方案,這些方案的實(shí)施既確保了用戶內(nèi)容的聲色并茂,同時(shí)也保證了安全,這些方案中比如限制用戶上載文件的類型,通過(guò)分析程序?qū)ξkU(xiǎn)的flash進(jìn)行過(guò)濾都是很有效的方法。
技術(shù)專家介紹說(shuō),博客網(wǎng)站在努力提高自身技術(shù)的同時(shí),也在努力工作在世界科技的最尖端,通過(guò)研究搜索引擎惡意鏈接分析技術(shù)(Search Engine SPAM),目前已經(jīng)自行研發(fā)了一套有效的解決方案,消除了LinkSPAM ,保證了博客網(wǎng)站整體的清新。這樣就可以讓?xiě)粼诎l(fā)表自己的文章時(shí)悠然自得,倍感愜意!
博客中國(guó)的技術(shù)專家透露,博客網(wǎng)正在努力的尋求與世界知名信息安全公司的合作,開(kāi)發(fā)了一套類似Email filter的保護(hù)系統(tǒng),稱為blog filter ,這套系統(tǒng)的背后便是整套的安全解決體系,全方位的保護(hù)用戶的安全。
win系統(tǒng)下的apache jsp服務(wù)器權(quán)限安全設(shè)置
[ 2007-03-25 03:27:26 | 作者: sun ]
談起木馬,想必70%以上的服務(wù)器管理員都是談馬色變。有多少管理員沒(méi)有被木馬騷擾過(guò),應(yīng)該很少。但作為通過(guò)80端口訪問(wèn)的服務(wù)器端程序木馬,更讓服務(wù)器管理員大為頭疼。尤其是虛擬主機(jī)的安全問(wèn)題更為嚴(yán)重。以ASP虛擬主機(jī)的情況最為嚴(yán)重,很多虛擬主機(jī)不得不大費(fèi)周折的去彌補(bǔ)。更者.Net主機(jī)的安全如果做不好,.Net的木馬功能強(qiáng)大的讓人瞠目結(jié)舌。
不僅僅是在asp,或asp.net 上,jsp也存在木馬,而且功能上也是相當(dāng)之強(qiáng)大。幾款JSP應(yīng)用服務(wù)器默認(rèn)運(yùn)行權(quán)限是ROOT,在window環(huán)境下也就是SYSTEM,要命的權(quán)限。JSP木馬強(qiáng)大到一般的服務(wù)端網(wǎng)頁(yè)后門(mén)無(wú)法比擬的程序。不僅僅是java.io.*,java.util.*,java.net.*包提供了強(qiáng)大的功能,而且在默認(rèn)權(quán)限上也是強(qiáng)大的支持。
JSP木馬如何防止我在GOOGLE上晃了半天也沒(méi)找一個(gè)好的解決方法,介紹上找到的都是Java沙箱的安全機(jī)制。java.policy的配置不是一般人能搞定的,而且不同的應(yīng)用程序都需要不同的配置感覺(jué)不是一般的麻煩了。看了一些關(guān)于java.security.acl包的應(yīng)用,頭大,也是麻煩。既然應(yīng)用到window環(huán)境下,何不嘗試使用Windows的ACL來(lái)做做文章?
拿Resin服務(wù)器做為例子:
1.建立新用戶組A,及其所屬用戶名a
2.將Resin注冊(cè)為window服務(wù),自啟動(dòng)
3.編輯resin服務(wù)屬性將啟動(dòng)用戶改為a
4.編輯Resin服務(wù)器文件夾安全屬性為A組完全控制,當(dāng)然也可以根據(jù)不同情況給予特殊設(shè)定
5.將建立的網(wǎng)站目錄給于用戶a 讀取,寫(xiě)入,刪除安全權(quán)限
6.驅(qū)除所有驅(qū)動(dòng)器其他文件夾內(nèi)everyone權(quán)限,最好可以拒絕A組訪問(wèn),讀?不行.
這時(shí),啟動(dòng)Resin服務(wù)看看JSP木馬是不是不能運(yùn)行了?沒(méi)權(quán)限! 網(wǎng)絡(luò)上現(xiàn)有的幾個(gè)JSP木馬基本上都在這里掛了,看看可以,跳出去這個(gè)圈子不可能。
執(zhí)行安全配置有幾點(diǎn)值得注意:
1.resin應(yīng)用服務(wù)器目錄名搞的復(fù)雜些,最好連你自己都不記得
2.網(wǎng)站根文件名最好也復(fù)雜些,如果你打算把它忘記那也最好不過(guò)(很多人的想象力豐富的很吶,大意不得)
3.網(wǎng)站目錄下寫(xiě)權(quán)限最好能根據(jù)需要給,能不給的絕不少給,不能不給也絕不多給
4.特別目錄下的你甚至可以用Servlet中的filter進(jìn)行過(guò)濾,別忘了全局filter的功能弓雖的很(這是對(duì)服務(wù)器管理員說(shuō)的,取服務(wù)器環(huán)境變量在這里可以完全屏蔽掉)
通過(guò)上面的一番配置,JSP通過(guò)Web程序上傳JSP后門(mén)的可能不大,即使傳上去也只能在自己的目錄里折騰,只要他跳不出目錄,而且只是低權(quán)限運(yùn)行也就無(wú)所謂他干什么了。當(dāng)然安全是相對(duì),首先保證沒(méi)問(wèn)題的首當(dāng)其沖的就是window(linux)服務(wù)器的安全,這樣從全局看,這臺(tái)jsp服務(wù)器是安全的。
apache設(shè)置類似
不僅僅是在asp,或asp.net 上,jsp也存在木馬,而且功能上也是相當(dāng)之強(qiáng)大。幾款JSP應(yīng)用服務(wù)器默認(rèn)運(yùn)行權(quán)限是ROOT,在window環(huán)境下也就是SYSTEM,要命的權(quán)限。JSP木馬強(qiáng)大到一般的服務(wù)端網(wǎng)頁(yè)后門(mén)無(wú)法比擬的程序。不僅僅是java.io.*,java.util.*,java.net.*包提供了強(qiáng)大的功能,而且在默認(rèn)權(quán)限上也是強(qiáng)大的支持。
JSP木馬如何防止我在GOOGLE上晃了半天也沒(méi)找一個(gè)好的解決方法,介紹上找到的都是Java沙箱的安全機(jī)制。java.policy的配置不是一般人能搞定的,而且不同的應(yīng)用程序都需要不同的配置感覺(jué)不是一般的麻煩了。看了一些關(guān)于java.security.acl包的應(yīng)用,頭大,也是麻煩。既然應(yīng)用到window環(huán)境下,何不嘗試使用Windows的ACL來(lái)做做文章?
拿Resin服務(wù)器做為例子:
1.建立新用戶組A,及其所屬用戶名a
2.將Resin注冊(cè)為window服務(wù),自啟動(dòng)
3.編輯resin服務(wù)屬性將啟動(dòng)用戶改為a
4.編輯Resin服務(wù)器文件夾安全屬性為A組完全控制,當(dāng)然也可以根據(jù)不同情況給予特殊設(shè)定
5.將建立的網(wǎng)站目錄給于用戶a 讀取,寫(xiě)入,刪除安全權(quán)限
6.驅(qū)除所有驅(qū)動(dòng)器其他文件夾內(nèi)everyone權(quán)限,最好可以拒絕A組訪問(wèn),讀?不行.
這時(shí),啟動(dòng)Resin服務(wù)看看JSP木馬是不是不能運(yùn)行了?沒(méi)權(quán)限! 網(wǎng)絡(luò)上現(xiàn)有的幾個(gè)JSP木馬基本上都在這里掛了,看看可以,跳出去這個(gè)圈子不可能。
執(zhí)行安全配置有幾點(diǎn)值得注意:
1.resin應(yīng)用服務(wù)器目錄名搞的復(fù)雜些,最好連你自己都不記得
2.網(wǎng)站根文件名最好也復(fù)雜些,如果你打算把它忘記那也最好不過(guò)(很多人的想象力豐富的很吶,大意不得)
3.網(wǎng)站目錄下寫(xiě)權(quán)限最好能根據(jù)需要給,能不給的絕不少給,不能不給也絕不多給
4.特別目錄下的你甚至可以用Servlet中的filter進(jìn)行過(guò)濾,別忘了全局filter的功能弓雖的很(這是對(duì)服務(wù)器管理員說(shuō)的,取服務(wù)器環(huán)境變量在這里可以完全屏蔽掉)
通過(guò)上面的一番配置,JSP通過(guò)Web程序上傳JSP后門(mén)的可能不大,即使傳上去也只能在自己的目錄里折騰,只要他跳不出目錄,而且只是低權(quán)限運(yùn)行也就無(wú)所謂他干什么了。當(dāng)然安全是相對(duì),首先保證沒(méi)問(wèn)題的首當(dāng)其沖的就是window(linux)服務(wù)器的安全,這樣從全局看,這臺(tái)jsp服務(wù)器是安全的。
apache設(shè)置類似
識(shí)別常見(jiàn)Web應(yīng)用安全漏洞 有效防止入侵
[ 2007-03-25 03:27:00 | 作者: sun ]
在Internet大眾化及Web技術(shù)飛速演變的今天,在線安全所面臨的挑戰(zhàn)日益嚴(yán)峻。伴隨著在線信息和服務(wù)的可用性的提升,以及基子Web的攻擊和破壞的增長(zhǎng),安全風(fēng)險(xiǎn)達(dá)到了前所未有的高度。由于眾多安全工作集中在網(wǎng)絡(luò)本身上面,Web應(yīng)用程序幾乎被遺忘了。也許這是因?yàn)閼?yīng)用程序過(guò)去常常是在一臺(tái)計(jì)算機(jī)上運(yùn)行的獨(dú)立程序,如果這臺(tái)計(jì)算機(jī)安全的話,那么應(yīng)用程序就是安全的。如今,情況大不一樣了,Web應(yīng)用程序在多種不同的機(jī)器上運(yùn)行:客戶端、Web服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器和應(yīng)用服務(wù)器。而且,因?yàn)樗麄円话憧梢宰屗械娜耸褂茫赃@些應(yīng)用程序成為了眾多攻擊活動(dòng)的后臺(tái)旁路。
由于Web服務(wù)器提供了幾種不同的方式將請(qǐng)求轉(zhuǎn)發(fā)給應(yīng)用服務(wù)器,并將修改過(guò)的或新的網(wǎng)頁(yè)發(fā)回給最終用戶,這使得非法闖入網(wǎng)絡(luò)變得更加容易。
而且,許多程序員不知道如何開(kāi)發(fā)安全的應(yīng)用程序。他們的經(jīng)驗(yàn)也許是開(kāi)發(fā)獨(dú)立應(yīng)用程序或Intranet Web應(yīng)用程序,這些應(yīng)用程序沒(méi)有考慮到在安全缺陷被利用時(shí)可能會(huì)出現(xiàn)災(zāi)難性后果。
其次,許多Web應(yīng)用程序容易受到通過(guò)服務(wù)器、應(yīng)用程序和內(nèi)部已開(kāi)發(fā)的代碼進(jìn)行的攻擊。這些攻擊行動(dòng)直接通過(guò)了周邊防火墻安全措施,因?yàn)槎丝?0或443(SSL,安全套接字協(xié)議層)必須開(kāi)放,以便讓?xiě)?yīng)用程序正常運(yùn)行。Web應(yīng)用程序攻擊包括對(duì)應(yīng)用程序本身的DoS(拒絕服務(wù))攻擊、改變網(wǎng)頁(yè)內(nèi)容以及盜走企業(yè)的關(guān)鍵信息或用戶信息等。
總之,Web應(yīng)用攻擊之所以與其他攻擊不同,是因?yàn)樗鼈兒茈y被發(fā)現(xiàn),而且可能來(lái)自任何在線用戶,甚至是經(jīng)過(guò)驗(yàn)證的用戶。迄今為止,該方面尚未受到重視,因?yàn)槠髽I(yè)用戶主要使用防火墻和入侵檢測(cè)解決方案來(lái)保護(hù)其網(wǎng)絡(luò)的安全,而防火墻和入侵檢測(cè)解決方案發(fā)現(xiàn)不了Web攻擊行動(dòng)。
常見(jiàn)的Web應(yīng)用安全漏洞
下面將列出一系列通常會(huì)出現(xiàn)的安全漏洞,并且簡(jiǎn)單解釋一下這些漏洞是如何產(chǎn)生的。
已知弱點(diǎn)和錯(cuò)誤配置
已知弱點(diǎn)包括Web應(yīng)用使用的操作系統(tǒng)和第三方應(yīng)用程序中的所有程序錯(cuò)誤或者可以被利用的漏洞。這個(gè)問(wèn)題也涉及到錯(cuò)誤配置,包含有不安全的默認(rèn)設(shè)置或管理員沒(méi)有進(jìn)行安全配置的應(yīng)用程序。一個(gè)很好的例子就是你的Web服務(wù)器被配置成可以讓任何用戶從系統(tǒng)上的任何目錄路徑通過(guò),這樣可能會(huì)導(dǎo)致泄露存儲(chǔ)在Web服務(wù)器上的一些敏感信息,如口令、源代碼或客戶信息等。
隱藏字段
在許多應(yīng)用中,隱藏的HTML格式字段被用來(lái)保存系統(tǒng)口令或商品價(jià)格。盡管其名稱如此,但這些字段并不是很隱蔽的,任何在網(wǎng)頁(yè)上執(zhí)行“查看源代碼”的人都能看見(jiàn)。許多Web應(yīng)用允許惡意的用戶修改HTML源文件中的這些字段,為他們提供了以極小成本或無(wú)需成本購(gòu)買(mǎi)商品的機(jī)會(huì)。這些攻擊行動(dòng)之所以成功,是因?yàn)榇蠖鄶?shù)應(yīng)用沒(méi)有對(duì)返回網(wǎng)頁(yè)進(jìn)行驗(yàn)證;相反,它們認(rèn)為輸入數(shù)據(jù)和輸出數(shù)據(jù)是一樣的。
后門(mén)和調(diào)試漏洞
開(kāi)發(fā)人員常常建立一些后門(mén)并依靠調(diào)試來(lái)排除應(yīng)用程序的故障。在開(kāi)發(fā)過(guò)程中這樣做可以,但這些安全漏洞經(jīng)常被留在一些放在Internet上的最終應(yīng)用中。一些常見(jiàn)的后門(mén)使用戶不用口令就可以登錄或者訪問(wèn)允許直接進(jìn)行應(yīng)用配置的特殊URL。
跨站點(diǎn)腳本編寫(xiě)
一般來(lái)說(shuō),跨站點(diǎn)編寫(xiě)腳本是將代碼插入由另一個(gè)源發(fā)送的網(wǎng)頁(yè)之中的過(guò)程。利用跨站點(diǎn)編寫(xiě)腳本的一種方式是通過(guò)HTML格式,將信息帖到公告牌上就是跨站點(diǎn)腳本編寫(xiě)的一個(gè)很好范例。惡意的用戶會(huì)在公告牌上帖上包含有惡意的JavaScript代碼的信息。當(dāng)用戶查看這個(gè)公告牌時(shí),服務(wù)器就會(huì)發(fā)送HTML與這個(gè)惡意的用戶代碼一起顯示。客戶端的瀏覽器會(huì)執(zhí)行該代碼,因?yàn)樗J(rèn)為這是來(lái)自Web服務(wù)器的有效代碼。
參數(shù)篡改
參數(shù)篡改包括操縱URL字符串,以檢索用戶以其他方式得不到的信息。訪問(wèn)Web應(yīng)用的后端數(shù)據(jù)庫(kù)是通過(guò)常常包含在URL中的SQL調(diào)用來(lái)進(jìn)行的。惡意的用戶可以操縱SQL代碼,以便將來(lái)有可能檢索一份包含所有用戶、口令、信用卡號(hào)的清單或者儲(chǔ)存在數(shù)據(jù)庫(kù)中的任何其他數(shù)據(jù)。
更改cookie
更改cookie指的是修改存儲(chǔ)在cookie中的數(shù)據(jù)。網(wǎng)站常常將一些包括用戶ID、口令、帳號(hào)等的cookie存儲(chǔ)到用戶系統(tǒng)上。通過(guò)改變這些值,惡意的用戶就可以訪問(wèn)不屬于他們的帳戶。攻擊者也可以竊取用戶的cookie并訪問(wèn)用戶的帳戶,而不必輸入ID和口令或進(jìn)行其他驗(yàn)證。
輸入信息控制
輸入信息檢查包括能夠通過(guò)控制由CGI腳本處理的HTML格式中的輸入信息來(lái)運(yùn)行系統(tǒng)命令。例如,使用CGI腳本向另一個(gè)用戶發(fā)送信息的形式可以被攻擊者控制來(lái)將服務(wù)器的口令文件郵寄給惡意的用戶或者刪除系統(tǒng)上的所有文件。
緩沖區(qū)溢出
緩沖區(qū)溢出是惡意的用戶向服務(wù)器發(fā)送大量數(shù)據(jù)以使系統(tǒng)癱瘓的典型攻擊手段。該系統(tǒng)包括存儲(chǔ)這些數(shù)據(jù)的預(yù)置緩沖區(qū)。如果所收到的數(shù)據(jù)量大于緩沖區(qū),則部分?jǐn)?shù)據(jù)就會(huì)溢出到堆棧中。如果這些數(shù)據(jù)是代碼,系統(tǒng)隨后就會(huì)執(zhí)行溢出到堆棧上的任何代碼。Web應(yīng)用緩沖區(qū)溢出攻擊的典型例子也涉及到HTML文件。如果HTML文件上的一個(gè)字段中的數(shù)據(jù)足夠的大,它就能創(chuàng)造一個(gè)緩沖器溢出條件。
直接訪問(wèn)瀏覽
直接訪問(wèn)瀏覽指直接訪問(wèn)應(yīng)該需要驗(yàn)證的網(wǎng)頁(yè)。沒(méi)有正確配置的Web應(yīng)用程序可以讓惡意的用戶直接訪問(wèn)包括有敏感信息的URL或者使提供收費(fèi)網(wǎng)頁(yè)的公司喪失收入。
Web應(yīng)用安全兩步走
Web應(yīng)用攻擊能夠給企業(yè)的財(cái)產(chǎn)、資源和聲譽(yù)造成重大破壞。雖然Web應(yīng)用增加了企業(yè)受攻擊的危險(xiǎn),但有許多方法可以幫助減輕這一危險(xiǎn)。首先,必須教育開(kāi)發(fā)人員了解安全編碼方法。僅此項(xiàng)步驟就會(huì)消除大部分Web應(yīng)用的安全問(wèn)題。其次,堅(jiān)持跟上所有廠商的最新安全補(bǔ)丁程序。如果不對(duì)已知的缺陷進(jìn)行修補(bǔ),和特洛伊木馬一樣,攻擊者就能很容易地利用你的Web應(yīng)用程序穿過(guò)防火墻訪問(wèn)Web服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、應(yīng)用服務(wù)器等等。將這兩項(xiàng)步驟結(jié)合起來(lái),就會(huì)大大減少Web應(yīng)用受到攻擊的風(fēng)險(xiǎn)。同時(shí)管理人員必須采取嚴(yán)格措施,以保證不讓任何東西從這些漏洞中溜過(guò)去
由于Web服務(wù)器提供了幾種不同的方式將請(qǐng)求轉(zhuǎn)發(fā)給應(yīng)用服務(wù)器,并將修改過(guò)的或新的網(wǎng)頁(yè)發(fā)回給最終用戶,這使得非法闖入網(wǎng)絡(luò)變得更加容易。
而且,許多程序員不知道如何開(kāi)發(fā)安全的應(yīng)用程序。他們的經(jīng)驗(yàn)也許是開(kāi)發(fā)獨(dú)立應(yīng)用程序或Intranet Web應(yīng)用程序,這些應(yīng)用程序沒(méi)有考慮到在安全缺陷被利用時(shí)可能會(huì)出現(xiàn)災(zāi)難性后果。
其次,許多Web應(yīng)用程序容易受到通過(guò)服務(wù)器、應(yīng)用程序和內(nèi)部已開(kāi)發(fā)的代碼進(jìn)行的攻擊。這些攻擊行動(dòng)直接通過(guò)了周邊防火墻安全措施,因?yàn)槎丝?0或443(SSL,安全套接字協(xié)議層)必須開(kāi)放,以便讓?xiě)?yīng)用程序正常運(yùn)行。Web應(yīng)用程序攻擊包括對(duì)應(yīng)用程序本身的DoS(拒絕服務(wù))攻擊、改變網(wǎng)頁(yè)內(nèi)容以及盜走企業(yè)的關(guān)鍵信息或用戶信息等。
總之,Web應(yīng)用攻擊之所以與其他攻擊不同,是因?yàn)樗鼈兒茈y被發(fā)現(xiàn),而且可能來(lái)自任何在線用戶,甚至是經(jīng)過(guò)驗(yàn)證的用戶。迄今為止,該方面尚未受到重視,因?yàn)槠髽I(yè)用戶主要使用防火墻和入侵檢測(cè)解決方案來(lái)保護(hù)其網(wǎng)絡(luò)的安全,而防火墻和入侵檢測(cè)解決方案發(fā)現(xiàn)不了Web攻擊行動(dòng)。
常見(jiàn)的Web應(yīng)用安全漏洞
下面將列出一系列通常會(huì)出現(xiàn)的安全漏洞,并且簡(jiǎn)單解釋一下這些漏洞是如何產(chǎn)生的。
已知弱點(diǎn)和錯(cuò)誤配置
已知弱點(diǎn)包括Web應(yīng)用使用的操作系統(tǒng)和第三方應(yīng)用程序中的所有程序錯(cuò)誤或者可以被利用的漏洞。這個(gè)問(wèn)題也涉及到錯(cuò)誤配置,包含有不安全的默認(rèn)設(shè)置或管理員沒(méi)有進(jìn)行安全配置的應(yīng)用程序。一個(gè)很好的例子就是你的Web服務(wù)器被配置成可以讓任何用戶從系統(tǒng)上的任何目錄路徑通過(guò),這樣可能會(huì)導(dǎo)致泄露存儲(chǔ)在Web服務(wù)器上的一些敏感信息,如口令、源代碼或客戶信息等。
隱藏字段
在許多應(yīng)用中,隱藏的HTML格式字段被用來(lái)保存系統(tǒng)口令或商品價(jià)格。盡管其名稱如此,但這些字段并不是很隱蔽的,任何在網(wǎng)頁(yè)上執(zhí)行“查看源代碼”的人都能看見(jiàn)。許多Web應(yīng)用允許惡意的用戶修改HTML源文件中的這些字段,為他們提供了以極小成本或無(wú)需成本購(gòu)買(mǎi)商品的機(jī)會(huì)。這些攻擊行動(dòng)之所以成功,是因?yàn)榇蠖鄶?shù)應(yīng)用沒(méi)有對(duì)返回網(wǎng)頁(yè)進(jìn)行驗(yàn)證;相反,它們認(rèn)為輸入數(shù)據(jù)和輸出數(shù)據(jù)是一樣的。
后門(mén)和調(diào)試漏洞
開(kāi)發(fā)人員常常建立一些后門(mén)并依靠調(diào)試來(lái)排除應(yīng)用程序的故障。在開(kāi)發(fā)過(guò)程中這樣做可以,但這些安全漏洞經(jīng)常被留在一些放在Internet上的最終應(yīng)用中。一些常見(jiàn)的后門(mén)使用戶不用口令就可以登錄或者訪問(wèn)允許直接進(jìn)行應(yīng)用配置的特殊URL。
跨站點(diǎn)腳本編寫(xiě)
一般來(lái)說(shuō),跨站點(diǎn)編寫(xiě)腳本是將代碼插入由另一個(gè)源發(fā)送的網(wǎng)頁(yè)之中的過(guò)程。利用跨站點(diǎn)編寫(xiě)腳本的一種方式是通過(guò)HTML格式,將信息帖到公告牌上就是跨站點(diǎn)腳本編寫(xiě)的一個(gè)很好范例。惡意的用戶會(huì)在公告牌上帖上包含有惡意的JavaScript代碼的信息。當(dāng)用戶查看這個(gè)公告牌時(shí),服務(wù)器就會(huì)發(fā)送HTML與這個(gè)惡意的用戶代碼一起顯示。客戶端的瀏覽器會(huì)執(zhí)行該代碼,因?yàn)樗J(rèn)為這是來(lái)自Web服務(wù)器的有效代碼。
參數(shù)篡改
參數(shù)篡改包括操縱URL字符串,以檢索用戶以其他方式得不到的信息。訪問(wèn)Web應(yīng)用的后端數(shù)據(jù)庫(kù)是通過(guò)常常包含在URL中的SQL調(diào)用來(lái)進(jìn)行的。惡意的用戶可以操縱SQL代碼,以便將來(lái)有可能檢索一份包含所有用戶、口令、信用卡號(hào)的清單或者儲(chǔ)存在數(shù)據(jù)庫(kù)中的任何其他數(shù)據(jù)。
更改cookie
更改cookie指的是修改存儲(chǔ)在cookie中的數(shù)據(jù)。網(wǎng)站常常將一些包括用戶ID、口令、帳號(hào)等的cookie存儲(chǔ)到用戶系統(tǒng)上。通過(guò)改變這些值,惡意的用戶就可以訪問(wèn)不屬于他們的帳戶。攻擊者也可以竊取用戶的cookie并訪問(wèn)用戶的帳戶,而不必輸入ID和口令或進(jìn)行其他驗(yàn)證。
輸入信息控制
輸入信息檢查包括能夠通過(guò)控制由CGI腳本處理的HTML格式中的輸入信息來(lái)運(yùn)行系統(tǒng)命令。例如,使用CGI腳本向另一個(gè)用戶發(fā)送信息的形式可以被攻擊者控制來(lái)將服務(wù)器的口令文件郵寄給惡意的用戶或者刪除系統(tǒng)上的所有文件。
緩沖區(qū)溢出
緩沖區(qū)溢出是惡意的用戶向服務(wù)器發(fā)送大量數(shù)據(jù)以使系統(tǒng)癱瘓的典型攻擊手段。該系統(tǒng)包括存儲(chǔ)這些數(shù)據(jù)的預(yù)置緩沖區(qū)。如果所收到的數(shù)據(jù)量大于緩沖區(qū),則部分?jǐn)?shù)據(jù)就會(huì)溢出到堆棧中。如果這些數(shù)據(jù)是代碼,系統(tǒng)隨后就會(huì)執(zhí)行溢出到堆棧上的任何代碼。Web應(yīng)用緩沖區(qū)溢出攻擊的典型例子也涉及到HTML文件。如果HTML文件上的一個(gè)字段中的數(shù)據(jù)足夠的大,它就能創(chuàng)造一個(gè)緩沖器溢出條件。
直接訪問(wèn)瀏覽
直接訪問(wèn)瀏覽指直接訪問(wèn)應(yīng)該需要驗(yàn)證的網(wǎng)頁(yè)。沒(méi)有正確配置的Web應(yīng)用程序可以讓惡意的用戶直接訪問(wèn)包括有敏感信息的URL或者使提供收費(fèi)網(wǎng)頁(yè)的公司喪失收入。
Web應(yīng)用安全兩步走
Web應(yīng)用攻擊能夠給企業(yè)的財(cái)產(chǎn)、資源和聲譽(yù)造成重大破壞。雖然Web應(yīng)用增加了企業(yè)受攻擊的危險(xiǎn),但有許多方法可以幫助減輕這一危險(xiǎn)。首先,必須教育開(kāi)發(fā)人員了解安全編碼方法。僅此項(xiàng)步驟就會(huì)消除大部分Web應(yīng)用的安全問(wèn)題。其次,堅(jiān)持跟上所有廠商的最新安全補(bǔ)丁程序。如果不對(duì)已知的缺陷進(jìn)行修補(bǔ),和特洛伊木馬一樣,攻擊者就能很容易地利用你的Web應(yīng)用程序穿過(guò)防火墻訪問(wèn)Web服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、應(yīng)用服務(wù)器等等。將這兩項(xiàng)步驟結(jié)合起來(lái),就會(huì)大大減少Web應(yīng)用受到攻擊的風(fēng)險(xiǎn)。同時(shí)管理人員必須采取嚴(yán)格措施,以保證不讓任何東西從這些漏洞中溜過(guò)去
簡(jiǎn)單十大步驟 保護(hù)IIS Web服務(wù)器安全
[ 2007-03-25 03:26:46 | 作者: sun ]
通過(guò)下面 10 步來(lái)保護(hù) IIS:
1.為IIS 應(yīng)用程序和數(shù)據(jù)專門(mén)安裝一個(gè)NTFS 設(shè)備。如果有可能,不要允許IUSER(或其它任何匿名用戶名)去訪問(wèn)任何其它設(shè)備。如果應(yīng)用程序因?yàn)槟涿脩魺o(wú)法訪問(wèn)其它設(shè)備上的程序而出了問(wèn)題,馬上使用Sysinternals 的FileMon 檢測(cè)出哪個(gè)文件無(wú)法訪問(wèn),并吧這個(gè)程序轉(zhuǎn)移到IIS 設(shè)備上。如果無(wú)法做到這些,就允許IUSER 訪問(wèn)且只能訪問(wèn)這個(gè)文件。
2.在設(shè)備上設(shè)置NTFS 權(quán)限:
Developers = Full(所有權(quán)限)
IUSER = Read and execute only(讀和執(zhí)行權(quán)限)
System and admin = Full(所有權(quán)限)
3.使用一個(gè)軟件_blank">防火墻,確認(rèn)沒(méi)有終端用戶能夠訪問(wèn) IIS 計(jì)算機(jī)上的除了 80 端口之外的其它端口。
4.使用Microsoft 工具鎖定計(jì)算機(jī):IIS Lockdown和UrlScan.
5.啟用IIS 事件日志。除了使用IIS 事件日志之外,如果有可能的話,盡量也對(duì)_blank">防火墻啟用事件日志。
6.把日志文件從默認(rèn)的存儲(chǔ)位置移走,并保證對(duì)它們的備份。為日志文件建立一個(gè)重復(fù)的拷貝,以確保這個(gè)放在第二位置的拷貝是可用的。
7.在計(jì)算機(jī)上啟用Windows 審核,因?yàn)楫?dāng)我們?cè)噲D去追蹤那些攻擊者的行為的時(shí)候,我們總是缺少足夠的數(shù)據(jù)。通過(guò)使用審核日志,甚至有可能擁有一個(gè)腳本來(lái)進(jìn)行可疑行為的審核,這個(gè)腳本隨后會(huì)向管理員發(fā)送一個(gè)報(bào)告。這聽(tīng)起來(lái)好像有點(diǎn)走極端了,不過(guò)如果對(duì)你的組織來(lái)說(shuō)安全性非常重要的話,這樣做是最好的選擇。建立審核制度來(lái)報(bào)告任何失敗帳戶登錄行為。另外,同IIS日志文件一樣,把它的默認(rèn)存儲(chǔ)位置(c:\winnt\system32\config\secevent.log)改到另外一個(gè)地方,并確保它有一個(gè)備份和一個(gè)重復(fù)的拷貝。
8.一般來(lái)說(shuō),盡你所能的查找安全方面的文章(從不同的地方),并按照它們進(jìn)行實(shí)踐。在IIS和安全實(shí)踐方面,它們說(shuō)的通常被你懂得的要好一些,而且不要只信服其他人(比如說(shuō)我)告訴你的東西。
9.訂閱一份IIS 缺陷列表郵件,并堅(jiān)持按時(shí)對(duì)它進(jìn)行閱讀。其中一個(gè)列表是Internet Security Systems(Internet 安全系統(tǒng))的X-Force Alerts and Advisories
10.最后,確保你定期的對(duì)Windows 進(jìn)行了更新,并檢驗(yàn)補(bǔ)丁是否被成功的安裝了。
像“偷竊者”一樣思考網(wǎng)站的安全策略
[ 2007-03-25 03:26:36 | 作者: sun ]
當(dāng)人們上網(wǎng)瀏覽時(shí),他們會(huì)通過(guò)網(wǎng)頁(yè)上的信息獲取一些機(jī)密信息么?IT安全專家提醒公司在網(wǎng)站上發(fā)布信息時(shí)需要慎重,否則將可能給黑客或商業(yè)間諜以可乘之機(jī)。針對(duì)企業(yè)網(wǎng)站安全性問(wèn)題,專家們提供了一些建議。
周密考慮
Natick公司負(fù)責(zé)數(shù)據(jù)安全系統(tǒng)的總裁Sandy Sherizen建議說(shuō),負(fù)責(zé)公司網(wǎng)站內(nèi)容的管理員應(yīng)該學(xué)習(xí)"像偷竊者一樣進(jìn)行思考",這里所指的偷竊者,是指試圖竊取公司信息或搜集商業(yè)機(jī)密的黑客或商業(yè)間諜。公司網(wǎng)站上一些看上去并不重要的信息片段,一旦被偷竊者匯集并歸納,其后果可能導(dǎo)致公司內(nèi)部機(jī)構(gòu)設(shè)置、戰(zhàn)略合作伙伴關(guān)系、核心客戶等重要信息被泄露。
Sherizen指出:維護(hù)公司網(wǎng)站的安全不僅僅只是網(wǎng)站管理員和公共關(guān)系部門(mén)的責(zé)任。在網(wǎng)站貼出任何信息之前,公司的IT安全人員應(yīng)該從安全性角度對(duì)信息內(nèi)容進(jìn)行審核。畢竟,他們的職責(zé)正是檢查存在哪些技術(shù)弱點(diǎn),并采用適當(dāng)方式防止破壞產(chǎn)生。換句話說(shuō),專業(yè)的IT安全人員已經(jīng)被訓(xùn)練成"像偷竊者一樣思考問(wèn)題"了。
具備責(zé)任意識(shí)
隨著新的責(zé)任法律的實(shí)施(例如:薩班斯-奧克斯利法案(Sarbanes-Oxley Act),金融服務(wù)現(xiàn)代化法案(Gramm-Leach Bliley Act)等),Sherizen提醒說(shuō):網(wǎng)站上被疏忽的安全問(wèn)題可能導(dǎo)致公司必須承擔(dān)相應(yīng)的法律責(zé)任。尤其是安全問(wèn)題涉及到與公司密切聯(lián)系的供應(yīng)鏈和商業(yè)合作伙伴,或者涉及到公司網(wǎng)站收集的客戶信息時(shí)。
Sherizen引用了一個(gè)法律個(gè)案進(jìn)行說(shuō)明。當(dāng)某人登錄A公司網(wǎng)站后,由于該網(wǎng)站缺乏充分的安全防護(hù),使他能夠利用A公司網(wǎng)站入侵到B公司的信息系統(tǒng),并可能采取更進(jìn)一步的破壞活動(dòng)。B公司以受到損害為由起訴A公司并取得勝訴,盡管具體實(shí)施入侵活動(dòng)的是作為第三者的黑客。
"最小特權(quán)原則"
互聯(lián)網(wǎng)安全企業(yè)RedSiren負(fù)責(zé)產(chǎn)品策略的副總裁Nick Brigman建議:公司網(wǎng)站應(yīng)該積極采用"最小特權(quán)原則"(rule of least-privilege)。一方面必須確保賦予使用者"必不可少"的功能操作,另一方面需要警惕IT安全管理的執(zhí)行。他指出:首先應(yīng)該為公司網(wǎng)站確定目標(biāo)和使用權(quán)限。如果公司設(shè)立網(wǎng)站的目標(biāo)僅僅在于吸引更多的客戶關(guān)注,把他們導(dǎo)向銷售團(tuán)隊(duì),那么不需要將公司的內(nèi)部信息公布在網(wǎng)站上。 Brigman進(jìn)一步解釋說(shuō),過(guò)多的信息可能會(huì)泄露公司的商業(yè)機(jī)密。
RedSiren公司為客戶提供了一項(xiàng)名為"公開(kāi)信息偵察"(public information reconnaissance)的服務(wù),它能夠在互聯(lián)網(wǎng)上搜索任何找得到的、與客戶有關(guān)的公開(kāi)訊息。Brigman說(shuō):"通常說(shuō)來(lái),只要多花費(fèi)一些時(shí)間,就能夠獲取到想要的信息。甚至一些僅供內(nèi)部參考的網(wǎng)頁(yè)也可能被搜獲,因?yàn)檫@些網(wǎng)頁(yè)被不經(jīng)意的上載。即便是公司網(wǎng)站并未提供這些網(wǎng)頁(yè)鏈接的情況下,只需利用Google或其他搜索引擎強(qiáng)大的索引功能,便能進(jìn)行相關(guān)的信息查找和利用"。
Brigman強(qiáng)調(diào)說(shuō)某些信息決不應(yīng)該張貼在全球信息網(wǎng)上,即便公司認(rèn)為已經(jīng)采取了充分的安全防范,并將使用者的訪問(wèn)權(quán)限制在極小的特權(quán)范圍內(nèi)。諸如戰(zhàn)略計(jì)劃、未來(lái)銷售策略、以及與合作伙伴談判的相關(guān)信息,都應(yīng)該受到嚴(yán)格的安全保護(hù)。
信息技術(shù)和工程服務(wù)公司Anteon負(fù)責(zé)Fairfax本地安全的主管Ray Donahue認(rèn)為,公司對(duì)自己的網(wǎng)站內(nèi)容進(jìn)行審查的同時(shí),需要留意其主要供貨商的網(wǎng)站,了解他們是如何對(duì)你的公司進(jìn)行描述。站在你的商業(yè)伙伴角度上考慮,他們或許認(rèn)為通過(guò)網(wǎng)站宣布其新的戰(zhàn)略合作,可能造成極好的廣告宣傳效應(yīng);然而,如果商業(yè)伙伴的網(wǎng)站缺乏充分的安全防范,那些通過(guò)互聯(lián)網(wǎng)傳播的信息很可能被黑客利用。一旦黑客了解到你的公司正在使用哪種軟件系統(tǒng)或網(wǎng)絡(luò)設(shè)備,他們將試圖利用系統(tǒng)或網(wǎng)絡(luò)的安全漏洞對(duì)該公司發(fā)起攻擊。
Caesar, Rivise,Bernstein,Cohen & Pokotilow律師事務(wù)所的合伙人兼知識(shí)產(chǎn)權(quán)法律師Barry Stein指出,如果公司的網(wǎng)站內(nèi)容缺乏嚴(yán)格審核,公司將面臨法律后果和潛在的財(cái)產(chǎn)損失。因此,需要盡可能小心的避免公司商業(yè)機(jī)密的泄露,并考慮專利權(quán)問(wèn)題。他強(qiáng)調(diào),由于互聯(lián)網(wǎng)具有全球性,可申請(qǐng)發(fā)明專利的方案其詳細(xì)內(nèi)容如果泄漏;如果此前沒(méi)有申請(qǐng)專利,那么該方案有可能失去獲得國(guó)外專利權(quán)的機(jī)會(huì)。
避免電子郵件地址泄露重要信息
公司在網(wǎng)站上張貼信息時(shí),最普遍也是最危險(xiǎn)的情況是使用"詳情請(qǐng)與某人聯(lián)系"的電子郵件地址。Nick Brigman提醒說(shuō):不法者可以通過(guò)直接使用網(wǎng)站上公開(kāi)的電子郵件名稱,輕易獲取到他們想要的信息。通常,惡意垃圾郵件制造者正是利用這些網(wǎng)站上公布的郵件地址和掩碼地址進(jìn)行垃圾郵件散布。這些地址和名稱信息也可能被心存惡意的黑客利用,通過(guò)偽造電子郵件進(jìn)行蠕蟲(chóng)或其他病毒的傳播。
Brigman同時(shí)建議:避開(kāi)這種潛在危險(xiǎn)的一個(gè)方法是利用Web表單(Web form),取代用戶與公司內(nèi)部電子郵件系統(tǒng)的直接聯(lián)系方式。
Ray Donahue建議:公司需要對(duì)他們網(wǎng)站上公布的其他聯(lián)系方式進(jìn)行測(cè)試。例如:如果公司在網(wǎng)站上公布了一個(gè)用于解答用戶問(wèn)題的電話號(hào)碼,那么需要確定的是,負(fù)責(zé)回答該電話線路的工作人員應(yīng)該清楚哪些信息是用于共享的。警惕那些心懷惡意的詢問(wèn)者,期望借此機(jī)會(huì)竊取公司內(nèi)部重要信息和客戶資料,或者從事其他破壞活動(dòng)。
避免泄露基礎(chǔ)設(shè)施的相關(guān)信息
IT技術(shù)顧問(wèn)公司Razorfish的技術(shù)負(fù)責(zé)人Ray Velez指出:一些公司錯(cuò)誤地將URL公布在網(wǎng)站上,這可能導(dǎo)致與之相關(guān)的應(yīng)用服務(wù)器類型或主機(jī)信息被泄露。例如:舊版Sun One應(yīng)用服務(wù)器的URL里包含一個(gè)標(biāo)準(zhǔn)的目錄,在URL中命名為NASAPP。 Velez建議應(yīng)該移除這個(gè)目錄。
此外,Nick Brigman還指出Web制作者一個(gè)經(jīng)常性的錯(cuò)誤操作,即直接從公司網(wǎng)絡(luò)上擷取一個(gè)圖標(biāo)或文檔,將它們放置在網(wǎng)頁(yè)中。"這種錯(cuò)誤的操作方法,使文件名、系統(tǒng)名、甚至文件結(jié)構(gòu)等重要信息都可能通過(guò)數(shù)據(jù)被泄露。一旦不法者捕獲到認(rèn)為有用的信息,他們將利用工具和網(wǎng)狀功能,實(shí)施更進(jìn)一步的入侵并獲取更多的信息。"
從html/asp/jsp/php原始文件中刪除技術(shù)評(píng)論
Ray Velez解釋這一做法是考慮到程序開(kāi)發(fā)者的相關(guān)技術(shù)評(píng)論可能泄露某些重要信息,如你正在運(yùn)行的技術(shù)類型,及其破解之道。這些技術(shù)評(píng)論可能會(huì)出現(xiàn)在終端用戶的瀏覽器中。Velez提醒說(shuō),黑客通常喜歡瀏覽訊息留言板或相關(guān)的貼文,因此他們很清楚最新發(fā)布的安全補(bǔ)丁用于修復(fù)何種漏洞。這種隱患的存在,無(wú)論對(duì)未進(jìn)行最新補(bǔ)丁升級(jí)的公司或者個(gè)人來(lái)說(shuō),都意味著將面臨被攻擊的可能。因此,必須警惕黑客試圖利用這些"開(kāi)發(fā)者"的技術(shù)評(píng)論作為破解網(wǎng)站安全防護(hù)的指南。
此外,那些看上去仿佛只是由于技術(shù)故障而出現(xiàn)的錯(cuò)誤消息應(yīng)該避免被暴露。因?yàn)檫@些錯(cuò)誤消息將顯示代碼中存在的弱點(diǎn),并會(huì)泄露技術(shù)基礎(chǔ)的相關(guān)信息。針對(duì)這個(gè)問(wèn)題,Velez建議替換404狀態(tài)碼和其他40x錯(cuò)誤訊息,采用能夠讓用戶更容易了解,并且不會(huì)透露基礎(chǔ)技術(shù)信息的錯(cuò)誤提示頁(yè)。
在網(wǎng)站上使用非編輯模式的文檔和圖標(biāo)
SwiftView公司產(chǎn)品部經(jīng)理Glenn Widener指出,網(wǎng)站上不妥當(dāng)?shù)男畔⒐挤绞揭部赡苁艿焦簟_@是由于以原格式(如:Word、Visio、AutoCAD)存儲(chǔ)的文檔或圖標(biāo)不受數(shù)據(jù)篡改驗(yàn)證(tamper-proof)的保護(hù);此外,Adobe Acrobat writing軟件的任何使用者都可以對(duì)PDF文件進(jìn)行篡改或編輯。考慮到防止數(shù)據(jù)篡改的安全措施可能錯(cuò)綜復(fù)雜并且耗廢大量時(shí)間,Glenn Widener建議網(wǎng)站上公布的文檔或圖標(biāo)盡可能使用PCL、HPGL、TIFF、JPG等通用格式,從而避免受到惡意篡改或編輯。
針對(duì)PCL格式,Widener建議:公司允許業(yè)務(wù)合作伙伴能夠?qū)σ环輼I(yè)務(wù)計(jì)劃的文本進(jìn)行抽取,但不能對(duì)信息進(jìn)行任何形式的編輯。業(yè)務(wù)合作伙伴能夠使用任何形式的閱讀器(如:SwiftView's)對(duì)文本進(jìn)行查看,選擇和打印。
由于PCL格式具備良好的安全性,因此它在金融領(lǐng)域得到廣泛運(yùn)用,如:抵押銀行通常采取PCL格式進(jìn)行機(jī)密文檔的傳送。
樹(shù)立安全意識(shí)
"這是我們從客戶那里聽(tīng)到的一個(gè)觀念,如今我們把它運(yùn)用到自己的市場(chǎng)策略中,"Nick Brigman說(shuō)。911事件之后,人們逐漸樹(shù)立起更強(qiáng)的安全意識(shí)。需要緊記的是,對(duì)網(wǎng)站上可能被利用的信息應(yīng)嚴(yán)格審查。有些重要信息沒(méi)有直接出現(xiàn)在網(wǎng)站上,但并不表明這些信息不會(huì)被竊取。網(wǎng)站可能正是重要信息被泄露的一個(gè)漏洞。因此,對(duì)網(wǎng)站內(nèi)容進(jìn)行審查至關(guān)重要。如果公司的IT部門(mén)不能對(duì)網(wǎng)站內(nèi)容提供專業(yè)的安全保護(hù),那么就有必要聘請(qǐng)專業(yè)的第三方來(lái)履行這個(gè)安全責(zé)任。
ASP木馬Webshell的安全防范解決辦法
[ 2007-03-25 03:26:24 | 作者: sun ]
注意:本文所講述之設(shè)置方法與環(huán)境:適用于Microsoft Windows 2000 Server/Win2003 SERVER | IIS5.0/IIS6.0
1、首先我們來(lái)看看一般ASP木馬、Webshell所利用的ASP組件有那些?我們以海洋木馬為列:
<object runat="server" id="ws" scope="page" classid="clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8">
</object>
<object runat="server" id="ws" scope="page" classid="clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B">
</object>
<object runat="server" id="net" scope="page" classid="clsid:093FF999-1EA0-4079-9525-9614C3504B74">
</object>
<object runat="server" id="net" scope="page" classid="clsid:F935DC26-1CF0-11D0-ADB9-00C04FD58A0B">
</object>
<object runat="server" id="fso" scope="page" classid="clsid:0D43FE01-F093-11CF-8940-00A0C9054228">
</object>
shellStr="Shell"
applicationStr="Application"
if cmdPath="wscriptShell"
set sa=server.createObject(shellStr&"."&applicationStr)
set streamT=server.createObject("adodb.stream")
set domainObject = GetObject("WinNT://.")
以上是海洋中的相關(guān)代碼,從上面的代碼我們不難看出一般ASP木馬、Webshell主要利用了以下幾類ASP組件:
① WScript.Shell (classid:72C24DD5-D70A-438B-8A42-98424B88AFB8)
② WScript.Shell.1 (classid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B)
③ WScript.Network (classid:093FF999-1EA0-4079-9525-9614C3504B74)
④ WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
⑤ FileSystem Object (classid:0D43FE01-F093-11CF-8940-00A0C9054228)
⑥ Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
⑦ Shell.applicaiton....
hehe,這下我們清楚了危害我們WEB SERVER IIS的最罪魁禍?zhǔn)资钦l(shuí)了!!開(kāi)始操刀,come on...
2:解決辦法:
① 刪除或更名以下危險(xiǎn)的ASP組件:
WScript.Shell、WScript.Shell.1、Wscript.Network、Wscript.Network.1、adodb.stream、Shell.application
開(kāi)始------->運(yùn)行--------->Regedit,打開(kāi)注冊(cè)表編輯器,按Ctrl+F查找,依次輸入以上Wscript.Shell等組件名稱以及相應(yīng)的ClassID,然后進(jìn)行刪除或者更改名稱(這里建議大家更名,如果有部分網(wǎng)頁(yè)ASP程序利用了上面的組件的話呢,只需在將寫(xiě)ASP代碼的時(shí)候用我們更改后的組件名稱即可正常使用。當(dāng)然如果你確信你的ASP程序中沒(méi)有用到以上組件,還是直
接刪除心中踏實(shí)一些^_^,按常規(guī)一般來(lái)說(shuō)是不會(huì)做到以上這些組件的。刪除或更名后,iisreset重啟IIS后即可升效。)
[注意:由于Adodb.Stream這個(gè)組件有很多網(wǎng)頁(yè)中將用到,所以如果你的服務(wù)器是開(kāi)虛擬主機(jī)的話,建議酢情處理。]
② 關(guān)于 File System Object (classid:0D43FE01-F093-11CF-8940-00A0C9054228)即常說(shuō)的FSO的安全問(wèn)題,如果您的服務(wù)器必需要用到FSO的話,(部分虛擬主機(jī)服務(wù)器一般需開(kāi)FSO功能)可以參照本人的另一篇關(guān)于FSO安全解決辦法的文章:Microsoft Windows 2000 Server FSO 安全隱患解決辦法。如果您確信不要用到的話,可以直接反注冊(cè)此組件即可。
③ 直接反注冊(cè)、卸載這些危險(xiǎn)組件的方法:(實(shí)用于不想用①及②類此類煩瑣的方法)
卸載wscript.shell對(duì)象,在cmd下或直接運(yùn)行:regsvr32 /u %windir%\system32\WSHom.Ocx
卸載FSO對(duì)象,在cmd下或直接運(yùn)行:regsvr32.exe /u %windir%\system32\scrrun.dll
卸載stream對(duì)象,在cmd下或直接運(yùn)行: regsvr32 /s /u "C:\Program Files\Common Files\System\ado\msado15.dll"
如果想恢復(fù)的話只需要去掉 /U 即可重新再注冊(cè)以上相關(guān)ASP組件例如:regsvr32.exe %windir%\system32\scrrun.dll
④ 關(guān)于Webshell中利用set domainObject = GetObject("WinNT://.")來(lái)獲取服務(wù)器的進(jìn)程、服務(wù)以及用戶等信息的防范,大家可以將服務(wù)中的Workstation[提供網(wǎng)絡(luò)鏈結(jié)和通訊]即Lanmanworkstation服務(wù)停止并禁用即可。此處理后,Webshell顯示進(jìn)程處將為空白。
3 按照上1、2方法對(duì)ASP類危險(xiǎn)組件進(jìn)行處理后,用阿江的asp探針測(cè)試了一下,"服務(wù)器CPU詳情"和"服務(wù)器操作系統(tǒng)"根本查不到,內(nèi)容為空白的。再用海洋測(cè)試Wsript.Shell來(lái)運(yùn)行cmd命令也是提示Active無(wú)法創(chuàng)建對(duì)像。大家就都可以再也不要為ASP木馬危害到服務(wù)器系統(tǒng)的安全而擔(dān)擾了。
當(dāng)然服務(wù)器安全遠(yuǎn)遠(yuǎn)不至這些,這里為大家介紹的僅僅是本人在處理ASP木馬、Webshell上的一些心得體會(huì)。在下一篇中將為大家介紹如何簡(jiǎn)簡(jiǎn)單單的防止別人在服務(wù)器上執(zhí)行如net user之類的命令,防溢出類攻擊得到cmdshell,以及執(zhí)行添加用戶、改NTFS設(shè)置權(quán)限到終端登錄等等的最簡(jiǎn)單有效的防范方法。
本文作者:李泊林/LeeBolin 資深系統(tǒng)工程師、專業(yè)網(wǎng)絡(luò)安全顧問(wèn)。 已成功為國(guó)內(nèi)多家大中型企業(yè),ISP服務(wù)商提供了完整的網(wǎng)絡(luò)安全解決方案。尤其擅長(zhǎng)于整體網(wǎng)絡(luò)安全方案的設(shè)計(jì)、大型網(wǎng)絡(luò)工程的策劃、以及提供完整的各種服務(wù)器系列安全整體解決方案。
計(jì)算機(jī)病毒傳染的一般過(guò)程
[ 2007-03-25 03:26:12 | 作者: sun ]
在系統(tǒng)運(yùn)行時(shí), 病毒通過(guò)病毒載體即系統(tǒng)的外存儲(chǔ)器進(jìn)入系統(tǒng)的內(nèi)存儲(chǔ)器, 常駐內(nèi)存。該病毒在系統(tǒng)內(nèi)存中監(jiān)視系統(tǒng)的運(yùn)行, 當(dāng)它發(fā)現(xiàn)有攻擊的目標(biāo)存在并滿足條件時(shí),便從內(nèi)存中將自身存入被攻擊的目標(biāo), 從而將病毒進(jìn)行傳播。 而病毒利用系統(tǒng)INT 13H讀寫(xiě)磁盤(pán)的中斷又將其寫(xiě)入系統(tǒng)的外存儲(chǔ)器軟盤(pán)或硬盤(pán)中, 再感染其他系統(tǒng)。
可執(zhí)行文件感染病毒后又怎樣感染新的可執(zhí)行文件?
可執(zhí)行文件.COM或.EXE感染上了病毒, 例如黑色星期五病毒, 它駐入內(nèi)存的條件是在執(zhí)行被傳染的文件時(shí)進(jìn)入內(nèi)存的。
一旦進(jìn)入內(nèi)存,便開(kāi)始監(jiān)視系統(tǒng)的運(yùn)行。當(dāng)它發(fā)現(xiàn)被傳染的目標(biāo)時(shí), 進(jìn)行如下操作:
(1)首先對(duì)運(yùn)行的可執(zhí)行文件特定地址的標(biāo)識(shí)位信息進(jìn)行判斷是否已感染了病毒;
(2)當(dāng)條件滿足, 利用INT 13H將病毒鏈接到可執(zhí)行文件的首部或尾部或中間, 并存大磁盤(pán)中;
(3)完成傳染后, 繼續(xù)監(jiān)視系統(tǒng)的運(yùn)行, 試圖尋找新的攻擊目標(biāo)。
操作系統(tǒng)型病毒是怎樣進(jìn)行傳染的?
正常的PC DOS啟動(dòng)過(guò)程是:
(1)加電開(kāi)機(jī)后進(jìn)入系統(tǒng)的檢測(cè)程序并執(zhí)行該程序?qū)ο到y(tǒng)的基本設(shè)備進(jìn)行檢測(cè);
(2)檢測(cè)正常后從系統(tǒng)盤(pán)0面0道1扇區(qū)即邏輯0扇區(qū)讀入Boot引導(dǎo)程序到內(nèi)存的0000: 7C00處;
(3)轉(zhuǎn)入Boot執(zhí)行之;
(4)Boot判斷是否為系統(tǒng)盤(pán), 如果不是系統(tǒng)盤(pán)則提示;
non-system disk or disk error
Replace and strike any key when ready
否則, 讀入IBM BIO.COM和IBM DOS.COM兩個(gè)隱含文件;
(5)執(zhí)行IBM BIO.COM和IBM DOS.COM兩個(gè)隱含文件, 將COMMAND.COM裝入內(nèi)存;
(6)系統(tǒng)正常運(yùn)行, DOS啟動(dòng)成功。
如果系統(tǒng)盤(pán)已感染了病毒, PC DOS的啟動(dòng)將是另一番景象, 其過(guò)程為:
(1)將Boot區(qū)中病毒代碼首先讀入內(nèi)存的0000: 7C00處;
(2)病毒將自身全部代碼讀入內(nèi)存的某一安全地區(qū)、常駐內(nèi)存, 監(jiān)視系統(tǒng)的運(yùn)行;
(3)修改INT 13H中斷服務(wù)處理程序的入口地址, 使之指向病毒控制模塊并執(zhí)行之。因?yàn)槿魏我环N病毒要感染軟盤(pán)或者硬盤(pán),都離不開(kāi)對(duì)磁盤(pán)的讀寫(xiě)操作, 修改INT13H中斷服務(wù)程序的入口地址是一項(xiàng)少不了的操作;
(4)病毒程序全部被讀入內(nèi)存后才讀入正常的Boot內(nèi)容到內(nèi)存的0000: 7C00處, 進(jìn)行正常的啟動(dòng)過(guò)程;
(5)病毒程序伺機(jī)等待隨時(shí)準(zhǔn)備感染新的系統(tǒng)盤(pán)或非系統(tǒng)盤(pán)。
如果發(fā)現(xiàn)有可攻擊的對(duì)象, 病毒要進(jìn)行下列的工作:
(1)將目標(biāo)盤(pán)的引導(dǎo)扇區(qū)讀入內(nèi)存, 對(duì)該盤(pán)進(jìn)行判別是否傳染了病毒;
(2)當(dāng)滿足傳染條件時(shí), 則將病毒的全部或者一部分寫(xiě)入Boot區(qū), 把正常的磁盤(pán)的引導(dǎo)區(qū)程序?qū)懭氪疟P(pán)特寫(xiě)位置;
(3)返回正常的INT 13H中斷服務(wù)處理程序, 完成了對(duì)目標(biāo)盤(pán)的傳染。
可執(zhí)行文件感染病毒后又怎樣感染新的可執(zhí)行文件?
可執(zhí)行文件.COM或.EXE感染上了病毒, 例如黑色星期五病毒, 它駐入內(nèi)存的條件是在執(zhí)行被傳染的文件時(shí)進(jìn)入內(nèi)存的。
一旦進(jìn)入內(nèi)存,便開(kāi)始監(jiān)視系統(tǒng)的運(yùn)行。當(dāng)它發(fā)現(xiàn)被傳染的目標(biāo)時(shí), 進(jìn)行如下操作:
(1)首先對(duì)運(yùn)行的可執(zhí)行文件特定地址的標(biāo)識(shí)位信息進(jìn)行判斷是否已感染了病毒;
(2)當(dāng)條件滿足, 利用INT 13H將病毒鏈接到可執(zhí)行文件的首部或尾部或中間, 并存大磁盤(pán)中;
(3)完成傳染后, 繼續(xù)監(jiān)視系統(tǒng)的運(yùn)行, 試圖尋找新的攻擊目標(biāo)。
操作系統(tǒng)型病毒是怎樣進(jìn)行傳染的?
正常的PC DOS啟動(dòng)過(guò)程是:
(1)加電開(kāi)機(jī)后進(jìn)入系統(tǒng)的檢測(cè)程序并執(zhí)行該程序?qū)ο到y(tǒng)的基本設(shè)備進(jìn)行檢測(cè);
(2)檢測(cè)正常后從系統(tǒng)盤(pán)0面0道1扇區(qū)即邏輯0扇區(qū)讀入Boot引導(dǎo)程序到內(nèi)存的0000: 7C00處;
(3)轉(zhuǎn)入Boot執(zhí)行之;
(4)Boot判斷是否為系統(tǒng)盤(pán), 如果不是系統(tǒng)盤(pán)則提示;
non-system disk or disk error
Replace and strike any key when ready
否則, 讀入IBM BIO.COM和IBM DOS.COM兩個(gè)隱含文件;
(5)執(zhí)行IBM BIO.COM和IBM DOS.COM兩個(gè)隱含文件, 將COMMAND.COM裝入內(nèi)存;
(6)系統(tǒng)正常運(yùn)行, DOS啟動(dòng)成功。
如果系統(tǒng)盤(pán)已感染了病毒, PC DOS的啟動(dòng)將是另一番景象, 其過(guò)程為:
(1)將Boot區(qū)中病毒代碼首先讀入內(nèi)存的0000: 7C00處;
(2)病毒將自身全部代碼讀入內(nèi)存的某一安全地區(qū)、常駐內(nèi)存, 監(jiān)視系統(tǒng)的運(yùn)行;
(3)修改INT 13H中斷服務(wù)處理程序的入口地址, 使之指向病毒控制模塊并執(zhí)行之。因?yàn)槿魏我环N病毒要感染軟盤(pán)或者硬盤(pán),都離不開(kāi)對(duì)磁盤(pán)的讀寫(xiě)操作, 修改INT13H中斷服務(wù)程序的入口地址是一項(xiàng)少不了的操作;
(4)病毒程序全部被讀入內(nèi)存后才讀入正常的Boot內(nèi)容到內(nèi)存的0000: 7C00處, 進(jìn)行正常的啟動(dòng)過(guò)程;
(5)病毒程序伺機(jī)等待隨時(shí)準(zhǔn)備感染新的系統(tǒng)盤(pán)或非系統(tǒng)盤(pán)。
如果發(fā)現(xiàn)有可攻擊的對(duì)象, 病毒要進(jìn)行下列的工作:
(1)將目標(biāo)盤(pán)的引導(dǎo)扇區(qū)讀入內(nèi)存, 對(duì)該盤(pán)進(jìn)行判別是否傳染了病毒;
(2)當(dāng)滿足傳染條件時(shí), 則將病毒的全部或者一部分寫(xiě)入Boot區(qū), 把正常的磁盤(pán)的引導(dǎo)區(qū)程序?qū)懭氪疟P(pán)特寫(xiě)位置;
(3)返回正常的INT 13H中斷服務(wù)處理程序, 完成了對(duì)目標(biāo)盤(pán)的傳染。
