安全文摘                     

 安全漏洞                     

 安全访谈                     

 黑客攻防                     

 安全软件                     

　文章出处:亚洲资源网

　 在第13期我们谈了局域网中入侵服务器的方式以及防范对策，这次笔者想根据自己的经验谈谈互联网对本地服务器的入侵。常见的互联网入侵无非有以下几种：1.IPC入侵；2.利用系统的安全漏洞溢出管理员进行入侵；3.DDoS攻击，也叫分布式拒绝服务。如果你的系统遇到了三种情况之一，而且被扫描软件扫描到，那就很危险了。为了便于大家更好地理解，笔者就在模拟环境中举例讲解，请大家一定不要按照此方法入侵别人的服务器。

　　几种入侵方式

　　首先请安装Win2000系统，然后打开扫描软件X-Scan2.3，再点击“设置/扫描参数”，在出现的对话框中添入一段IP地址，如61.139.��.1—61.139.2�潰�.255，然后点击确定。继续点击“设置→扫描模块”，勾选SQL-Server弱口令、NT-Server弱口令，点击确定，再点击“开始扫描”。一会儿后，X-Scan就已经扫描完了，看看结果，有几十台电脑符合我们的要求。任意点击一IP地址如61.139.��.100，打开追捕，查看了一下该IP的具体位置以及用户名，做到心中有数，并查看一下该IP所开的端口以及所提供的服务，相关的步骤都可用X-Scan实现。收集完所有需要的信息后，就可以开始入侵了。

　　打开一个cmd窗口，输入net use \61.139.（.100ipc$ '密码' /user）'用户名'，回车，如果出现命令成功完成，那我们的电脑就和对方建立了IPC连接，再次在cmd中输入copy c�焗ackwollf.exe \61.139.��.100admin$，回车，这时我们就将木马程序Wollf.exe拷贝到了对方的系统目录下，不过最好先加一下壳（这样不容易被病毒防火墙查杀）。下一步就是启动这个黑客程序�焀inNT上面有Schedule（定时�牱�务，可利用它来启动这个程序。首先看一下对方此时的时间�熞员憔龆ê问逼舳�。输入命令net time \61.139..100，查看到对方的本地时间为23∶11，那我们就用at命令来启动它。输入at \61.139..100 23∶13 Wollf.exe�煹却�几分钟，我们就可以Telnet上去了。

　　这一次的黑客入侵发现，管理员安全意识过于薄弱，密码竟然为空。而在我国的电脑上空口令非常多见，请现在还在使用空口令的用户赶快加上密码，密码最好在8位以上，采用大小写字母加字符的组合。不要以为采用了密码就安全无忧了，请记住在理论上没有攻克不了的密码，所以一定还要定期更改密码。还有一点，SQL Server安装后将产生默认的SA用户，密码为空，黑客可以利用SQL Server客户端来进行数据库远程连接。如果被扫描到，那你的系统也就完了，它所开放的端口为1433。

　　OK，请大家再次打开X-Scan，在扫描模块中点击IIS漏洞，并设置一个C类网段，经过扫描，又发现目标主机。IIS的漏洞比较多，但笔者认为比较经典的漏洞有Unncode�煵还�现在有这种漏洞的电脑已经比较少了，但少并不代表没有，打开浏览器输入http：//IP/scripts/..%c1%1c../winnt/system32/cmd.exe﹖/c+dir+c�� 等语句试试，看见了C盘了吗?Unncode在一般情况下是不能获得管理员权限的，不过它可以下载SAM文件，在本地用LC4来进行暴力破解。SAM文件保存着Win2000的登录名和密码等许多有用的信息，在WinNT中它叫SAM_，SAM文件在Windows启动后即被锁定，无法更改、拷贝，但可使用它在WinNT的Repair中的备份文件。

　　防御办法是把主目录C：Inetpub修改成D�烮netpub，对于Inetpub目录中的Scripts，最好删除或更改文件名。因为在Scripts目录里可执行EXE文件，它可是木马运行的好地方。可在“Internet信息服务”→“默认Web站点”中进行修改，我们还可以用Iislockd这个软件来进行防范，它是IIS管理员们的好助手。

　　另外还有IDQ/IDA溢出，对于这个溢出，可用Snake IIS溢出管理员进行防护。对于用漏洞进行溢出管理员的操作，我们可以这样防护：点击“计算机管理→Internet信息服务→默认Web站点”，点击右键选择属性，在出现的默认Web站点属性窗口中单击主目录，在出现的目录中点击配置，在应用程序映射中删除.IDQ和.IDA，确定后也就补住了这个漏洞。DDoS攻击现在还不是很常见，因为它所需要的条件较高，不是每个人都可以实现的。

　　防止服务器被入侵

　　看了以上的介绍，是不是有很多感触啊?呵呵，那我们应该怎么维护好我们的服务器，防止被外部入侵呢?

　　1.Win2000 Server在默认安装情况下会安装终端服务，默认开放3389端口，如果你的用户名和密码被破解，你的电脑就被完全控制了；或者用很久以前比较流行的输入法漏洞，不过现在还有这种漏洞的电脑不多了。防范措施：删除输入法的帮助文件，设置一个“强壮”的密码。

　　2.微软的IIS（Internet Ihformation Server）经常会有漏洞，所以要及时打上IIS的补丁。对于一般的小公司，最好不要提供如Telnet、FTP等服务，减少被入侵的机会。对于现在提供Web服务的本地服务器，多采用ASP+Access的动态网页格式，那么我们就要注意数据库的存放路径问题，可将它放置在多级目录中。不要去申请免费论坛，因为现在的论坛如果配置不好，就有可能被黑客利用，如果论坛被攻破，那你的网站、系统都可能被黑掉!

　　3.建议安装了Win2000 Server的系统最好打上SP3补丁。因为SP3补丁堵住了很多以前的漏洞，并安装了网络版防火墙，不过它在每次开机的时候，系统资源占用率比较大，但对于不关机的服务器来说还是很适用的，它会阻止任何未经过认可的应用程序运行。

　　4.删除SAM文件的备份。

　　5.初级的黑客一般在入侵成功后都会犯下致命的错误，那就是删除日志文件或者事件查看器。我们可以利用留下的蛛丝马迹来查找黑客，并且每天都应该分析一下IIS为我们提供的日志记录�熆纯慈罩居形薅系愫捅黄苹档募Ｏ螅�不过那需要相当丰富的经验，但大家可以用日志分析软件来进行分析。

　　6.一般情况下最好禁用Guest账户，删除系统安装IIS后自动添加的账户。大家可以做得更巧妙一点，重新命名Administrator账户，并提供一个“强壮”的密码，再创建一个也有密码的“假”Administrator账户，让它不具备任何权限，并对它开启日志审核。不过用扫描软件还是可以很轻易知道你是不是属于管理员组的，我们可以用CA软件来克隆管理员，并把以前的管理员权限删除为Guest组，这时候再用扫描软件扫描，这台电脑就没有管理员了。

　　7.安装端口实时监测软件如Active Ports，它的最大好处在于在监视端口的同时，能把活动端口所对应的应用程序列出来。

　　8.对计算机进行全方位的立体检测，可用微软为我们提供的免费工具MBSA（Microsoft Baseline Security Analyzer，微软基准安全分析器）进行检测。

　　以上是笔者在做了一年系统管理员后的一点经验之谈，希望对你有所帮助!（四川 王耿）