TA的每日心情 | 怒 2015-9-10 15:08 |
---|
签到天数: 1 天 连续签到: 1 天 [LV.1]测试小兵
|
即使是很好的实现了TCP/IP协议,由于它本身有着一些不安全的地方,从而可以对TCP/IP网络进行攻击。这些攻击包括序列号欺骗,路由攻击,源地址欺骗和授权欺骗。本文除了介绍IP欺骗攻击方法外,还介绍怎样防止这个攻击手段。
上述攻击是建立在攻击者的计算机(包括路由)是连在INTERNET上的。这里的攻击方法是针对TCP/IP本身的缺陷的,而不是某一具体的实现。
实际上,IP 欺骗不是进攻的结果,而是进攻的手段。进攻实际上是信任关系的破坏。
IP欺骗原理
信任关系
在Unix领域中,信任关系能够很容易得到。假如在主机A和B上各有一个帐户,在使用当中会发现,在主机A上使用时需要输入在A上的相应帐户,在主机B上使用时必须输入在B上的帐户,主机A和B把你当作两个互不相关的用户,显然有些不便。为了减少这种不便,可以在主机A和主机B中建立起两个帐户的相互信任关系。在主机A和主机B上你的home目录中创建.rhosts 文件。从主机A上,在你的home目录中输入’echo ” B username ” > ~/.rhosts’ ;从主机B上,在你的home目录中输入’echo ” A username ” >~/.rhosts’ 。至此,你能毫无阻碍地使用任何以r*开头的远程登录如:rlogin,rcall,rsh等,而无口令验证的烦恼。这些命令将允许以地址为基础的验证,或者允许或者拒绝以IP地址为基础的存取服务。
这里的信任关系是基于IP地址的。
Rlogin
Rlogin 是一个简单的客户/服务器程序,它利用TCP传输。Rlogin 允许用户从一台主机登录到另一台主机上,并且,如果目标主机信任它,Rlogin 将允许在不应答口令的情况下使用目标主机上的资源。安全验证完全是基于源主机的IP 地址。因此,根据以上所举的例子,我们能利用Rlogin 来从B远程登录到A,而且不会被提示输入口令。
TCP 序列号预测
IP只是发送数据包,并且保证它的完整性。如果不能收到完整的IP数据包,IP会向源地址发送一个ICMP 错误信息,希望重新处理。然而这个包也可能丢失。由于IP是非面向连接的,所以不保持任何连接状态的信息。每个IP数据包被松散地发送出去,而不关心前一个和后一个数据包的情况。由此看出,可以对IP堆栈进行修改,在源地址和目的地址中放入任意满足要求的IP地址,也就是说,提供虚假的IP地址。
TCP提供可*传输。可*性是由数据包中的多位控制字来提供的,其中最重要的是数据序列和数据确认,分别用SYN和ACK来表示。TCP 向每一个数据字节分配一个序列号,并且可以向已成功接收的、源地址所发送的数据包表示确认(目的地址ACK 所确认的数据包序列是源地址的数据包序列,而不是自己发送的数据包序列)。ACK在确认的同时,还携带了下一个期望获得的数据序列号。显然,TCP提供的这种可*性相对于IP来说更难于愚弄。
序列编号、确认和其它标志信息
由于TCP是基于可*性的,它能够提供处理数据包丢失,重复或是顺序紊乱等不良情况的机制。实际上,通过向所传送出的所有字节分配序列编号,并且期待接收端对发送端所发出的数据提供收讫确认,TCP 就能保证可*的传送。接收端利用序列号确保数据的先后顺序,除去重复的数据包。TCP 序列编号可以看作是32位的计数器。它们从0至2^32-1 排列。每一个TCP连接(由一定的标示位来表示)交换的数据都是顺序编号的。在TCP数据包中定义序列号(SYN)的标示位位于数据段的前端。确认位(ACK)对所接收的数据进行确认,并且指出下一个期待接收的数据序列号。
TCP通过滑动窗口的概念来进行流量控制。设想在发送端发送数据的速度很快而接收端接收速度却很慢的情况下,为了保证数据不丢失,显然需要进行流量控制,协调好通信双方的工作节奏。所谓滑动窗口,可以理解成接收端所能提供的缓冲区大小。TCP利用一个滑动的窗口来告诉发送端对它所发送的数据能提供多大的缓冲区。由于窗口由16位bit所定义,所以接收端TCP 能最大提供65535个字节的缓冲。由此,可以利用窗口大小和第一个数据的序列号计算出最大可接收的数据序列号。
其它TCP标示位有RST(连接复位,Reset the connection)、PSH(压入功能,Push function)和FIN (发送者无数据,No more data from sender)。如果RST 被接收,TCP连接将立即断开。RST 通常在接收端接收到一个与当前连接不相关的数据包时被发送。有些时候,TCP模块需要立即传送数据而不能等整段都充满时再传。一个高层的进程将会触发在TCP头部的PSH标示,并且告诉TCP模块立即将所有排列好的数据发给数据接收端。FIN 表示一个应用连接结束。当接收端接收到FIN时,确认它,认为将接收不到任何数据了。
TCP序列号预测最早是由Morris对这一安全漏洞进行阐述的。他使用TCP序列号预测,即使是没有从服务器得到任何响应, 来产生一个TCP包序列。这使得他能欺骗在本地网络上的主机。
通常TCP连接建立一个包括3次握手的序列。客户选择和传输一个初始的序列号(SEQ标志)ISN C,并设置标志位SYN=1,告诉服务器它需要建立连接。服务器确认这个传输,并发送它本身的序列号ISN S,并设置标志位ACK,同时告知下一个期待获得的数据序列号是ISN=1。客户再确认它。在这三次确认后,开始传输数据。整个过程如下所示:(C:Client S:Server)
C—S: SYN(ISN C
S—C: SYN(ISN S ,ACK(ISN C
C—S: ACK(ISN S
C—S:数据 或S—C:数据
也就是说对一个会话,C必须得到ISN S确认。ISN S可能是一个随机数。
了解序数编号如何选择初始序列号和如何根据时间变化是很重要的。似乎应该有这种情况,当主机启动后序列编号初始化为1,但实际上并非如此。初始序列号是由tcp_init函数确定的。ISN每秒增加128000,如果有连接出现,每次连接将把计数器的数值增加64000。很显然,这使得用于表示ISN的32位计数器在没有连接的情况下每9.32 小时复位一次。之所以这样,是因为这样有利于最大限度地减少旧有连接的信息干扰当前连接的机会。这里运用了2MSL 等待时间的概念(不在本文讨论的范围之内)。如果初始序列号是随意选择的,那么不能保证现有序列号是不同于先前的。假设有这样一种情况,在一个路由回路中的数据包最终跳出了循环,回到了“旧有”的连接(此时其实是不同于前者的现有连接),显然会发生对现有连接的干扰。
假设一个入侵者X有一种方法,能预测ISN S。在这种情况下,他可能将下列序号送给主机T来模拟客户的真正的ISN S:
X—S: SYN(ISN X ,SRC = T
S—T: SYN(ISN S ,ACK(ISN X
X—S: ACK(ISN S ,SRC =T
尽管消息S*T并不到X,但是X能知道它的内容,因此能发送数据。如果X要对一个连接实施攻击,这个连接允许执行命令,那么另外的命令也能执行。
那么怎样产生随机的ISN?在Berkeley系统,最初的序列号变量由一个常数每秒加一产生,等到这个常数一半时,就开始一次连接。这样,如果开始了一个合法连接,并观察到一个ISN S在用,便可以计算,有很高可信度,ISN S 用在下一个连接企图。
Morris 指出,回复消息
S—T:SYN(ISN S ,ACK(ISN X
事实上并不消失,真正主机将收到它,并试图重新连接。这并不是一个严重的障碍。
Morris发现,通过模仿一个在T上的端口,并向那个端口请求一个连接,他就能产生序列溢出,从而让它看上去S*T消息丢失了。另外一个方法,可以等待知道T关机或重新启动。
下面详细的介绍一下。
Permalink Comments
详述虚拟网站的权限突破及防范November 14, 2005 at 12:00 am • Filed under 网络安全-安全防范
一.事情的经过
就今天我还在网上忙着找些CIW安全培训教材的时候,我的一个网友突然传给我一个网址http://x.x.x.x.(被我马赛克了),告诉我他现在当上了网管,网站服务内容是为企业,为个人提供收费型的虚拟空间服务,他叫我帮他检测检测他网站的安全性。我一看是一家很不错的服务空间提供网站,就满口答应了他。我想他本来就当过某黑客站点的站长,系统安全方面应该没什么大问题。
我首先进行了一些扫描port的活动,既然是朋友,又被授了合法检测权,就用不着使用SYN刺探方式,而且SYN准确性不太高。我运行了我第二个最喜欢的扫描器superscan(经过我重新配置,加入不少重要的服务port),然后扫描了一下,结果(如图1):
共开了10个端口,重要的有80,110,135,139,3389等等几个,可利用的服务不算多。从扫描的80信息显示是iis5.0,还开了一个win2k专有的远程桌面管理(port:3389),再加上端口的开放情况,现在能确定对方的系统一定是一台win2k+iis5.0,这是我比较熟悉的系统之一。
现在看来他没有对端口进行过滤,这是一个入侵者喜欢的开端。先从最基本的开始,看看能不能顺利与服务器建立空连接:
E:\>net use \\x.x.x.x\ipc$ ”" /user:”"
系统发生 53 错误。
找不到网络路径。
空链接漏洞被补上了,看来利用空链接枚举账号清单并尝试破解的想法要落空了,早就知道没这么容易。
下面再进行iis5.0的刺探吧,这个服务最复杂也最重要,所以winnt/2k的黑客很多研究都是基于这个服务的。先试试有没有idq溢出漏洞,选了好几种idq溢出点都没成功,看来网管要么删了idq映射要么给服务器打了sp3补丁,如果是打了这个补丁那么iis就不会有什么漏洞了。另一个对sp2补丁可能有效的asp溢出也试了,也没用,其它的如printer溢出就不用试了,因为那个溢出只应用到sp1。
下面进行iis扫描,我用的是xfocus安全小组开发的x-scan1.3扫描器,实践证明这个扫描器的漏洞资料库比较全面,它能扫出流光4.7扫不出的很多重要的cgi和iis等漏洞(包括打上sp2补丁包并没进行严格配置的win2k)。我把x-scan对win2k的扫描项都选上了,等了几分钟扫描终于完毕,生成检测报告,报告结果挺让我失望,没有一点问题,结合上面的扫描情况,我估计他很有可能给iis5.0打上了sp3补丁,我可不知道有什么漏洞可以突破打上最新补丁包的iis5.0,至少还没听说过打上sp3的iis5.0还有什么致命的漏洞。现在的分析结果是win2k+iis5.0+sp3。
其它方面就不太可能有漏洞了,比如登录上3389服务,看看有没有什么非系统自带的输入法,因为有些类型的输入法还是有帮助文件和URL的,比如有个旧版本的紫光输入法。
主页也没有什么漏洞。这时我朋友看我没有办法检测出漏洞入侵,非常得意,为自己的安全配置感到很放心。当从他口中得知的确是打上了win2k的最新补丁包sp3,我也放弃了继续分析下去,认为不会有什么明显漏洞了,也没有其它可利用的服务。接着他给了我开一个虚拟网站的账号,免费提供给我一个200Mb的服务空间,并且告诉我这个空间可以支持asp、php,并开放了所有权限给我(也就是说有脚本执行权)。哈,这回他得意忘形了吧。我照这个配置条件就可以拿到admin权限了。
我先用ftp 命令登录进去,的确是200Mb,完全免费,又开放所有脚本和权限,真爽。为了能更直观地表现过程,我下面全部使用CuteFTP图形界面软件xx作,下面是我上传文件的情况(见图2):
我总共计划上传两个文件,一个是win.exe,一个是temp.asp。win.exe是我精心配置的一个大小仅有几kb的木马,功能不但强大,最大的好处是目前还不被含最新病毒库的金山毒霸查杀。还有一个就是大家熟知的asp木马cmdasp.asp(我把它改名为temp.asp,这样防止过快被网管注意)。Temp.asp它不光是个特殊木马,有些时候也只能利用它才能拿到admin。
两个文件很快就上传完毕了。我们现在可以用刚上传上去的asp木马查看一下服务器的详细情况了,见图3:
顺便查查我的xhacker空间目录在什么位置,用这条命令dir/s d:\xhacker
很快得出结果:
驱动器 D 中的卷没有标签。
卷的序列号是 F00B-626E
d:\web2\xhacker 的目录
2002-06-02 19:57 6,976 win.exe
1 个文件 6,976 字节
列出所有文件:
1 个文件 6,976 字节
0 个目录 24,849,289,216 可用字节
现在知道我主页空间在服务器的绝对路径了,看到win.exe了没?这就是我刚刚传上去的木马。现在把win.exe的路径记下来,下面要用到。
再顺便看看账号情况:
D:\>net user
\\ 的用户帐户
——————————————————————————-
Guest IUSR_INTERL-4VYGJ3RM IWAM_INTERL-4VYGJ3RM
secretboy TsInternetUser
命令运行完毕,但发生一个或多个错误。
根据经验看来账号权限被他们重新配置过,不然不会出现错误。这将意味着我不能在服务器本地用net命令创建账号了。看的出这方面还是下了功夫了,连administrator默认账号都改了名了。看来我没有先尝试破解是对的,破解的成功率实在太小了。
光使用temp.asp当后门可不够保险,我决定另外开个后门。接下来我删除了temp.asp,准备运行另一个win.exe木马。怎么运行它呢,了解unicode的人都知道,有了木马在服务器的绝对路径,并且木马所在的目录有脚本可执行权限,我们就能运行它了(abc.exe是我临时copy的一个cmd.exe)。见图4
看到IE状态栏的进度条了吗?表示我们在服务器端运行了程序,速度会显的很慢,其实没必要等到进度条走完。了解web服务器程序设计原理的话,就知道我们即使按停止也没关系,因为这已经在服务器上执行了运行程序的命令。现在就可以用刚开的后门进去了。回到cmd窗口,执行命令:
telnet x.x.x.x 木马所开端口
,哈!成功进去了。现在我可以执行任何命令了,包括重启,关闭服务器,查看、上传、下载,删除等任意文件。见图5:
的确安装了php,perl等。
再在看看服务器一些情况:
D:\>net user secretboy
用户名 secretboy
全名
注释 管理计算机(域)的内置帐户
用户的注释
国家(地区)代码 000 (系统默认值)
帐户启用 Yes
帐户到期 永不
Permalink Comments
帮你检查网络安全November 14, 2005 at 12:00 am • Filed under 网络安全-安全防范
无论你是否安装了Norton AntiVirus杀毒软件,都可以登录到http://security.symantec.com/ssc ... id=cs&venid=sym页面对系统进行网络安全方面的检测。
一、系统要求
要得到这位网络安全门诊大夫的诊断,你并不需要付出什么代价,当然对浏览器的版本有一定要求,例如必须是Microsoft Internet Explorer 5.0或更高版本、Netscape 4.5或更高版本。另外,虽然使用安全门诊不要求脚本,但使用脚本可增强用户使用该站点时的体验,如果你是在客户端扫描系统,那么必须启用脚本,因为扫描时将使用ActiveX控件分析系统,
二、给系统做一次专家门诊
进入该地址后,点击“进入”按钮,进入“安全扫描”页面,点击“开始”按钮,首先会侦测本机的IP地址,然后会开始测试计算机对黑客和其他在线威胁的暴露程度,测试共分3个检测项目:
黑客暴露程度检查:测试TCP端口是否有非授权的Internet连接,主要是测试应用程序常用的端口是打开、关闭还是隐藏,检测的端口包括21(FTP)、22(SSH)、23(Telnet)、25(SMTP)、79(Finger)等。打开的端口会响应端口探查,这非常危险;关闭的端口虽然不对攻击开放,但黑客仍然可以使用关闭的端口检测到你的计算机的存在,从而可能以其为攻击目标;隐藏的端口是最安全的。
Windows漏洞检查:测试黑客是否能看见你计算机的网络标记等基本信息。
特洛伊木马检查:以特洛伊木马常用的方法尝试访问你的计算机,主要是检查木马程序常用的端口是打开、关闭还是隐藏,检测的端口包括31(Master Paradise)、41(DeepThroat)、58(Dmsetup)、146(FC Infector)、531(RASmin)等,很显然,打开的端口非常危险,因为它们对于黑客为是一条简便而轻松的通道;关闭的端口虽然不对攻击开放,但黑客仍然可以使用关闭的端口检测到你的计算机的存在,从而可能以其为攻击目标;处于隐藏状态的端口是最安全的,因为端口隐藏后,那些通过扫描Internet来寻找攻击目标的黑客将显示为不可见。
整个扫描过程大概需要3~8分钟左右的时间,检测时将会有一个进度显示在页面中。扫描结束后,我们可以查看安全扫描的结果,如图所示,很快我们就可以看到扫描的结果,同时会对如何防范已识别出的风险提出了简单的建议,这里显示的都是绿色的“√”,说明系统目前处于安全状态,假如是其他两种符号,那么就说明可能存在一定的安全隐患,如果你需要查看更详细的信息,可以点击“显示详细信息”。
Permalink Comments
个人计算机网络安全防线November 14, 2005 at 12:00 am • Filed under 网络安全-安全防范
许多人都抱怨Windows漏洞太多,有的人甚至为这一个又一个的漏洞烦恼。为此,本文简要的向您介绍怎样才能架起网络安全防线。
Permalink Comments
程序员的“十大安全技巧”November 14, 2005 at 12:00 am • Filed under 网络安全-安全防范
摘要:涉及安全问题时,有很多情况都会导致出现麻烦。您可能信任所有在您的网络上运行的代码,赋予所有用户访问重要文件的权限,并且从不费神检查您机器上的代码是否已经改变。您也可能没有安装防病毒软件,没有给您自己的代码建立安全机制,并赋予太多帐户以太多的权限。您甚至可能非常大意地使用大量内置函数从而允许恶意侵入,并且可能任凭服务器端口开着而没有任何监控措施。显然,我们还可以举出更多的例子。哪些是真正重要的问题(即,为了避免危及您的数据和系统,应立即予以关注的最危险的错误)?安全专家 Michael Howard 和 Keith Brown 提出了十条技巧来帮助您解脱困境。
Permalink Comments
修改设置打造安全的个人电脑November 14, 2005 at 12:00 am • Filed under 网络安全-安全防范
修改设置打造安全的个人电脑
1.察看本地共享资源
运行CMD输入net share,如果看到有异常的共享,那么应该关闭。但是有时你关闭共享下次开机的时候又出现了,那么你应该考虑一下,你的机器是否已经被黑客所控制了,或者中了病毒。
2.删除共享(每次输入一个)
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,……可以继续删除)
3.删除ipc$空连接
在运行内输入regedit,在注册表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 项里数值名称RestrictAnonymous的数值数据由0改为1。
4.关闭自己的139端口,ipc和RPC漏洞存在于此。
关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。
5.防止rpc漏洞
打开管理工具——服务——找到RPC(Remote Procedure Call (RPC) Locator)服务——将故障恢复中的第一次失败,第二次失败,后续失败,都设置为不操作。
XP SP2和2000 pro sp4,均不存在该漏洞。
6.445端口的关闭
修改注册表,添加一个键值
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为 0这样就ok了
7.3389的关闭
XP:我的电脑上点右键选属性–>远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。
Win2000server 开始–>程序–>管理工具–>服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。(该方法在XP同样适用)
使用2000 pro的朋友注意,网络上有很多文章说在Win2000pro 开始–>设置–>控制面板–>管理工具–>服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务,可以关闭3389,其实在2000pro 中根本不存在Terminal Services。
8.4899的防范
网络上有许多关于3389和4899的入侵方法。4899其实是一个远程控制软件所开启的服务端端口,由于这些控制软件功能强大,所以经常被黑客用来控制自己的肉鸡,而且这类软件一般不会被杀毒软件查杀,比后门还要安全。
4899不象3389那样,是系统自带的服务。需要自己安装,而且需要将服务端上传到入侵的电脑并运行服务,才能达到控制的目的。
所以只要你的电脑做了基本的安全配置,黑客是很难通过4899来控制你的。
9、禁用服务
打开控制面板,进入管理工具——服务,关闭以下服务
1.Alerter[通知选定的用户和计算机管理警报]
2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享]
3.Distributed File System[将分散的文件共享合并成一个逻辑名称,共享出去,关闭后远程计算机无法访问共享
4.Distributed Link Tracking Server[适用局域网分布式链接? ?踪客户端服务]
5.Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问]
6.IMAPI CD-Burning COM Service[管理 CD 录制]
7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性,泄露信息]
8.Kerberos Key Distribution Center[授权协议登录网络]
9.License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止]
10.Messenger[警报]
11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集]
12.Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换]
13.Network DDE DSDM[管理动态数据交换 (DDE) 网络共享]
14.Print Spooler[打印机服务,没有打印机就禁止吧]
15.Remote Desktop Help& nbsp;Session Manager[管理并控制远程协助]
16.Remote Registry[使远程计算机用户修改本地注册表]
17.Routing and Remote Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息]
18.Server[支持此计算机通过网络的文件、打印、和命名管道共享]
19.Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符]
20.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络]
21.Telnet[允许远程用户登录到此计算机并运行程序]
22.Terminal Services[允许用户以交互方式连接到远程计算机]
23.Window s Image Acquisition (WIA)[照相服务,应用与数码摄象机]
如果发现机器开启了一些很奇怪的服务,如r_server这样的服务,必须马上停止该服务,因为这完全有可能是黑客使用控制程序的服务端。
10、账号密码的安全原则
首先禁用guest帐号,将系统内建的administrator帐号改名~~(改的越复杂越好,最好改成中文的),而且要设置一个密码,最好是8位以上字母数字符号组合。 (让那些该死的黑客慢慢猜去吧~)
如果你使用的是其他帐号,最好不要将其加进administrators,如果加入administrators组,一定也要设置一个足够安全的密码,同上如果你设置adminstrator的密码时,最好在安全模式下设置,因为经我研究发现,在系统中拥有最高权限的帐号,不是正常登陆下的adminitrator帐号,因为即使有了这个帐号,同样可以登陆安全模式,将sam文件删除,从而更改系统的administrator的密码!而在安全模式下设置的administrator则不会出现这种情况,因为不知道这个administrator密码是无法进入安全模式。权限达到最大这个是密码策略:用户可以根据自己的习惯设置密码,下面是我建议的设置(关于密码安全设置,我上面已经讲了,这里不再罗嗦了。
打开管理工具.本地安全设置.密码策略
1.密码必须符合复杂要求性.启用
2.密码最小值.我设置的是8
3.密码最长使用期限.我是默认设置42天
4.密码最短使用期限0天
5.强制密码历史 记住0个密码
6.用可还原的加密来存储密码 禁用
11、本地策略:
这个很重要,可以帮助我们发现那些心存叵测的人的一举一动,还可以帮助我们将来追查黑客。
(虽然一般黑客都会在走时会清除他在你电脑中留下的痕迹,不过也有一些不小心的)
打开管理工具
找到本地安全设置.本地策略.审核策略
1.审核策略更改 成功失败
2.审核登陆事件 成功失败
3.审核对象访问 失败
4.审核跟踪过程 无审核
5.审核目录服务访问 失败
6.审核特权使用 失败
7.审核系统事件 成功失败
8.审核帐户登陆时间 成功失败
9.审核帐户管理 成功失败
&nb sp;然后再到管理工具找到
事件查看器
应用程序:右键>属性>设置日志大小上限,我设置了50mb,选择不覆盖事件
安全性:右键>属性>设置日志大小上限,我也是设置了50mb,选择不覆盖事件
系统:右键>属性>设置日志大小上限,我都是设置了50mb,选择不覆盖事件
12、本地安全策略:
打开管理工具
找到本地安全设置.本地策略.安全选项
1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要,? 但是我个人是不需要直接输入密码登陆的]
2.网络访问.不允许SAM帐户的匿名枚举 启用
3.网络访问.可匿名的共享 将后面的值删除
4.网络访问.可匿名的命名管道 将后面的值删除
5.网络访问.可远程访问的注册表路径 将后面的值删除
6.网络访问.可远程访问的注册表的子路径 将后面的值删除
7.网络访问.限制匿名访问命名管道和共享
8.帐户.(前面已经详细讲过拉 )
13、用户权限分配策略:
打开管理工具
找到本地安全设置.本地策略.用户权限分配
1.从网络访问计算机 里面一般默认有5个用户,除Admin外我们删除4个,当然,等下我们还得建一个属于自己的ID
2.从远程系统强制关机,Admin帐户也删除,一个都不留
3.拒绝从网络访问这台计算机 将ID删除
4.从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务
5.通过远端强制关机。删掉
14、终端服务配置
打开管理工具
终端服务配置
1.打开后,点连接,右键,属性,远程控制,点不允许远程控制
2.常规,加密级别,高,在使用标准Windows验证上点√!
3.网卡,将最多连接数上设置为0
4.高级,将里面的权限也删除.[我没设置]
再点服务器设置,在Active Desktop上,设置禁用,且限制每个使用一个会话
15、用户和组策略
打开管理工具
计算机管理.本地用户和组.用户;
删除Support_388945a0用户等等
只留下你更改好名字的adminisrator权限
计算机管理.本地用户和组.组
组.我们就不分组了,每必要把
16、自己动手DIY在本地策略的安全选项
1)当登陆时间用完时自动注销用户(本地) 防止黑客密码渗透.
2)登陆屏幕上不显示上次登陆名(远程)如果开放3389服务,别人登陆时,就不会残留有你登陆的用户名.让他去猜你的用户名去吧.
3)对匿名连接的额外限制
4)禁止按 alt+crtl +del(没必要)
5)允许在未登陆前关机[防止远程关机/启动、强制关机/启动]
6)只有本地登陆用户才能访问cd-rom
7)只有本地登陆用户才能访问软驱
8)取消关机原因的提示
A、打开控制面板窗口,双击“电源选项”图标,在随后出现的电源属性窗口中,进入到“高级”标签页面;
B、在该页面的“电源按钮”设置项处,将“在按下计算机电源按钮时”设置为“关机”,单击“确定”按钮,来退出设置框;
C、以后需要关机时,可以直接按下电源按键,就能直接关闭计算机了。当然,我们也能启用休眠功能键,来实现快速关机和开机;
D4、要是系统中没有启用休眠模式的话,可以在控制面板窗口中,打开电源选项,进入到休眠标签页面,并在其中将“启用休眠”选项选中就可以了。
9)禁止关机事件跟踪
开始“Start ->”运行“ Run ->输入”gpedit.msc “,在出现的窗口的左边部分,选择 ”计算机配置“(Computer Configuration )-> ”管理模板“(Administrative Templates)-> ”系统“(System),在右边窗口双击“Shutdown Event Tracker” 在出现的对话框中选择“禁止”(Disabled),点击然后“确定”(OK)保存后退出这样,你将看到类似于Windows 2000的关机窗口
端口
你在网络上冲浪,别人和你聊天,你发电子邮件,必须要有共同的协议,这个协议就是TCP/IP协议,任何网络软件的通讯都基于TCP/IP协议。如果把互联网比作公路网,电脑就是路边的房屋,_flash_software.html” frameBorder=0 width=360 scrolling=no height=300> 房屋要有门你才可以进出,TCP/IP协议规定,电脑可以有256乘以256扇门,即从0到65535号“门”,TCP/IP协议把它叫作“端口”。当你发电子邮件的时候,E-mail软件把信件送到了邮件服务器的25号端口,当你收信的时候,E-mail软件是从邮件服务器的110号端口这扇门进去取信的,你现在看到的我写的东西,是进入服务器的80端口。新安装好的个人电脑打开的端口号是139端口,你上网的时候,就是通过这个端口与外界联系的。黑客不是神仙,他也是— 通过端口进入你的电脑
通过端口进入你的电脑
黑客是怎么样进入你的电脑的呢?当然也是基于TCP/IP协议通过某个端口进入你的个人电脑的。如果你的电脑设置了共享目录,那么黑客就可以通过139端口进入你的电脑,注意!WINDOWS有个缺陷,就算你的共享目录设置了多少长的密码,几秒钟时间就可以进入你的电脑,所以,你最好不要设置共享目录,不允许别人浏览你的电脑上的资料。除了139端口以外,如果没有别的端口是开放的,黑客就不能入侵你的个人电脑。那么黑客是怎么样才会进到你的电脑中来的呢?答案是通过特洛伊木马进入你的电脑。如果你不小心运行了特洛伊木马,你的电脑的某个端口就会开放,黑客就通过这个端口进入你的电脑。举个例子,有一种典型的木马软件,叫做netspy.exe。如果你不小心运行了netspy.exe,那么它就会告诉WINDOWS,以后每次开电脑的时候都要运行它,然后,netspy.exe又在你的电脑上开了一扇“门”,“门”的编号是7306端口,如果黑客知道你的7306端口是开放的话,就可以用软件偷偷进入到你的电脑中来了。特洛伊木马本身就是为了入侵个人电脑而做的,藏在电脑中和工作的时候是很隐蔽的,它的运行和黑客的入侵,不会在电脑的屏幕上显示出任何痕迹。WINDOWS本身没有监视网络的软件,所以不借助软件,是不知道特洛伊木马的存在和黑客的入侵。
如何发现自己电脑中的木马
再以netspy.exe为例,现在知道netspy.exe打开了电脑的7306端口,要想知道自己的电脑是不是中netspy.exe,只要敲敲7306这扇“门”就可以了。你先打开C:\WINDOWS\WINIPCFG.EXE程序,找到自己的IP地址(比如你的IP地址是10.10.10.10),然后打开浏览器,在浏览器的地址栏中输入http://XX.XX.XX.XX:7306/,如果浏览器告诉你连接不上,说明你的电脑的7306端口没有开放,如果浏览器能连接上,并且在浏览器中跳出一排英文字,说的netspy.exe的版本,那么你的电脑中了netspy.exe木马了。这是最简单最直接的办法,但是需要你知道各种木马所开放的端口,奇奇已知下列端口是木马开放的:7306、7307、7308、12345、12345、12346、31337、6680、8111、9910。但是就算你熟悉了所有已知木马端口,也还是不能完全防范这些木马的,我们需要—-查找木马
进一步查找木马
奇奇曾经做了一个试验:我知道netspy.exe开放的是7306端口,于是我用工具把它的端口修改了,经过修改的木马开放的是7777端口了,你现在再用老办法是找不到netspy.exe木马了。于是我们可以用扫描自己的电脑的办法看看电脑有多少端口开放着,并且再分析这些开放的端口。
前面讲了电脑的端口是从0到65535为止,其中139端口是正常的,首先找个端口扫描器,奇奇推荐“代理猎手”,你上网以后,找到自己的IP地址,现在请关闭正在运行的网络软件,因为可能开放的端口会被误认为是木马的端口,然后让代理猎手对0到65535端口扫描,如果除了139端口以外还有其他的端口开放,那么很可能是木马造成的。
排除了139端口以外的端口,你可以进一步分析了,用浏览器进入这个端口看看,它会做出什么样的反映,你可以根据情况再判断了。
扫描这么多端口是不是很累,需要半个多小时傻等了,现在好了,我汉化了一个线程监视器,Tcpview.exe可以看电脑有什么端口是开放的,除了139端口以外,还有别的端口开放,你就可以分析了,如果判定自己的电脑中了木马,那么,你就得—-删除木马
在硬盘上删除木马
最简单的办法当然是用杀毒软件删除木马了,Netvrv病毒防护墙可以帮你删除netspy.exe和bo.exe木马,但是不能删除netbus木马。
下面就netbus木马为例讲讲删除的经过。
简单介绍一下netbus木马,netbus木马的客户端有两种,开放的都是12345端口,一种以Mring.exe为代表(472,576字节),一种以SysEdit.exe为代表(494,592字节)。
Mring.exe一旦被运行以后,Mring.exe就告诉WINDOWS,每次启动就将它运行,WINDOWS将它放在了注册表中,你可以打开C:\WINDOWS\REGEDIT.EXE进入HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run找到Mring.exe然后删除这个健值,你再到WINDOWS中找到Mring.exe删除。注意了,Mring.exe可能会被黑客改变名字,字节长度也被改变了,但是在注册表中的位置不会改变,你可以到注册表的这个位置去找。
另外,你可以找包含有“netbus”字符的可执行文件,再看字节的长度,我查过了,WINDOWS和其他的一些应用软件没有包含“netbus”字符的,被你找到的文件多半就是Mring.exe的变种。
SysEdit.exe被运行以后,并不加到WINDOWS的注册表中,也不会自动挂到其他程序中,于是有人认为这是傻瓜木马,奇奇倒认为这是最最可恶、最最阴险的木马。别的木马被加到了注册表中,你就有痕迹可查了,就连专家们认为最最凶恶的BO木马也可以轻而易举地被我们从注册表中删除。
而SysEdit.exe要是挂在其他的软件中,只要你不碰这个软件,SysEdit.exe也就不发作,一旦运行了被安装SysEdit.exe的程序,SysEdit.exe也同时启动了。奇奇在自己的电脑中做了这样一个实验,将SysEdit.exe和C:\WINDOWS\SYSTEM\Abcwin.exe捆绑起来,Abcwin.exe是智能ABC输入法,当我开启电脑到上网,只要没有打开智能ABC输入法打字聊天,SysEdit.exe也就没有被运行,你就不能进入我的12345端口,如果我什么时候想打字了,一旦启动智能ABC输入法(Abcwin.exe),那么捆绑在Abcwin.exe上的SysEdit.exe也同时被运行了,我的12345端口被打开,别人就可以黑到我的电脑中来了。同样道理,SysEdit.exe可以被捆绑到网络传呼机、信箱工具等网络工具上,甚至可以捆绑到拨号工具上,电脑中的几百的程序中,你知道会在什么地方发现它吗?所以我说这是最最阴险的木马,让人防不胜防。
有的时候知道自己中了netbus木马,特别是SysEdit.exe,能发现12345端口被开放,并且可以用netbus客户端软件进入自己的电脑,却不知道木马在什么地方。这时候,你可以检视内存,请打开C:\WINDOWS\DRWATSON.EXE,然后对内存拍照,查看“高级视图”中的“任务”标签,“程序”栏中列出的就是正在运行的程序,要是发现可疑的程序,再看“路径”栏,找到这个程序,分析它,你就知道是不是木马了。SysEdit.exe虽然可以隐藏在其他的程序后面,但是在C:\WINDOWS\DRWATSON.EXE中还是暴露了。
好了,来回顾一下,要知道自己的电脑中有没有木马,只要看看有没有可疑端口被开放,用代理猎手、Tcpview.exe都可以知道。要查找木马,一是可以到注册表的指定位置去找,二是可以查找包含相应的可执行程序,比如,被开放的端口是7306,就找包含“netspy”的可执行程序,三是检视内存,看有没有可以的程序在内存中。
你的电脑上的木马,来源有两种,一种是你自己不小心,运行了包含有木马的程序,另一种情况是,“网友”送给你“好玩”的程序。所以,你以后要小心了,要弄清楚了是什么程序再运行,安装容易排除难呀。
排除了木马以后,你就可以监视端口,—- 等待黑客的来临
悄悄等待黑客的来临
介绍两个软件,首先是NukeNabber,它是端口监视器,你告诉NukeNabber需要监视7306端口,如果有人接触这个端口,就马上报警。在别人看来,你的电脑的7306端口是开放的,但是7306不是由netspy控制了,当NukeNabber发现有人接触7306端口或者试图进入你的7306端口,马上报警,你可以在NukeNabber上面看到黑客对你做了些什么,黑客的IP地址是哪里,然后,你就可以反过来攻击黑客了。当NukeNabber监视139的时候,你就可以知道谁在用IP炸弹炸你。另外提一下,如果NukeNabber告诉你不能监视7306端口,说这个端口已经被占用了,那么说明你的电脑中存在netspy了。第二个软件就是Tcpview.exe,这个软件是线程监视器,你可以用它来查看有多少端口是开放的,谁在和你通讯,对方的IP地址和端口分别是什么。
Permalink Comments
如何使您的Windows系统更安全November 14, 2005 at 12:00 am • Filed under 网络安全-安全防范
目前越来越多的用户开始使用基于WindowsNT构架的Windows2000和Windowsxp操作系统,那如何使您的操作系统变得更加安全可靠呢?笔者归纳了以下几点供大家参考。
一、采用NTFS格式来分区 NTFS的优势:
1. 可为用户分配磁盘限额。所谓磁盘限额就是指对系统的每一位用户都分配一定数量的磁盘空间,并且可以选择在用户超出此磁盘空间的时候,是提出警告还是拒绝他使用更多的磁盘空间。右击NTFS格式分区,在快捷菜单中选择“属性”命令,点击“配额”选项卡,选择“启用配额管理”和 “拒绝将磁盘空间给超过配额限制的用户”两个复选项,然后可以为该卷上的新用户选择默认配额限制和警告等级,这里就不多说了。
2.压缩或加密文件/文件夹。如果选择了NTFS文件系统,那么不需要第三方工具即可实现压缩和加密功能。右击某文件夹,从“属性” 窗口中选择“高级”选项页,打开图5窗口,可以看到这里有一个“压缩或加密属性”小节,这就不用多说了吧?直接勾选即可,不过遗憾的是无法同时选择两项。
3.NTFS格式的分区在安全性方面更加有保障。
二、合理管理您的账号
1.停用Guest 帐号 在计算机管理的用户里面把guest帐号停用掉,任何时候都不允许guest帐号登陆系统。为了保险起见,最好给 guest 加一个复杂的密码,你可以打开记事本,在里面输入一串包含特殊字符,数字,字母的长字符串,然后把它作为guest帐号的密码拷进去。
2.创建2个管理员用帐号 虽然这点看上去和上面这点有些矛盾,但事实上是服从上面的规则的。 创建一个一般权限帐号用来收信以及处理一些日常事物,另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作,以方便管理。
3.合理设置密码不要使用简单的数字,字母作为管理员密码例如123456,abc… 密码的设置原则是数字和字母或者符号相结合。
三、停用一些不必要的Windows服务
Alerter 一般家用计算机根本不需要传送或接收计算机系统管理来的警示(Administrative Alerts) 建议:停用
Application Layer Gateway Service 如果你不使用因特网联机共享 (ICS) 提供多台计算机的因特网存取和因特网联机防火墙 (ICF) 软件你可以关掉 建议:手动
Application Management (应用程序管理) 软件安装变更的服务 建议: 手动
Automatic Updates 允许 Windows 于背景自动联机之下,到 Microsoft Servers 自动检查和下载更新修补程序 建议:停用
Background Intelligent Transfer Service 使用闲置的网络频宽来传输数据。 建议: 停用
ClipBook (剪贴簿) 启用剪贴簿检视器以储存信息并与远程计算机共享。如果这个服务被停止,剪贴簿检视器将无法与远程计算机共享信息。建议: 停用
COM+ Event System (COM+ 事件系统) 有些程序可能用到 COM+ 组件,像 BootVis 的 optimize system 应用,如事件检视器内显示的 DCOM 没有启用 建议: 手动
COM+ System Application 管理 COM+ 组件的设定及追踪。如果停止此服务,大部分的 COM+ 组件将无法适当?#092;作。如果此服务被停用,任何明确依存它的服务将无法启动。 建议: 手动
Computer Browser (计算机浏览器) 一般家庭用计算机不需要,除非你的计算机应用在区网之上. 建议: 停用
Cryptographic Services 简单的说就是 Windows Hardware Quality Lab (WHQL)微软的一种认证,如果你有使用 Automatic Updates ,那你可能需要这个 建议: 手动
DHCP Client (DHCP 客户端) 使用 DSL/Cable 、ICS 和 IPSEC 的人都需要这个来指定动态 IP 建议: 手动
Distributed Link Tracking Client (分布式连结追踪客户端) 维护区网内不同计算机之间的档案连结 建议: 停用
Distributed Transaction Coordinator (分布式交易协调器) 一般家庭用计算机用不太到,除非你启用的 Message Queuing 建议: 停用
DNS Client (DNS 客户端) 解析并快取这台计算机的网域名称系统 (DNS) 名称,IPSEC 需要用到建议: 手动
Error Reporting Service 微软的应用程序错误报告 建议: 停用
Event Log (事件记录文件) 启用 Windows 为主的程序和组件所发出的事件讯息可以在事件检视器中检视 建议: 自动
Fast User Switching Compatibility 在多使用者环境下提供应用程序管理,另外像是注销画面中的切换使用者功能 建议: 手动
Help and Support 让说明及支持中心能够在这台计算机上执行。如果这个服务停止,将无法使用说明及支持中心。 建议: 停用
Human Interface Device Access 启用对人性化接口装置 (HID) 的通用输入存取,HID 装置启动并维护对这个键盘、远程控制、以及其它多媒体装置上事先定义的快捷纽的使用。建议: 停用
IMAPI CD-Burning COM Service XP 整合的 CD-R 和 CD-RW 光驱上拖放的烧录功能,可惜比不上烧录软件,关掉还可以加快 Nero 的开启速度 建议:停用
Indexing Service (索引服务) 本机和远程计算机的索引内容和档案属性; 透过弹性的查询语言提供快速档案存取。 建议:停用
Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS) 如果你不使用因特网联机共享(ICS)或是 XP 内含的因特网联机防火墙(ICF)你可以关掉 建议: 手动
IPSEC Services (IP 安全性服务) 协助保护经由网络传送的数据。IPSec 为一重要环节,为虚拟私人网络 (VPN) 中提供安全性,而 VPN 允许组织经由因特网安全地传输数据。在某些网域上也许需要,但是一般使用者大部分是不太需要的 建议: 手动
Logical Disk Manager (逻辑磁盘管理员) 磁盘管理员用来动态管理磁盘,如显示磁盘可用空间等和使用 Microsoft Management Console(MMC)主控台的功能 建议: 自动
Logical Disk Manager Administrative Service (逻辑磁盘管理员系统管理服务) 设定硬盘磁盘及磁盘区,服务只执行设定程序然后就停止。 建议: 手动
Messenger 允许网络之间互相传送提示讯息的功能,如 net send 功能,如不想被骚扰话可关了 建议:停用
MS Software Shadow Copy Provider 管理磁盘区阴影复制服务所取得的以软件为主的磁盘区阴影复制。如果停止这个服务,就无法管理以软件为主的磁盘区阴影复制. 建议:停用
Net Logon 一般家用计算机不太可能去用到登入网域审查这个服务 建议:停用
NetMeeting Remote Desktop Sharing (NetMeeting 远程桌面共享) 让经过授权的使用者可以使用 NetMeeting 透过公司近端内部网络,由远程访问这部计算机,如果你重视安全性不想多开后门,就关了吧. 建议:停用
Network Connections (网络联机) 控制你的网络联机 建议: 手动
NetworkDDE(网络 DDE) 为动态数据交换 (DDE) 对在相同或不同计算机上执行的程序提供网络传输和安全性。建议:停用
Network DDE DSDM (网络 DDE DSDM) 讯息动态数据交换 (DDE) 网络共享。 建议:停用
Network Location Awareness (NLA) 如果不使用 ICF 和 ICS 可以关了它 建议:停用
NT LM Security Support Provider (NTLM 安全性支持提供者) 如果不使用 Message Queuing 或是 Telnet Server 那就关了它 建议:停用
Performance Logs and Alerts (效能记录文件及警示) 基于事先设定的排程参数,从本机或远程计算机收集效能数据建议:停用
Plug and Play 启用计算机以使用者没有或很少的输入来识别及适应硬件变更,停止或停用这个服务将导致系统不稳定。 建议: 自动
Portable Media Serial Number 透过联机计算机重新取得任何音乐拨放序列号建议:停用
Print Spooler (打印多任务缓冲处理器) 将档案加载内存中以待稍后打印。如果没有打印机,可以关了 建议:停用
Protected Storage (受保护的存放装置) 用来储存你计算机上密码的服务,像 Outlook、拨号程序、其它应用程序、主从架构等等 建议: 自动
QoS RSVP (QoS 许可控制,RSVP) 用来保留 20% 频宽的服务,如果你的网络卡不支持 802.1p 或在你计算机的网域上没有 ACS server ,那么不用多说,关了它 建议:停用
Remote Access Auto Connection Manager (远程访问自动联机管理员) 当程序参照到远程 DNS 或 NetBIOS 名称或地址时,建立远程网络的联机。 建议: 手动
Remote Access Connection Manager (远程访问联机管理员) 建立网络联机建议: 手动
Remote Desktop Help Session Manager 管理并控制远程协助。如上说的管理和控制远程协助,如果不使用可以关了 建议:停用
Remote Procedure Call (RPC) (远程过程调用,RPC) 提供结束点对应程序以及其它 RPC 服务。 建议: 自动
Remote Procedure Call (RPC) Locator (远程过程调用定位程序) 管理 RPC 名称服务数据库。 建议: 停用
Remote Registry (远程登录服务) 启用远程使用者修改这个计算机上的登录设定。建议最好关了它,除非你需要远程协助修改你的登录设定 建议: 停用
Permalink Comments
计算机病毒防范技术重点措施November 14, 2005 at 12:00 am • Filed under 网络安全-安全防范
单机的防范
与以往的平台相比,Windows 95/98/NT/2000引入了很多非常有用的特性,充分利用这些特性将能大大地增强软件的能力和便利。应该提醒的是,尽管windows 95/98/NT/2000平台具备了某些抵御计算机病毒的天然特性,但还是未能摆脱计算机病毒的威胁。单机防范计算机病毒,一是要在在思想重视、管理上到位,二是依靠防杀计算机病毒软件。
1、选择一个功能完善的单机版防杀计算机病毒软件
一个功能较好的单机防杀计算机病毒软件应能满足下面的要求:
(1)拥有计算机病毒检测扫描器。
检测计算机病毒有两种方式,对磁盘文件的扫描和对系统进行动态的实时监控。同时提供这两种功能是必要的,实时监控保护更不可少。
1)DOS平台的计算机病毒扫描器:由于系统引导过程中,Windows 95/98未能提供任何保护。因此,在Windows 95/98启动之前,有必要通过autoexec.bat或config.sys载入DOS平台的计算机病毒扫描器,对引导扇区、内存或主要的系统文件进行扫描,确保无毒后才继续系统的启动。同时,在系统由于感染计算机病毒而崩溃或在内存发现计算机病毒时,通过“干净的”系统引导软盘启动,DOS扫描器便成为主要的杀毒工具。
不过,在Windows 95/98下“重新引导并切换到MS-DOS方式”对大多数防杀计算机病毒软件来说存在漏洞。此时针对Windows 95/98的监视已失效,只有少数软件在Windows 95/98目录下的dosstart.bat里加入了DOS指令扫描器。我们自己可以将DOS指令扫描器添加到dosstart.bat去,增加DOS下的保护。
2)32位计算机病毒扫描器:供用户对本地硬盘或网络进行扫描。它是专门为Windows 95/98/NT/2000而设计的32位软件,从而支持长文件名及确保发挥最高的性能。
(2)实时监控程序:通过动态实时监控来进行防毒。一般是通过虚拟设备程序(VxD)或系统设备程序(Windows NT/2000下的SYS)形式而不是传统的驻留内存方式(TSR)进行实时监控。实时监控程序在磁盘读取等动作中实行动态的计算机病毒扫描,并对计算机病毒和一些类似计算机病毒的活动发出警告。
(3)未知计算机病毒的检测:
新的计算机病毒平均以每天4-5个的速度出现,而计算机病毒特征代码库的升级一般每月一次,这是不够的。理想的防杀计算机病毒软件除了使用特征代码来检测已知计算机病毒外,还可用如启发性分析(Heuristic Analysis)或系统完整性检验(Integrity Check)等方法来检测未知计算机病毒的存在。然而,要100%地区分正常程序和计算机病毒是不大可能的。在检测未知计算机病毒时,最后的判断工作常常要靠用户的经验。
(4)压缩文件内部检测:
从网络上下载的免费软件或共享软件大部分都是压缩文件,防杀计算机病毒软件应能检测压缩文件内部的原始文件是否带有计算机病毒。
(5)文件下载监视:
相当一部分计算机病毒的来源是在下载文件中,因此有必要对下载文件,尤其是下载可执行程序时进行动态扫描。
(6)计算机病毒清除能力:
仅仅检测计算机病毒还不够,软件还应该有很好的清除计算机病毒能力。
(7)计算机病毒特征代码库升级:
定时升级计算机病毒特征代码库非常重要。当前通过因特网进行升级已成为潮流,理想的是按一下按钮便可直接连线进行升级。
(8)重要数据备份:
对用户系统中重要的数据进行备份,以便在系统受计算机病毒攻击而崩溃时进行恢复。通常数据备份在可启动的软盘上,并包含有防杀计算机病毒软件的DOS平台计算机病毒扫描器。
(9)定时扫描设定:
对个人用户来说,这一功能并不重要,但对网络管理员来说,它可以避开高峰时间进行扫描而不影响工作。
(10)支持FAT32和NTFS等多种分区格式:
Windows 95 OSR2以后版本中增加了FAT32分区格式的支持,从而增加了硬盘的利用率,但同时也禁止了某些低级存取方式,而传统的软件大多使用低级存取方式检测或消除计算机病毒。如果软件不支持FAT32,便很难充分发挥其功能甚至误报。对于运行Windows NT/2000的计算机来说,支持NTFS也是防杀计算机病毒软件必须支持的。
(11)关机时检查软盘:
这一功能便是利用了关机的漫长时间,再次对A盘的引导区进行检测,以防止下次引导时的计算机病毒入侵。
(12)还必须注重计算机病毒检测率:
检测率是衡量防杀计算机病毒软件最重要的指标。
这里只能引用一个间接参考标准:美国ICSA(国际计算机安全协会,原名国家计算机安全协会NCSA)定期对其AVPD会员产品进行测试,要求对流行计算机病毒检测率为100%,(参照JoeWell的流行计算机病毒名单WildList)对随机抽取的非流行计算机病毒检测率为90%以上。
2、 主要的防护工作
(1) 检查BIOS设置,将引导次序改为硬盘先启动(C:A:)。
(2) 关闭BIOS中的软件升级支持,如果是底板上有跳线的,应该将跳线跳接到不允许更新BIOS。
(3) 用DOS平台防杀计算机病毒软件检查系统,确保没有计算机病毒存在。
(4) 安装较新的正式版本的防杀计算机病毒软件,并经常升级。
(5) 经常更新计算机病毒特征代码库。
(6) 备份系统中重要的数据和文件。
(7) 在Word中将“宏病毒防护”选项打开,并打开“提示保存Normal模板”,退出Word,然后将Normal.dot文件的属性改成只读。
(8) 在Excel和PowerPoint中将“宏病毒防护”选项打开。
(9) 若要使用Outlook/Outlook express收发电子函件,应关闭信件预览功能。
(10) 在IE或Netscape等浏览器中设置合适的因特网安全级别,防范来自ActiveX和Java Applet的恶意代码。
(11) 对外来的软盘、光盘和网上下载的软件等都应该先进行查杀计算机病毒,然后在使用。
(12) 经常备份用户数据。
(13) 启用防杀计算机病毒软件的实时监控功能。
Permalink Comments
堵住域名和邮件的漏洞November 14, 2005 at 12:00 am • Filed under 网络安全-安全防范
域名系统(DNS)是Internet上其他服务的基础,E-mail是Internet上最重要的服务。但是DNS和E-mail系统也是Internet上安全漏洞最多的地方,而问题在哪里?在我们每天都要使用DNS和E-mail时,怎么样才能放心?
域名系统
DNS是Internet上其它服务的基础。它处理DNS客户机的请求:把名字翻译成IP地址;把IP地址翻译成名字;并提供特定主机的其它已公布信息(如MX记录)。下面介绍DNS使用中业已知晓的两个安全问题,并给出相应的解决方法。
名字欺骗
为使用的方便如允许用户执行远程系统命令,系统管理员往往在某些主机之间建立相互信任的关系,当主机间的信任是借助名字并通过DNS来认证时,就会导致名字欺骗的出现,如图所示。
当主机B访问主机A(同时也作为DNS服务器)如执行rlogin时,A接收到这个连接并获得发起本次连接主机B的IP地址。为验证本次连接的合法性,主机A就向本地DNS服务器逆向查询对应于这个IP地址的主机名字。当返回的查询结果——主机名B为本机所信任的主机时,就允许来自B的远程命令rlogin。下面我们再来看看主机D是如何利用验证漏洞来欺骗主机A的。当主机D也执行rlogin时,主机A同样要验证本次连接的合法性。如果A不能根据D的IP在本地DNS服务器中查询到对应的主机名时,就会向其它DNS服务器发出请求,最后终会找到DNS服务器C。如果入侵者修改DNS服务器C中对应于自己IP地址的主机名为主机B时,主机A就会获得对应于D的IP地址的主机名是B的逆向查询结果,因此主机A认可本次连接。于是欺骗A成功。
从上面的讨论可知,当欺骗发生时,在A的域名数据库中关于名字B有三个IP地址条目,其中B→B_IP条目位于A所维护的正向DNS树上,B_IP→B条目位于A所维护的逆向DNS树上,D_IP→B条目位于Cache中,即主机名与IP地址之间的关系不是一一对应的。若主机A在验证过程中再多走一步,即再用主机名B正向查询对应的IP地址(双向查询),就会发现同时有D的IP和B的IP对应着名字B。这样主机A就可以识别主机D的欺骗企图,然而双向查询并不总有效,例如对于多宿主机。
隐藏信息
与DNS有关的第二个安全问题是它会泄露那些你不想透露的信息。例如一些组织的系统管理员会依本组织的功能单元来命名内部主机名和其它信息,或依本组织的体系结构来规划本组织域名下的名字空间,也可能因为内部某个秘密项目的方便开展而为一些主机设置别名。这些信息一旦被入侵者获取,那么组织内那些重要的主机就会一览无疑地呈现在入侵者面前。
入侵者获取被入侵者的DNS信息的方法有很多。最通常的一种方法是连接被入侵者站点的DNS服务器并请求区传输(Zone Transfer),好像它们是被入侵者站点的DNS服务器的辅助服务器。
防范这种入侵的方法有两种。一种是利用DNS软件(注:BIND 4.9.3以上的版本)自带的两个安全特性:限制名字数据库中的数据只被特定的主机查询;只允许真正的Secondary主机从Primary主机上提取Zone数据(库)。这种方法具有实现的方便性和高效性,但还不够完善。因为DNS数据库仍然暴露在入侵者的范围之内,仍有可能被入侵者用匪夷所思的方法窃取。在我们看来,第二种方法相比第一种方法更安全,当然成本会更高,使用的技术也更复杂。
第二种方法以防火墙/NAT为基础,并运用私有地址和注册地址的概念。现以一个园区网为例加以描述。首先我们把园区网的IP地址空间划分为两大部分:私有地址部分和注册地址部分(作为整个Internet地址空间的一部分)。与此对应,园区网的名字空间也分为两大部分:对外可见的(外部)名字域(作为整个Internet名字空间的一部分)和对外不可见的(内部)名字域。两者域名相同,但域名数据库的大小不同。为对外隐藏信息,所以外部DNS数据库相对小,而内部DNS数据库相对大。相应地,完成域名到IP地址转换的DNS服务器也存在两套,即内部DNS服务器和外部DNS服务器。鉴于划分地址空间的原则——所有园区网内的主机使用私有地址;对Internet服务的主机用NAT完成注册地址到其私有地址的静态映射;访问Internet的主机用NAT完成其私有地址到注册地址的动态映射。因此内部DNS服务器组仅对园区网内的主机服务,外部DNS服务器组对Internet主机服务。 内部DNS服务器提供园区网(内部)名字域到私有 IP地址的解析,只能由园区网内的主机使用,对Internet主机不可见,即不在上级DNS服务器登记,而对园区网(内部)名字域外的Internet域名解析的任务直接提交外部DNS服务器完成。这时,须在内部DNS服务器的启动文件中设置forworder和 slave选项。不过这里要注意的一点是DNS服务器间不能进行多极forworder级连。
外部DNS服务器放在防火墙的DMZ局域网上。外部DNS服务器提供园区网(外部)名字域到静态转换的注册IP地址的解析,由Internet主机使用。为了解决(连接)可能的反向地址查询和双向查询,外部DNS服务器不仅要为静态转换的注册IP地址定义PTR记录,而且要为每一个用于动态转换的注册地址定义一个伪主机名,并定义一个PTR记录。外部DNS服务器对Internet代表园区网名字域。由于对外服务,所以须在上级DNS服务器上登记。
E-mail系统
E-mail作为Internet上最重要服务的同时,也是安全漏洞最多的服务之一。E-mail系统之所以是一种最脆弱的服务,是因为它可以接收来自Internet上任何主机的任何数据。功能上来说,E-mail系统由三部分组成:服务器部分用来向外部主机发送邮件或从外部主机接收邮件;发信代理部分将邮件正确地放入本地主机邮箱中;用户代理部分让收信人阅读邮件并编排出站邮件。由于各种不同原因,每个部分都存在被攻击的漏洞。
Internet上,服务器间的邮件交换是通过SMTP协议来完成的。主机的SMTP服务器接收邮件(该邮件可能来自外部主机上的SMTP服务器也可能来自本机上的用户代理),然后检查邮件地址,以便决定在本机发送还是转发到其它一些主机。Unix系统上的SMTP程序通常是Sendmail。有关Sendmail的安全问题报道层出不穷的一个原因在于,它是一个异常复杂的程序,长达30000多行,另一个原因是它需root用户特权运行。
针对引起E-mail系统不安全的种种原因,主要有以下几种解决方案。
方法1:使用Unix系统自带的安全特性
Sendmail之所以不安全的一个重要原因是,它以root身份运行后台守护进程。如果我们使Sendmail不具有root权限,并最大程度地降低它的权限,那么即使它被攻破,也不会给系统带来多大的影响。如果我们使Sendmail不运行为后台守护进程(daemon),反过来讲就增大入侵者连接Sendmail的难度。若连接都建立不起来,当然也就无从谈起攻击Sendmail的问题了。
方法2:使用代理
上面这种方法的一个弊病是整个E-mail系统的效率会降低,因为每隔十分钟Sendmail才扫描一次邮件队列,才会把邮件发送到用户的邮箱。如果我们设置一个邮件代理来专门接收邮件并结合使用防火墙技术,不仅效率显著提高,安全性也进一步增强。
一个专门接收邮件的邮件代理会直接断绝入侵者通过SMTP与Sendmail建立连接的可能(不同于上面的方法,它只是增大了连接Sendmail的难度)。由于SMTP协议中关于邮件接收的命令相当简单,仅有六条指令,因而依此编写邮件代理程序,程序不仅结构清晰(程序本身不易出现bug),而且代码少(容易检查和发现它的所有安全问题)。由于没有更多的任务要完成,所以邮件代理所需权限也小。相比于长达三万多行的、结构复杂的、程序 bug不断被报道的、系统权限极高的Sendmail来说,邮件代理的优势是明显的。
邮件代理的免费程序可直接从Internet上download下来。我手边的邮件代理程序是TIS防火墙工具包的一部分,它由smap和smapd组成。其中smap仅有700多行,专门接收邮件并把接收到的邮件放到邮件队列中。smap也是由inetd启动,因此不需要作为root用户来运行。smapd每隔一分钟处理邮件队列,并把处理完的邮件转交给Sendmail发送到本地或其它主机。
初看,方法1和方法2在性能上几乎没有什么区别,但实际情况不是这样的。方法1中,若Sendmail处理邮件队列的时间超过十分钟,那么十分钟后就有可能有两个Sendmail进程来处理邮件队列,及可能有多个Sendmail进程被inetd启动以接收入站邮件,又由于文件锁机制的存在,在任何时候只能由一个Sendmail进程操作邮箱,因此有可能造成系统资源被大量占用。极端情况下,还会导致整个系统资源的完全占有,从而导致系统崩溃。若我们每隔20分钟来处理邮件队列,系统崩溃的可能性会降低,然而E-mail系统的性能也随之降低。方法2中,首先,完成邮件接收(smap)和处理邮件队列(smapd)是两个不同程序,且任务单一、极其小巧。其次,真正处理邮件队列的任务还是由Sendmail来完成的,换言之,由于smapd 长时占据邮箱而导致文件锁的长时存在的可能性极小。Sendmail处理邮件队列时需检查邮件地址,因此也就会访问DNS、系统的别名表,最后还可能改写邮件地址。然而,真正的耗时操作还不是这些而是向外转发邮件,它须与目的主机建立TCP连接,若连接建立不起来,还要执行retry和timeout操作。
方法3:修改源码
即使按上面的方法增强了E-mail系统的安全,还是存在一些安全漏洞。一般而言E-mail账户都是系统账户,既然是系统账户就在某种程度上能访问一定的系统资源,就一定程度上威胁系统的安全。而入侵者获取某个邮件账户的访问权不是什么难事,如直接在网上监听SMTP信包(注:大多数包是明文传送),所以如果我们使用户能接收邮件但又不在系统上有账户时,就能杜绝这种安全隐患。此外,一般Unix系统本身不支持超过5000个系统用户的特性又进一步增强了这种方法的实际意义。
源码修改只需改动用户认证那部分,即不通过/etc/passwd文件中去认证用户的合法性,你可自己建立一套认证机制,如结合Radius、TACAS+或LDAP技术。更有甚者,还可运用一次性口令来增强口令的安全性。我们现在已修改完源码并处于进一步完善的工作中。
入侵知识简介 2006-04-23 12:46:39
标签: 缩起正文 字号:大 小
入侵介绍: 1 上传漏洞;2 暴库;3 注入;4 旁注;5 COOKIE诈骗。
1 上传漏洞,这个漏洞在DVBBS6.0时代被黑客们利用的最为猖獗,利用上传漏洞可以直接得到WEBSHELL,危害等级超级高,现在的入侵中上传漏洞也是常见的漏洞。
怎样利用:在网站的地址栏中网址后加上/upfile.asp如果显示 上传格式不正确[重新上传] 这样的字样8成就是有长传漏洞了找个可以上传的工具直接可以得到WEBSHELL。
工具介绍:上传工具,老兵的上传工具、DOMAIN3.5,这两个软件都可以达到上传的目的,用NC也可以提交。
WEBSHELL是什么:WEBSHELL在上节课简单的介绍了下,许多人都不理解,这里就详细讲下,其实WEBSHELL并不什么深奥的东西,是个WEB的权限,可以管理WEB,修改主页内容等权限,但是并没有什么特别高的权限,(这个看管理员的设置了)一般修改别人主页大多都需要这个权限,接触过WEB木马的朋友可能知道(比如老兵的站长助手就是WEB木马 海阳2006也是 WEB木马)我们上传漏洞最终传的就是这个东西,有时碰到权限设置不好的服务器可以通过WEBSHELL得到最高权限。
2 暴库:这个漏洞现在很少见了,但是还有许多站点有这个漏洞可以利用,暴库就是提交字符得到数据库文件,得到了数据库文件我们就直接有了站点的前台或者后台的权限了。
暴库方法:比如一个站的地址为 http://www.xxx.com/dispbbs.asp?boardID=7&ID=161,我门就可以把com/dispbbs中间的/换成%5c,如果有漏洞直接得到数据库的绝对路径,用寻雷什么的下载下来就可以了。还有种方法就是利用默认的数据库路径http://www.xxx.com/后面加上conn.asp。如果没有修改默认的数据库路径也可以得到数据库的路径(注意:这里的/也要换成%5c)。
为什么换成%5c:因为在ASCII码里/等于%5c,有时碰到数据库名字为/#abc.mdb的为什么下不了? 这里需要把#号换成%23就可以下载了,为什么我暴出的数据库文件是以。ASP结尾的?我该怎么办?这里可以在下载时把.ASP换成.MDB 这样就可以下载了如果还下载不了可能作了防下载。
3 注入漏洞:这个漏洞是现在应用最广泛,杀伤力也很大的漏洞,可以说微软的官方网站也存在着注入漏洞。注入漏洞是因为字符过滤不严禁所造成的,可以得到管理员的帐号密码等相关资料。
怎样利用:我先介绍下怎样找漏洞比如这个网址 http://www.xxx.com/dispbbs.asp?boardID=7&ID=161 后面是以ID=数字形式结尾的站我们可以手动在后面加上个 and 1=1 看看 如果显示正常页面 再加上个and 1=2 来看看 如果返回正常页面说明没有漏洞 如果返回错误页面说明存在注入漏洞。如果加and 1=1 返回错误页面说明也没有漏洞,知道了站点有没有漏洞我门就可以利用了 可以手工来猜解也可以用工具现在工具比较多(NBSI NDSI 啊D DOMAIN等)都可以用来猜解帐号密码,因为是菜鸟接触,我还是建议大家用工具,手工比较烦琐。
4 旁注:我们入侵某站时可能这个站坚固的无懈可击,我们可以找下和这个站同一服务器的站点,然后在利用这个站点用提权,嗅探等方法来入侵我们要入侵的站点。打个形象的比喻,比如你和我一个楼,我家很安全,而你家呢,却漏洞百出,现在有个贼想入侵我家,他对我家做了监视(也就是扫描)发现没有什么可以利用的东西,那么这个贼发现你家和我家一个楼,你家很容易就进去了,他可以先进入你家,然后通过你家得到整个楼的钥匙(系统权限),这样就自然得到我的钥匙了,就可以进入我的家(网站)。
工具介绍:还是名小子的DOMIAN3.5不错的东西,可以检测注入,可以旁注,还可以上传!
5 COOKIE诈骗:许多人不知道什么是COOKIE,COOKIE是你上网时由网站所为你发送的值记录了你的一些资料,比如IP,姓名什么的。
怎样诈骗呢?如果我们现在已经知道了XX站管理员的站号和MD5密码了,但是破解不出来密码(MD5是加密后的一个16位的密码)我们就可以用COOKIE诈骗来实现,把自己的ID修改成管理员的,MD5密码也修改成他的,有工具可以修改COOKIE 这样就答到了COOKIE诈骗的目的,系统以为你就是管理员了。 |
评分
-
查看全部评分
|