在駭客頻頻攻擊�����、在系統(tǒng)漏洞層出不窮的今天��,作為網(wǎng)絡(luò)管理員�����、系統(tǒng)管理員的我們雖然在服務(wù)器的安全上都下了不少功夫:諸如�,及時的打上系統(tǒng)安全補丁�、進行一些常規(guī)的安全配置,但是仍然不太可能每臺服務(wù)器都會在第一時間內(nèi)給系統(tǒng)打上全新補丁。因此我們必需要在還未被入侵之前����,通過一些系列安全設(shè)置,來將入侵者們擋在“安全門”之外;下面就以本人一直以來所用到的最簡單、最有效的防(Overflow)溢出�、本地提供權(quán)限攻擊類的解決辦法給大家講講。 1�、如何可以防止溢出類的駭客攻擊呢?
① 盡最大的可能性將系統(tǒng)的漏洞補丁都打完;最好是比如Microsoft Windows Server系列的系統(tǒng)可以將自動更新服務(wù)打開����,然后讓服務(wù)器在您指定的某個時間段內(nèi)自動連接到Microsoft Update網(wǎng)站進行補丁的更新。如果您的服務(wù)器為了安全起見 禁止了對公網(wǎng)外部的連接的話��,可以用Microsoft WSUS服務(wù)在內(nèi)網(wǎng)進行升級
����、 停掉一切不需要的系統(tǒng)服務(wù)以及應(yīng)用程序,最大限能的降底服務(wù)器的被攻擊系數(shù)���。比如前陣子的MSDTC溢出��,就導(dǎo)致很多服務(wù)器掛掉了���。其實如果WEB類服務(wù)器根本沒有用到MSDTC服務(wù)時,您大可以把MSDTC服務(wù)停掉�����,這樣MSDTC溢出就對您的服務(wù)器不構(gòu)成任何威脅了。
�、 啟動TCP/IP端口的過濾:僅打開常用的TCP如21、80����、25、110�、3389等端口;如果安全要求級別高一點可以將UDP端口關(guān)閉,當然如果這樣之后缺陷就是如在服務(wù)器上連外部就不方便連接了���,這里建議大家用IPSec來封UDP����。在協(xié)議篩選中"只允許"TCP協(xié)議(協(xié)議號為:6)��、UDP協(xié)議(協(xié)議號為:17)以及RDP協(xié)議(協(xié)議號為:27)等必需用協(xié)議即可其它無用均不開放����。
④ 啟用IPSec策略:為服務(wù)器的連接進行安全認證�,給服務(wù)器加上雙保險���。如③所說��,可以在這里封掉一些危險的端品諸如:135 145 139 445 以及UDP對外連接之類��、以及對通讀進行加密與只與有信任關(guān)系的IP或者網(wǎng)絡(luò)進行通訊等等����。(注:其實防反彈類木馬用IPSec簡單的禁止UDP或者不常用TCP端口的對外訪問就成了,關(guān)于IPSec的如何應(yīng)用這里就不再敖續(xù),你可以到服安討論Search "IPSec"����,就 會有N多關(guān)于IPSec的應(yīng)用資料..)
⑤ 刪除���、移動�、更名或者用訪問控制表列Access Control Lists (ACLs)控制關(guān)鍵系統(tǒng)文件�、命令及文件夾:
1.黑客通常在溢出得到shell后,來用諸如net.exe net1.exe ipconfig.exe user.exe query.exe regedit.exe regsvr32.exe 來達到進一步控制服務(wù)器的目的如:加賬號了�,克隆管理員了等等;這里我們可以將這些命令程序刪除或者改名。(注意:在刪除與改名時先停掉文件復(fù)制服務(wù)(FRS)或者先將 %windir%system32dllcache下的對應(yīng)文件刪除或改名����。)
2.也或者將這些.exe文件移動到你指定的文件夾,這樣也方便以后管理員自己使用。
3.訪問控制表列ACLS控制:找到%windir%system32下找到cmd.exe�、cmd32.exe net.exe net1.exe ipconfig.exe tftp.exe ftp.exe user.exe reg.exe regedit.exe regedt32.exe regsvr32.exe 這些黑客常用的文件,在“屬性”→“安全”中對他們進行訪問的ACLs用戶進 行定義��,諸如只給administrator有權(quán)訪問,如果需要防范一些溢出攻擊�、以及溢出成功后對這些文件的非法利用;那么我們只需要將system用戶 在ACLs中進行拒絕訪問即可。
4.如果你覺得在GUI下面太麻煩的話��,你也可以用系統(tǒng)命令的CACLS.EXE來對這些.exe文件的Acls進行編輯與修改�,或者說將他寫成一個.bat批處理 文件來執(zhí)行以及對這些命令進行修改。(具體用戶自己參見cacls /? 幫助進行���,由于這里的命令太多我就不一一列舉寫成批處理代碼給各位了!!)
5.對磁盤如C/D/E/F等進行安全的ACLS設(shè)置從整體安全上考慮的話也是很有必要的����,另外特別是win2k����,對Winnt、WinntSystem�����、Document and Setting等文件夾�����。
�、 進行注冊表的修改禁用命令解釋器: (如果您覺得用⑤的方法太煩瑣的話,那么您不防試試下面一勞永逸的辦法來禁止CMD的運行)
通過修改注冊表���,可以禁止用戶使用命令解釋器(CMD.exe)和運行批處理文件(.bat文件)����。具體方法:新建一個雙字節(jié)(REG_DWORD)執(zhí)行 HKEY_CURRENT_USERSoftwarePolicies MicrosoftWindowsSystemDisableCMD�����,修改其值為1�,命令解釋器和批處理文件都不能被運行。修改其值為2�����,則只是禁止命令解釋器的運行,反之將值改為0��,則是打開CMS命令解釋器����。如果您賺手動太麻煩的話,請將下面的代碼保存為*.reg文件,然后導(dǎo)入�。
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindowsSystem]
"DisableCMD"=dword:00000001
⑦ 對一些以System權(quán)限運行的系統(tǒng)服務(wù)進行降級處理��。(諸如:將Serv-U、Imail���、IIS�、Php��、Mssql����、Mysql等一系列以System權(quán)限運行的服務(wù)或者應(yīng)用程序換成其它administrators成員甚至users權(quán)限運行,這樣就會安全得多了...但前提是需要對這些基本運行狀態(tài)��、調(diào)用API等相關(guān)情況較為了解. )
其實����,關(guān)于防止如Overflow溢出類攻擊的辦法除了用上述的幾點以外,還有N多種辦法:諸如用組策略進行限制����,寫防護過濾程序用DLL方式加載windows到相關(guān)的SHell以及動態(tài)鏈接程序之中這類。當然自己寫代碼來進行驗證加密就需要有相關(guān)深厚的Win32編程基礎(chǔ)了�����,以及對Shellcode較有研究;由于此文僅僅是討論簡單的解決辦法,因此其它辦法就不在這里詳述了����。
2、如何在防止被駭客溢出得到Shell后對系統(tǒng)的而進一步入侵呢?
��、 在做好1中上述的工作之后��,基本上可以防目駭客在溢出之后得到shell了;因為即使Overflow溢出成功�,但在調(diào)用CMDSHELL�����、以及對外聯(lián)接時就卡了���。 (為什么呢�����,因為:1.溢出后程序無法再調(diào)用到CMDSHLL我們已經(jīng)禁止system訪問CMD.exe了����。2.溢出之后在進行反彈時已經(jīng)無法對外部IP進行連接了��。所以,基本上要能過system權(quán)限來反彈shell就較困難的了...)
�、 當然世界上是不存在絕對的安全的,假設(shè)入侵者在得到了我們的shell之后��,做些什么呢?一般入侵者在在得到shell之后��,就會諸如利用系統(tǒng)命令加賬號了 通過tftp��、ftp���、vbs等方式傳文件了等等來達到進一步控制服務(wù)器�����。這里我們通過1上述的辦法對命令進行了限制����,入侵者是沒有辦法通過tftp����、ftp來傳文件了,但他們?nèi)匀豢梢阅苓^echo寫批處理��,用批處理通過腳本BAT/VBS/VBA等從WEB上下載文件�����,以及修改其它盤類的文件等潛在破壞行為。所以我們需要 將echo命令也限制以及將其它盤的System寫��、修改文件的權(quán)限進行處理��。以及將VBS/VBA類腳本以及XMLhttp等組件進行禁用或者限制system的運行權(quán)�。這樣的話別人得到Shell也無法對服務(wù)器上的文件進行刪除以及進行步的控制系統(tǒng)了;以及本地提權(quán)反彈Shell了。
后記:其它服務(wù)器����、系統(tǒng)的安全是個整體的概念;有可能你其它一小點的疏忽就可以讓你的網(wǎng)站�����、甚至服務(wù)器淪陷��。因此安全策略必需走防患未然的道路����,任何一個小地方都不能馬虎。
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強!虛擬主機域名注冊頂級提供商��!15年品質(zhì)保障��!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
