论文部分内容阅读
本文可以学到
1 如何保护网站数据库不被非法用户下载
2 3289远程登录安全设置
本文涉及软件
mdb入侵者(jet)
Access数据库
SecureRDP 2.0
本文重要知识点
1 3389远程登录安全
2 数据库类型
3 数据库保护
经过几个月的试运蓝盾,xx信息安全中心正式成立了,一群网络安全技术的狂热工程师们在北京的TI行业精华地段创办了中国第一家安全咨询中心。
时间:2007年9月
地点:信息安全中心客户中心
事件:龙信科技有限公司数据库失窃、新龙科技服务器遭黑客远程登录抢劫管理
工程师:孙佳兴(资深网络安全顾问)
公司负责人:龙信科技网络部 张经理
本段掌握技能
网络数据库防窃
案例1:(数据库失窃、网站数据库地址被暴露营)
北京,一个商业竞争惨烈到极致的案例。在龙信科技的董事会上,公司总裁听取了第二季度的公司运营情况后略显惊疑地问道:“是不是因为公司的客服服务器多次遭到攻击造成了数据丟失,让竞争对手掌握了我们大多投标底价?限网络技术部三天给我个合理的解释。”
“老孙啊!救命啊,我们公司出现数据失窃,你赶快过来帮我解决一下问题啊。”网络部负责人拨通了工程师孙佳兴的公司电话。
第二天的早上:“累死了,终于搞定你们公司的方案了,你们公司的网站被人爆库了,没有任何防护,数据不丢那才奇怪了。我都帮你弄好了,记得要请我吃饭啊!”“谢谢啦,饭一定请的!对了,你说的暴库是什么东西?”张经理好奇地问。
实例:
如何防止网站数据库被下载
第一步:修改数据库名
由于大多小型企业都不具备自己开发网站的能力,大多都采用网络上发布出来的模板类整站进行建站,由于整站程序都是公开的,所以使用的数据库路径也很容易被熟悉网站构架结构的人猜到,如果不对数据进行修改就很可能被攻击者利用IE浏览器下载,从而得到网站管理密码,甚至得到服务器管理权限。 第二步:将mdb后缀数据库修改为.asp,并在数据库名称中加入#这类特殊字符。如果攻击者猜到了数据库路径,(如数据库是mdb类)在IE浏览器中输入地址就可以完成下载,进行修改后可避免此类情况。
比如数据库被从新修改为:http://www.xxx.com/xre#h.asp由于IE在下载文件时候只会读取#前的内容所以被IE读取的下载路径为:http://www.xxxcom/xrc#.asp此时,就算攻击者知道数据库路径也无法下载了。
嘿嘿,只是防止了攻击者下载数据库也不能算安全,因为很多黑客还会采用其他方式继续突破网站。让我们再构架一个反向入侵系统,既保护数据库安全,也能随时发现黑客攻击行为。
这里拿动网的论坛数据库(DVBBS7.0 for Access版)做演示,相信大家都熟知动网7.0的数据库默认路径(什么,你不知道?我倒,去动网官方下载一份自己趴着研究去:http://bbsdvbbs.net可以下载最新版本的动网论坛程序。):动网安装目录/data/dvbbs7mdb。
首先,新建一个databoo的目录,将数据库dvbbs7.mdb文件拷贝到新目录下,并进行重命名:0917#dw.asp
然后,打开conn.asp文件,修改以下代码中的数据库路径:
修改前:
dim conn,db
dim connstr
db="Data/dvbbs7.mdb"'数据库文件位置
'on error resume next
connstr="DBQ="+server.mappath(""&db&"")+";DefaultDir=;DRIVER={MicrosoftAccess Driver(*mdb)};"
修改后:
dim conn,db
dim connstr
db="databoo/0917#dw.asp"'数据库文件位置
'on error resume next
connstr="DBQ="+server.mappath(""&dba&"")+";DefaultDir=;DRIVER={MicrosoftAccess Driver(*.mdb)};"
利用mdb入侵者制造一个溢出程序db1.mdb。将其拷贝到原来动网的默认数据库目录data中将其命名为:dvbbs7.mdb(将原来的数据库移除)。当攻击者下载默认后http://bbs.xxx.com/data/dvbbs7.mdb路径数据库时,利用mdb读取器(见图1)打开我们构造的溢出数据库后,我们的网站上将纪录他所有的攻击手段(由子程序执行后回溢出返回一个systemshell,我们不光可以察看黑客的攻击手段,并可以反控制其计算机)。
本段掌握技能
远程管理安全验证
案例2(公司需要3389远程管理计算机,黑客入侵后同样可以利用远程)
新龙科技有限公司是一家IDC网络空间提供商,由于所有服务器在网通机房托管,管理人员需要对服务器进行远程管理。但最近黑客入侵情况严重,管理员发现服务器中有黑客入侵后利用远程桌面管理计算机。为保证公司可以正常使用3389远程管理计算机又希望对服务器增加特殊限制,防止黑客利用,管理员向xx信息安全中心咨询安全解决方案。
为此我们做出几个基于SecureRDP的安全防护解决方案,如下:
★远程管理限制
1、利用登录IP地址限制,验证服务器访问者身份
安装SecureRD,(推荐此防火墙是由于其有进程保护,为防止黑客强行关闭。读者也可以采用其他防火墙,如天网、瑞星。)选择IP address,选中enableip address fitter(打勾)然后点击“add”按钮,增加允许登录的IP地址(见图2)。
当发现黑客常使用的登录服务器IP地址时,也可以利用IP address进行限制,将图2中“mode→logon endabled”,改为:“mode→Logon disaboed”,填入要屏蔽的IP地址即可(见图3)。
很多时候技术人员在管理服务器时可能遇到这样的一个问题,公司服务器IP地址不是固定的,如果做了IP登录限制,黑客是无法访问了,管理员也访问不到就麻烦了。为此我们还可以采用之如下几种方案:
2、用工作之利用登录计算机名限制,验证服务器访问者身份
依旧在SecureRDP中,选择C0mputer Name项,选中enableComputer Name Fitter(打勾)然后点击“add”按钮添加计算机名称,如:tooler。每次登录服务器的时候只要把使用的计算机改成tooler就OK了,(某小白问:如何更改计算机名称呢?我:哎,好好学习计算机应用基础啊,上过基础课程后这个都不会?算了,我来解决:在“我的电脑”点击鼠标右键选择“属性中“计算机名”→更改输入“tooler”)。
3、时间段限制登录用户
由于大多黑客入侵都发生在凌晨,而此时管理员一般不会管理服务器,所以可以在SecureRDP中限制登录时间。周一到周五:早上8点到晚上8点允许登录。其他时间无法登录(见图4)。
4、安装第三方管理软件,如PCAnyWhero或VNC。
1 如何保护网站数据库不被非法用户下载
2 3289远程登录安全设置
本文涉及软件
mdb入侵者(jet)
Access数据库
SecureRDP 2.0
本文重要知识点
1 3389远程登录安全
2 数据库类型
3 数据库保护
经过几个月的试运蓝盾,xx信息安全中心正式成立了,一群网络安全技术的狂热工程师们在北京的TI行业精华地段创办了中国第一家安全咨询中心。
时间:2007年9月
地点:信息安全中心客户中心
事件:龙信科技有限公司数据库失窃、新龙科技服务器遭黑客远程登录抢劫管理
工程师:孙佳兴(资深网络安全顾问)
公司负责人:龙信科技网络部 张经理
本段掌握技能
网络数据库防窃
案例1:(数据库失窃、网站数据库地址被暴露营)
北京,一个商业竞争惨烈到极致的案例。在龙信科技的董事会上,公司总裁听取了第二季度的公司运营情况后略显惊疑地问道:“是不是因为公司的客服服务器多次遭到攻击造成了数据丟失,让竞争对手掌握了我们大多投标底价?限网络技术部三天给我个合理的解释。”
“老孙啊!救命啊,我们公司出现数据失窃,你赶快过来帮我解决一下问题啊。”网络部负责人拨通了工程师孙佳兴的公司电话。
第二天的早上:“累死了,终于搞定你们公司的方案了,你们公司的网站被人爆库了,没有任何防护,数据不丢那才奇怪了。我都帮你弄好了,记得要请我吃饭啊!”“谢谢啦,饭一定请的!对了,你说的暴库是什么东西?”张经理好奇地问。
实例:
如何防止网站数据库被下载
第一步:修改数据库名
由于大多小型企业都不具备自己开发网站的能力,大多都采用网络上发布出来的模板类整站进行建站,由于整站程序都是公开的,所以使用的数据库路径也很容易被熟悉网站构架结构的人猜到,如果不对数据进行修改就很可能被攻击者利用IE浏览器下载,从而得到网站管理密码,甚至得到服务器管理权限。 第二步:将mdb后缀数据库修改为.asp,并在数据库名称中加入#这类特殊字符。如果攻击者猜到了数据库路径,(如数据库是mdb类)在IE浏览器中输入地址就可以完成下载,进行修改后可避免此类情况。
比如数据库被从新修改为:http://www.xxx.com/xre#h.asp由于IE在下载文件时候只会读取#前的内容所以被IE读取的下载路径为:http://www.xxxcom/xrc#.asp此时,就算攻击者知道数据库路径也无法下载了。
嘿嘿,只是防止了攻击者下载数据库也不能算安全,因为很多黑客还会采用其他方式继续突破网站。让我们再构架一个反向入侵系统,既保护数据库安全,也能随时发现黑客攻击行为。
这里拿动网的论坛数据库(DVBBS7.0 for Access版)做演示,相信大家都熟知动网7.0的数据库默认路径(什么,你不知道?我倒,去动网官方下载一份自己趴着研究去:http://bbsdvbbs.net可以下载最新版本的动网论坛程序。):动网安装目录/data/dvbbs7mdb。
首先,新建一个databoo的目录,将数据库dvbbs7.mdb文件拷贝到新目录下,并进行重命名:0917#dw.asp
然后,打开conn.asp文件,修改以下代码中的数据库路径:
修改前:
dim conn,db
dim connstr
db="Data/dvbbs7.mdb"'数据库文件位置
'on error resume next
connstr="DBQ="+server.mappath(""&db&"")+";DefaultDir=;DRIVER={MicrosoftAccess Driver(*mdb)};"
修改后:
dim conn,db
dim connstr
db="databoo/0917#dw.asp"'数据库文件位置
'on error resume next
connstr="DBQ="+server.mappath(""&dba&"")+";DefaultDir=;DRIVER={MicrosoftAccess Driver(*.mdb)};"
利用mdb入侵者制造一个溢出程序db1.mdb。将其拷贝到原来动网的默认数据库目录data中将其命名为:dvbbs7.mdb(将原来的数据库移除)。当攻击者下载默认后http://bbs.xxx.com/data/dvbbs7.mdb路径数据库时,利用mdb读取器(见图1)打开我们构造的溢出数据库后,我们的网站上将纪录他所有的攻击手段(由子程序执行后回溢出返回一个systemshell,我们不光可以察看黑客的攻击手段,并可以反控制其计算机)。
本段掌握技能
远程管理安全验证
案例2(公司需要3389远程管理计算机,黑客入侵后同样可以利用远程)
新龙科技有限公司是一家IDC网络空间提供商,由于所有服务器在网通机房托管,管理人员需要对服务器进行远程管理。但最近黑客入侵情况严重,管理员发现服务器中有黑客入侵后利用远程桌面管理计算机。为保证公司可以正常使用3389远程管理计算机又希望对服务器增加特殊限制,防止黑客利用,管理员向xx信息安全中心咨询安全解决方案。
为此我们做出几个基于SecureRDP的安全防护解决方案,如下:
★远程管理限制
1、利用登录IP地址限制,验证服务器访问者身份
安装SecureRD,(推荐此防火墙是由于其有进程保护,为防止黑客强行关闭。读者也可以采用其他防火墙,如天网、瑞星。)选择IP address,选中enableip address fitter(打勾)然后点击“add”按钮,增加允许登录的IP地址(见图2)。
当发现黑客常使用的登录服务器IP地址时,也可以利用IP address进行限制,将图2中“mode→logon endabled”,改为:“mode→Logon disaboed”,填入要屏蔽的IP地址即可(见图3)。
很多时候技术人员在管理服务器时可能遇到这样的一个问题,公司服务器IP地址不是固定的,如果做了IP登录限制,黑客是无法访问了,管理员也访问不到就麻烦了。为此我们还可以采用之如下几种方案:
2、用工作之利用登录计算机名限制,验证服务器访问者身份
依旧在SecureRDP中,选择C0mputer Name项,选中enableComputer Name Fitter(打勾)然后点击“add”按钮添加计算机名称,如:tooler。每次登录服务器的时候只要把使用的计算机改成tooler就OK了,(某小白问:如何更改计算机名称呢?我:哎,好好学习计算机应用基础啊,上过基础课程后这个都不会?算了,我来解决:在“我的电脑”点击鼠标右键选择“属性中“计算机名”→更改输入“tooler”)。
3、时间段限制登录用户
由于大多黑客入侵都发生在凌晨,而此时管理员一般不会管理服务器,所以可以在SecureRDP中限制登录时间。周一到周五:早上8点到晚上8点允许登录。其他时间无法登录(见图4)。
4、安装第三方管理软件,如PCAnyWhero或VNC。