首页 >> 企业信息
局域网内服务器入侵的防范措施
发布时间:2012-6-13 14:23:04 被阅览数:次 来源:厦门凌众科技有限公司
防范共享入侵
比如,在某onclick=tagshow(event) href="tag.php?name=%BE%D6%D3%F2%CD%F8">局域网中,onclick=tagshow(event) href="tag.php?name=%B7%FE%CE%F1%C6%F7">服务器装有Win2000Serveronclick=tagshow(event) href="tag.php?name=%CF%B5%CD%B3">系统且采用NTFS分区,客户机onclick=tagshow(event) href="tag.php?name=%BC%C6%CB%E3%BB%FA">计算机分别为Workl、Work2……WorkN,并装有Win98或Win2000Pro系统。假如其中一台客户机的onclick=tagshow(event) href="tag.php?name=%D3%C3%BB%A7">用户名为YD_xlpos,onclick=tagshow(event) href="tag.php?name=%C3%DC%C2%EB">密码为Ei(9,已经登录到域domain,则它可使用默认共享方式入侵onclick=tagshow(event) href="tag.php?name=%B7%FE%CE%F1">服务器:在该客户机的onclick=tagshow(event) href="tag.php?name=%CD%F8%C2%E7">网络邻居onclick=tagshow(event) href="tag.php?name=%B5%D8%D6%B7">地址栏中输入/onclick=tagshow(event) href="tag.php?name=server">serveradmin$,便可进入Win2000的系统目录WinNT,此时该用户可以onclick=tagshow(event) href="tag.php?name=%C9%BE%B3%FD">删除onclick=tagshow(event) href="tag.php?name=%CE%C4%BC%FE">文件。若再输入/serverd$,即可进入服务器上的D盘,此时该客户机用户已经具备服务器的onclick=tagshow(event) href="tag.php?name=%B9%DC%C0%ED">管理员权限,这是相当危险的。居心叵测的人可以通过新建Winstart.bat或者Wininit.ini文件,并在其中加入格式化C盘的语句,使系统丢失所有C盘文件;或是在服务器的启动项中加入现在任何流行onclick=tagshow(event) href="tag.php?name=%C4%BE%C2%ED">木马的启动onclick=tagshow(event) href="tag.php?name=%B3%CC%D0%F2">程序,后果也不堪设想。
Win2000采用默认共享方式以便远程维护,但同样给了黑客可乘之机。打开注册表编辑器,定位到HKEY_L0CAl_MACHINESYSTEMCurrentControlSetServiceslanmanserver,若系统为Win2000Pro,则新建Autosharewks的DWORD值,并设键值为0;若系统为Win2000Server,则新建Autoshareserver的DWORD值,并设键值为0。重新启动计算机后默认共享便不会再出现。
不过危险并没有消除,装有Win2000平台的客户机还可以通过IPS$的空连接入侵服务器。客户机用户可以先用onclick=tagshow(event) href="tag.php?name=%B6%CB%BF%DA">端口扫描onclick=tagshow(event) href="tag.php?name=%C8%ED%BC%FE">软件X-Scan填入服务器的IP,在扫描模块里选择onclick=tagshow(event) href="tag.php?name=sql">sqlserver弱口令和nt-server弱口令,当得到nt-server弱口令后,可在客户机的cmd窗口中输入“netuse/192.168.0.88ips$’’/user:’用户’”来建立空连接,然后激活Guest,并添加管理员权限,安装后门(如netcat)后就可以进行远程控制。管理员怎么禁止IPS$空连接呢?可定位到注册表HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA,修改RestrictAnony-mous的DWORD值为0000001。
防范Ping入侵
Ping入侵方式也叫ICMP入侵,它也利用了Windows系统的漏洞。在Work1的DOS窗口中输入“ping-165500-t192.168.0.88”(服务器的IP地址),则可看到服务器上系统托盘的小onclick=tagshow(event) href="tag.php?name=%B5%E7%C4%D4">电脑一直在闪动,那是客户机Work1在向服务器发出请求。我们试想,如果局域网内的计算机很多,并在每台计算机的Aotoonclick=tagshow(event) href="tag.php?name=exe">exec.bat文件中加入“ping-l65500-t192.168.0.88”,那会怎么样?服务器将会因CPU使用率居高不下而崩溃,这也就是有名的DoS服务(拒绝服务)onclick=tagshow(event) href="tag.php?name=%B9%A5%BB%F7">攻击:在一个时段内连续向服务器发出大量请求,服务器来不及回应而死机。
对付这类攻击可安装网络onclick=tagshow(event) href="tag.php?name=%B7%C0%BB%F0%C7%BD">防火墙,如天网等,在onclick=tagshow(event) href="tag.php?name=%C9%E8%D6%C3">设置里面选择“不允许别人用Pingonclick=tagshow(event) href="tag.php?name=%C3%FC%C1%EE">命令探测本机”;或者在“管理onclick=tagshow(event) href="tag.php?name=%B9%A4%BE%DF">工具”中点击“本地安全策略”,进入“IP安全策略”,在本地onclick=tagshow(event) href="tag.php?name=%BB%FA%C6%F7">机器中进行设置(设置过程略)。
维护和管理服务器
黑客入侵服务器,必须知道服务器的IP地址和所开放的端口,因此可以在网上邻居中隐藏服务器的IP地址,为服务器的计算机名保密。建立服务器通讯端口列表,屏蔽一些敏感的端口如139、3389、5000,了解部分病毒或者木马的常用连接端口,如“冰河”的7626端口、“广外女生”的6267端口。
安装病毒防火墙和网络防火墙,定期对病毒库进行更新,按计划查毒杀毒。定期用DOS命令netstat-a或者SuperScan软件对服务器开放的端口进行检测,将检测结果和以往备份的端口列表进行比较。若发现未知端口有异常连接建立或者正在监听,特别是高端端口,则立即断开网络,用检测木马的软件如TrojanRemover等进行检测。用进程检测软件如Windows优化大师监测服务器所开的进程,并和以往的进程列表作比较,留意不明进程。注意观察Win2000的服务,因为它是在系统启动前加载的。可将TaskScheduler、RunAsService、onclick=tagshow(event) href="tag.php?name=FTP">FTP等改为手动,最好能够了解各种服务的作用,了解服务器所开的共享,可用netshare命令来查看。尽可能不要设置文件共享,不要打开写文件的权限。即使开启共享,也应设置相应密码。
打开“计算机管理”,检查用户和组里是否有非法用户,尤其小心管理员权限的非法用户。禁止系统提供的Guest用户,因为黑客常用Guest进行系统控制,对于Administrator则应进行改名操作。在C:DocumentsandSettings下查看用户,对于有非法用户的目录,应仔细察看并定期对事件查看器进行筛选和分析。审核安全日志,选择“管理工具”里面的“本地安全策略”,在本地策略里的审核策略中进行审核操作。
若英文功底良好,则推荐使用Win2000英文版,因为中文版的Bug较多,补丁推出也相对较晚。多去微软的站点检测,及时更新微软的SP补丁包,注意微软发布的安全公告。了解病毒和系统漏洞的最新动态,堵上系统存在的漏洞。对于系统管理员,则要合理选择安装相关组件,不需要的不必安装,当然需要的组件除外,如网络监视器。另外,尽量修改一些特殊的DOS命令的扩展名,尽量少用超级用户登录,其密码也要做到科学配置,大小写加特殊字符,从而减低被暴力onclick=tagshow(event) href="tag.php?name=%C6%C6%BD%E2">破解的几率。
此外,系统管理员不要私自在服务器上试用新软件,尤其是大型软件和Beta版软件,不要用服务器作为onclick=tagshow(event) href="tag.php?name=%C9%CF%CD%F8">上网的主机,不要让不具备权限的人接近服务器。Win2000Server系统的稳定性和安全性还是非常高的,系统的崩溃多由于人为的误删除或者误操作所致。
总之,服务器的安全问题应引起极大的重视,应挂接多个onclick=tagshow(event) href="tag.php?name=%D3%B2%C5%CC">硬盘做好备份,使服务器在出错后能够快速恢复。
比如,在某onclick=tagshow(event) href="tag.php?name=%BE%D6%D3%F2%CD%F8">局域网中,onclick=tagshow(event) href="tag.php?name=%B7%FE%CE%F1%C6%F7">服务器装有Win2000Serveronclick=tagshow(event) href="tag.php?name=%CF%B5%CD%B3">系统且采用NTFS分区,客户机onclick=tagshow(event) href="tag.php?name=%BC%C6%CB%E3%BB%FA">计算机分别为Workl、Work2……WorkN,并装有Win98或Win2000Pro系统。假如其中一台客户机的onclick=tagshow(event) href="tag.php?name=%D3%C3%BB%A7">用户名为YD_xlpos,onclick=tagshow(event) href="tag.php?name=%C3%DC%C2%EB">密码为Ei(9,已经登录到域domain,则它可使用默认共享方式入侵onclick=tagshow(event) href="tag.php?name=%B7%FE%CE%F1">服务器:在该客户机的onclick=tagshow(event) href="tag.php?name=%CD%F8%C2%E7">网络邻居onclick=tagshow(event) href="tag.php?name=%B5%D8%D6%B7">地址栏中输入/onclick=tagshow(event) href="tag.php?name=server">serveradmin$,便可进入Win2000的系统目录WinNT,此时该用户可以onclick=tagshow(event) href="tag.php?name=%C9%BE%B3%FD">删除onclick=tagshow(event) href="tag.php?name=%CE%C4%BC%FE">文件。若再输入/serverd$,即可进入服务器上的D盘,此时该客户机用户已经具备服务器的onclick=tagshow(event) href="tag.php?name=%B9%DC%C0%ED">管理员权限,这是相当危险的。居心叵测的人可以通过新建Winstart.bat或者Wininit.ini文件,并在其中加入格式化C盘的语句,使系统丢失所有C盘文件;或是在服务器的启动项中加入现在任何流行onclick=tagshow(event) href="tag.php?name=%C4%BE%C2%ED">木马的启动onclick=tagshow(event) href="tag.php?name=%B3%CC%D0%F2">程序,后果也不堪设想。
Win2000采用默认共享方式以便远程维护,但同样给了黑客可乘之机。打开注册表编辑器,定位到HKEY_L0CAl_MACHINESYSTEMCurrentControlSetServiceslanmanserver,若系统为Win2000Pro,则新建Autosharewks的DWORD值,并设键值为0;若系统为Win2000Server,则新建Autoshareserver的DWORD值,并设键值为0。重新启动计算机后默认共享便不会再出现。
不过危险并没有消除,装有Win2000平台的客户机还可以通过IPS$的空连接入侵服务器。客户机用户可以先用onclick=tagshow(event) href="tag.php?name=%B6%CB%BF%DA">端口扫描onclick=tagshow(event) href="tag.php?name=%C8%ED%BC%FE">软件X-Scan填入服务器的IP,在扫描模块里选择onclick=tagshow(event) href="tag.php?name=sql">sqlserver弱口令和nt-server弱口令,当得到nt-server弱口令后,可在客户机的cmd窗口中输入“netuse/192.168.0.88ips$’’/user:’用户’”来建立空连接,然后激活Guest,并添加管理员权限,安装后门(如netcat)后就可以进行远程控制。管理员怎么禁止IPS$空连接呢?可定位到注册表HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA,修改RestrictAnony-mous的DWORD值为0000001。
防范Ping入侵
Ping入侵方式也叫ICMP入侵,它也利用了Windows系统的漏洞。在Work1的DOS窗口中输入“ping-165500-t192.168.0.88”(服务器的IP地址),则可看到服务器上系统托盘的小onclick=tagshow(event) href="tag.php?name=%B5%E7%C4%D4">电脑一直在闪动,那是客户机Work1在向服务器发出请求。我们试想,如果局域网内的计算机很多,并在每台计算机的Aotoonclick=tagshow(event) href="tag.php?name=exe">exec.bat文件中加入“ping-l65500-t192.168.0.88”,那会怎么样?服务器将会因CPU使用率居高不下而崩溃,这也就是有名的DoS服务(拒绝服务)onclick=tagshow(event) href="tag.php?name=%B9%A5%BB%F7">攻击:在一个时段内连续向服务器发出大量请求,服务器来不及回应而死机。
对付这类攻击可安装网络onclick=tagshow(event) href="tag.php?name=%B7%C0%BB%F0%C7%BD">防火墙,如天网等,在onclick=tagshow(event) href="tag.php?name=%C9%E8%D6%C3">设置里面选择“不允许别人用Pingonclick=tagshow(event) href="tag.php?name=%C3%FC%C1%EE">命令探测本机”;或者在“管理onclick=tagshow(event) href="tag.php?name=%B9%A4%BE%DF">工具”中点击“本地安全策略”,进入“IP安全策略”,在本地onclick=tagshow(event) href="tag.php?name=%BB%FA%C6%F7">机器中进行设置(设置过程略)。
维护和管理服务器
黑客入侵服务器,必须知道服务器的IP地址和所开放的端口,因此可以在网上邻居中隐藏服务器的IP地址,为服务器的计算机名保密。建立服务器通讯端口列表,屏蔽一些敏感的端口如139、3389、5000,了解部分病毒或者木马的常用连接端口,如“冰河”的7626端口、“广外女生”的6267端口。
安装病毒防火墙和网络防火墙,定期对病毒库进行更新,按计划查毒杀毒。定期用DOS命令netstat-a或者SuperScan软件对服务器开放的端口进行检测,将检测结果和以往备份的端口列表进行比较。若发现未知端口有异常连接建立或者正在监听,特别是高端端口,则立即断开网络,用检测木马的软件如TrojanRemover等进行检测。用进程检测软件如Windows优化大师监测服务器所开的进程,并和以往的进程列表作比较,留意不明进程。注意观察Win2000的服务,因为它是在系统启动前加载的。可将TaskScheduler、RunAsService、onclick=tagshow(event) href="tag.php?name=FTP">FTP等改为手动,最好能够了解各种服务的作用,了解服务器所开的共享,可用netshare命令来查看。尽可能不要设置文件共享,不要打开写文件的权限。即使开启共享,也应设置相应密码。
打开“计算机管理”,检查用户和组里是否有非法用户,尤其小心管理员权限的非法用户。禁止系统提供的Guest用户,因为黑客常用Guest进行系统控制,对于Administrator则应进行改名操作。在C:DocumentsandSettings下查看用户,对于有非法用户的目录,应仔细察看并定期对事件查看器进行筛选和分析。审核安全日志,选择“管理工具”里面的“本地安全策略”,在本地策略里的审核策略中进行审核操作。
若英文功底良好,则推荐使用Win2000英文版,因为中文版的Bug较多,补丁推出也相对较晚。多去微软的站点检测,及时更新微软的SP补丁包,注意微软发布的安全公告。了解病毒和系统漏洞的最新动态,堵上系统存在的漏洞。对于系统管理员,则要合理选择安装相关组件,不需要的不必安装,当然需要的组件除外,如网络监视器。另外,尽量修改一些特殊的DOS命令的扩展名,尽量少用超级用户登录,其密码也要做到科学配置,大小写加特殊字符,从而减低被暴力onclick=tagshow(event) href="tag.php?name=%C6%C6%BD%E2">破解的几率。
此外,系统管理员不要私自在服务器上试用新软件,尤其是大型软件和Beta版软件,不要用服务器作为onclick=tagshow(event) href="tag.php?name=%C9%CF%CD%F8">上网的主机,不要让不具备权限的人接近服务器。Win2000Server系统的稳定性和安全性还是非常高的,系统的崩溃多由于人为的误删除或者误操作所致。
总之,服务器的安全问题应引起极大的重视,应挂接多个onclick=tagshow(event) href="tag.php?name=%D3%B2%C5%CC">硬盘做好备份,使服务器在出错后能够快速恢复。
业务联系电话:0592-5908028
业务联系QQ:173723134
业务联系QQ:173723134
