当我们架设起一台WIN2000服务器后,很多服务都是系统默认安装的,其中有些服务是我们平时 很少使用或根本就用不上的。而这些服务往往漏洞多多,容易被黑客利用来攻击我们的服务器。 WIN2000服务器漏洞检测: 一.基于应用的检测技术。采用被动的、非破坏性的办法检查应用软件包的设置,发现安全漏 洞。 二.基于主机的检测技术。采用被动的、非破坏性的办法对系统进行检测。通常涉及系统内核、 文件属性、操作系统补丁问题,还包括口令解密。因此,可以非常准确的定位系统存在的问题, 发现系统漏洞。其缺点是与平台相关,升级复杂。 三.基于目标的漏洞检测技术。它采用被动的、非破坏性的办法检查系统属性和文件属性,如 数据库、注册号等。通过消息文摘算法,对文件的加密数进行检验。 四.基于网络的检测技术。它采用积极的、非破坏性的办法来检验系统是否有可能被攻击崩溃。 利用一系列脚本对系统进行攻击,然后对结果进行分析。网络检测技术常被用来进行穿透实验 和安全审记。这种技术可以发现一系列平台的漏洞,也容易安装。但是,它容易影响网络的性 能,对系统内部检验不到。 五.综合的技术。集中了以上四种技术的优点,极大的增强了漏洞识别的精度。 使用漏洞检测技术时,应该注意以下几点: 1 合理的检测分析的位置; 2 完善的报表功能与灵活的配置特性; 3 可提供多种检测后的解决方案; 4 检测系统本身的完整性等。 我们如何实现手工检测呢?最简单,最方便的还是利用扫描软件来完成。所以也可以说,黑客扫 描器是把双刃剑,看使用它的人用它来作什么了,呵呵。 下面结合几种扫描和监控的软件来看看如何发现漏洞和补上漏洞: 我们可以用CMD命令行扫描器TWWWSCAN 参考[图1] 扫描出服务器存在IDQ、IDA影射溢出漏洞, 解决方法:在INTERNET信息管理器设置,把WEB站点属性--》主目录--》配置里的IDQ、IDA影射 删除掉即可。 接着我们用流光漏洞扫描器来为服务器检测吧,运行程序,选择要扫描的漏洞资料,如果你的 服务器安装了SQL SERVER 的话,建议扫描SQL 空口令。选流光主菜单的探测--》扫描SQL主机 参考[图2] 如果服务器存在SQL的SA空口令漏洞,探测结果会显示,参考[图3]。 解决方法:运行SQLSERVER管理工具,给SA帐号加上强壮密码,还要在SQL命令行执行: “if exists (select * from dbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell] ') and OBJECTPROPERTY(id, N'IsExtendedProc') = 1) exec sp_dropextendedproc N'[dbo] .[xp_cmdshell]' ” GO 或: “use master sp_dropextendedproc 'xp_cmdshell'” 这样就算攻击者获得SA帐号密码远程连接后,也不能调用CMDSHELL了。 另外一个也是很常用的数据库MYSQL,默认安装后也存在ROOT空口令漏洞,如果你不补上的话, INTERNET上任意远程主机都可以连接你服务器上的MYSQL数据库,任意编辑,修改,删除数据库 甚至可以通过它来提升权限,完全控制你的服务器。所以必须重视。 解决方法:在mysql>状态下输入: grant select,insert,update,delete on *.* to root@"%" identified by "pass"; 语句即可为ROOT设置口令。这样攻击者就不能远程连接本机数据库了。参考[图4] 如果你的服务器安装了PERL解析,很可能会存在CGI漏洞。 解决方法:这就需要打齐微软的最新补丁,在IIS里把CGI论坛的图片目录属性设置成(无) 即不运行任何教程和程序,这样可以最大限度的减少被攻击的风险。 我们可以利用数据监控软件[COMMVIEW]来监视进出本服务器的数据包,经过的端口。参考[图5]。 还可以检查可疑数据包的内容,参考[图6] 这样我们就不会对服务器的运行一无所知,在被攻击前或被攻击后找出攻击者的信息,制定出 相应的解决方案。 |
|小黑屋|最新主题|手机版|微赢网络技术论坛 ( 苏ICP备08020429号 )
GMT+8, 2024-9-30 21:34 , Processed in 0.197156 second(s), 12 queries , Gzip On, MemCache On.
Powered by Discuz! X3.5
© 2001-2023 Discuz! Team.