网站服务器通用和专用保护方法分析比较
[ 2007-03-25 03:38:38 | 作者: sun ]
一:网站的通用保护方法
针对黑客威胁,网络安全管理员采取各种手段增强服务器的安全,确保WWW服务的正常运行。象在Internet上的Email、ftp等服务器一样,可以用如下的方法来对WWW服务器进行保护:
安全配置
关闭不必要的服务,最好是只提供WWW服务,安装操作系统的最新补丁,将WWW服务升级到最新版本并安装所有补丁,对根据WWW服务提供者的安全建议进行配置等,这些措施将极大提供WWW服务器本身的安全。
防火墙
安装必要的防火墙,阻止各种扫描工具的试探和信息收集,甚至可以根据一些安全报告来阻止来自某些特定IP地址范围的机器连接,给WWW服务器增加一个防护层,同时需要对防火墙内的网络环境进行调整,消除内部网络的安全隐患。
漏洞扫描
使用商用或免费的漏洞扫描和风险评估工具定期对服务器进行扫描,来发现潜在的安全问题,并确保由于升级或修改配置等正常的维护工作不会带来安全问题。
入侵检测系统
利用入侵检测系统(IDS)的实时监控能力,发现正在进行的攻击行为及攻击前的试探行为,记录黑客的来源及攻击步骤和方法。
这些安全措施都将极大提供WWW服务器的安全,减少被攻击的可能性。
二:网站的专用保护方法
尽管采用的各种安全措施能防止很多黑客的攻击,然而由于各种操作系统和服务器软件漏洞的不断发现,攻击方法层出不穷,技术高明的黑客还是能突破层层保护,获得系统的控制权限,从而达到破坏主页的目的。这种情况下,一些网络安全公司推出了专门针对网站的保护软件,只保护网站最重要的内容--网页。一旦检测到被保护的文件发生了{非正常的}改变,就进行恢复。一般情况下,系统首先需要对正常的页面文件进行备份,然后启动检测机制,检查文件是否被修改,如果被修改就需要进行恢复。我们对以下几个方面的技术进行分析比较:
监测方式
本地和远程:检测可以是在本地运行一个监测端,也可以在网络上的另一台主机。如果是本地的话,监测端进程需要足够的权限读取被保护目录或文件。监测端如果在远端的话,WWW服务器需要开放一些服务并给监测端相应的权限,较常见的方式是直接利用服务器的开放的WWW服务,使用HTTP协议来监测被保护的文件和目录。也可利用其它常用协议来检测保护文件和目录,如FTP等。采用本地方式检测的优点是效率高,而远程方式则具有平台无关性,但会增加网络流量等负担。
定时和触发:绝大部分保护软件是使用的定时检测的方式,不论在本地还是远程检测都是根据系统设定的时间定时检测,还可将被保护的网页分为不同等级,等级高的检测时间间隔可以设得较短,以获得较好的实时性,而将保护等级较低的网页文件检测时间间隔设得较长,以减轻系统的负担。触发方式则是利用操作系统提供的一些功能,在文件被创建、修改或删除时得到通知,这种方法的优点是效率高,但无法实现远程检测。
比较方法
在判断文件是否被修改时,往往采用被保护目录和备份库中的文件进行比较,比较最常见的方式全文比较。使用全文比较能直接、准确地判断出该文件是否被修改。然而全文比较在文件较大较多时效率十分低下,一些保护软件就采用文件的属性如文件大小、创建修改时间等进行比较,这种方法虽然简单高效,但也有严重的缺陷:{恶意入侵者}可以通过精心构造,把替换文件的属性设置得和原文件完全相同,{从而使被恶意更改的文件无法被检测出来}。另一种方案就是比较文件的数字签名,最常见的是MD5签名算法,由于数字签名的不可伪造性,数字签名能确保文件的相同。
恢复方式
恢复方式与备份库存放的位置直接相关。如果备份库存放在本地的话,恢复进程必须有写被保护目录或文件的权限。如果在远程则需要通过文件共享或FTP的方式来进行,那么需要文件共享或FTP的帐号,并且该帐号拥有对被保护目录或文件的写权限。
备份库的安全
当黑客发现其更换的主页很快被恢复时,往往会激发起进一步破坏的欲望,此时备份库的安全尤为重要。网页文件的安全就转变为备份库的安全。对备份库的保护一种是通过文件隐藏来实现,让黑客无法找到备份目录。另一种方法是对备份库进行数字签名,如果黑客修改了备份库的内容,保护软件可以通过签名发现,就可停止WWW服务或使用一个默认的页面。
通过以上分析比较我们发现各种技术都有其优缺点,需要结合实际的网络环境来选择最适合的技术方案。
三:网站保护的缺陷
尽管网站保护软件能进一步提高系统的安全,仍然存在一些缺陷。首先这些保护软件都是针对静态页面而设计,而现在动态页面占据的范围越来越大,尽管本地监测方式可以检测脚本文件,但对脚本文件使用的数据库却无能为力。
另外,有些攻击并不是针对页面文件进行的,前不久泛滥成灾的"Red Code"就是使用修改IIS服务的一个动态库来达到攻击页面的目的。另一个方面,网站保护软件本身会增加WWW服务器的负载,在WWW服务器负载本身已经很重的情况下,一定好仔细规划好使用方案。
四:结论
本文讨论了网站常用的保护方法,详细地分析比较了专用网站保护软件采用的各种技术实现和优缺点,并指出了其缺陷。安全虽不是使用某个工具或某些工具就可以解决的,但使用这些工具能帮助提高安全性,减少安全风险。
针对黑客威胁,网络安全管理员采取各种手段增强服务器的安全,确保WWW服务的正常运行。象在Internet上的Email、ftp等服务器一样,可以用如下的方法来对WWW服务器进行保护:
安全配置
关闭不必要的服务,最好是只提供WWW服务,安装操作系统的最新补丁,将WWW服务升级到最新版本并安装所有补丁,对根据WWW服务提供者的安全建议进行配置等,这些措施将极大提供WWW服务器本身的安全。
防火墙
安装必要的防火墙,阻止各种扫描工具的试探和信息收集,甚至可以根据一些安全报告来阻止来自某些特定IP地址范围的机器连接,给WWW服务器增加一个防护层,同时需要对防火墙内的网络环境进行调整,消除内部网络的安全隐患。
漏洞扫描
使用商用或免费的漏洞扫描和风险评估工具定期对服务器进行扫描,来发现潜在的安全问题,并确保由于升级或修改配置等正常的维护工作不会带来安全问题。
入侵检测系统
利用入侵检测系统(IDS)的实时监控能力,发现正在进行的攻击行为及攻击前的试探行为,记录黑客的来源及攻击步骤和方法。
这些安全措施都将极大提供WWW服务器的安全,减少被攻击的可能性。
二:网站的专用保护方法
尽管采用的各种安全措施能防止很多黑客的攻击,然而由于各种操作系统和服务器软件漏洞的不断发现,攻击方法层出不穷,技术高明的黑客还是能突破层层保护,获得系统的控制权限,从而达到破坏主页的目的。这种情况下,一些网络安全公司推出了专门针对网站的保护软件,只保护网站最重要的内容--网页。一旦检测到被保护的文件发生了{非正常的}改变,就进行恢复。一般情况下,系统首先需要对正常的页面文件进行备份,然后启动检测机制,检查文件是否被修改,如果被修改就需要进行恢复。我们对以下几个方面的技术进行分析比较:
监测方式
本地和远程:检测可以是在本地运行一个监测端,也可以在网络上的另一台主机。如果是本地的话,监测端进程需要足够的权限读取被保护目录或文件。监测端如果在远端的话,WWW服务器需要开放一些服务并给监测端相应的权限,较常见的方式是直接利用服务器的开放的WWW服务,使用HTTP协议来监测被保护的文件和目录。也可利用其它常用协议来检测保护文件和目录,如FTP等。采用本地方式检测的优点是效率高,而远程方式则具有平台无关性,但会增加网络流量等负担。
定时和触发:绝大部分保护软件是使用的定时检测的方式,不论在本地还是远程检测都是根据系统设定的时间定时检测,还可将被保护的网页分为不同等级,等级高的检测时间间隔可以设得较短,以获得较好的实时性,而将保护等级较低的网页文件检测时间间隔设得较长,以减轻系统的负担。触发方式则是利用操作系统提供的一些功能,在文件被创建、修改或删除时得到通知,这种方法的优点是效率高,但无法实现远程检测。
比较方法
在判断文件是否被修改时,往往采用被保护目录和备份库中的文件进行比较,比较最常见的方式全文比较。使用全文比较能直接、准确地判断出该文件是否被修改。然而全文比较在文件较大较多时效率十分低下,一些保护软件就采用文件的属性如文件大小、创建修改时间等进行比较,这种方法虽然简单高效,但也有严重的缺陷:{恶意入侵者}可以通过精心构造,把替换文件的属性设置得和原文件完全相同,{从而使被恶意更改的文件无法被检测出来}。另一种方案就是比较文件的数字签名,最常见的是MD5签名算法,由于数字签名的不可伪造性,数字签名能确保文件的相同。
恢复方式
恢复方式与备份库存放的位置直接相关。如果备份库存放在本地的话,恢复进程必须有写被保护目录或文件的权限。如果在远程则需要通过文件共享或FTP的方式来进行,那么需要文件共享或FTP的帐号,并且该帐号拥有对被保护目录或文件的写权限。
备份库的安全
当黑客发现其更换的主页很快被恢复时,往往会激发起进一步破坏的欲望,此时备份库的安全尤为重要。网页文件的安全就转变为备份库的安全。对备份库的保护一种是通过文件隐藏来实现,让黑客无法找到备份目录。另一种方法是对备份库进行数字签名,如果黑客修改了备份库的内容,保护软件可以通过签名发现,就可停止WWW服务或使用一个默认的页面。
通过以上分析比较我们发现各种技术都有其优缺点,需要结合实际的网络环境来选择最适合的技术方案。
三:网站保护的缺陷
尽管网站保护软件能进一步提高系统的安全,仍然存在一些缺陷。首先这些保护软件都是针对静态页面而设计,而现在动态页面占据的范围越来越大,尽管本地监测方式可以检测脚本文件,但对脚本文件使用的数据库却无能为力。
另外,有些攻击并不是针对页面文件进行的,前不久泛滥成灾的"Red Code"就是使用修改IIS服务的一个动态库来达到攻击页面的目的。另一个方面,网站保护软件本身会增加WWW服务器的负载,在WWW服务器负载本身已经很重的情况下,一定好仔细规划好使用方案。
四:结论
本文讨论了网站常用的保护方法,详细地分析比较了专用网站保护软件采用的各种技术实现和优缺点,并指出了其缺陷。安全虽不是使用某个工具或某些工具就可以解决的,但使用这些工具能帮助提高安全性,减少安全风险。
连根拔起 破解恶意网页的十大奇妙招术
[ 2007-03-25 03:38:25 | 作者: sun ]
1、修改IE的起始主页
IE的起始主页就是每次打开IE时最先进入的页面,随时点击IE工具栏中的“主页”按钮也能进入起始主页,它一般是我们需要频繁查看的页面,但有些恶意网页会将起始主页改为某些乌七八糟的网址,以达到其不可告人的目的。
要修复IE起始主页方法很简单,在IE“工具”菜单中单击“Internet选项”(以IE5为例,下同),选择“常规”选项卡,在“主页”文本框中输入起始页的网址即可。
如果进行上述设置后不起作用,那肯定是在Windows的“启动”组中加载了恶意程序,使每次启动电脑时自动运行程序来对IE进行非法设置。可通过注册表编辑器,将此类程序从“启动”组清除。
方法是:点击“开始→运行”,输入“Regedit”后回车,在注册表编辑器中依次展开[HKEY_LOCAL_MACHINE\Software\Wicrosoft\Windows\Current Version\Run]主键,右部窗口中显示的是所有启动时加载的程序项,将包含可疑程序的键值名删除。
除了起始主页,还有默认主页被修改的情况。我们还是通过注册表编辑器来修复默认主页。展开[HKEY_LOCAL_MACHINE\Software\Wicrosoft\Internet Explorer\Main]主键,右部窗口中的键值名“Default-Page-URL”决定IE的默认主页,双击该键值名,在“键值”文本框中输入网址,该网址将成为新的IE默认主页。
2、修改IE工具栏
IE的工具栏包括工具按钮、地址栏、链接等几个项目,恶意网页可能会自作主张的在工具栏上添加按钮,或者在地址栏的下拉列表中加入一些并未访问过的网址,甚至会通过篡改链接栏的标题显示一些恶心的文字。
要去掉不需要的按钮,方法很简单,对工具栏按钮点右键选“自定义”,在“当前工具栏按钮”下拉框中选定不需要的按钮后点击“删除”即可。
要去掉多余的地址列表,可通过注册表编辑器展开[HKEY_CURRENT_USER\Software\Wicrosoft\Internet Explorer\TypeURLs]主键,将右部窗口中“url1”、“url2”等键值名全部删除即可。
要修复链接栏标题,首先展开[HKEY_CURRENT_USER\Software\Wicrosoft\Internet Explorer\Toolbar]主键,在右部窗口中对键值名“LinksFolderName”双击,修改其键值为欲显示的信息,或直接将该键值名删除,链接栏的标题将恢复为默认的“链接”字样。
3、修改默认的搜索引擎
在IE的工具栏中有一个“搜索”按钮,它链接到一个指定的搜索引擎,可实现网络搜索。被恶意网页修改后的该按钮并不能进行搜索工作,而是链接到由恶意网页指定的网页上去了。
要修复搜索引擎,首先展开[HKEY_CURRENT_USER\Software\Wicrosoft\Internet Explorer\Search]主键,在右部窗口中将“CustomizeSearch”、“SearchAssistant”这两个键值名对应的网址改为某个搜索引擎的网址即可。
4、修改IE标题栏
我们浏览网页时,IE标题栏显示的是由当前网页决定的标题信息。但某些恶意网页通过修改注册表,使IE无论浏览什么网页都要在标题后附加一段信息,要么是某个网站的名称,要么是一些垃圾广告,甚至是一些政治反动或不堪入目的信息。
要修复IE标题栏,在注册表编辑器中展开[HKEY_LOCAL_MACHINE\Software\Wicrosoft\Internet Explorer\Main]主键,将右部窗口中的“Window Title”键值名直接删除即可。
5、修改或禁止IE右键
有些恶意网页对IE右键快捷菜单进行修改,加入一些无聊信息,或是加入指向其网站的链接,以为这样人们就会经常光顾他们的网站,真是很可笑。
要删除右键菜单中的垃圾内容,可通过注册表编辑器展开[HKEY_CURRENT_USER\Software\Wicrosoft\Internet Explorer\MenuExt]主键,将下面的垃圾内容全部删除即可,也可直接把“MenuExt”子键删除掉,因为“MenuExt”子键下是右键菜单的扩展内容,把它删除,右键菜单便恢复为默认样式。
有些恶意网页为禁止下载,竟然禁止使用右键,简直太可恶了。展开[HKEY_CURRENT_USER\Software\Policies\Wicrosoft\Internet Explorer\Restrictions]主键(注意这里是Policies分支下的Internet Explorer),在右部窗口中将键值名“NoBrowserContextMenu”的Dword键值改为“0”即可,或者将该键值名删除,甚至可将“Restrictions”子键删除,“Restrictions”子键下是一些限制IE功能的设置。
有些恶意网页更狡猾,当使用鼠标右键时不会显示菜单,而是弹出对话框警告你不要“侵权”,或是强迫你阅读他们的垃圾广告,这种情况并未修改注册表,所以退出这个网页就不会有事了。如果非要在这个网页中使用右键,可采取变通的方法:当弹出对话框后,先按下键盘上的“属性”键(右侧Ctrl键左边的一个键)不放,再按回车键,弹出几次对话框就按几次回车键,最后放开“属性”键,右键快捷菜单便出来了文字。
6、系统启动时弹出网页或对话框
若出现启动Windows时弹出网页,这是恶意网页对Windows的“启动”组动了手脚的缘故。我们在注册表中将“启动”组内相应项目删除即可解决。
方法是:展开[HKEY_LOCAL_MACHINE\Software\Wicrosoft\Windows\Current Version\Run]主键,在右部窗口中将包含有url、htm、html、asp、php等网址属性的键值名全部删除。
恶意网页还有一种类似的伎俩是,启动Windows时会弹出对话框,以显示它们的广告信息。解决办法是:展开[HKEY_LOCAL_MACHINE\Software\Wicrosoft\Windows\Current Version]主键,该主键下的子键“Winlogon”可以使Windows启动时显示信息提示框,直接将该子键删除即可避免启动时出现垃圾信息了。
7、定时弹出IE新窗口
IE浏览器中每隔一段时间就会弹出新的窗口去访问别的网页,这种情况也是典型的恶意网页中毒症状。恶意网页是通过在Windows的“启动”组添加hta文件来达到目的的。同样,我们利用第6条中的方法,将启动组内包含hta文件的项目全部删除即可。
8、禁止修改注册表
这是恶意网页最无耻的行径了,恶意网页修改了我们的系统,当我们使用注册表编辑器Regedit.exe时去修复注册表时,系统提示“注册表编辑器被管理员所禁止”。恶意网页试图通过禁止Regedit.exe的使用,来阻止我们修复注册表,可谓用心险恶。
但注册表编辑工具除了Regedit.exe外还有很多种,随便从网上下载一个注册表编辑器,展开[HKEY_CURRENT_USER\Software\Wicrosoft\Windows\Current Version\Policies\System]主键,将键值名“DisableRegistryTools”的键值改为“0”,或将该键值名删除,这样便可使用Windows自带的注册表编辑器了。
如果找不到其它编辑器,利用记事本编写以下三行内容:
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"disableregistrytools"=dword:0
将以上内容保存为aaa.reg,文件名可任取,但扩展名一定要为reg,然后双击这个文件,提示信息成功输入注册表之后,你便又可使用Regedit.exe了。
9、下载运行木马程序
恶意网页最阴险的一招就是下载并运行木马程序,从而控制访问者的电脑。这利用的是IE5.0的一个漏洞,恶意网页通过一段恶代码链接一个嵌入了exe文件(木马)的eml文件(E-mail文件),当访问者浏览这类网页并点击经过伪装的链接时,便会自动下载eml文件并运行其中的exe文件(木马),并且不会有任何提示信息,一切在悄无声息中进行。
如此罪恶的行径,我们却没有什么好的对付办法。唯有升级IE版本了,因为这个漏洞在IE5.0以上版本中都不复存在。
10、格式化硬盘
恶意网页能把你的硬盘格式化!?你没看错,这可是恶意网页最狠毒的一招了,后果不堪设想,简直太恐怖了。恶意网页是利用IE执行ActiveX功能,调用Windows下的Format.com程序对硬盘进行格式化,由于使用了一个微软未曾公开的运行参数,Format.com格式化硬盘时无需经过你的确认而自动进行,同时窗口处于最小化状态,很可能你还没反应过来,你的系统就已经完蛋了。此招真是太卑鄙了。
但险招有险象,当你访问此类恶意网页时,由于要使用ActiveX功能,IE会提示当前页面含有不安全的ActivcX,可能会对系统造成危害,并询问是否执行,这时你就要提高警惕了,千万不要随便选择“是”,而且这种提示信息还可能经过伪装,例如:“浏览器将使用防毒功能,避免你受到恶意攻击,是否继续?”真是颠倒是非,让你雾里看花,你得小心再小心,否则没有后悔药给你吃。
其实最安全的办法是,将你电脑中的Format.com程序改名,使恶意网页调用程序无门、行恶不成。在Windows中还有一个危险命令Deltree.exe,它的作用是删除整个目录,也可带参数自动运行,为了不让恶意网页有机可乘,你不妨也把它改名大吉。
以上揭露的只是恶意网页最普遍的十种罪行,除此之外,还有一些五花八门的小伎俩,也给我们上网带来不少麻烦。另外,以上提出的解决办法,都是在受到恶意网页危害后的解救措施,并不保证以后就太平无事了。若要避免或减轻危害,还得从预防做起。
最简单的预防措施是升级IE版本和使用杀毒软件的病毒防火墙:
a、升级IE版本
很多恶意网页只对IE5.0及以下版本有效。高版本软件一般都修复了低版本中的Bug,我们使用高版本IE就相对安全得多。
b、启用病毒防火墙
现在的杀毒软件大都有病毒防火墙功能,例如瑞星。病毒防火墙可以智能的识别、查杀、隔离恶意网页,除此之外,杀毒软件还是各种木马程序的“克星”。杀毒软件总是站在与电脑界的各种恶魔抗争的最前线,让反毒战士来保护我们,准没错!
安全帐号管理器SAM文件基础知识
[ 2007-03-25 03:38:12 | 作者: sun ]
Windows NT及Windows2000中对用户帐户的安全管理使用了安全帐号管理器(security account manager)的机制,安全帐号管理器对帐号的管理是通过安全标识进行的,安全标识在帐号创建时就同时创建,一旦帐号被删除,安全标识也同时被删除。安全标识是唯一的,即使是相同的用户名,在每次创建时获得的安全标识都时完全不同的。因此,一旦某个帐号被删除,它的安全标识就不再存在了,即使用相同的用户名重建帐号,也会被赋予不同的安全标识,不会保留原来的权限。
安全账号管理器的具体表现就是%SystemRoot%\\system32\\config\\sam文件。SAM文件是Windows NT的用户帐户数据库,所有NT用户的登录名及口令等相关信息都会保存在这个文件中。SAM文件可以认为类似于Unix系统中的Passwd文件,不过没有这么直观明了。Passwd使用的是存文本的格式保存信息,这是一个Linux Passwd文件内容的例子:
0: root:8L7v6:0:0:root:/root:/bin/bash
1: bin:*:1:1:bin:/bin:
2: daemon:*:2:2:daemon:/sbin:
3: adm:*:3:4:adm:/var/adm:
4: lp:*:4:7:lp:/var/spool/lpd:
5: sync:*:5:0:sync:/sbin:/bin/sync
6: shutdown:*:6:0:shutdown:/sbin:/sbin/shutdown
7: halt:*:7:0:halt:/sbin:/sbin/halt
8: mail:*:8:12:mail:/var/spool/mail:
9: news:*:9:13:news:/var/spool/news:
10: uucp:*:10:14:uucp:/var/spool/uucp:
11: operator:*:11:0perator:/root:
12: games:*:12:100:games:/usr/games:
13: gopher:*:13:30:gopher:/usr/lib/gopher-data:
14: ftp:*:14:50:FTP User:/home/ftp:
15: nobody:I0iJ.:99:99:Nobody:/home/httpd:/bin/bash
16: david:c6CuzM:500:500::/home/david:/bin/bash
17: dummy:fIVTl4IgU:501:503::/home/dummy:/bin/bash
18: msql:!!:502:504::/home/msql:/bin/bash
Unix中的Passwd文件中每一行都代表一个用户资料,每一个账号都有七部分资料,不同资料中使用“:”分割格式如下,
账号名称:密码:uid:gid:个人资料:用户目录:shell
除了密码是加密的以外(这里的密码部分已经Shadow了)其他项目非常清楚明了。
而NT中就不是这样,虽然他也是用文件保存账号信息,不过如果我们用编辑器打开这些NT的SAM文件,除了乱码什么也看不到。因为NT系统中将这些资料全部进行了加密处理,一般的编辑器是无法直接读取这些信息的。注册表中的
HKEY_LOCAL_MACHINE\\SAM\\SAM
HKEY_LOCAL_MACHINE\\SECURITY\\SAM
保存的就是SAM文件的内容,在正常设置下仅对System是可读写的。
NT的帐号信息在SAM文件中是如何存储的呢?
在SAM文件中保存了两个不同的口令信息:LanManager(LM)口令散列算法和更加强大的加密NT版,LM就是NT口令文件的弱点。我们来看看LM口令算法是如何加密口令的,考虑这样一个口令:Ba01cK28tr,这样的口令已经可以称的上是一个安全的口令了,虽然没有!#等特殊字符,但是已经包含大写字母,小写字母和数字,并且具有无规律性。可以认为是符合安全的要求的一个口令。
LM对口令的处理方法是:如果口令不足14位,就用0把口令补足14位,并把所有的字母转称大写字母。之后将处理后的口令分成两组数字,每组是7位。刚才我们所提到的口令经处理后就变成BA01CK2和8TR0000部分。然后由这两个7位的数字分别生成8位的DES KEY,每一个8位的DES KEY都使用一个魔法数字(将0x4B47532140232425用全是1的一个KEY进行加密获得的)再进行一次加密,将两组加密完后的字符串连在一起,这就是最终的口令散列。这个字符传看起来是个整体,但是象L0phtcrack这样的破解软件,他能将口令字符串的两部分独立的破解。因此,破解上面所提到口令(10位),由于口令已经被分解为两部分破解,而后面的那部分口令由于只有3位,破解难度可想而知并不困难。实际的难度就在前面的七位口令上了。因此就NT而言,一个10位的口令与一个7位的口令相比并没有太高的安全意义。由此还可以了解:1234567*$#这样的口令可能还不如SHic6这样的口令安全。(关于如何设置安全口令的问题不是本文的范围,有兴趣的可以参考相关文章)
而正式的口令(加密NT版)是将用户的口令转换成unicode编码,然后使用MD4算法将口令加密。
NT之所以保留两种不同版本的口令是由于历史原因造成的,在一个纯NT的环境中应该将LAN manager口令关闭。因为LAN manager口令使用了较弱的DES密钥和算法,比较容易破解。相比较之下,使用较强加密算法的NT正式口令要安全些。
但是这两种口令的加密方法从总体上来说强度还是不足,因此,微软在Win NT4的SP3之和以后的补丁中,提供了一个Syskey.exe的小工具来进一步加强NT的口令。这个软件是可以选择使用的,管理员只要运行一下这个程序并回答一些设置问题就可以添加这项增强功能。(Windows2000已经作为缺省安装设置了)
Syskey被设计用来防止轻易获得SAM口令,它是如何工作的呢?
当Syskey被激活,口令信息在存入注册表之前还进行了一次加密处理。然而,在机器启动后,一个旧的格式的信息还是会保存在内存中。因为,这个旧格式的口令信息是进行网络验证的所需要的。
可以这样认为:Syskey使用了一种方法将口令信息搞乱。或者说使用了一个密钥,这个密钥是激活Syskey由用户选择保存位置的。这个密钥可以保存在软盘,或者在启动时由用户生成(通过用户输入的口令生成),又或者直接保存在注册表中。由于没有官方的正式技术说明如何关闭Syskey,所以Syskey一旦启用就无非关闭,除非用启用Syskey之前的注册表备份恢复注册表。
将Syskey激活后系统有什么发生了什么,如何关掉Syskey呢?
-1-
将Syskey激活后,在注册表HKLM\\System\\CurrentControlSet\\Control\\Lsa下被添加了新的键值\'SecureBoot\'中保存了Syskey的设置:
1 - KEY保存在注册表中
2 - KEY由用户登录时输入的口令生成
3 - KEY保存在软盘中
但是把主键删除或者把值设成0并没能将Syskey关闭,看来还有其他的地方。
-2-
HKLM\\SAM\\Domains\\Account\\F 是一个二进制的结构,通常保存着计算机的SID和其他的描述信息。当syskey被激活后,其中的内容就变大了(大小大约是原来的两倍) 增加的部分估计是加密的KEY+一些标记和其他的数值,这些标记和数值中一定有一部分包括 SecureBoot 相同的内容。所以,在NT4(已安装SP6补丁包)将这些标记位设为0可能就可以关闭Syskey了。在改变这些设置时系统给出了一个错误提示说明SAM和系统设置相互冲突,但是在重新启动计算机后,系统已经不再使用Syskey了。
-3-
再Windows2000中还有另一个地方还存储着关于syskey的信息
HKLM\\security\\Policy\\PolSecretEncryptionKey\\
这也是一个二进制的结构,也是使用同样的存储方式,将这里相应部分同样设为0,syskey就已经从Windows2000中移除了。(如果这三部分修改出现错误(不一致),系统会在下次启动是自动恢复为默认值)
-4-
然后就是口令信息部分。旧的口令信息是长度是16字节,但使用Syskey后长度全部被增加到20字节。其中头四个字节看起来想是某种计数器,可能是历史使用记录计数器。奇怪的是,当Syskey被激活时,他并不立即记录,而是在系统下次启动时才记录。而且,当密钥被改变时,口令信息似乎并没有相应更新。
别杀错了:一步一步教你来识别病毒
[ 2007-03-25 03:37:50 | 作者: sun ]
很多时候大家已经用杀毒软件查出了自己的机子中了例如Backdoor. RmtBomb.12 、Trojan.Win32.SendIP.15 等等这些一串英文还带数字的病毒名,这时有些人就懵了,那么长一串的名字,我怎么知道是什么病毒啊?
其实只要我们掌握一些病毒的命名规则,我们就能通过杀毒软件的报告中出现的病毒名来判断该病毒的一些公有的特性了。
世界上那么多的病毒,反病毒公司为了方便管理,他们会按照病毒的特性,将病毒进行分类命名。虽然每个反病毒公司的命名规则都不太一样,但大体都是采用一个统一的命名方法来命名的。
一般格式为:<病毒前缀>.<病毒名>.<病毒后缀>。
病毒前缀是指一个病毒的种类,他是用来区别病毒的种族分类的。不同的种类的病毒,其前缀也是不同的。比如我们常见的木马病毒的前缀Trojan,蠕虫病毒的前缀是Worm等等还有其他的。
病毒名是指一个病毒的家族特征,是用来区别和标识病毒家族的,如以前著名的CIH病毒的家族名都是统一的“CIH”,还有近期闹得正欢的振荡波蠕虫病毒的家族名是“Sasser”。
病毒后缀是指一个病毒的变种特征,是用来区别具体某个家族病毒的某个变种的。一般都采用英文中的26个字母来表示,如Worm.Sasser.b就是指振荡波蠕虫病毒的变种B,因此一般称为 “振荡波B变种”或者“振荡波变种B”。如果该病毒变种非常多(也表明该病毒生命力顽强),可以采用数字与字母混合表示变种标识。
综上所述,一个病毒的前缀对我们快速的判断该病毒属于哪种类型的病毒是有非常大的帮助的。通过判断病毒的类型,就可以对这个病毒有个大概的评估(当然这需要积累一些常见病毒类型的相关知识,这不在本文讨论范围)。而通过病毒名我们可以利用查找资料等方式进一步了解该病毒的详细特征。病毒后缀能让我们知道现在在你机子里呆着的病毒是哪个变种。
下面附带一些常见的病毒前缀的解释(针对我们用得最多的Windows操作系统):
1、系统病毒
系统病毒的前缀为:Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染Windows操作系统的 *.exe 和 *.dll 文件,并通过这些文件进行传播。如CIH病毒。
2、蠕虫病毒
蠕虫病毒的前缀是:Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。比如冲击波(阻塞网络),小邮差(发带毒邮件)等。
3、木马病毒、黑客病毒
木马病毒其前缀是:Trojan,黑客病毒前缀名一般为Hack.木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息。而黑客病毒则有一个可视的界面,能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的,即木马病毒负责侵入用户的电脑,而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马Trojan.QQ3344,还有大家可能遇见比较多的针对网络游戏的木马病毒如Trojan.LMir.PSW.60。这里补充一点,病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能(这些字母一般都为“密码”的英文“password”的缩写)一些黑客程序如:网络枭雄(Hack.Nether.Client)等。
4、脚本病毒
脚本病毒的前缀是:脚本病毒的公有特性是使用脚本语言编写,通过网页进行的传播的病毒,如红色代码(.Redlof)。脚本病毒还会有如下前缀:VBS、JS(表明是何种脚本编写的),如欢乐时光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。
5、宏病毒
其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。宏病毒的前缀是:Macro,第二前缀是:Word、Word97、Excel、Excel97(也许还有别的)其中之一。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀,格式是:Macro.Word97;凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀,格式是:Macro.Word;凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀,格式是:Macro.Excel97;凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀,格式是:Macro.Excel,依此类推。该类病毒的公有特性是能感染OFFICE系列文档,然后通过OFFICE通用模板进行传播,如:著名的美丽莎(Macro.Melissa)。
6、后门病毒
后门病毒的前缀是:Backdoor.该类病毒的公有特性是通过网络传播,给系统开后门,给用户电脑带来安全隐患。如54很多朋友遇到过的IRC后门Backdoor.IRCBot。
7、病毒种植程序病毒
这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。如:冰河播种者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。
8.破坏性程序病毒
破坏性程序病毒的前缀是:Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。如:格式化C盘(Harm.formatC.f)、杀手命令(Harm.Command.Killer)等。
9.玩笑病毒
玩笑病毒的前缀是:Joke.也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒会做出各种破坏操作来吓唬用户,其实病毒并没有对用户电脑进行任何破坏。如:女鬼(Joke.Girlghost)病毒。
10.捆绑机病毒
捆绑机病毒的前缀是:Binder.这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来,表面上看是一个正常的文件,当用户运行这些捆绑病毒时,会表面上运行这些应用程序,然后隐藏运行捆绑在一起的病毒,从而给用户造成危害。如:捆绑QQ(Binder.QQPass.QQBin)、系统杀手(Binder.killsys)等。以上为比较常见的病毒前缀,有时候我们还会看到一些其他的,但比较少见,这里简单提一下:
DoS:会针对某台主机或者服务器进行DoS攻击;
Exploit:会自动通过溢出对方或者自己的系统漏洞来传播自身,或者他本身就是一个用于Hacking的溢出工具;
HackTool:黑客工具,也许本身并不破坏你的机子,但是会被别人加以利用来用你做替身去破坏别人。
你可以在查出某个病毒以后通过以上所说的方法来初步判断所中病毒的基本情况,达到知己知彼的效果。在杀毒无法自动查杀,打算采用手工方式的时候这些信息会给你很大的帮助。
决不做“肉鸡” 从零开始自检系统漏洞
[ 2007-03-25 03:37:37 | 作者: sun ]
近来黑客攻击事件频频发生,我们身边的朋友也不断有QQ、E-mail和游戏账号被盗事件发生。现在的黑客技术有朝着大众化方向发展的趋势,能够掌握攻击他人系统技术的人越来越多了,只要你的电脑稍微有点系统Bug或者安装了有问题的应用程序,就有可能成为他人的肉鸡。如何给一台上网的机器查漏洞并做出相应的处理呢?
一、要命的端口
计算机要与外界进行通信,必须通过一些端口。别人要想入侵和控制我们的电脑,也要从某些端口连接进来。某日笔者查看了一位朋友的系统,吃惊地发现开放了139、445、3389、4899等重要端口,要知道这些端口都可以为黑客入侵提供便利,尤其是4899,可能是入侵者安装的后门工具Radmin打开的,他可以通过这个端口取得系统的完全控制权。
在Windows 98下,通过“开始”选取“运行”,然后输入“command”(Windows 2000/XP/2003下在“运行”中输入“cmd”),进入命令提示窗口,然后输入netstat/an,就可以看到本机端口开放和网络连接情况。
那怎么关闭这些端口呢?因为计算机的每个端口都对应着某个服务或者应用程序,因此只要我们停止该服务或者卸载该程序,这些端口就自动关闭了。例如可以在“我的电脑 →控制面板→计算机管理→服务”中停止Radmin服务,就可以关闭4899端口了。
如果暂时没有找到打开某端口的服务或者停止该项服务可能会影响计算机的正常使用,我们也可以利用防火墙来屏蔽端口。以天网个人防火墙关闭4899端口为例。打开天网“自定义IP规则”界面,点击“增加规则”添加一条新的规则,在“数据包方向”中选择“接受”,在“对方IP地址”中选择“任何地址”,在TCP选项卡的本地端口中填写从4899到0,对方端口填写从0到0,在“当满足上面条件时”中选择“拦截”,这样就可以关闭4899端口了。其他的端口关闭方法可以此类推。
二、敌人的“进程”
在Windows 2000下,可以通过同时按下“Ctrl+Alt+Del”键调出任务管理器来查看和关闭进程;但在Windows 98下按“Ctrl+Alt+del”键只能看到部分应用程序,有些服务级的进程却被隐藏因而无法看到了,不过通过系统自带的工具msinfo32还是可以看到的。在“开始→运行”里输入msinfo32,打开“Microsoft 系统信息”界面,在“软件环境”的“正在运行任务”下可以看到本机的进程。但是在Windows 98下要想终止进程,还是得通过第三方的工具。很多系统优化软件都带有查看和关闭进程的工具,如春光系统修改器等。
但目前很多木马进程都会伪装系统进程,新手朋友很难分辨其真伪,所以这里推荐一款强大的杀木马工具──“木马克星”,它可以查杀8000多种国际木马,1000多种密码偷窃木马,功能十分强大,实在是安全上网的必备工具!
三、小心,远程管理软件有大麻烦
现在很多人都喜欢在自己的机器上安装远程管理软件,如Pcanywhere、Radmin、VNC或者Windows自带的远程桌面,这确实方便了远程管理维护和办公,但同时远程管理软件也给我们带来了很多安全隐患。例如Pcanywhere 10.0版本及更早的版本存在着口令文件*.CIF容易被解密(解码而非爆破)的问题,一旦入侵者通过某种途径得到了*.CIF文件,他就可以用一款叫做Pcanywherepwd的工具破解出管理员账号和密码。
而Radmin则主要是空口令问题,因为Radmin默认为空口令,所以大多数人安装了Radmin之后,都忽略了口令安全设置,因此,任何一个攻击者都可以用Radmin客户端连接上安装了Radmin的机器,并做一切他想做的事情。
Windows系统自带的远程桌面也会给黑客入侵提供方便的大门,当然是在他通过一定的手段拿到了一个可以访问的账号之后。
可以说几乎每种远程管理软件都有它的问题,如本报43期G12版介绍的强大的远程管理软件DameWare NT Utilitie。它工具包中的DameWare Mini Remote Control某些版本也存在着缓冲区溢出漏洞,黑客可以利用这个漏洞在系统上执行任意指令。所以,要安全地远程使用它就要进行IP限制。这里以Windows 2000远程桌面为例,谈谈6129端口(DameWare Mini Remote Control使用的端口)的IP限制:打开天网“自定义IP规则”界面,点击“增加规则”添加一条新的规则。在“数据包方向”中选择“接受”,在“对方IP地址”中选择“指定地址”,然后填写你的IP地址,在TCP选项卡的本地端口中填写从6129到0,对方端口填写从0到0,在“当满足上面条件时”中选择“通行”,这样一来除了你指定的那个IP(这里假定为192.168.1.70)之外,别人都连接不到你的电脑上了。
安装最新版的远程控制软件也有利于提高安全性,比如最新版的Pcanywhere的密码文件采用了较强的加密方案。
四、“专业人士”帮你免费检测
很多安全站点都提供了在线检测,可以帮助我们发现系统的问题,如天网安全在线推出的在线安全检测系统──天网医生,它能够检测你的计算机存在的一些安全隐患,并且根据检测结果判断你系统的级别,引导你进一步解决你系统中可能存在的安全隐患。
天网医生(http://pfw.sky.net.cn/news/info/list.php?sessid=&sortid=17)可以提供木马检测、系统安全性检测、端口扫描检测、信息泄漏检测等四个安全检测项目,可能得出四种结果:极度危险、中等危险、相当安全和超时或有防火墙。其他知名的在线安全检测站点还有千禧在线(http://www.china-yk.com/tsfw/)以及蓝盾在线检测(hhtp://www.bluedon.com/onlinescan/portscan.asp)。另外,IE的安全性也是非常重要的,一不小心就有可能中了恶意代码、网页木马的招儿,http://bcheck.scanit.be/bcheck/就是一个专门检测IE是否存在安全漏洞的站点,大家可以根据提示操作。
五、自己扫描自己
天网医生主要针对网络新手,而且是远程检测,速度比不上本地,所以如果你有一定的基础,最好使用安全检测工具(漏洞扫描工具)手工检测系统漏洞。
我们知道,黑客在入侵他人系统之前,常常用自动化工具对目标机器进行扫描,我们也可以借鉴这个思路,在另一台电脑上用漏洞扫描器对自己的机子进行检测。功能强大且容易上手的国产扫描器首推X-Scan,当然小蓉流光也很不错。
以X-Scan为例,它有开放端口、CGI漏洞、IIS漏洞、RPC漏洞、SSL漏洞、SQL-SERVER等多个扫描选项,更为重要的是列出系统漏洞之外,它还给出了十分详尽的解决方案,我们只需要“按方抓药”即可。
例如,用X-Scan对隔壁某台计算机进行完全扫描之后,发现如下漏洞:
[192.168.1.70]: 端口135开放: Location Service
[192.168.1.70]: 端口139开放: NET BIOS Session Service
[192.168.1.70]: 端口445开放: Mi crosoft-DS
[192.168.1.70]: 发现 NT-Server弱口令: user/[空口令]
[192.168.1.70]: 发现 “NetBios信息”
从其中我们可以发现,Windows 2000弱口令的问题,这是个很严重的漏洞。NetBios信息暴露也给黑客的进一步进攻提供了方便,解决办法是给User账号设置一个复杂的密码,并在天网防火墙中关闭135~139端口。
六、别小瞧Windows Update
微软通常会在病毒和攻击工具泛滥之前开发出相应的补丁工具,只要点击“开始”菜单中的Windows Update,就到了微软的Windows Update网站,在这里下载最新的补丁程序。所以每周访问Windows Update网站及时更新系统一次,基本上就能把黑客和病毒拒之门外。
一、要命的端口
计算机要与外界进行通信,必须通过一些端口。别人要想入侵和控制我们的电脑,也要从某些端口连接进来。某日笔者查看了一位朋友的系统,吃惊地发现开放了139、445、3389、4899等重要端口,要知道这些端口都可以为黑客入侵提供便利,尤其是4899,可能是入侵者安装的后门工具Radmin打开的,他可以通过这个端口取得系统的完全控制权。
在Windows 98下,通过“开始”选取“运行”,然后输入“command”(Windows 2000/XP/2003下在“运行”中输入“cmd”),进入命令提示窗口,然后输入netstat/an,就可以看到本机端口开放和网络连接情况。
那怎么关闭这些端口呢?因为计算机的每个端口都对应着某个服务或者应用程序,因此只要我们停止该服务或者卸载该程序,这些端口就自动关闭了。例如可以在“我的电脑 →控制面板→计算机管理→服务”中停止Radmin服务,就可以关闭4899端口了。
如果暂时没有找到打开某端口的服务或者停止该项服务可能会影响计算机的正常使用,我们也可以利用防火墙来屏蔽端口。以天网个人防火墙关闭4899端口为例。打开天网“自定义IP规则”界面,点击“增加规则”添加一条新的规则,在“数据包方向”中选择“接受”,在“对方IP地址”中选择“任何地址”,在TCP选项卡的本地端口中填写从4899到0,对方端口填写从0到0,在“当满足上面条件时”中选择“拦截”,这样就可以关闭4899端口了。其他的端口关闭方法可以此类推。
二、敌人的“进程”
在Windows 2000下,可以通过同时按下“Ctrl+Alt+Del”键调出任务管理器来查看和关闭进程;但在Windows 98下按“Ctrl+Alt+del”键只能看到部分应用程序,有些服务级的进程却被隐藏因而无法看到了,不过通过系统自带的工具msinfo32还是可以看到的。在“开始→运行”里输入msinfo32,打开“Microsoft 系统信息”界面,在“软件环境”的“正在运行任务”下可以看到本机的进程。但是在Windows 98下要想终止进程,还是得通过第三方的工具。很多系统优化软件都带有查看和关闭进程的工具,如春光系统修改器等。
但目前很多木马进程都会伪装系统进程,新手朋友很难分辨其真伪,所以这里推荐一款强大的杀木马工具──“木马克星”,它可以查杀8000多种国际木马,1000多种密码偷窃木马,功能十分强大,实在是安全上网的必备工具!
三、小心,远程管理软件有大麻烦
现在很多人都喜欢在自己的机器上安装远程管理软件,如Pcanywhere、Radmin、VNC或者Windows自带的远程桌面,这确实方便了远程管理维护和办公,但同时远程管理软件也给我们带来了很多安全隐患。例如Pcanywhere 10.0版本及更早的版本存在着口令文件*.CIF容易被解密(解码而非爆破)的问题,一旦入侵者通过某种途径得到了*.CIF文件,他就可以用一款叫做Pcanywherepwd的工具破解出管理员账号和密码。
而Radmin则主要是空口令问题,因为Radmin默认为空口令,所以大多数人安装了Radmin之后,都忽略了口令安全设置,因此,任何一个攻击者都可以用Radmin客户端连接上安装了Radmin的机器,并做一切他想做的事情。
Windows系统自带的远程桌面也会给黑客入侵提供方便的大门,当然是在他通过一定的手段拿到了一个可以访问的账号之后。
可以说几乎每种远程管理软件都有它的问题,如本报43期G12版介绍的强大的远程管理软件DameWare NT Utilitie。它工具包中的DameWare Mini Remote Control某些版本也存在着缓冲区溢出漏洞,黑客可以利用这个漏洞在系统上执行任意指令。所以,要安全地远程使用它就要进行IP限制。这里以Windows 2000远程桌面为例,谈谈6129端口(DameWare Mini Remote Control使用的端口)的IP限制:打开天网“自定义IP规则”界面,点击“增加规则”添加一条新的规则。在“数据包方向”中选择“接受”,在“对方IP地址”中选择“指定地址”,然后填写你的IP地址,在TCP选项卡的本地端口中填写从6129到0,对方端口填写从0到0,在“当满足上面条件时”中选择“通行”,这样一来除了你指定的那个IP(这里假定为192.168.1.70)之外,别人都连接不到你的电脑上了。
安装最新版的远程控制软件也有利于提高安全性,比如最新版的Pcanywhere的密码文件采用了较强的加密方案。
四、“专业人士”帮你免费检测
很多安全站点都提供了在线检测,可以帮助我们发现系统的问题,如天网安全在线推出的在线安全检测系统──天网医生,它能够检测你的计算机存在的一些安全隐患,并且根据检测结果判断你系统的级别,引导你进一步解决你系统中可能存在的安全隐患。
天网医生(http://pfw.sky.net.cn/news/info/list.php?sessid=&sortid=17)可以提供木马检测、系统安全性检测、端口扫描检测、信息泄漏检测等四个安全检测项目,可能得出四种结果:极度危险、中等危险、相当安全和超时或有防火墙。其他知名的在线安全检测站点还有千禧在线(http://www.china-yk.com/tsfw/)以及蓝盾在线检测(hhtp://www.bluedon.com/onlinescan/portscan.asp)。另外,IE的安全性也是非常重要的,一不小心就有可能中了恶意代码、网页木马的招儿,http://bcheck.scanit.be/bcheck/就是一个专门检测IE是否存在安全漏洞的站点,大家可以根据提示操作。
五、自己扫描自己
天网医生主要针对网络新手,而且是远程检测,速度比不上本地,所以如果你有一定的基础,最好使用安全检测工具(漏洞扫描工具)手工检测系统漏洞。
我们知道,黑客在入侵他人系统之前,常常用自动化工具对目标机器进行扫描,我们也可以借鉴这个思路,在另一台电脑上用漏洞扫描器对自己的机子进行检测。功能强大且容易上手的国产扫描器首推X-Scan,当然小蓉流光也很不错。
以X-Scan为例,它有开放端口、CGI漏洞、IIS漏洞、RPC漏洞、SSL漏洞、SQL-SERVER等多个扫描选项,更为重要的是列出系统漏洞之外,它还给出了十分详尽的解决方案,我们只需要“按方抓药”即可。
例如,用X-Scan对隔壁某台计算机进行完全扫描之后,发现如下漏洞:
[192.168.1.70]: 端口135开放: Location Service
[192.168.1.70]: 端口139开放: NET BIOS Session Service
[192.168.1.70]: 端口445开放: Mi crosoft-DS
[192.168.1.70]: 发现 NT-Server弱口令: user/[空口令]
[192.168.1.70]: 发现 “NetBios信息”
从其中我们可以发现,Windows 2000弱口令的问题,这是个很严重的漏洞。NetBios信息暴露也给黑客的进一步进攻提供了方便,解决办法是给User账号设置一个复杂的密码,并在天网防火墙中关闭135~139端口。
六、别小瞧Windows Update
微软通常会在病毒和攻击工具泛滥之前开发出相应的补丁工具,只要点击“开始”菜单中的Windows Update,就到了微软的Windows Update网站,在这里下载最新的补丁程序。所以每周访问Windows Update网站及时更新系统一次,基本上就能把黑客和病毒拒之门外。
安全知识基础杀毒软件跟防火墙的区别
[ 2007-03-25 03:37:21 | 作者: sun ]
在计算机的安全防护中,我们经常要用到杀毒软件和防火墙,而这两者在计算机安全防护中所起到的作用也是不同的。
1.防火墙是位于计算机和它所连接的网络之间的软件,安装了防火墙的计算机流入流出的所有网络通信均要经过此防火墙。使用防火墙是保障网络安全的第一步,选择一款合适的防火墙,是保护信息安全不可或缺的一道屏障。
2.因为杀毒软件和防火墙软件本身定位不同,所以在安装反病毒软件之后,还不能阻止黑客攻击,用户需要再安装防火墙类软件来保护系统安全。
3.杀毒软件主要用来防病毒,防火墙软件用来防黑客攻击。
4.病毒为可执行代码,黑客攻击为数据包形式。
5.病毒通常自动执行,黑客攻击是被动的。
6.病毒主要利用系统功能,黑客更注重系统漏洞。
7.当遇到黑客攻击时反病毒软件无法对系统进行保护。
8.对于初级用户,可以选择使用防火墙软件配置好的安全级别。
9.防火墙软件需要对具体应用进行规格配置。
10.防火墙不处理病毒。
不管是Funlove病毒也好,还是CIH也好,在内部网络用户下载外网的带毒文件的时候,防火墙是不为所动的(这里的防火墙不是指单机/企业级的杀毒软件中的实时监控功能,虽然它们不少都叫“病毒防火墙”)。
看到这里,或许您原本心目中的防火墙已经被我拉下了神台。是的,防火墙是网络安全的重要一环,但不代表设置了防火墙就能一定保证网络的安全。“真正的安全是一种意识,而非技术!”请牢记这句话。
不管怎么样,防火墙仍然有其积极的一面。在构建任何一个网络的防御工事时,除了物理上的隔离和目前新近提出的网闸概念外,首要的选择绝对是防火墙。
最后,要说的依然是那句“世界上没有一种技术能真正保证绝对地安全。”安全问题,是从设备到人,从服务器上的每个服务程序到防火墙、IDS等安全产品的综合问题;任何一个环节工作,只是迈向安全的步骤。
附录:
防火墙能够作到些什么?
1.包过滤
具备包过滤的就是防火墙?对,没错!根据对防火墙的定义,凡是能有效阻止网络非法连接的方式,都算防火墙。早期的防火墙一般就是利用设置的条件,监测通过的包的特征来决定放行或者阻止的,包过滤是很重要的一种特性。虽然防火墙技术发展到现在有了很多新的理念提出,但是包过滤依然是非常重要的一环,如同四层交换机首要的仍是要具备包的快速转发这样一个交换机的基本功能一样。通过包过滤,防火墙可以实现阻挡攻击,禁止外部/内部访问某些站点,限制每个ip的流量和连接数。
2.包的透明转发
事实上,由于防火墙一般架设在提供某些服务的服务器前。如果用示意图来表示就是 Server—FireWall—Guest 。用户对服务器的访问的请求与服务器反馈给用户的信息,都需要经过防火墙的转发,因此,很多防火墙具备网关的能力。
3.阻挡外部攻击
如果用户发送的信息是防火墙设置所不允许的,防火墙会立即将其阻断,避免其进入防火墙之后的服务器中。
4.记录攻击
如果有必要,其实防火墙是完全可以将攻击行为都记录下来的,但是由于出于效率上的考虑,目前一般记录攻击的事情都交给IDS(入侵检测系统)来完成了。
以上是所有防火墙都具备的基本特性,虽然很简单,但防火墙技术就是在此基础上逐步发展起来的。
网络安全界永恒不变的10大安全法则
[ 2007-03-25 03:37:10 | 作者: sun ]
1.如果攻击者能够说服您在自己的计算机上运行他的程序,那么该计算机便不再属于您了。
2.如果攻击者能够在您的计算机上更改操作系统,那么该计算机便不再属于您了。
3.如果攻击者能够不受限制地实地访问您地计算机,那么该计算机便不再属于您了。
4.如果您允许攻击者上载程序到您地Web站点,那么该计算机便不再属于您了。
5.再强大地安全性也会葬送在脆弱地密码手里。
6.计算机地安全性受制于管理员的可靠性。
7.加密数据的安全性受制于解密密钥的安全性。
8.过时的病毒扫描程序比没有病毒扫描程序好不了多少。
9.绝对的匿名无论在现实中还是在Web中都不切实际。
10.技术不是万能药。
安全基础知识之全方位了解Mac地址
[ 2007-03-25 03:36:50 | 作者: sun ]
什么是Mac地址?
Mac地址就是在媒体接入层上使用的地址,通俗点说就是网卡的物理地址,现在的Mac地址一般都采用6字节48bit(在早期还有2字节16bit的Mac地址)。
前24位由是生产厂家向IEEE申请的厂商地址(这可是要花钱的哦!据说1000美元才能买一个地址块)。后24位就由生产厂家自行定以了(早期的2字节的却不用申请) 。
IP地址和Mac地址有什么联系和区别
大家都知道,现在有很多计算机都是通过先组建局域网,然后通过交换机和Internet连接的(大学里的校园网就是这样)。然后给每个用户分配固定的IP地址,由管理中心统一管理,这样为了管理方便就需要使用Mac地址来标志用户,防止发生混乱,明确责任(比如网络犯罪)。另外IP地址和Mac地址是有区别的,虽然他们在局域网中是一一对应的关系。IP地址是跟据现在的IPv4标准指定的,不受硬件限制比较容易记忆的地址,而Mac地址却是用网卡的物理地址,多少与硬件有关系,比较难于记忆。
如何知道自己的Mac地址
方法比较多,也比较得简单,在这里介绍两种常用的方法,在Win9x 可用:WinIPcfg获得,在2000、XP可用IPconfig -all获得。如果你已经给自己的网卡分配了IP还可以用 nbtstat -A 自己的IP ,后者只能在2000/XP下使用。
如何获得别人的Mac
其实上面已经涉及到了,如果是2000/XP用户可以用 nbtstat -A IP地址(还可以获得别的东东啊,可别学坏啊)。另外同一局域网内的,你可以用ping IP 或者ping 主机名,然后用arp -a 来获得。
如何修改自己的Mac地址
Mac地址是保存在网卡的EPROM里面,通过网卡生产厂家提供的修改程序可以更改存储器里的地址,即使网卡没有这样的设置我们也可以通过间接的方法修改,一般网卡发出的包的源Mac地址并不是网卡本身写上去的,而是应用程序提供的,只是在通常的实现中,应用程序先从网卡上得到Mac地址,每次发送的时候都用这个Mac做为源Mac而已,Windows中,网卡的Mac保存在注册表中,实际使用也是从注册表中提取的,所以只要修改注册表就可以简单的改变Mac
Win9x中修改:
打开注册表编辑器,在HKEY_LOCAL_MacHINE\SYSTEM\CurrentControlSet\Service\Class\Net\下的0000,0001,0002 Win2000/XP中的修改:同样打开注册表编辑器,HKEY_LOCAL_MACHINE\SYSTEM\
CurrentControlSet\Control\Class\4D36E970-E325-11CE-BFC1-08002BE10318 中的0000,0001,0002中的DriverDesc,如果在0000找到,就在0000下面添加字符串变量,命名为“NetworkAddress”,值为要设置的Mac地址,例如:000102030405 完成上述操作后重启就好了。
Linux下的修改:
1.必须关闭网卡设备,否则会报告系统忙,无法更改。
命令是:“ifconfig eth0 down”。
2.修改Mac地址,这一步较Windows中的修改要简单。
命令是:“ifconfig eth0 hw ether 00AABBCCDDEE”
3.重新启用网卡
“ifconfig eth0 up”网卡的Mac地址更改就完成了。
现在还有很多软件提供了修改Mac地址的功能,如:Mac2001
那么既然IP和Mac地址都可以改,那么怎么防御呢?通过简单的交换机端口绑定(端口的Mac表使用静态表项),可以在每个交换机端口只连接一台主机的情况下防止修改Mac地址的盗用,如果是三层设备还可以提供:交换机端口-IP-Mac 三者的绑定,防止修改Mac的IP盗用,这种方法更有效!还有些方法如配置交换机的VLAN,使用用户认证等,都略显复杂,再次不多浪费笔墨。
安全知识之深入了解网络中的蠕虫病毒
[ 2007-03-25 03:36:40 | 作者: sun ]
蠕虫源起
提到蠕虫,大家都不会陌生,这些自然界中的低等生物以农作物为食,给人类带来经济损失。但是,如果说计算机中也有这样一种名为“蠕虫”的东西存在,同样也给人类带来严重经济损失,你也许会觉得这是天方夜谭,虫子怎么会爬进计算机呢?
1988年11月2日,世界上第一个计算机蠕虫正式诞生。美国康乃尔大学一年级研究生莫里斯为了求证计算机程序能否在不同的计算机之间自我复制传播,他写了一段试验程序,为了程序能顺利进入另一台计算机,他写了一段破解用户口令的代码。11月2日早上5点,这段被称为“Worm”(蠕虫)的程序开始了它的旅行,它果然没有辜负莫里斯的期望:它爬进了几千台电脑,让它们死机,造成了经济损失高达9600万美元的记录。从此,“蠕虫”这个名词传开了,莫里斯也许并不知道:他在证明这个结论的同时,也打开了潘多拉魔盒。
自1988年第一个蠕虫显示出它的威力以来,越来越多的人加入了蠕虫制作阵营,他们用这种途径来证明自己的能力,或者实现一些特殊目的,于是多种多样的蠕虫诞生了。可是不管蠕虫的“行为方式”(它们进入计算机后要做的事情)有多少种,其“传播方式”却仅仅有屈指可数的几种:电子邮件、网页代码、社会工程学以及系统漏洞等。
下面,我们就来看看蠕虫进入计算机的几种主要方式。
破邮箱而出:邮件蠕虫
也许是受遗传的影响吧,最初的莫里斯蠕虫是通过邮件系统复制自身的,发展到现在,蠕虫传播的主流依然是邮件系统,不同的是,蠕虫“前辈”利用的邮件系统能够自动完成协助复制工作,而如今的邮件系统只能负责传播,要启动蠕虫必须由用户打开邮件才可以。
为什么选择邮件传播?因为这是最大的传播系统。为什么用户一打开邮件就被蠕虫撬窗入室?这要从微软的两个古老漏洞说起,它们分别是1999年11月11日的IFrame漏洞和2001年3月29日的MIME漏洞。
IFrame是一段用于往网页里放入一个小页面的HTML语言,它用来实现“框架”结构。当年有好事者测试出一个可怕的现象:往一个页面里放入多个IFrame时,框架里请求运行程序的代码就会被执行,如果有人故意做了一个执行破坏程序的页面,那后果可想而知。由于IFrame的尺寸可以自由设置,因此破坏者可以在一个页面里放入多个“看不见”的框架,并附带多个“看不见”的有害程序,浏览了那个网页的人自然就成了受害者!
和IFrame漏洞相比,MIME漏洞更加出名,它其实只是一小段用来描述信息类型的数据。浏览器通过读取它来得知接收到的数据该怎么处理,如果是文本和图片就显示出来,是程序就弹出下载确认,是音乐就直接播放。请留意最后一个类型:音乐,浏览器对它采取的动作是:播放。
要知道:音乐文件和程序文件都是一样的二进制数据,都需要解码还原数据到系统临时目录里,然后浏览器通过一个简单的文件后缀名判断来决定该用哪种方法处理它。例如用户收到一个MP3文件,MIME把它描述成音乐文件,所以浏览器解码保存这个文件到一个临时目录,而后查找调用这个文件后缀MP3对应的执行程序,这就是一次完整的工作过程;但是问题就出在这个似乎完美的步骤上,如果攻击者给用户发送一个带有EXE后缀可执行文件的邮件,并把它的MIME描述为音乐文件,这时候浏览器会把它解到临时目录,然后根据它的后缀名调用一个能打开它的应用程序——EXE后缀告诉系统,直接运行这个文件!于是这个文件就被顺利执行了,用户的机器也开始遭到破坏。正因为这样,邮件蠕虫才成了如今世界“虫害”的主要来源。靠邮件传播的蠕虫主要有SoBig、MyDoom、求职信等。相对于邮件蠕虫,利用网页传播的蠕虫手段无疑更为高明,它分为两个“门派”:传统派和脚本派。传统派使用的技术又包括两种,一种是用一个IFrame插入一个Mail框架,同样利用MIME漏洞执行蠕虫,这是直接沿用邮件蠕虫的方法;另一种是用IFrame漏洞和浏览器下载文件的漏洞来运作的,首先由一个包含特殊代码的页面去下载放在另一个网站的病毒文件,然后运行它,完成蠕虫传播。
“脚本派”蠕虫就更复杂了,它们不是可执行程序,而是一段具有破坏和自动寻找载体能力进行传播的代码。凑巧的是,Windows系统自身文件夹模板也是通过脚本运作的(由此可见脚本的强大!),于是有人把它们的用途放到了入侵方面,通过一段精心编制的脚本,这只“没有身体”(没有独立执行的程序体)的虫子就很轻松地爬进了千家万户。当然,这类蠕虫实现的功能往往比完整的蠕虫要少,因此编写者让它完成的任务一般也很简单:破坏文件。曾经大面积爆发的欢乐时光就是这样做才令人“谈虫色变”的,虽然它只是一段很简单的文件操作代码集合
细心的读者应该会有个疑问:既然网页蠕虫是通过网页传播的,而看网页的人那么多,它应该成为主流才对啊,为什么却是邮件蠕虫?
其实原因很简单:大部分蠕虫作者不可能在公共热门网站里放入自己的蠕虫框架代码。要知道,往页面里加入代码是要取得服务器管理权限的,这并不是所有人都能做得到的,这就增加了传播的局限性,因此网页蠕虫始终成不了主流。
不记得是谁第一个把网页蠕虫和社会学结合在一起了,但是当QQ第一次被迫自动发出“http://sckiss.yeah.net,你快去看看”的消息时,这一领域的大门被撞开了,“爱情森林”蠕虫的实体是躲在网页背后的EXE木马,又利用QQ把自身网址宣布出去,把这两个看似不相关的方面结合得天衣无缝!这种蠕虫的实现原理很简单:当蠕虫爬进你的机器后,它就会查找QQ进程,截获发送消息事件并且在QQ的信息里自动加入一段诱惑你的话,让你去浏览它藏身的网页而被它爬入电脑,同时成为它的又一个宣传者。显然,这种“宣传”方法成功与否,全在于蠕虫编写者的社会学和心理学,否则稍有经验的人都会知道这是大名鼎鼎的“QQ尾巴”了(图4),例如“想看XX明星绯闻去http://www.xxxxx.com”这种弱智的语言功力,如今已经不能拿来骗人了。
2003年1月,很多人特别是从事信息安全的IT人都记住了这个月,因为在这个月里,全世界的网络被大小仅为376个字节的“小虫子”打败了,直接经济损失超过数百亿美元,更重要的是:这个小蠕虫又开创了一个蠕虫里程碑,它就是“SQL蠕虫王Slammer”,世界上第一个打破常规的蠕虫。它不再像前面那些蠕虫一样安静等待别人来触发了,它要自己闯天下,它把运行的关键指向了SQL溢出漏洞,结果,它成功了:它收拾了全球13台根域名服务器中的8台,导致全球主干网络瘫痪!
“SQL蠕虫王Slammer”所做的一切似乎只为了宣布一件事情:蠕虫也可以这样写!于是这一新领域的蠕虫便迅速发展起来了,利用RPC溢出漏洞的冲击波、冲击波杀手,仓促把玩LSASS溢出漏洞的震荡波、震荡波杀手……这些反客为主的蠕虫在每一次新漏洞被公布之时迅速出现,趁火打劫地加入破坏行列,其间又有些号称“杀手”的“除害蠕虫”,帮人家把前一个蠕虫杀了,然后自己也赖着不走了,成为受害者机器里的又一条蠕虫——拔刀相助,尔后强驻?这似乎不是英雄所为。
系统漏洞蠕虫一般具备一个小型的溢出系统,它随机产生IP并尝试溢出,然后将自身复制过去。它们往往造成被感染系统性能速度迅速降低,甚至系统崩溃,属于最不受欢迎的一类虫子。
蠕虫进入电脑后,会做什么事情呢?现在已经很难下定论了,因为蠕虫的类型已经变得非常复杂,但是它们的最终目的不外乎是:偷密码资料(比如QQ尾巴)、影响用户正常使用机器(比如冲击波)、扰乱网络通讯(比如Nimda)、破坏用户机器(比如欢乐时光)、“借机杀人”(比如MyDoom、SQL蠕虫王)、发email(比如Sobig)等。
蠕虫的防治
蠕虫已经成了当前病毒的主流方式,每年由蠕虫造成的经济损失超过数亿美元,不仅如此,它们还在向威胁人类正常使用电脑的方向发展,如果再不严厉打击制造蠕虫的幕后黑手,总有一天世界网络会被这些小虫子摧毁。
由于蠕虫发展越来越壮大,它的进程也由单一文件变成多进程互相防护、DLL挂钩、文件并联等方式。普通用户要想手工清除这些蠕虫已经变得相当困难,最好的方法是预防。其实大部分蠕虫都是利用了系统漏洞进行传播的,如果用户安全意识较高,那么蠕虫就会无门可钻。专家认为:提高用户的安全防范意识,学习一点常备的电脑维护知识,远比一味跟在蠕虫后面升级杀毒软件的方法更加实际和有效!
WEB专用服务器的安全设置的实战技巧
[ 2007-03-25 03:36:25 | 作者: sun ]
IIS的相关设置:
删除默认建立的站点的虚拟目录,停止默认web站点,删除对应的文件目录c:inetpub,配置所有站点的公共设置,设置好相关的连接数限制,带宽设置以及性能设置等其他设置。配置应用程序映射,删除所有不必要的应用程序扩展,只保留asp,php,cgi,pl,aspx应用程序扩展。对于php和cgi,推荐使用isapi方式解析,用exe解析对安全和性能有所影响。用户程序调试设置发送文本错误信息给户。对于数据库,尽量采用mdb后缀,不需要更改为asp,可在IIS中设置一个mdb的扩展映射,将这个映射使用一个无关的dll文件如C:WINNTsystem32inetsrvssinc.dll来防止数据库被下载。设置IIS的日志保存目录,调整日志记录信息。设置为发送文本错误信息。修改403错误页面,将其转向到其他页,可防止一些扫描器的探测。另外为隐藏系统信息,防止telnet到80端口所泄露的系统版本信息可修改IIS的banner信息,可以使用winhex手工修改或者使用相关软件如banneredit修改。
对于用户站点所在的目录,在此说明一下,用户的FTP根目录下对应三个文件佳,wwwroot,database,logfiles,分别存放站点文件,数据库备份和该站点的日志。如果一旦发生入侵事件可对该用户站点所在目录设置具体的权限,图片所在的目录只给予列目录的权限,程序所在目录如果不需要生成文件(如生成html的程序)不给予写入权限。因为是虚拟主机平常对脚本安全没办法做到细致入微的地步,更多的只能在方法用户从脚本提升权限:
ASP的安全设置:
设置过权限和服务之后,防范asp木马还需要做以下工作,在cmd窗口运行以下命令:
regsvr32/u C:\WINNT\System32\wshom.ocx
del C:\WINNT\System32\wshom.ocx
regsvr32/u C:\WINNT\system32\shell32.dll
del C:\WINNT\system32\shell32.dll
即可将WScript.Shell, Shell.application, WScript.Network组件卸载,可有效防止asp木马通过wscript或shell.application执行命令以及使用木马查看一些系统敏感信息。另法:可取消以上文件的users用户的权限,重新启动IIS即可生效。但不推荐该方法。
另外,对于FSO由于用户程序需要使用,服务器上可以不注销掉该组件,这里只提一下FSO的防范,但并不需要在自动开通空间的虚拟商服务器上使用,只适合于手工开通的站点。可以针对需要FSO和不需要FSO的站点设置两个组,对于需要FSO的用户组给予c:winntsystem32scrrun.dll文件的执行权限,不需要的不给权限。重新启动服务器即可生效。
对于这样的设置结合上面的权限设置,你会发现海阳木马已经在这里失去了作用!
PHP的安全设置:
默认安装的php需要有以下几个注意的问题:
C:\winnt\php.ini只给予users读权限即可。在php.ini里需要做如下设置:
Safe_mode=on
register_globals = Off
allow_url_fopen = Off
display_errors = Off
magic_quotes_gpc = On [默认是on,但需检查一遍]
open_basedir =web目录
disable_functions =passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod
默认设置com.allow_dcom = true修改为false[修改前要取消掉前面的;]
MySQL安全设置:
如果服务器上启用MySQL数据库,MySQL数据库需要注意的安全设置为:
删除mysql中的所有默认用户,只保留本地root帐户,为root用户加上一个复杂的密码。赋予普通用户updatedeletealertcreatedrop权限的时候,并限定到特定的数据库,尤其要避免普通客户拥有对mysql数据库操作的权限。检查mysql.user表,取消不必要用户的shutdown_priv,relo
ad_priv,process_priv和File_priv权限,这些权限可能泄漏更多的服务器信息包括非mysql的其它信息出去。可以为mysql设置一个启动用户,该用户只对mysql目录有权限。设置安装目录的data数据库的权限(此目录存放了mysql数据库的数据信息)。对于mysql安装目录给users加上读取、列目录和执行权限。
Serv-u安全问题:
安装程序尽量采用最新版本,避免采用默认安装目录,设置好serv-u目录所在的权限,设置一个复杂的管理员密码。修改serv-u的banner信息,设置被动模式端口范围(4001—4003)在本地服务器中设置中做好相关安全设置:包括检查匿名密码,禁用反超时调度,拦截“FTP bounce”攻击和FXP,对于在30秒内连接超过3次的用户拦截10分钟。域中的设置为:要求复杂密码,目录只使用小写字母,高级中设置取消允许使用MDTM命令更改文件的日期。
更改serv-u的启动用户:在系统中新建一个用户,设置一个复杂点的密码,不属于任何组。将servu的安装目录给予该用户完全控制权限。建立一个FTP根目录,需要给予这个用户该目录完全控制权限,因为所有的ftp用户上传,删除,更改文件都是继承了该用户的权限,否则无法操作文件。另外需要给该目录以上的上级目录给该用户的读取权限,否则会在连接的时候出现530 Not logged in, home directory does not exist。比如在测试的时候ftp根目录为d:soft,必须给d盘该用户的读取权限,为了安全取消d盘其他文件夹的继承权限。而一般的使用默认的system启动就没有这些问题,因为system一般都拥有这些权限的。
数据库服务器的安全设置
对于专用的MSSQL数据库服务器,按照上文所讲的设置TCP/IP筛选和IP策略,对外只开放1433和5631端口。对于MSSQL首先需要为sa设置一个强壮的密码,使用混合身份验证,加强数据库日志的记录,审核数据库登陆事件的”成功和失败”.删除一些不需要的和危险的OLE自动存储过程(会造成企业管理器中部分功能不能使用),这些过程包括如下:
Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty
Sp_OAMethod Sp_OASetProperty Sp_OAStop
去掉不需要的注册表访问过程,包括有:
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue
Xp_regenumvalues Xp_regread Xp_regremovemultistring
Xp_regwrite
去掉其他系统存储过程,如果认为还有威胁,当然要小心Drop这些过程,可以在测试机器上测试,保证正常的系统能完成工作,这些过程包括:
xp_cmdshell xp_dirtree xp_dropwebtask sp_addsrvrolemember
xp_makewebtask xp_runwebtask xp_subdirs sp_addlogin
sp_addextendedproc
在实例属性中选择TCP/IP协议的属性。选择隐藏 SQL Server 实例可防止对1434端口的探测,可修改默认使用的1433端口。除去数据库的guest账户把未经认可的使用者据之在外。 例外情况是master和 tempdb 数据库,因为对他们guest帐户是必需的。另外注意设置好各个数据库用户的权限,对于这些用户只给予所在数据库的一些权限。在程序中不要用sa用户去连接任何数据库。网络上有建议大家使用协议加密的,千万不要这么做,否则你只能重装MSSQL了。
入侵检测和数据备份
入侵检测工作
作为服务器的日常管理,入侵检测是一项非常重要的工作,在平常的检测过程中,主要包含日常的服务器安全例行检查和遭到入侵时的入侵检查,也就是分为在入侵进行时的安全检查和在入侵前后的安全检查。系统的安全性遵循木桶原理,木桶原理指的是:一个木桶由许多块木板组成,如果组成木桶的这些木板长短不一,那么这个木桶的最大容量不取决于长的木板,而取决于最短的那块木板。应用到安全方面也就是说系统的安全性取决于系统中最脆弱的地方,这些地方是日常的安全检测的重点所在。
日常的安全检测
日常安全检测主要针对系统的安全性,工作主要按照以下步骤进行:
1.查看服务器状态:
打开进程管理器,查看服务器性能,观察CPU和内存使用状况。查看是否有CPU和内存占用过高等异常情况。
2.检查当前进程情况
切换“任务管理器”到进程,查找有无可疑的应用程序或后台进程在运行。用进程管理器查看进程时里面会有一项taskmgr,这个是进程管理器自身的进程。如果正在运行windows更新会有一项wuauclt.exe进程。对于拿不准的进程或者说不知道是服务器上哪个应用程序开启的进程,可以在网络上搜索一下该进程名加以确定[进程知识库:http://www.dofile.com/]。通常的后门如果有进程的话,一般会取一个与系统进程类似的名称,如svch0st.exe,此时要仔细辨别[通常迷惑手段是变字母o为数字0,变字母l为数字1]
3.检查系统帐号
打开计算机管理,展开本地用户和组选项,查看组选项,查看administrators组是否添加有新帐号,检查是否有克隆帐号。
4.查看当前端口开放情况
使用activeport,查看当前的端口连接情况,尤其是注意与外部连接着的端口情况,看是否有未经允许的端口与外界在通信。如有,立即关闭该端口并记录下该端口对应的程序并记录,将该程序转移到其他目录下存放以便后来分析。打开计算机管理==》软件环境==》正在运行任务[在此处可以查看进程管理器中看不到的隐藏进程],查看当前运行的程序,如果有不明程序,记录下该程序的位置,打开任务管理器结束该进程,对于采用了守护进程的后门等程序可尝试结束进程树,如仍然无法结束,在注册表中搜索该程序名,删除掉相关键值,切换到安全模式下删除掉相关的程序文件。
5.检查系统服务
运行services.msc,检查处于已启动状态的服务,查看是否有新加的未知服务并确定服务的用途。对于不清楚的服务打开该服务的属性,查看该服务所对应的可执行文件是什么,如果确定该文件是系统内的正常使用的文件,可粗略放过。查看是否有其他正常开放服务依存在该服务上,如果有,可以粗略的放过。如果无法确定该执行文件是否是系统内正常文件并且没有其他正常开放服务依存在该服务上,可暂时停止掉该服务,然后测试下各种应用是否正常。对于一些后门由于采用了hook系统API技术,添加的服务项目在服务管理器中是无法看到的,这时需要打开注册表中的HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices项进行查找,通过查看各服务的名称、对应的执行文件来确定是否是后门、木马程序等。
6.查看相关日志
运行eventvwr.msc,粗略检查系统中的相关日志记录。在查看时在对应的日志记录上点右键选“属性”,在“筛选器”中设置一个日志筛选器,只选择错误、警告,查看日志的来源和具体描述信息。对于出现的错误如能在服务器常见故障排除中找到解决办法则依照该办法处理该问题,如果无解决办法则记录下该问题,详细记录下事件来源、ID号和具体描述信息,以便找到问题解决的办法。
7.检查系统文件
主要检查系统盘的exe和dll文件,建议系统安装完毕之后用dir *.exe /s >1.txt将C盘所有的exe文件列表保存下来,然后每次检查的时候再用该命令生成一份当时的列表,用fc比较两个文件,同样如此针对dll文件做相关检查。需要注意的是打补丁或者安装软件后重新生成一次原始列表。检查相关系统文件是否被替换或系统中是否被安装了木马后门等恶意程序。必要时可运行一次杀毒程序对系统盘进行一次扫描处理。
8.检查安全策略是否更改
打开本地连接的属性,查看“常规”中是否只勾选了“TCP/IP协议”,打开“TCP/IP”协议设置,点“高级”==》“选项”,查看“IP安全机制”是否是设定的IP策略,查看“TCP/IP”筛选允许的端口有没有被更改。打开“管理工具”=》“本地安全策略”,查看目前使用的IP安全策略是否发生更改。
9.检查目录权限
重点查看系统目录和重要的应用程序权限是否被更改。需要查看的目录有c:;c:winnt;
C:winntsystem32;c:winntsystem32inetsrv;c:winntsystem32inetsrvdata;c:documents and
Settings;然后再检查serv-u安装目录,查看这些目录的权限是否做过变动。检查system32下的一些重要文件是否更改过权限,包括:cmd,net,ftp,tftp,cacls等文件。
10.检查启动项
主要检查当前的开机自启动程序。可以使用AReporter来检查开机自启动的程序。
发现入侵时的应对措施
对于即时发现的入侵事件,以下情况针对系统已遭受到破坏情况下的处理,系统未遭受到破坏或暂时无法察觉到破坏先按照上述的检查步骤检查一遍后再酌情考虑以下措施。系统遭受到破坏后应立即采取以下措施:
视情况严重决定处理的方式,是通过远程处理还是通过实地处理。如情况严重建议采用实地处理。如采用实地处理,在发现入侵的第一时间通知机房关闭服务器,待处理人员赶到机房时断开网线,再进入系统进行检查。如采用远程处理,如情况严重第一时间停止所有应用服务,更改IP策略为只允许远程管理端口进行连接然后重新启动服务器,重新启动之后再远程连接上去进行处理,重启前先用AReporter检查开机自启动的程序。然后再进行安全检查。
以下处理措施针对用户站点被入侵但未危及系统的情况,如果用户要求加强自己站点的安全性,可按如下方式加固用户站点的安全:
站点根目录----只给administrator读取权限,权限继承下去。
wwwroot ------给web用户读取、写入权限。高级里面有删除子文件夹和文件权限
logfiles------给system写入权限。
database------给web用户读取、写入权限。高级里面没有删除子文件夹和文件权限
如需要进一步修改,可针对用户站点的特性对于普通文件存放目录如html、js、图片文件夹只给读取权限,对asp等脚本文件给予上表中的权限。另外查看该用户站点对应的安全日志,找出漏洞原因,协助用户修补程序漏洞。
数据备份和数据恢复
数据备份工作大致如下:
1. 每月备份一次系统数据。
2. 备份系统后的两周单独备份一次应用程序数据,主要包括IIS、serv-u、数据库等数据。
3. 确保备份数据的安全,并分类放置这些数据备份。因基本上采用的都是全备份方法,对于数据的保留周期可以只保留该次备份和上次备份数据两份即可。
数据恢复工作:
1.系统崩溃或遇到其他不可恢复系统正常状态情况时,先对上次系统备份后发生的一些更改事件如应用程序、安全策略等的设置做好备份,恢复完系统后再恢复这些更改。
2.应用程序等出错采用最近一次的备份数据恢复相关内容。
服务器性能优化
1 服务器性能优化
系统性能优化
整理系统空间:
删除系统备份文件,删除驱动备份,刪除不用的輸入法,刪除系统的帮助文件,卸载不常用的组件。最小化C盘文件。
性能优化:
删除多余的开机自动运行程序;减少预读取,减少进度条等待时间;让系统自动关闭停止响应的程序;禁用错误报告,但在发生严重错误时通知;关闭自动更新,改为手动更新计算机;启用硬件和DirectX加速;禁用关机事件跟踪;禁用配置服务器向导; 减少开机磁盘扫描等待时间;将处理器计划和内存使用都调到应用程序上;调整虚拟内存;内存优化;修改cpu的二级缓存;修改磁盘缓存。
IIS性能优化
1、调整IIS高速缓存
HKEY_LOCAL_MACHINE\ System\CurrentControlSet\Services\InetInfoParametersMemoryCacheSize
MemoryCacheSize的范围是从0道4GB,缺省值为3072000(3MB)。一般来说此值最小应设为服务器内存的10%。IIS通过高速缓存系统句柄、目录列表以及其他常用数据的值来提高系统的性能。这个参数指明了分配给高速缓存的内存大小。如果该值为0,那就意味着“不进行任何高速缓存”。在这种情况下系统的性能可能会降低。如果你的服务器网络通讯繁忙,并且有足够的内存空间,可以考虑增大该值。必须注意的是修改注册表后,需要重新启动才能使新值生效。
2.不要关闭系统服务: “Protected Storage”
3.对访问流量进行限制
A.对站点访问人数进行限制
B.站点带宽限制。保持HTTP连接。
C.进程限制, 输入CPU的耗用百分比
4.提高IIS的处理效率
应用程序设置”处的“应用程序保护”下拉按钮,从弹出的下拉列表中,选中“低(IIS进程)”选项,IIS服务器处理程序的效率可以提高20%左右。但此设置会带来严重的安全问题,不值得推荐。
5.将IIS服务器设置为独立的服务器
A.提高硬件配置来优化IIS性能硬盘:硬盘空间被NT和IIS服务以如下两种方式使用:一种是简单地存储数据;另一种是作为虚拟内存使用。如果使用Ultra2的SCSI硬盘,可以显著提高IIS的性能。
B.可以把NT服务器的页交换文件分布到多个物理磁盘上,注意是多个“物理磁盘”,分布在多个分区上是无效的。另外,不要将页交换文件放在与WIndows NT引导区相同的分区中。
C.使用磁盘镜像或磁盘带区集可以提高磁盘的读取性能。
D.最好把所有的数据都储存在一个单独的分区里。然后定期运行磁盘碎片整理程序以保证在存储Web服务器数据的分区中没有碎片。使用NTFS有助于减少碎片。推荐使用Norton的Speeddisk,可以很快的整理NTFS分区。
6.起用HTTP压缩
HTTP压缩是在Web服务器和浏览器间传输压缩文本内容的方法。HTTP压缩采用通用的压缩算法如gzip等压缩HTML、JavaScript或CSS文件。可使用pipeboost进行设置。
7.起用资源回收
使用IIS5Recycle定时回收进程资源。
服务器常见故障排除
1. ASP“请求的资源正在使用中”的解决办法:
该问题一般与杀毒软件有关,在服务器上安装个人版杀毒软件所致。出现这种错误可以通过卸载杀毒软件解决,也可尝试重新注册vbscript.dll和jscript.dll来解决,在命令行下运行:regsvr32 vbscript.dll 和regsvr32 jscript.dll即可。
2.ASP500错误解决办法:
首先确定该问题是否是单一站点存在还是所有站点存在,如果是单一站点存在该问题,则是网站程序的问题,可打开该站点的错误提示,把IE的“显示友好HTTP错误”信息取消,查看具体错误信息,然后对应修改相关程序。如是所有站点存在该问题,并且HTML页面没有出现该问题,相关日志出现“服务器无法加载应用程序‘/LM/W3SVC/1/ROOT‘。错误是 ‘不支持此接口‘”。那十有八九是服务器系统中的ASP相关组件出现了问题,重新启动IIS服务,尝试是否可以解决该问题,无法解决重新启动系统尝试是否可解决该问题,如无法解决可重新修复一下ASP组件:
首先删除com组件中的关于IIS的三个东西,需要先将属性里的高级中“禁止删除”的勾选取消。
命令行中,输入“cd winnt\system32\inetsrv”字符串命令,单击回车键后,再执行“rundll32 wamreg.dll,CreateIISPackage”命令,接着再依次执行“regsvr32 asptxn.dll”命令、“iisreset”命令,最后重新启动一下计算机操作系统,这样IIS服务器就能重新正确响应ASP脚本页面了。
3. IIS出现105错误:
在系统日志中“服务器无法注册管理工具发现信息。管理工具可能无法看到此服务器” 来源:w3svc ID:105解决办法:
在网络连接中重新安装netbios协议即可,安装完成之后取消掉勾选。
4.MySQL服务无法启动【错误代码1067】的解决方法
启动MySQL服务时都会在中途报错!内容为:在 本地计算机 无法启动MySQL服务 错误1067:进程意外中止。
解决方法:查找Windows目录下的my.ini文件,编辑内容(如果没有该文件,则新建一个),至少包含
basedir,datadir这两个基本的配置。
[mysqld]
# set basedir to installation path, e.g., c:/mysql
# 设置为MYSQL的安装目录
basedir=D:/www/WebServer/MySQL
# set datadir to location of data directory,
# e.g., c:/mysql/data or d:/mydata/data
# 设置为MYSQL的数据目录
datadir=D:/www/WebServer/MySQL/data
注意,我在更改系统的temp目录之后没有对更改后的目录给予system用户的权限也出现过该问题。
5.DllHotst进程消耗cpu 100%的问题
服务器正常CPU消耗应该在75%以下,而且CPU消耗应该是上下起伏的,出现这种问题的服务器,CPU会突然一直处100%的水平,而且不会下降。
查看任务管理器,可以发现是DLLHOST.EXE消耗了所有的CPU空闲时间,管理员在这种情况下,只好重新启动IIS服务,奇怪的是,重新启动IIS服务后一切正常,但可能过了一段时间后,问题又再次出现了。
直接原因:
有一个或多个ACCESS数据库在多次读写过程中损坏, MDAC系统在写入这个损坏的ACCESS文件时,ASP线程处于BLOCK状态,结果其他线程只能等待,IIS被死锁了,全部的CPU时间都消耗在DLLHOST中。
解决办法:
把数据库下载到本地,然后用ACCESS打开,进行修复操作。再上传到网站。如果还不行,只有新建一个ACCESS数据库,再从原来的数据库中导入所有表和记录。然后把新数据库上传到服务器上。
6.Windows installer出错:
在安装软件的时候出现“不能访问windows installer 服务。可能你在安全模式下运行 windows ,或者windows installer 没有正确的安装。请和你的支持人员联系以获得帮助” 如果试图重新安装InstMsiW.exe,提示:“指定的服务已存在”。
解决办法:
关于installer的错误,可能还有其他错误提示,可尝试以下解决办法:
首先确认是否是权限方面的问题,提示信息会提供相关信息,如果是权限问题,给予winnt目录everyone权限即可[安装完把权限改回来即可]。如果提示的是上述信息,可以尝试以下解决方法:运行“msiexec /unregserver”卸载Windows Installer服务,如果无法卸载可使用SRVINSTW进行卸载,然后下载windows installer的安装程序[地址:http://www.newhua.com/cfan/200410/instmsiw.exe],用winrar解压该文件,在解压缩出来的文件夹里面找到msi.inf文件,右键单击选择“安装”,重新启动系统后运行“msiexec /regserver”重新注册Windows Installer服务。
服务器管理
服务器日常管理安排
服务器管理工作必须规范严谨,尤其在不是只有一位管理员的时候,日常管理工作包括:
1.服务器的定时重启。每台服务器保证每周重新启动一次。重新启动之后要进行复查,确认服务器已经启动了,确认服务器上的各项服务均恢复正常。对于没有启动起来或服务未能及时恢复的情况要采取相应措施。前者可请求托管商的相关工作人员帮忙手工重新启动,必要时可要求让连接上显示器确认是否已启动起来;后者需要远程登陆上服务器进行原因查找并根据原因尝试恢复服务。
2.服务器的安全、性能检查,每服务器至少保证每周登陆两次粗略检查两次。每次检查的结果要求进行登记在册。如需要使用一些工具进行检查,可直接在e:tools中查找到相关工具。对于临时需要从网络上找的工具,首先将IE的安全级别调整到高,然后在网络上进行查找,不要去任何不明站点下载,尽量选择如华军、天空等大型网站进行下载,下载后确保当前杀毒软件已升级到最新版本,升级完毕后对下载的软件进行一次杀毒,确认正常后方能使用。对于下载的新工具对以后维护需要使用的话,将该工具保存到e:tools下,并在该目录中的readme.txt文件中做好相应记录,记录该工具的名称,功能,使用方法。并且在该文件夹中的rar文件夹中保留一份该工具的winrar压缩文件备份,设置解压密码。
3.服务器的数据备份工作,每服务器至少保证每月备份一次系统数据,系统备份采用ghost方式,对于ghost文件固定存放在e:ghost文件目录下,文件名以备份的日期命名,如0824.gho,每服务器至少保证每两周备份一次应用程序数据,每服务器至少保证每月备份一次用户数据,备份的数据固定存放在e:databak文件夹,针对各种数据再建立对应的子文件夹,如serv-u用户数据放在该文件夹下的servu文件夹下,iis站点数据存放在该文件夹下的iis文件夹下。
4.服务器的监控工作,每天正常工作期间必须保证监视所有服务器状态,一旦发现服务停止要及时采取相应措施。对于发现服务停止,首先检查该服务器上同类型的服务是否中断,如所有同类型的服务都已中断及时登陆服务器查看相关原因并针对该原因尝试重新开启对应服务。
5.服务器的相关日志操作,每服务器保证每月对相关日志进行一次清理,清理前对应的各项日志如应用程序日志、安全日志、系统日志等都应选择“保存日志”。所有的日志文件统一保存在e:logs下,应用程序日志保存在e:logsapp中,系统程序日志保存在e:logssys中,安全日志保存在e:logssec中。对于另外其他一些应用程序的日志,也按照这个方式进行处理,如ftp的日志保存在e:logsftp中。所有的备份日志文件都以备份的日期命名,如20050824.evt。对于不是单文件形式的日志,在对应的记录位置下建立一个以日期命名的文件夹,将这些文件存放在该文件夹中。
6.服务器的补丁修补、应用程序更新工作,对于新出的漏洞补丁,应用程序方面的安全更新一定要在发现的第一时间给每服务器打上应用程序的补丁。
7.服务器的隐患检查工作,主要包括安全隐患、性能等方面。每服务器必须保证每月重点的单独检查一次。每次的检查结果必须做好记录。
8.不定时的相关工作,每服务器由于应用软件更改或其他某原因需要安装新的应用程序或卸载应用程序等操作必须知会所有管理员。
9.定期的管理密码更改工作,每服务器保证至少每两个月更改一次密码,对于SQL服务器由于如果SQL采用混合验证更改系统管理员密码会影响数据库的使用则不予修改。
相关建议:对每服务器设立一个服务器管理记载,管理员每次登陆系统都应该在此中进行详细的记录,共需要记录以下几项:登入时间,退出时间,登入时服务器状态[包含不明进程记录,端口连接状态,系统帐号状态,内存/CPU状态],详细操作情况记录[详细记录下管理员登陆系统后的每一步操作]。无论是远程登陆操作还是物理接触操作都要进行记录,然后将这些记录按照各服务器归档,按时间顺序整理好文档。
对于数据备份、服务器定时重启等操作建议将服务器分组,例如分成四组,每月的周六晚备份一组服务器的数据,每周的某一天定时去重启一组的服务器,这样对于工作的开展比较方便,这些属于固定性的工作。另外有些工作可以同步进行,如每月一次的数据备份、安全检查和管理员密码修改工作,先进行数据备份,然后进行安全检查,再修改密码。对于需要的即时操作如服务器补丁程序的安装、服务器不定时的故障维护等工作,这些属于即时性的工作,但是原则上即时性的工作不能影响固定工作的安排。
管理员日常注意事项
在服务器管理过程中,管理员需要注意以下事项:
1.对自己的每一次操作应做好详细记录,具体见上述建议,以便于后来检查。
2.努力提高自身水平,加强学习。