服务器安全隐患和基本解决办法

现在被黑的人越来越多了.小弟就献丑写篇关于安全的文章吧.跟各位大牛比起来.这篇东西一笑而过了.希望大牛们不要喷我,我就把我自己的经验写出来吧.瞎写的.大牛们可以飘过了. 
原来在EST看过CK一篇关于Win2003服务器的文章.还在百度看过很多关于安全维护方面的文章.各大网管想必都看过.那为什么他们仍然被黑呢?其实他们看的只是一些上传漏洞和注入漏洞的封补方法.他们也很懒.IP筛选.本地策略.ARP那些他们都没做.现在虚拟机管理系统(C/S)都会自动分配权限的.比如说蓝芒虚拟机管理系统,还有Serv-U.都是指定到每个帐号分配的目录.而且自动设置用户的权限.如果用户有特别的权限要求,比如说"执行,允许匿名访问等",这些用户可以联系网管或所管辖的IDC,要求他们分配权限.但是现在的IDC对客户也放的比较松.所以很容易社会工程.原来听某人说,广东惠州某IDC,只要把机主姓名和服务器IP发过去.就可以帮客户重启服务器.并且登陆.试想,如果攻击者在启动项写入了VBS等提权脚本和木马,那么就可以直接获得服务器权限.一个薄弱环节.可以让攻击者获得服务器的最高权限,甚至如果攻击者使用Exploits或者Arp-Sniffer的话.可以获得整个域的权限.网管在做服务器安全的时候,首先必须以保障通信安全性能高为标准.服务器通信速度慢一点没关系.只要通信安全了,就可以了.关于带宽的分配是机柜带宽分配和电信ISP的事.一般的WEB主机是100M共享和10M单线的.那么游戏独立服务器也是100M共享和10单线.私人和公司(oa)服务器.一般速度比较高一点.

一、IDC-WEB主机和服务器

1.SQL注入漏洞. 
这个漏洞比较常见,比如说asp+Access注入,Asp+MSSQL注入.Aspx+MSSQL注入等等. 
注入漏洞主要是利用ASP程序连接数据库未过滤的情况下,利用select from,update等语句执行任意SQL语句.但是这个漏洞如果在ACcess上使用,那么只能用查询了.ACCESS是封装的数据库.但是SQL就不同了.MSSQL利用的漏洞有很多,比如说权限分配不好,可以通过SQL拓展和权限的薄弱,列目录,差异备份LOG文件,跨库查询,CMD命令行执行.MSSQL的exec等命令.防止这个漏洞的相关方法,就是禁止在GET参数后面使用修改任意字符.比如说"and 1=1"等等.网络上有很多防注入程序.还要注意的几个不起眼的注入特征符."/**/","%".%准确来说.是字符经过转码了.可以转换很多种编码.比如说HTML编码.WINHEX等.都可以扰过很多防注入文件.微软的MSSQL是建立在Windows平台的.他有两种方式验证用户,一种是MSSQL用户,一种是Windows身份验证.所以极度不安全就在这里.如果一个攻击者拿到系统权限.那么他可以修改管理员密码.然后利用管理员密码,用Windows身份验证登陆到本机MSSQL,可以查阅对应数据库任何资料.以及修改,删除.还可以建立一个SYSTEM ADMIN权限的SQL帐号.这里一般的解决办法.网管在建立MSSQL管理帐号时,千万切记别采用默认模式登陆.MSSQL如果是用默认的模式登陆的话,那么可以使用Windows用户验证.所以只能采用MSSQL帐户.删除xp_cmdshell等.各个盘都设置权限.不允许MSSQL直接访问盘符根目录.WEB目录名称尽量复杂点.别用Vhost,wwwroot等.这里可以防范基本的攻击者列目录.大家最好是做数据库分离.教大家一个比较变态的数据库分离方法.在服务器装个虚拟机.ViasulPC也可以.就装个Windows2003,如果大家有需要.可以自己租一个服务器.然后自己用共享模式上网,跟虚拟机共享,把数据库放在虚拟机里面.那么数据库也就是在内网了.实际上跟本机一样.现在数据库在外网已经TELNET不进1433了.就算别人得到了数据库服务器也没什么用.前几天在CK空间看了一篇他入侵时碰到的一个有趣的事.数据库分离的.那黑客气的要死.在INETPUB目录写了个骂管理员的ASP文件.如果是用的整站系统.请及时更新关注官方的漏洞和补丁公告.

2.上传漏洞. 
这漏洞出的最多.FHOD他们前段时间利用上传漏洞获得了动易官方的权限.上传漏洞现在很泛滥.比如说动力文章的上传,动易上传漏洞等.最常见的上传漏洞是抓包.攻击者先用抓包攻击监听IE进程.然后在IE提交数据.获得IE-POST提交的数据包.通过修改数据库包,再用NC提交,获得一个Webshell.还有动易最新出的那个Space上传漏洞.那个是利用2003系统目录引起的.可以直接提交.就算动易有验证伪装图片的功能.但是攻击者可以把ASP木马通过捆绑数据库功能改成JPG或GIF格式文件绕过验证.还有程序员在写程序的时候,没有过滤掉aaspsp等文件名.程序会认为aaspsp格式文件为ASP格式.可以直接上传.像动网DVBBS论坛.我们可以把ASP格式的WEBSHELL马.利用数据库合并器捆绑成RAR格式的文件上传.然后很轻松的绕过了动网的验证进行备份.然后获得WEBSHELL.DVBBS原来FHOD还发现过跨站漏洞.可以获得管理员的COOKIES.一旦让黑客利用上传漏洞获得Webshell,那么你的服务器也不安全了.就算你把一些服务器上传组件删了.比如说不允许传EXE那些.黑客可以利用你网站的上传漏洞.把RAR上传进去.传进去以后.利用WSCRIPT.SHELL组件,执行WINRAR.EXE,把EXE文件解压到服务器.这里建议大家如果没有必要.请禁用Wscript.shell组件,把Winrar的执行权限也设置下.Ewebeditor可以直接添加上传任何文件的程序.这个大家一定要注意.自己的Ewebeditor默认数据库和后台登陆页面要改掉.一定别用默认的.网管可以把WEB程序上传目录设置下权限.不允许执行ASP等脚本.那么攻击者上传了ASP也执行不了.执行不了脚本.别人也没办法通过上传获得Webshell了.还有关于新闻发布上传提交获得webshell的.在后台发布新闻,有些企业站发布一条新闻.其地址不是GET方式发布的.而是xxxxx.asp,攻击者可以抓取IE,然后抓到数据库.插一句话木马.用NC提交到服务器.发布以后,xxxxx.asp就是攻击者已经插入一句话的页面了.连接后可以插入WEBSHELL代码生成一个网站后门.然后再通过系统组件漏洞获得服务器权限.这些漏洞出在程序里.大家自己去研究就能找到根源了.一般整站的上传漏洞,官方都及时更新了补丁.大家写完代码以后,可以多看看.可以多测试一下安全.在确定没有安全隐患的情况下再使用程序.还有session那些漏洞,我就不一一列举了.大家可以去google搜索下.

3.系统漏洞 
问:如果我的程序和组件相关的安全都做好了.那么是不是我的服务器就安全了? 
答:错了! 
问:为什么呢?程序上传和注入漏洞也没了.那么为什么还有隐患? 
答:微软提供的WindowsServer家族服务器版本虽然方便快捷,但是仍然存在着安全隐患.这个跟程序无关.是系统本身的漏洞.一般攻击者都是通过缓冲区溢出漏洞直接获得CMDSHELL或者系统权限.比如说IIS写权限漏洞,可以匿名访问IIS,并且写入ASP木马,获得WEBSHELL.比如说WEBDAV溢出,先用NC监听本地端口.再去溢出对方端口.获得一个CMDSHELL.然后通过管理命令获得远程控制权限.这些漏洞在官方没有提供解决方案之前,是没有办法修复的.如果是Linux系统的话,开放过源码了.大家可以自己修改.但是微软没公布源码.所以要随时关注微软官方发布的公告.有条件和需要的企业可以联系微软公司,申请一套Datacenter服务器系统.这款系统没有在市场发行,是微软专门为客户需要定做的一套系统.价格昂贵.赠送liense.但是安全性非常高.不过申请有点难度.因为datacenter各大企业都没有采用.就是因为它的价格.相关信息可以去看看Microsoft的系列广播和资料.在这里感谢Cloudx的帮助.在我学MCSE的时候,他帮了我很多.还是他要我去MS看广播的.网管们可以随时关注MS公布的补丁.如果对系统漏洞想研究的朋友们.可以去安全焦点或教主的0DAY公布站点随时关注漏洞利用程序的发布.然后再关注下MS的公告.对学习很有帮助.

4.Arp-Sniffer 
这个漏洞最值得关注.这里我举个例子.朽木被入侵,攻击者就是通过Arp欺骗获得朽木网站后台等帐号密码等信息的.当时就是因为那个机房的技术员不会做MAC绑定.才被攻击者利用的.Arp攻击技术最简单的解释就是A机器发送欺骗报给B机器,B机器收到报文后.整个网段的机器全部会响应到B机器.然后B机器发送数据报文到A机器.这些数据报文中,存在B机器的MAC地址.然后A收到B的数据后,更新A的缓存表.然后使用B的MAC发送数据.实际伪造出来的A变成不存在的MAC地址.这样会使网络阻塞.但是如果是SNIFFER的话.跟ARP原理查不多.但是SNIFFER是通过MAC欺骗绕过验证.截获A和B之间互相传递的数据.这时候,A和B都会产生响应.也就是我们所说的内网跳板.用网关A,去欺骗目标B机器.我们在中间截获数据.如果没做MAC绑定,那么所有数据都会显示在我们这里了.SNIFFER必须在同一个网段,也就是我们说的同段局域网.C段地址要一样.解决方法可以用ipconfig /all看下自己的MAC.然后用arp -s ip mac地址 就可以绑定MAC地址了.如果实在不会.大家用google搜索下.大家也可以用arp /? 看下.有相关的命令帮助. 
Example: 
> arp -s 157.55.85.212 00-aa-00-62-c6-09 .... Adds a static entry. 
> arp -a .... Displays the arp table. 
这个就是格式了.arp -a可以查看有没有人在通过网关ARP你的服务器.关于这东西,大家最好是去微软官方的广播看看.

5.密码 
关于密码设置问题.这个是也很容易获得权限的.这都是人为漏洞.比如说某公司员工,为了更容易的记住密码.就随意把密码设置成生日,手机号码,姓名的拼音等.建议大家把密码设置的复杂点.特别是服务器的密码.比如说数据库和系统密码.WEB密码也要好好设置.大小写+符号.长度在10-15位左右.定期换一次密码.这样攻击者在破解你密码的时候.还没破解出来,你又改密码了.关于密码这个问题.千万不要设置成纯数字.如果是纯小写.可以在密码结尾设置2个或者3个好记点的数字.长度最好是12-17位.这个东西我就不说了.一定要把系统Administrator给改名或者停用.Guest停用.然后改名.帐户策略也要设置好.

6.组件和权限 
攻击者现在拥有一个系统的帐号.你完全不用害怕他会改动你的IIS组件内设置.你可以把INTER信息服务设置一个密码.然后把系统*.msc复制到你指定的一个文件夹.再设置加密.然后只允许你的帐号使用.接着隐藏起来.那么攻击者改不了你任何组件.也不能查看和增加删除.Wscript.shell删除. Net.exe删除. Cmd.exe设置好权限.所有目录全部要设置好权限.如不需要.除WEB目录外.其他所有目录.禁止IIS组用户访问.只允许Administrators组进行访问和修改.还一个变态权限的设置.前面我已经说了MSC文件的访问权限.你可以设置Admin,Admin1,Admin2……,admin只赋予修改权限,admin1只赋予读取和运行权限,admin2只赋予列出文件夹和目录权限,admin3只赋予写入权限,admin4只赋予读取权限.然后每个帐户根据需要分配配额.这样的话.就算有VBS脚本.删除了NET.EXE,对方也提不起权.如果是没运行权限的用户不小心启动了攻击者的木马.那么也没权限运行和修改.Windows提供了屏幕保护功能.建议大家还可以安装一个第三方提供的屏幕保护锁.那样你的系统又可以多一重安全保障.建议大家千万不要使用Pcanywhere等软件.除非你权限设置通过自己的测试了.Pcanywhere有一个文件系统,如果权限没分配好,用户可以通过PCANYWHERE的文件系统,在启动项写木马.然后等待你登陆.大家没这需要.建议就用默认的3389就好了.端口就算改了别人也可以扫出来.还不如就用默认的.攻击者在获得你系统权限并登陆到3389以后.你的第二道安全锁(第三方系统锁)把他死死的锁在外面了.这样别人就进不了你系统了.记住.千万不能乱开权限.不然后果不堪设想.如果是独立服务器.没必要使用WEB时,请把多余的IIS等服务关闭.以免引起不必要的损失.用优化大师禁止远程注册表的访问那些.还有IPC空连接.

7.DDOS 
大家都知道这个攻击.这个攻击是TCP/IP第三次握手协议的问题.现在的DDOS纯粹是靠网络带宽的流量值.攻击者用大量流量攻击你,让你网络阻塞.造成网络瘫痪.损失极为惨重.目前很多企业采用硬防+软防来抵抗DDOS攻击.效果是有,但是如果对方流量很大,傀儡机器很多的话.那么也是无力的抵抗.大家可以去加固下TCP/IP协议栈.硬防+软防是必须的.必要情况下,可以做群集.这个问题.大家还是去问问专家的建议.我也没找到很好的解决办法.除非你带宽很大.而且防御设备很厉害.不然的话.抵抗不了多大的DDOS.希望大家也多多研究下防御DDOS的方法.

8.低级漏洞 
这漏洞我不想写了.不过还是写出来吧.比如说一些默认数据库,默认帐号密码,默认上传页面(没有封补上传漏洞的.),管理员帐号密码过于简单等等.这些也不必我写下去了.写了也是废话.反正大家注意点就好了.

PS:本来还想写点VPN那些什么的.不写了.累了.写这东西写一通宵了.就写到这里吧.有什么问题的,来BBS.YESHACK.COM发贴吧.在我能力之内的.我尽量帮大家解决.我解决不了的,YESHACK还有很多人可以帮你解决.大家每一次被入侵,不要以为花多少时间恢复数据就没事了.,应该好好想想是怎么被攻击者入侵的.自己好好检测系统的薄弱环节.以免再次被攻击者利用这个漏洞入侵.偶尔学习一点点入侵检测技术对网管和程序员没害处.反正大家多关注漏洞公告和一般入侵漏洞利用方法,就能找出自己系统中存在的漏洞了.不说废话鸟.- -||