受影响系统：

　　Cisco VPN 3000 Concentrator < 4.1

　　Cisco VPN 3000 Concentrator 4.7.x <= 4.7(2)F

　　Cisco VPN 3000 Concentrator 4.1.x <= 4.1(7)L

　　描述：

　　BUGTRAQ ID: 19680

　　Cisco VPN系列集线器由通用的远程访问虚拟专网（VPN）平台和将高可用性、高性能和可扩展性与当今最先进的加密和认证技术结合在一起的客户机软件组成，可以为专业运营商或企业用户提供服务。

　　如果启用FTP做为文件管理协议的话，则Cisco VPN 3000系列集线器中存在两个漏洞，攻击者可以利用这个漏洞执行以下FTP命令：

　　* CWD - 更改工作目录

　　* MKD - 创建目录

　　* CDUP - 将目录更改到上一级目录

　　* RNFR - 重新命名文件

　　* SIZE - 获得文件大小

　　* RMD - 删除目录

　　成功利用这些漏洞可能允许攻击者：

　　* 通过CWD、CDUP和SIZE FTP命令执行网络侦察。

　　* 通过RNFR和RMD FTP命令重新命名或删除配置和证书文件，更改集线器的配置。

　　请注意由于这些漏洞均不允许非授权用户从集线器上传或下载文件，因此无法通过利用这些漏洞获得设备配置或上传修改过的配置。

　　<*来源：NCC Group

　　 链接：http://www.cisco.com/warp/public/707/cisco-sa-20060823-vpn3k.shtml

　　*>

　　建议：

　　临时解决方法：

　　* 禁用FTP

　　* 限制FTP访问，定义两条通讯规则。

　　第一条规则的参数：

　　* Rule Name: permit_ftp_in

　　* Direction: Inbound

　　* Action: Forward

　　* Protocol: TCP
　　
　　* Source Address/Wildcard-mask:

　　* Destination Address/Wildcard-mask:
　　interface>/0.0.0.0

　　* TCP/UDP Source Port: Range, from 0 to 65535

　　* TCP/UDP Destination Port: FTP (21)

　　这条规则仅允许来自特定IP范围的入站TCP端口21 (FTP)通讯。

　　第二条规则的参数如下：

　　* Rule Name: deny_ftp_in

　　* Direction: Inbound

　　* Action: Drop and Log

　　* Protocol: TCP

　　* Source Address/Wildcard-mask: 0.0.0.0/255.255.255.255

　　* Destination Address/Wildcard-mask:
　　interface>/0.0.0.0

　　* TCP/UDP Source Port: Range, from 0 to 65535

　　* TCP/UDP Destination Port: FTP (21)

　　这条规则会丢弃并记录指向专用接口IP地址的入站TCP端口21 (FTP)通讯。

　　厂商补丁：

　　Cisco

　　Cisco已经为此发布了一个安全公告（cisco-sa-20060823-vpn3k）以及相应补丁:

　　cisco-sa-20060823-vpn3k：Cisco VPN 3000 Concentrator FTP Management Vulnerabilities

　　链接：http://www.cisco.com/warp/public/707/cisco-sa-20060823-vpn3k.shtml

　　补丁下载：

　　http://www.cisco.com/pcgi-bin/tablebuild.pl/vpn3000-3des?psrtdcat20e2

#p#问：入侵者如何获取口令？

1、监听明文口令信息
大量的通讯协议比如Telnet、Ftp、基本HTTP都使用明文口令，这意味着它们在网络上是赤裸裸地以未加密格式传输于服务器端和客户端，而入侵者只需使用协议分析器就能查看到这些信息，从而进一步分析出口令，成为真用户的克隆。

2、监听加密口令信息
当然，更多的通讯协议是使用加密信息传输口令的。这时，入侵者就需要借助字典或者采用暴力攻击法来解密了。注意，我们并不能察觉到入侵者的监听行为，因为他在暗处，是完全被动的，没有发送任何信息到网络上，入侵者的机器仅被用于分析这些口令信息。

3、重放攻击（Replay attack）
这又是一种间接的攻击方式，就是说：入侵者不必对口令进行解密，需要的是重新编写客户端软件以使用加密口令实现系统登录。

4、窃取口令文件
口令文件通常都保存在一个单独的文件中，例如UNIX系统的口令文件是/etc/passwd（也可能是那个文件的镜像），WinNT系统的口令文件是/winnt/system32/config/sam。入侵者一旦获取了口令文件，就可以使用破解程序发现其中的弱口令信息。

5、观察
用户可能由于设置的口令复杂难记而将它写在一张纸上压在键盘下随时查看，或者在输入口令的时候不管身后有没有站着一位“看客”。入侵者的搜索力与记忆力都非常好，这些操作习惯对他们来说简直就是轻松练兵。所以，别忽视入侵者的眼睛！

6、社会工程
前面提到过这个问题，社会工程就是指采用非隐蔽方法盗用非授权帐户进行的非法活动，比如使用其他人的机器、冒充是处长或局长骗取管理员信任得到口令等等。记住：如果有人想要你的口令，无论他说是为了什么，请记住他，一旦发生了关于口令的案件，那个人就是头号嫌疑犯！

问：典型的入侵场景有哪些？

所谓入侵场景，就是指入侵者都会从哪些方面采取哪些步骤尝试攻击系统。典型的入侵画面是这样一幕幕展开的：

1、外部调研
知己知彼，百战不殆。入侵者攻击的第一步就是尽一切可能对攻击目标进行调研以获取充足的资料。采取的方法包括：使用whois工具获取网络注册信息；使用nslookup或dig工具搜索DNS表以确定机器名称；搜索关于公司的公开新闻。这一步对于被攻击者是完全不知的。

2、内部分析
确定了攻击目标的基本属性（站点地址、主机名称），入侵者将对它们进行深入剖析。方法有：遍历每个Web页面搜索是否存在CGI漏洞；使用ping工具一一探寻“活”着的机器；对目标机器执行UDP/TCP扫描以发现是否有可用服务。这些行为都属于正常的网络操作，还不能算作入侵行为，但是NIDS系统将能够告诉管理者“有人正在撼动门把手……”

3、漏洞利用
现在到了开始动手的时候了！破坏花样实在繁多，在此择优列举如下：通过在输入项目中写入壳命令字符串（shell command）来考验CGI脚本的安全性；通过发送大量数据以确定是否存在臭名昭著的缓冲区溢出漏洞；尝试使用简单口令破解登录障碍。当然，混合使用多种方式是攻占成功的不二法门。

4、站稳脚跟
对于入侵者而言，一旦成功地入侵了网络中的一台机器，就可以说是站稳脚跟了。入侵者现在要做的就是隐藏入侵痕迹并制造日后再攻的后门，这就需要对日志文件或其他系统文件进行改造，或者安装上木马程序、或者替换系统文件为后门程序。这时，SIV（系统完整性检测）系统会注意到这些文件的变化。由于内部网络中的安全措施通常都比较少，进一步地，入侵者将以这第一台机器作为跳板，攻击网络中的其他机器，寻找下一个安身之家。

5、享受成果
到此，入侵者可以说是完成了攻击任务，剩下的就是享受成果了：或者对窃取的秘密文件肆意使用、或者滥用系统资源、或者篡改Web页面内容，甚至将你的机器作为跳板攻击其他机器。

以上讨论是的有目的入侵者的通常行为。还有一种入侵场景通常被称为“birthday attack”，我想其含义是模拟生日时接收到许多熟人或者未知朋友的礼物吧，不过用在这里还要在礼物前加上“攻击”两字了。Birthday attack的一般步骤是：随机搜索一个Internet地址；搜索其上是否有指定的漏洞；如果有，根据已知的漏洞利用方法进行攻击。

#p#

6.重新启动机器

　　以下列出的端口仅为相关木马程序默认情况下开放的端口，请根据具体情况采取相应的操作：

　　707端口的关闭：

　　这个端口开放表示你可能感染了nachi蠕虫病毒，该蠕虫的清除方法如下：

　　1、停止服务名为WinS Client和Network Connections Sharing的两项服务；
　　2、删除c:\Winnt\SYSTEM32\WinS\目录下的DLLHOST.EXE和SVCHOST.EXE文件；
　　3、编辑注册表，删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services项中名为RpcTftpd和RpcPatch的两个键值。
 
　　1999端口的关闭：

　　这个端口是木马程序BackDoor的默认服务端口，该木马清除方法如下：

　　1、使用进程管理工具将notpa.exe进程结束；
　　2、删除c:\Windows\目录下的notpa.exe程序；
　　3、编辑注册表，删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中包含c:\Windows\notpa.exe /o=yes的键值。
 
　　2001端口的关闭：

　　这个端口是木马程序黑洞2001的默认服务端口，该木马清除方法如下：

　　1、首先使用进程管理软件将进程Windows.exe杀掉；
　　2、删除c:\Winnt\system32目录下的Windows.exe和S_Server.exe文件；
　　3、编辑注册表，删除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\项中名为Windows的键值；
　　4、将HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\CLASSES项中的Winvxd项删除；
　　5、修改HKEY_CLASSES_ROOT\txtfile\shell\open\command项中的c:\Winnt\system32\S_SERVER.EXE ％1为C:\WinNT\NOTEPAD.EXE ％1；
　　6、修改HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command项中的c:\Winnt\system32\S_SERVER.EXE ％1键值改为　　C:\WinNT\NOTEPAD.EXE ％1。
 
　　2023端口的关闭：

　　这个端口是木马程序Ripper的默认服务端口，该木马清除方法如下：

　　1、使用进程管理工具结束sysrunt.exe进程；
　　2、删除c:\Windows目录下的sysrunt.exe程序文件；
　　3、编辑system.ini文件，将shell=explorer.exe sysrunt.exe 改为shell=explorer.exe后保存；
　　4、重新启动系统。
 
　　2583端口的关闭：

　　这个端口是木马程序Wincrash v2的默认服务端口，该木马清除方法如下：

　　1、编辑注册表，删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\项中的WinManager = "c:\Windows\server.exe"键值；
　　2、编辑Win.ini文件，将run=c:\Windows\server.exe改为run=后保存退出；
　　3、重新启动系统后删除C:\Windows\system\ SERVER.EXE。
 
　　3389端口的关闭：

　　首先说明3389端口是Windows的远程管理终端所开的端口，它并不是一个木马程序，请先确定该服务是否是你自己开放的。如果不是必须的，请关闭该服务。

　　Win2000关闭的方法：

　　1、Win2000server

　　开始-->程序-->管理工具-->服务里找到Terminal Services服务项，选中属性选项将启动类型改成手动，并停止该服务。

　　2、Win2000pro

　　开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services服务项，选中属性选项将启动类型改成手动，并停止该服务。

　　Winxp关闭的方法：

　　在我的电脑上点右键选属性-->远程，将里面的远程协助和远程桌面两个选项框里的勾去掉。

#p#

6.重新启动机器

　　以下列出的端口仅为相关木马程序默认情况下开放的端口，请根据具体情况采取相应的操作：

　　707端口的关闭：

　　这个端口开放表示你可能感染了nachi蠕虫病毒，该蠕虫的清除方法如下：

　　1、停止服务名为WinS Client和Network Connections Sharing的两项服务；
　　2、删除c:\Winnt\SYSTEM32\WinS\目录下的DLLHOST.EXE和SVCHOST.EXE文件；
　　3、编辑注册表，删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services项中名为RpcTftpd和RpcPatch的两个键值。
 
　　1999端口的关闭：

　　这个端口是木马程序BackDoor的默认服务端口，该木马清除方法如下：

　　1、使用进程管理工具将notpa.exe进程结束；
　　2、删除c:\Windows\目录下的notpa.exe程序；
　　3、编辑注册表，删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中包含c:\Windows\notpa.exe /o=yes的键值。
 
　　2001端口的关闭：

　　这个端口是木马程序黑洞2001的默认服务端口，该木马清除方法如下：

　　1、首先使用进程管理软件将进程Windows.exe杀掉；
　　2、删除c:\Winnt\system32目录下的Windows.exe和S_Server.exe文件；
　　3、编辑注册表，删除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\项中名为Windows的键值；
　　4、将HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\CLASSES项中的Winvxd项删除；
　　5、修改HKEY_CLASSES_ROOT\txtfile\shell\open\command项中的c:\Winnt\system32\S_SERVER.EXE ％1为C:\WinNT\NOTEPAD.EXE ％1；
　　6、修改HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command项中的c:\Winnt\system32\S_SERVER.EXE ％1键值改为　　C:\WinNT\NOTEPAD.EXE ％1。
 
　　2023端口的关闭：

　　这个端口是木马程序Ripper的默认服务端口，该木马清除方法如下：

　　1、使用进程管理工具结束sysrunt.exe进程；
　　2、删除c:\Windows目录下的sysrunt.exe程序文件；
　　3、编辑system.ini文件，将shell=explorer.exe sysrunt.exe 改为shell=explorer.exe后保存；
　　4、重新启动系统。
 
　　2583端口的关闭：

　　这个端口是木马程序Wincrash v2的默认服务端口，该木马清除方法如下：

　　1、编辑注册表，删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\项中的WinManager = "c:\Windows\server.exe"键值；
　　2、编辑Win.ini文件，将run=c:\Windows\server.exe改为run=后保存退出；
　　3、重新启动系统后删除C:\Windows\system\ SERVER.EXE。
 
　　3389端口的关闭：

　　首先说明3389端口是Windows的远程管理终端所开的端口，它并不是一个木马程序，请先确定该服务是否是你自己开放的。如果不是必须的，请关闭该服务。

　　Win2000关闭的方法：

　　1、Win2000server

　　开始-->程序-->管理工具-->服务里找到Terminal Services服务项，选中属性选项将启动类型改成手动，并停止该服务。

　　2、Win2000pro

　　开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services服务项，选中属性选项将启动类型改成手动，并停止该服务。

　　Winxp关闭的方法：

　　在我的电脑上点右键选属性-->远程，将里面的远程协助和远程桌面两个选项框里的勾去掉。