防范这些WEB SHELL,首先是设置服务器的权限,禁止他们越权访问东西。服务器权限设置可以参考沉睡不醒整理的IIS FAQ http://fox.he100.com/showart.asp?art_id=121&cat_id=1 ),我这里就直接引用原文的内容了。
如何让IIS的最小NTFS权限运行?
依次做下面的工作:
a.选取整个硬盘:
system:完全控制
administrator:完全控制
(允许将来自父系的可继承性权限传播给对象)
b.\program files\common files:
everyone:读取及运行
列出文件目录
读取
(允许将来自父系的可继承性权限传播给对象)
c.\inetpub\wwwroot:
iusr_machinename:读取及运行
列出文件目录
读取
(允许将来自父系的可继承性权限传播给对象)
e.\winnt\system32:
选择除inetsrv和centsrv以外的所有目录,
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
f.\winnt:
选择除了downloaded program files、help、iis temporary compressed files、
offline web pages、system32、tasks、temp、web以外的所有目录
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
#p#防范邮件炸弹
邮件炸弹是利用发送大量超出邮箱规定空间的文件,使目标信箱无法再处理信件,导致信箱报废的一种破坏性攻击。下面认识一些邮件炸弹工具。
EmailKiller
EmailKiller在同类邮件炸弹里相对比较麻烦。它可以在“目标信箱”选项里添加要攻击的目标信箱地址,不过每次发送的邮件长度都被限定(这要看目标信箱的容量而定),线程数还要看网速而定。在“设定信件内容”里可以编辑所发信件的标题和内容,发信时会自动填加上乱码发送出去。其它选项里则可以选择SMTP发件服务器地址,填写邮件发件人信箱地址,需要注意的是,所填写的发件服务器必需和发件人信箱使用的发件服务器是同一个地址,如果不知怎样填写,也可以取默认值。
MailBomb
MailBomb也是一个比较常见的邮件炸弹工具,它不但可以发匿名信件,还可以在要发的信件里加入附件。在使用这个工具时,首先要填入目标地址,填入一个已知的发信服务器,再填入自己的信箱地址(通常都是假的)。不过发件人信箱的服务器必需和添加的服务器一致才能顺利发送。邮件内容可以自由编辑,“ADD”选项可以加入要发送的附件,发送次数也可自定。在“more”选项中还有很多的功能选项,包括:可以设置自动回复信息地址、自动回复信件的主题、显示发送者姓名等功能。当添好以上选项后,只要在发送相关邮件时来回变换主题,按“发送”即可进行攻击(图2)。
红客信使
红客信使可以实现邮件群发,是一款用于“捣乱”的邮件炸弹。在信箱黑名单里填上目标信箱的地址,按“+”号即可把要传送的地址加入列表,按“-”号即可把列表中目标信箱清除。用红客信使发送邮件,可以不用添加内容,使用默认选项,红客信使会把一些如同问候的信发到目标信箱里,红客信使发出的信如果被打开,就会占用目标系统源直至死机。
防止邮件炸弹攻击的方法
首先,不要公开自己重要的信箱地址;其次,使用邮件过滤程序来拒绝一些破坏过你信箱的发信地址。只要遵循以上两种方法,即可防止邮件炸弹攻击。
防范硬盘炸弹
硬盘炸弹专门破坏硬盘数据给对方造成损失,还可使目标硬盘不能启动。
江民炸弹
这是一个极危险的硬盘炸弹,运行后它会把硬盘磁头锁死在引导区的某个位置上,造成软硬盘假物理损伤,致使DOS3.3以上的各种系统无法正常启动。
大家知道,计算机在引导DOS系统时将会搜索所有逻辑盘的顺序,当DOS被引导时,首先要去找主引导扇区的分区表信息——位于硬盘的零头零柱面第一个扇区的OBEH地址开始的地方——当分区信息开始的地方为80H时表示是主引导分区,其他的为扩展分区,主引导分区被定义为逻辑盘C盘,扩展分区的逻辑盘被定义为D盘,以此类推找到E,F,G……江民炸弹就是在此下手,修改了正常的主引导分区记录,将扩展分区的第一个逻辑盘指向自己,DOS在启动时查找到第一个逻辑盘后,查找下个逻辑盘总是找到自己,这样一来就形成了死循环,这就是使用软驱,光驱,双硬盘都不能正常启动的原因。实际上江民炸弹只是利用了DOS在启动时的一个小小缺陷,便令不少人都束手无策。知道了江民炸弹的“上锁”原理,要解锁也就比较容易了。曾经有读者采用“热插拔”硬盘电源的方法来处理:就是当系统启动时,先不给被锁的硬盘插上电源线,等待启动完成后再给硬盘“热插”上电源线,这时如果硬盘没有烧坏的话,系统就可以控制硬盘了,这是一种非常危险的方法,大家不要轻易尝试。下面介绍一种比较简单和安全的处理方法。
下载江民炸弹提供的恢复程序解锁是个简单易行的办法,该软件解压缩后有4个文件:说明文件readme.exe、制作解锁盘用的文件rescue.com,还有两个文件则是江民炸弹,它们的名字分别为Jmbs.arj、JMBOS. zip,其实都是一个文件压缩而成,只不过扩展名不同而已。解压后会看到jmbs.exe文件,大小为1809字节,这就是江民炸弹,如果你不小心运行了它,机器的硬盘将会被死锁住,无论用软驱还是光驱,都不能启动计算机,硬盘和报废了没什么区别。解决办法是,把rescue.exe拷贝到一张空白软盘上,插入软驱后运行。显示“OK”的提示信息后,你就有了一张江民炸弹的解锁盘,你会发现里面一个文件也没有,不要惊讶,就是这样的。用这张恢复盘启动机器,如果出现unlock的字样,那就成功地解锁了。
HDBreaker(硬盘终结者)
这是一款极其恶劣的硬盘炸弹程序。它是Win32PE程序,因为用了VxD技术,所以能在Windows环境中直接写硬盘扇区,而无需像其它同类软件一样要等待重启时进行破坏。这个软件可以直接运行于Windows环境中,运行后立即进行破坏,不显示任何界面。它会从硬盘第一物理扇区(0柱0面1扇区)开始,向其中写入内存垃圾数据,是与CIH发作效果相同的危险工具,请勿轻易实验。硬盘终结者对硬盘数据破坏之后,只有江民公司的KVW3000杀毒王和金山毒霸2002能成功修复部分数据,其它杀毒软件都无法恢复被硬盘终结者破坏后的硬盘数据。所有的杀毒软件创建的恢复盘都无法恢复C盘数据。另外,硬盘终结者只能运行于Windows 95/98/Me下,所以对Windows 2000和Windows XP用户没有任何威胁。
Carem3
Carem3是网络休闲庄(一个黑客网站)技术顾问Carem的作品,这是一个非常狠毒的恶意攻击软件,运行后如果不知道正确的破解方法,必须重装系统。解压后的Carem3只有一个文件Carem3.exe(图3),一定不要轻易运行使用这个图标的软件;此外由于这个炸弹的,文件名通常都会被更改,所以记住它的文件大小也是个不错的识别方法,Carem3.exe文件大小为321536字节。如果不小心运行了Carem3,会出现如图所示画面(图4),此时鼠标被控制在一定范围内,无法点击屏幕上的按钮,按动回车键就会弹出个窗口警告你不要随意运行可执行程序,提示这只是个教训之类的警告信息,然后会自动重新启动电脑,但你再也无法进入Windows桌面了。如果没有按动任何键,Carem3也会自动倒计时,从20秒到0就重新启动电脑,使系统崩溃。
该程序的基本原理是破坏C:windowssystem下的vmm32.vxd文件。vmm32.vxd是虚拟设备驱动程序,由于它被破坏了,导致计算机不能进入Windows系统。
该恶意软件的作者提供的破解方法是:在开机的时候按F8选择Command prompt only方式进入DOS界面,之后在提示符后执行repair即可。另外你如果事先备份了vmm32.vxd文件,就可以使用另外一个破解方法:用启动盘从软驱启动计算机,将备份的vmm32.vxd复制到c:windowssystem里,重新启动计算机就可以了,如果没有备份,可以到其他计算机上复制。
硬盘炸弹的防范方法
首先,不要随便运行自己不了解的程序;其次,做好系统恢复盘;第三,定期备份重要数据;第四,准备好最新的杀毒软件,许多杀毒软件已经将上面的几款炸弹定义为病毒,可以查杀它们;第五,把危险的命令改个名字,如将format.com改为format.old等。
防范QQ炸弹
QQ拥有众多用户,是一款常用的即时通讯工具,而QQ炸弹则给这些用户带来了不少麻烦。
QQBomb
这是红盟做出的攻击QQ“拒绝服务”的炸弹,只要填入目标的IP和端口号,点击“发送”即可把对方的QQ关掉,或使其出现非法操作而关闭。
FuckTencen
FuckTencen可以对一个IP地址进行连续攻击,需要加入要攻击的IP地址,端口可以添加起始端口到截止端口,这样即使不知对方具体端口号也可以进行攻击,在主界面下有设置速度的快慢滑块,主要是调整选择了循环攻击时的连续攻击速度。
Q死一大片
该工具可以对多个IP地址多端口进行攻击,只要填入开始IP和结束IP段,再选择开始端口和结束端口段,便可对选择区内的所有IP和端口进行攻击。除此之外,该工具还可以查看自己IP地址,另外两个选项是轰炸完成后恢复开始IP。
飘叶OICQ千夫指
飘叶OICQ千夫指属于QQ消息炸弹,通过给你的QQ发送大量的垃圾信息,迫使你下线。目前,飘叶千夫指出了第四代(图5),可攻击多种版本的QQ,使得被攻击方QQ不得不关闭,或者出现非法操作。只要你升级到最新版本的QQ,那么飘叶千夫指这项功能就没有用了。另外,你也可以采用下线再上线的方法,但这样也很麻烦,而且不能从根本上解决问题。
我们可以采用一个简便的方法对付它,具体做法是:运行QQ,用鼠标右键点击任务栏中的QQ图标,在弹出的菜单中选择“个人设置”(图6),弹出“QQ2004设置”对话框,在该对话框中点击“个人资料”标签,在“用户呢称”前加上“275297”(注意输入时没有引号);接下来在该对话框中点击“联系方式”标签,然后在“电子邮件”栏中把你的E-mail改成作者飘叶的QQ号码“275297”就可以了(图7)。这样只要有人用飘叶OICQ千夫指向你发消息,对方的计算机就会重新启动,那些垃圾信息也就被拒之门外了。
这个方法的原理就是作者飘叶在该软件中留下了后门——通过在程序中做的处理,屏蔽了对QQ号码“275297”的攻击,一旦该号码遭到飘叶千夫指的攻击,就会调动程序中相关代码,重新启动攻击者的电脑。
QQ炸弹的防范方法
首先,隐藏自己的真实IP,可以用隐身方式,还可以使用代理服务器;其次,安装最新版的QQ软件;第三,在QQ参数里选择“直接通过服务器中转”选项。
目前,各种攻击工具层出不穷,手段多种多样,但大多是针对单一的漏洞进行攻击,所以防范起来并不太难。只要大家小心谨慎而且及时安装系统补丁程序,安装最新的防火墙,受攻击的机会将大大减小。
#p# 三、IDS技术的发展IDS虽然存在一些缺陷,但换个角度我们看到,各种相关网络安全的黑客和病毒都是依赖网络平台进行的,而如果在网络平台上就能切断黑客和病毒的传播途径,那么就能更好地保证安全。这样,网络设备与IDS设备联动就应运而生了。
IDS与网络交换设备联动,是指交换机或防火墙在运行的过程中,将各种数据流的信息上报给安全设备,IDS系统可根据上报信息和数据流内容进行检测,在发现网络安全事件的时候,进行有针对性的动作,并将这些对安全事件反应的动作发送到交换机或防火墙上,由交换机或防火墙来实现精确端口的关闭和断开,由此即产生了入侵防御系统(IPS)的概念。
简单地理解,可认为IPS就是防火墙加上入侵检测系统。IPS技术在IDS监测的功能上又增加了主动响应的功能,力求做到一旦发现有攻击行为,立即响应,主动切断连接。它的部署方式不像IDS并联在网络中,而是以串联的方式接入网络中,其功能示意如图2所示。
除了IPS,也有厂商提出了IMS(入侵管理系统)。IMS是一个过程,在行为未发生前要考虑网络中有什么漏洞,判断有可能会形成什么攻击行为和面临的入侵危险;在行为发生时或即将发生时,不仅要检测出入侵行为,还要主动阻断,终止入侵行为;在入侵行为发生后,还要深层次分析入侵行为,通过关联分析,来判断是否还会出现下一个攻击行为。
四、网络安全的发展方向
1.检测和访问控制技术将共存共荣
以IDS为代表的检测技术和以防火墙为代表的访问控制技术从根本上来说是两种截然不同的技术行为。
(1)防火墙是网关形式,要求高性能和高可靠性。因此防火墙注重吞吐率、延时、HA等方面的要求。防火墙最主要的特征应当是通(传输)和断(阻隔)两个功能,所以其传输要求是非常高的。
(2)而IDS是一个以检测和发现为特征的技术行为,其追求的是漏报率和误报率的降低。其对性能的追求主要在:抓包不能漏、分析不能错,而不是微秒级的快速结果。IDS由于较高的技术特征,所以其计算复杂度是非常高的。
从这个意义上来讲,检测和访问控制技术将在一个较长的时期内更加关注其自身的特点,各自提高性能和可靠性,既不会由一方取代另一方,也不会简单的形成融合技术。
2.检测和访问控制的协同是必然趋势
虽然检测技术和访问控制技术存在着一定程度的差异,但是两个技术的协同工作和在应用上的融合又是一个迫切的要求和必然趋势。
安全产品的融合、协同、集中管理是网络安全的发展方向。大型企业需要一体化的安全解决方案,需要细力度的安全控制手段。中小企业一边希望能够获得切实的安全保障,一边又不可能对信息安全有太多的投入。从早期的主动响应入侵检测系统到入侵检测系统与防火墙联动,再到IPS和IMS,形成了一个不断完善的解决安全需求的过程。
3.如何进行技术融合
“集中检测,分布控制”这个观点对于如何看待检测技术和访问控制技术的走向是非常重要的。一个准确度不能完全令人满意的IDS,经过人工的分析可以变得准确。同样,经过大规模的IDS部署后的集中分析以及和其他检测类技术关联分析,可以获得更加精确的结果。这样局部的事件检测就向全局性的事件检测方向发展。根据全局性的检测结果就可以进行全局性的响应和控制。
全局性的检测可以有效解决检测的准确率问题,但是同时带来的就是检测过程变长,局部速度不够快的问题。所以,面对一些局部事件和可以准确地判断出的问题,阻断后带来的负面效应相对较少,针对其检测可以比较快速的时候,IPS就是一个比较好的方案了。
4.人仍是网络安全管理的决定因素
不可否认的是,人的因素仍然是网络安全管理的决定因素,网络安全最薄弱的环节也并不是系统漏洞,而是人的漏洞。安全问题的核心问题就是人的问题。因为一切不安全的因素全来自人(或者说一部分人)。那么我们与信息网络安全威胁的斗争,实际上是与人(或者说一部分人)的斗争,这样性质的斗争,自不待言,注定了它的艰巨性、复杂性和持久性。
因此,单纯依靠安全技术和软、硬件产品解决网络安全问题的想法是不现实也是不明智的,提高企业的网络安全意识,加大整体防范网络入侵和攻击的能力,并在此基础上形成一支高素质的网络安全管理专业队伍,及时准确地应对各式各样的网络安全事件,才能从根本上解决我们面临的威胁和困扰。 #p#
g.\winnt:
everyone:读取及运行
列出文件目录
读取
(允许将来自父系的可继承性权限传播给对象)
h.\winnt\temp:(允许访问数据库并显示在asp页面上)
everyone:修改
(允许将来自父系的可继承性权限传播给对象)
再单独对cmd.exe net.exe net1.exe ping.exe netstat.exe ftp.exe tftp.exe telnet.exe设置为只允许administrators组访问,这样就可以防范通过Serv-U的本地提升权限漏洞来运行这些关键的程序了,再删除cacls.exe这个程序,防止有人通过命令行来修改权限,呵呵。
再来去掉一些ASP WEBSHELL需要使用的一些组件,这些组件其实普通的虚拟主机用户也是用不上的。
很多防范ASP木马的文章都提到要删除FileSystemObject组件,但删除了这个组件后,很多ASP的程序可能会运行不了,其实只要做好了前面的工作,FileSystemObject组件能操作的,只能是自己目录下的文件,也就构成不了什么威胁了!
现在看来,还比较有威胁的组件就是Shell.Application和Wscript.Shell这两个组件了,Shell.Application可以对文件进行一些操作,还可以执行程序,但不能带参数,而Wscript.Shell可以操作注册表和执行DOS命令。
防范Wscript.Shell组件的方法:
可以通过修改注册表,将此组件改名。
HKEY_CLASSES_ROOT\WScript.Shell\及HKEY_CLASSES_ROOT\WScript.Shell.1\
改名为其它的名字,如:改为WScript.Shell_ChangeName或WScript.Shell.1_ChangeName自己以后调用的时候使用这个就可以正常调用此组件了
也要将clsid值也改一下
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
也可以将其删除,来防止此类木马的危害。
防范Shell.Application组件的方法:
可以通过修改注册表,将此组件改名。
HKEY_CLASSES_ROOT\Shell.Application\
及
HKEY_CLASSES_ROOT\Shell.Application.1\
改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
自己以后调用的时候使用这个就可以正常调用此组件了。
也要将clsid值也改一下
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
也可以将其删除,来防止此类木马的危害。
