史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 資訊系統安全備援防護技術文件
忘記密碼?
論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2006-05-10, 10:34 AM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 從零開始自我檢驗系統漏洞

從零開始自我檢驗系統漏洞

近來黑客攻擊事件頻頻發生,我們身邊的朋友也不斷有QQ、E-mail和遊戲帳號被盜事件發生。現在的黑客技術有朝著大眾化方向發展的趨勢,能夠掌握攻擊他人系統技術的人越來越多了,只要你的電腦稍微有點系統Bug或者安裝了有問題的應用程式,就有可能成為他人的目標物。如何給一台上網的機器查漏洞並做出相應的處理呢?

  一、要命的連接阜

  電腦要與外界進行通信,必須通過一些連接阜。別人要想入侵和控制我們的電腦,也要從某些連接阜連接進來。某日筆者檢視了一位朋友的系統,吃驚地發現開放了139、445、3389、4899等重要連接阜,要知道這些連接阜都可以為黑客入侵提供便利,尤其是4899,可能是入侵者安裝的後門工具Radmin開啟的,他可以通過這個連接阜取得系統的完全控制權。

  在Windows 98下,通過「開始」選取「執行」,然後輸入「command」(Windows 2000/XP/2003下在「執行」中輸入「cmd」),進入指令提示視窗,然後輸入netstat/an,就可以看到本地機連接阜開放和網路連接情況。

  那怎麼關閉這些連接阜呢?因為電腦的每個連接阜都對應著某個服務或者應用程式,因此只要我們停止該服務或者卸載該程序,這些連接阜就自動關閉了。例如可以在「我的電腦 →控制台→電腦管理→服務」中停止Radmin服務,就可以關閉4899連接阜了。

  如果暫時沒有找到開啟某連接阜的服務或者停止該項服務可能會影響電腦的正常使用,我們也可以利用防火牆來遮閉連接阜。以天網個人防火牆關閉4899連接阜為例。開啟天網「自訂IP規則」介面,點擊「增加規則」增加一條新的規則,在「資料包方向」中選項「接受」,在「對方IP位址」中選項「任何位址」,在TCP選擇項的本機連接阜中填寫從4899到0,對方連接阜填寫從0到0,在「當滿足上面條件時」中選項「攔截」,這樣就可以關閉4899連接阜了。其他的連接阜關閉方法可以此類推。

  二、敵人的「行程」

  在Windows 2000下,可以通過同時按下「Ctrl+Alt+Del」鍵彈出工作管理器來檢視和關閉行程;但在Windows 98下按「Ctrl+Alt+del」鍵只能看到部分應用程式,有些服務級的行程卻被隱藏因而無法看到了,不過通過系統原有的的工具msinfo32還是可以看到的。在「開始→執行」裡輸入msinfo32,開啟「Microsoft 系統資訊」介面,在「軟體環境」的「正在執行工作」下可以看到本地機的行程。但是在Windows 98下要想終止行程,還是得通過第三方的工具。很多系統最佳化軟體都帶有檢視和關閉行程的工具,如春光系統修改器等。

  但目前很多木馬行程都會偽裝系統行程,新手朋友很難分辨其真偽,所以這裡推薦一款強大的殺木馬工具──「木馬剋星」,它可以查殺8000多種國際木馬,1000多種密碼偷竊木馬,功能十分強大,實在是安全上網的必備工具!

  三、小心,遠端管理軟體有大麻煩

  現在很多人都喜歡在自己的電腦上安裝遠端管理軟體,如Pcanywhere、Radmin、VNC或者Windows原有的的遠端桌面,這確實方便了遠端管理維護和辦公,但同時遠端管理軟體也給我們帶來了很多安全隱患。例如Pcanywhere 10.0版本及更早的版本存在著密碼文件*.CIF容易被解密(解碼而非爆破)的問題,一旦入侵者通過某種途徑得到了*.CIF文件,他就可以用一款叫做Pcanywherepwd的工具破解出管理員帳號和密碼。

  而Radmin則主要是空密碼問題,因為Radmin預設值為空密碼,所以大多數人安裝了Radmin之後,都忽略了密碼安全性設定,因此,任何一個攻擊者都可以用Radmin客戶端連接上安裝了Radmin的機器,並做一切他想做的事情。

  Windows系統原有的的遠端桌面也會給黑客入侵提供方便的大門,當然是在他通過一定的手段拿到了一個可以訪問的帳號之後。

  可以說幾乎每種遠端管理軟體都有它的問題,如本報43期G12版介紹的強大的遠端管理軟體DameWare NT Utilitie。它工具包中的DameWare Mini Remote Control某些版本也存在著緩衝區溢位漏洞,黑客可以利用這個漏洞在系統上執行任意指令。所以,要安全地遠端使用它就要進行IP限制。這裡以Windows 2000遠端桌面為例,談談6129連接阜(DameWare Mini Remote Control使用的連接阜)的IP限制:開啟天網「自訂IP規則」介面,點擊「增加規則」增加一條新的規則。在「資料包方向」中選項「接受」,在「對方IP位址」中選項「指定位址」,然後填寫你的IP位址,在TCP選擇項的本機連接阜中填寫從6129到0,對方連接阜填寫從0到0,在「當滿足上面條件時」中選項「通行」,這樣一來除了你指定的那個IP(這裡假定為192.168.1.70)之外,別人都連接不到你的電腦上了。

  安裝最新版的遠端控制軟體也有利於提高安全性,比如最新版的Pcanywhere的密碼文件採用了較強的加密方案。

  四、「專業人士」幫你免費檢測


  很多安全站點都提供了在線檢測,可以說明 我們發現系統的問題,如天網安全在線推出的在線安全檢測系統──天網醫生,它能夠檢測你的電腦存在的一些安全隱患,並且根據檢測結果判斷你系統的等級,啟始你進一步解決你系統中可能存在的安全隱患。

  天網醫生(進入)可以提供木馬檢測、系統安全性檢測、連接阜掃瞄檢測、訊息洩漏檢測等四個安全檢測項目,可能得出四種結果:極度危險、中等危險、相當安全和超時或有防火牆。其他知名的在線安全檢測站點還有賽門鐵克(進入)。另外,IE的安全性也是非常重要的,一不小心就有可能中了惡意程式碼、網頁木馬的招兒,http://bcheck.scanit.be/bcheck/就...示操作。

  五、自己掃瞄自己

  天網醫生主要針對網路新手,而且是遠端檢測,速度比不上本機,所以如果你有一定的基礎,最好使用安全檢測工具(漏洞掃瞄工具)手動式檢測系統漏洞。

  我們知道,黑客在入侵他人系統之前,常常用自動化工具對目標機器進行掃瞄,我們也可以借鑒這個思法,在另一台電腦上用漏洞掃瞄器對自己的電腦進行檢測。功能強大且容易上手的大陸掃瞄器首推X-Scan,當然小蓉流光也很不錯。

  以X-Scan為例,它有開放連接阜、CGI漏洞、IIS漏洞、RPC漏洞、SSL漏洞、SQL-SERVER等多個掃瞄選項,更為重要的是列出系統漏洞之外,它還指出了十分詳盡的解決方案,我們只需要「按方抓藥」即可。

  例如,用X-Scan對隔壁某台電腦進行完全掃瞄之後,發現如下漏洞:

  [192.168.1.70]: 連接阜135開放: Location Service

  [192.168.1.70]: 連接阜139開放: NET BIOS Session Service

  [192.168.1.70]: 連接阜445開放: Mi crosoft-DS

  [192.168.1.70]: 發現 NT-Server弱密碼: user/[空密碼]

  [192.168.1.70]: 發現 「NetBios訊息」

  從其中我們可以發現,Windows 2000弱密碼的問題,這是個很嚴重的漏洞。NetBios訊息暴露也給黑客的進一步進攻提供了方便,解決辦法是給User帳號設定一個複雜的密碼,並在天網防火牆中關閉135~139連接阜。

  六、別小瞧Windows Update

  微軟通常會在病毒和攻擊工具氾濫之前開發出相應的修正檔工具,只要點擊「開始」表單中的Windows Update,就到了微軟的Windows Update網站,在這裡下載最新的修正檔程序。所以每週訪問Windows Update網站及時更新系統一次,基本上就能把黑客和病毒拒之門外
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 10:36 PM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2024, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1