查看單個文章
舊 2006-01-22, 08:58 PM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 網管必知 防溢位提權攻擊解決辦法

本文將為大家介紹在Microsoft系列(Win2k Win2k3)SERVER中如何簡單快速的解決諸如反彈木馬、Overflow溢位、提升權限、反彈Shell攻擊類的安全威脅之詳細防範設定步驟;讀完本文,您將可以使您伺服器免去被溢位、提升權限等安全威脅。

  前言:

  在駭客頻頻攻擊、在系統漏洞層出不窮的今天,作為網路管理員、系統管理員的我們雖然在伺服器的安全上都下了不少功夫:諸如,及時的打上系統安全修正檔、進行一些一般的安全組態,但是仍然不太可能每台伺服器都會在第一時間內給系統打上全新修正檔。因此我們必需要在還未被入侵之前,通過一些系列安全性設定,來將入侵者們擋在「安全門」之外;下面就以本人一直以來所用到的最簡單、最有效的防(Overflow)溢位、本機提供權限攻擊類的解決辦法給大家講講由於N久沒有時間寫文章了,以前早就答應過大家要寫這篇文章給大家,但一直沒有時間,有些對不住大家了^_^,在這裡還望大家海涵... )

  伺服器安全性設定之防溢位提權攻擊解決辦法正文:

1、如何可以防止溢位類的駭客攻擊呢?

  1 盡最大的可能性將系統的漏洞修正檔都打完;最好是比如Microsoft Windows Server系列的系統可以將自動更新服務開啟,然後讓伺服器在您指定的某個時間段內自動連線到Microsoft Update網站進行修正檔的更新。如果您的伺服器為了安全起見 禁止了對公共外網外部的連接的話,可以用Microsoft WSUS服務在局內網進行昇級。(關於Microsoft WSUS 2.0的安裝與組態可以參考此文:http://www.31896.net/html/2006-1-5/14001689122.shtml )

  2 停掉一切不需要的系統服務以及應用程式,最大限能的降底伺服器的被攻擊係數。比如前陣子的MSDTC溢位,就導致很多伺服器掛掉了。其實如果WEB類伺服器根本沒有用到MSDTC服務時,您大可以把MSDTC服務停掉,這樣MSDTC溢位就對您的伺服器不構成任何威脅了。

  3 啟動TCP/IP連接阜的過濾:僅開啟常用的TCP如21、80、25、110、3389等連接阜;如果安全要求等級高一點可以將UDP連接阜關閉,當然如果這樣之後缺陷就是如在伺服器上連外部就不方便連接了,這裡建議大家用IPSec來封UDP。在傳輸協定篩選"只允許"TCP傳輸協定(傳輸協定號為:6)、UDP傳輸協定(傳輸協定號為:17)以及RDP傳輸協定(傳輸協定號為:27)等必需用傳輸協定即可;其它無用均不開放。

  4 啟用IPSec原則:為伺服器的連接進行安全認證,給伺服器加上雙保險。如3所說,可以在這裡封掉一些危險的端品諸如:135 145 139 445 以及UDP對外連接之類、以及對通讀進行加密與只與有信任關係的IP或者網路進行通訊等等。(注:其實防反彈類木馬用IPSec簡單的禁止UDP或者不常用TCP連接阜的對外訪問就成了,關於IPSec的如何套用這裡就不再敖續,你可以到服安討論Search "IPSec",就 會有N多關於IPSec的套用資料..) (游刃在技術鬼神邊緣,打造伺服器安全神話!創世紀網路技術前瞻,成就網際網路革命先驅!伺服器安全討論區[S.S.D.A]http://www.31896.net )

  5 移除、移動、更名或者用訪問控制表列Access Control Lists (ACLs)控制關鍵系統檔案、指令及資料夾:

⒈ 黑客通常在溢位得到shell後,來用諸如net.exe net1.exe ipconfig.exe user.exe query.exe regedit.exe regsvr32.exe 來達 到進一步控制伺服器的目的如:加帳號了,複製管理員了等等;這裡我們可以將這些指令程序移除或者改名。(注意:在移除與改名時先停掉文件複製服務(FRS)或者先將 %windir%\system32\dllcache\下的對應文件移除或改名。)

  2.也或者將這些.exe文件移動到你指定的資料夾,這樣也方便以後管理員自己使用 ^0^

  3.訪問控制表列ACLS控制:找到%windir%\system32下找到cmd.exe、cmd32.exe net.exe net1.exe ipconfig.exe tftp.exe ftp.exe user.exe reg.exe regedit.exe regedt32.exe regsvr32.exe 這些黑客常用的文件,在「內容」→「安全」中對他們進行訪問的ACLs用戶進 行定義,諸如只給administrator有權訪問,如果需要防範一些溢位攻擊、以及溢位成功後對這些文件的非法利用;那麼我們只需要將system用戶 在ACLs中進行拒絕訪問即可。(如果你性格比較BT的話呢.^_^那麼就來一招拒絕所有用戶吧!,這裡就請各類看官根據自己實情進行處理了)。

  4.如果你覺得在GUI下面太麻煩的話,你也可以用系統指令的CACLS.EXE來對這些.exe文件的Acls進行編輯與修改,或者說將他寫成一個.bat批次處理 文件來執行以及對這些指令進行修改。(具體用戶自己參見cacls /? 說明 進行,由於這裡的指令太多我就不一一列舉寫成批次處理程式碼給各位了!!)

  5.對磁牒如C/D/E/F等進行安全的ACLS設定從整體安全上考慮的話也是很有必要的,另外特別是win2k,對Winnt、Winnt\System、Document and Setting等資料夾。

  6 進行註冊表的修改禁用指令解釋器: (如果您覺得用5的方法太煩瑣的話,那麼您不防試試下面一勞永逸的辦法來禁止CMD的執行^_^)

  通過修改註冊表,可以禁止用戶使用指令解釋器(CMD.exe)和執行批次處理文件(.bat文件)。具體方法:新增一個雙字元(REG_DWORD)執行 HKEY_CURRENT_USER\Software\Policies\ Microsoft\Windows\System\DisableCMD,修改其值為1,指令解釋器和批次處理文件都不能被執行。修改其值為2,則只是禁止指令解釋器的執行,反之將值改為0,則是開啟CMS指令解釋器。如果您賺手動太麻煩的話,請將下面的程式碼儲存為*.reg文件,然後匯入。

  Windows Registry Editor Version 5.00

  [HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System]

  "DisableCMD"=dword:00000001

  7 對一些以System權限執行的系統服務進行降級處理。(諸如:將Serv-U、Imail、IIS、Php、Mssql、Mysql等一系列以System權限執行的服務或者 應用程式換成其它administrators成員甚至users權限執行,這樣就會安全得多了...但前提是需要對這些基本執行狀態、使用API等相關情況較為瞭解. )

  其實,關於防止如Overflow溢位類攻擊的辦法除了用上述的幾點以外,還有N多種辦法:諸如用群組原則進行限制,寫防護過濾程序用DLL方式載入windows到相關的SHell以及動態連接程序之中這類。當然自己寫程式碼來進行驗證加密就需要有相關深厚的Win32編程基礎了,以及對Shellcode較有研究;由於此文僅僅是討論簡單的解決辦法,因此其它辦法就不在這裡詳述了...

  2、如何在防止被駭客溢位得到Shell後對系統的而進一步入侵呢?

  1 在做好1中上述的工作之後,基本上可以防目駭客在溢位之後得到shell了;因為即使Overflow溢位成功,但在使用CMDSHELL、以及對外連線時就卡了。 (為什麼呢,因為:1.溢位後程序無法再使用到CMDSHLL我們已經禁止system訪問CMD.exe了。2.溢位之後在進行反彈時已經無法對外部IP進行連接了^_^ 所以,基本上要能過system權限來反彈shell就較困難的了...)

  2 當然世界上是不存在絕對的安全的,假設入侵者在得到了我們的shell之後,做些什麼呢?一般入侵者在在得到shell之後,就會諸如利用系統指令加帳號了 通過tftp、ftp、vbs等方式傳文件了等等來達到進一步控制伺服器。這裡我們通過1上述的辦法對指令進行了限制,入侵者是沒有辦法通過tftp、ftp來傳文件了,但他們仍然可以能過echo寫批次處理,用批次處理通過指令碼BAT/VBS/VBA等從WEB上下載文件,以及修改其它盤類的文件等潛在破壞行為。所以我們需要 將echo指令也限制以及將其它盤的System寫、修改文件的權限進行處理。以及將VBS/VBA類指令碼以及XMLhttp等元件進行禁用或者限制system的執行權。這樣 的話別人得到Shell也無法對伺服器上的文件進行移除以及進行步的控制系統了;以及本機提權反彈Shell了^_^

  後記:其它伺服器、系統的安全是個整體的概念;有可能你其它一小點的疏忽就可以讓你的網站、甚至伺服器淪陷。因此安全原則必需走防患未然的道路,任何一個小地方都不能馬虎、今天關於防Overflow的安全小技巧就為大家介紹到這裡...關於其它方面的伺服器安全組態經驗我們在下一篇文章再見吧:-) (注:由於本人才疏學淺,如文中有錯誤實為在所難免,還請各位看官見諒!旨在拋磚引玉,如果您有更好的辦法請別忘了在論壇隨後貼帖^0^,先行謝過!)

  關於本文版權:本文版權歸[伺服器安全討論區]與[情長在線]共同所有,您可以任意轉載,但務必請保留文章的完整性及作者訊息;請珍惜別人的知識版權!

  關於本文作者:李泊林/LeeBolin 資深系統工程師、專業網路安全顧問。已成功為國內多家大中型企業,ISP服務商提供了完整的網路安全解決方案。尤其擅長於整體網路安全方案的設計、大型網路工程的策劃、以及提供完整的各種伺服器系列安全整體解決方案。[S.S.D.A 伺服器安全討論區] Http://www.31896.net [F.N.S.T 情長在線] Http://www.fineacer.org E-mail:leebolin#31896.net QQ:24460394 您對本文有任何建議與疑問可以來信或者QQ在線與作者進行交流;或者到服安論壇與作者進行討論.
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次