[mancool]

大概在一年前，SANS研究所和國家基礎設施保護中心（NIPC）發布了一份文檔，總結了10個最嚴重的網絡安全漏洞。數以千計的組織利用這份文檔來安排他們工作的先後次序，以便能夠首先關掉最危險的漏洞。2001年10月1日發布的這份新的列表更新並擴展了以前的TOP10列表，增加為20個最危險的安全漏洞，並將其分為三大類，通用漏洞，Windows漏洞，UNIX漏洞。

這份SANS/FBI最危險的20個漏洞列表是非常有價值的，因為大多數通過Internet對計算機系統的入侵均可以追溯到這20個安全漏洞，例如對五角大樓Solar Sunrise系統的攻擊，CodeRed和Nimda蠕虫的快速傳播，均可以歸結為沒有對這20個漏洞打補丁。

就是這少數幾個軟件漏洞成就了大多數的成功攻擊，是因為攻擊者是機會主義者，他們使用最簡單和常用的方法。他們使用最有效和廣泛傳播的攻擊工具，去攻擊眾所周知的漏洞。他們寄希望於有關組織不解決這些漏洞。他們掃描網絡上有任何漏洞的系統，不做區分地加以攻擊。
過去，系統管理員報告說他們沒有彌補很多漏洞，是因為他們不知道哪些漏洞是最危險的，他們太忙了，沒有時間修補全部漏洞。一些掃描工具可以掃描300或500，甚至800個漏洞，這就分散了系統管理員的注意力。系統管理員應該保障所有系統免於最常見的攻擊。這份列表集
合了大多數聯邦安全機構，安全軟件開發商，咨詢公司，大學中的安全組織，CERT/CC和SANS研究所的首席安全專家的知識，以簡化以上問題。這份文件末尾可以找到參與成員列表。
影響所有系統的漏洞(G)

G1─操作系統和應用軟件的缺省安裝

G1.1描述：
大多數軟件，包括操作系統和應用程序，都包括安裝腳本或安裝程序。這些安裝程序的目的是盡
快安裝系統，在盡量減少管理員工作的情況下，激活盡可能多的功能。為實現這個目的，腳本通
常安裝了大多數用戶所不需要的組件。軟件開發商的邏輯是最好先激活還不需要的功能，而不是
讓用戶在需要時再去安裝額外的組件。這種方法盡管對用戶很方便，但卻產生了很多危險的安全
漏洞，因為用戶不會主動的給他們不使用的軟件組件打補丁。而且很多用戶根本不知道實際安裝
了什麼，很多系統中留有安全漏洞就是因為用戶根本不知道安裝了這些程序。

那些沒有打補丁的服務為攻擊者接管計算機舖平了道路。
對操作系統來說，缺省安裝幾乎總是包括了額外的服務和相應的開放端口。攻擊者通過這些端口
侵入計算機系統。一般說來，你打開的端口越少，攻擊者用來侵入你計算機的途徑就越少。對於
應用軟件來說，缺省安裝包括了不必要的腳本范例，尤其對於 Web服務器來說更是如此，攻擊
者利用這些腳本侵入系統，並獲取他們感興趣的信息。絕大多數情況下，被侵入系統的管理員根
本不知道他們安裝了這些腳本范例。這些腳本范例的安全問題是由於他們沒有經歷其他軟件所必
須的質量控制過程。事實上，這些腳本的編寫水平極為低劣，經常忘記出錯檢查，給緩沖區溢出
類型的攻擊提供了肥沃的土壤。


G1.2 受影響的系統
大多數操作系統和應用程序。請注意幾乎所有的第三方web服務器擴展都存在這樣的樣本文件，
它們中間的大多數是極度危險的。

G1.3 CVE 表項
（注意：以下列表並不完整，只是部分樣本）
CVE-1999-0415, CVE-1999-0678, CVE-1999-0707, CVE-1999-0722, CVE-1999-0746,
CVE-1999-0954, CVE-2000-0112, CVE-2000-0192, CVE-2000-0193, CVE-2000-0217,
CVE-2000-0234, CVE-2000-0283, CVE-2000-0611, CVE-2000-0639, CVE-2000-0672,
CVE-2000-0762, CVE-2000-0868, CVE-2000-0869, CVE-2000-1059

G1.4 怎樣判斷你是易受攻擊的：
如果你使用了安裝程序去安裝系統或服務軟件，而且沒有移走不需要的服務，或沒有安裝所有的
安全補丁，那麼你的系統是易於被黑客攻擊的。

即使你進行了附加的配置，你也仍然是易受攻擊的。你應該對任何連到Internet上的系統進行端
口掃描和漏洞掃描。在分析結果時，請記住以下原則：你的系統應該提供盡可能少的服務，並安
裝為提供這些服務所需的最少的軟件包。每一個額外的軟件或服務都為攻擊者提供了一個攻擊手
段，這主要是由於系統管理員不會為他們不經常使用的軟件打補丁。

G1.5 怎樣防范：
卸載不必要的軟件，關掉不需要的服務和額外的端口。這會是一個枯燥而且耗費時間的工作。正
是由於這個原因，許多大型組織都為他們使用的所有操作系統和應用軟件開發了標準安裝指南。
這些指南包括了為使系統有效運作所需的最少的系統特性的安裝。

Internet安全中心(CIS) 根據多個國家的170個組織（http://www.cisecurity.org/）的知識和經驗，
針對Solaris和Windows 2000開發了一套公認的最小安全配置基準，針對其他操作系統的配置
基準和測試工具還在開發中。CIS工具可以測試安全性能，分區比較系統安全狀態。CIS指南可
用來提高大多數操作系統的安全性能。

G2 每 沒有口令或使用弱口令的帳號

G2.1 描述：
大多數系統都把口令作為第一層和唯一的防御線。用戶的ID是很容易獲得的，而且大多數公司
都使用撥號的方法繞過防火牆。因此，如果攻擊者能夠確定一個帳號名和密碼，他（或她）就能
夠進入網絡。易猜的口令或缺省口令是一個很嚴重的問題，但一個更嚴重的問題是有的帳號根本
沒有口令。實際上，所有使用弱口令，缺省口令和沒有口令的帳號都應從你的系統中清除。

另外，很多系統有內置的或缺省的帳號，這些帳號在軟件的安裝過程中通常口令是不變的。攻擊
者通常查找這些帳號。因此，所有內置的或缺省的帳號都應從系統中移出。

G2.2受影響的系統
所有通過用戶ID和口令進行認証的操作系統或應用程序。

G2.3 CVE entries:
（注意：以下列表並不完整，只是部分樣本）
CVE-1999-0291, CAN-1999-0501, CAN-1999-0502, CAN-1999-0503,
CAN-1999-0505, CAN-1999-0506, CAN-1999-0507, CAN-1999-0508,
CAN-1999-0516, CAN-1999-0517, CAN-1999-0518, CAN-1999-0519

G2.4 怎樣判斷你是易受攻擊的：
為判斷你是否易受攻擊，你需要了解你的系統上都有哪些帳號。應進行以下操作：
1． 審計你系統上的帳號，建立一個使用者列表，別忘了檢查例如路由，連接Internet的打印機、
復印機和打印機控制器等系統的口令。
2． 制定管理制度，規范增加帳號的操作，及時移走不再使用的帳號。
3． 經常檢查確認有沒有增加新的帳號，不使用的帳號是否已被刪除。
4． 對所有的帳號運行口令破解工具，以尋找弱口令或沒有口令的帳號。（在你這麼做之前，先
確定你有權利這麼做）
a. LC3 每 Microsoft Windows NT and Microsoft Windows 2000, http://www.atstake.com/

b. Microsoft Personal Security Advisor, 每 Microsoft Windows NT and Microsoft Windows
2000, www.microsoft.com/security/mpsa
c. John the Ripper 每 Unix, http://www.openwall.com/john
d. Pandora 每 Novell, http://www.nmrc.org/pandora
5.當雇員或承包人離開公司時，或當帳號不再需要時，應有嚴格的制度保証刪除這些帳號。

G2.5 怎樣防范：

應採取兩個步驟以消除口令漏洞。第一步，所有沒有口令的帳號應被刪除或加上一個帳號，所有
弱口令應被加強。可悲的是，當用戶被要求改變或加強他們的弱口令時，他們經常又選擇一個容
易猜測的。這就導致了第二步，用戶的口令在被修改後，應加以確認。可以用程序來拒絕任何不
符合你安全策略的口令，可在如下地址獲得常用的程序：
1.For UNIX: Npasswd, http://www.utexas.edu/cc/unix/software/npasswd
2 .For Windows NT: Passfilt, http://support.microsoft.com/support.../Q161/9/90.asp

這些程序保証了修改口令時，口令的長度和組成使得破解非常困難。應指出，很多UNIX系統有
保証口令強壯性的功能，另外還有很多其他軟件包也可以達到這個目的。

很多組織使用口令控制程序，以保証口令經常更改，而且舊口令不可重用。如果使用口令有效期，
請確認用戶在口令過期之前收到警告並有足夠的時間改變口令。當面對以下信息時，"your
password has expired and must be changed," 用戶往往會選擇一個壞口令。

Microsoft Windows 2000在Group Policy中包括口令限制選項。系統管理員可以配置網絡，使
口令有最小長度，最小和最大有效期等限制。限制口令的最小有效期是很重要的，如果沒有它，
用戶在被要求修改口令後會很快又把口令改回去。限制口令的最小有效期使得用戶不得不記住現
在的口令，而不太會把口令改回去。

另外一個很重要的手段是使用戶了解，為什麼以及怎樣去選擇強壯的口令。選擇口令最常見的建
議是選取一首歌中的一個短語或一句話，將這些短語的非數字單詞的第一或第二個字母，加上一
些數字來組成口令，在口令中加入一些標點符號將使口令更難破解。

另一個避免沒有口令或弱口令的方法是採用其他認証手段，例如口令產生令牌
（password-generating tokens）或生物尺度（biometrics）。如果你沒有辦法解決弱口令的問題，
嘗試一下其它認証手段。

G3 每 沒有備份或者備份不完整

G3.1 描述：
當事故發生時（這在每一個組織均有可能發生），從事故中恢復要求及時的備份和可靠的數據存
儲方式。一些組織的確每天做備份，但是不去確認備份是否有效。其他一些組織建立了備份的策
略和步驟，但卻沒有建立存儲的策略和步驟。這些錯誤往往在黑客進入系統並已經破壞數據後才
被發現。

第二個問題是對備份介質的物理保護不夠。備份保存了和服務器上同樣敏感的信息，它們應以相
同的方式加以對待。

G3.2受影響的系統
任何運行緊要任務的系統

G3.3 CVE entries:
N/A

G3.4怎樣判斷你是易受攻擊的：
應列出一份緊要系統的列表。然後對每一個系統可能遇到的風險和威脅進行分析。應根據這些重
要的服務器制定備份方式和策略。一旦確認了這些重要系統，應明確以下重要問題：
1． 系統是否有備份？
2． 備份間隔是可接受的嗎？
3． 系統是按規定進行備份的嗎？
4． 是否確認備份介質正確的保存了數據？
5． 備份介質是否在室內得到了正確的保護？
6． 是否在另一處還有操作系統和存儲設施的備份？（包括必要的license key）
7． 存儲過程是否被測試及確認？

G3.5怎樣防范：
應當每天做備份。在大多數組織中，最低的要求是一周做一次完整的備份，之後每天再做增量備
份。至少一個月要對備份介質做一次測試，以保証數據確實被正確的保存了下來。這是最低要求。
很多公司每天都做完整的備份，並且一天就要做多次備份。備份的終極目的是一個完全冗余的網
絡，並且具備自動防故障能力---實時金融和電子商務系統，重要設施的控制系統和一些國防部門
的系統都需要這樣一個備份方案。

G4 每 大量打開的端口

G4.1 描述
合法的用戶和攻擊者都通過開放端口連接系統。端口開得越多，進入系統的途徑就越多。因此，
為使系統正常運作，保持盡量少的端口是十分必要的。所有無用的端口都應被關閉。

G4.2受影響的系統：
大多數操作系統。

G4.3 CVE entries:
（注意：以下列表並不完整，只是部分樣本）

CVE-1999-0189, CVE-1999-0288, CVE-1999-0351, CVE-1999-0416, CVE-1999-0675,
CVE-1999-0772, CVE-1999-0903, CVE-2000-0070, CVE-2000-0179, CVE-2000-0339,
CVE-2000-0453, CVE-2000-0532, CVE-2000-0558, CVE-2000-0783, CVE-2000-0983,

G4.4怎樣判斷你是易受攻擊的：
netstat命令可以在本地運行以判斷哪些端口是打開的,但更保險的方法是對你的系統進行外部
的端口掃描.這會給你列出所有實際在偵聽的端口號.如果二者結果不同,你應該研究一下是什麼
原因.如果兩個列表一致,檢查一下為什麼這些端口是打開的,每一個端口都在運行什麼.任何無
法確認的端口都應被關閉.應記錄最終端口列表,以確定沒有額外的端口出現。

在眾多的端口掃描器中，最流行的是nmap。在http://www.insecure.org/nmap/ 可以找到UNIX
下的nmap。這個版本在NT下也可以編譯。在 http://www.eeye.com/html/Research/Tools/nmapnt.html
可以找到NT版的nmap。無論你使用那種掃描器，都應掃描從1-65,535的所有TCP和UDP
端口。

在進行掃描之前，你應對系統擁有寫入權限。一些操作系統，特別是一些有內置的TCP/IP協議
棧的器件，在被掃描時，會出現難以預計的後果。掃描同時會觸發入侵檢測系統和防火牆，而被
認為是一種入侵。

G4.5怎樣防范：
一旦你確定了哪些端口是打開的，接下來的任務是確定所必須打開的端口的最小集合─關閉其他
端口，找到這些端口對應的服務，並關閉/移走它們。

在UNIX系統下，很多服務是由inted和它的配置文件inetd.conf控制的。inetd.conf列出了偵聽
端口的服務，可用來關閉端口：將一種服務從inetd.conf中移出，重啟inted，以避免端口被再
次打開。其他一些服務是通過啟動時的一些腳本來運行的（例如/etc/rc, /etc/rc.local,或在/etc/rc*
目錄下的。由於在不同UNIX系統下關閉這些腳本的方式不同，請查詢你的系統文檔。

在Windows NT 和 Windows 2000下，可使用一種fport（http://www.foundstone.com/）的程
序來確定在某個特定端口上偵聽的服務或程序。在Windows XP下，你可以netstat命令加-o來
完成相同的功能。

G5 每 沒有過濾地址不正確的包

G5.1描述
IP地址欺詐是黑客經常用來######自己蹤跡的一種手段。例如常見的smurf攻擊就利用了路由的
特性向數以千記的機器發出了一串數據包。每一個數據包都假冒了一個受害主機的IP地址作為
源地址，於是上千台主機會同時向這個受害的主機返回數據包，導致該主機或網絡崩潰。
對流進和流出你網絡的數據進行過濾可以提供一種高層的保護。過濾規則如下：
1． 任何進入你網絡的數據包不能把你網絡內部的地址作為源地址。
2． 任何進入你網絡的數據包必須把你網絡內部的地址作為目的地址。
3． 任何離開你網絡的數據包必須把你網絡內部的地址作為源地址。
4． 任何離開你網絡的數據包不能把你網絡內部的地址作為目的地址。
5． 任何進入或離開你網絡的數據包不能把一個私有地址（private address）或在RFC1918中
列出的屬於保留空間（包括10.x.x.x/8, 172.16.x.x/12 或192.168.x.x/16 和網絡回送地址
127.0.0.0/8.）的地址作為源或目的地址。
6． 阻塞任意源路由包或任何設置了IP選項的包。

G5.2受影響的系統：
大多數操作系統和網絡設備。

G5.3 CVE entries:
（注意：以下列表並不完整，只是部分樣本）
CAN-1999-0528, CAN-1999-0529, CAN-1999-0240, CAN-1999-0588

G5.4怎樣判斷你是易受攻擊的：
試圖發送一個假冒IP地址的包，看你的防火牆或路由器是否阻隔了它。你的設備不僅應該阻隔
它的傳輸，而且應該在日志文件中記錄下假冒IP包已被丟棄。注意，這又為一種新的攻擊敞開
了大門：日志文件泛濫。應確認你的日志系統可以處理很強的負載，否則就易受DOS攻擊。nmap
程序可以發出假冒IP包以測試這類過濾。一旦設置了過濾規則，不要認為它總能正常工作，經
常測試。

G5.5怎樣防范：
應在你的外部路由或防火牆上設置過濾規則。以下是CISCO路由器的簡單規則：
1． 進入過濾：
interface Serial 0
ip address 10.80.71.1 255.255.255.0
ip access-group 11 in
access-list 11 deny 192.168.0.0 0.0.255.255
access-list 11 deny 172.16.0.0 0.15.255.255
access-list 11 deny 10.0.0.0 0.255.255.255
access-list 11 deny
access-list 11 permit any
2. 離開過濾：
interface Ethernet 0
ip address 10.80.71.1 255.255.255.0
ip access-group 11 in
access-list 11 permit

G6 每 不存在或不完整的日志：

G6.1 描述：
安全領域的一句名言是：“預防是理想的，但檢測是必須的”。只要你允許你的網絡與Internet
相連，黑客入侵的危險就是存在的。每周都會發現新的漏洞，而保護你不被黑客攻擊的方法很少。
一旦被攻擊，沒有日志，你會很難發現攻擊者都作了什麼。不了解這一點的話，你只能在兩者之
間做出選擇：要麼從原始狀態重裝系統，寄希望於數據備份是正確的，要麼冒險使用一個黑客可
能仍然控制的系統。

如果你不知道在你的系統上都發生了什麼，你是不可能發現入侵的。日志提供了當前系統的細節，
哪些系統被攻擊了，那些系統被攻破了。

在所有重要的系統上應定期做日志，而且日志應被定期保存和備份，因為你不知何時會需要它。
許多專家建議定期向一個中央日志服務器上發送所有日志，而這個服務器使用一次性寫入的介質
來保存數據，這樣就避免了黑客篡改日志。

G6.2受影響的系統：
所有的操作系統和網絡設備。

G6.3 CVE entries:
CAN-1999-0575, CAN-1999-0576, CAN-1999-0578

G6.4怎樣判斷你是易受攻擊的：
查看每一個主要系統的日志，如果你沒有日志或它們不能確定被保存了下來，你是易被攻擊的。

G6.5怎樣防范：
所有系統都應在本地記錄日志，並把日志發到一個遠端系統保存。這提供了冗余和一個額外的安
全保護層。現在兩個日志可以互相比較。任何的不同顯示了系統的異常。另外，這提供了日志文
件的交叉檢測。一個服務器中的一行日志可能並不可疑，但如果在一分鐘內出現在一個組織的
50個服務器的同一出口，可能標志著一個嚴重問題。

不論何時，用一次性寫入的媒質記錄日志。

G7 每 易被攻擊的CGI程序

大多數的web服務器，包括Microsoft的IIS和Apache，都支持CGI程序，以實現一些頁面的
交互功能，例如數據採集和確認。事實上，大多數web服務器都安裝了簡單的CGI程序。不幸的
是，大多數CGI程序員沒有認識到他們的程序為Internet上的任一個人提供了一個連向web服
務器操作系統的直接的鏈接。易被攻擊的CGI程序格外吸引攻擊者，是因為他們很容易確定和使
用web服務器上軟件的權限。攻擊者們可以利用CGI程序來修改web頁面，竊取信用卡帳號，為
未來的攻擊設置後門。當司法部的頁面被篡改後，深入調查得出的結論是可能性最大的攻擊手段
是CGI程序中的漏洞。由沒有受過良好教育或很粗心的程序員編寫的web服務器應用程序也很容
易受到攻擊。作為一個基本的規則，所有系統都應刪除示范（sample）程序。

G7.2受影響的系統：
所有的web服務器。

G7.3 CVE entries:
（注意：以下列表並不完整，只是部分樣本）
CVE-1999-0067, CVE-1999-0346, CVE-2000-0207, CVE-1999-0467, CAN-1999-0509,
CVE-1999-0021, CVE-1999-0039, CVE-1999-0058, CVE-2000-0012, CVE-2000-0039,
CVE-2000-0208, CAN-1999-0455, CAN-1999-0477

G7.4 怎樣判斷你是易受攻擊的：
如果你的web服務器上有任何示范程序，你是易被攻擊的。如果你有合法的CGI程序，請保証你
是在運行最新版，然後對你的站點運行漏洞掃描工具。通過模仿攻擊者的行為，你可以保護你的
系統。你可以使用一個叫whisker（http://www.wiretrip.net/rfp/）的CGI掃描工具來發現CGI程
序的漏洞。

G7.5怎樣防范：
以下是為保護易受攻擊的CGI程序所需做的首要工作：
1． 從你的web服務器上移走所有CGI示范程序。
2． 審核剩余的CGI腳本，移走不安全的部分。
3． 保証所有的CGI程序員在編寫程序時，都進行輸入緩沖區長度檢查。
4． 為所有不能除去的漏洞打上補丁。
5． 保証你的CGI bin目錄下不包括任何的編譯器或解釋器。
6． 從CGI bin目錄下刪除"view-source"腳本。
7． 不要以administrator或root權限運行你的web服務器。大多數的web服務器可以配置成較
低的權限，例如"nobody."
8． 不要在不需要CGI的web服務器上配置CGI支持。

最危險的Windows系統漏洞(W)

W1 -　 Unicode漏洞

W1.1　描述：
不論何種平台，何種程序，何種語言，Unicode為每一個字符提供了一個獨一無二的序號。Unicode
標準被包括Microsoft在內的很多軟件開發商所採用。通過向IIS服務器發出一個包括非法
Unicode UTF-8序列的URL,攻擊者可以迫使服務器逐字“進入或退出”目錄並執行任意(程
序)(script─腳本)，這種攻擊被稱為目錄轉換攻擊。

Unicode用%2f和%5c分別代表/和\。但你也可以用所謂的“超長”序列來代表這些字符。“超
長”序列是非法的Unicode表示符，它們比實際代表這些字符的序列要長。/和\均可以用一個字
節來表示。超長的表示法，例如用%c0%af代表/用了兩個字節。IIS不對超長序列進行檢查。這
樣在URL中加入一個超長的Unicode序列，就可以繞過Microsoft的安全檢查。如果是在一個
標記為可執行的文件夾中發出的請求，攻擊者可以在服務器上運行可執行文件。更多的有關
Unicode的威脅信息可在這裡找到：
http://www.wiretrip.net/rfp/p/doc.asp?id=57&face=2

W1.2　受影響的系統：
安裝了IIS 4.0的Microsoft Windows NT 4.0和安裝了IIS 5.0，而沒有安裝Service Pack 2的
Windows 2000 server。

W1.3 CVE entries:
CVE-2000-0884

W1.4　怎樣判斷你是易受攻擊的：
如果你在運行一個未打補丁的IIS，那麼你是易受到攻擊的。最好的判斷方法是運行hfnetchk。
Hfnetchk是用來幫助管理員來判斷系統所打補丁情況的工具。Unicode目錄轉換漏洞可通過打
以下補丁進行修補：
? Q269862 - MS00-057
? Q269862 - MS00-078
? Q277873 - MS00-086
? Q293826 - MS01-026
? Q301625 - MS01-044
? Windows 2000 Service Pack 2
如果一個補丁都沒有安裝，那麼系統是易受到攻擊的：

為進行進一步確認，你可以鍵入以下命令：
http://victim/scripts/..À‾../w.../c+dir+c:\
這個地址需要被修改以準確測試每一個特定系統。如果你已移走了scripts目錄（建議這
麼做），這個命令就失效了。你可以暫時建立一個有執行權限的目錄，或使用一個已有的有
執行權限的目錄，來替代scripts目錄。例如，你可能已經刪除了scripts目錄，但另外有一
個cgi-bin目錄，使用cgi-bin目錄替代scripts目錄測試你的系統。
如果你是易受攻擊的，這個URL會送回一個目錄，列出驅動器C下的所有內容。你只是運
行DIR命令，如果是一個攻擊者的話，他就有可能大肆破壞或在你的系統上安裝一個後門。

W1.5 怎樣防范：
為避免這一類攻擊，你應下載Microsoft的最新補丁，在Microsoft Security Bulletin：
http://www.microsoft.com/technet/sec...n/MS00-078.asp 你可以找到這些補丁的
信息。
IIS Lockdown和URL Scan均可以避免這類攻擊。IIS Lockdown可以幫助管理員鎖住IIS
server，可在以下地址獲得：
http://www.microsoft.com/technet/sec...s/locktool.asp
URLScan是一個可以過濾很多HTTP請求的過濾器。例如，它可以過濾包含UTF8編碼字
符的請求。URLScan可在以下地址獲得：
http://www.microsoft.com/technet/security/URLScan.asp

W2 每 ISAPI 緩沖區擴展溢出

W2.1描述：
Microsoft's Internet Information Server (IIS)是在大多數Microsoft Windows NT和
Windows 2000服務器上使用的服務器軟件。安裝IIS後，就自動安裝了多個ISAPI
extensions。ISAPI，代表Internet Services Application Programming Interface，允許開發
人員使用DLL擴展IIS服務器的性能。一些動態連接庫，例如idq.dll，有編程錯誤，使得他
們做不正確的邊界檢查。特別是，它們不阻塞超長字符串。攻擊者可以利用這一點向DLL
發送數據，造成緩沖區溢出，進而控制IIS服務器。

W2.2受影響的系統：
idq.dll緩沖區溢出影響Microsoft Index Server 2.0和Windows 2000中的Indexing Service。
打印機緩沖區溢出影響Windows 2000 Server, Advanced Server, 和安裝了IIS 5.0的
Server Data Center Edition. Windows 2000 Professional也裝載了idq.dll，但不是缺省安裝。
如果可能，你應使用Group Policy，禁止基於web的打印（在Computer
Configuration:Administrative Templatesrinters下）。

W2.3 CVE entries:
CVE-1999-0412, CVE-2001-0241, CAN-2000-1147, CAN-2001-0500

W2.4怎樣判斷你是易受攻擊的：
如果你的web服務器沒有安裝Service Pack 2，你是易受攻擊的。如果你不確定安裝了哪
一個補丁，從以下地址下載hfnetchk並運行它：
http://www.microsoft.com/technet/tre.../tools/hfnetch
k.asp
以下補丁可以修正打印機緩沖區溢出：
? Q296576 - MS01-023
? Q300972 - MS01-033
? Q301625 - MS01-044
? Windows 2000 SP2
? Q299444 每 The Windows NT 4.0 Security Roll-up Package
以下補丁可以修正idq.dll緩沖區溢出：
? Q300972 - MS01-033
? Q301625 - MS01-044
? The Windows NT 4.0 Security Roll-up Package

W2.5 怎樣防范：
安裝最新的Microsoft的補丁。
? Windows NT 4.0:
http://www.microsoft.com/ntserver/nt...44/default.asp
? Windows 2000 Professional, Server and Advanced Server:
http://www.microsoft.com/technet/sec...n/MS01-044.asp
? Windows 2000 Datacenter Server:
Windows 2000 Datacenter Server是基於硬件的，可以從設備生產商處獲得。

? Windows XP:
該漏洞不影響Windows XP.
同時，管理員應檢查並取消所有不需要的ISAPI擴展。經常檢查這些擴展沒有被恢復。
請記住最小權限規則，你的系統應運行系統正常工作所需的最少服務。
IIS Lockdown和URL Scan均可以避免這類攻擊。IIS Lockdown可以幫助管理員鎖住IIS
server，可在以下地址獲得：
http://www.microsoft.com/technet/sec...s/locktool.asp
URLScan是一個可以過濾很多HTTP請求的過濾器。例如，它可以過濾包含UTF8編碼字
符的請求。URLScan可在以下地址獲得：
http://www.microsoft.com/technet/security/URLScan.asp

W3 - IIS RDS的使用(Microsoft Remote Data Services)

W3.1 描述：
Microsoft's Internet Information Server (IIS)是在大多數Microsoft Windows NT和
Windows 2000服務器上使用的服務器軟件。黑客可以利用IIS's Remote Data Services
(RDS)中的漏洞以administrator權限在遠端運行命令。

W3.2受影響的系統：
運行IIS，有/msadc虛擬路徑的Microsoft Windows NT 4.0系統是最易受攻擊的。
W3.3 CVE entries:
CVE-1999-1011

W3.4 怎樣判斷你是易受攻擊的：
如果你在運行一個未打補丁的系統，你是易被攻擊的。
可以在以下地址找到有關RDS漏洞和怎樣清除它的指南：
http://www.wiretrip.net/rfp/p/doc.asp?id=29&iface=2

W3.5怎樣防范：
這不是僅打一個補丁就能修復的。為進行防范，請遵循以下安全公告（security bulletins）
的指南：
? http://support.microsoft.com/support.../q184/3/75.asp
? http://www.microsoft.com/technet/sec...n/ms98-004.asp
? http://www.microsoft.com/technet/sec...n/ms99-025.asp
另外，你也可以通過升級到2.1版的MDAC來解決這個問題。最新版的MDAC可在以下地址
獲得：
http://www.microsoft.com/data/download.htm

W4 每 NETBIOS 每 未保護的Windows網絡共享

W4.1 描述：
Server Message Block (SM協議，也稱為Common Internet File System (CIFS), 允許網絡間
的文件共享。不正確的配置可能會導致系統文件的暴露，或給予黑客完全的系統訪問權。許多計
算機所有者不知道他們在為了外來的研究人員或工作人員方便，而把文件設置為可讀，可寫後，
就為黑客們敞開了大門。用於開發任務規劃軟件的政府網站的管理員們把他們的文件設為世界范
圍可讀的，於是來自不同政府機構的人員可以輕易進入。在兩天之內，黑客們就發現了這個開放
文件共享，並偷走了這個軟件。

在Windows的主機上允許文件共享使得它們容易受到信息竊賊和某種快速移動的病毒的攻擊。
在Macintosh和UNIX的主機上允許文件共享也存在相同的問題。

允許進行Windows文件共享的Windows機制可被攻擊者利用獲取系統的敏感信息。用戶和組
信息（用戶名，上次登錄時間，口令策略，RAS信息），系統信息和某種注冊密鑰都可通過與
NetBIOS對話服務連接的一個“空對話”過程獲得。這些信息對黑客很有幫助，因為這些信息
可以幫助他們進行口令猜測和破解。

W4.2 受影響的系統：

Microsoft Windows NT and Windows 2000 systems

W4.3 CVE entries:
CVE-1999-0366, CVE-2000-0222, CVE-2000-0979, CAN-1999-0518, CAN-1999-0519,
CAN-1999-0520, CAN-1999-0621, CAN-2000-1079

W4.4怎樣判斷你是易受攻擊的：
可在Gibson Research Corporation的網站http://grc.com/. 進行快速，免費安全的測試，以檢查
SMB文件共享和其他漏洞的存在。點擊"ShieldsUP"圖標可以檢查是否存在SMB漏洞。注意，
如果你所連接網絡的某個中間器件阻塞了SMB，ShieldsUP會報告說你不存在這個漏洞，但事
實上你可能存在。例如，對使用cable modem上網，而供應商禁止SMB進入cable modem的
用戶，ShieldsUP會報告說你不存在漏洞，但事實上，大約4000個和你使用同一個cable modem
連接用戶均可使用這一漏洞。

Microsoft Personal Security Advisor也可以判斷你是否存在SMB漏洞，並修復它，由於它是在
本地運行，所以結果十分可靠。可在以下網址獲得：
http://www.microsoft.com/technet/sec...tools/mpsa.asp

W4.5怎樣防范：
可採取以下手段防范：
1． 在共享數據時，確保只共享所需目錄。
2． 為增加安全性，只對特定IP地址進行共享，因為DNS名可以欺詐。
3． 對Windows系統(NT,2000)，只允許特定用戶訪問共享文件夾。
4． 對Windows系統，禁止通過“空對話”連接對用戶，組，系統配置和注冊密鑰進行匿名列
舉。在W5中有更詳盡的信息。
5． 對主機或路由器上的NetBIOS會話服務(tcp 139), Microsoft CIFS (TCP/UDP 445)禁止不綁
定的連接。
6． 考慮在獨立或彼此不信任的環境下，在連接Internet的主機上部署RestrictAnonymous
registry key。可在以下網頁找到更多信息：
Windows NT 4.0:
http://support.microsoft.com/support.../Q143/4/74.asp
Windows 2000:
http://support.microsoft.com/support.../Q246/2/61.ASP

W5 每 通過空對話連接造成的信息泄露

W5.1 描述：
一個空對話連接(null session)，也稱為匿名登錄，是一種允許匿名用戶獲取信息（例如用戶
名或共享文件），或不需認証進行連接的機制。explorer.exe利用它來列舉遠程服務器上的共
享文件。在Windows NT和Windows 2000系統下，許多本地服務是在SYSTEM帳號下運行的，
又稱為Windows 2000的LocalSystem。很多操作系統都使用SYSTEM帳號。當一台主機需要
從另一台主機上獲取系統信息時，SYSTEM帳號會為另一台主機建立一個空對話。

SYSTEM帳號實際擁有無限的權利，而且沒有密碼，所以你不能以SYSTEM的方式登錄。
SYSTEM有時需要獲取其它主機上的一些信息，例如可獲取的共享資源和用戶名等典型的網上
鄰居功能。由於它不能以用戶名和口令進入，所以它使用空對話連接進入，不幸的是攻擊者也可
以相同的方式進入。

W5.2受影響的系統：
Windows NT 4.0和Windows 2000 systems

W5.3 CVE entries:
CAN-2000-1200

W5.4怎樣判斷你是易受攻擊的：
試用以下命令通過一個空對話連接到你自己的系統：
net use \\a.b.c.d\ipc$ "" /user:""
（a.b.c.d是遠端系統的IP地址）

如果你收到一個"connection failed"回復，你的系統就不存在這類漏洞，如果沒有回復，就意味
著以上命令執行成功，你的系統存在這類漏洞。

也可使用"Hunt for NT"，它是NT Forensic Toolkit中的一個組件。
可從以下地址獲得：http://www.foundstone.com/。
W5.5 怎樣防范：
域控制器需要空對話進行通信。因此，如果你處在一個域的環境中，你可以通過以下手段盡量減
少攻擊者所能獲取的信息，但你永遠不能消除所有泄露信息的手段：

在Windows NT 4.0的主機上，修改以下注冊表項：
HKLM/System/CurrentControlSet/Control/LSA/RestrictAnonymous=1
將RestrictAnonymous 改為1仍然可使匿名用戶獲取某些信息。在Windows 2000下，你可以
把相應的值設為2。這樣做會使得在不允許外來的匿名用戶（包括空對話用戶）進行訪問的時候，
匿名用戶不能獲取任何信息。

修改注冊表可能會造成你的系統工作不正常。因此必須事先進行測試。另外，所有系統應加以備
份以便於恢復。如果你不需要文件或打印機共享，把NetBIOS從TCP/IP中解除。

注意這裡在域控制器和其他主機上設置RestricAnonymous可能會影響網絡的正常工作。因此建
議只修改在Internet上可見的主機。其他主機都應受到可阻塞NetBIOS和CIFS的防火牆的保
護。

Internet用戶應不能訪問任何的域內控制器或其他不是用來提供外部訪問服務的主機。為避免這
類訪問，關閉外部路由器或防火牆的以下端口：
從135到139，和445的TCP，UDP端口。

W6 - Weak hashing in SAM (LM hash)

W6.1 描述:

盡管Windows的大多數用戶不需要LAN Manager的支持，微軟還是在Windows NT 和 2000系
統裡缺省安裝了LAN Manager口令散列。由於LAN Manager使用的加密機制比微軟現在的方法
脆弱，LAN Manager的口令能在很短的時間內被破解。即使是強健的口令散列也能在一個月內破
解掉。LAN Manager散列的主要脆弱性在於：
? 長的口令被截成14個字符
? 短的口令被填補空格變成14個字符
? 口令中所有的字符被轉換成大寫
? 口令被分割成兩個7個字符的片斷
這就意味著口令破解程序只要破解兩個7個字符的口令而且不用測試小寫字符情況。另外，
LAN Manager容易被偵聽口令散列。偵聽可以為攻擊者提供用戶的口令。

W6.2 影響的系統:
Microsoft Windows NT 和 2000 系統

W6.3 CVE 條款:
N/A

W6.4 怎樣確認是否受影響:
如果你的NT或2000是缺省安裝，你就可能受到這個攻擊，因為LAN Manager散列被缺省創建。
你可以測試一下破解你的系統的口令是多麼容易（如果你從你的上司那裡得到寫的權限）。你可
以使用象LC3 (l0phtcrack version 3)這樣自動密碼破解工具，它可以從這裡找到：
http://www.atstake.com/research/lc3/download.html

W6.5 怎樣抵御攻擊:
有兩種方法可以用來防止LM散列的密碼被破解。第一種方法是取消LAN Manger 在整個網絡的
鑒定功能，使用NTLMv2 。NTLMv2 (NT LanManager version 2) 的認証方法克服了LAN Manger
的大部分脆弱性，使用了更強健的編碼，並改進了認証的安全機制。

從Windows NT 4.0 SP4 及以後的系統，包括Windows 2000，微軟使你可以在網絡上只使用
NTLMv2成為可能。在Windows NT 和 2000中這個功能的控制鍵是
HKLM\System\CurrentControlSet\Control\LSA\ LMCompatibilityLevel。 如果你把它的值設置成
3，工作站或服務器將只使用NTLMv2信任証書進行認証。如果設置成5，任何域控制器將拒絕
LM和NTLM的認証而只接受NTLMv2.

如果在你的網絡裡還有象Windows 95怎樣舊的操作系統，必須得小心計劃你的升級。舊的系統
無法在微軟網絡客戶端使用NTLMv2。在Win9x中，該鍵值是
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\ LMCompatibility ，它只接受
0到3 的值（目錄服務客戶端）。最安全的做法是除去舊的系統，因為它妨礙你為你的組織提供
所需的最低安全標準。
微軟的Technet 文章 "How to Disable LM Authentication on Windows NT [Q147706]" 詳細解釋
了在Windows 9x 和 Windows NT/2000注冊表中需要的改變。"LMCompatibilityLevel and Its
Effects [Q175641]" 解釋了這個參數的互用性問題。Technet中另一篇很有用的文章是"How to
Enable NTLMv2 Authentication for Windows 95/98/2000/NT [Q239869]."，它解釋了怎樣使用
Windows 2000的目錄服務客戶端為Windows 95/98克服NTLMv2的兼容性限制。
簡單的刪除網絡LanMan散列帶來的問題是在SAM或Active Directory中散列還會產生和存儲。
微軟最近提供了一次性取消LanMan散列防止再生的方法。在Windows 2000上，找到下面注冊
鍵：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
在RegEdt32或者RegEdit的菜單中選擇Edit, 單擊Add 鍵…..加入一個名為NoLMHash的鍵值。
然後，退出注冊表編輯器，重啟計算機。下次用戶改變口令時，計算機就不會再產生LanMan散
列。如果這個鍵是在Windows 2000域控制器上產生的，LanMan散列就不會被生成並存儲在
Active Directory。
在Windows XP, 同樣的功能可以通過設置鍵值來完成：
Hive: HKEY_LOCAL_MACHINE
Key: System\CurrentControlSet\Control\Lsa
Value: NoLMHash
Type: REG_DWORD
Data: 1
這將和Windows 2000 中生成NoLMHash 鍵的效果一樣。
關於更多的信息，請參考下面微軟知識庫文章Q299656 :
http://support.microsoft.com/support...q299/6/56.asp.

Unix 系統漏洞
Top Vulnerabilities To Unix Systems (U)

U1 - RPC 服務緩沖區溢出
U1.1 描述:
遠程請求（Remote procedure calls ，RPCs） 允許一台機器上的程序執行另一台機器上的程序。
它們被廣泛的用來提供網絡服務如NFS文件共享和NIS。由於RPC缺陷導致的弱點正被廣泛的
利用著。有証據顯示，1999年到2000年間的大部分分布式拒絕服務型攻擊都是在那些通過RPC
漏洞被劫持的機器上執行的。在Solar Sunrise事件中取得廣泛成功的對美國軍方系統的攻擊就是
通過利用國防部幾百個系統中的一個RPC缺陷來實現的。

U1.2 影響的系統:
Unix的大部分版本

U1.3 CVE 條款:
CVE-1999-0003, CVE-1999-0693, CVE-1999-0696, CVE-1999-0018, CVE-1999-0019,
CVE-1999-0704, CAN-2001-0236, CVE-2000-0666
U1.4 怎樣確定你是否受影響:
檢查你是否運行了下面3個被廣泛利用的RPC服務中的一個：
? rpc.ttdbserverd
? rpc.cmsd
? rpc.statd
這些服務通常被緩沖區溢出攻擊成功利用，因為RPC程序不進行合適的錯誤檢查。緩沖區溢出允
許攻擊者發送程序不支持的數據，因為程序不進行合理的錯誤檢查，數據被繼續傳遞和處理。

U1.5 怎樣抵御該攻擊:
按照下面步驟保護你的系統避免該攻擊：
1. 只要允許，在可以從Internet 直接訪問的機器上關閉或刪除這些服務
2. 在你必須運行該服務的地方，安裝最新的補丁：
Solaris Software 補丁：
http://sunsolve.sun.com/
IBM AIX Software：
http://techsupport.services.ibm.com/...port/downloads
http://techsupport.services.ibm.com/rs6k/fixes.html
SGI Software 補丁：
http://support.sgi.com/
Compaq (Digital Unix) 補丁：
http://www.compaq.com/support
3. 定期搜索供應商的補丁庫查找最新的補丁並立刻安裝。
4. 在路由或防火牆關閉RPC 端口 (port 111) 。
5. 關閉 RPC "loopback" 端口, 32770-32789 (TCP and UDP)
關於3個RPC漏洞的專門的總結性文檔可以在下面找到：
http://www.cert.org/incident_notes/IN-99-04.html
下面提供了關於每一個漏洞服務的信息：
statd: http://www.cert.org/advisories/CA-99...utomountd.html
ToolTalk: http://www.cert.org/advisories/CA-98.11.tooltalk.html
Calendar Manager: http://www.cert.org/advisories/CA-99-08-cmsd.html

U2 - Sendmail 漏洞

U2.1 描述:
Sendmai 是在UNIX和Linux上用的最多的發送，接收和轉發電子郵件的程序。Semdmail在
Internet上的廣泛應用使它成為攻擊者的主要目標。過去的幾年裡發現了若幹個缺陷。事實上，第
一個建議是CERT/CC 在1988年提出的，指出了Sendmail中一個易受攻擊的脆弱性。其中最為
常用的是攻擊者可以發送一封特別的郵件消息給運行Sendmail的機器，Sendmail會根據這條消
息要求受劫持的機器把它的口令文件發給攻擊者的機器（或者另一台受劫持的機器），這樣口令
就會被破解掉。

U2.2 影響的系統:
Unix 和 Linux 的大部分版本。
U2.3 CVE 條款:
CVE-1999-0047, CVE-1999-0130, CVE-1999-0131, CVE-1999-0203, CVE-1999-0204,
CVE-1999-0206

U2.4 怎樣確認是否受影響:
Sendmail 有很多的易受攻擊的弱點，必須定期的更新和打補丁。檢查Sendmail最新版本和補丁
版本，如果你沒有更新版本或安裝補丁文件，你可能就受此條影響。

U2.5 怎樣抵御攻擊:
應當採取下列步驟來保護Sendmail：
1. 更新Sendmail到最新版本或安裝相應的補丁文件.
http://www.cert.org/advisories/CA-97.05.sendmail.html
2. 在不是郵件服務器和代理服務器上，不要在daemon 模式下(關閉 the -bd 開關) 運行
Sendmail。

U3 - Bind 脆弱性

U3.1 描述:
Berkeley Internet Name Domain (BIND) 是域名服務DNS (Domain Name Service) 用的最多的
軟件包。DNS非常重要，我們利用它在Internet上通過機器的名字（例如www.sans.org ）找到
機器而不必知道機器的IP地址。這使它成為攻擊這鐘愛的目標。令人悲哀的是，根據1999年中
期的調查，連接在Internet上的50％的DNS服務器運行的都是易受攻擊的版本。在一個典型的
BINDG攻擊的例子裡，入侵者刪除了系統日志並安裝了工具來獲取管理員的權限。然後他們編輯
安裝了IRC工具和網絡掃描工具，掃描了12個B類網來尋找更多的易受攻擊的BIND。 在一分
鐘左右的時間裡，他們就使用已經控制的機器攻擊了幾百台遠程的機器，並找到了更多的可以控
制的機器。這個例子說明了象DNS這些無處不在的Internet服務軟件中的一個單獨的缺陷可能帶
來的一片混亂的局面。過期版本的Bind還存在緩沖區溢出的問題，攻擊者可以用來獲取未經授權
的權限。

U3.2 影響的系統:
多個 UNIX and Linux 系統

U3.3 CVE 條款:
CVE-1999-0024, CVE-1999-0184, CVE-1999-0833, CVE-1999-0009, CVE-1999-0835,
CVE-1999-0848, CVE-1999-0849, CVE-1999-0851, CVE-2001-0010, CVE-2001-0011,
CVE-2001-0013

U3.4 怎樣確定是否受影響:
運行漏洞掃描器，檢查BIND版本，或手工檢查文件是否易受攻擊。如果可疑，小心總不為過，
升級該系統。

U3.5 怎樣抵御攻擊:
應該採取下面步驟來防止BIND缺陷導致的攻擊：
1. 在所有不是DNS服務器的機器上，取消BIND name daemon （稱為 "named"）. 有些
專家建議刪除DNS軟件。
2. 在被制定為DNS服務器的機器上升級到最新版本和補丁版本。 採用下面的文章中的建
議：
NXT 漏洞: http://www.cert.org/advisories/CA-99-14-bind.html
QINV (Inverse Query) 和NAMED 漏洞:
http://www.cert.org/advisories/CA-98..._problems.html
http://www.cert.org/summaries/CS-98.04.html
3. 以非特權的用戶身份運行BIND以免遠程控制的攻擊。（然而DNS要求只有做為root才
有權配置1024以下的端口並運行該程序。因此你必須配置BIND使其與端口捆綁後改變
用戶ID.
4. 在chroot 目錄下運行BIND以免受到遠程控制攻擊。
5. 除了對授權的用戶外取消區域轉換功能。
6. 取消遞規和粘合以保護DNS緩沖區位置。（Disable recursion and glue fetching, to
defend against DNS cache poisoning. ）
7. ######版本字符串。

U4 - R 命令

U4.1 描述:
在UNIX世界裡，相互信任關系到處存在，特別是在系統管理方面。公司裡經常指定一個管理員
管理幾十個區域或者甚至上百台機器。管理員經常使用信任關系和UNIX的 r 命令從一個系統方
便的切換到另一個系統。 R 命令允許一個人登錄遠程機器而不必提供口令。取代詢問用戶名和口
令，遠程機器認可來自可信賴IP地址的任何人。如果攻擊者獲得了可信任網絡裡的任何一台的機
器，他（她）就能登錄任何信任該IP的任何機器。下面命令經常用到：
1. rlogin 每 remote login，遠程登錄
2. rsh 每 remote shell ，遠程shell
3. rcp 每 remote copy ,遠程拷貝

U4.2 影響的系統:
Unix, 包括 Linux 的大部分變量。

U4.3 CVE 條款:
CVE-1999-0046, CVE-1999-0113, CVE-1999-0185, CAN-1999-0651

U4.4 怎樣確認是否受影響:
信任關系通過設置兩個文件來建立的，不是 /etc/hosts.equiv 就是 ~/.rhosts. 檢查這些文件確認
你的Unix 是否設置了信任關系。

U4.5 怎樣抵御攻擊:
不要允許以 IP 為基礎的信任關系，不要使用 r 命令。基於IP 地址的認証太容易被跳過。認証
應該基於更安全的方式象tokens 或者至少是口令。如果使用 r 命令，限制它的登錄范圍，極其
小心的控制可觸及的網絡的范圍。永遠不要在把“rhost”文件放在“root”用戶下。 你可以經常
使用ix的“find”命令來查找由用戶生成的任何“rhost”文件。

U5 - LPD (remote print protocol daemon)

U5.1 描述:
Unix 裡，in.lpd 為用戶提供了與本地打印機交互的服務。lpd偵聽TCP 515端口的請求。程序員
在寫代碼時犯了一點錯誤，使得當打印工作從一台機器傳到另一台機器時會導致緩沖區溢出的漏
洞。如果在較短的時間裡接受了太多的任務，後台程序就會崩潰或者以更高的權限運行任意的代
碼。

U5.2 影響的系統:
下面的系統受影響：
? Solaris 2.6 for SPARC
? Solaris 2.6 x86
? Solaris 7 for SPARC
? Solaris 7 x86
? Solaris 8 for SPARC
? Solaris 8 x86
? Most variants of Linux

U5.3 CVE 條款:
CVE-1999-0032, CVE-1999-0299, CVE-2000-0917, CAN-2001-0670, CAN-2001-0668,
CAN-2001-0353, CAN-1999-0061

U5.4 怎樣確認是否受影響:
你可以對你的系統運行一個漏洞掃描程序來查找這個漏洞或者進行手工檢查。最簡單的辦法是查
看你的系統是否運行LDP以及它的版本。
如果你使用的是該軟件容易受攻擊的版本並且沒有打補丁，那麼你的系統就將受到影響。

U5.5 怎樣抵御攻擊:
在這個問題被發表的時候，Sun正在做補丁。一旦發布，這些補丁文件應該被安裝在受影響的機
器上。同時，還有其它的一些方法防止利用這個漏洞的攻擊：
1. 如果對遠程的打印處理不是必要的，在 /etc/inetd.conf 中關閉打印設備。
2. 打開 noexec_user_stack, 可以在 /etc/system 文件裡加入下面的行，然後重啟來打開
該功能：
? set noexec_user_stack = 1
? set noexec_user_stack_log = 1
3. 限制到 port 515/tcp 的連接。
4. 配置安裝 tcpwrappers, 它是tcpd-7.6 軟件包的一部分，可以從下面下載：
http://www.sun.com/solaris/freeware.html#cd

U6 每 sadmind and mountd

U6.1 描述:
Sadmind 允許遠程登錄到Solaris 系統進行管理，並提供了一個系統管理功能的圖形用戶接口。
Mountd 控制和判斷到安裝在UNIX主機上的NFS的連接。由於軟件開發人員的錯誤導致的這些
應用的緩沖區溢出漏洞能被攻擊者利用獲取root的存取權限。

U6.2 影響的系統:
Unix的多個版本

U6.3 CVE 條款:
CVE-1999-0977, CVE-1999-0002, CVE-1999-0493, CVE-1999-0210

U6.4 怎樣確認是否受影響:
使用漏洞掃描器查看這些服務是否在運行以及他們是否易於攻擊。

U6.5 怎樣抵御攻擊:
下面的措施會保護 NFS 漏洞，包括sadmind 和mountd:
1. 只要有可能，在直接與Internet連接的機器上關閉或者刪除sadmind 和 mountd.
2. 安裝最新的補丁：
For Solaris Software Patches:
http://sunsolve.sun.com/
For IBM AIX Software
http://techsupport.services.ibm.com/...port/downloads
http://techsupport.services.ibm.com/rs6k/fixes.html
For SGI Software Patches:
http://support.sgi.com/
For Compaq (Digital Unix) Patches:
http://www.compaq.com/support
3. 使用基於 host/ip 的輸出清單
4. 只要可能，把輸出文件系統設置成只讀或者沒有suid 。
5. 使用 nfsbug 掃描漏洞。
可以在下面找到更多的信息：
http://www.cert.org/advisories/CA-99-16-sadmind.html
http://www.cert.org/advisories/CA-98.12.mountd.html

U7 每 缺省 SNMP 字串

U7.1 描述:
SNMP (Simple Network Management Protocol, 簡單網絡管理協議) 是管理員廣泛使用的協議，
用來管理和監視各種各樣與網絡連接的設備，從路由器到打印機到計算機。SNMP使用沒有加密
的公共字符串作為唯一的認証機制。 沒有加密已經夠糟了，不僅如此，絕大部分SNMP設備使
用的公共字符串還是“public”， 只有少部分“聰明”的設備供應商為了保護敏感信息把字符串
改為“private”。 攻擊者可以利用這個SNMP中的漏洞遠程重新配置或關閉你的設備。 被監聽
的SNMP通訊能泄漏很多關於網絡結構的信息，以及連接在網絡上的設備。入侵者可以使用這些
信息找出目標和謀劃他們的攻擊。

U7.2 影響的系統:
所有的UNIX 系統和網絡設備

U7.3 CVE 條款:
CAN-1999-0517, CAN-1999-0516, CAN-1999-0254, CAN-1999-0186

U7.4 怎樣確認是否受影響：
檢查你的設備是否運行了SNMP協議。如果是，檢查配置文件找到公共漏洞：
? 缺省的和空白的 SNMP community 名字；
? 容易猜測的 SNMP community 名字；
###### SNMP community 字符串

U7.5 怎樣抵御攻擊:
下面的步驟會幫助抵御SNMP漏洞的攻擊：
1. 如果你不是一定需要 SNMP, 關閉它；
2. 如果你一定要使用SNMP, 對社團號（community names ）使用和口令一樣的策略；確保
它們難於猜測和破解，並定期改變；
3. 使用snmpwalk 命令驗証和檢驗逆查社團號（community names，可以在下面的鏈接中
找到更多內容： http://www.zend.com/manual/function.snmpwalk.php
4. 除非必需從本地網外部訪問和管理設備，否則在邊界路由器或防火牆處過濾掉SNMP
(Port 161/UDP)。
5. 只要可能，設置MIB（管理信息結構）為只讀，可以在下面找到更多信息：
http://www.cisco.com/univercd/cc/td/...m#xtocid210315

附錄A 每 公用易受攻擊端口

在這一部分裡，我們列出了一些常被探測和攻擊的端口。屏蔽這些端口是保証周邊的安全的最低
要求，並不能構成防火牆全面的策略。一個更好的原則是關閉所有不需要的端口。即使你能確信
這些端口被關閉了，你也應該監視它們以發現入侵企圖。請特別注意：屏蔽下表中的一些端口可
能導致一些設備無法使用，請在採取下面的建議前考慮可能帶來的影響。
請記住，關閉這些端口並不是全面的安全解決方案。 即使端口被關閉了，如果你的組織裡的機器
不是每一台都採取了合理的安全措施，攻擊者還是可能通過其它方式（如撥號調制解調器，帶特
洛伊木馬的郵件附件，組織內部的人員）獲取網絡的使用權來利用這些端口的。
1. Login services-- telnet (23/tcp), SSH (22/tcp), FTP (21/tcp), NetBIOS (139/tcp), rlogin et
al (512/tcp through 514/tcp)
2. RPC and NFS-- Portmap/rpcbind (111/tcp and 111/udp), NFS (2049/tcp and 2049/udp),
lockd (4045/tcp and 4045/udp)
3. NetBIOS 在 Windows NT -- 135 (tcp and udp), 137 (udp), 138 (udp), 139 (tcp).
Windows 2000 每 前面的端口加上 445(tcp and udp)
4. X Windows -- 6000/tcp 到 6255/tcp
5. Naming services-- DNS (53/udp) 對於所有非DNS 服務器，, 除了外邊的備份外DNS 區
域傳輸（zone transfers ）(53/tcp) , LDAP (389/tcp 和 389/udp)
6. Mail-- SMTP (25/tcp) 對於所有不是用來中繼外部郵件的機器， POP (109/tcp and
110/tcp), IMAP (143/tcp)
7. Web-- HTTP (80/tcp) 和 SSL (443/tcp) 除了對外部網站服務器，它們也應該關閉通用的
大的HTTP可選的端口 (8000/tcp, 8080/tcp, 8888/tcp, etc.)
8. "Small Services"─低於 20/tcp 和 20/udp的小端口, time (37/tcp 和 37/udp)
9. Miscellaneous-- TFTP (69/udp), finger (79/tcp), NNTP (119/tcp), NTP (123/tcp), LPD
(515/tcp), syslog (514/udp), SNMP (161/tcp and 161/udp, 162/tcp and 162/udp), BGP
(179/tcp), SOCKS (1080/tcp)
10. ICMP─屏蔽到來的回應請求(ping and Windows traceroute), 關閉對外面請求的應答，可
以使用“ time exceeded”, “and destination unreachable”，但不要使用 "packet too big"
(type 3, code 4)。 (這條假定你願意支持ICMP的合理回應請求但會屏蔽掉已知的惡意使用。

除了這些端口，屏蔽"偽造"地址─-----包來自於你的公司的外部但卻用著內部的地址，某些協議
（RFC1918 和 network 127） 和 IANA 保留的地址。 Also block source routed packets or any
packets with IP options set.