三、如何防范IIS漏洞：

        由于微软的IIS是一套商业软件，他们并没有公开这套软件的源代码，所以软件的补丁程序只能等待微软公司在它的产品升级主页下载，这比起Apache等开放源代码的应用程序，可能在安全性上体现的更差，这也正是为什么黑客都说“微软的东西玩儿起来没有意思”，因为这个被封闭的很严的软件产品，既没有源代码可供黑客分析，一旦出现了问题也只能做一些基本的操作进行黑客（也就是上面的内容），这对初学黑客的人来说自然是一件好事情，但对高级黑客是不屑一顾的。

   微软公司的主页是http://www.microsoft.com/，但是没有很多人愿意从国外下载软件补丁回来，国内也有很多不错的网络安全主页，例如http://www.xfocus.org和http://www.nsfocus.com/main.php等都是非常不错的，读者可以到这些站点阅读最新的安全公告或下载升级补丁。

   另外对于codebrws.asp等程序造成的安全问题，这不是产品本身存在漏洞，而属于管理员在安装软件是的疏忽造成的，因此管理员安装完系统之后，一定要使用漏洞扫描软件对自己的系统进行检测，确认没有提供任何存在问题的程序给使用者，对于codebrws.asp等软件如果必须安装，也可以更换文件名或改变它的目录位置，这样黑客就无法从漏洞扫描的途径发现这些文件的存在了。

四、另一次入侵过程：

   假设这次攻击的目标是www.soft.com，首先使用ping命令察看一下对方系统的应答时间ping www.soft.com：
       Pinging www.soft.com [127.168.0.1] with 32 bytes of data:
       Reply from 127.168.0.1: bytes=32 time=425ms TTL=240
       Reply from 127.168.0.1: bytes=32 time=420ms TTL=240
       Reply from 127.168.0.1: bytes=32 time=419ms TTL=240
       Reply from 127.168.0.1: bytes=32 time=421ms TTL=240
        看上去，time还是比较快的，而且通过TTL猜测到对方使用的是Linux之类的系统，比较有挑战性。使用nc命令（NT中提供)登陆到其他主机上，这在黑客里的行话叫“跳板”，我到更觉得像是“借刀杀人”，因为登陆到其他服务器上进行攻击，那么收到攻击的服务器将会纪录下那个黑客登陆的服务器，而不会纪录黑客真正的IP地址，这样一旦追踪起来，黑客的真实位置不容易被发现。

        之后使用端口扫描程序对目标127.168.0.1进行扫描，看看它开放了什么端口：结果是开放了十多个端口，提供的服务越多、服务器存在漏洞的可能性就越大！之后分别用不同的检测方法检测每一个服务可能存在的漏洞，因为我们主要介绍80端口的攻击，所以其他攻击过程在这里设略，直接进行80端口的检测：
# (echo "head /http/1.0";echo;echo)|./nc -w 3 127.168.0.1 80
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<HTML><HEAD>
<title>501 Method Not Implemented</title>
</HEAD><BODY>
<H1>Method Not Implemented</H1>
head to /http/1.0 not supported.<P>
Invalid method in request head /http/1.0<P>
<HR>
<ADDRESS>Apache/1.3.9 Server at 127-168-0-1 Port 80</ADDRESS>
</BODY></HTML>
   看到<ADDRESS>内的系统版本了吗？这说明服务器的确使用的Linux等系统，而且服务器使用的是Apache版本，因为这是一套开放了源代码的软件，所以它被世界上所有顶尖黑客所关注，其中的漏洞很快会被发现，而相应的对策也能够及时出台，所以它从诞生到现在，更新速度是惊人的，其安全程度也是非常惊人的，存在漏洞的希望并不大，作为初学者一般应该放弃，但是我还是介绍一下剩下来的工作，让读者从感性上接触一下黑客攻击的全部过程。

   使用finger调出服务器上的用户列表，如果成功的话则可以使用+ username命令为自己增加一个用户登陆权限。使用下面的脚本将可能的用户列表逐个寻找出来：
       # chmod 700 rsh.sh
       # nohup ./rsh.sh www.targe.com
   这会自动的在/etc/passwd和/etc/shadow里加上finger出来的用户名，再对远程目标127.168.0.1执行rsh命令，成功则返回该用户名，这个操作需要很长的时间，也许是几个小时后也不能获得什么有用的信息，因此这里需要一点点运气。等待一段时间后，读取报告结果：
       # cat ./.rsh.txt
       guest
   报告结果文件“.rsh.txt”中获得了一个guest用户名（初学者很难有如此好的运气），通过rlogin登陆这个用户名看看有什么权限：
       # rlogin -l guest 127.168.0.1

       Last login: Fri Jan 12 03:01:10 from 61.135.50.24
       Copyright (c) 1980, 1983, 1986, 1988, 1990, 1991, 1993, 1994
       The Regents of the University of California. All rights reserved.

       FreeBSD 3.2-RELEASE (GENERIC) #0: Tue May 18 04:05:08 GMT 2001
       You have mail.
   到这里，我就已经登陆进入这台服务器了，现在我的权限可能还很小，不过已经能够称的上“入侵”了，后面的内容对初学者来说就真是没有介绍的必要了，因为后面牵扯的大多数命令都是初学者闻所未闻的，因此只做一个大概介绍。如果这个guest具有对/etc/passwd的访问权限，可以将passwd文件读取出来，这是Linux系统下纪录用户名和密码的文件，它的基本格式如下：
       root:*:0:0:Charlie &:/root:/usr/local/bin/bash
       guest:*:1005:2000::/home/www:/usr/local/bin/tcsh
       max:*:1006:1006::/home/max:/usr/local/bin/tcsh
       someone:*:1003:1003::/home/someone:/usr/local/bin/tcsh
   看到这个文件的话，就可以想办法获得shadow文件并利用JOHN等软件破解其中的DES加密密码，那是一个非常有意思的工作，主要是看自己的电脑速度和字典档案的优劣，很多黑客都是非常喜欢在自己的电脑上破解DES密码档案的，可以再一次使用破解出来的用户名登陆服务器，看看它的权限，直到找到最高的权限（完全控制服务器）。

   最后在离开服务器的时候，要清除日志文件，当然因为我们这次进攻是通过跳板的，所以不清楚日志管理员也很难找到我，再说我也没有进行让破坏，所以管理员并不会注意到这次进攻，在他看来只不过使用户guest登陆到服务器上随便看看又下去了。

五、保护密码：

   对于我们这些拨号上网的用户来说，最怕的就是有居心叵测的黑客对我们进行攻击了，如何能避免个人的利益遭到损坏呢？这里总结了一些我对密码保护的看法和防范密码泄漏的对策，希望对广大读者有一定的作用。

   1、经常修改密码
   密码是我们最重要的个人隐私，如果黑客知道了我们的上网密码或者Email密码，那我们将无任何隐私可言，所以一定要选择一个比较好的密码，同时还要经常更换。一般来说，大多数人喜欢选择一些比较容易记忆的英文单词，这是非常不安全的，黑客不用什么高深的手法，只要用软件进行猜测，用不了半个小时，五位的英文单词就会被他们猜出来，所以一定要选择一个毫无意义的字符排列作为密码。这里有几条规则：
   （1）好的密码应该很长，至少七位或者八位；
   （2）有必要经常更换密码，每月改变一次自己的密码将是非常明智的选择；
   （3）密码不要单独依靠字符、数字，应该尽量混合所有的符号；
   （4）英文字母不要使用单词，应该使用没有任何规律的随机排列；
   （5）不要使用例如生日、电话号码等数字作为密码；
   （6）英文字母应该大小写都出现；
   （7）给出一个比较好的密码形式：

   2、使用“拨号后出现终端窗口”功能
   这种方法的好处是不会将密码文件保存到电脑中，如果让电脑自动完成拨号功能，那么系统将会把您的密码保存到一个扩展名为pwl 的文件中，这样一来，有经验的人很快就可以通过特殊方法获得您的pwl 文件并找到其中的密码。具体使用“拨号后出现终端窗口”的方法如下：
   选中某一连接图标，单击鼠标右键，选“属性- 常规- 配置- 选项- 拨号后出现终端窗口”，然后拨号时，在拨号界面上不要填入用户名和密码（更不要选中“保存密码”项），在出现拨号终端窗口后再进行相应的输入，这可以避免用户名和密码被记录到硬盘上的密码文件中，同时，也可以避免被某些黑客程序捕获用户名和密码。

   3、对付特洛伊木马
   特洛伊木马程序常被定义为当执行一个任务时却实际上执行着另一个任务的程序，典型的一个例子是：伪造一个登录界面，当用户在这个界面上输入用户名和密码时，程序将它们转移到一个隐蔽的文件中，然后提示错误要求用户再输入一遍，程序这时再调用真正的登录界面让用户登录，于是在用户几乎毫无察觉的情况下就得到了记录有用户名和密码的文件。现在互联网上有许多所谓的特洛伊木马程序，像著名的BO、Backdoor、Netbus及国内的Netspy等等。严格地说，它们属于客户机／服务器（C ／S ）程序，因为它们往往带有一个用于驻留在用户机器上的服务器程序，以及一个用于访问用户机器的客户端程序，就好像NT的Server和Workstation 的关系一样。

   在对付特洛伊木马程序方面，有以下几种办法：
   （1）多读readme.txt
   许多人出于研究目的下载了一些特洛伊木马程序的软件包，在没有弄清软件包中几个程序的具体功能前，就匆匆地执行其中的程序，这样往往就错误地执行了服务器端程序而使用户的计算机成为了特洛伊木马的牺牲品。软件包中经常附带的readme.txt文件会有程序的详细功能介绍和使用说明，尽管它一般是英文的，但还是有必要先阅读一下，如果实在读不懂，那最好不要执行任何程序，丢弃软件包当然是最保险的了。有必要养成在使用任何程序前先读readme.txt的好习惯。

   值得一提的是，有许多程序说明做成可执行的readme.exe形式，readme.exe往往捆绑有病毒或特洛伊木马程序，或者干脆就是由病毒程序、特洛伊木马的服务器端程序改名而得到的，目的就是让用户误以为是程序说明文件去执行它，可谓用心险恶。所以从互联网上得来的readme.exe最好不要执行它。

   （2）使用杀毒软件
   现在国内的杀毒软件都推出了清除某些特洛伊木马的功能，如KV300 、KILL98、瑞星等等，可以不定期地在脱机的情况下进行检查和清除。

   另外，有的杀毒软件还提供网络实时监控功能，这一功能可以在黑客从远端执行用户机器上的文件时，提供报警或让执行失败，使黑客向用户机器上载可执行文件后无法正确执行，从而避免了进一步的损失。

   （3）立即挂断
   尽管造成上网速度突然变慢的原因有很多，但有理由怀疑这是由特洛伊木马造成的，当入侵者使用特洛伊的客户端程序访问你的机器时，会与你的正常访问抢占宽带，特别是当入侵者从远端下载用户硬盘上的文件时，正常访问会变得奇慢无比。这时，你可以双击任务栏右下角的连接图标，仔细观察一下“已发送字节”项，如果发送字节变化在1 ～3kbps （每秒1 ～3 千字节），几乎可以确认有人在下载你的硬盘文件，除非你正在使用ftp功能。对TCP/IP端口熟悉的用户，可以在“MS－DOS 方式”下键入“netstat -a”来观察与你机器相连的当前所有通信进程，当有具体的IP正使用不常见的端口（一般大于1024）与你通信时，这一端口很可能就是特洛伊木马的通信端口。当发现上述可疑迹象后，你所能做的就是：立即挂断，然后对硬盘有无特洛伊木马进行认真的检查。

上一页  [1] [2] [3]