網(wǎng)管服務(wù)器安全防溢出提權攻擊解決辦法

本文將為大家介紹在Microsoft系列(Win2k Win2k3)SERVER中如何簡(jiǎn)單快速的解決諸如反彈木馬、Overflow溢出、提升權限、反彈Shell攻擊類(lèi)的安全威脅之詳細防范設置步驟;讀完本文，您將可以使您服務(wù)器免去被溢出、提升權限等安全威脅。 　　前言:
　　在駭客頻頻攻擊、在系統漏洞層出不窮的今天，作為網(wǎng)絡(luò )管理員、系統管理員的我們雖然在服務(wù)器的安全上都下了不少功夫:諸如，及時(shí)的打上系統安全補丁、進(jìn)行一些常規的安全配置,但是仍然不太可能每臺服務(wù)器都會(huì )在第一時(shí)間內給系統打上全新補丁。因此我們必需要在還未被入侵之前，通過(guò)一些系列安全設置，來(lái)將入侵者們擋在“安全門(mén)”之外;下面就以本人一直以來(lái)所用到的最簡(jiǎn)單、最有效的防(Overflow)溢出、本地提供權限攻擊類(lèi)的解決辦法給大家講講由于N久沒(méi)有時(shí)間寫(xiě)文章了，以前早就答應過(guò)大家要寫(xiě)這篇文章給大家，但一直沒(méi)有時(shí)間，有些對不住大家了^_^,在這里還望大家海涵... )
　　服務(wù)器安全設置之防溢出提權攻擊解決辦法正文:
　　1、如何可以防止溢出類(lèi)的駭客攻擊呢?
　�、� 盡最大的可能性將系統的漏洞補丁都打完;最好是比如Microsoft Windows Server系列的系統可以將自動(dòng)更新服務(wù)打開(kāi)，然后讓服務(wù)器在您指定的某個(gè)時(shí)間段內自動(dòng)連接到Microsoft Update網(wǎng)站進(jìn)行補丁的更新。如果您的服務(wù)器為了安全起見(jiàn) 禁止了對公網(wǎng)外部的連接的話(huà)，可以用Microsoft WSUS服務(wù)在內網(wǎng)進(jìn)行升級。(關(guān)于Microsoft WSUS 2.0的安裝與配置可以參考此文:http://www.31896.net/html/2006-1-5/14001689122.shtml )
　�、� 停掉一切不需要的系統服務(wù)以及應用程序，最大限能的降底服務(wù)器的被攻擊系數。比如前陣子的MSDTC溢出，就導致很多服務(wù)器掛掉了。其實(shí)如果WEB類(lèi)服務(wù)器根本沒(méi)有用到MSDTC服務(wù)時(shí)，您大可以把MSDTC服務(wù)停掉，這樣MSDTC溢出就對您的服務(wù)器不構成任何威脅了。
　�、� 啟動(dòng)TCP/IP端口的過(guò)濾:僅打開(kāi)常用的TCP如21、80、25、110、3389等端口;如果安全要求級別高一點(diǎn)可以將UDP端口關(guān)閉，當然如果這樣之后缺陷就是如在服務(wù)器上連外部就不方便連接了，這里建議大家用IPSec來(lái)封UDP。在協(xié)議篩選中"只允許"TCP協(xié)議(協(xié)議號為:6)、UDP協(xié)議(協(xié)議號為:17)以及RDP協(xié)議(協(xié)議號為:27)等必需用協(xié)議即可;其它無(wú)用均不開(kāi)放。
　�、� 啟用IPSec策略:為服務(wù)器的連接進(jìn)行安全認證，給服務(wù)器加上雙保險。如③所說(shuō)，可以在這里封掉一些危險的端品諸如:135 145 139 445 以及UDP對外連接之類(lèi)、以及對通讀進(jìn)行加密與只與有信任關(guān)系的IP或者網(wǎng)絡(luò )進(jìn)行通訊等等。(注:其實(shí)防反彈類(lèi)木馬用IPSec簡(jiǎn)單的禁止UDP或者不常用TCP端口的對外訪(fǎng)問(wèn)就成了,關(guān)于IPSec的如何應用這里就不再敖續，你可以到服安討論Search "IPSec"，就 會(huì )有N多關(guān)于IPSec的應用資料..) (游刃在技術(shù)鬼神邊緣,打造服務(wù)器安全神話(huà)!創(chuàng )世紀網(wǎng)絡(luò )技術(shù)前瞻，成就互聯(lián)網(wǎng)革命先驅!服務(wù)器安全討論區[S.S.D.A]http://www.31896.net )
　�、� 刪除、移動(dòng)、更名或者用訪(fǎng)問(wèn)控制表列Access Control Lists (ACLs)控制關(guān)鍵系統文件、命令及文件夾:
　�、� 黑客通常在溢出得到shell后，來(lái)用諸如net.exe net1.exe ipconfig.exe user.exe query.exe regedit.exe regsvr32.exe 來(lái)達 到進(jìn)一步控制服務(wù)器的目的如:加賬號了，克隆管理員了等等;這里我們可以將這些命令程序刪除或者改名。(注意:在刪除與改名時(shí)先停掉文件復制服務(wù)(FRS)或者先將 %windir%\system32\dllcache\下的對應文件刪除或改名。)
　　2.也或者將這些.exe文件移動(dòng)到你指定的文件夾,這樣也方便以后管理員自己使用 ^0^
　　3.訪(fǎng)問(wèn)控制表列ACLS控制:找到%windir%\system32下找到cmd.exe、cmd32.exe net.exe net1.exe ipconfig.exe tftp.exe ftp.exe user.exe reg.exe regedit.exe regedt32.exe regsvr32.exe 這些黑客常用的文件，在“屬性”→“安全”中對他們進(jìn)行訪(fǎng)問(wèn)的ACLs用戶(hù)進(jìn) 行定義，諸如只給administrator有權訪(fǎng)問(wèn)，如果需要防范一些溢出攻擊、以及溢出成功后對這些文件的非法利用;那么我們只需要將system用戶(hù) 在A(yíng)CLs中進(jìn)行拒絕訪(fǎng)問(wèn)即可。(如果你性格比較BT的話(huà)呢.^_^那么就來(lái)一招拒絕所有用戶(hù)吧!，這里就請各類(lèi)看官根據自己實(shí)情進(jìn)行處理了)。
　　4.如果你覺(jué)得在GUI下面太麻煩的話(huà)，你也可以用系統命令的CACLS.EXE來(lái)對這些.exe文件的Acls進(jìn)行編輯與修改，或者說(shuō)將他寫(xiě)成一個(gè).bat批處理 文件來(lái)執行以及對這些命令進(jìn)行修改。(具體用戶(hù)自己參見(jiàn)cacls /? 幫助進(jìn)行，由于這里的命令太多我就不一一列舉寫(xiě)成批處理代碼給各位了!!)
　　5.對磁盤(pán)如C/D/E/F等進(jìn)行安全的ACLS設置從整體安全上考慮的話(huà)也是很有必要的，另外特別是win2k，對Winnt、Winnt\System、Document and Setting等文件夾。
　�、� 進(jìn)行注冊表的修改禁用命令解釋器: (如果您覺(jué)得用⑤的方法太煩瑣的話(huà)，那么您不防試試下面一勞永逸的辦法來(lái)禁止CMD的運行^_^)
　　通過(guò)修改注冊表，可以禁止用戶(hù)使用命令解釋器(CMD.exe)和運行批處理文件(.bat文件)。具體方法:新建一個(gè)雙字節(REG_DWORD)執行 HKEY_CURRENT_USER\Software\Policies\ Microsoft\Windows\System\DisableCMD，修改其值為1，命令解釋器和批處理文件都不能被運行。修改其值為2，則只是禁止命令解釋器的運行,反之將值改為0，則是打開(kāi)CMS命令解釋器。如果您賺手動(dòng)太麻煩的話(huà),請將下面的代碼保存為*.reg文件，然后導入。
　　Windows Registry Editor Version 5.00
　　[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System]
　　"DisableCMD"=dword:00000001
　�、� 對一些以System權限運行的系統服務(wù)進(jìn)行降級處理。(諸如:將Serv-U、Imail、IIS、Php、Mssql、Mysql等一系列以System權限運行的服務(wù)或者 應用程序換成其它administrators成員甚至users權限運行，這樣就會(huì )安全得多了...但前提是需要對這些基本運行狀態(tài)、調用API等相關(guān)情況較為了解. )
　　其實(shí)，關(guān)于防止如Overflow溢出類(lèi)攻擊的辦法除了用上述的幾點(diǎn)以外，還有N多種辦法:諸如用組策略進(jìn)行限制，寫(xiě)防護過(guò)濾程序用DLL方式加載windows到相關(guān)的SHell以及動(dòng)態(tài)鏈接程序之中這類(lèi)。當然自己寫(xiě)代碼來(lái)進(jìn)行驗證加密就需要有相關(guān)深厚的Win32編程基礎了，以及對Shellcode較有研究;由于此文僅僅是討論簡(jiǎn)單的解決辦法，因此其它辦法就不在這里詳述了...
　　2、如何在防止被駭客溢出得到Shell后對系統的而進(jìn)一步入侵呢?
　�、� 在做好1中上述的工作之后，基本上可以防目駭客在溢出之后得到shell了;因為即使Overflow溢出成功，但在調用CMDSHELL、以及對外聯(lián)接時(shí)就卡了。 (為什么呢，因為:1.溢出后程序無(wú)法再調用到CMDSHLL我們已經(jīng)禁止system訪(fǎng)問(wèn)CMD.exe了。2.溢出之后在進(jìn)行反彈時(shí)已經(jīng)無(wú)法對外部IP進(jìn)行連接了^_^ 所以，基本上要能過(guò)system權限來(lái)反彈shell就較困難的了...)
　�、� 當然世界上是不存在絕對的安全的，假設入侵者在得到了我們的shell之后，做些什么呢?一般入侵者在在得到shell之后，就會(huì )諸如利用系統命令加賬號了 通過(guò)tftp、ftp、vbs等方式傳文件了等等來(lái)達到進(jìn)一步控制服務(wù)器。這里我們通過(guò)1上述的辦法對命令進(jìn)行了限制，入侵者是沒(méi)有辦法通過(guò)tftp、ftp來(lái)傳文件了，但他們仍然可以能過(guò)echo寫(xiě)批處理，用批處理通過(guò)腳本BAT/VBS/VBA等從WEB上下載文件，以及修改其它盤(pán)類(lèi)的文件等潛在破壞行為。所以我們需要 將echo命令也限制以及將其它盤(pán)的System寫(xiě)、修改文件的權限進(jìn)行處理。以及將VBS/VBA類(lèi)腳本以及XMLhttp等組件進(jìn)行禁用或者限制system的運行權。這樣 的話(huà)別人得到Shell也無(wú)法對服務(wù)器上的文件進(jìn)行刪除以及進(jìn)行步的控制系統了;以及本地提權反彈Shell了^_^
　　后記:其它服務(wù)器、系統的安全是個(gè)整體的概念;有可能你其它一小點(diǎn)的疏忽就可以讓你的網(wǎng)站、甚至服務(wù)器淪陷。因此安全策略必需走防患未然的道路，任何一個(gè)小地方都不能馬虎、今天關(guān)于防Overflow的安全小技巧就為大家介紹到這里...關(guān)于其它方面的服務(wù)器安全配置經(jīng)驗我們在下一篇文章再見(jiàn)吧:-) (注:由于本人才疏學(xué)淺，如文中有錯誤實(shí)為在所難免，還請各位看官見(jiàn)諒!旨在拋磚引玉，如果您有更好的辦法請別忘了在論壇跟貼^0^,先行謝過(guò)!)
　　關(guān)于本文版權:本文版權歸[服務(wù)器安全討論區]與[情長(cháng)在線(xiàn)]共同所有，您可以任意轉載，但務(wù)必請保留文章的完整性及作者信息;請珍惜別人的知識版權!
　　關(guān)于本文作者:李泊林/LeeBolin 資深系統工程師、專(zhuān)業(yè)網(wǎng)絡(luò )安全顧問(wèn)。已成功為國內多家大中型企業(yè)，ISP服務(wù)商提供了完整的網(wǎng)絡(luò )安全解決方案。尤其擅長(cháng)于整體網(wǎng)絡(luò )安全方案的設計、大型網(wǎng)絡(luò )工程的策劃、以及提供完整的各種服務(wù)器系列安全整體解決方案。[S.S.D.A 服務(wù)器安全討論區] Http://www.31896.net [F.N.S.T 情長(cháng)在線(xiàn)] Http://www.fineacer.org E-mail

啊啊啊啊啊