匡凤飞
(福建师范大学闽南科技学院)
局域网服务器入侵分析与应对策略*
匡凤飞
(福建师范大学闽南科技学院)
文中介绍了局域网服务器常见入侵方式、应对策略及有关防范工具,并强调了建立日常服务器入侵防范机制的必要性.
局域网;服务器入侵;应对策略
1.1 常规扫描入侵
局域网的服务器端口常会受到来自外界的不良扫描风险.通过不同的端口扫描,能够挖掘一定的IP地址,同时还能够打开扫描对象的传输层UDP或TCP端口.对于执迷于扫描服务器端口的人而言,利用端口扫描器等辅助工具能够满足其技术需求.端口扫描器虽然在功能和用途上官方声称仅作为学习研究使用,但却成为了最有效的服务器入侵帮凶,是黑客最常使用的工具.常见的端口扫描器包括Port Scanner1.1,X-Scan扫描器,UltraScan、Ping扫描器、NetScan、Ping Pro等工具.
1.2 默认共享入侵
在局域网中出现默认共享入侵的概率也是相当大的.例如某局域网的服务器安装windows server 2008系统.,服务器上的个人计算机或工作组Work1、Work2…Work N,同时安装两种不同的操作系统Windows 10或Windows 2008.设定其中的一台计算机,用户名为JQ_123,密码为aaaaaa,已经处于登陆状态,那么对这台计算机而言就能够使用默认共享入侵方式,在其网络邻居的相关地址栏中输入serveradmin$,能够进入Windows 2008系统目录Windows NT中,不法人员可以直接删掉其中的某个文件.输入serverd$后将进入服务器中的D盘,那么服务器实际已经处于该计算机的控制中.很多企图破坏服务器的人可以通过新建Winstart.hat或Wininit.ini文件,建立C盘格式化语句,等到下次启动服务器后,C盘中的文件将全部消失.一旦在服务器中加入木马,则整个服务器与更多的工作组电脑无疑全部中招,后果严重.
1.3 Ping命令入侵
Ping命令入侵也可以称之为ICMP入侵,攻击者往往靠Ping来寻找Windows系统中的隐形漏洞,利用服务器中的某台工作计算机的DOS窗口输入服务器的IP地址后,服务器系统托盘电脑图标将一直处于闪动状态,表明计算机已经发出请求输出到服务器.一旦在局域网内出现更多的计算机,在它们的Aotoexec.bat文件中加入服务器IP地址后,服务器将会不时地收到来自所有电脑的请求,CPU使用率快速增高,整个系统面临崩溃,这种情况正是DoS服务的典型表述,即同一时段内,服务器收到大量外界请求会因无法回应出现死机.
2.1 常见入侵的应对措施
一般情况下,入侵服务器都需要首先明确服务器的IP地址,并且积极搜索所有端口.所以出于安全考虑,应该在“网上邻居”选择将服务IP地址做好隐藏,保密服务器中的工作组名,屏蔽敏感端口等.
一般情况下,组织机构应该重视病毒防火墙和网络防火墙的必要性,定期更新病毒库,有选择性地安排服务器病毒查杀.定期使用DOS命令netstat-a对服务器端口进行检测,当然也可以借助Superscan等软件完成检测,认真核对检测结果与端口列表,一旦出现未知端口的异常连接,就应该立即断开网络,用Trojan Remover等软件检测木马是否存在.在检测端口的同时也要完成对服务器进程的检测,可以借助专业的进程管理软件检测服务器进程,也需要同原有列表比照中对不明进程予以判别和处理.服务器的各种计算机之间必然存在资料和数据的共享,但应该有所警惕,常用netshare命令查看共享的风险性.对于共享文件的开启应该设置密码,并准许指定的用户登录,不能随便修改共享权限.
2.2 针对性防范措施
针对共享入侵的防范,Windows2008系统下的默认共享设立初衷便于远程距离的维护,面对入侵风险,应该积极予以防范.找到注册表编辑器并点开后迅速定位:
HTKEY_LOCAL_MACHINE SYSTEM Current Control Set Services lanman server当然服务器采用的系统不同,相应的处理也不同.系统采用Windows 2000 Pro时,新建一项AutoShareWks的DWORD值赋值为0,关闭 admin$共享;系统采用windows 2000 Server时,新建AutoShareServer的DWORD值赋值为0,最后定位:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa
找到“restrictanonymous”,设置赋值为1,关闭IPC$共享.重启后默认共享即不再出现.当然要想更进一步消除隐患,还需要与其他处理, Windows2008系统下的计算机一般会利用iPS$的空连接进攻服务器,其他用户可使用X-Scan等专用软件填充IP后在模块中点SQLserver弱口令,获取nt-server弱口令后,可在计算机的cmd运行窗口输入口令建立空连接,激活Guest,并入管理员权限后就可远程控制.
2.3 常用入侵的应对工具
(1)系统防火墙
目前,众多防火墙都会具备相应的禁止ICMP设置, Windows 系列的防火墙也有该项功能.通过依次点击“控制面板”-“Windows防火墙”-“高级”选项卡-选择系统中已经建立的宽带连接方式,后从“设置”中的“高级设置”项选“ICMP”选项卡,确保“允许传入的回显请求”前未勾选,点“确定”完成防火墙的禁止ICMP功能.
(2)第三方防火墙
众多机构组织的局域网中,都会建设第三方防火墙,这样的防火墙一般都在设置之初就拥有了很多防范风险的规则.这些规则并不是属于直接强加的内容,可以快速的在应用栏前进行选择去控制使用.与此同时,第三方防火墙也会安排相应的创建制度,指导创立有效的防火墙后对于外来的恶意攻击和入侵能够进行有效的扫描,入侵检测基本具有如下逻辑.
图1 通用的入侵检测逻辑模型
(3)蜜罐技术
蜜罐属于服务器的情报收集系统.现今市场上出现了五花八门的蜜罐工具,原理如出一辙.通过对存在漏洞的服务器进行虚拟,等待外界的恶意入侵者进入陷阱.入侵者看到相应的端口后并不能进行有效的入侵,从而起到了保护的租用.
3.1 案例背景
积极针对当前某校开展校园一卡通服务器的例行安全检测.某校开展校园一卡通服务器中存有大量数据,主要包括学生信息,一卡通中的生活费用等,因此本次检测至关重要,本次案例分析将通过例行风险检查,确定是否需要升级服务器.
3.2 入侵事件还原及分析
3.2.1 扫描网络服务器
需要首先准备可以帮助入侵服务器的工具软件,然后扫描当前学校的内网服务器端口,由于服务器的IP地址已经知晓,因此不必再扫描 IP. 选用漏洞扫描软件,全面地检测服务器存在的注入漏洞.第一步从 WEB服务器入手,进入学校网站后,并没有在众多端口发现可入侵注入点;第二笔进入后台,对于可以提供上传的位置展开上传注入,但仍未获得管理权限.因此,在可能出现的外界入侵扫描环节,学校的服务器阻拦效果明显,具有一定的防范性.
3.2.2 强行破解校园网络
模拟不法人员从后台寻找有效漏洞登录服务器后,通过在线的文本编辑器将后台的所有数据库进行替换,快速设立不法登录用户,完成利用后台登录网站的目的.
顺利进入后台后,打开 webshell,对于存在的一切信息进行收集以便获得提取权限.首先进行net user口令,从而出现 ASPNET 用户的存在,当通过软件检测网站没有启动解析 aspx 的服务.进行net stat—an口令后,随即又出现了远程终端和 pcanywhere,这时利用软件扫描 43958 端口成功,通过net start指令看到服务器中存在 MSSQL,pc Anywhere, Terminal Services.
积极试验本地溢出后,由于添加用户的操作没有成功,可以看出学校的网站进行了 guest 权限设置.guest 权限导致 webshell 中产生的众多命令没有办法得到响应.
下一步尝试建立NC 的反向链接.当选择将NC上传后, webshell 中存在的cmd 命令中加入指令,成功具有 administrator 权限的用户加入后,就算完成登录.然后的操作就属于恶意入侵的做法:看到服务器中存在的多个院系站点后,直接清理后删除日志并退出.
3.2.3 利用漏洞攻破服务器,溢出嗅探攻击
利用软件IIS 写漏洞进行高校服务器的探测十分有效.利用远程软件直接连接傀儡机,通过傀儡机登陆已经入侵的服务器,查询得知学校的IP 网段,在IIS的有关写权限扫描工具模块中随意布置某一 IP 段,后查出可用 IP.在 IIS 写权限漏洞处迅速使用工具填写有缺陷的IP,写入木马程序后获取数据包点击提交,然后通过点击“put”中的“move”完成提交数据包,就得到替换的木马路径,再用客户端连接.
由于已经得到了部分学校主机的信息,就可以进行溢出操作.溢出应该是所有攻击手段中最快而有效的一种,通过不断增加的服务器主体,局域网的溢出成功率变得更高,利用测试出的DNS 溢出完成测试.
通过不断地溢出和嗅探,就能够获得主机中 Flash FX 等等一切敏感信息,成功获取学校一部分站点的控制权.
4.1 选用防木马病毒网关
对于企业级局域网而言,选用有效的防病毒网关是解决企业服务器免受风险的关键.防病毒网关即在服务器的网关处加设能够防病毒的硬件装置,装置的作用在于对外界与内网之间流通的数据分析过滤后阻止病毒代码的渗透,有效针对蠕虫病毒的攻击进行弱化和消除.其运行的原理主要是可以采用流扫描技术,提高性能减少网络延迟时.流扫描技术会主动针对文件内容进行扫描,大幅度缩减处理程序.防病毒网关一般都采用即插即用形式,因而不会主动变更现行网络的内容.防病毒网关部署成功后,接入上网线并开启后直接进行设置,就能够对数据信息展开有效的病毒扫描模式,极大地抑制内网与外界交流过程中外来病毒的攻击.
4.2 强化管理漏洞补丁
局域网的服务器需要防范的网络病毒主要是蠕虫病毒.蠕虫病毒通常正利用局域网内的各种缺陷和漏洞进行隐藏性传播和扩散.从这个角度看,安全工作人员应该在局域网内部强化漏洞补丁程序的管理,以便让所有的应用程序都能够保持安全性.因此在局域网中加装补丁分发服务器,可以让企业机构中的所有应用都可以直接并于服务器上下载补丁,有效缩减更新时间,大大增加安全性.
图2 防火墙能够有效提高局域网内的安全性能
4.3 升级服务器抗风险能力
对于局域网可能受到的外来风险,安全工作人员应该积极考虑部署更大功能的服务器,例如防病毒服务器,从而强制局域网中所有工作组计算机内的客户端自动完成病毒库的更新升级,当然,还应该注意定期开通外网联接,确保防病毒服务器的病毒库与当前的网络病毒库保持版本统一.通过病毒库的更新升级,防病毒程度容易比对出局域网中的新型病毒实现整个局域网的有效监控,而且能够放心地将局域网汇中所有网络病毒全部查杀.
4.4 强化局域网内资料的保密性
对于局域网内服务器上资料信息,很多是企业的核心机密,如果日常只是放在服务上存放,并没有主动保密和防护意识,就可能导致信息通过不同的途径泄露,例如可能遭受网络入侵攻击,也可能受到来自网络上0day主义者的越界操作.0day虽然在创立之初仅作为破解游戏的指代,但如今成为了很多共享破解技术的不法分子入侵的有力手段.要警惕0day主义者常见的伎俩:窜改网站日期字段,预先浏览未来设定日期的内容;充当管理员修改后台内容;利用SQL隐码技术修改企业绝密文件的预发布时间;利用系统漏洞突破访问权限;设置主机后门.
局域网服务器的安全问题对于组织机构的发展来讲,同样是至关重要的一环.安全工作人员应该要通过不断的学习和试验,积累足够的应对风险的经验,积极查找存在于局域网服务器网络中的漏洞,做好应用的安全防范措施.同时,积极呼吁在局域网中的所有用户,应该提高自身网络安全意识,积极选用先进技术保障自己的信息安全,从而维护整个局域网的安全稳定.
[1] 陈庄,巫茜,等.计算机网络安全工程师宝典[M].重庆:重庆出版社,2010.
[2] 杨永涛. 基于ASP的上传漏洞入侵分析及其防范措施[J].电子技术,2008, 45(5).
[3] 石凌云,詹建国. 计算机网络安全服务器入侵与防御研究[J] .电脑知识与技术,2010,6:4116-4117..
[4] 杨洪斌,徐兰萍. 浅谈服务器群组防护[J] .信息系统工程,2012(2):21-23.
(责任编辑:李家云)
Analysis and Coping Strategies of LAN Server Intrusion
Kuang Fengfei
(Fujian Normal University Minnan Science and Technology Institute)
In this paper, the common intrusion methods, coping strategies and related prevention tools are introduced, and the necessity of establishing the mechanism of daily server intrusion prevention is emphasized.
Local area network; Server invasion; Coping strategies
2016-03-22
*福建省教育厅B类科研项目“局域网服务器入侵分析与应对策略”(JB13274)
TP393.08
A
1000-5617(2016)03-0033-04