系统漏洞扫描与分析报告
郑州轻院轻工职业学院
系统漏洞扫描与分析(报告)
学生姓名_ 杨 人 杰 _
专业班级 08信息安全(1)班 系 别__ 计算机系___ 完成时间_2010年5月16日_
目 录
1. 报告目的 . ....................................................................................................................................... 2 2. 实验环境 . ....................................................................................................................................... 2
2.1 硬件 . ................................................................................................................................... 3 2.2 操作系统 . ........................................................................................................................... 3 3. 扫描软件简介 . ............................................................................................................................... 3
3.1.Retian .................................................................................................................................. 3 3.2.MBSA ................................................................................................................................. 4
3.2.1使用本模块可以实现 . ............................................................................................. 4 3.2.2适用范围 . ................................................................................................................. 4 3.2.3 MBSA支持的微软产品 ......................................................................................... 5
4. 扫描过程 . ....................................................................................................................................... 5
4.1 漏洞介绍 . ........................................................................................................................... 5 4.2 漏洞分析 . ........................................................................................................................... 5
4.2.1 高级风险安全漏洞 . ................................................................................................ 6 4.2.2 中级风险安全漏洞 . ................................................................................................ 7 4.2.3 低级风险安全漏洞 . ................................................................................................ 9 4.3 漏洞修复方法 . ................................................................................................................... 9 5. 总结.............................................................................................................................................. 12 附录一:浅析计算机漏洞及修补措施 . ........................................................................................ 12 附录二:微软产品中的主要七个漏洞和个人pc 机主要面临漏洞的安全问题 . ...................... 15
1. 报告目的
为了充分了解计算机网络信息系统的当前安全状况(安全隐患),因此需要对计算机的信息网络系统中的重点服务器及本主机进行一次扫描和安全弱点分析,对象为2502机房XXAQ-E2主机。然后根据安全弱点扫描分析报告,作为提高计算机信息网络系统整体安全的重要的参考依据之一。
2. 实验环境
图2.1
利用Dos 命令systeminfo 查看本计算机的配置,如图2.1所示
2.1 硬件:
CPU :Intel(R) Core(TM) E4500 内存:2.00GBHz
2.2 操作系统:Microsoft Windows XP
版本:5.1.2600 Service Pack 3 Build 2600 初始安装时间:2008-9-10,12:01:31 BIOS 版本:LENOVO – 44
修复程序:安装了68个修复程序
3. 扫描软件简介
3.1.Retian
Retina Network Security Scanner v5.09.682,06月13日发布,eeye 公司出品的网络安全扫描产品,强大的网络漏洞检测技术可以有效的检测并修复各种安全隐患和漏洞,并且生成详细的安全检测报告,兼容各种主流操作系统、防火墙、路由器等各种网络设备。曾在国外的安全评估软件的评测中名列第一。如图3.1为Retian 的工作页面。
图3.1
3.2.MBSA
Microsoft 基准安全分析器 (MBSA) 可以检查操作系统和 SQL Server 更新。MBSA 还可以扫描计算机上的不安全配置。检查 Windows 服务包和修补程序时,它将 Windows 组件(如 Internet 信息服务 (IIS) 和 COM+)也包括在内。MBSA 使用一个 XML 文件作为现有更新的清单。该 XML 文件包含在存档 Mssecure.cab 中,由 MBSA 在运行扫描时下载,也可以下载到本地计算机上,或通过网络服务器使用。如图3.2为MBSA 的工作页面。
3.2.1使用本模块可以实现:
⏹ 扫描您的计算机以确定缺少的安全更新。 ⏹ 检查是否存在不安全的默认配置设置。
图3.2
3.2.2适用范围:
● 运行 Microsoft Windows 2000 Server 或 Microsoft Windows Server
2003 操作系统的服务器
● 运行 Windows 2000(所有版本)、Windows XP Professional 或 Windows Server
2003 的开发工作站
● Microsoft SQL Server 2000,包括 Desktop Edition (MSDE)
3.2.3 MBSA支持的微软产品: (如下表)
4. 扫描过程
4.1 漏洞介绍
所谓漏洞就是指程序设计方面在安全性上存在缺失,留下了隐患,而网络黑客可以从这些漏洞对远程计算机进行攻击,窃取数据,破坏远程用户电脑等等,危害很大。尤其是机密被窃,损失不可估计,就是个人用户也非常危险,个人帐号密码被入侵后可能会被窃取。
4.2 漏洞分析
系统安全漏洞是在系统具体实现和具体使用中产生的错误,但并不是系统中存在的错误都是安全漏洞。只有能威胁到系统安全的错误才是漏洞。许多错误在通常情况下并不会对系统安全造成危害,只有被人在某些条件下故意使用时才会影响系统安全。
漏洞虽然可能最初就存在于系统当中,但一个漏洞并不是自己出现的,必须要有人发现。在实际使用中,用户会发现系统中存在错误,而入侵者会有意利用其中的某些错误并使其成为威胁系统安全的工具,这时人们会认识到这个错误是一个系统安全漏洞。系统供应商会尽快发布针对这个漏洞的补丁程序,纠正这个错误。这就是系统安全漏洞从被发现到被纠正的一般过程。
系统攻击者往往是安全漏洞的发现者和使用者,要对于一个系统进行攻击,如果不能发现和使用系统中存在的安全漏洞是不可能成功的。对于安全级别较高的系统尤其如此。
系统安全漏洞与系统攻击活动之间有紧密的关系。因而不该脱离系统攻击活动来谈论安全漏洞问题。了解常见的系统攻击方法,对于有针对性的理解系统漏洞问题,以及找到相应的补救方法是十分必要的。
通过漏洞扫描软件扫描出的漏洞如下:
红色上箭头代表高级风险安全漏洞,如图4.2.1 黄色方块代表中级风险安全漏洞,如图4.2.2 黄色下箭头代表低级风险安全漏洞,如图
4.2.3
图
4.2.1
图
4.2.2
图4.2.3
发现的系统漏洞(按照严重等级排列)
4.2.1 高级风险安全漏洞
4.2.2 中级风险安全漏洞
4.2.3 低级风险安全漏洞
4.3 漏洞修复方法
通过扫描软件扫描出很多漏洞,在此只对其中几个漏洞加以分析
图4.3.1
如图4.3.1所示,为自动管理员登录
描述:自动管理员登录会自动登录管理系统. 因此, 任何用户可以接近机器能够坐在控制台作为管理者没有进入密码。这是一个非常高的安全风险和建议你消除自动管理员登录。 风险水平:较高。
如何修复:禁用自动管理员登录设置
图4.3.2
如图4.3.2所示,为832894 Internet Explorer累积补丁
描述:下面的累积补丁修补三个新的漏洞已经被发现, 影响到Microsoft Windows 5.01探索者5.5,6.0, 包括一个问题的弱点在cross-domain 安全模型, 可以对攻击者要举办一个恶意网站包含可执行代码对用户机器第二个危险存在时拖放操作期间与函数指针danamic HTML事件相感染。第三个漏洞牵涉到错误的解析的url 可以发动了攻击者攻击的网站。
风险水平:较高。
如何修复:安装适当的hotfix 或最近的服务包。
图4.3.3
如图4.3.3所示,为匿名FTP
描述:建议你禁用匿名FTP 访问, 如果它是不需要的。匿名FTP 访问会导致一个攻击者获得信息, 您的系统都有可能导致他们进入你的系统。
风险等级:中等
如何修复:关闭匿名FTP 服务器
如图4.3.4
如图4.3.4所示,为自动分享驱动问题.NT 服务器
描述:在默认情况下, 所有的驱动机器共享使用硬编码的行政ACL 的. 即使这些共享被移除, 他们会在每次系统重启是启动。
风险等级:中等
如何修复:来消除这种功能, 下面的注册表关键设置:
Hive:HKEY_LOCAL_MACHINE
Path:System\CurrentControlSet\Services\LanmanServer\Parameters Key:AutoShareServer
Value:0
图4.3.5
如图4.3.5所示,为CD 光盘自动运行
漏洞描述:CD-ROM系统允许自动播放,在某些条件下,该功能允许用户绕过屏幕保护进入系统。
低风险水:平。
如何修复:禁止CD 光盘自动运行可以修改注册表如下项目:
Hive:HKEY_LOCAL_MACHINE
Path:System\CurrentControlSet\Services\CDRom
Key:Autorun
Value:0
安全漏洞及解决方案:localhost 如图4.3.6所示
图4.3.6
5. 总结
主机存在安全弱点
安全弱点和信息资产紧密相连,它可能被威胁利用、引起资产损失或伤害。 但是,安全弱点本身不会造成损失,它只是一种条件或环境、可能导致被威胁利 用而造成资产损失。安全弱点的出现有各种原因,例如可能是软件开发过程中的 质量问题,也可能是系统管理员配置方面的,也可能是管理方面的。但是,它们 的共同特性就是给攻击者提供了对主机系统或者其他信息系统进行攻击的机会。
经过对这些主机系统和防火墙的扫描记录分析,我们发现目前省公安厅网络 中的主机系统主要弱点集中在以下几个方面:
1.系统自身存在的弱点
对于商业UNIX 系统的补丁更新不及时,没有安全配置过,系统还是运行在 默认的安装状态非常危险。
对NT/2000 的服务器系统,虽然补丁更新的比较即使,但是配置上存在很大 安全隐患,用户的密码口令的强度非常低很多还在使用默认的弱口令,网络 攻击者可以非常轻易的接管整个服务器。另外存在IPC$这样的匿名共享会泄 露很多服务器的敏感信息。
2.系统管理存在的弱点
在系统管理上缺乏统一的管理策略,比如缺乏对用户轮廓文件(Profile )的 支持。
在系统中存在空口令的Guest 组的用户,这些用户有的是系统默认的Guest 用户,有的是IIS 和SQL 服务器的默认安装用户。这些用户有些是被系统禁 用的,如Guest ,有些则没有,没有被禁用的这些账号可能被利用进入系统。
3.数据库系统的弱点
数据库系统的用户权限和执行外部系统指令是该系统最大的安全弱点,由于 未对数据库做明显的安全措施,望进一步对数据库做最新的升级补丁。
4.来自周边机器的威胁
手工测试发现部分周边机器明显存在严重安全漏洞,来自周边机器的安全弱 点(比如可能使用同样的密码等等)可能是影响网络的最大威胁。
附录一:浅析计算机漏洞及修补措施 在信息安全得到广泛关注的今天,漏洞问题也逐渐引起了广大计算机用户的重视。操作系统漏洞、应用软件漏洞、硬件漏洞甚至是用户不良操作习惯所造成的人为漏洞等,其实都是隐藏在病毒爆发、黑客攻击、网络钓鱼、网页挂马等安全现象背后的技术性根源。据国际权威机构统计,Windows 操作系统的漏洞数量从2000年突破1000大关之后增长非常迅猛,2004年之后的增长幅度虽然不
大,但是每年漏洞的绝对数量仍然处在快速增长的过程中,2006年总数接近10000,数量激增的漏洞已经成了互联网的“牛皮癣”。尽管微软等软件开发商及安全厂商采取了积极措施,但短时间内仍然很难根治。所以,认识和了解计算机漏洞的基本知识,掌握漏洞修补的常用方法,是目前解决由漏洞引起的一系列信息安全问题的关键,也是实施信息安全防范的基础性工作。
漏洞从何而来
由于软件设计的复杂性,尽管包括操作系统在内的每一款商业软件在发布前,都要经过大量严格的各种测试,但仍难免或多或少地存在着一些设计缺陷。这些设计缺陷包括三类,一是软件开发者出于某种目的人为地在软件中留下的后门。例如,为隐秘地收集用户信息,有的软件会留有不公开的后门。二是软件开发者由于能力和经验所限,在软件中难免会有一些设计上的逻辑错误。三是软件开发者无法弥补硬件的漏洞,从而使硬件的问题通过软件表现出来。以上这些设计缺陷都是产生漏洞的温床。只要不存在完美无缺的软件,漏洞就不可避免。当然,并不是所有的设计缺陷都会成为漏洞,只有在软件实际使用过程中,被人发现后刻意进行利用,并威胁到系统安全的设计缺陷才是漏洞。黑客要对一个系统进行攻击,如果不能发现和利用系统中存在的安全漏洞是很难成功的,对于安全级别较高的系统尤其如此。
我们可根据漏洞对系统造成的潜在威胁程度(破坏性、危害性、严重性) 以及被利用的可能性为依据对其进行分级。漏洞一般被分为紧急、重要、警告、注意四级。对于被评为“紧急”或“重要”的漏洞必须要打上相应补丁,尤其是对于“紧急”漏洞应立即安装补丁,越快越好。对于“警告”或“注意”级别的漏洞,则应该在阅读有关说明以后,搞清这些漏洞对系统究竟产生何种影响,然后再决定是否采用并安装相应补丁。
漏洞的危害
作为应用最为广泛的桌面操作系统,Windows 操作系统暴露的漏洞时间最早,数量最多,影响最大,利用其漏洞进行传播的蠕虫病毒造成的损失极其惊人。1988年,“莫里斯”蠕虫病毒的蔓延造成了数千台计算机停机,蠕虫病毒开始现身网络;2000年以来,先后出现了“尼姆达”、“红色代码”、“求职信”、“爱情后门”等一大批蠕虫病毒,尤其是以“冲击波”、“震荡波”和“狙击波”为代表的蠕虫病毒将操作系统漏洞的危害性放大到了极致;2003年1月26日,一种名为“2003蠕虫王”的病毒迅速传播并袭击了全球,致使互联网严重堵塞,造成网页浏览和邮件收发速度大幅减缓,在全球范围内,很多银行自动提款机停止工作,机票等网络预订系统运作中断,信用卡等收付款系统出现故障。专家估计,此病毒造成的直接经济损失至少在12亿美元以上。更为可怕的是,由于蠕虫病毒制造者水平的提高,从一个漏洞发现到攻击代码实现,再到蠕虫病毒产生这一漏洞利用过程,几年前可能需要几个月甚至半年多的时间,而现在几周甚至一天之内就可以完成。例如,在微软发布MS04-011漏洞信息后,一些黑客在8分钟后就写出了攻击代码。漏洞利用速度越快,留给用户更新补丁抵御病毒攻击的时间就越短,蠕虫病毒进行大规模、大范围传播的机会就越大。
2007年以后,由于用户对操作系统漏洞的日益重视,操作系统漏洞造成的危害得到了一定程度的控制,黑客和病毒制造者又逐渐将目光瞄向了常用应用软件的漏洞。这些软件安装数量多,使用范围广,安全性能又赶不上大厂商开发的操作系统,稍加研究和挖掘,就会漏洞百出。网络浏览器、影音播放软件、下载软件、输入法软件、电子阅读软件等常用软件相继暴露出许多高危漏洞,并被大
肆利用,造成极大的破坏。例如,2008年4月8日,Flash Player 9.0.115及更早版本被发现存在高危漏洞,5月下旬就出现了利用此漏洞传播的大量病毒,攻击者可以通过精心设计的特殊flash 文件实施攻击。据不完全统计,访问那些被利用此漏洞植入恶意木马网站的用户,中招率超过60%。由于Flash Player用户十分广泛,且该漏洞涉及日常使用的IE 浏览器,因此危险指数直线上升。 漏洞的修补
补丁是软件开发商用来修补漏洞的程序,打补丁是预防漏洞危害最直接的办法。据美国软件工程研究所估算,如果系统能及时安装合适的软件补丁,可以避免95%以上的网络入侵。漏洞的发现和修补过程通常按照以下步骤进行:专业安全研究人员组织研究并发现一个漏洞;该漏洞被提交给相关厂商,等待确认并为开发补丁争取时间;厂商对漏洞进行确认并发布有关补丁程序;通过安全厂商或者软件厂商向用户通告和公布该漏洞情况;用户下载并且安装相关补丁;该漏洞被补丁修补。
对于操作系统漏洞的修复,通常有以下几种方法。一是利用Windows 系统自带的Update 功能自动安装最新补丁,这也是微软推荐的方法。二是对于不能直接升级的用户,可通过各个正规软件下载站点下载补丁,拷贝到本机后运行安装。三是通过安全软件打补丁。目前瑞星、江民、金山毒霸、诺顿等杀毒软件,以及360安全卫士、雅虎助手等安全辅助软件都提供了漏洞扫描功能,并能自动下载补丁进行修补。
对于应用软件漏洞的修复,通常有以下几种方法:一是安装应用软件补丁。现在不仅操作系统有补丁发布,发现有重大漏洞的应用软件也会推出相应的补丁,用户同样需要及时安装。二是安装应用软件的最新版本。新版本修补了已发现的漏洞,且新漏洞还未暴露出来,因而相对比较安全,因此用户应及时将常用软件升级到最新版本。三是寻找替代软件。对普通用户来说,操作系统的选择余地较小,但实现相同或相似功能的应用软件的选择余地却非常大,用户完全可以选择使用漏洞较少的应用软件。如火狐浏览器就比IE 浏览器的漏洞要少得多。
当然,不是所有的补丁都要打上,有的补丁由于不完善,在修补原来漏洞的同时还会带来新的漏洞,甚至会影响系统的运行。例如,微软就承认其发布的MS04-011漏洞的补丁存在瑕疵,可引起某些Windows2000系统锁死或不能启动。有证据表明,由于推出仓促和测试不够充分,大概有18%的补丁,因为带来了新的缺陷或漏洞,稍后会进行重新发布,即出现了所谓“补丁的补丁”。有的补丁还会让用户惹上麻烦。例如,前不久闹得沸沸扬扬的微软“黑屏”事件,就是因为盗版用户打上了微软提供的具有正版增值功能的补丁而造成的。
警惕更大的漏洞
以上所说的漏洞只是狭义上的漏洞,即计算机中由于软件设计造成的漏洞。事实上,在对这些漏洞的处理问题上,还存在着包括操作上、管理上和观念上的更为广义的漏洞,主要表现在:一是缺少漏洞的常识。一些用户不知漏洞为何物,对其原理和危害更是不得而知,因而完全没有打补丁的意识,千疮百孔的系统成了病毒和黑客的活靶子。二是不及时打补丁。有的用户没有设置操作系统的自动升级功能,有的用户以为补丁打一次就够了,或者嫌打补丁太麻烦,没有养成及时打补丁的习惯。三是只打操作系统补丁,不打应用软件补丁。有的用户没有看到病毒黑客在漏洞利用方面转向应用软件的趋势,认为打好操作系统补丁就万事大吉,不及时更新应用软件补丁和升级版本,这样做同样非常危险。四是乱打补丁。有的用户“病急乱投医”,不看补丁说明,导致打上补丁后带来新的问题。有
的用户从不正规站点下载补丁,在修补漏洞的同时又染上了病毒。
从以往很多由漏洞造成巨大损失的案例来看,软件漏洞虽然危险,但并非无药可治,真正可怕的是用户在操作上、管理上和观念上的漏洞。大多数的蠕虫病毒和黑客攻击都是针对已知的漏洞,如果能及时打上补丁,完全可以避免不必要的损失。2000年爆发的“尼姆达”蠕虫病毒,受害用户数量创造了当时的历史记录,而事实上修补该漏洞的补丁早在一年前就已经发布了。因此,我们要记住“苍蝇不叮无缝的蛋”,“千里之堤,溃于蚁穴”,在对漏洞的预防和修补这个问题上,首先要堵住的是思想、意识和观念上的漏洞,然后是管理、使用和操作上的漏洞,最后才是实际的软件漏洞。
附录二:微软产品中的主要七个漏洞和个人pc 机主要面临漏洞的安全问题
微软产品中的主要七个漏洞如下:
LSASS 相关漏洞是本地安全系统服务中的缓冲区溢出漏洞, “震荡波”病毒正是利用此漏洞造成了互联网严重堵塞。
RPC 接口相关漏洞首先它会在互联网上发送攻击包,造成企业局域网瘫痪,电脑系统崩溃等情况。 “冲击波”病毒正是利用了此漏洞进行破坏,造成了全球上千万台计算机瘫痪,无数企业受到损失。
IE 浏览器漏洞能够使得用户的信息泄露,比如用户在互联网通过网页填写资料,如果黑客利用这个漏洞很容易窃取用户个人隐私。
URL 处理漏洞,此漏洞给恶意网页留下了后门,用户在浏览某些图片网站过后,浏览器主页有可能被改或者是造成无法访问注册表等情况。
URL 规范漏洞,一些通过即时通讯工具传播的病毒,比如当QQ 聊天栏内出现陌生人发的一条链接,如果点击过后很容易中木马病毒。
FTP 溢出系列漏洞主要针对企业服务器造成破坏,前段时间很多国内信息安全防范不到位的网站被黑,目前黑客攻击无处不在,企业一定要打好补丁。
GDI+漏洞可以使电子图片成为病毒!用户在点击网页上的图片、小动物、甚至是通过邮件发来的好友图片都有可能感染各种病毒。
那么个人pc 机主要面临哪些漏洞的安全问题?
第一是ipc 漏洞
IPC$(Internet Process Connection)是共享" 命名管道" 的资源(大家都是这么说的) ,它是为了让进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应
的权限, 在远程管理计算机和查看计算机的共享资源时使用。Ipc 的连接命令是:net use \\IP\ipc$ "" /user:""在现实中很多个人用户并没有安全意识,没装防火墙,并且系统的密码也不很复杂,有的系统安装盘安装后有一个默认的administrator 空密码,很多用户并没有注意。这就导至黑客随便扫描一下用户机器的弱口令就建立ipc 连接进行上传文件执行和开启telnet 等方式直接得到用户的系统权限。如:
C:\>net use \\127.0.0.1\IPC$ "" /user:"admintitrator" 建立连接,空口令。
C:\>copy server.exe \\127.0.0.1\admin$ 复制server.exe 到127.0.0.1的admin$目录下。
C:\>net time \\127.0.0.1 查看时间
C:\>at \\127.0.0.1 11:05 server.exe 指定时间运行。
这样就传送了一个木马程序到用户机上运行,当然也可以开一个telnet 服务登录下去,或是映射用户的磁盘到本机上。但现在这种漏洞存在的并不多了。对于这种漏洞的防范方法很多,我们可以装一个防火墙过虑掉135、139端口,也可以在本机做一个端口限制,还可以停到它的服务:永久关闭ipc$和默认共享依赖的服务:lanmanserver即server 服务
控制面板-管理工具-服务-找到server 服务(右击)-属性-常规-启动类型-已禁用。 第二是远程溢出漏洞
对个人pc 机危害最大的就是rpc 的溢出漏洞, Windows 的RPCSS 服务中用于处理分布式组件对象模型(DCOM)接口的组件中存在三个漏洞,其中两个是缓冲溢出漏洞,一个是拒绝服务漏洞。我们看下它们的原理:
Windows RPC DCOM接口长文件名堆缓冲区溢出漏洞Windows RPC在分布式组件对象模型(DCOM)接口的处理中存在一个缓冲区溢出漏洞。Windows 的DCOM 实现在处理一个参数的时候没有检查长度。通过提交一个超长(数百字节)的文件名参数可以导致堆溢出,从而使RpcSS 服务崩溃。精心构造提交的数据就可以在系统上以本地系统权限运行代码。成功利用此漏洞攻击者可以在系统中采取任何行为,包括安装程序,
窃取更改或删除数据,或以完全权限创建新帐号。
Windows RPC DCOM 接口报文长度域堆缓冲区溢出漏洞Windows RPC DCOM 接口对报文的长度域缺乏检查导致发生基于堆的溢出,远程攻击者可以利用这些漏洞以本地系统权限在系统上执行任意指令。漏洞实质上影响的是使用RPC 的DCOM 接口,此接口处理由客户端机器发送给服务器的DCOM 对象激活请求(如UNC 路径) 。攻击者通过向目标发送畸形RPC DCOM 请求来利用这些漏洞。成功利用此漏洞可以以本地系统权限执行任意指令。成功利用此漏洞攻击者可以在系统上执行任意操作
,如安装程序、查看或更改、删除数据或创建系统管理员权限的帐户。
Windows RPC DCOM接口拒绝服务和权限提升漏洞windows RPC DCOM服务存在拒绝服务缺陷,一个远程的攻击者通过发送特定的消息可以导致RPC 服务产生拒绝服务攻击,而本地的攻击者可发送畸形的消息到__RemoteGetClassObject界面,可导致一个空的指令被传送到PerformScmStage 函数,这会造成拒绝服务攻击,并且攻击者可以劫持epmapper 的管道来达到提升权限的目的。
我们了解到了rpc 的这三个漏洞,也就知道了它所带来的危害,因于很多用户的安全意识薄弱,黑客很轻松地利用rpc 远程溢出进入你的机器。因为rpc 服务在安装时是默认启动的,并且这个补丁采用微软的自动更新是没有打上的,我们只
有下载专门的rpc 补丁才能补上这个漏洞。对于一般的防火墙,黑客通常采用反弹溢出的方式来绕过它,因为它在发出一个溢出包过来时,溢出导向的shellcode 直接去接连黑客的机器,黑客在溢出前就已在机器上监听了一个特定的端口,这样就轻松地绕过了防火墙的拦截,所以说这个漏洞是相当严重的。同样我们来看看对这个漏洞的防范:
使用防火墙阻断如下端口:
135/UDP
137/UDP
138/UDP
445/UDP
135/TCP
139/TCP
445/TCP
593/TCP
我做过一个测试,大多数的溢出工具都是通过的”tcp/ip netbios”来作为连接通道的,当我们禁用这个时,溢出通常是失败。禁用方法:右击“网上邻居”-----打开网络连接,右击“本地连接”打开属性对话框,选中internet 协议(tcp/ip)属性,再点击“高击”-----选择wins 标签,在下面的单选按钮中选取“禁用tcp/ip上的netbios”即可。再右击我的电脑,选取“管理”----选择“服务和应用程序”-----选择“服务”---在展开的服务中选取“tcp/ip netbios”并右击,在菜单中选择“停止”。使用这种方法,百分之八十的系统远程溢出可以防住。当然我们还要防范一些应用程序的溢出,如1433,serv-u,imail,iis 等。对应用程序的溢出一般都是注意应用程序的弱口令问题和版本问题。
为了有效的防范网上的远程溢出攻击,我们应该给我们的系统装上一个好的防火墙,其实国产的瑞星防火墙就不错,曾经测试pcshare 的远程连接都可以被它阻断。它不断有效地阻止了外部连接,还对内部向外的连接作了限制,并且还带了系统漏洞扫描功能,我们可以及时的为自己的系统打上补丁。
第三是浏览器漏洞
这个漏洞主要导致你在浏览网站时容易感染网站上黑客挂的网页木马,对于ie 浏览器存在很多的安全漏洞,再加上使用的用户最多,因此常常是黑客们生成网页木马的首要目标,对于网页木马我们前面已经讲过,还有它的危害等。所以我们安全的在网上冲浪,应该注意好我们的ie 的安全,因为现在网上经常用被黑的网站挂上网马,为了防范这种安全问题,我们得在自己的浏览器上想问题。一
般是使用最新的ie ,并打好ie 相关的补丁。最好的解决办法是不再使用ie 浏览器,可以采用firefox 或是opera 它们都不是基于ie 的,针对这些浏览器的网马很少。
第四是弱口令漏洞
这当然包括你的系统弱口令和服务方面的弱口令,比如你机器搭建的iis 中的网站都可能导致你机器的安全问题,还有你搭建的mssql 弱口令和mysql 弱口令等,这些都可能导致你的机器权限被恶意用户拿到,对于这些危害前面已经详谈,最主要的解决方法就是增加 自己的安全意识,加强密码强度。
那么黑客们利用我们的个人pc 机想干什么呢?前面我们讲了很多个人机的安全问题,那么黑客到底为什么对我们的个人pc 机很感兴趣?其实最主要的是利溢的驱使,如令随着计计算机的普及,随着国内对黑客技术的研究,在网络安全领域形成了很多不良的作用,任何东西都有它的两面性。黑客利用个人机的最主要目的是开代理通过互联星空利用你的ADSL 帐号进行充值服务,如充Q 币、游戏点卡等,从中获取利润。因为网上的服务越来越便利,本来互联星空的充值服务是为了广大用户的方便,但现在却变成了黑客的乐园,曾经有篇报道是《互联星空服务到底是为谁开?》。
我们知道黑客在我们的机器上种值木马后,可以通过传一个查看ADSL 密码的软件(当然是dos 下的)来盗取我们的用户名和密码,并通过软件开设一个代理服务,那么他就可以在浏览器上设置一个在你机器上开的代理服务访问互联星空用取得的用户名和密码进行冲值。虽然现在互联星空出台了一个安全加密插件,但却屡屡被黑客破解。黑客通常利用我们的pc 搞一些商业活动,因为每个人的个人机都有一个自己的信息,或是商业方面的资料。因此就出现了一个商业黑客,通常受雇于某些大型公司,帮助其盗窃竞争对手的商业秘密或重要资料。
黑客通常利用我们的机器做跳板,在我们的机器上做一个代理跳板,从而进行一个违法活动并达到隐藏自己的目的。黑客通常利用我们的机器来进行拒绝服务攻击,因为拒绝服务攻击需要大批的电脑,个人pc 机往往成为黑客组织网络僵尸的组织对象,因为个人机的安全低,通过挂马或是批量溢出或扫描的方式来得快。黑客常常在个人pc 机上面种植一个ddos 攻击的后门程序,并通过主程序来达到远程发运ddos 攻击的目的。还有一种无聊型的黑客,主要通过来抓取个人pc 肉机,偷窥个人隐私,有时也在个人pc 机里面搜索一些有用的信息。