當(dāng)前位置 : 首頁(yè)>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>黑客攻防>正文

阻擊利用第三方軟件漏洞發(fā)起的攻擊

http://www.yibo1263.com　2009-4-23 7:44:21 　來(lái)源:東北IT網(wǎng) 　編輯:葉子

　　利用漏洞的攻擊是讓網(wǎng)管員非常頭疼的一類攻擊。該如何預(yù)防此類攻擊呢？

　　提高防范意識(shí)

　　管理員通常比較注意微軟發(fā)布的Windows漏洞，并會(huì)及時(shí)地為系統(tǒng)安裝補(bǔ)丁程序，但系統(tǒng)上運(yùn)行第三方的服務(wù)程序卻常被忽略。比如前一段時(shí)間Serv-U服務(wù)遠(yuǎn)程溢出漏洞就讓很多服務(wù)器成為黑客的“肉雞”。

　　系統(tǒng)中運(yùn)行的遠(yuǎn)程訪問(wèn)或數(shù)據(jù)庫(kù)服務(wù)等，都在不同程度上存在有漏洞，管理員應(yīng)該同樣關(guān)注這些第三方的服務(wù)程序，注意廠商發(fā)布的漏洞，并及時(shí)地安裝補(bǔ)丁或升級(jí)服務(wù)程序。此外，還有一類漏洞存在于處理文件的應(yīng)用程序中，如微軟的Word文檔、圖形文件、Adobe的Pdf文檔、Realplay的視頻文件等。當(dāng)管理員打開這些帶有惡意溢出代碼的文件時(shí)，系統(tǒng)就為黑客敞開大門了。

　　對(duì)付這類漏洞，首先需要管理員提高防范意識(shí)，同時(shí)也要求普通用戶不要輕易打開來(lái)歷不明的郵件，并及時(shí)安裝相應(yīng)的補(bǔ)丁文件。一個(gè)簡(jiǎn)單有效的辦法就是嚴(yán)格控制服務(wù)器上安裝的程序，保證服務(wù)器的簡(jiǎn)潔性，關(guān)閉不需要的系統(tǒng)服務(wù)。

　　注意異常連接和系統(tǒng)日志

　　有種錯(cuò)誤認(rèn)識(shí)，認(rèn)為系統(tǒng)安裝了防火墻和防病毒程序就能有效地防御針對(duì)漏洞的攻擊。但從TCP/IP分層結(jié)構(gòu)來(lái)考慮，防火墻是工作在傳輸層的，而漏洞溢出攻擊的代碼往往是針對(duì)應(yīng)用層的程序，因此對(duì)這類攻擊是無(wú)法檢測(cè)的。

　　防火墻的特性是它能夠?qū)λ羞M(jìn)出的連接加以控制，僅依賴防火墻的默認(rèn)配置規(guī)則是不夠安全的。管理員需要制定嚴(yán)格的訪問(wèn)規(guī)則，僅打開需要對(duì)外提供服務(wù)的端口。這樣即使黑客能夠通過(guò)漏洞打開系統(tǒng)的某個(gè)端口，但由于該端口受防火墻的阻擋，黑客也無(wú)法建立連接。

　　還有些攻擊程序是端口反彈型的，程序會(huì)在溢出后主動(dòng)連接黑客計(jì)算機(jī)上的某個(gè)端口，這樣黑客就能通過(guò)一個(gè)反向的連接來(lái)控制被攻擊的計(jì)算機(jī)。一般情況下，防火墻對(duì)進(jìn)站連接的控制較嚴(yán)，而對(duì)于出站連接的管理較松，因此，黑客常常能成功實(shí)施攻擊。所以，當(dāng)發(fā)現(xiàn)異常的出站連接時(shí)，管理員需要認(rèn)真分析，找出發(fā)起連接的進(jìn)程，檢查進(jìn)程的用戶名和連接的目的端口(如使用ProcessExplorer程序)，結(jié)合經(jīng)驗(yàn)判斷是正常的連接還是非法的反向連接。

　　當(dāng)發(fā)生溢出攻擊時(shí)，服務(wù)程序會(huì)出現(xiàn)意外錯(cuò)誤，管理員還可以通過(guò)檢查應(yīng)用程序的日志記錄，了解錯(cuò)誤發(fā)生的來(lái)源、頻度、時(shí)間、類型等詳細(xì)內(nèi)容，依此判斷是否遭受攻擊。

　　合理限制服務(wù)程序的權(quán)限

　　當(dāng)黑客利用漏洞成功溢出后，得到一個(gè)遠(yuǎn)程連接的Cmdshell，這個(gè)Cmdshell的權(quán)限往往繼承了被溢出的服務(wù)程序的初始權(quán)限，而大部分服務(wù)都是運(yùn)行在系統(tǒng)的System賬戶權(quán)限下的，該賬戶的權(quán)限甚至超過(guò)系統(tǒng)中的Administrator賬戶。也就是說(shuō)，如果溢出成功，黑客將成為系統(tǒng)中的管理員。

　　雖然很大一部分系統(tǒng)內(nèi)置的服務(wù)程序需要以System賬戶權(quán)限啟動(dòng)，但也有不少服務(wù)程序可以選擇啟動(dòng)時(shí)的用戶賬戶。對(duì)于這樣的服務(wù)程序，我們可以在系統(tǒng)中建立一個(gè)較小權(quán)限的賬戶，并使用該賬戶啟動(dòng)服務(wù)程序。這樣即使出現(xiàn)了漏洞，黑客也只能得到一個(gè)較小權(quán)限的Cmdshell。

　　修改應(yīng)用程序的安全屬性

　　當(dāng)黑客得到一個(gè)較小權(quán)限的Cmdshell，往往不會(huì)善罷甘休，可能通過(guò)上傳一個(gè)本地溢出的攻擊程序進(jìn)一步擴(kuò)大其權(quán)限。所以說(shuō)，即使是較小權(quán)限的Cmdshell也是危險(xiǎn)的。那么，我們?cè)撊绾巫柚购诳偷玫紺mdshell呢？

　　我們可以從提供Cmdshell環(huán)境的“cmd.exe”文件入手，通過(guò)修改Cmd的安全屬性來(lái)阻止黑客。

　　在NTFS文件系統(tǒng)中，可以為不同賬戶設(shè)置不同的應(yīng)用程序的權(quán)限，這里通過(guò)添加一個(gè)最小權(quán)限的賬戶來(lái)限制cmd命令的使用。

　　(1)添加賬戶

　　使用命令“Netuserhidden$/add”添加一個(gè)屬于“users”組的“hidden”賬戶。同時(shí)為“hidden”賬戶設(shè)置足夠強(qiáng)壯的口令。

　　提示：在賬戶名后加“$”符號(hào)可以建立隱藏賬戶，該賬戶在命令“netuser”下不顯示。

　　(2)修改cmd.exe的安全屬性

　　在Windows的System32目錄下找到“cmd.exe”文件，右鍵單擊文件，在文件的“屬性”中選擇“安全”欄目，刪除如圖1所示的所有用戶具有的權(quán)限。然后添加“hidden”用戶，并分配權(quán)限。

本新聞共2頁(yè),當(dāng)前在第1頁(yè) 1 2

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

·解析利用交換機(jī)漏洞的三種攻擊手段

·無(wú)線最大漏洞未安裝所有安全選項(xiàng)

·安全專家常用的漏洞分析方法

·安全專家教您正確使用漏洞掃描工具

·利用Flash漏洞的SWF掛馬剖析與防范

·檢測(cè)你的Web系統(tǒng)有多少安全漏洞

·遠(yuǎn)程漏洞掃描實(shí)現(xiàn)云安全

·50%帶毒網(wǎng)站利用IE新漏洞用戶應(yīng)打好補(bǔ)丁

·四種方法屏蔽0day漏洞

·抵御IOS漏洞攻擊保障路由器安全

·94%瀏覽器攻擊發(fā)生在漏洞公布的24小時(shí)之內(nèi)

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费