防止局域网内部入侵

ucwvfpwxf · 2007-06-13, 12:57 PM

文章转自---http://www.gz-benet.com.cn/bbs/Show.Asp?ID=1735

比如，在某局域网中，服务器装有Win2000　Server系统且采用NTFS分区，客户机
计算机分别为Workl、Work2……WorkN，并装有Win98或Win2000　Pro系统。假如
其中一台客户机的用户名为YD_xlpos，密码为Ei（9，已经登录到域domain，则它
可使用默认共享方式入侵服务器：在该客户机的网络邻居地址栏中输入
\serveradmin$，便可进入Win2000的系统目录Win　NT，此时该用户可以删除文
件。若再输入\serverd$，即可进入服务器上的D盘，此时该客户机用户已经具备
服务器的管理员权限，这是相当危险的。居心叵测的人可以通过新建
Winstart.bat或者Wininit.ini文件，并在其中加入格式化C盘的语句，使系统丢
失所有C盘文件;　或是在服务器的启动项中加入现在任何流行木马的启动程序，
后果也不堪设想。　

Win2000采用默认共享方式以便远程维护，但同样给了黑客可乘之机。打开注册表
编辑器，定位到HKEY_L0　CAl_MACHINE　SYSTEMCurrent　Control　
SetServiceslanmanserver，若系统为Win2000　Pro，则新建Autosharewks的
DWORD值，并设键值为0；若系统为Win2000　Server，则新建Autoshareserver的
DWORD值，并设键值为0。重新启动计算机后默认共享便不会再出现。　

不过危险并没有消除，装有Win2000平台的客户机还可以通过IPS$的空连接入侵服
务器。客户机用户可以先用端口扫描软件X-Scan填入服务器的IP，在扫描模块里
选择sqlserver弱口令和nt-server弱口令，当得到nt-server弱口令后，用户来
建立空连接，然后激活Guest，并添加管理员权限，安装后门(如netcat)后就可以
进行远程控制。管理员怎么禁止IPS$空连接呢?可定位到注册表
HKEY_LOCAL_MACHINE　SYSTEMCurrent　Control　SetControlLSA,修改
Restrict　Anony-mous的DWORD值为0000001。　

防范Ping入侵　

Ping入侵方式也叫ICMP入侵，它也利用了Windows系统的漏洞。在Work1的DOS窗
口中输入“ping　-1　65500　-t192.168.0.88”(服务器的IP地址)，则可看到
服务器上系统托盘的小电脑一直在闪动，那是客户机Work1在向服务器发出请求。
我们试想，如果局域网内的计算机很多，并在每台计算机的Aotoexec.bat文件中
加入“ping　-l　65500　-t192.168.0.88”，那会怎么样?服务器将会因CPU使
用率居高不下而崩溃，这也就是有名的DoS服务(拒绝服务)攻击：在一个时段内连
续向服务器发出大量请求，服务器来不及回应而死机。　

对付这类攻击可安装网络防火墙，如天网等，在设置里面选择“不允许别人用
Ping命令探测本机”;　或者在“管理工具”中点击“本地安全策略”，进入“IP
安全策略”，在本地机器中进行设置(设置过程略)。　

维护和管理服务器　

黑客入侵服务器，必须知道服务器的IP地址和所开放的端口，因此可以在网上邻
居中隐藏服务器的IP地址，为服务器的计算机名保密。建立服务器通讯端口列表
，屏蔽一些敏感的端口如139、3389、5000,　了解部分病毒或者木马的常用连接
端口，如“冰河”的7626端口、“广外女生”的6267端口。　

安装病毒防火墙和网络防火墙，定期对病毒库进行更新，按计划查毒杀毒。定期用
DOS命令netstat　-a或者SuperScan软件对服务器开放的端口进行检测，将检测
结果和以往备份的端口列表进行比较。若发现未知端口有异常连接建立或者正在监
听，特别是高端端口，则立即断开网络，用检测木马的软件如Trojan　Remover等
进行检测。用进程检测软件如Windows优化大师监测服务器所开的进程，并和以往
的进程列表作比较，留意不明进程。注意观察Win2000的服务，因为它是在系统启
动前加载的。可将Task　Scheduler、Run　As　Service、FTP等改为手动，最好
能够了解各种服务的作用，了解服务器所开的共享，可用net　share命令来查看
。尽可能不要设置文件共享，不要打开写文件的权限。即使开启共享，也应设置相
应密码。　

打开“计算机管理”，检查用户和组里是否有非法用户，尤其小心管理员权限的非
法用户。禁止系统提供的Guest用户，因为黑客常用Guest进行系统控制，对于
Administrator则应进行改名操作。在C

ocuments　and　Settings下查看用户
，对于有非法用户的目录，应仔细察看并定期对事件查看器进行筛选和分析。审核
安全日志，选择“管理工具”里面的“本地安全策略”，在本地策略里的审核策略
中进行审核操作。　

若英文功底良好，则推荐使用Win2000英文版，因为中文版的Bug较多，补丁推出
也相对较晚。多去微软的站点检测，及时更新微软的SP补丁包，注意微软发布的
安全公告。了解病毒和系统漏洞的最新动态，堵上系统存在的漏洞。对于系统管理
员，则要合理选择安装相关组件，不需要的不必安装，当然需要的组件除外，如网
络监视器。另外，尽量修改一些特殊的DOS命令的扩展名，尽量少用超级用户登录
，其密码也要做到科学配置，大小写加特殊字符，从而减低被暴力破解的几率。　

此外，系统管理员不要私自在服务器上试用新软件，尤其是大型软件和Beta版软
件，不要用服务器作为上网的主机，不要让不具备权限的人接近服务器。Win2000
　Server系统的稳定性和安全性还是非常高的，系统的崩溃多由于人为的误删除
或者误操作所致。　

总之，服务器的安全问题应引起极大的重视，应挂接多个硬盘做好备份，使服务器
在出错后能够快速恢复。

一个逼真度吓倒微
软高级程序员的屏幕保护

2007-06-13, 12:57 PM	#1
No6828 ucwvfpwxf 初级会员注册日期: 2007-03-02 帖子: 28 现金:1金币资产:1金币	防止局域网内部入侵文章转自---http://www.gz-benet.com.cn/bbs/Show.Asp?ID=1735 比如，在某局域网中，服务器装有Win2000　Server系统且采用NTFS分区，客户机计算机分别为Workl、Work2……WorkN，并装有Win98或Win2000　Pro系统。假如其中一台客户机的用户名为YD_xlpos，密码为Ei（9，已经登录到域domain，则它可使用默认共享方式入侵服务器：在该客户机的网络邻居地址栏中输入 \serveradmin$，便可进入Win2000的系统目录Win　NT，此时该用户可以删除文件。若再输入\serverd$，即可进入服务器上的D盘，此时该客户机用户已经具备服务器的管理员权限，这是相当危险的。居心叵测的人可以通过新建 Winstart.bat或者Wininit.ini文件，并在其中加入格式化C盘的语句，使系统丢失所有C盘文件;　或是在服务器的启动项中加入现在任何流行木马的启动程序，后果也不堪设想。　 Win2000采用默认共享方式以便远程维护，但同样给了黑客可乘之机。打开注册表编辑器，定位到HKEY_L0　CAl_MACHINE　SYSTEMCurrent　Control　 SetServiceslanmanserver，若系统为Win2000　Pro，则新建Autosharewks的 DWORD值，并设键值为0；若系统为Win2000　Server，则新建Autoshareserver的 DWORD值，并设键值为0。重新启动计算机后默认共享便不会再出现。　不过危险并没有消除，装有Win2000平台的客户机还可以通过IPS$的空连接入侵服务器。客户机用户可以先用端口扫描软件X-Scan填入服务器的IP，在扫描模块里选择sqlserver弱口令和nt-server弱口令，当得到nt-server弱口令后，用户来建立空连接，然后激活Guest，并添加管理员权限，安装后门(如netcat)后就可以进行远程控制。管理员怎么禁止IPS$空连接呢?可定位到注册表 HKEY_LOCAL_MACHINE　SYSTEMCurrent　Control　SetControlLSA,修改 Restrict　Anony-mous的DWORD值为0000001。　防范Ping入侵　 Ping入侵方式也叫ICMP入侵，它也利用了Windows系统的漏洞。在Work1的DOS窗口中输入“ping　-1　65500　-t192.168.0.88”(服务器的IP地址)，则可看到服务器上系统托盘的小电脑一直在闪动，那是客户机Work1在向服务器发出请求。我们试想，如果局域网内的计算机很多，并在每台计算机的Aotoexec.bat文件中加入“ping　-l　65500　-t192.168.0.88”，那会怎么样?服务器将会因CPU使用率居高不下而崩溃，这也就是有名的DoS服务(拒绝服务)攻击：在一个时段内连续向服务器发出大量请求，服务器来不及回应而死机。　对付这类攻击可安装网络防火墙，如天网等，在设置里面选择“不允许别人用 Ping命令探测本机”;　或者在“管理工具”中点击“本地安全策略”，进入“IP 安全策略”，在本地机器中进行设置(设置过程略)。　维护和管理服务器　黑客入侵服务器，必须知道服务器的IP地址和所开放的端口，因此可以在网上邻居中隐藏服务器的IP地址，为服务器的计算机名保密。建立服务器通讯端口列表，屏蔽一些敏感的端口如139、3389、5000,　了解部分病毒或者木马的常用连接端口，如“冰河”的7626端口、“广外女生”的6267端口。　安装病毒防火墙和网络防火墙，定期对病毒库进行更新，按计划查毒杀毒。定期用 DOS命令netstat　-a或者SuperScan软件对服务器开放的端口进行检测，将检测结果和以往备份的端口列表进行比较。若发现未知端口有异常连接建立或者正在监听，特别是高端端口，则立即断开网络，用检测木马的软件如Trojan　Remover等进行检测。用进程检测软件如Windows优化大师监测服务器所开的进程，并和以往的进程列表作比较，留意不明进程。注意观察Win2000的服务，因为它是在系统启动前加载的。可将Task　Scheduler、Run　As　Service、FTP等改为手动，最好能够了解各种服务的作用，了解服务器所开的共享，可用net　share命令来查看。尽可能不要设置文件共享，不要打开写文件的权限。即使开启共享，也应设置相应密码。　打开“计算机管理”，检查用户和组里是否有非法用户，尤其小心管理员权限的非法用户。禁止系统提供的Guest用户，因为黑客常用Guest进行系统控制，对于 Administrator则应进行改名操作。在Cocuments　and　Settings下查看用户，对于有非法用户的目录，应仔细察看并定期对事件查看器进行筛选和分析。审核安全日志，选择“管理工具”里面的“本地安全策略”，在本地策略里的审核策略中进行审核操作。　若英文功底良好，则推荐使用Win2000英文版，因为中文版的Bug较多，补丁推出也相对较晚。多去微软的站点检测，及时更新微软的SP补丁包，注意微软发布的安全公告。了解病毒和系统漏洞的最新动态，堵上系统存在的漏洞。对于系统管理员，则要合理选择安装相关组件，不需要的不必安装，当然需要的组件除外，如网络监视器。另外，尽量修改一些特殊的DOS命令的扩展名，尽量少用超级用户登录，其密码也要做到科学配置，大小写加特殊字符，从而减低被暴力破解的几率。　此外，系统管理员不要私自在服务器上试用新软件，尤其是大型软件和Beta版软件，不要用服务器作为上网的主机，不要让不具备权限的人接近服务器。Win2000 　Server系统的稳定性和安全性还是非常高的，系统的崩溃多由于人为的误删除或者误操作所致。　总之，服务器的安全问题应引起极大的重视，应挂接多个硬盘做好备份，使服务器在出错后能够快速恢复。一个逼真度吓倒微软高级程序员的屏幕保护