无忧启动论坛

标题: 如何对付UNICODE编码漏洞攻击（系统级） [打印本页]

作者: 真水ying 时间: 2002-3-4 11:24
标题: 如何对付UNICODE编码漏洞攻击（系统级）
一、补丁修补
首先，为了服务器的安全，我们需要不停的打上最新补丁。对于nt4,现在应该打上sp6a了。对于win2k,也至少应该补到sp2。另外，还有不停发布的一些sp3的“碎屑”（正式版还没出），我们都要以最快速度找到并修补。

二、对付UNICODE扫描器
如何对付扫描器？有时候，打补丁总是滞后于攻击者的。比如cgi两次解码漏洞。现在很多机器就有。如何对付扫描器扫出我们还不知道的漏洞呢。
我们来看看扫描器的源程序。大多是perl语言编程而成，其实只是简单的字符串处理而已
我们可以用以下几个方法躲过扫描器的扫描
（1）更改winnt目录名或cmd.exe的文件名
我们安装winnt或者win2k时，缺省目录是c:\winnt.我们可以把这个目录名改成只有你自己知道的目录名，比如c:\fbint等等。这样扫描器递交“http://***.***.***.***/msadc/..%c1%9c../..%c1%9c../..%c1%9c../winnt/system32/cmd.exe?/c+dir”类似的url时就会返回错误号404。也就是“找不到该页”（当然咯，呵呵，根本没有winnt这个目录嘛）。更改cmd.exe也有同样的效果，而且更加可靠～～这样大部分扫描器就成了瞎子啦。哈哈哈哈哈哈哈哈哈（疯了……）^_^

（2）改变您的web目录的位置或者服务端口
通常web目录的位置在C:\InetPub\wwwroot。在c:\inetpub里有scripts之类的目录。如果你不需要他们的话，你可以把web目录转移到别的分区，比如d:\webroot
然后把C:\inetpub整个删除。别忘了，在internet服务器中停掉所有的缺省web目录的服务。然后统统删掉，只保留你所要的。
另外，如果可能的话，在保证不影响访问率的情况下（有时防火墙会很讨厌），我们可以把web服务的端口由80改成别的，比如88。这样做虽然攻击者可以通过修改扫描器的插件来实行扫描，但是会使他麻烦很多，另外这可以躲避那种扫描一段网段的攻击者的扫描。

（3）删掉*.idq,*.ida映射
其实这个已经不是UNICODE漏洞了，属于idq溢出漏洞，在这里也讲一下吧
打了sp2以后（win2k），这个漏洞仍然可以被扫描器捕捉到，但是已经不能够进行攻击了。如果你不放心，可以删除*.idq和*.ida的映射。这样就清爽了。什么？你要用到idq？我打！！～～～

三、进一步限制iusr_server的权限
我们知道，攻击者利用UNICODE漏洞遍历目录时的用户权限是决定于iusr_server的权限的。
通常iusr_server属于guest组。如果你使用的是ntfs分区，就将你的web目录外所有的访问权限设置为用户iusr_server不可访问。为了防止主页被改，还要解除iusr_server对web目录的写权限。（如果确实需要写的地方，比如聊天室或论坛，可以适当放开）

四、经常检查访问日志、寻找攻击的蛛丝马迹
作为一名管理员，应该养成查看日志的好习惯，对于UNICODE漏洞的攻击，我们只要查看分析web服务的访问日志就可以了。对于扫描器的扫描已经攻击都会被记录下来。特别注意出现的“cmd.exe”字眼。
另外，我们应该经常更改自己的密码，保证只有一个用户隶属于管理员组（也就是自己咯）。经常检查有没有可疑的用户，管理员组里是否有可以用户出现。这些都是非常重要的，我曾经入侵一台服务器后，（玩江湖，呵呵）给自己加了一个管理员身份的用户，改了江湖的源程序（江湖是asp的。呵呵，改了以后，无论是谁都无法踢我，虽然我的各项参数都很弱，但是却有江湖里的所有权限，包括改用户参数^_^），网管一个星期后才发现多了一个admin，而我早就放了asp木马在里面了（连他的zip备份也放进去了一个）。真是很可悲。

五、入侵自己
把自己的服务器作为目标，经常扫描并试图攻击。或者找有技术的朋友也行（当然要值得信任的朋友咯）。找到漏洞并想办法修补。这都是维护服务器安全性的好办法。

这些是我的一点点经验，希望能对迷惘在网络安全中的朋友有些帮助。
最后希望大家记住的是，魔高一尺道高一丈，世上没有绝对的安全，完全相信防火墙和系统补丁会吃大亏的～～～～

欢迎光临无忧启动论坛 (http://bbs.c3.wuyou.net/)