常見手工入侵檢測

穩萊

常見手工入侵檢測

當我們架設起一臺WIN2000服務器後,很多服務都是系統默認安裝的,其中有些服務是我們平時
很少使用或根本就用不上的。而這些服務往往漏洞多多,容易被駭客利用來攻擊我們的服務器。

WIN2000服務器漏洞檢測:
一.基於應用的檢測技術。採用被動的、非破壞性的辦法檢查應用軟件包的設置,發現安全漏
洞。

二.基於主機的檢測技術。採用被動的、非破壞性的辦法對系統進行檢測。通常涉及系統內核、
檔屬性、操作系統補丁問題,還包括口令解密。因此,可以非常準確的定位系統存在的問題,
發現系統漏洞。其缺點是與平臺相關,升級復雜。

三.基于目標的漏洞檢測技術。它采用被動的、非破壞性的辦法檢查系統屬性和文件屬性,如
數據庫、注冊號等。通過消息文摘算法,對文件的加密數進行檢驗。

四.基于網絡的檢測技術。它采用積極的、非破壞性的辦法來檢驗系統是否有可能被攻擊崩潰。
利用一系列腳本對系統進行攻擊,然后對結果進行分析。網絡檢測技術常被用來進行穿透實驗
和安全審記。這種技術可以發現一系列平臺的漏洞,也容易安裝。但是,它容易影響網絡的性
能,對系統內部檢驗不到。

五.綜合的技術。集中了以上四種技術的優點,極大的增強了漏洞識別的精度。

使用漏洞檢測技術時,應該注意以下幾點:

1 合理的檢測分析的位置;

2 完善的報表功能與靈活的配置特性;

3 可提供多種檢測后的解決方案;

4 檢測系統本身的完整性等。

我們如何實現手工檢測呢?最簡單,最方便的還是利用掃描軟件來完成。所以也可以說,黑客掃
描器是把雙刃劍,看使用它的人用它來作什么了,呵呵。

下面結合幾種掃描和監控的軟件來看看如何發現漏洞和補上漏洞:

我們可以用CMD命令行掃描器TWWWSCAN 參考[圖1]

掃描出服務器存在IDQ、IDA影射溢出漏洞,
解決方法:在INTERNET信息管理器設置,把WEB站點屬性--》主目錄--》配置里的IDQ、IDA影射
刪除掉即可。

接著我們用流光漏洞掃描器來為服務器檢測吧,運行程序,選擇要掃描的漏洞資料,如果你的
服務器安裝了SQL SERVER 的話,建議掃描SQL 空口令。選流光主菜單的探測--》掃描SQL主機
參考[圖2]

如果服務器存在SQL的SA空口令漏洞,探測結果會顯示,參考[圖3]。

解決方法:運行SQLSERVER管理工具,給SA帳號加上強壯密碼,還要在SQL命令行執行:

if exists (select * from dbo.sysobjects where id = object_id(N[dbo].[xp_cmdshell]
) and OBJECTPROPERTY(id, NIsExtendedProc) = 1) exec sp_dropextendedproc N[dbo]
.[xp_cmdshell]
GO
或:
use master
sp_dropextendedproc xp_cmdshell


這樣就算攻擊者獲得SA帳號密碼遠程連接后,也不能調用CMDSHELL了。

另外一個也是很常用的數據庫MYSQL,默認安裝后也存在ROOT空口令漏洞,如果你不補上的話,
INTERNET上任意遠程主機都可以連接你服務器上的MYSQL數據庫,任意編輯,修改,刪除數據庫
甚至可以通過它來提升權限,完全控制你的服務器。所以必須重視。
解決方法:在mysql>狀態下輸入:
grant select,insert,update,delete on *.* to root@"%" identified by "pass";
語句即可為ROOT設置口令。這樣攻擊者就不能遠程連接本機數據庫了。參考[圖4]

如果你的服務器安裝了PERL解析,很可能會存在CGI漏洞。
解決方法:這就需要打齊微軟的最新補丁,在IIS里把CGI論壇的圖片目錄屬性設置成(無)
即不運行任何教程和程序,這樣可以最大限度的減少被攻擊的風險。

我們可以利用數據監控軟件[COMMVIEW]來監視進出本服務器的數據包,經過的端口。參考[圖5]。

還可以檢查可疑數據包的內容,參考[圖6]

這樣我們就不會對服務器的運行一無所知,在被攻擊前或被攻擊后找出攻擊者的信息,制定出
相應的解決方案。

 

 給當前日誌評分:
Loading Vote
正在讀取評分資料...


文章來自: Tank部落格
引用通告: 查看所有引用 | 我要引用此文章
Tags: 入侵檢測
相關日誌:

評論: 0 | 引用: 0 | 查看次數: -
發表評論
暱 稱:
密 碼: 遊客發言不需要密碼.
內 容:
驗證碼: 驗證碼
選 項:
雖然發表評論不用註冊,但是為了保護您的發言權,建議您註冊帳號.