常見手工入侵檢測

當我們架設起一臺WIN2000服務器後，很多服務都是系統默認安裝的，其中有些服務是我們平時
很少使用或根本就用不上的。而這些服務往往漏洞多多，容易被駭客利用來攻擊我們的服務器。

WIN2000服務器漏洞檢測：
一．基於應用的檢測技術。採用被動的、非破壞性的辦法檢查應用軟件包的設置，發現安全漏
洞。

二．基於主機的檢測技術。採用被動的、非破壞性的辦法對系統進行檢測。通常涉及系統內核、
檔屬性、操作系統補丁問題，還包括口令解密。因此，可以非常準確的定位系統存在的問題，
發現系統漏洞。其缺點是與平臺相關，升級復雜。

三．基于目標的漏洞檢測技術。它采用被動的、非破壞性的辦法檢查系統屬性和文件屬性，如
數據庫、注冊號等。通過消息文摘算法，對文件的加密數進行檢驗。

四．基于網絡的檢測技術。它采用積極的、非破壞性的辦法來檢驗系統是否有可能被攻擊崩潰。
利用一系列腳本對系統進行攻擊，然后對結果進行分析。網絡檢測技術常被用來進行穿透實驗
和安全審記。這種技術可以發現一系列平臺的漏洞，也容易安裝。但是，它容易影響網絡的性
能，對系統內部檢驗不到。

五．綜合的技術。集中了以上四種技術的優點，極大的增強了漏洞識別的精度。

使用漏洞檢測技術時，應該注意以下幾點：

1 合理的檢測分析的位置；

2 完善的報表功能與靈活的配置特性；

3 可提供多種檢測后的解決方案；

4 檢測系統本身的完整性等。

我們如何實現手工檢測呢？最簡單，最方便的還是利用掃描軟件來完成。所以也可以說，黑客掃
描器是把雙刃劍，看使用它的人用它來作什么了，呵呵。

下面結合幾種掃描和監控的軟件來看看如何發現漏洞和補上漏洞：

我們可以用CMD命令行掃描器TWWWSCAN 參考[圖1]

掃描出服務器存在IDQ、IDA影射溢出漏洞，
解決方法：在INTERNET信息管理器設置，把WEB站點屬性--》主目錄--》配置里的IDQ、IDA影射
刪除掉即可。

接著我們用流光漏洞掃描器來為服務器檢測吧，運行程序，選擇要掃描的漏洞資料，如果你的
服務器安裝了SQL SERVER 的話，建議掃描SQL 空口令。選流光主菜單的探測--》掃描SQL主機
參考[圖2]

如果服務器存在SQL的SA空口令漏洞，探測結果會顯示，參考[圖3]。

解決方法：運行SQLSERVER管理工具，給SA帳號加上強壯密碼，還要在SQL命令行執行：

這樣就算攻擊者獲得SA帳號密碼遠程連接后，也不能調用CMDSHELL了。

另外一個也是很常用的數據庫MYSQL，默認安裝后也存在ROOT空口令漏洞，如果你不補上的話，
INTERNET上任意遠程主機都可以連接你服務器上的MYSQL數據庫，任意編輯，修改，刪除數據庫
甚至可以通過它來提升權限，完全控制你的服務器。所以必須重視。
解決方法：在mysql>狀態下輸入：
grant select,insert,update,delete on *.* to root@"%" identified by "pass"；
語句即可為ROOT設置口令。這樣攻擊者就不能遠程連接本機數據庫了。參考[圖4]

如果你的服務器安裝了PERL解析，很可能會存在CGI漏洞。
解決方法：這就需要打齊微軟的最新補丁，在IIS里把CGI論壇的圖片目錄屬性設置成（無）
即不運行任何教程和程序，這樣可以最大限度的減少被攻擊的風險。

我們可以利用數據監控軟件[COMMVIEW]來監視進出本服務器的數據包，經過的端口。參考[圖5]。

還可以檢查可疑數據包的內容，參考[圖6]

這樣我們就不會對服務器的運行一無所知，在被攻擊前或被攻擊后找出攻擊者的信息，制定出
相應的解決方案。

 給當前日誌評分：

正在讀取評分資料...