建一臺安全的win2k肉雞 

由：避免被追蹤，防止同行破壞，可以長期的使用,使自己更安全,讓你更加的有愛心(一定不要破壞肉雞<忽略肉雞國籍>)。
GO~
檢查補丁狀態：
查看
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\HotFix
或者使用 hfnetchk.exe （微軟主頁可以找到）
注意，只是看，好心里有個數！
▲ipc$(445 or 139)
主要的問題是因為默認設置允許空會話。通過匿名，可以獲得n多的信息。從而進行用戶驗證攻擊。
問題：你不能改密碼。
關掉Admin$
服務器：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
AutoShareServer = DWORD:00000000
工作站：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\lanmanserver\parameters
AutoShareWks = DWORD:00000000
問題：ipc$還存在，它只是關掉了諸如Admin$,c$之類的東西。
立刻從新啟動lanmanserver服務，使其生效
禁止空會話：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
RestrictAnonymous = DWORD:00000001
或者“控制面板”-“本地（域）安全策略”-“安全選項”里......
立刻從新啟動lanmanserver服務，使其生效
問題：
GetAccount.exe這個小工具一樣可以輕易的獲得用戶列表，然后掛字典攻擊。
更改帳號鎖定閥值5次。
此外，還有bug，445 or139 上還有一個漏洞,直接讓機器掛掉。
攻擊程序 SMBdie.exe 可以linuxsecurity.com">http://packetstorm.linuxsecurity.com找到。
相關的補丁 Q326830_W2K_SP4_X86_CN.exe。
注意，這是在為肉雞打補丁，不是自己的機器。所以絕對不要安裝。
很煩？所以直接關掉445or139，最好。注意，要關，兩個端口一起。關一個沒用。（注意這是指windows 2000,不是nt機器）
通常，是這樣的，先連接445端口，如果失敗，就會去連接139，所以一定要兩個都關了。
如何關閉？
啟用ipsec（路由和遠程訪問也可以），一個強大的玩意。包括icmp。一樣可以關掉。也就是ping不通了。
這里不涉及ipsec如何使用，他確實很強大，建議熟練使用。給出兩個相關的連接，給不熟悉的朋友們參考一下。
Internet 協議安全 (IPSec) 循序漸進指南
http://www.microsoft.com/china/technet/windows2000/win2ksrv/technote/ispstep.asp

IPSec 鎖定服務器
http://www.microsoft.com/CHINA/TechNet/windows2000/win2ksrv/ipsecld.asp

需要注意的是，我們在為肉雞做安全，不是自己的機器，當然，有些時候是很矛盾的，畢竟你要改的東西很多，相對的，你被管理員發現的可能也增加了。
通常默認的IPSec的設置是這樣的（本地（域）安全策略-ip安全策略）
默認的有3個：安全服務器（要求安全設置） 客戶端（只響應） 服務器（請求安全設置）
所以，最好不要創建新的策略，直接在原來的基礎上改，也就是3個默認設置的其中一個。以免太過于暴露了。連接類型最好指定為遠程訪問，以免他內網機器訪問不到。最后，選中一個策略，右鍵-指派。立刻生效了。提一下命令行下的操作。以上是通過終端服務上去操作的。要是行命令下，如何做？推薦使用Resource Kit中的ipsecpol.exe。非常強大，也非常復雜。有興趣的朋友，可以自己看看。
▲iis （80）
iis 默認安裝完后，漏洞就像蜂窩。
unicode漏洞：雖然這個漏洞老的已經成為歷史，但還是有的，主要是一些默認安裝了iis的機器，也別刪除它。之所http://www.xxx.com/scripts/..%c1%1c..%c1%1c..%c1%1c..%c1%1c..
/winnt/system32/cmd.exe?/c+dir能夠執行命令（相當于一個shell）。其實是scripts目錄有執行權限。到iis里去掉就可以了。注意一點的是，把每個虛擬目錄的的執行權限都去掉。因為在沒打補丁之前，所有的有執行權限的虛擬目錄都有這個問題，但不一定能被掃描器掃到。如果已經安裝了sp2也就不用忙了，補上了。
單個補丁http://www.microsoft.com/windows2000/downloads/critical
/q269862/default.asp Q269862_W2K_SP2_x86_CN.EXE
二次解碼漏洞：這個漏洞很像上面的那個，一個列http://www.xxx.com/scripts/..%255c..%255cwinnt/system32
/cmd.exe?/c+dir+c:\。同樣的去掉所有虛擬目錄的執行權限。如果安裝了sp3，不用忙了，補上了。
單個補丁http://www.microsoft.com/Downloads/Release.asp?ReleaseID=29764 ;
Q293826_W2k_SP3_x86_cn.exe
.printer遠程益出：同樣，一個成為歷史的漏洞。到iis設置里把這個映射刪掉就可以了，注意一點的是。ms的iis有點變態。有些時候，你安裝刪除了一些系統組件。映射可能重新產生。如果安裝了sp2，不用忙了，補上了。
單個補丁：Q296576_w2k_sp2_x86_CN.EXE
Index Server遠程益出：同樣，一個非常危險的漏洞，直接取得system權限。主要是idq.dll有問題，相對應的映射idq,ida。刪掉后，也算補上了。如果安裝了sp3，不用忙了，補上了。
asp分塊編碼遠程溢出：對于這個漏洞，成功率是很低的。你可以linuxsecurity.com">http://packetstorm.linuxsecurity.com找到相關的exploit。而且你所得到的權限是IWAM_computername這個帳號的。但結合一些local exploit。就...。看情況了，如果iis只是被默認安裝了，沒有網站。把wwwroot目錄里的那些默認安裝的*.asp刪掉，也算是補上了。如果，它已經有web在運做了，這個沒辦法，或許幫它升級windows update是個不錯的注意 ：）。安裝了sp3，也不要忙了，補上了。
此外，還有一些看asp源碼的漏洞，方法n多。如果你肉雞的沒安裝sp3的話，最好到iis里把htw和htr刪掉。
Frontpage服務器擴展：這個服務所涉及的漏洞特別多，要是肉雞更本就沒用到這個服務建議直接刪除它。主要是默認的權限設置問題。允許權限是分配給Everyone組的，有些可以寫的，相應的，放后門程序上去（asp.cmd),結合一些local exploit。最后獲得admin權限。對“_vti”開頭的目錄，去掉Everyone組的控制，此外，還有一些拒絕服務漏洞，直接當掉iis。列如：提_vti_bin/shtml.dll/com1">http://www.xxx.com/_vti_bin/shtml.dll/com1.。或_vti_inf.html">http://www.xxx.com/_vti_inf.html。可以獲得服務器的一些信息。多的要死，直接刪掉！
snmp服務（udp 161）：即簡單網絡管理協議 。也就是為了方便網絡管理而產生的。主要的問題：口令默認。
通常在win2k下，能找到運行這個服務的機器是很少的。相對的*nix和路游比較多些。
在win2k下一旦安裝了snmp服務，打開新的端口udp 161、dup 162。通過scan可以輕易的刺探到（推薦LANguard Network Scanner、它帶有一個snmp瀏覽器，或者snscan.exe，一個強勁的snmp掃描器，那它找不同類型的肉雞，比較方便）主要是口令默認，也別刪除這個服務了，改了口令也算補上了，如何改？“服務”-“snmp service”-“屬性頁”-“安全”那個“接受團體名稱”也就是“public”，它就是snmp訪問口令。把它改成一個安全的口令。小心！一些暴力破解。這個漏洞，危害雖然沒有那么直接，但還是有的，暴露系統的類型和具體的版本，獲取帳號列表，運行服務信息.....。
Terminal service（3389） ：主要是輸入法狀態條漏洞，雖然這個已經成了古董級的，但還是有的。有些肉雞連sp1都沒有。也不要去刪什么幫助文件了。在注冊表里-這個：HKEY_USERS\.DEFAULT\Keyboard Layout\Preload 這也就是登陸時可以用到的輸入法。都在這里面，保留一個就可以了E00E0804 微軟拼音，免得被人看出破綻。要是全刪除了也就沒有en圖標了。打過sp2的，也不要忙了。補上了。此外，還有一個拒絕服務漏洞。這個沒辦法。只有打補丁，如果裝了sp3也不要忙了，補上了。
ms-sql（tcp 1433 udp 1434）: ms-sql這個服務涉及的漏洞也是比較多的，如果肉雞沒安裝sp2，更多。
口令問題：sa這個帳號比較特別，不能改名字，也不能刪除。加之安裝時的“隨意”。成了一個漏洞，口令太弱。通過一些小工具，連接以后調用系統存儲過程xp-cmdshell，來執行命令。就算你禁用了存儲過程xp-cmdshell。也是可以恢復的，就算恢復不了，通過寫一些特別的asp文件（cmd.asp)到iis下有執行權限的目錄，得到一個shell，最后結合一些local exploit。取得admin權限。 順便說下，針對win2k+sp3的本地exploit已經有了。所以這個漏洞，沒辦法補，你不可能改sa口令，要不，等于買了自己，要不讓它的asp腳本全部完蛋。這樣的問題，永遠都有的，像ipc$，本來設計來為了方便管理員管理計算機的。設置一個強壯的口令，本身就是很好的防御措施，就算是默認設置。又能怎么樣！意識...
除外，ms-sql還有一個udp remote exploit和一些拒絕服務漏洞，這個沒辦法，只有打補丁，要是肉雞裝了sp3，不用忙了，補上了。
同行所留下的：
帳號，腳本，木馬，服務級后門，內核級后門。
帳號：
1.可能已經被先來的同行全部破解掉了，這個沒辦法，只能希望admin經常改口令。
2.攻擊者添加的帳號，這個針對一些帳號特多的肉雞，可能有人用這樣低級的手法，你一樣沒辦法，你沒法判斷到底是誰的帳號。
3.帳號被克窿。檢查注冊表，每個帳號的sid應該是對應的，比如guest的f5,01，如果是f4,01。被克窿了。要是覺得麻煩，用工具ca.exe來檢查，只是要記得del掉%windir%\system32下的SASrv.exe，這是ca產生的。應該重點檢查系統帳號，比如guest和IUSR_computername等。
4.注意的：有些帳號里來有"$"這個字符，這樣的帳號在行命令下，將不會被顯示。
腳本：
利用運行的web，這類后門找起來多少有點困難，比如被放了cmd.asp。名字不一定是這個，都會被改的。你要是想完美點，執行一下：regsvr32 scrrun.dll /u /s 那個cmd.asp文件也就沒用了。也就是無法創建FileSystemObject 改回來：regsvr32 scrrun.dll /i /s 。此外，針對php、jsp、perl也一樣有類似的腳本。找這類后門很困難。
木馬：
被中過馬兒了，還好，一般比較好的服務器，都裝有強力的殺毒軟件，比如，Norton AntiVirus、kill nt版等。只是n久沒升級了。提示下，順便把它注冊碼給弄走（有些在注冊表里，有些是一個文件）。都是正版的哦，絕對可以升級。：）。像這類后門只能依靠殺毒軟件。種類實在太多了。
服務級后門： 這類后門找起來也即算容易，首先需要一些工具，pslist.exe pskill.exe、fport.exe、sc.exe、結合一些系統命令來找。netstat -an |more 看看端口，fport.exe 來查看端口所對應的程序。常用兩種手法，直接加到服務里或者刪掉一個系統里無關緊要的服務，在把后門偽裝成剛剛哪個刪掉的服務。找這類后門，只要你對系統服務和系統進程比較熟悉，應該不是很困難。
1.系統服務都是以大寫字母開頭的，并有規范的描述。（注意一些軟件安裝所產生的服務，比如serv-u）
2.系統服務對應的程序，都是版權信息的。（查看屬性頁）以及生成的時間。
3.端口，不太確定它是干什么用的時候，最好telnet下。
4.不能確定某個服務是干什么用的時候，也就不要del了（用sc.exe）。
內核后門：
這類后門在win2k下是比較少的，不像在*nix系統下，多的要死，比如用的比較爽的lkm后門，在win2k下這類后門不太成熟。弄不好讓肉雞徹底完蛋。我自己不太清楚，不多廢話了。
　

 

文章來自: Tank部落格
引用通告: 查看所有引用 | 我要引用此文章
Tags: 肉雞
相關日誌: