建一臺安全的win2k肉雞

穩萊

建一臺安全的win2k肉雞 

由:避免被追蹤,防止同行破壞,可以長期的使用,使自己更安全,讓你更加的有愛心(一定不要破壞肉雞<忽略肉雞國籍>)。
GO~
檢查補丁狀態:
查看
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\HotFix
或者使用 hfnetchk.exe (微軟主頁可以找到)
注意,只是看,好心里有個數!
▲ipc$(445 or 139)
主要的問題是因為默認設置允許空會話。通過匿名,可以獲得n多的信息。從而進行用戶驗證攻擊。
問題:你不能改密碼。
關掉Admin$
服務器:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
AutoShareServer = DWORD:00000000
工作站:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\lanmanserver\parameters
AutoShareWks = DWORD:00000000
問題:ipc$還存在,它只是關掉了諸如Admin$,c$之類的東西。
立刻從新啟動lanmanserver服務,使其生效
禁止空會話:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
RestrictAnonymous = DWORD:00000001

或者“控制面板”-“本地(域)安全策略”-“安全選項”里......
立刻從新啟動lanmanserver服務,使其生效
問題:
GetAccount.exe這個小工具一樣可以輕易的獲得用戶列表,然后掛字典攻擊。
更改帳號鎖定閥值5次。
此外,還有bug,445 or139 上還有一個漏洞,直接讓機器掛掉。
攻擊程序 SMBdie.exe 可以linuxsecurity.com">http://packetstorm.linuxsecurity.com找到。
相關的補丁 Q326830_W2K_SP4_X86_CN.exe。
注意,這是在為肉雞打補丁,不是自己的機器。所以絕對不要安裝。
很煩?所以直接關掉445or139,最好。注意,要關,兩個端口一起。關一個沒用。(注意這是指windows 2000,不是nt機器)
通常,是這樣的,先連接445端口,如果失敗,就會去連接139,所以一定要兩個都關了。
如何關閉?
啟用ipsec(路由和遠程訪問也可以),一個強大的玩意。包括icmp。一樣可以關掉。也就是ping不通了。
這里不涉及ipsec如何使用,他確實很強大,建議熟練使用。給出兩個相關的連接,給不熟悉的朋友們參考一下。
Internet 協議安全 (IPSec) 循序漸進指南
http://www.microsoft.com/china/technet/windows2000/win2ksrv/technote/ispstep.asp

IPSec 鎖定服務器
http://www.microsoft.com/CHINA/TechNet/windows2000/win2ksrv/ipsecld.asp

需要注意的是,我們在為肉雞做安全,不是自己的機器,當然,有些時候是很矛盾的,畢竟你要改的東西很多,相對的,你被管理員發現的可能也增加了。
通常默認的IPSec的設置是這樣的(本地(域)安全策略-ip安全策略)
默認的有3個:安全服務器(要求安全設置) 客戶端(只響應) 服務器(請求安全設置)
所以,最好不要創建新的策略,直接在原來的基礎上改,也就是3個默認設置的其中一個。以免太過于暴露了。連接類型最好指定為遠程訪問,以免他內網機器訪問不到。最后,選中一個策略,右鍵-指派。立刻生效了。提一下命令行下的操作。以上是通過終端服務上去操作的。要是行命令下,如何做?推薦使用Resource Kit中的ipsecpol.exe。非常強大,也非常復雜。有興趣的朋友,可以自己看看。
▲iis (80)
iis 默認安裝完后,漏洞就像蜂窩。
unicode漏洞:雖然這個漏洞老的已經成為歷史,但還是有的,主要是一些默認安裝了iis的機器,也別刪除它。之所http://www.xxx.com/scripts/..%c1%1c..%c1%1c..%c1%1c..%c1%1c..
/winnt/system32/cmd.exe?/c+dir能夠執行命令(相當于一個shell)。其實是scripts目錄有執行權限。到iis里去掉就可以了。注意一點的是,把每個虛擬目錄的的執行權限都去掉。因為在沒打補丁之前,所有的有執行權限的虛擬目錄都有這個問題,但不一定能被掃描器掃到。如果已經安裝了sp2也就不用忙了,補上了。
單個補丁http://www.microsoft.com/windows2000/downloads/critical
/q269862/default.asp Q269862_W2K_SP2_x86_CN.EXE
二次解碼漏洞:這個漏洞很像上面的那個,一個列http://www.xxx.com/scripts/..%255c..%255cwinnt/system32
/cmd.exe?/c+dir+c:\。同樣的去掉所有虛擬目錄的執行權限。如果安裝了sp3,不用忙了,補上了。
單個補丁http://www.microsoft.com/Downloads/Release.asp?ReleaseID=29764 ;
Q293826_W2k_SP3_x86_cn.exe
.printer遠程益出:同樣,一個成為歷史的漏洞。到iis設置里把這個映射刪掉就可以了,注意一點的是。ms的iis有點變態。有些時候,你安裝刪除了一些系統組件。映射可能重新產生。如果安裝了sp2,不用忙了,補上了。
單個補丁:Q296576_w2k_sp2_x86_CN.EXE
Index Server遠程益出:同樣,一個非常危險的漏洞,直接取得system權限。主要是idq.dll有問題,相對應的映射idq,ida。刪掉后,也算補上了。如果安裝了sp3,不用忙了,補上了。
asp分塊編碼遠程溢出:對于這個漏洞,成功率是很低的。你可以linuxsecurity.com">http://packetstorm.linuxsecurity.com找到相關的exploit。而且你所得到的權限是IWAM_computername這個帳號的。但結合一些local exploit。就...。看情況了,如果iis只是被默認安裝了,沒有網站。把wwwroot目錄里的那些默認安裝的*.asp刪掉,也算是補上了。如果,它已經有web在運做了,這個沒辦法,或許幫它升級windows update是個不錯的注意 :)。安裝了sp3,也不要忙了,補上了。
此外,還有一些看asp源碼的漏洞,方法n多。如果你肉雞的沒安裝sp3的話,最好到iis里把htw和htr刪掉。
Frontpage服務器擴展:這個服務所涉及的漏洞特別多,要是肉雞更本就沒用到這個服務建議直接刪除它。主要是默認的權限設置問題。允許權限是分配給Everyone組的,有些可以寫的,相應的,放后門程序上去(asp.cmd),結合一些local exploit。最后獲得admin權限。對“_vti”開頭的目錄,去掉Everyone組的控制,此外,還有一些拒絕服務漏洞,直接當掉iis。列如:提_vti_bin/shtml.dll/com1">http://www.xxx.com/_vti_bin/shtml.dll/com1.。或_vti_inf.html">http://www.xxx.com/_vti_inf.html。可以獲得服務器的一些信息。多的要死,直接刪掉!
snmp服務(udp 161):即簡單網絡管理協議 。也就是為了方便網絡管理而產生的。主要的問題:口令默認。
通常在win2k下,能找到運行這個服務的機器是很少的。相對的*nix和路游比較多些。
在win2k下一旦安裝了snmp服務,打開新的端口udp 161、dup 162。通過scan可以輕易的刺探到(推薦LANguard Network Scanner、它帶有一個snmp瀏覽器,或者snscan.exe,一個強勁的snmp掃描器,那它找不同類型的肉雞,比較方便)主要是口令默認,也別刪除這個服務了,改了口令也算補上了,如何改?“服務”-“snmp service”-“屬性頁”-“安全”那個“接受團體名稱”也就是“public”,它就是snmp訪問口令。把它改成一個安全的口令。小心!一些暴力破解。這個漏洞,危害雖然沒有那么直接,但還是有的,暴露系統的類型和具體的版本,獲取帳號列表,運行服務信息.....。
Terminal service(3389) :主要是輸入法狀態條漏洞,雖然這個已經成了古董級的,但還是有的。有些肉雞連sp1都沒有。也不要去刪什么幫助文件了。在注冊表里-這個:HKEY_USERS\.DEFAULT\Keyboard Layout\Preload 這也就是登陸時可以用到的輸入法。都在這里面,保留一個就可以了E00E0804 微軟拼音,免得被人看出破綻。要是全刪除了也就沒有en圖標了。打過sp2的,也不要忙了。補上了。此外,還有一個拒絕服務漏洞。這個沒辦法。只有打補丁,如果裝了sp3也不要忙了,補上了。
ms-sql(tcp 1433 udp 1434): ms-sql這個服務涉及的漏洞也是比較多的,如果肉雞沒安裝sp2,更多。
口令問題:sa這個帳號比較特別,不能改名字,也不能刪除。加之安裝時的“隨意”。成了一個漏洞,口令太弱。通過一些小工具,連接以后調用系統存儲過程xp-cmdshell,來執行命令。就算你禁用了存儲過程xp-cmdshell。也是可以恢復的,就算恢復不了,通過寫一些特別的asp文件(cmd.asp)到iis下有執行權限的目錄,得到一個shell,最后結合一些local exploit。取得admin權限。 順便說下,針對win2k+sp3的本地exploit已經有了。所以這個漏洞,沒辦法補,你不可能改sa口令,要不,等于買了自己,要不讓它的asp腳本全部完蛋。這樣的問題,永遠都有的,像ipc$,本來設計來為了方便管理員管理計算機的。設置一個強壯的口令,本身就是很好的防御措施,就算是默認設置。又能怎么樣!意識...
除外,ms-sql還有一個udp remote exploit和一些拒絕服務漏洞,這個沒辦法,只有打補丁,要是肉雞裝了sp3,不用忙了,補上了。
同行所留下的:
帳號,腳本,木馬,服務級后門,內核級后門。
帳號:
1.可能已經被先來的同行全部破解掉了,這個沒辦法,只能希望admin經常改口令。
2.攻擊者添加的帳號,這個針對一些帳號特多的肉雞,可能有人用這樣低級的手法,你一樣沒辦法,你沒法判斷到底是誰的帳號。
3.帳號被克窿。檢查注冊表,每個帳號的sid應該是對應的,比如guest的f5,01,如果是f4,01。被克窿了。要是覺得麻煩,用工具ca.exe來檢查,只是要記得del掉%windir%\system32下的SASrv.exe,這是ca產生的。應該重點檢查系統帳號,比如guest和IUSR_computername等。
4.注意的:有些帳號里來有"$"這個字符,這樣的帳號在行命令下,將不會被顯示。
腳本:
利用運行的web,這類后門找起來多少有點困難,比如被放了cmd.asp。名字不一定是這個,都會被改的。你要是想完美點,執行一下:regsvr32 scrrun.dll /u /s 那個cmd.asp文件也就沒用了。也就是無法創建FileSystemObject 改回來:regsvr32 scrrun.dll /i /s 。此外,針對php、jsp、perl也一樣有類似的腳本。找這類后門很困難。
木馬:
被中過馬兒了,還好,一般比較好的服務器,都裝有強力的殺毒軟件,比如,Norton AntiVirus、kill nt版等。只是n久沒升級了。提示下,順便把它注冊碼給弄走(有些在注冊表里,有些是一個文件)。都是正版的哦,絕對可以升級。:)。像這類后門只能依靠殺毒軟件。種類實在太多了。
服務級后門: 這類后門找起來也即算容易,首先需要一些工具,pslist.exe pskill.exe、fport.exe、sc.exe、結合一些系統命令來找。netstat -an |more 看看端口,fport.exe 來查看端口所對應的程序。常用兩種手法,直接加到服務里或者刪掉一個系統里無關緊要的服務,在把后門偽裝成剛剛哪個刪掉的服務。找這類后門,只要你對系統服務和系統進程比較熟悉,應該不是很困難。
1.系統服務都是以大寫字母開頭的,并有規范的描述。(注意一些軟件安裝所產生的服務,比如serv-u)
2.系統服務對應的程序,都是版權信息的。(查看屬性頁)以及生成的時間。
3.端口,不太確定它是干什么用的時候,最好telnet下。
4.不能確定某個服務是干什么用的時候,也就不要del了(用sc.exe)。
內核后門:
這類后門在win2k下是比較少的,不像在*nix系統下,多的要死,比如用的比較爽的lkm后門,在win2k下這類后門不太成熟。弄不好讓肉雞徹底完蛋。我自己不太清楚,不多廢話了。
 

 

 給當前日誌評分:
Loading Vote
正在讀取評分資料...


文章來自: Tank部落格
引用通告: 查看所有引用 | 我要引用此文章
Tags: 肉雞
相關日誌:

評論: 0 | 引用: 0 | 查看次數: -
發表評論
暱 稱:
密 碼: 遊客發言不需要密碼.
內 容:
驗證碼: 驗證碼
選 項:
雖然發表評論不用註冊,但是為了保護您的發言權,建議您註冊帳號.