当我们架设起一台WIN2000服务器后,很多服务都是系统默认安装的,其中有些服务是我们平时很少使用或根本就用不上的。而这些服务往往漏洞多多,容易被黑客利用来攻击我们的服务器。
WIN2000服务器漏洞检测:
一.基于应用的检测技术。采用被动的、非破坏性的办法检查应用软件包的设置,发现安全漏洞。
二.基于主机的检测技术。采用被动的、非破坏性的办法对系统进行检测。通常涉及系统内核、文件属性、操作系统补丁问题,还包括口令解密。因此,可以非常准确的定位系统存在的问题,发现系统漏洞。其缺点是与平台相关,升级复杂。
三.基于目标的漏洞检测技术。它采用被动的、非破坏性的办法检查系统属性和文件属性,如数据库、注册号等。通过消息文摘算法,对文件的加密数进行检验。
四.基于网络的检测技术。它采用积极的、非破坏性的办法来检验系统是否有可能被攻击崩溃。利用一系列脚本对系统进行攻击,然后对结果进行分析。网络检测技术常被用来进行穿透实验和安全审记。这种技术可以发现一系列平台的漏洞,也容易安装。但是,它容易影响网络的性能,对系统内部检验不到。
五.综合的技术。集中了以上四种技术的优点,极大的增强了漏洞识别的精度。
使用漏洞检测技术时,应该注意以下几点:
1 合理的检测分析的位置;
2 完善的报表功能与灵活的配置特性;
3 可提供多种检测后的解决方案;
4 检测系统本身的完整性等。
我们如何实现手工检测呢?最简单,最方便的还是利用扫描软件来完成。所以也可以说,黑客扫描器是把双刃剑,看使用它的人用它来作什么了,呵呵。
下面结合几种扫描和监控的软件来看看如何发现漏洞和补上漏洞:
我们可以用CMD命令行扫描器TWWWSCAN
扫描出服务器存在IDQ、IDA影射溢出漏洞,解决方法:在INTERNET信息管理器设置,把WEB站点属性--》主目录--》配置里的IDQ、IDA影射删除掉即可。
接着我们用流光漏洞扫描器来为服务器检测吧,运行程序,选择要扫描的漏洞资料,如果你的服务器安装了SQL SERVER 的话,建议扫描SQL 空口令。选流光主菜单的探测--》扫描SQL主机
如果服务器存在SQL的SA空口令漏洞,探测结果会显示。
解决方法:运行SQLSERVER管理工具,给SA帐号加上强壮密码,还要在SQL命令行执行:
“if exists (select * from dbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]
') and OBJECTPROPERTY(id, N'IsExtendedProc') = 1) exec sp_dropextendedproc N'[dbo]
.[xp_cmdshell]' ”
GO
或:
“use master
sp_dropextendedproc 'xp_cmdshell'”
这样就算攻击者获得SA帐号密码远程连接后,也不能调用CMDSHELL了。
另外一个也是很常用的数据库MYSQL,默认安装后也存在ROOT空口令漏洞,如果你不补上的话,INTERNET上任意远程主机都可以连接你服务器上的MYSQL数据库,任意编辑,修改,删除数据库甚至可以通过它来提升权限,完全控制你的服务器。所以必须重视。
解决方法:在mysql状态下输入:
grant select,insert,update,delete on *.* to root@"%" identified by "pass";
语句即可为ROOT设置口令。这样攻击者就不能远程连接本机数据库了。参考[图4]
如果你的服务器安装了PERL解析,很可能会存在CGI漏洞。
解决方法:这就需要打齐微软的最新补丁,在IIS里把CGI论坛的图片目录属性设置成(无)即不运行任何教程和程序,这样可以最大限度的减少被攻击的风险。
我们可以利用数据监控软件[COMMVIEW]来监视进出本服务器的数据包,经过的端口。
还可以检查可疑数据包的内容.
这样我们就不会对服务器的运行一无所知,在被攻击前或被攻击后找出攻击者的信息,制定出相应的解决方案。