Chinaunix
標題: 服務器被黑的防范措施 [打印本頁]
作者: 仙女山的月亮 時間: 2017-07-01 09:44
標題: 服務器被黑的防范措施
在頻頻惡意攻擊用戶、系統(tǒng)漏洞層出不窮的今天��,作為網(wǎng)絡治理員�����、系統(tǒng)治理員雖然在服務器的安全上都下了不少功夫����,諸如及時打上系統(tǒng)安全補丁����、進行一些常規(guī)的安全配置,但有時仍不安全�����。因此必須惡意用戶入侵之前�,通過一些系列安全設置,來將入侵者們擋在“安全門”之外���,下面就將我在3A網(wǎng)絡服務器上做的一些最簡單����、最有效的防(Overflow)溢出、本地提供權限攻擊類的解決辦法給大家分享�,小弟親自操刀,基本沒出過安全故障�!
一、如何防止溢出類攻擊
1.盡最大的可能性將系統(tǒng)的漏洞補丁都打完�,最好是比如Microsoft Windows Server系列的系統(tǒng)可以將自動更新服務打開,然后讓服務器在您指定的某個時間段內自動連接到Microsoft Update網(wǎng)站進行補丁的更新�。假如您的服務器為了安全起見 禁止了對公網(wǎng)外部的連接的話,可以用Microsoft WSUS服務在內網(wǎng)進行升級�����。
2.停掉一切不需要的系統(tǒng)服務以及應用程序�,最大限能的降底服務器的被攻擊系數(shù)。比如前陣子的MSDTC溢出����,就導致很多服務器掛掉了。其實假如 WEB類服務器根本沒有用到MSDTC服務時����,您大可以把MSDTC服務停掉,這樣MSDTC溢出就對您的服務器不構成任何威脅了�����。
3.啟動TCP/IP端口的過濾,僅打開常用的TCP如21����、80、25�、110、3389等端口;假如安全要求級別高一點可以將UDP端口關閉���,當然假如這樣之后缺陷就是如在服務器上連外部就不方便連接了�,這里建議大家用IPSec來封UDP�。在協(xié)議篩選中”只答應”TCP協(xié)議(協(xié)議號為:6)、 UDP協(xié)議(協(xié)議號為:17)以及RDP協(xié)議(協(xié)議號為:27)等必需用協(xié)議即可;其它無用均不開放����。
4.啟用IPSec策略:為服務器的連接進行安全認證��,給服務器加上雙保險��。如三所說�����,可以在這里封掉一些危險的端品諸如:135 145 139 445 以及UDP對外連接之類、以及對通讀進行加密與只與有信任關系的IP或者網(wǎng)絡進行通訊等等����。(注:其實防反彈類木馬用IPSec簡單的禁止UDP或者不常用TCP端口的對外訪問就成了,關于IPSec的如何應用這里就不再敖續(xù),可以到服安討論Search “IPSec”���,就 會有N多關于IPSec的應用資料..)
二���、刪除、移動���、更名或者用訪問控制表列Access Control Lists (ACLs)控制要害系統(tǒng)文件����、命令及文件夾:
1.黑客通常在溢出得到shell后�,來用諸如net.exe net1.exe ipconfig.exe user.exe query.exe regedit.exe regsvr32.exe 來達到進一步控制服務器的目的如:加賬號了,克隆治理員了等等;這里可以將這些命令程序刪除或者改名�����。(注重:在刪除與改名時先停掉文件復制服務 (FRS)或者先將 %windir%\system32\dllcache\下的對應文件刪除或改名��。
2.也或者將這些.exe文件移動到指定的文件夾,這樣也方便以后治理員自己使用
3.訪問控制表列ACLS控制:找到%windir%\system32下找到cmd.exe、cmd32.exe net.exe net1.exe ipconfig.exe tftp.exe ftp.exe user.exe reg.exe regedit.exe regedt32.exe regsvr32.exe 這些黑客常用的文件����,在“屬性”→“安全”中對他們進行訪問的ACLs用戶進 行定義,諸如只給administrator有權訪問�,假如需要防范一些溢出攻擊、以及溢出成功后對這些文件的非法利用���,那么只需要將system用戶在 ACLs中進行拒絕訪問即可��。
4.假如覺得在GUI下面太麻煩的話����,也可以用系統(tǒng)命令的CACLS.EXE來對這些.exe文件的Acls進行編輯與修改��,或者說將他寫成一個.bat批處理 文件來執(zhí)行以及對這些命令進行修改�����。(具體用戶自己參見cacls /? 幫助進行)
5.對磁盤如C/D/E/F等進行安全的ACLS設置從整體安全上考慮的話也是很有必要的����,另外非凡是win2k�����,對Winnt、Winnt\System���、Document and Setting等文件夾���。
6.進行注冊表的修改禁用命令解釋器: (假如您覺得用⑤的方法太煩瑣的話,那么您不防試試下面一勞永逸的辦法來禁止CMD的運行����,通過修改注冊表,可以禁止用戶使用命令解釋器 (CMD.exe)和運行批處理文件(.bat文件)����。具體方法:新建一個雙字節(jié)(REG_DWord)執(zhí)行 HKEY_CURRENT_USER\Software\PolicIEs\ Microsoft\Windows\System\DisableCMD,修改其值為1��,命令解釋器和批處理文件都不能被運行��。修改其值為2���,則只是禁止命令解釋器的運行,反之將值改為0�����,則是打開CMS命令解釋器����。假如您賺手動太麻煩的話,請將下面的代碼保存為*.reg文件,然后導入���。
7.對一些以System權限運行的系統(tǒng)服務進行降級處理�。(諸如:將Serv-U�����、Imail���、IIS���、Php、Mssql���、Mysql等一系列以 System權限運行的服務或者應用程序換成其它administrators成員甚至users權限運行�����,這樣就會安全得多了…但前提是需要對這些基本運行狀態(tài)、調用API等相關情況較為了解. )
作者: shang2010 時間: 2017-07-19 15:53
linux用户是不是可以藐视本文了么
作者: vcdtwo 時間: 2017-07-20 22:37
說的好,有沒有l(wèi)inux版本的
作者: woxizishen 時間: 2017-09-12 08:16
1 樓主第一個思路屏蔽端口是可以用于linux的����,至于第二個思路純粹是windows操作了
2.至于第二個方法其實是初級管理員才會做的工作,這種替換文件的方法����,對于帶網(wǎng)絡感染和自身復制的病毒,一點用處都沒用�,還大量耗費人工時間,要是管理windows服務器上百臺你還讓不讓人活�����,要是沒有saltstack這類工具幫忙�����,估計得哭死�����。
比如威金��,現(xiàn)在變種威金一旦中毒后�,會大量下載木馬程序和攻擊程序�����,對整個內網(wǎng)進行攻擊���,雖然現(xiàn)在windows7以上系統(tǒng)在這一塊安全提高不少,但是像碰到敲詐勒索軟件��,微軟也只能通過打補丁解決����。其實微軟最大的共享漏斗就是他那個破server服務進程,這是我一直認為最垃圾的服務�,不知道微軟故意留bug還是怎樣。這是很多病毒喜歡攻破的地方���,一旦攻破����,就能讓病毒在整個內網(wǎng)甚至互聯(lián)網(wǎng)傳播�。要把微軟一些服務給禁止,這才是王道���,最小化服務啟動原則才是最安全的�����。
| 歡迎光臨 Chinaunix (http://72891.cn/) |
Powered by Discuz! X3.2 |