6月21日下午3点,天津市软件行业协会互联网应用分会第五期周研讨例会开始,官方QQ群:39241075,本期研讨由站长网www.admin5.com、中国红盟www.admin5.com、中国红盟www.redhacker.cn合作进行,主题:网络安全之网络侵入。
互联 刘维君(老麦296128095)
各位好!按照预定计划,今天下午举行关于网络侵入的研讨,仍然由红客联盟 主讲。有什么问题大家可以交流,方式依然是由嘉宾讲30分钟,然后大家讨论。
是中国红客联盟(www.redhacker.cn)CEO,《红客风云》作者,著有《解读红客-内幕大曝光》。
中国红盟 SharpWinner
都在吧?我们的培训现在开始,大家的网站有被黑客入侵过吗?……
看来现在的黑客很猖狂啊,大家都知道网站是怎么被黑客入侵的吗?
刚才简单做了个调查,大家网站被入侵的情况发生得比较多,而且也有部分站长知道黑客是怎么入侵的,现在也有不少PHP站点也受到黑客的入侵,网上也有很多针对PHP渗透的各种工具。
那现在我们先来让大家知道黑客有哪些网站的入侵技术
sql注入漏洞的入侵
这种是ASP+ACCESS的网站入侵方式,通过注入点列出数据库里面管理员的帐号和密码信息,然后猜解出网站的后台地址,然后用帐号和密码登录进去找到文件上传的地方,把ASP木马上传上去,获得一个网站的WEBSHELL。
然后还有一种SQL注入漏洞的入侵方式,那就是ASP+MSSQL的网站入侵方式。 MSSQL通常会给用户分配一个帐号,帐号的权限分为三种sa,dbowner,public,sa权限最高,public最低。
以前有很多数据库都给SA权限 ,特别是一些韩国的网站,一扫一大把都是SA权限的,现在大部分网站都是给DBOWNER权限。
如果是SA权限的网站,注入点,那么可以直接用数据库的存储扩展XP_CMDSHELL来执行系统命令,建立一个系统帐号,然后通过3389登录进去。或者上传一个NC程序,然后用NC反连回来,获取一个远程的SHELL权限,当然利用SA注入点入侵的方法还有很多种,我这里就不一一讲解。
如果是DB_OWNER权限的话,那么就要用到差异化备份的技术来备份出一个WEBSHELL,这个前提是需要知道网站的绝对路径。然后还有一种方法就是利用DB_OWNER权限来列出数据库里面网站管理员的帐号和密码,然后登录到网站后台里面,看看有没有可利用的地方,比如上传文件,备份数据库之类的功能,然后利用漏洞上传ASP木马上去。这种登录后台的技术跟前面ASP+ACCESS的入侵方式很类似。
所以大家要清楚的是,黑客技术是一套一套的。比如有A,B,C是入侵技术的三个部分,还有A1,B1,C1是另外一种入侵技术的三个部分,那么根据实际情况,有可能会搭配进行,如可以用A,B1,C ,也可以用A1,B1,C,这样可以搭配出好几种入侵方式,所以黑客入侵是千变万化,大家要知道的是万变不离其中,黑客的目的就是要利用网站以及服务器可能存在的漏洞或者配置的错误来达到控制服务器和网站的目的。
现在再来讲解第三种黑客入侵技术
ASP上传漏洞的利用:这种技术方式是利用一些网站的ASP上传功能来上传ASP木马的一种入侵方式。不少网站都限制了上传文件的类型,一般来说ASP为后缀的文件都不允许上传,但是这种限制是可以被黑客突破的。黑客可以采取COOKIE欺骗的方式来上传ASP木马,获得网站的WEBSHELL权限。
前面我们讲到过,通过登录系统后台来进行入侵的技术,后台数据库备份方式获得WEBSHELL就是其中之一, 这个主要是利用网站后台对ACCESS数据库进行数据库备份和恢复的功能,备份数据库路径等变量没有过滤导致可以把任何文件的后缀改成ASP 。那么利用网站上传的功能上传一个文件名改成JPG或者GIF后缀的ASP木马,然后用这个恢复库备份和恢复的功能把这个木马恢复成ASP文件,从而达到能够获取网站WEBSHELL控制权限的目的。
下面来讲解网站旁注入侵技术:这种技术是通过IP绑定域名查询的功能查出服务器上有多少网站,然后通过一些薄弱的网站实施入侵,拿到权限之后转而控制服务器的其它网站。
我刚才不是用例子来形容入侵的三个过程吗?刚才讲的这个旁注应该算是入侵过程中的A ,一个入侵技术的整个流程应该是这样的:首先进行目标信息的收集,这个是A;然后对信息当中的漏洞进行利用,拿到一定的权限,并提升成为最高权限,这是B,被称为入侵实施;第三步就是要埋后门,以方便黑客下次进入;最后一步就是清除踪迹,让别人很难查到网站是怎么被入侵的额。
网站旁注入侵实质上是进行目标侦测的阶段,旁注是侦测手段,后面的入侵是入侵实施阶段。
好,我们现在再继续往下讲
提交一句话木马的入侵方式
这种技术方式是对一些数据库地址被改成asp文件的网站来实施入侵的。黑客通过网站的留言版,论坛系统等功能提交一句话木马到数据库里面,然后在木马客户端里面输入这个网站的数据库地址并提交,就可以把一个ASP木马写入到网站里面,获取网站的WEBSHELL权限。
然后现在网上有很多人用一些免费的论坛代码,网站代码,博客系统代码,这些免费的代码是很容易被黑客利用的,所以建议大家在用之前把相应的补丁都打上。
论坛漏洞利用入侵方式
这种技术是利用一些论坛存在的安全漏洞来上传ASP木马获得WEBSHELL权限,最典型的就是,动网6.0版本,7.0版本都存在安全漏洞,拿7.0版本来说,注册一个正常的用户,然后用抓包工具抓取用户提交一个ASP文件的COOKIE,然后用明小子之类的软件采取COOKIE欺骗的上传方式就可以上传一个ASP木马,获得网站的WEBSHELL。
GOGLE HACKing技术
这种技术方式是用GOOGLE来搜索一些存在安全漏洞的网站,我们简单列出GOOGLE的一些语法的使用方法:
intext:
这个就是把网页中的正文内容中的某个字符做为搜索条件.例如在google里输入:intext:红盟.将返回所有在网页正文部分包含"红盟"的网页
.allintext:使用方法和intext类似.
intitle:
和上面那个intext差不多,搜索网页标题中是否有我们所要找的字符.例如搜索:intitle:红客.将返回所有网页标题中包含"红客"的网页.同理allintitle:也同intitle类似.
cache:
搜索google里关于某些内容的缓存,有时候也许能找到一些好东西哦.
define:
搜索某个词语的定义,搜索:define:hacker,将返回关于hacker的定义.
filetype:
这个我要重点推荐一下,无论是撒网式攻击还是我们后面要说的对特定目标进行信息收集都需要用到这个.搜索指定类型的文件.例如输入:filetype:
doc.将返回所有以doc结尾的文件URL.当然如果你找.bak、.mdb或.inc也是可以的,获得的信息也许会更丰富:)
:filetype:doc.将返回所有以doc结尾的文件URL.当然如果你找.bak、.mdb或.inc也是可以的,获得的信息也许会更丰富
info:
查找指定站点的一些基本信息.
inurl:
搜索我们指定的字符是否存在于URL中.例如输入:inurl:admin,将返回N个类似于这样的连接:,用来找管理员登陆的URL不错.allinurl也同inurl类似,可指定多个字符。
link:
例如搜索:inurl:www.jz5u.com可以返回所有和www.jz5u.com做了链接的URL.
site:
这个也很有用,例如:site:www.jz5u.com将返回所有和jz5u.com这个站有关的URL.
对了还有一些*作符也是很有用的:
+ 把google可能忽略的字列如查询范围
- 把某个字忽略
~ 同意词
. 单一的通配符
* 通配符,可代表多个字母
"" 精确查询
现在简单来讲解一些实例:
对于一些黑客来说,获取密码文件是他们最感兴趣的,那么可以在GOOGLE上搜索以下内容:
intitle:"index of" etc
intitle:"index of" passwd
intitle:"index of" pwd.db
intitle:"index of" etc/shadow
intitle:"index of" master.passwd
intitle:"index of" htpasswd
这样就会有很多一些服务器的重要密码文件没有任何保护的暴露在网络上,黑客就会利用这些密码来获取系统的一些权限。
以上黑客通过WEB的入侵技术我们只是做了简单的介绍,目的是希望大家对黑客技术有一定的了解,但不希望大家利用这些技术来实施入侵。我想大家就很想知道对于这么多形形***的入侵方式,有些什么好的防御方法
那下面我们就来讲讲怎样来防御基于WEB的各种攻击
好了,那我们现在来讲讲,我们怎么来做网站和服务器的安全防范工作
防范WEB入侵有两种方式,一种是用技术手段来防御攻击,另一种是用安全软件来防御攻击。
手动的方式来防范基于WEB的入侵
1安装补丁
安装好操作系统之后,首先要做的就是要安装系统的各种补丁程序,配置好网络之后,如果是WIN 2000的操作系统就装上SP4,WIN 2003就安装好SP1,然后点击WINDOWS update,安装好所有关键的更新。
2安装杀毒软件
杀毒软件我们现在主要推荐使用两款:卡巴斯基和瑞星。这两款杀毒软件我们做过N多测试,结果表明卡巴斯基的杀查能力要强过瑞星,很多做过免杀的木马过得了瑞星但是确逃不过卡巴斯基的法眼,当然卡巴斯基也不是百分百所有病毒都能查杀,一些木马程序也是能做出过卡巴斯基的免杀。只不过卡巴斯基在所有杀毒软件当中查杀能力还算是不错的。
3设置端口的安全保护功能
端口保护的方式有两种,一种是TCP/IP筛选里面进行端口设置,另外一种系统自带的防火墙(我们以WINDOWS 2003操作系统为准,现在大部分的网站都使用的是WINDOWS 2003操作系统。)。
4 TCP/IP筛选的端口设置方式
在“网上邻居”上选右键点开“属性”,然后在“本地连接”上右键点开“属性”,选择“Internet协议(TCP/IP)”点“属性”,然后在弹出的“Internet协议(TCP/IP)属性”框里选择“高级”,然后在“高级TCP/IP设置”框里选择“选项”,然后选择“TCP/IP筛选”后点击“属性”,然后在弹出的“TCP/IP筛选”的框里勾上“启用TCP/IP筛选(所有适配器)”,选择只允许,然后点击添加你所需要开放的端口。
5自带防火墙的端口设置
通过WINDOWS 2003操作系统自带的防火墙来进行端口设置比较灵活,不用重新启动服务器。我们开始设置,在“网上邻居”上选右键点开“属性”,然后在“本地连接”上右键点开“属性”,在弹出的框里选择“高级”,选择“Internet连接防火墙”点击设置,这样就会弹出“WINDOWS 防火墙”的框。我们选择“启用”,然后点“例外”,在这个里面我们可以选择“添加程序”和“添加端口”的方式来设置一些开放的端口。有一点需要特别注意,如果是远程连接服务器的,要注意远程虚拟终端的端口一定要开放。
6目录的安全设置
包括系统盘在内的所有磁盘只给Administrators和SYSTEM的完全控制权限。
C:\ Documents and Settings 目录只给Administrators和SYSTEM的完全控制权限。
C:\Documents and Settings\All Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限。C: \Inetpub 目录及下面所有目录、文件只给 Administrators 组和 SYSTEM 的完全控制权限。C:\Windows目录除了给Administrators和SYSTEM的完全控制权限之外,还需要给CREATOR OWNER用一个“特别的权限”,Power Users用户组除了完全控制之外的所有权限,Users用户组“读取和运行”,“列出文件夹目录”,“读取”的权限。C:\Windows目录的这些权限设置是非常重要的,如果除了Administrators和SYSTEM的完全控制权限之外的那些权限没有设置,那么系统重启后,很多系统服务都不能正常使用。
C: \Windows\System32\cacls.exe、cmd.exe、net.exe,、net1.exe 文件只给 Administrators 组和 SYSTEM 的完全控制权限。
7 IIS控制帐号的权限分配
现在黑客的入侵技术当中,有一种技术叫网站旁注入侵,这种技术方式上面黑客入侵技术环节已经讲过了,是通过服务器里面一个有漏洞网站的来实施入侵,成功获取权限之后转而控制其它网站。那大家就想知道这个问题是由于什么原因导致的。原来IIS对于远程的普通用户访问是设置了一个专用的“IUSR_机器名”的帐号。那么正因为IIS用“IUSR_机器名”的帐号来管理所有网站访问权限,因此黑客就可以用到这种旁注入侵技术了。那么我们怎么来解决这个问题?很简单,我们给每个网站分别设置一个单独的IIS控制帐号,IIS控制帐号的权限设为GUESTS组就可以。这样即使黑客通过服务器的一个网站拿到权限,那他也只有这个网站的权限,服务器其它网站他都没有权限可以访问,黑客对服务器破坏的风险降低了,那么安全就相对提高了。
8注入漏洞的修补以及上传文件类型的限制
这两个部分是各位网站程序员所必须关注的,黑客对网站实施入侵的过程中,80%会用到网站的注入点和上传漏洞来实施入侵。注入漏洞的修补可以使用网上一些现成的修补代码,如ASP通用防注入组件,防注入代码完美版等,但是我们还是建议网站程序员稍微花点时间自己来写防注入代码,这样会比较安全可靠。上传文件类型的限制这个写起来也不难,只允许用户上传你们网站所要用到的文件类型,限制好文件类型,特别不要让ASP,ASA等扩展名的文件上传上来,然后对文件的头文件进行一个检查,发现有ASP木马特征的就限制上传。当然,现在的黑客越来越聪明,ASP木马大部分都使用一句话木马,然后还会对代码进行各种各样的变形处理来逃过网站的限制以及杀毒软件的查杀。对于这些免杀技术的木马用ASP代码的方式很难防范,最好使用安全产品来进行防御。
9 SQL权限的安全设置
ASP+MSSQL是黑客最感兴趣的网站,通常黑客能很轻松的利用MSSQL的漏洞拿到系统权限,因此这一块是大家要加以重视。
首先系统安装的时候,尽量不要默认安装到c:\Program files目录里面,然后安装好之后要打好SQL数据库最新的补丁程序。然后数据库不要放在默认的位置,接下来就要看网站是否需要远程登录sql服务器,我们建议能不用远程就不要用,如果必须使用的话,那建议大家可以把端口改成一个高端端口,这样黑客很难找到。
在做好安全安装的工作之后,就要把SA设置一个复杂的密码,然后把SQL里面的BUILTIN\Administrators用户组删除,这样是避免黑客以WINDOWS身份登录SQL。接着在企业管理器里面编辑SQL Server注册属性,选择使用“使用SQL Server身份验证”并勾选“总是提示输入登录名和密码”。
然后在增加用户的时候,只给public和db_owner权限。
添加用户
exec sp_addlogin 'abc'
使它变为当前数据库的合法用户
exec sp_grantdbaccess N'abc'
授予abc用户对数据库的db_owner权限
exec sp_addrolemember N'db_owner', N'abc'
最后我们就要删除一些黑客常用到的调用SHELL,操作注册表,调用COM组件的权限。
打开查询分析器,输入:
use master
exec sp_dropextendedproc 'xp_cmdshell'
exec sp_dropextendedproc 'Sp_OACreate'
exec sp_dropextendedproc 'Sp_OADestroy'
exec sp_dropextendedproc 'Sp_OAGetErrorInfo'
exec sp_dropextendedproc 'Sp_OAGetProperty'
exec sp_dropextendedproc 'Sp_OAMethod'
exec sp_dropextendedproc 'Sp_OASetProperty'
exec sp_dropextendedproc 'Sp_OAStop'
exec sp_dropextendedproc 'Xp_regaddmultistring'
exec sp_dropextendedproc 'Xp_regdeletekey'
exec sp_dropextendedproc 'Xp_regdeletevalue'
exec sp_dropextendedproc 'Xp_regenumvalues'
exec sp_dropextendedproc 'Xp_regread'
exec sp_dropextendedproc 'Xp_regremovemultistring'
exec sp_dropextendedproc 'Xp_regwrite'
drop procedure sp_makewebtask
点击菜单上“查询”里面的“执行”,这样就可以把这些会被黑客利用的权限删除掉。
刚才我们把服务器的安全防范技巧跟大家进行了讲解
那么,现在我们进入自由问答时间
站长:linux应该注意什么?
中国红盟 SharpWinner:简单来说,现在LINUX系统层面的漏洞不多了,更多的还是应用层面,包括APACHE+PHP+MYSQL这几个方面所存在的安全问题
站长:生成html安全性是不是也管些用
中国红盟 SharpWinner:嗯,静态页面黑客很难入侵
站长:你觉得现在程序方面最强壮的BBS是哪个?DZ吗?
中国红盟 SharpWinner:其实现在很多BBS都有地下的0DAY漏洞,相对而言,PHP的论坛要比ASP的安全,0day指的是未公开的漏洞
站长:被挂了以后怎么办?
中国红盟 SharpWinner:被挂马之后,最好把网站停掉,然后仔细检查,最好用一些工具来配合检查 ,可以检查网站被改动的文件
互联 刘维君(老麦296128095):中国做红客的人是值得尊敬的,虽然他们的人数越来越少了。
中国红盟 SharpWinner:嗯,现在是我们蛰伏的阶段,今年我们会通过一系列的宣传活动来给红客注入新的思想,新的文化,《红客风云》的出版将是我们非常重要的一个文化传播的方式,今年下半年我们会将这两年宣传得比较多的《红客风云》出版,书里面讲的是中国红客为保护国家利益与国外间谍势力进行斗争的故事。
TAG:中国红盟