■ 河南 劉景云
編者按:筆者單位的一臺(tái)服務(wù)器遭到了黑客入侵,黑客通過(guò)非法提權(quán)和網(wǎng)頁(yè)掛馬等手段,將運(yùn)行在其中的網(wǎng)站變得面目全非。該機(jī)是一臺(tái)相對(duì)較老的機(jī)器,上面安裝的是Windows Server 2003 R2系統(tǒng)。考慮到在一些企業(yè)中還運(yùn)行著不少Windows Server 2003服務(wù)器,完全可以滿足一定的業(yè)務(wù)需求。所以需要增加其安全性,使其避開黑客襲擾,更好的為企業(yè)服務(wù)。
為了保護(hù)系統(tǒng)正常運(yùn)行,最好將各種危險(xiǎn)的端口全部封閉,不給黑客以可乘之機(jī)。使用IP安全策略,可以手動(dòng)的封鎖危險(xiǎn)的端口。
例如,運(yùn)行“gpedit.msc”程序,在組策略編輯器左側(cè)打開“計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→IP安全策略”項(xiàng),在右側(cè)窗口中右擊“創(chuàng)建IP安全策略”項(xiàng),在向?qū)Т翱谥悬c(diǎn)擊“下一步”按鈕,設(shè)置策略名稱和描述信息。在下一步窗口中取消“激活默認(rèn)響應(yīng)規(guī)則”項(xiàng)的選擇狀態(tài)。雙擊剛才創(chuàng)建的IP策略,在彈出窗口取消“使用添加向?qū)А表?xiàng)的選擇狀態(tài)。
點(diǎn)擊“添加”按鈕,在彈出窗口中的“IP篩選器列表”面板中點(diǎn)擊“添加”按鈕,輸入本篩選器名稱和描述信息。點(diǎn)擊“添加”按鈕,同樣不選擇“使用添加向?qū)А表?xiàng)。繼續(xù)點(diǎn)擊“添加”按鈕,在“尋址”面板的“源地址”列表中選擇“任何IP地址”,在“目標(biāo)地址”列表中選擇“我的IP地址”項(xiàng)。在“協(xié)議”面板中的“選擇協(xié)議類型”列表中選擇“TCP”,先選擇“從任意端口”項(xiàng),再選擇“到此端口”項(xiàng),將端口設(shè)定為135,之后完成本篩選器創(chuàng)建操作。在“IP篩選器列表”面板選擇上述篩選器項(xiàng),在“篩選器操作”面板中點(diǎn)擊“添加”按鈕,選擇“阻止”項(xiàng)。
完成本IP安全策略的創(chuàng)建操作以后,只要在該IP策略項(xiàng)的右鍵菜單上點(diǎn)擊“指派”項(xiàng),就可以激活保護(hù)動(dòng)作,別人就無(wú)法連接TCP 135端口了。
不過(guò),單純依靠手工操作比較繁瑣,可以利用預(yù)設(shè)的策略文件來(lái)實(shí)現(xiàn)批處理要求。
例如,可以下載“l(fā)ockp Port.ipsec”文件,選擇上述“IP安全策略”項(xiàng),在右側(cè)窗口中右擊選擇“所有任務(wù)→導(dǎo)入策略”項(xiàng),選擇“l(fā)ockp Port.ipsec”文件后將其導(dǎo)入進(jìn)來(lái)。之后雙擊“客戶端(僅相應(yīng))”項(xiàng),在其屬性窗口中可以看到被封鎖的端口信息。
在“客戶端(僅相應(yīng))”項(xiàng)的右鍵菜單上點(diǎn)擊“指派”項(xiàng),激活該策略。
可運(yùn)行“compmgmt.msc”程序,在計(jì)算機(jī)管理窗口左側(cè)選擇“本地用戶和組→用戶”項(xiàng),在“Administrator”用戶的右鍵菜單上點(diǎn)擊“設(shè)置”密碼項(xiàng),為其設(shè)置盡可能復(fù)雜的密碼。
在組策略管理器中打開“計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→本地策略→安全選項(xiàng)”項(xiàng),雙擊“賬戶:重命名系統(tǒng)管理員賬戶”項(xiàng),為Administrator設(shè)置新的名稱(例如“newuser01”)。然后雙擊“交互式登錄:不顯示上次的用戶名”項(xiàng),選擇“已啟用”。選擇“用戶配置→管理模版→系統(tǒng)”項(xiàng),雙擊“阻止訪問(wèn)注冊(cè)表編輯工具”項(xiàng),選擇“已啟用”項(xiàng),分支非法操作注冊(cè)表。
通過(guò)運(yùn)行“secpol.msc”程序,選擇“本地策略→用戶權(quán)限分配”項(xiàng),雙擊“通過(guò)終端服務(wù)允許登錄”項(xiàng),點(diǎn)擊“刪除”按鈕,將預(yù)設(shè)的賬戶全部刪除。點(diǎn)擊“添加用戶或組”按鈕,添加更名后的管理員賬戶。雙擊“通過(guò)終端服務(wù)拒絕登錄”項(xiàng),點(diǎn)擊“添加用戶或組”按鈕,在選擇對(duì)象或組窗口中的“選擇對(duì)象類型”欄中確保選中“用戶或內(nèi)置安全主體”項(xiàng)。
點(diǎn)擊“高級(jí)→搜索”按鈕,依次將“LOCALl SERVICE”“ANONYOUS LOGON” “BATCH”“CREATOR GROUP” “DIALUP”“TERMINAL SERVER USER”“SYSTEM”等對(duì)象添加進(jìn)來(lái)。這樣設(shè)置益處很多,例如即使黑客在本地創(chuàng)建了賬戶,也無(wú)法通過(guò)終端服務(wù)登錄。為了避免黑客發(fā)現(xiàn)本機(jī)開啟了終端服務(wù),可以運(yùn)行華盾3389修改器之類的工具,將其設(shè)置不常見的端口,來(lái)避開黑客的掃描探測(cè)。
當(dāng)然,為了防止黑客利用系統(tǒng)漏洞進(jìn)行滲透,可以借助于WSUS服務(wù),或者使用安全工具為系統(tǒng)打上各種補(bǔ)丁。也可以運(yùn)行Windows優(yōu)化大師,在其左側(cè)選擇“系統(tǒng)安全優(yōu)化”項(xiàng),在右側(cè)的“分析及處理選項(xiàng)”欄中選擇“掃描木馬程序” “掃描蠕蟲病毒” “常見病毒檢查和免疫”“關(guān)閉445端口” “啟用自動(dòng)抵御SYN攻擊” “啟用自動(dòng)抵御ICMP攻擊” “啟用自動(dòng)抵御SNMP攻擊” “啟用AFD.SYS” “禁止本機(jī)相應(yīng)網(wǎng)絡(luò)請(qǐng)求發(fā)布自己的NetBIOS名稱”“減少連接有效性驗(yàn)證間隔時(shí)間”等項(xiàng)目,點(diǎn)擊“分析處理”按鈕,來(lái)啟動(dòng)對(duì)應(yīng)的保護(hù)項(xiàng)目,以保護(hù)系統(tǒng)安全。
選擇“禁止用戶建立空連接” “禁止系統(tǒng)自動(dòng)啟用服務(wù)器共享” “禁止自動(dòng)登錄” “開機(jī)自動(dòng)進(jìn)入屏幕保護(hù)” “每次退出系統(tǒng)(注銷系統(tǒng))時(shí),自動(dòng)清除文檔歷史記錄” “禁止光盤,U盤等所有磁盤自動(dòng)運(yùn)行”等項(xiàng)目,點(diǎn)擊“優(yōu)化”按鈕,來(lái)提高系統(tǒng)安全性。
為了快速設(shè)置系統(tǒng)安全性,可以運(yùn)行Windows 2003 Server安全自動(dòng)化設(shè)置程序,在其操作界面中只需點(diǎn)擊“0”鍵,就可以依次執(zhí)行設(shè)置系統(tǒng)盤權(quán)限并優(yōu)化系統(tǒng),刪除C盤所有Users權(quán)限,設(shè)置C盤EXE文件安全,刪除SQL Server危險(xiǎn)存儲(chǔ)過(guò)程,封閉135、445端口,刪除注冊(cè)表危險(xiǎn)項(xiàng),刪除服務(wù)器的網(wǎng)絡(luò)共享,停止無(wú)用的系統(tǒng)服務(wù),清理系統(tǒng)的垃圾文件等操作。
運(yùn)行易方安全設(shè)置程序,在其中選擇“磁盤安全設(shè)置” “網(wǎng)站主目錄安全設(shè)置”“系統(tǒng)安全設(shè)置” “Serv-U安全設(shè)置” “PHP安全設(shè)置”“MySQL安全設(shè)置” “Winweb Mail安全設(shè)置”項(xiàng),點(diǎn)擊“開始設(shè)置”按鈕,就可以毫不費(fèi)力地完成所需的安全配置操作。
為了防止黑客利用系統(tǒng)自帶的工具提權(quán),可以對(duì)其進(jìn)行必要的控制。
例如,進(jìn)入“c:windowssystem32”目錄,選擇“net.exe”程序,在其屬性窗口中的“安全”面板中點(diǎn)擊“刪除”按鈕,將“SYSTEM”之后的賬戶或組全部刪除,點(diǎn)擊“添加”按鈕,導(dǎo)入上述更名后的管理員賬戶。對(duì)“SYSTEM”賬戶只保留“讀取和運(yùn)行”和“讀取”權(quán)限。
對(duì)應(yīng)地,可對(duì)“net1.exe”“ftp.exe” “sc.exe” “cacls.exe”“attrib.exe”以及“at.exe”等容易被黑客利用的程序進(jìn)行同樣的配置。
為黑客經(jīng)常使用“cmd.exe”程序進(jìn)行非法提權(quán),所以需要對(duì)其嚴(yán)格控制。例如,可以在屬性窗口中的“安全”面板中將所有的賬戶全部清除。點(diǎn)擊“應(yīng)用”按鈕,在彈出的警告窗口中點(diǎn)擊“確定”按鈕,保存設(shè)置信息。
之后,“cmd.exe”程序就處于禁用狀態(tài),不管是任何用戶試圖調(diào)用該程序,系統(tǒng)都會(huì)彈出“無(wú)法訪問(wèn)指定設(shè)備,路徑或文件,您可能沒(méi)有合適的權(quán)限訪問(wèn)這個(gè)項(xiàng)目”的提示,使其無(wú)法操作該程序。
當(dāng)然,為了自己實(shí)際需要,也可以創(chuàng)建專用的賬戶,將其單獨(dú)添加到“cmd.exe”文件安全面板中的“組或用戶”列表中,便于您使用命令行窗口。
為了防止SYSTEM賬戶訪問(wèn)“cmd.exe”程序,可以在注冊(cè)表編輯器中打開“HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWin dowsSystem”分支,如果沒(méi)有對(duì)應(yīng)的子健則需要手工建立。在窗口右側(cè)新建名稱為“DisableCMD”類型為DWORD的項(xiàng)目,將其值設(shè)置為“1”,可以禁止命令解釋器和批處理文件的運(yùn)行。
經(jīng)過(guò)以上設(shè)置之后,即使黑客對(duì)系統(tǒng)進(jìn)行遠(yuǎn)程溢出攻擊,但是在調(diào)用CMD Shell接口時(shí)會(huì)遭到系統(tǒng)攔截,使其無(wú)法對(duì)獲得有效的控制權(quán)。當(dāng)黑客通過(guò)某些漏洞實(shí)施系統(tǒng)遠(yuǎn)程溢出攻擊后,就會(huì)利用獲得遠(yuǎn)程CMD Shell接口執(zhí)行各種危險(xiǎn)的命令,例如添加賬戶、上傳文件、激活木馬等。
如果能夠?qū)⒑诳蛨?zhí)行的所有命令記錄下來(lái),就可以了解其對(duì)系統(tǒng)進(jìn)行了哪些入侵行為,進(jìn)而將其入侵影響消除。例如,刪除木馬,清除非法賬戶等。還可以以此來(lái)順藤摸瓜,了解系統(tǒng)存在哪些安全隱患,將其及時(shí)堵上。
使用CMD命令記錄器,就可以輕松實(shí)現(xiàn)上述功能。點(diǎn)擊“Windows+R”組合鍵,執(zhí)行“cmd.exe”程序,在其中執(zhí)行“ren c:windowssystem 32cmd.exe cm_.exe”命令,將原來(lái)的“cmd.exe”文件更名為“cm_.exe”。如果系統(tǒng)出現(xiàn)文件保護(hù)界面,需要點(diǎn)擊“取消”按鈕,讓更名得以順利進(jìn)行。
當(dāng)然也可以在安全模式,Windows PE等環(huán)境中進(jìn)行更名操作。將下載的“CmdPlus.rar”壓縮包解壓到“c:windowssystem32”目錄中。將其中的“cmdplus.exe”更名為“cmd.exe”,替換原來(lái)的“cmd.exe”程序。
之后,如果黑客對(duì)本機(jī)遠(yuǎn)程溢出得手,執(zhí)行的所有命令全部經(jīng)由“cmdplus.exe”程序,通過(guò)匿名管道傳送給“cm_.exe”程序去執(zhí)行,并將其完整記錄下來(lái)。
打開“c:windowssys tem32”目錄下的“history.txt”文件,可以看到CMD記錄信息的所有內(nèi)容。當(dāng)然,您自己使用的話,可以直接執(zhí)行“cm_.exe”程序,來(lái)操作各種命令。