2023年6月24日发(作者：)

弱口令解决方案

篇一：常见终端问题解决方案和整改方法

问题一：猜测出远程可登录的SMB/Samba用户名口令

弱密码示例：

扫描原理：通过SMB协议，匹配弱密码字典库，对终端用户和口令，进行扫描。

产生原因：终端存在SMB自建共享或者开启SMB默认共享导致，同时系统用户存在弱口令。 验证方法：

（1）使用命令net use ipipc$ password /u:username进行弱密码登录尝试，若登录成功，则该账号一定存在。

（2）该账号可能在―计算机管理‖中不存在，因为该账号可能为克隆账号、隐藏账号或者某程序产生的账号。

（3）也存在计算机已经中毒的可能。

《注释》

判断计算机是否存在隐藏账号的方法：

1. 打开注册表编辑器，展开HKEY_LOCAL_MACHINESAMSAM，修改SAM权限 为administrator完全控制。

2. 按F5刷新1

注册表，展开 HKEY_LOCAL_MACHINESAMSAMDomainsaccountusernames，对比用户列表和计算机管理中的用户列表是否相同，如果存在多余的，则为隐藏账号。 加固方法：

杀毒

使用net use ipipc$ /del，进行删除

如果可以关闭Server服务，建议关闭Server服务

更改计算机系统用户密码，设置足够密码强度的口令

关闭自建共享

问题二：SMB漏洞问题

漏洞示例：

利用SMB会话可以获取远程共享列表

主机SID信息可通过SMB远程获取

利用主机SID可以获取本地用户名列表

扫描原理：通过SMB服务（主要端口为135.445）对被扫描系统，进行信息获取 产生原因：终端存在SMB自建共享或者开启SMB默认共享导致。

加固方法：

如果可以关闭Server服务，建议关闭Server服务

修改本地安全策略，如：

? 利用SMB会话可以获取远程共享列表–启用―不允许匿名列举SAM帐号和共享‖ ? 主机SID信息可通过SMB远程获取 –更改―对匿名连接的额外限制‖为―

2 没有显式匿名权限

就无法访问‖

? 利用主机SID可以获取本地用户名列表–启用―允许匿名 SID/名称转换‖ 通过防火墙过滤端口135/TCP、139/TCP、445/TCP、135/UDP、137/UDP、138/UDP、445/UDP，过滤方法如下： 进入―控制面板-系统和安全-windows 防火墙-左侧高级设置‖，打开―高级安全防火墙‖，右键―入站规则‖-新建规则。 进入―规则类型‖页面，选择―要创建的规则类型‖为―端口‖，点击―下一步‖。 进入―协议和端口‖页面，选择―TCP规则‖，并在―特定本地端口‖中输入要屏蔽的端口（如：135、139、445、1025），点击―下一步‖。 进入―操作‖页面，选择―阻止链接‖，点击―下一步‖。 进入―配置文件‖页面，选中―域、专用、公用‖，点击―下一步‖。 进入―名称‖页面，输入一个名称，如―网络端口屏蔽‖

问题三：自建共享的问题

3 漏洞示例：

存在可写共享目录

存在可访问的共享目录

猜测出远程可登录的SMB/Samba用户名口令

产生原因：终端用户自建了共享，且共享目录的权限为可访问、可写

加固方法：

关闭自建共享

更改共享文件的权限，取消everyone权限

问题四：SNMP口令问题

漏洞示例：

SNMP服务存在可读口令

SNMP服务存在可写口令

产生原理：通过UDP 161 端口获取被测系统信息。同时所谓可读，可写是针对RO权限和RW权限所对应的，因为SNMP代理服务可能存在默认口令。如果您没有修改这些默认口令或者口令为弱口令，远程攻击者就可以通过SNMP代理获取系统的很多细节信息。

相关服务：

? SNMP Service：使简单网络管理协议(SNMP)请求能在此计算机上被处理。如果此服务停止，计算机将不能处理SNMP 请求。如果此服务被禁用，所有明确依赖它的服务都 4 将不能启动。 SNMP Trap：接收本地或远程简单网络管理协议(SNMP) 代理程序生成的陷阱消息并将消息转发到此计算机上运行的SNMP 管理程序。如果此服务被停用，此计算机上基于SNMP 的程序将不会接收SNMP trap 消息。如果此服务被禁用，任何依赖它的服务将无法启动。 加固方法： 如非必须，建议关闭

SNMP

XP关闭方法：控制面板-?―添加或删除程序‖-?―添加/删除Windows组件‖-?―管理和监视工具‖，双击打开，取消―简单网络管理协议. Windows 7关闭方法：控制面板-?―添加或删除程序‖-?―打开或关闭winows功能‖，取消―简单网络管理协议. 如为必须，请修改SNMP的―团体名称‖ 打开―服务‖?选择―SNMP server‖?右键―安全‖-?添加团体名称 修改端口号或者防火墙屏蔽

问题五：FTP相关漏洞问题

漏洞示例：

猜测出远程FTP服务存在可登录的用户名口令

远程FTP服务器根目录匿名可写

5 产生原理：使用TCP 21号端口，进行FTP相关漏洞的扫描

加固方法：

如果FTP为非必须，建议关闭FTP服务

如果FTP为业务需要，建议修改ftp 若口令

Linux 下有两种弱密码，一个是ftp, 一个是anouymous帐号，对于anouymous帐号弱密

码，通过关闭默认帐号来实现。对于ftp帐号，由于此时ftp帐号是系统帐号，故需要通过passwd为ftp 设置密码

? 由于在windows下，ftp帐号使用的是系统帐号，因此windows下ftp帐号的弱密码，也

就是系统帐号的弱密码。

? 针对漏洞―远程FTP服务器根目录匿名可写‖，使用命令chown root ~ftp &&chmod 0555

~ftp进行加固

问题六：Integard Home和Pro HTTP请求远程栈溢出漏洞

当前没有解决方案，可能是误报，一直在和总部沟通中，尚未找到解决方案。 问题七：远程协议相关漏洞

产生原因：利用TCP 3389端口对终端进行扫描，发现远程协议相关漏洞。

加固方法：

6

针对不同漏洞，下载不同补丁 如果远程协议服务不需要，建议关闭远程桌面协议 通过防火墙过滤3389端口 更改3389端口为一不常见端口

篇二：常见安全漏洞的处理及解决方法

相关名词解释、危害与整改建议

1、 网站暗链

名词解释

―暗链‖就是看不见的网站链接，―暗链‖在网站中的链接做的非常隐蔽，短时间内不易被搜索引擎察觉。它和友情链接有相似之处，可以有效地提高PR值。但要注意一点PR值是对单独页面，而不是整个网站。

危害：

网站被恶意攻击者插入大量暗链，将会被搜索引擎惩罚，降低权重值；被插入大量恶意链接将会对网站访问者造成不良影响；将会协助恶意网站（可能为钓鱼网站、反动网站、赌博网站等）提高搜索引擎网站排名。可被插入暗链的网页也意味着能被篡改页面内容。

整改建议：

7 加强网站程序安全检测，及时修补网站漏洞；

对网站代码进行一次全面检测，查看是否有其余恶意程序存在； 建议重新安装服务器及程序源码，防止无法到检测深度隐藏的恶意程序，导致重新安装系统后攻击者仍可利用后门进入。

2、网页挂马

名词解释

网页挂马是通过在网页中嵌入恶意程序或链接，致使用户计算机在访问该页面时触发执行恶意脚本，从而在不知情的情况下跳转至―放马站点‖（指存放恶意程序的网络地址，可以为域名，也可以直接使用IP地址），下载并执行恶意程序。

危害：

利用IE浏览器漏洞，让IE在后台自动下载黑客放臵在网站上的木马并运行（安装）这个木马，即这个网页能下载木马到本地并运行（安装）下载到本地电脑上的木马，整个过程都在后台运行，用户一旦打开这个网页，下载过程和运行（安装）过程就自动开始，从而实现控制访问者电脑或安装恶意软件的目的。

整改建议：

加强网站程序安全检测，及时修补网站漏洞；

对网站代码进行一次全面检测，查看是否有其余恶意程序存在； 建议重新安装服务器及程序源码，防止有深度隐藏 8 的恶意程序无法检测到，导致重新安装系统后攻击者仍可利用后门进入。

3、SQL注入

名词解释

SQL注入就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。 危害：

可能会查看、修改或删除数据库条目和表。严重的注入漏洞还可能以当然数据库用户身份远程执行操作系统命令。

整改建议：

补救方法在于对用户输入进行清理。通过验证用户输入，保证其中未包含危险字符，便可能防止恶意的用户导致应用程序执行计划外的任务，例如：启动任意SQL 查询、嵌入将在客户端执行的Javascript代码、运行各种操作系统命令，等等。

4、跨站点脚本

名词解释

跨站点脚本编制攻击是一种隐私违例，可让攻击者获取合法用户的凭证，并在与特定 Web 站点交互时假冒这位用户。

危害：

可能会窃取或操纵客户会话和cookie，它们可能用于模仿 9 合法用户，从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。 整改建议：

应对跨站点脚本编制的主要方法有两点：

不要信任用户的任何输入，尽量采用白名单技术来验证输入参数； 输出的时候对用户提供的内容进行转义处理。

5、弱口令

名词解释

弱口令指的是仅包含简单数字和字母的口令，例如―123‖、―abc‖等，因为这样的口令很容易被别人破解，从而使用户的计算机面临风险，因此不推荐用户使用。

危害：

在当今很多地方以用户名(帐号)和口令作为鉴权的世界，口令的重要性就可想而知了。

口令就相当于进入家门的钥匙，当他人有一把可以进入你家的钥

匙，想想你的安全、你的财物、你的隐私。

因为弱口令很容易被他人猜到或破解，所以如果你使用弱口令，就像把家门钥匙放在家门口的垫子下面，是非常危险的。

整改建议：

针对后台或者网络管理员的弱口令比较好解决，强制对所有的管理系统账号密码强度必须达到一定的级别。（如使用 10 数字+字母+特殊字符和大小写）。

6、任意文件下载

名词解释

利用路径回溯符―../‖跳出程序本身的限制目录实现下载任意文件。

危害：

可以实现下载服务任何文件。

整改建议：

在下载前对传入的参数进行过滤，直接将..替换成空，对待下载文件类型 进行检查，判断是否允许下载类型。

7、目录遍历漏洞

名词解释

通过目录便利攻击可以获取系统文件及服务器的配臵文件等等。 危害：

可能会查看 Web 服务器（在 Web 服务器用户的许可权限制下）上的任何文件（例如，数据库、用户信息或配臵文件）的内容。

整改建议：

防范目录遍历攻击漏洞，最有效的办法就是权限控制，谨慎处理传向文件系统API的参数。最好的防范方法就是组合使用下面两条：

1、净化数据：对用户传过来的文件名参数进行硬编码或 11 统一编码，对文件类型进行白名单控制，对包含恶意字符或者空字符的参数进行拒绝。

2、web应用程序可以使用chrooted环境包含被访问的web目录，或者使用绝对路径+参数来访问文件目录，时使其即使越权也在访问目录之内。www目录就是一个chroot应用。

8、phpinfo信息泄露

名词解释

通过Phpinfo文件泄露网站环境的详细信息。

危害：

phpinfo()函数返回的信息中包含了服务器的配臵信息，包括：1）PHP编译选项以及文件扩展名的相关信息；2）php的版本信息 3）php的配臵信息；4）数据库信息；等敏感信息。这些敏感信息会帮助攻击者展开进一步的攻击。

整改建议：

限制此类脚本的访问权限或者删除对phpinfo()函数的调用。

9、数据库下载

名词解释

直接通过浏览网页或输入url，下载网站的数据库。

危害：

通过下载数据库查看网站的关键信息、人员的敏感信息。

整改建议：

12 修改数据库文件名，数据库名前+―#‖。

篇三：网络安全解决方案

网络安全解决方案

WEB应用是当前业务系统使用最为广泛的形式。根据

Gartner 的调查，信息安全攻击有 75% 都是发生在 Web

应用层而非网络层面上。同时，数据也显示，2/3的WEB网站都相当脆弱，易受攻击。据美国国防部统计，每1000行Web代码中存在5~15个漏洞，而修补一个漏洞通常需要2~9小时。 根据CNCERT的最新统计数据，2007年CNCERT共接到网络安全事件报告4390件。2007年我国大陆被篡改网站总数达到了61228个，同比增长1.5倍;其中政府网站(.)被篡改3407个，占大陆被篡改网站的7%。CNCERT统计显示，大陆地区约有4.3万个IP地址主机被植入木马，约有362万个IP地址主机被植入僵尸程序。从以上数据可以看出，提高业务网站的安全防护，是保障业务正常进行的必然前提。

因此，对于影响力强和受众多的门户网站，需要专门的网页(主页)防篡改系统来保护网页和保障网站内容的安全。

政府门户网站的潜在风险

政府门户网站因需要被公众访问而暴露于因特网上，容易成为黑客的攻击目标。其中，黑客和不法分子对网站的网页(主页)内容的篡改是时常发生的，而这类事件对公众产生的 13 负面影响又是非常严重的，即：政府形象受损、信息传达失准，甚至可能引发信息泄密等安全事件。。网页篡改者利用操作系统的漏洞和管理的缺陷进行攻击，而目前大量的安全措施(如安装防火墙、入侵检测)集中在网络层上，它们无法有效阻止网页篡改事件发生。目前，政府门户网站常因以下安全漏洞及配置问题，而引发网页信息被篡改、入侵等安全事件：

1. 网站数据库账号管理不规范，如：使用默认管理帐号(admin，root，manager等)、弱口令等;

2. 门户网站程序设计存在的安全问题，网站程序设计者在编写时，对相关的安全问题没有做适当的处理，存在安全隐患，如SQL注入，上传漏洞，脚本跨站执行等;

3. WEB服务器配置不当，系统本身安全策略设置存在缺陷，可导致门户网站被入侵的问题;

4. WEB应用服务权限设置导致系统被入侵的问题;

5. WEB服务器系统和应用服务的补丁未升级导致门户网站可能被入侵的安全问题等。

政府门户网站安全防护解决方案

根据目前政府门户网站可能存在的安全隐患及风险，给政府门户网站提出如下安全防护解决方案：

在政府门户网站信息系统的Internet边界上或者WEB服务器的前端部署(转载于: 小 龙文档 网: 14 弱口令解决方案)KILL-WEB应用防火墙，并在Web防火墙上实施以下安全策略：

1. 对政府门户网站及网上系统进行全面的安全防护，过滤如SQL注入、跨站脚本等因传统防火墙不能防护的安全问题;

2.对政府门户网站进行WEB隐藏，避免利用扫描软件对其进行信息获取分析;

3.设置政府门户网站页面防篡改功能及恢复功能，避免恶意篡改页面;

4. 对门户网站进行应用层控制，限制部分用户上传文件及对敏感页面的访问;

5. 对访问门户网站信息系统网络进行安全监控以及审计，对可疑IP行为进行全面跟踪分析。

WEB应用防火墙的价值体现

1.彻底防御因网站篡改带来的负面影响

政府门户网站作为国家行政管理机构发布政策的窗口，其页面一旦被篡改将造成多种严重的后果。部署KILL-WEB应用防火墙，通过其缓存原始网站页面可有效防护其网页不被篡改。

2.彻底防御应用层针对WEB的攻击

KILL-WEB应用防火墙内置上千种WEB应用攻击特征库，可有效抵御各种已知的、针对WEB服务器的攻击行为， 15 保障政府门户网站系统的安全运行。

3. WEB应用的审计工具

KILL-WEB应用防火墙不但具有强大的防攻击、防篡改功能，还可通过其审计分析功能对过滤数据进行分析;对异常IP用户进行行为跟踪及对敏感用户进行过滤等。

4.即插即用保证业务连续性

KILL-WEB应用防火墙产品的部署十分便捷，无需改变现有的网络拓扑结构。安装后，只需简单的配置安全策略，就可为应用系统提供强大的安全防御，可保障政府门户网站的业务连续性。

网站安全检测

一、进行网站安全漏洞扫描

由于现在很多网站都存在sql注入漏洞，上传漏洞等等漏洞，而黑客通过就可以通过网站这些漏洞，进行SQL注入进行攻击，通过上传漏洞进行木马上传等等。所以网站安全检测很重要一步就是网站的漏洞检测。

扫描完后就可以查看网站所存在的漏洞和存在的网页，可以根据报告里面的建议进行漏洞修补，但请注意，在修改网页代码之前要先做好备份工作。 说明：对于发现的网站漏洞要及时修补。

二、网站木马的检测 网站被挂马是非常普遍的事情，同时也是最头疼的一件事。所以网站安全检测中，网站是否被 16 挂马是很重要的一个指标。

其实最简单的检测网站是否有挂马的行为，很简单，直接开个杀毒软件扫描，看看有没有挂马提示就可以啦。当然还有直接去这些杀毒软件建立的网站安全中心，直接提交URL进行木马检测。

说明：网站被挂马是严重影响网站的信誉的，如有被挂马，请速度暂时关闭网站，及时清理木马或木马链接的页面地址。

三、网站环境的检测

网站环境包括网站所在服务器的安全环境和维护网站者的工作环境的安全

很多黑客入侵网站是由于攻击服务器，窃取用户资料。所以在选择服务器时要选择一个有保证的服务商，而且稳定服务器对网站的优化和seo也很有帮助的。

而站长或维护着所处的环境也非常重要，如果本身系统就存在木马，那么盗取帐号就变得很简单了。故要保持系统的安全，可以装瑞星，卡巴这些杀毒软件，还有就是帐号和密码要设置复杂一些。

四、其它检测 黑链检测，由于现在黑链的利润很高，故现在更多黑客入侵网站目的就是为挂链接，而被挂黑链会严重影响SEO的优化。

具体检测方法：

17 可以利用站长工具网里面工具中的―死链接就爱内测/全站PR查询‖的选项， 将检测网站分析栏，选择―站外链接‖，按―显示链接‖按钮，就会列出一堆站外链接，在里面可以查看有那些链接是PR比较低而且又比较陌生的链接就可能是黑链，将黑链删除就以。

五、远程连接检测

打开宽带连接，进行宽带的检测和IP地址的检测。以防止恶意的窃取用户资料。

常见的针对Web应用的攻击有：

1、缓冲区溢出——攻击者利用超出缓冲区大小的请求和构造的二进制代码让服务器执行溢出堆栈中的恶意指令。

2、Cookie假冒——精心修改cookie数据进行用户假冒。

3、认证逃避——攻击者利用不安全的证书和身份管理。

4、非法输入——在动态网页的输入中使用各种非法数据，获取服务器敏感数据。

5、强制访问——访问未授权的网页。

6、隐藏变量篡改——对网页中的隐藏变量进行修改，欺骗服务器程序。

7、拒绝服务攻击——构造大量的非法请求，使Web服务器不能响应正常用户的访问。

18