2024年4月19日发(作者:)
效劳器溢出提权攻击的解决方法 电脑资料
在频频恶意攻击用户、系统漏洞层出不穷的今天,作为网络治理员、系统治理员虽然
在效劳器的平安上都下了不少功夫,诸如及时打上系统平安补丁、进行一些常规的平安配
置,但有时仍不平安,
一、如何防止溢出类攻击
1、尽最大的可能性将系统的漏洞补丁都打完,最好是比方Microsoft Windows
Server系列的系统可以将自动更新效劳翻开,然后让效劳器在您指定的某个时间段内自
动连接到Microsoft Update网站进行补丁的更新。假设您的效劳器为了平安起见 禁止
了对公网外部的连接的话,可以用Microsoft WSUS效劳在内网进行升级。
2、停掉一切不需要的系统效劳以及应用程序,最大限能的降底效劳器的被攻击系
数。比方前阵子的MSDTC溢出,就导致很多效劳器挂掉了。其实假设WEB类效劳器根
本没有用到MSDTC效劳时,您大可以把MSDTC效劳停掉,这样MSDTC溢出就对您的
效劳器不构成任何威胁了。
3、启动TCP/IP端口的过滤,仅翻开常用的TCP如21、80、25、110、3389等端
口;假设平安要求级别高一点可以将UDP端口关闭,当然假设这样之后缺陷就是如在效劳
器上连外部就不方便连接了,这里建议大家用IPSec来封UDP。在协议筛选中"只容许
"TCP协议(协议号为:6)、UDP协议(协议号为:17)以及RDP协议(协议号为:27)等必
需用协议即可;其它无用均不开放。
4、启用IPSec策略:为效劳器的连接进行平安认证,给效劳器加上双保险。如③所
说,可以在这里封掉一些危险的端品诸如:135 145 139 445 以及UDP对外连接之类、以
及对通读进行加密与只与有信任关系的IP或者网络进行通讯等等。(注:其实防反弹类木马
用IPSec简单的禁止UDP或者不常用TCP端口的对外访问就成了,关于IPSec的如何应
用这里就不再敖续,可以到服安讨论Search "IPSec",就 会有N多关于IPSec的应用资
料..)
5、删除、移动、更名或者用访问控制表列Aess Control Lists (ACLs)控制要害系统
文件、命令及文件夹:
(1). 通常在溢出得到shell后,来用诸如.exe
来到达进一步控制效劳器的目的如:加账号了,克隆
治理员了等等;这里可以将这些命令程序删除或者改名。(注重:在删除与改名时先停掉文件
复制效劳(FRS)或者先将 %windir%system32dllcache下的对应文件删除或改名。)
(2).也或者将这些.exe文件移动到指定的文件夹,这样也方便以后治理员自己使
用。
(3).访问控制表列ACLS控制:找到%windir%system32下找到、
.exe
这些 常用的文件,在“属性”→“平安”中对他们进行访问
的ACLs用户进 行定义,诸如只给administrator有权访问,假设需要防范一些溢出攻
击、以及溢出成功后对这些文件的非法利用,那么只需要将system用户在ACLs中进行
拒绝访问即可,
(4).假设觉得在GUI下面太麻烦的话,也可以用系统命令的来对这
些.exe文件的Acls进行与修改,或者说将他写成一个.bat批处理 文件来执行以及对这些
命令进行修改。(具体用户自己参见cacls /? 帮助进行,由于这里的命令太多就不一一列
举写成批处理代码给各位了!!)
(5).对磁盘如C/D/E/F等进行平安的ACLS设置从整体平安上考虑的话也是很有必
要的,另外非但凡win2k,对Winnt、WinntSystem、Document and Setting等文件
夹。
6、进行表的修改禁用命令解释器: (假设您觉得用⑤的方法太烦琐的话,那么您不防
试试下面一劳永逸的方法来禁止CMD的运行,通过修改表,可以禁止用户使用命令解释
器()和运行批处理文件(.bat文件)。具体方法:新建一个双字节(REGDWord)执行
HKEYCURRENTUSERSoftwarePolicIEs
MicrosoftWindowsSystemDisableCMD,修改其值为1,命令解释器和批处理文件
都不能被运行。修改其值为2,那么只是禁止命令解释器的运行,反之将值改为0,那么是
翻开CMS命令解释器。假设您赚手动太麻烦的话,请将下面的代码保存为*.reg文件,然
后导入。
Windows Registry Editor Version 5.00
[HKEYCURRENTUSERSoftwarePoliciesMicrosoftWindowsSystem]
"DisableCMD"=dword:00000001
7、对一些以System权限运行的系统效劳进行降级处理。(诸如:将Serv-U、Imail、
IIS、Php、Mssql、Mysql等一系列以System权限运行的效劳或者应用程序换成其它
administrators成员甚至users权限运行,这样就会平安得多了...但前提是需要对这些根
本运行状态、调用API等相关情况较为了解. )
其实,关于防止如Overflow溢出类攻击的方法除了用上述的几点以外,还有N多种
方法:诸如用组策略进行限制,写防护过滤程序用DLL方式加载windows到相关的SHell
以及动态链接程序之中这类。当然自己写代码来进行验证加密就需要有相关深厚的
Win32编程根底了,以及对Shellcode较有研究;由于此文仅仅是讨论简单的解决方法,
因此其它方法就不在这里详述了。
发布者:admin,转转请注明出处:http://www.yc00.com/web/1713501870a2261510.html
评论列表(0条)