| 遠程管理安全攻防實錄 |
|
|
|
| linzioot |
|
|
本文可以學(xué)到
1 如何保護網(wǎng)站數(shù)據(jù)庫不被非法用戶下載
2 3289遠程登錄安全設(shè)置
本文涉及軟件
mdb入侵者(jet)
Access數(shù)據(jù)庫
SecureRDP 2.0
本文重要知識點
1 3389遠程登錄安全
2 數(shù)據(jù)庫類型
3 數(shù)據(jù)庫保護
經(jīng)過幾個月的試運藍盾,xx信息安全中心正式成立了,一群網(wǎng)絡(luò)安全技術(shù)的狂熱工程師們在北京的TI行業(yè)精華地段創(chuàng)辦了中國第一家安全咨詢中心,。
時間:2007年9月
地點:信息安全中心客戶中心
事件:龍信科技有限公司數(shù)據(jù)庫失竊、新龍科技服務(wù)器遭黑客遠程登錄搶劫管理
工程師:孫佳興(資深網(wǎng)絡(luò)安全顧問)
公司負責人:龍信科技網(wǎng)絡(luò)部 張經(jīng)理
本段掌握技能
網(wǎng)絡(luò)數(shù)據(jù)庫防竊
案例1:(數(shù)據(jù)庫失竊,、網(wǎng)站數(shù)據(jù)庫地址被暴露營)
北京,,一個商業(yè)競爭慘烈到極致的案例。在龍信科技的董事會上,,公司總裁聽取了第二季度的公司運營情況后略顯驚疑地問道:“是不是因為公司的客服服務(wù)器多次遭到攻擊造成了數(shù)據(jù)丟失,,讓競爭對手掌握了我們大多投標底價?限網(wǎng)絡(luò)技術(shù)部三天給我個合理的解釋。”
“老孫啊!救命啊,,我們公司出現(xiàn)數(shù)據(jù)失竊,,你趕快過來幫我解決一下問題啊。”網(wǎng)絡(luò)部負責人撥通了工程師孫佳興的公司電話,。
第二天的早上:“累死了,,終于搞定你們公司的方案了,你們公司的網(wǎng)站被人爆庫了,,沒有任何防護,,數(shù)據(jù)不丟那才奇怪了。我都幫你弄好了,,記得要請我吃飯啊!”“謝謝啦,飯一定請的!對了,,你說的暴庫是什么東西?”張經(jīng)理好奇地問,。
實例:
如何防止網(wǎng)站數(shù)據(jù)庫被下載
第一步:修改數(shù)據(jù)庫名
由于大多小型企業(yè)都不具備自己開發(fā)網(wǎng)站的能力,大多都采用網(wǎng)絡(luò)上發(fā)布出來的模板類整站進行建站,,由于整站程序都是公開的,,所以使用的數(shù)據(jù)庫路徑也很容易被熟悉網(wǎng)站構(gòu)架結(jié)構(gòu)的人猜到,如果不對數(shù)據(jù)進行修改就很可能被攻擊者利用IE瀏覽器下載,從而得到網(wǎng)站管理密碼,,甚至得到服務(wù)器管理權(quán)限,。 第二步:將mdb后綴數(shù)據(jù)庫修改為.asp,并在數(shù)據(jù)庫名稱中加入#這類特殊字符,。如果攻擊者猜到了數(shù)據(jù)庫路徑,,(如數(shù)據(jù)庫是mdb類)在IE瀏覽器中輸入地址就可以完成下載,進行修改后可避免此類情況,。
比如數(shù)據(jù)庫被從新修改為:http://www./xre#h.asp由于IE在下載文件時候只會讀取#前的內(nèi)容所以被IE讀取的下載路徑為:http://www.xxxcom/xrc#.asp此時,,就算攻擊者知道數(shù)據(jù)庫路徑也無法下載了。
嘿嘿,,只是防止了攻擊者下載數(shù)據(jù)庫也不能算安全,,因為很多黑客還會采用其他方式繼續(xù)突破網(wǎng)站。讓我們再構(gòu)架一個反向入侵系統(tǒng),,既保護數(shù)據(jù)庫安全,,也能隨時發(fā)現(xiàn)黑客攻擊行為。
這里拿動網(wǎng)的論壇數(shù)據(jù)庫(DVBBS7.0 for Access版)做演示,,相信大家都熟知動網(wǎng)7.0的數(shù)據(jù)庫默認路徑(什么,,你不知道?我倒,去動網(wǎng)官方下載一份自己趴著研究去:http://可以下載最新版本的動網(wǎng)論壇程序,。):動網(wǎng)安裝目錄/data/dvbbs7mdb,。
首先,,新建一個databoo的目錄,將數(shù)據(jù)庫dvbbs7.mdb文件拷貝到新目錄下,,并進行重命名:0917#dw.asp
然后,,打開conn.asp文件,,修改以下代碼中的數(shù)據(jù)庫路徑:
修改前:
dim conn,db
dim connstr
db="Data/dvbbs7.mdb"'數(shù)據(jù)庫文件位置
'on error resume next
connstr="DBQ="+server.mappath(""&db&"")+",;DefaultDir=;DRIVER={MicrosoftAccess Driver(*mdb)};"
修改后:
dim conn,db
dim connstr
db="databoo/0917#dw.asp"'數(shù)據(jù)庫文件位置
'on error resume next
connstr="DBQ="+server.mappath(""&dba&"")+";DefaultDir=;DRIVER={MicrosoftAccess Driver(*.mdb)};"
利用mdb入侵者制造一個溢出程序db1.mdb,。將其拷貝到原來動網(wǎng)的默認數(shù)據(jù)庫目錄data中將其命名為:dvbbs7.mdb(將原來的數(shù)據(jù)庫移除),。當攻擊者下載默認后http://bbs./data/dvbbs7.mdb路徑數(shù)據(jù)庫時,利用mdb讀取器(見圖1)打開我們構(gòu)造的溢出數(shù)據(jù)庫后,,我們的網(wǎng)站上將紀錄他所有的攻擊手段(由子程序執(zhí)行后回溢出返回一個systemshell,,我們不光可以察看黑客的攻擊手段,并可以反控制其計算機),。
本段掌握技能
遠程管理安全驗證
案例2(公司需要3389遠程管理計算機,,黑客入侵后同樣可以利用遠程)
新龍科技有限公司是一家IDC網(wǎng)絡(luò)空間提供商,,由于所有服務(wù)器在網(wǎng)通機房托管,管理人員需要對服務(wù)器進行遠程管理,。但最近黑客入侵情況嚴重,,管理員發(fā)現(xiàn)服務(wù)器中有黑客入侵后利用遠程桌面管理計算機。為保證公司可以正常使用3389遠程管理計算機又希望對服務(wù)器增加特殊限制,,防止黑客利用,,管理員向xx信息安全中心咨詢安全解決方案。
為此我們做出幾個基于SecureRDP的安全防護解決方案,,如下:
★遠程管理限制
1,、利用登錄IP地址限制,驗證服務(wù)器訪問者身份
安裝SecureRD,,(推薦此防火墻是由于其有進程保護,,為防止黑客強行關(guān)閉。讀者也可以采用其他防火墻,,如天網(wǎng),、瑞星。)選擇IP address,,選中enableip address fitter(打勾)然后點擊“add”按鈕,,增加允許登錄的IP地址(見圖2)。
當發(fā)現(xiàn)黑客常使用的登錄服務(wù)器IP地址時,,也可以利用IP address進行限制,,將圖2中“mode→logon endabled”,改為:“mode→Logon disaboed”,,填入要屏蔽的IP地址即可(見圖3),。
很多時候技術(shù)人員在管理服務(wù)器時可能遇到這樣的一個問題,公司服務(wù)器IP地址不是固定的,,如果做了IP登錄限制,,黑客是無法訪問了,管理員也訪問不到就麻煩了,。為此我們還可以采用之如下幾種方案:
2,、用工作之利用登錄計算機名限制,驗證服務(wù)器訪問者身份
依舊在SecureRDP中,,選擇C0mputer Name項,,選中enableComputer Name Fitter(打勾)然后點擊“add”按鈕添加計算機名稱,,如:tooler,。每次登錄服務(wù)器的時候只要把使用的計算機改成tooler就OK了,,(某小白問:如何更改計算機名稱呢?我:哎,,好好學(xué)習(xí)計算機應(yīng)用基礎(chǔ)啊,上過基礎(chǔ)課程后這個都不會?算了,,我來解決:在“我的電腦”點擊鼠標右鍵選擇“屬性中“計算機名”→更改輸入“tooler”),。
3,、時間段限制登錄用戶
由于大多黑客入侵都發(fā)生在凌晨,而此時管理員一般不會管理服務(wù)器,,所以可以在SecureRDP中限制登錄時間,。周一到周五:早上8點到晚上8點允許登錄。其他時間無法登錄(見圖4),。
4,、安裝第三方管理軟件,如PCAnyWhero或VNC,。 |
|
|
