我司通过计算机信息系统集成四级资质认证

网管必知——防溢出权攻击解决办法

本文将为大家介绍在Microsoft系列(Win2k Win2k3)SERVER中如何简单快速的解决诸如反弹木马、Overflow溢出、提升权限、反弹Shell攻击类的安全威胁之详细防范设置步骤；读完本文，将可以使您服务器免去被溢出、提升权限等安全威胁。

前言：

在骇客频频攻击、在系统漏洞层出不穷的今天，作为网络管理员、系统管理员的我们虽然在服务器的安全上都下了不少功夫：诸如，及时的打上系统安全补丁、进行一些常规的安全配置,但是仍然不太可能每台服务器都会在第一时间内给系统打上全新补丁。因此我们必需要在还未被入侵之前，通过一些系列安全设置，来将入侵者们挡在“安全门”之外；下面就以本人一直以来所用到的最简单、最有效的防(Overflow)溢出、本地提供权限攻击类的解决办法给大家讲讲：

1、如何可以防止溢出类的骇客攻击呢？

① 尽最大的可能性将系统的漏洞补丁都打完；最好是比如Microsoft Windows Server系列的系统可以将自动更新服务打开，然后让服务器在您指定的某个时间段内自动连接到Microsoft Update网站进行补丁的更新。如果您的服务器为了安全起见禁止了对公网外部的连接的话，可以用Microsoft WSUS服务在内网进行升级。

② 停掉一切不需要的系统服务以及应用程序，最大限能的降底服务器的被攻击系数。比如前阵子的MSDTC溢出，就导致很多服务器挂掉了。其实如果WEB类服务器根本没有用到MSDTC服务时，您大可以把MSDTC服务停掉，这样MSDTC溢出就对您的服务器不构成任何威胁了。

③ 启动TCP/IP端口的过滤：仅打开常用的TCP如21、80、25、110、3389等端口；如果安全要求级别高一点可以将UDP端口关闭，当然如果这样之后缺陷就是如在服务器上连外部就不方便连接了，这里建议大家用IPSec来封UDP。在协议筛选中“只允许”TCP协议(协议号为：6)、UDP协议(协议号为：17)以及RDP协议(协议号为：27)等必需用协议即可；其它无用均不开放。

④ 启用IPSec策略：为服务器的连接进行安全认证，给服务器加上双保险。如③所说，可以在这里封掉一些危险的端品诸如：135 145 139 445 以及UDP对外连接之类、以及对通读进行加密、只与有信任关系的IP或者网络进行通讯等等。(注:其实防反弹类木马用IPSec简单的禁止UDP或者不常用TCP端口的对外访问就成了,关于IPSec的如何应用这里就不再敖续，你可以到服安讨论Search "IPSec"，就 会有N多关于IPSec的应用资料..)

⑤ 删除、移动、更名或者用访问控制表列Access Control Lists (ACLs)控制关键系统文件、命令及文件夹：

1.黑客通常在溢出得到shell后，来用诸如net.exe/net1.exe/ipconfig.exe/user.exe/query.exe/regedit.exe /regsvr32.exe 来达到进一步控制服务器的目的如：加账号了，克隆管理员了等等；这里我们可以将这些命令程序删除或者改名。(注意:在删除与改名时先停掉文件复制服务(FRS)或者先将 %windir%\system32\dllcache\下的对应文件删除或改名。)

　　2.也或者将这些.exe文件移动到你指定的文件夹，这样也方便以后管理员自己使用

　　3.访问控制表列ACLS控制：找到%windir%\system32下找到cmd.exe/cmd32.exe/net.exe/net1.exe/ipconfig.exe
/tftp.exe/ftp.exe/user.exe/reg.exe/regedit.exe/regedt32.exe/regsvr32.exe 这些黑客常用的文件，在“属性”→“安全”中对他们进行访问的ACLs用户进行定义，诸如只给administrator有权访问，如果需要防范一些溢出攻击、以及溢出成功后对这些文件的非法利用；那么我们只需要将system用户在ACLs中进行拒绝访问即可。

　　4.如果你觉得在GUI下面太麻烦的话，你也可以用系统命令的CACLS.EXE来对这些.exe文件的Acls进行编辑与修改，或者说将他写成一个.bat批处理文件来执行以及对这些命令进行修改。

　　5.对磁盘如C/D/E/F等进行安全的ACLS设置从整体安全上考虑的话也是很有必要的，另外特别是win2k，Winnt\Winnt
\System\Document and Setting等文件夹。

　　⑥ 进行注册表的修改禁用命令解释器: (如果您觉得用⑤的方法太烦琐的话，那么您不防试试下面一劳永逸的办法来禁止CMD的运行)

　　通过修改注册表，可以禁止用户使用命令解释器(CMD.exe)和运行批处理文件(.bat文件)。具体方法：新建一个双字节(REG_DWORD)执行 HKEY_CURRENT_USER\Software\Policies\ Microsoft\Windows\System\DisableCMD，修改其值为1，命令解释器和批处理文件都不能被运行。修改其值为2，则只是禁止命令解释器的运行，反之将值改为0，则是打开CMS命令解释器。如果您赚手动太麻烦的话,请将下面的代码保存为*.reg文件，然后导入。

　　Windows Registry Editor Version 5.00

　　[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System]

　　"DisableCMD"=dword:00000001

　　⑦ 对一些以System权限运行的系统服务进行降级处理。(诸如:将Serv-U、Imail、IIS、Php、Mssql、Mysql等一系列以System权限运行的服务或者应用程序换成其它administrators成员甚至users权限运行，这样就会安全得多了...但前提是需要对这些基本运行状态、调用API等相关情况较为了解。)

　　其实，关于防止如Overflow溢出类攻击的办法除了用上述的几点以外，还有N多种办法：诸如用组策略进行限制，写防护过滤程序用DLL方式加载windows到相关的SHell以及动态链接程序之中这类。当然自己写代码来进行验证加密就需要有相关深厚的Win32编程基础了，以及对Shellcode较有研究；由于此文仅仅是讨论简单的解决办法，因此其它办法就不在这里详述了...

　　2、如何在防止被骇客溢出得到Shell后对系统的而进一步入侵呢?

　　① 在做好上述的工作之后，基本上可以防目骇客在溢出之后得到shell了；因为即使Overflow溢出成功，但在调用CMDSHELL、以及对外联接时就卡了。 (为什么呢，因为：1.溢出后程序无法再调用到CMDSHLL，我们已经禁止system访问CMD.exe了。2.溢出之后在进行反弹时已经无法对外部IP进行连接了。所以，基本上要能过system权限来反弹shell就较困难的了...)

SANS发布2005全球20大网络安全隐患排行

本周病毒警报

问题描述：
    某用户反映在日常使用过程中忽然出现了VPN移动客户端无法正常通过Internet连接到公司内部的应用服务器，但内部用户能够正常访问的情况。网络结构如下图：

解决过程：
    在用户处使用VPN移动客户端用电话拨号的方式连接，显示VPN的连接建立正常，但无法PING通应用服务器。
    将防火墙的包过滤规则限制范围缩小，允许VPN移动客户端能够PING公司内部网络的其他计算机，发现VPN移动客户端能够PING通其他计算机，由此将问题范围缩小到该应用服务器本身。检查该应用服务器后发现该服务器的一块网卡上被绑了两个IP，其中有一个IP地址与防火墙中VPN0地址池内IP地址处于同一网段。将服务器上此IP删除后测试，故障排除。经询问该地址是用户在调试该服务器时临时添加的，调试完毕后该IP就没有删除。
    问题分析：
    由于东软的VPN移动客户端通过Internet与公司内部服务器建立连接时，是由防火墙将VPN移动客户端分配一个VPN0地址池内的IP地址，然后使用这个IP地址与内部网络应用服务器进行通讯。所以当应用服务器使用了该IP段地址后，应用服务器就不会将属于该网段的数据转发到防火墙上，而只会在本地查找。

如何应用SNMP协议了解NETEYE 防火墙状态？