首页
网络知识
seo优化
网络营销
网络推广
建站知识
网络安全
网络编程
平面设计
奇闻怪事
主页
/
网络安全
/
防溢出提权攻击的解决办法
网络安全
2021-07-03 09:19
www.168986.cn
网络安全知识
在频频恶意攻击用户、系统漏洞层出不穷的今天,作为网络管理员、系统管理员虽然在服务器的安全上都下了不少功夫,诸如及时打上系统安全补丁、进行一些常规的安全配置,但有时仍不安全。必须恶意用户入侵之前,通过一些系列安全设置,来将入侵者们挡在“安全门”之外,狼蚁网站SEO优化就将最简单、最有效的防(Overflow)溢出、本地提供权限攻击类的解决办法给大家分享。
一、如何防止溢出类攻击
1、尽最大的可能性将系统的漏洞补丁都打完,最好是比如Microsoft Windows Server系列的系统可以将自动更新服务打开,然后让服务器在您指定的某个时间段内自动连接到Microsoft Update网站进行补丁的更新。如果您的服务器为了安全起见 禁止了对公网外部的连接的话,可以用Microsoft WSUS服务在内网进行升级。
2、停掉一切不需要的系统服务以及应用程序,最大限能的降底服务器的被攻击系数。比如前阵子的MSDTC溢出,就导致很多服务器挂掉了。其实如果WEB类服务器根本没有用到MSDTC服务时,您大可以把MSDTC服务停掉,这样MSDTC溢出就对您的服务器不构成任何威胁了。
3、启动TCP/IP端口的过滤,仅打开常用的TCP如21、80、25、110、3389等端口;如果安全要求级别高一点可以将UDP端口关闭,如果这样之后缺陷就是如在服务器上连外部就不方便连接了,这里建议大家用IPSec来封UDP。在协议筛选中"只允许"TCP协议(协议号为6)、UDP协议(协议号为17)以及RDP协议(协议号为27)等必需用协议即可;其它无用均不开放。
4、启用IPSec策略:为服务器的连接进行安全认证,给服务器加上双保险。如③所说,可以在这里封掉一些危险的端品诸如:135 145 139 445 以及UDP对外连接之类、以及对通读进行加密与只与有信任关系的IP或者网络进行通讯等等。(注:其实防反弹类木马用IPSec简单的禁止UDP或者不常用TCP端口的对外访问就成了,关于IPSec的如何应用这里就不再敖续,可以到服安讨论Search "IPSec",就 会有N多关于IPSec的应用资料..)
5、删除、移动、更名或者用访问控制表列Aess Control Lists (ACLs)控制关键系统文件、命令及文件夹
(1).黑客通常在溢出得到shell后,来用诸如.exe 1.exe ipconfig.exe user.exe query.exe regedit.exe regsvr32.exe 来达到进一步控制服务器的目的如:加账号了,克隆管理员了等等;这里可以将这些命令程序删除或者改名。(注意:在删除与改名时先停掉文件复制服务(FRS)或者先将 %windir%\system32\dllcache\下的对应文件删除或改名。)
(2).也或者将这些.exe文件移动到指定的文件夹,这样也方便以后管理员自己使用。
(3).访问控制表列ACLS控制找到%windir%\system32下找到cmd.exe、cmd32.exe .exe 1.exe ipconfig.exe tftp.exe ftp.exe user.exe reg.exe regedit.exe regedt32.exe regsvr32.exe 这些黑客常用的文件,在“属性”→“安全”中对他们进行访问的ACLs用户进 行定义,诸如只给administrator有权访问,如果需要防范一些溢出攻击、以及溢出成功后对这些文件的非法利用,那么只需要将system用户在ACLs中进行拒绝访问即可。
(4).如果觉得在GUI狼蚁网站SEO优化太麻烦的话,也可以用系统命令的CACLS.EXE来对这些.exe文件的Acls进行编辑与修改,或者说将他写成一个.bat批处理 文件来执行以及对这些命令进行修改。(具体用户自己参见cacls /? 帮助进行,由于这里的命令太多就不一一列举写成批处理代码给各位了!!)
(5).对磁盘如C/D/E/F等进行安全的ACLS设置从整体安全上考虑的话也是很有必要的,特别是win2k,对Winnt、Winnt\System、Document and Setting等文件夹。
6、进行注册表的修改禁用命令解释器: (如果您觉得用⑤的方法太烦琐的话,那么您不防试试狼蚁网站SEO优化一劳永逸的办法来禁止CMD的运行,通过修改注册表,可以禁止用户使用命令解释器(CMD.exe)和运行批处理文件(.bat文件)。具体方法:新建一个双字节(REG_DWORD)执行 HKEY_CURRENT_USER\Software\Policies\ Microsoft\Windows\System\DisableCMD,修改其值为1,命令解释器和批处理文件都不能被运行。修改其值为2,则只是禁止命令解释器的运行,反之将值改为0,则是打开CMS命令解释器。如果您赚手动太麻烦的话,请将狼蚁网站SEO优化的代码保存为.reg文件,然后导入。
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System]
"DisableCMD"=dword:00000001
7、对一些以System权限运行的系统服务进行降级处理。(诸如:将Serv-U、Imail、IIS、Php、Mssql、Mysql等一系列以System权限运行的服务或者应用程序换成其它administrators成员甚至users权限运行,这样就会安全得多了...但前提是需要对这些基本运行状态、调用API等相关情况较为了解. )
其实,关于防止如Overflow溢出类攻击的办法除了用上述的几点以外,还有N多种办法:诸如用组策略进行限制,写防护过滤程序用DLL方式加载windows到相关的SHell以及动态链接程序之中这类。自己写代码来进行验证加密就需要有相关深厚的Win32编程基础了,以及对Shellcode较有研究;由于此文仅仅是讨论简单的解决办法,其它办法就不在这里详述了。
二、如何防止溢出获取Shell后对系统的进一步入侵
1、 在做好1中上述的工作之后,基本上可以防目骇客在溢出之后得到shell了;因为即使Overflow溢出成功,但在调用CMDSHELL、以及对外联接时就卡了。 (为什么呢,因为:1.溢出后程序无法再调用到CMDSHLL已经禁止system访问CMD.exe了。2.溢出之后在进行反弹时已经无法对外部IP进行连接了。所以,基本上要能过system权限来反弹shell就较困难的了...)
2、 世界上是不存在绝对的安全的,假设入侵者在得到了用户的shell之后,做些什么呢?一般入侵者在在得到shell之后,就会诸如利用系统命令加账号了 通过tftp、ftp、vbs等方式传文件了等等来达到进一步控制服务器。这里通过1上述的办法对命令进行了限制,入侵者是没有办法通过tftp、ftp来传文件了,但他们仍然可以能过echo写批处理,用批处理通过脚本BAT/VBS/VBA等从WEB上下载文件,以及修改其它盘类的文件等潜在破坏行为。所以用户需要 将echo命令也限制以及将其它盘的System写、修改文件的权限进行处理。以及将VBS/VBA类脚本以及XMLhttp等组件进行禁用或者限制system的运行权。这样的话别人得到Shell也无法对服务器上的文件进行删除以及进行步的控制系统了;以及本地提权反弹Shell了。
上一篇:
浅谈Windows XP系统漏洞的封堵
下一篇:
asp.net 利用网页挂马拿服务器的一种设想
网络安全培训
网络安全带来的危害 网络安全的弊处
如何加强网络安全防范
网络安全防护知识内容摘要
什么网络安全指的是什么 网络安全指的是什么意
网络安全十大公司排名 网络安全十大公司排名绿
手机网络安全警示格言 手机网络安全警示教育片
网络安全培训心得体会 网络安全知识培训
如何树立正确的网络意识 怎么样正确对待网络
网络安全大赛是什么意思 网络安全大赛比赛规则
世界网络安全公司排名 世界十大网络安全上市公
网络安全注意事项知识 网络安全注意事项知识短
网络安全常识十条口诀 小学生安全十句话
网络安全等级保护三级 网络安全三级等保标准
如何增强网络安全防范意识 如何增强网络安全防
网络安全注意事项有哪些 网络安全应注意事项
网络安全培训感悟 网络安全培训后的收获和感想
狼蚁网络搜索
狼蚁网络导航
长沙seo优化
网络安全带来的危害 网络安全的弊处
如何加强网络安全防范
网络安全防护知识内容摘要
什么网络安全指的是什么 网络安全指的是什么意
网络安全十大公司排名 网络安全十大公司排名绿
长沙网络营销
1
败笔网络安全技术
2
网络安全第五空间
3
网络安全知识内容
4
ctf网络安全大赛
5
网络安全防范知识
长沙网站建设
[视频]Win10 build 9901 消费者预览版操作视频抢先看
Unix是什么?Unix和Linux有什么区别?
Win10系统Snap分屏功能把屏幕分成多个部分独立显
简单七步教你如何解决关键SSL安全问题和漏洞
win10小娜打开没有声音该怎么办?