应对溢出攻击的对策
点评:在频繁的恶意用户、系统漏洞层出不穷的今天,作为网络管理员,在服务器安全系统管理员已经作了大量的工作,如及时的系统安全补丁,一些常规的安全配置,但有时仍不安全。所以在恶意用户入侵,一系列安全设置是用来阻挡入侵者的安全门。频繁的恶意用户、系统漏洞层出不穷的今天,作为网络管理员,在服务器安全系统管理员已经作了大量的工作,如及时的系统安全补丁,一些常规的安全配置,但有时是不安全的。因此,恶意用户入侵之前,我们可以阻止入侵者通过一系列的安全设置。此外,安全门。此外,我们将共享最简单、最有效的溢出溢出和本地权限攻击类解决方案。
1。如何防止溢出类攻击
1,尽可能多的系统补丁完成后,最好的是微软的Windows Server系列如系统可以自动更新服务打开,然后让在一定时间内你指定自动连接到微软的更新网站更新补丁服务器。如果你的服务器已经禁止外部连接到公共网络为了安全起见,你可以使用微软的WSUS服务,在内部网络升级。
2,停止一切非必要的系统服务和应用程序,底层的服务器的攻击系数最大的限制。例如,在前面的位置MSDTC溢出造成了许多服务器挂了。事实上,如果Web服务器类不使用MSDTC服务时,您可以停止MSDTC服务MSDTC溢出,不会造成任何威胁到你的服务器。
3、启动TCP / IP端口的过滤,仅用于打开TCP如21, 80, 25、110和3389端口;如果高一点的水平的安全需求可以UDP端口关闭,当然如果是缺陷在服务器即使外部连接不方便后,这里建议大家用IPSec信UDP协议。在协议的选择,我们只允许TCP协议(协议号6),UDP协议(协议编号:17)和RDP协议(协议编号:27)。
4、IPSec策略启用:安全服务器的连接和双保险的服务器身份验证。例如,我们可以关闭一些危险的终端产品,如135145139445和UDP的外部连接,加密,阅读,和信任的IP或网络通信。(注:事实上,抗反弹木马使用IPSec协议只是禁止UDP或TCP端口的外部访问,以及如何使用IPsec不再发生。它可以去搜索讨论搜索IPSec,并且会有更多的N应用程序。
5、删除、移动、重命名或使用访问控制表的列的访问控制列表(ACL)来控制关键系统文件和文件夹的命令:
(1)。黑客们经常得到壳溢出,进一步控制服务器等net1.exe ipconfig.exe程序等目的user.exe query.exe REGEDIT.EXE regsvr32.exe:管理员帐号,克隆等;在这里可以删除或重命名命令程序。(注:停止文件复制服务(FRS)或删除或重命名相应文件windir % System32 dllcache 先下%。)
(2)。或者将这些EXE文件移动到指定的文件夹,这也方便管理员将来使用。
(3)。访问控制列表ACL控制:找到%windir% System32 cmd.exe,cmd32.exe程序net1.exe发现ipconfig.exe tftp.exe ftp.exe user.exe reg.exe REGEDIT.EXE regedt32.exe regsvr32.exe在黑客的文件;具有;性能;安全访问用户定义的ACL,如管理员只需要访问有权,防止溢出,溢出这些文件的非法使用成功后,只有系统的用户将需要执行可以在ACL拒绝访问。
(4)如果你觉得太麻烦下的GUI,您也可以编辑和修改这些ACL。用系统命令的cacls.exe exe文件,或写为.bat的批处理文件执行和修改这些命令。(具体的用户看到CACLS /帮助,因为有太多的这里没有列出命令批处理代码到你!)
(5)也有必要建立一个安全的ACL设置磁盘,如C / D / E / F,从总体安全,看Winnt,尤其是win2k,WinNT 系统、文件和文件夹设置等。
6、修改注册表禁用命令解释器:(如果你觉得太多,这样你不尝试以下措施禁止一劳永逸的操作命令,防止通过修改注册表,可以禁止用户使用命令解释器(CMD .exe)和运行批处理文件(.bat文件)。具体的方法是创建一个双字节(reg_dword)执行hkey_current_user 软件政策微软 Windows 系统 disablecmd,修改其值为1,和命令解释程序和批处理文件不能运行,修改其值为2只有一个禁止命令解释器的运行,反之,变化值0是CMS命令解释器的开放。如果你把太多的周转率德国财政部长朔伊布勒手动,把下面的代码保存为一个.reg文件,然后导入。
Windows注册表编辑器版本5
{ hkey_current_user 软件政策微软 Windows 系统}
disablecmd= DWORD值:0000000 1
7、一些系统服务运行的系统权限被降解。(如:Serv-U,imail、IIS,PHP,MSSQL,MySQL等一系列系统的权限来运行服务或应用程序的管理员或用户的权限来运行,这将是更安全的其他成员…但前提是需要基本操作条件,调用API等相关情况比较了解。
事实上,对溢出攻击等除了采用上述点溢出的预防,有许多方法,如:N组的政策限制,写保护滤波DLL程序加载Windows相关的外壳,这类程序的动态链接。当然,写代码来验证加密需要Win32编程和Shellcode比较研究的深厚基础。由于本文仅讨论简单的解决方案,所以此处不详述其他方法。
二是如何防止系统的进一步入侵
1、后1、做上述工作的基本上,它可以防止外壳被取代后溢出,因为即使溢出成功后,它将被卡住时,称为连接外部。(为什么,因为:1。1以后。溢出不可调用的cmdshll禁止访问系统cmd.exe.after 2。溢出时,外部IP在反弹时没有连接,因此通过系统权限基本上很难反弹shell。
2、当然,世界上没有绝对的安全,假设用户在入侵者得到的壳,在壳做一般的入侵者,如系统会通过TFTP,FTP,vbs添加帐户,文件传输等进一步控制服务器通过1个命令。的限制方式,入侵者是没有办法通过TFTP和FTP传输文件,但他们仍然可以导致回波写一个批处理,批处理脚本的蝙蝠 / / VBA VBS从网上下载文件,并修改潜在的失效行为的其他盘文件。所以用户需要限制echo命令和处理权的其他磁盘的系统编写和修改文件,禁用或使用vbs / VBA类的限制系统的运行并和部件如XMLHTTP。在这种情况下,外壳不能删除服务器上的和步进控制系统文件;与地方政府反弹壳。