一提起網絡安全,大家心裡想到的首先應該都是"某某的主頁被黑了""五角大樓昨天又被黑客闖入"之類的訊息,其實我認為這只是安全的一個方面,是屬遠程攻擊,但你是否想到,90%以上的入侵行為其實不是黑客們干的,而是你身邊的同事、朋友……或者你再想想,系統被人侵入後造成資料丟失的後果,但如果你的電腦被暴雨干干淨淨徹頭徹尾地洗了一遍,你裡面的數據還在不在呢?所以我認為計算機安全應該分為物理安全、本地安全和遠程安全。
物理安全因為牽涉到諸如機房布置,防水防火等事項,不在本文的討論范疇內。
【本地安全失控】
單機安全
古龍大俠說過:越是親密的朋友,就可能是越危險的敵人。聽說過吧--沒有?我告訴你吧,你有一台電腦,平時用來上上網,玩玩游戲,偶爾也敲點公文進去,你認為它挺安全的,但有一天,你的朋友突然告訴你,他有你的上網帳號和密碼,你相信嗎?--不要不信,這種方法挺多的,假如你用的是WINDOWS,假如你撥號上網的密碼寫了保存,那--默哀三分鐘--你根本一點安全概念都沒有嘛!任何人只要在你的電腦上運行某個小軟件就……
我從來不保存什麼密碼--你可能要得意的說,但--你的朋友在你電腦裡裝了一個木馬,可以捕捉撥號網絡那個"連接到"的Caption,然後記下你所按的鍵盤,悄悄地將文件寫入一個加密過的文本後再自動退出--會點編程的人應該都做得到,你的電腦是不是失守了?
設了屏幕保護密碼--天啊,重啟動後還有什麼?
設定了管理策略,用策略編輯器編輯過,如果不輸密碼他就進不了,進去了也什麼都干不成!--把你的user.dat和system.dat刪掉後用我的代替,這個主意你認為怎麼樣?
當然我不是讓你杯弓蛇影弄得一個朋友都沒有只能形影相吊--這樣活著太沒勁啦!
如果你的電腦沒有機密資訊的話當然無所謂,如果有--保證盡量少的人接觸它!
寫了這麼多都是WIN9X的,UNIX系統裡這方面的問題是不是就少了呢?從物理方面來說,如果一台機器擺放的位置不安全,能讓人有足夠的時間打開機箱做一些手腳,你的機器就無法安全,就拿我的機子來說吧,我有兩塊硬盤,但在WIN9X和NT裡都看不到第二塊硬盤的影子--我把它裝上了Linux,而且只能從一個特定的地方啟動它,啟動之後,在LINUX下,我可以任意的用mount命令裝其它操作系統裡的所有數據一掃而空……明白我的意思了嗎?
局域網安全
基於同樣的道理,局域網中的電腦在物理上仍然要嚴加控制,同時還要經常性地注意局域網中用戶的一些非正常的舉動--為什麼?這還用問,就拿我身邊的例子來說吧,我有個朋友,公司裡三十多台電腦連成一個局域網,但這家伙總想弄到主機的最高權限,於是乎監聽SMB密文、安裝木馬忙得不亦樂乎--最後呢,當然得手了,畢竟是我的哥們嘛:-)
還有,比如在UNIX中最好要限制ROOT只能由主控台(console)登錄、要謹慎使用su命令等等,不然都會給同一網域內的一群"虎視眈眈"想獲取最高權限者以機會……
【三、遠程安全與黑客常用方法】
1、針對個人用戶
個人用戶在網上最常遇到的"侵略性"的行為不外乎以下幾種
垃圾郵件
這是一個永恆但又無奈的話題,垃圾郵件包括了諸如一些賺錢、廣告之類的信件和惡意的人們通過郵件炸彈發來"成噸重"的信件,這不需要任何技巧,也最是無聊--我收到的此類信件多如牛毛呀!對付此類信件遠程登陸刪除就行了,也沒有必要非查出該發信人的行蹤再施以報復--網上這種東西太多,可謂野火燒不盡……然後在信箱配置上設定拒收某些人、或者超大的信件就行了,這種垃圾不在我們的討論范圍之內。
藍屏炸彈
這是針對WIN95的OOB漏洞而開發出來的一些小軟件,多命名為*NUKE等等,以前是專門攻擊139端口,被攻擊的計算機多會出現M$著名的藍屏錯誤,WIN98下此漏洞已經PATCH上,所以大多數NUKE軟件都已失效了,但最近聽說一個叫VOOB的軟件對WIN98仍然有效--我還沒試過呢,要不要拿你開刀?該軟件界面如下:(此類軟件界面大抵如此,使用簡單無比)
要防范此類軟件的攻擊,一個土辦法就是監聽端口,網上有許多監聽端口的軟件,你只要設定好監聽的PORT,一旦有人企圖向這個端口發送信息包就會被記錄下來,然後^&%^&*,抓到他後,你自己看著辦吧……
共享文件
這個問題網絡裡有相當多的安全人士已經提過無數次了,但……我每次掃描一個C類地址群的時候都能發現一大群人依舊開著共享沒有任何防護而且自得其樂,很抱歉,我看過其中一些人的信、圖片甚至更加機密的……你的電腦裡是不是有這樣的托著磁盤的小手呢?
有的話可要小心了,你開著共享呢,也就是說,下面的方法對你來說相當有效……
1) 本地攻擊
將c$、d$、admin$和print$這些共享是很危險的.但是出於某些原因不願意詳細提及危險在何處. 最近問到這個問題的人越來越多,現決定把我們的發現公布出來.
眾所周知,NT安裝以後,將每個磁盤自動分配一個共享,c$,d$和e$等.這些共享是隱藏的共享,在網上鄰居是看不到它們的.另外還有 admin$,ipc$,打印機共享後,還會生成print$這個共享.微軟說這些共享是為管理而設置的,且最好不要刪除.
實際上,這些c$共享資源都是可訪問的,只不過需要一點權限.而print$則一般任何人都可以訪問.
缺省地,要訪問c$,需要backup operator以上的權限,即需要文件的備份權限.假設你的NT域內有一個帳號是benny,NT的ip是192.168.0.1,他是Backup operator,而你得到了這個帳號的密碼,那麼,你就可以通過網絡訪問NT服務器的c盤,而不管c盤有沒有被共享. 方法如下:
在運行命令中輸入:
\192.168.0.1c$
則一個包含c盤所有文件的窗口將會彈出來.
或者 net use z: \192.168.0.1c$
則NT server上的c:盤就被映射為本地的z:盤.
缺省地,你對這些目錄將具有完全控制的權限,你可以用NT入侵升級版的方法,把getadmin的文件傳到c盤來取得Administrator權限.
另外,對於\192.168.0.1print$你不需要backup operator的權限就能完全控制
2) 遠程攻擊
本地攻擊的這個技巧很多人都知道,下面來談談遠程攻擊
這個毛病是可以用來遠程攻擊的!
假設有一台server是www.xxx.com
一般人輸入 \www.xxx.comc$ 後
會出現一個對話框,要你輸入密碼(但並不要你輸入密碼)
其實這是一個幌子,maybe微軟的開發人員留了一個公用密碼,否則,哪有不需要ID就提示輸入密碼的?
上面,我們提到,在局域網內,只要是backup operator以上級別的人輸入這條命令,就不會有密碼輸入對話框出現,而會直接彈出暴露c盤所有文件和目錄的窗口.
本站發現的是,如果你有Backup operator以上的權限,用域欺騙的方法,可以遠程訪問C盤,並且在缺省情況下受到你的完全控制!
發現的步驟:
如上所述,要打開\www.xxx.comc$這個磁盤,就得在www.xxx.com的這個域內登錄.但是通過TCP/IP如何在NT的Lan內登錄?我產生了一個欺騙這個NT域的念頭,即,我在本地設置一個與
www.xxx.com的域的名稱相同的主域控制器,假設www.xxx.com的域的名稱叫xxx, 則我將自己本地主域控制器的域名也改成xxx,並且也設置一個benny的帳號和密碼.
然後撥號上網,再輸入 \www.xxx.comc$ 後C盤的目錄居然彈出來了,權限是完全控制,欺騙成功!
以上的方法有個問題,如何得知對方的域的名稱?用這個命令:
NBTstat -A http://www.xxx.com
quack
注:NBTstat是NT上一個能檢驗從NetBIOS名到TCP/IP地址的轉換的實用工具,能檢查NetBIOS的當前佳話狀態,也可以把表項從LMHOSTS文件添加到NetBIOS名字高速緩存中,或者檢驗注冊的NetBIOS名和分配給你的計算機的NetBIOS作用域,與NETSTAT不同的是它只處理NetBIOS連接,而NETSTAT處理你的系統與其它計算機的全部連接。
當然,用這篇Retina的文獻中提到的方法,也可以獲得其域的名稱.
本文的基礎是要獲得Backup Operator的權限,結果是能獲取Administrator權限,Local/Remote都有效.
但是,\www.xxx.comprint$這個目錄是不需要什麼權限的,任何人都能訪問.
因為幾乎所有的NT機器的c$目錄是打開的,而且就算有人把這個共享刪除了,機器重新啟動後又會被自動打開,所以這個安全問題是很嚴重的.關於域欺騙的問題,是微軟的安全漏洞無疑.在這裡看到,本文還要用到其它的hack技巧如nbtstat和getadmin,成功入侵一台NT server是要用到很多知識的.
看了之後是不是覺得心驚肉跳--你硬盤上的文件全在別人的掌握之中!這種感覺不太好吧,呵,所以如果不是必要的話呢,WIN98文件及打印共享的選項就不要開了,NT下最好對NetBIOS作個限制,要開的話--找個安全工具,比如LOCKDOWN2000,該軟件用法相當簡單,可以實時監控他人同你的電腦的連接……試試你就知道了。
還有些人可能會說--我是撥號上網,動態IP,就算共享又怎麼樣?請問你有沒有用ICQ?ICQ不是有"隱身人"的作用嗎?有些人又不服了--唉,那你就開著吧,告訴我你的ICQ號……
木馬侵襲
說到木馬很多人的第一反應就是BO,不錯,BO的確是迄今為止水平最高的一個木馬程序了--對了,要解釋一下什麼是木馬嗎?就是遠程控制軟件啦!一個客戶端,一個服務器端,兩邊都裝好後在客戶端
