[ 永远的UNIX::UNIX技术资料的宝库 ]
首页 > 安全技术 > 其它 > 正文
UNICODE编码漏洞全攻略-8
作者:badboy 坏男孩俱乐部 (2001-05-20 21:04:00)

————————————————————————————————— 
badboy 坏男孩俱乐部 
这并不是什麽权威教材,只适合菜鸟了解win9x、NT存在的不安全面,切莫 
用此方法在国内做尝试,如果你偏要如此,那麽由此引起的一切法律後果由 
你自己负责。 
本文只允许在网路任意转载,但须保留文章的完整性,如把本文作爲经济目 
的使用,或者未经本人许可进行印刷、光碟杂、等出版性质的行爲,本人 
将保留侵权控告的权利。 
————————————————————————————————— 
八、unicode安全问题 

1、unicode漏洞解决方案 
简单解决方案∶ 
限制网路用户访问和调用CMD的许可权, 
在SCRIPTS、MSADC目录没必要使用的情况下,删除该文件夹或者改名。 
安装NT系统时不要使用默认WINNT路径,你可以改爲badboy或者其他什麽的文件夹。 
当然最好的方法还是下载最著名的补丁公司m$提供的补丁。 
该漏洞补丁随微软安全公告MS00-057一起发布 
(http://www.microsoft.com/technet/security/bulletin/ms00-057.asp) 
可以从如下地址下载补丁: 
IIS 4.0 
http://www.microsoft.com/ntserver/nts/downloads/critical/q269862/default.asp 
IIS 5.0 
http://www.microsoft.com/windows2000/downloads/critical/q269862/default.asp 

2、检查是否被黑客利用unicode漏洞入侵 
检查LOG日 
在winnt\system32\logfiles\w3svc1\目录里保留有web访问记录 
如果曾经被人利用UNICODE漏洞访问过,我们可以在日里看到类似的记录 
13:46:07 127.0.0.1 GET /scripts/..\../winnt/system32/cmd".exe 401 
13:46:07 127.0.0.1 GET /scripts/..\../winnt/system32/cmd".exe 200 
如果有人曾经执行过COPY、del、echo、.bat等具有入侵行爲命令时 
13:47:37 127.0.0.1 GET /scripts/..\../winnt/system32/cmd".exe 401 
13:47:37 127.0.0.1 GET /scripts/..\../winnt/system32/cmd".exe 502 

在winnt/system32/logfiles\msftp\svc1目录里可以找到运行FTP的日 
如果有人执行过FTP命令,在日文件里我可以看到类似的记录 
13:59:25 127.0.0.1 [2]USER badboy 331 
13:59:25 127.0.0.1 [2]PASS - 230 
13:59:25 127.0.0.1 [2]sent /a.txt 226 
13:59:25 127.0.0.1 [2]QUIT - 226 
这里入侵爱好者请注意,你利用目标主机到某个站点FTP下载什麽文件都是被记录 
的,不要以爲你删除文件、改档案名就可以逃脱你入侵的证据了。 
我们不排除有可能入侵者使用代理伺服器或者其他的肉机。 
当然你知道自己被人利用UNICODE漏洞来入侵自己的主机,但在这些日里你 
无法找到记录,那你就更要注意了,因爲你遇到的不是一般的小菜鸟了。 

检查事件查看器里面的错误记录 
我们也可以在管理工具的事件查看器里找到入侵者的足迹,比如在某个时段出现 
比较多的警告资讯。资讯类似以下内容∶ 

事件类型: 警告 
事件来源: W3SVC 
事件种类: 无 
事件 ID: 100 
日期: 2001-2-2 
事件: 21:51:26 
用户: N/A 
电脑: CLUB-BUM1HOYJHJ 
描述: 
该伺服器因爲错误 登录失败: 未知的用户名或错误密码。 而无法登录至 Windows NT 帐号 'CLUB-BUM1HOYJHJ\badboy'。此资料爲错误码。 
若要获取关於此消息的更多的资讯,请访问 Microsoft 联机支援站点: http://www.microsoft.com/contentredirect.asp 。 
资料: 
0000: 2e 05 00 00 .... 



—————————————————————————————————— 
後话∶本攻略目的只在於解释UNICODE漏洞的具体情况,适合网路安全技术入门者 
和没有受过安全培训的网站管理人员对漏洞的了解,无任何鼓动或者教唆以入侵爲 
荣的目的,请勿对号入座。 
文章自认爲简单,无任何高级攻击手段,望高手一笑了知,如有不足之处,望来信 
或者给本人留言。 
badboy 
badboy-club@21cn.com 
坏男孩俱乐部 
badboyclub.go.163.com 
badboyclub.163.net 
badboyclub.heha.net
 
 
(http://www.fanqiang.com)     进入【UNIX论坛
相关文章

===更多相关===
 

★  樊强制作 欢迎分享  ★