![[ 永遠的UNIX::UNIX技術資料的寶庫 ]](/images/title.gif) GB | BIG5
|
| 首頁 > 安全技術 > 其它 > 正文 |
 |
| UNICODE編碼漏洞全攻略-8 |
| 作者:badboy 壞男孩俱樂部 (2001-05-20 21:04:00) |
badboy 壞男孩俱樂部
這並不是什麼權威教材,只適合菜鳥了解win9x、NT存在的不安全面,切莫
用此方法在國內做嘗試,如果你偏要如此,那麼由此引起的一切法律後果由
你自己負責。
本文只允許在網路任意轉載,但須保留文章的完整性,如把本文作經濟目
的使用,或者未經本人許可進行印刷、光碟雜、等出版性質的行,本人
將保留侵權控告的權利。
八、unicode安全問題
1、unicode漏洞解決方案
簡單解決方案︰
限制網路用戶訪問和調用CMD的許可權,
在SCRIPTS、MSADC目錄沒必要使用的情況下,刪除該文件夾或者改名。
安裝NT系統時不要使用默認WINNT路徑,你可以改badboy或者其他什麼的文件夾。
當然最好的方法還是下載最名的補丁公司m$提供的補丁。
該漏洞補丁隨微軟安全公告MS00-057一起發布
(http://www.microsoft.com/technet/security/bulletin/ms00-057.asp)
可以從如下地址下載補丁:
IIS 4.0
http://www.microsoft.com/ntserver/nts/downloads/critical/q269862/default.asp
IIS 5.0
http://www.microsoft.com/windows2000/downloads/critical/q269862/default.asp
2、檢查是否被黑客利用unicode漏洞入侵
檢查LOG日
在winnt\system32\logfiles\w3svc1\目錄裡保留有web訪問記錄
如果曾經被人利用UNICODE漏洞訪問過,我們可以在日裡看到類似的記錄
13:46:07 127.0.0.1 GET /scripts/..\../winnt/system32/cmd".exe 401
13:46:07 127.0.0.1 GET /scripts/..\../winnt/system32/cmd".exe 200
如果有人曾經執行過COPY、del、echo、.bat等具有入侵行命令時
13:47:37 127.0.0.1 GET /scripts/..\../winnt/system32/cmd".exe 401
13:47:37 127.0.0.1 GET /scripts/..\../winnt/system32/cmd".exe 502
在winnt/system32/logfiles\msftp\svc1目錄裡可以找到運行FTP的日
如果有人執行過FTP命令,在日文件裡我可以看到類似的記錄
13:59:25 127.0.0.1 [2]USER badboy 331
13:59:25 127.0.0.1 [2]PASS - 230
13:59:25 127.0.0.1 [2]sent /a.txt 226
13:59:25 127.0.0.1 [2]QUIT - 226
這裡入侵愛好者請注意,你利用目標主機到某個站點FTP下載什麼文件都是被記錄
的,不要以你刪除文件、改檔案名就可以逃脫你入侵的証據了。
我們不排除有可能入侵者使用代理伺服器或者其他的肉機。
當然你知道自己被人利用UNICODE漏洞來入侵自己的主機,但在這些日裡你
無法找到記錄,那你就更要注意了,因你遇到的不是一般的小菜鳥了。
檢查事件查看器裡面的錯誤記錄
我們也可以在管理工具的事件查看器裡找到入侵者的足跡,比如在某個時段出現
比較多的警告資訊。資訊類似以下內容︰
事件類型: 警告
事件來源: W3SVC
事件種類: 無
事件 ID: 100
日期: 2001-2-2
事件: 21:51:26
用戶: N/A
電腦: CLUB-BUM1HOYJHJ
描述:
該伺服器因錯誤 登錄失敗: 未知的用戶名或錯誤密碼。 而無法登錄至 Windows NT 帳號 'CLUB-BUM1HOYJHJ\badboy'。此資料錯誤碼。
若要獲取關於此消息的更多的資訊,請訪問 Microsoft 聯機支援站點: http://www.microsoft.com/contentredirect.asp 。
資料:
0000: 2e 05 00 00 ....
後話︰本攻略目的只在於解釋UNICODE漏洞的具體情況,適合網路安全技術入門者
和沒有受過安全培訓的網站管理人員對漏洞的了解,無任何鼓動或者教唆以入侵
榮的目的,請勿對號入座。
文章自認簡單,無任何高級攻擊手段,望高手一笑了知,如有不足之處,望來信
或者給本人留言。
badboy
badboy-club@21cn.com
壞男孩俱樂部
badboyclub.go.163.com
badboyclub.163.net
badboyclub.heha.net
(http://www.fanqiang.com)
進入【UNIX論壇】
|
|
| 相關文章 |
|
====== |
|
|
|
★ 樊強制作 歡迎分享 ★ |