如今病毒、木马肆虐,经常出现服务器被攻击等现象,出现这种情况往往会出现系统瘫痪、数据丢失,网站无法运行,常常还会感染客户端电脑感染病毒。这样会给公司或单位带来很大损失。作为网管确保单位网络正常运行是根本的任务,怎么才能确保网络安全呢?我们只要做到以下几点就能确保服务器系统更安全。
很多单位的服务器都架设了Web站点。可是一些网站经常会遇到网页被黑客修改等现象。出现这样的问题主要是该网站被人盗取了数据库并且破解了数据库中的管理员用户所造成的。
第一步:通过“版权申明”找到数据库文件
单位中一些网管为了省事,制作网站时到网上下载一个网站模版后稍加修改就成了自己单位的网站。这样的网站往往为黑客开了后门。
下载的网站页面中一般都有“版权申明”和“管理登录”两个链接,一般用户都忽略修改,在此我们可以轻松查到该网站的版本信息。了解到网站版本信息后,不法分子再到网站上下载一个相同的网站模版,即可很轻松查到数据库路径,如data/abcd.mdb。
其次一些模版网站目录下一般会有一个“安装说明.txt”或“使用说明.txt”安装指导文件,这些文件中指出版本信息和数据库路径,一般用户不会删除,网站架设后,该说明文件也会一并上传。因此我们只要键入www.xxxx.com使用说明.txt,回车后所有信息就一览无余了。
第二步:盗取数据库文件
找到数据库保存路径后,入侵者就开始行动了,首先登录入侵网站的首页,随后在该网址后面加上数据库的路径,如www.abcd.com/data/abcd.mdb,随后单击“回车”,如果路径寻找正确此时IE会弹出一个下载对话框。在此单击“另存为”按钮,这样入侵者非常轻松的就可以把网站的数据库下载本地。
下面我们就可以使用Access程序将其打开了,打开后我们可以看到该程序中提供了很多列表,在此入侵者需要寻找管理员的帐户,管理帐户一般保存在带有admin字样的表中,在此我们找到了一个命名oblog_admin表,该表中就保存着管理帐户,打开该表就可以看到管理员帐号。其中Username项中是用户名,password项是用户密码,在此我们很直观看到用户名,而密码是经过md5形式进行加密的,一般情况下看不到,因此我们对密码进行破解。
第三步:破解用户密码
数据库到手后,入侵者就掌握了该网站的命脉,下面就需要对管理员密码进行破解,破解md5密码的工具很多,如“梦断难寻MD5密码破解器”就是一个非常方便的破解工具,该工具操作方便,只要单击几下鼠标就能轻松的窃取到数据库中的密码。
>安全预防:保护数据库安全
为了不让黑客得逞,网管可以采取以下措施。首先删除网站中所有版权信息和安装帮助文件。其次及时修改数据库名,数据库的后缀是.mdb格式,这样很容易让入侵者嗅探到并且被下载,因此我们可以给数据库改名字,将数据库名后缀改为asa、asp、asax等扩展名,因为 ASP.NET的处理机制中,默认情况下,对这样的请求是直接拒绝的,这样数据库就不会被下载到本地。最后在IIS中设置禁止访问Access数据库。打开IIS网站属性设置对话窗口,选择“主目录”选项卡,单击“配置”按钮,打开“应用程序配置”对话窗口。而后单击“添加”按钮,在“可执行文件”中输入asp.dll,在“扩展名”中输入“.mdb”,勾选“限制为”项,并输入类似于“禁止访问”的信息,确定应用后完成设置即可。以后,当入侵者企图下载数据时,将会提示禁止访问。 通过上面的设置我们的网站数据库就安全多了,这样入侵者再也不会在从网页进入站点内部了。
预防他人篡改服务器密码
黑客等不法分子除了通过网站入侵外,还可以通过盗窃系统管理员密码进行登录。入侵者入侵服务器时,将系统管理员的帐户和密码进行修改,使得网管员无法进入该服务器。
第一步:分析入侵者现象
入侵者盗窃管理员密码一般都是在远程登录到系统中进行的。入侵者一般是通过扫描该电脑是否开启了3389远程登录窗口随后决定进行攻击。我们也可以在自己的服务器上右键单击“我的电脑”,并选择“属性”按钮,随后打开“属性”对话框,在此切换到“远程”标签项下,看看“允许用户远程连接到此计算机”复选框是否被勾选,如果勾选表示3389端口已经开放,这样入侵者就可以进行远程攻击了。
第二步:植入新管理帐号
随后入侵者通过电子邮件、QQ等方式将一个扩展名为dat的批处理文件发送到服务器上。该文件语句一般为:
net user zzzz 123456 /add
net user zzzz /active:yes
net localgroup administrators zzzz /add
其中,zzzz为用户,123456为密码,最后一句表示新增的zzzz用户为管理员用户。
该文件运行后,会自动向系统增加一个管理员用户。有了该用户,入侵者就可以非常方便的进入系统了。
第三步:远程登录系统
植入帐号后,入侵者在自己的电脑上单击“开始→所有程序→附件→通讯→远程桌面连接”,打开远程桌面窗口,在该窗口中输入该服务器的IP地址,随后单击“确定”按钮即可进入到服务器登录界面,在此输入刚刚植入的用户名和密码即可进入。
第四步:窜改系统内部帐号
入侵者登录到我们的系统后,他们就可以像控制自己电脑一样进行操作了,有时还会对我们系统内部的用户名和密码进行篡改,篡改密码时,单击“开始→控制面板→管理工具→计算机管理”,在打开的“计算机管理”对话框中打开“本地用户和组”项下的“用户”选中“administrator”,单击在弹出的菜单中的“设置密码”,随后再弹出的设置密码窗口中即可对我们的密码进行修改。
>安全防范:堵住自家后门
首先我们应该关闭1394端口,堵住自家后门,然后可以使用一款名为ERD2003的工具(微软推出的一款DOS下的密码重写工具)对Windows2000、XP、2003系统的管理员密码进行强行修改。
将软件刻录到光盘上,使用该光盘启动该计算机。使用该光盘启动计算机,系统会自动加载ERD2003程序,随后进入一个类似与Windows XP的登录界面,随后便可以进入系统。进入系统后ERD2003会自己加载常用的硬件设备,硬件设备加载后程序会扫描硬盘,随后弹出一个安装系统选择窗口,在此选择已经安装的系统。确定后,进入ERD2003主界面,ERD2003也提供了一个桌面,该界面与Windows桌面相似。修改密码时单击Start→administrative tools →locksmith进入到密码修改向导界面,首先进入用户选择界面。如果我们的系统中有多个管理员用户,在此选择要修改密码的用户名,随后单击Next按钮,进入到select new password界面,在此输入新密码,随后单击Next,在下面的界面中单击Finish按钮系统会重新启动,使用刚刚设置的用户名和密码就可以登录了。
除了通过3389端口入侵外,一些不法分子还通过系统开启的默认共享目录进行入侵,Windows Server2003安装后,会创建一些隐藏的默认共享,如(admin$、d$),主要用于管理员远程登录管理系统时使用,虽然方便,但是存在安全隐患。删除前,首先我们先来查看一下我们当前服务器系统中都打开了那些默认共享。查看时,在“我的电脑”图标上单击右键,选择“管理”命令,在打开的“计算机管理”列表中单击“共享文件夹→共享”,在右侧窗口中我们可以看到所有共享的文件夹,其中带有$字符的就是系统默认的共享文件。
在此右键单击某个共享文件夹名称,在右键菜单中选择“停止共享”即可将该共享文件删除,不过下一次系统启动后,该共享文件还会自动程序。要想彻底删除默认共享,我们可以使用手工方法进行删除。
删除时,打开记事本程序并输入下面语句。
@echo off
net share C$/del
net share d$/del
netshare ipc$/del
net share admin$ /del
提示:如果你有更多硬盘,请在net share d$ /del下自行添加,如net share e$/del、net share f$/del等。
随后将该文件保存为disshare.bat文件,并将其复制到C:\Windows\System32Grouppolic
-y\User\Scripts\Logon文件夹下。
然后打开运行对话框,在此键入gpedit.msc,打开“组策略编辑器”窗口,在此依次展开“用户配置→Windows设置→脚本(登录/注销)”分支,在右侧窗格中双击“登录”项,在弹出的窗口中,单击“添加”命令,选中C:\Windows\System32\Grouppolicy\User\Scripts\Logon文件夹下的disshare.bat文件。
完成上述设置后,重新启动系统,默认共享自动删除了。
防止被远程监控
一些公司有的服务器总是有出现奇怪的问题,D分区的空间容量总是不断增加,并且有时还会出现键盘无法使用的现象,更让人搞不清的是,系统中会莫明的多出一些安装好的程序。出现类似问题,一般这台电脑受到了黑客程序的远程控制。其实这样的问题很多了,类似的黑客程序也不少,比如“魔法控制”就是这样一款软件,该软件不仅能控制局域网的各个电脑,也能通过互联网对绑定公网IP的电脑进行攻击,我们的服务器就绑定了公网IP,这样就很轻易的对该电脑进行攻击了。我们先来模拟一下监控过程。
第一步:生成服务器软件
使用“魔法控制”时,我们先要制作一个服务器端程序,程序提供了动态域名连接、FTP连接、电子邮件连接等连接方式,我们可以根据需要选择。
如使用电子邮件连接时,在“魔法控制”界面中单击“服务器”按钮,弹出“生成服务器”对话框,在此切换到“电子邮件链接”项下,在Email address项中输入电子邮件地址,在下面的Pop server、Smtp server项中输入该邮件相应的服务器地址。并在下面的“密码”项中输入邮箱密码,单击“测试”按钮,弹出一个“邮箱测试成功”对话框,“确定”后并切换到“服务器设置”窗口。在“电子邮件连接”项中输入刚刚设置的Email地址,单击“添加”按钮该邮箱地址便可以添加到“服务器绑定方式”列表中,为了安全还可以在“服务器登录密码”框中输入一个服务器密码,随后单击“生成服务器”按钮生成一个名为server.exe的服务器文件,指定该文件的保存路径即可。
此外,如果开辟了ftp服务器,还可以使用ftp进行连接,方法也比较简单。
第二步:监控客户机
Server服务器文件生成后,接下来我们就可以监控其它计算机了,首先将该Server程序通过电子邮件、论坛下载、QQ等手段传到我们需要控制的计算机上,在该文件运行后,会自动添加到系统后台并不在桌面显示,因此受控电脑很难找到将此终止。
随后我们进入到主控端电脑上在“魔法控制”界面中单击“查找连接”按钮,程序会自动搜索被监控计算机的IP地址,将搜索到的被控计算机名和IP地址显示在右侧的计算机列表中。这时我们就可以看到都有哪些用户中了自己的服务器程序,这些用户都显示在该列表中。下面就可以监控电脑了。监控某台电脑时首先选中需要监控的计算机名,单击“登录”按钮程序弹出一个“文件管理”窗口,并在左侧的窗口显示被控电脑的中的所有分区列表,在此可以方便查找用户各个分区的文件。
第三步:服务器变成网络硬盘
一旦有人登录我们的电脑,他就可以进入我们不经常使用的文件夹,并将这些文件夹当作他的网上硬盘,随时将文件保留在里面,这样给我们的硬盘空间造成了不必要的浪费。
上传某个文件时,单击工具栏中的上传文件或上传文件夹按钮,在弹出的上传文件窗口中选择本地硬盘上需要上传的文件或文件夹,随后单击“确定”按钮即可将该文件上传到当前程序打开的被控电脑上。
单击“运行” 按钮便可以在被控计算机上直接运行指定的文件,这样我们的服务器可以随时被别人控制。
如果他对该计算机上的某个文件感兴趣,利用“下载”命令将该文件下载到电脑中,下载时选中需要下载的一个或多个文件,随后单击工具栏中的“下载”按钮 ,弹出一个“下载到”窗口,在此选择一个保存路径单击“确定”,在程序下面弹出一个下载窗口,在此我们可以查看现在进程,程序支持断点续传功能。
此外,程序还支持远程删除、新建文件夹、重命名等功能,可以直接将对受控制电脑进行操作。
第四步:桌面监控:
“魔法控制”远程桌面管理功能可以让对方随时监视受控电脑的桌面操作信息,还可以随时对文件进行控制。监控时单击“桌面管理”选择,程序进入“桌面管理”窗口,弹出一个Desktop工具条,在工具条中的下拉菜单中选择“自动”项,单击“刷新”按钮,程序便可以显示桌面上的内容,用鼠标单击桌面和开始菜单中的任何图标就可以运行指定的程序,就像操作本地文件一样轻松,这样就可以完成控制我们的计算机了。按下Ctrl+F12组合键,即可全屏监视桌面上的一举一动。
>安全防范:防止该程序入侵
首先我们要及时升级杀毒程序,并设置好服务墙。不要随意接受或打开不知名的exe文件。此外最好关闭不常用的端口,一些黑客、木马等程序都是通过端口对我们电脑进行控制,因此我们应该及时开启防火墙,对这些程序进行控制。
Windows server2003提供了一个防火墙功能,我们能有效对端口进行控制。具体方法如下:
第一步:打开“ 网上邻居→属性→本地连接→属性,在“在连接使用下列项目”列表中选择“Internet 协议(TCP/IP)”随后单击“属性”按钮;
第二步:在弹出的“Internet 协议属性”对话框中切换到“高级”标签项下,在该界面中勾选“Internet连接防火墙”项中的复选框,这样就开启了系统自带的防火墙功能。随后,单击下面的“设置”按钮,打开“高级设置”对话框,在此勾选Internet用户访问的服务。
第三步:在此我们还可以添加新的服务,单击“添加”按钮,打开“服务设置”对话框,在此输入该服务的计算机名或IP地址,在下面输入该服务的内部、外部端口号,随后单击“确定”即可。
通过上面的设置后,就只有选中的服务通过指定的端口进行Internet访问了,其他端口都将被关闭,这样黑客等程序也就无法入侵了。
