瑞星卡卡安全论坛

首页 » 技术交流区 » 入侵防御(HIPS) » 入侵防御 一次非常规安全检测 【注意】
▄︻┻┳ - 2008-9-13 20:24:00
这是一次非常规的网路安全检测,或者也可称为网路安全调查。
  一、缘由:
  几天前,朋友说他们单位的一台数据库服务器好像被人黑了,并且在桌面上留言“***到此一游!”。我赶过去,对这台数据库服务器的系统进行了全面的检查。这台主机是Windows XP系统,没有打SP2补丁包。检查的结果让我非常惊讶:1.系统中有两个管理员用户“administrator”和“new”,并且密码都为空。2.系统开了3389端口,可以进行“远程桌面”连接。3.系统的开了23端口,可以telnet上去。4.系统135、445端口都开着,默认共享也没有删除。5.这台作为数据库服务器的主机,直接用sa连接数据库,密码为“sa”,可以用用SQL连接器连上去。通过问朋友得知这个系统是他用ghost盘做的,因为他看到好多人都是这样做的。难道这种现象具有普遍性?于是才有了这次非常规安全检测,看看笔者本地的网络安全到底怎么样。
  二、工具:
  s扫描器、微软远程登录工具(mstsc.msc)、telnet、SQL登录器
  三、时间段:
  某天晚上8点和一个工作日的早晨10点。
  四、对象:
  本地ADSL用户
  五、检测
  ADSL拨号上网,运行“命令提示符”(cmd.exe),然后用“ipconfig”命令获得本机外网ip地址。然后以本机IP为中心,确定一个ip段,以备用s扫描器扫描。
  1、远程登录测试(3389端口)
  第一步:在命令提示符下运行s扫描器,敲入如下命令:
  s syn **.1**.133.1 **.1**.138.254 3389
  不到10秒钟,结果出来了。(图1)

图1

  令人震惊!这个ip段有365台上线的主机,开3389端口的竟然有202个,占到73.7%!
  第二步:用微软自己的“远程桌面连接”工具(mstsc.msc)连接测试,从中随机找一个开了3389端口的主机,进行连接。哇!连上了!敲入用户名“administrator”,空密码测试,提示有“new”用户当前登录。(图2),原来有一个用户名为“new”的用户在。对不起了,直接点击确定,显示第一次登录的用户配置界面,不到10秒钟,果然进去了。马上“注销”出来。然后用“new”用户,空密码登录,也进去了。对方在看MM!(图3)马上退出来。随即对开了3389的其他主机进行测试,成功率高于60%。在测试中竟然有的Windows SP系统竟然支持多用户登录!登录进去后,对于一个没有安全意识的人他根本无法知道!有部分主机的“new”账户设置了密码,但“administrator”的密码为空。还有部分用户的设置了密码,但密码简单,猜三四次就猜中。比如一些简单的弱口令“123456”、“ndows”、“adsl”等等。

图2

图3

  分析:现在用“gost版系统”的用户非常多,这些系统除了一个“administrator”管理员用户外,还有一个“new”用户,也为管理员权限。并且所有的管理员密码都为空!另外有些“电脑城版系统”,竟然支持多用户远程登录!有相当一部分电脑用户对这些浑然不知,没有进行任何安全配置就直接使用。有些电脑用户认为安装了杀毒软件,就可以高枕无忧了。但“大门”敞开,这些杀毒软件就形同虚设,并且杀毒不等于防黑呀!
2、IPC$测试(139 445端口)
  第一步:在命令提示符下运行s扫描器,敲入如下命令:
  s syn **.1**.133.1 **.1**.138.254 139 445
  同样时间很短,结果马上出来了,开445端口的比3389的更多,粗略算了一下,超过80%,让人大跌眼镜的是这些主机3389、135都开放!(图4)

图4

  第二步:随机找一个ip,在“命令提示符”下运行如下命令:
  net use \\**.1**.135.253\ipc$ "" /user:administrator
  提示“命令成功完成”
  继续敲入命令:
  net use z: \\**.1**.135.253\c$
  提示“命令成功完成”(图5)

图5

  这样就把它的系统盘映射到本机,检测到此为止。都到了这一步还有什么不能做的呢,这台主机就算系统沦陷了。
  分析:这也是“ghost系统”或“电脑城系统”的后遗症,于管理员组的两个用户“administrator”、“new”都为空密码。电脑用户缺乏基本的电脑安全意识,更没有防范意识,请有方面的人来进行配置,系统安装完成不做任何配置就上网逛了,能不被黑吗?
3.telnet测试(23端口)
  第一步:在命令提示符下运行s扫描器
  s syn **.1**.133.1 **.1**.138.254 23
  很短的时间,结果就出来了!在测试的在线365个主机中开了23端口的有35个。(图6)

  第二步:用telnet连接测试
  随机找一个IP,敲入如下命令:
  telnet **.1**.134.242
  用“new”空密码登录失败,换用“adminstrator”空密码,登录成功。(图7)这样获得一个具有管理员权限的“shell”,检测到此结束。有一定基础的“命令行”操作经验的读者都知道,既然获得了“shell”,就等于控制了整个主机。

  然后对于其他IP进行测试,也用administrator或者new空密码连接,成功率超过40%。其中有以部分开了23端口的是路由器,用默认用户“admin”,默认密码“admin”,连接,竟然成功。(图8)(图9),这是两个不同品牌的路由器。既然控制了路由器,那可以拿下的就不仅仅是一台主机了,有可能整个局域网都将沦陷!

图8

图9

  分析:主机开了23端口,确实有些莫明其妙!一台个人电脑为什么开23端口,“ghost系统”及“电脑城版系统”都没有打开这个端口。我想这大概是已经有人进入了该主机,然后留的一个后门吧。电脑被入侵了,机主竟然一点都不知道!用户的安全意识可见一斑。另外,一些单位或者个人的路由器,也没有进行任何安全配置就联入网路,连默认的密码都没有更改,不被入侵才怪呢?
4.SQL Server测试(1433端口)
  SQL Server是很多企业、事业单位首选的数据库系统。这次测试的时间选在一个工作日早晨10点,因为这时这些数据库服务器都在工作。
  第一步:在命令提示符下运行s扫描器,敲入如下命令:
  s syn **.1**.133.1 **.1**.138.254 1433
  扫描结果有13个。(图10)

图10

  第二步:用SQL连接器连接测试:
  随机选一个IP,账户为“sa”,密码为空连接成功!(图11)然后敲命令”dir c:\“,可以执行!(图12)这样就等于获得了一个具有“system”权限(比管理员权限还高!)的“shell”。测试到此为止!都到了这一步,什么做不成呢?这台SQL server服务器宣告沦陷!

图11

图12

  分析:管理员(也许这些单位根本就没有专业的管理员)图方便或安全意识淡薄,以“sa”连接数据库,并且密码为空,或者以”sa“及其简单的数字为密码。这样只要用“扫描器”扫描到这台数据库服务器的IP,就可轻而易举地拿下!数据库的沦陷应该比一般的个人电脑的入侵后果更严重。
  总结:以上的安全测试所使用的工具都是一些及其常见的工具,一些是系统自己的,技术上也没有多大的难道,任何一个有一定电脑操作经验的人都可以完成一次入侵。如果别有用心的人拿来干一些事情,那就太可怕了。虽然这次测试的是笔者本地ADSL的一个IP段,但我想这种安全现状在全国肯定具有普遍性,网络安全状况不容乐观 !其主要原因是个人电脑用户安全防范意识淡薄,安全知识贫乏,不具备基本的安全技术。另外企事业单位对网络安全重视不够,缺乏专业的管理员。提高安全防范意识,掌握一定的安全技能,刻不容缓,不然下一个被入侵的人就是你!

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)
BAGGIO·18 - 2008-9-15 14:19:00
:default10: :default10: :default10:

  还可以.. 学习了
东方隐士 - 2008-9-15 16:55:00
:default6: :default2: :default12:
happysunday2003 - 2008-9-18 22:43:00
不会吧

这么简单

这么多???

费解
燕山隐者 - 2008-9-19 17:32:00
看到头一段的描述,就知道,早期电脑公司版的GHOST,万年前的东西
YanQian - 2008-9-23 21:37:00
奇怪,默认情况下系统安全性选项中“使用空密码的本地帐户只允许进行控制台登陆”是启用的啊!
怎么会那么容易通过远端登录?
Frank3160449 - 2008-9-24 21:47:00
..不知道啦,自己没中过。。。
xiaoyueIQ - 2008-9-26 22:15:00
现在的GHOST都有打上SP3了
最好挡担 - 2008-9-29 9:50:00
如何防御入侵才是大家关注
FCOME - 2008-10-2 22:03:00
不错 学习了
l8l8 - 2008-10-9 17:47:00
该用户帖子内容已被屏蔽
天天都要爱 - 2008-10-20 15:36:00
工具能否上传一下呢
虾T欲翔 - 2008-10-20 21:02:00
现在都不用那个版本的GHOST了吧- -
刚才扫描了两个B类地址,才扫到20台开3389的,密码(或者用户名)还貌似都改了……
恋爱幼儿园 - 2008-10-23 17:00:00
很好很强大,估计看客2种想法都大有人在吧
huyingji09 - 2008-10-26 22:11:00
谢谢分享啊``
爱弥漫 - 2008-10-29 12:39:00
:default9: :default9:
dboysun - 2008-10-29 23:12:00
:default7: 那么请问自己的xp是否已经做到了必要的防范措施,以及补救措施有多少?
拜托赐教
菜鸟Lee - 2008-10-30 20:35:00
太假了,,哪里有那么多人开着端口。。。
1
查看完整版本: 入侵防御 一次非常规安全检测 【注意】