中國紅盟SharpWinner與天津站長探討網路入侵

仲介交易 SEO診斷淘寶客 站長團購 雲主機 技術大廳

6月21日下午3點，天津市軟體行業協會互聯網應用分會第五期周研討例會開始，官方QQ群：39241075，本期研討由站長網www.admin5.com、中國紅盟www.admin5.com、 中國紅盟www.redhacker.cn合作進行，主題：網路安全之網路侵入。

互聯 劉維君(老麥296128095)

各位好！ 按照預定計劃，今天下午舉行關於網路侵入的研討，仍然由紅客聯盟 主講。 有什麼問題大家可以交流，方式依然是由嘉賓講30分鐘，然後大家討論。

是中國紅客聯盟（www.redhacker.cn）CEO，《紅客風雲》作者，著有《解讀紅客-內幕大曝光》。

中國紅盟 SharpWinner

都在吧？ 我們的培訓現在開始，大家的網站有被駭客入侵過嗎？ ......

看來現在的駭客很倡狂啊，大家都知道網站是怎麼被駭客入侵的嗎？

剛才簡單做了個調查，大家網站被入侵的情況發生得比較多，而且也有部分站長知道駭客是怎麼入侵的，現在也有不少PHP網站也受到駭客的入侵，網上也有很多針對PHP滲透的各種工具。

那現在我們先來讓大家知道駭客有哪些網站的入侵技術

sql注入漏洞的入侵

這種是ASP+ACCESS的網站入侵方式，通過注入點列出資料庫裡面管理員的帳號和密碼資訊，然後猜解出網站的後臺位址，然後用帳號和密碼登錄進去找到檔上傳的地方，把ASP木馬上傳上去，獲得一個網站的WEBSHELL。

然後還有一種SQL注入漏洞的入侵方式，那就是ASP+MSSQL的網站入侵方式。 MSSQL通常會給使用者分配一個帳號，帳號的許可權分為三種sa,dbowner,public，sa許可權最高，public最低。

以前有很多資料庫都給SA許可權 ，特別是一些韓國的網站，一掃一大把都是SA許可權的，現在大部分網站都是給DBOWNER許可權。

如果是SA許可權的網站，注入點，那麼可以直接用資料庫的存儲擴展XP_CMDSHELL來執行系統命令，建立一個系統帳號，然後通過3389登錄進去。 或者上傳一個NC程式，然後用NC反連回來，獲取一個遠端的SHELL許可權，當然利用SA注入點入侵的方法還有很多種，我這裡就不一一講解。

如果是DB_OWNER許可權的話，那麼就要用到差異化備份的技術來備份出一個WEBSHELL，這個前提是需要知道網站的絕對路徑。 然後還有一種方法就是利用DB_OWNER許可權來列出資料庫裡面網站管理員的帳號和密碼，然後登錄到網站後臺裡面，看看有沒有可利用的地方，比如上傳檔，備份資料庫之類的功能，然後利用漏洞上傳ASP木馬上去。 這種登錄後臺的技術跟前面ASP+ACCESS的入侵方式很類似。

所以大家要清楚的是，駭客技術是一套一套的。 比如有A,B,C是入侵技術的三個部分，還有A1,B1,C1是另外一種入侵技術的三個部分，那麼根據實際情況，有可能會搭配進行，如可以用A,B1,C ，也可以用A1,B1,C，這樣可以搭配出好幾種入侵方式， 所以駭客入侵是千變萬化，大家要知道的是萬變不離其中，駭客的目的就是要利用網站以及伺服器可能存在的漏洞或者配置的錯誤來達到控制伺服器和網站的目的。

現在再來講解第三種駭客入侵技術

ASP上傳漏洞的利用：這種技術方式是利用一些網站的ASP上傳功能來上傳ASP木馬的一種入侵方式。 不少網站都限制了上傳檔的類型，一般來說ASP為尾碼的檔都不允許上傳，但是這種限制是可以被駭客突破的。 駭客可以採取COOKIE欺騙的方式來上傳ASP木馬，獲得網站的WEBSHELL許可權。

前面我們講到過，通過登錄系統後臺來進行入侵的技術，後臺資料庫備份方式獲得WEBSHELL就是其中之一， 這個主要是利用網站後臺對ACCESS資料庫進行資料庫備份和恢復的功能， 備份資料庫路徑等變數沒有過濾導致可以把任何檔的尾碼改成ASP 。 那麼利用網站上傳的功能上傳一個檔案名改成JPG或者GIF尾碼的ASP木馬，然後用這個恢復庫備份和恢復的功能把這個木馬恢復成ASP檔，從而達到能夠獲取網站WEBSHELL控制許可權的目的。

下面來講解網站旁注入侵技術：這種技術是通過IP綁定功能變數名稱查詢的功能查出伺服器上有多少網站，然後通過一些薄弱的網站實施入侵，拿到許可權之後轉而控制伺服器的其它網站。

我剛才不是用例子來形容入侵的三個過程嗎？ 剛才講的這個旁注應該算是入侵過程中的A ，一個入侵技術的整個流程應該是這樣的：首先進行目標資訊的收集，這個是A；然後對資訊當中的漏洞進行利用，拿到一定的許可權，並提升成為最高許可權，這是B，被稱為入侵實施；第三步就是要埋後門， 以方便駭客下次進入；最後一步就是清除蹤跡，讓別人很難查到網站是怎麼被入侵的額。

網站旁注入侵實質上是進行目標偵測的階段，旁注是偵測手段，後面的入侵是入侵實施階段。
　　
好，我們現在再繼續往下講

提交一句話木馬的入侵方式

這種技術方式是對一些資料庫位址被改成asp檔的網站來實施入侵的。 駭客通過網站的留言版，論壇系統等功能提交一句話木馬到資料庫裡面，然後在木馬用戶端裡面輸入這個網站的資料庫位址並提交，就可以把一個ASP木馬寫入到網站裡面，獲取網站的WEBSHELL許可權。

然後現在網上有很多人用一些免費的論壇代碼，網站代碼，博客系統代碼，這些免費的代碼是很容易被駭客利用的，所以建議大家在用之前把相應的補丁都打上。

論壇漏洞利用入侵方式

這種技術是利用一些論壇存在的安全性漏洞來上傳ASP木馬獲得WEBSHELL許可權，最典型的就是， 動網6.0版本，7.0版本都存在安全性漏洞，拿7.0版本來說，註冊一個正常的使用者，然後用抓包工具抓取使用者提交一個ASP檔的COOKIE，然後用明小子之類的軟體採取COOKIE欺騙的上傳方式就可以上傳一個ASP木馬，獲得網站的WEBSHELL。

GOGLE HACKing技術

這種技術方式是用GOOGLE來搜索一些存在安全性漏洞的網站，我們簡單列出GOOGLE的一些語法的使用方法：

iNtext:

這個就是把網頁中的正文內容中的某個字元做為搜尋條件.例如在google裡輸入:iNtext:紅盟.將返回所有在網頁正文部分包含"紅盟"的網頁

.alliNtext:使用方法和iNtext類似.

intitle:

和上面那個iNtext差不多，搜索網頁標題中是否有我們所要找的字元.例如搜索:intitle:紅客.將返回所有網頁標題中包含"紅客"的網頁.同理allintitle:也同intitle類似.

cache:

搜索google裡關於某些內容的緩存，有時候也許能找到一些好東西哦.

define:

搜索某個詞語的定義，搜索:define:hacker，將返回關於hacker的定義.

filetype:

這個我要重點推薦一下,無論是撒網式攻擊還是我們後面要說的對特定目標進行資訊收集都需要用到這個.搜索指定類型的檔.例如輸入:filetype:

doc.將返回所有以doc結尾的檔URL.當然如果你找.bak、.mdb或.inc也是可以的,獲得的資訊也許會更豐富:)

:filetype:doc.將返回所有以doc結尾的檔URL.當然如果你找.bak、.mdb或.inc也是可以的，獲得的資訊也許會更豐富

info:

查找指定網站的一些基本資訊.

inurl:

搜索我們指定的字元是否存在於URL中.例如輸入:inurl:admin，將返回N個類似于這樣的連接:HTTP://www.xxx.com/xxx/admin， 用來找管理員登陸的URL不錯.allinurl也同inurl類似，可指定多個字元。

link:

例如搜索:inurl:www.jz5u.com可以返回所有和www.jz5u.com做了連結的URL.

site:

這個也很有用，例如:site:www.jz5u.com將返回所有和jz5u.com這個站有關的URL.

對了還有一些*作符也是很有用的:

+ 把google可能忽略的字列如查詢範圍

- 把某個字忽略

~ 同意詞

. 單一的萬用字元

* 萬用字元，可代表多個字母

"" 精確查詢

現在簡單來講解一些實例：

對於一些駭客來說，獲取密碼檔是他們最感興趣的，那麼可以在GOOGLE上搜索以下內容：

intitle:"index of" etc

intitle:"index of" passwd

intitle:"index of" pwd.db

intitle:"index of" etc/shadow

intitle:"index of" master.passwd

intitle:"index of" htpasswd

這樣就會有很多一些伺服器的重要密碼檔沒有任何保護的暴露在網路上，駭客就會利用這些密碼來獲取系統的一些許可權。

以上駭客通過WEB的入侵技術我們只是做了簡單的介紹，目的是希望大家對駭客技術有一定的瞭解，但不希望大家利用這些技術來實施入侵。 我想大家就很想知道對於這麼多形形色色的入侵方式，有些什麼好的防禦方法

那下面我們就來講講怎樣來防禦基於WEB的各種攻擊

好了，那我們現在來講講，我們怎麼來做網站和伺服器的安全防範工作

防範WEB入侵有兩種方式，一種是用技術手段來防禦攻擊，另一種是用安全軟體來防禦攻擊。

手動的方式來防範基於WEB的入侵

1安裝補丁

安裝好作業系統之後，首先要做的就是要安裝系統的各種補丁程式，配置好網路之後，如果是WIN 2000的作業系統就裝上SP4，WIN 2003就安裝好SP1，然後點擊WINDOWS UPDATE，安裝好所有關鍵的更新。

2安裝殺毒軟體

殺毒軟體我們現在主要推薦使用兩款：卡巴斯基和瑞星。 這兩款殺毒軟體我們做過N多測試，結果表明卡巴斯基的殺查能力要強過瑞星，很多做過免殺的木馬過得了瑞星但是確逃不過卡巴斯基的法眼，當然卡巴斯基也不是百分百所有病毒都能查殺，一些木馬程式也是能做出過卡巴斯基的免殺。 只不過卡巴斯基在所有殺毒軟體當中查殺能力還算是不錯的。

3設置埠的安全保護功能

埠保護的方式有兩種，一種是TCP/IP篩選裡面進行埠設置，另外一種系統自帶的防火牆（我們以WINDOWS 2003作業系統為准，現在大部分的網站都使用的是WINDOWS 2003作業系統。 ）。

4 TCP/IP篩選的埠設置方式

在「網路位置」上選右鍵點開「屬性」，然後在「本地連接」上右鍵點開「屬性」，選擇「Internet協定（TCP/IP）」點「屬性」，然後在彈出的「Internet協定（TCP/IP）屬性」框裡選擇「高級」，然後在「 高級TCP/IP設置」框裡選擇「選項」，然後選擇「TCP/IP篩選」後點擊「屬性」，然後在彈出的「TCP/IP篩選」的框裡勾上「啟用TCP/IP篩選（所有配接器）」，選擇只允許，然後點擊添加你所需要開放的埠。

5自帶防火牆的埠設置

通過WINDOWS 2003作業系統自帶的防火牆來進行埠設置比較靈活，不用重新開機伺服器。 我們開始設置，在「網路位置」上選右鍵點開「屬性」，然後在「本地連接」上右鍵點開「屬性」，在彈出的框裡選擇「高級」，選擇「Internet連接防火牆」點擊設置，這樣就會彈出「WINDOWS 防火牆」的框。 我們選擇「啟用」，然後點「例外」，在這個裡面我們可以選擇「添加程式」和「添加埠」的方式來設置一些開放的埠。 有一點需要特別注意，如果是遠端連線伺服器的，要注意遠端虛擬終端的埠一定要開放。

6目錄的安全設置

包括系統磁片在內的所有磁片只給Administrators和SYSTEM的完全控制許可權。

C:\ Documents and Settings 目錄只給Administrators和SYSTEM的完全控制許可權。

C:\Documents and Settings\All Users 目錄只給 Administrators 組和 SYSTEM 的完全控制許可權。 C: \Inetpub 目錄及下面所有目錄、檔只給 Administrators 組和 SYSTEM 的完全控制許可權。 C:\Windows目錄除了給Administrators和SYSTEM的完全控制許可權之外，還需要給CREATOR OWNER用一個「特別的許可權」，Power Users使用者組除了完全控制之外的擁有權限，Users使用者組「 讀取和運行」，「列出資料夾目錄」，「讀取」的許可權。 C:\Windows目錄的這些許可權設置是非常重要的，如果除了Administrators和SYSTEM的完全控制許可權之外的那些許可權沒有設置，那麼系統重啟後，很多系統服務都不能正常使用。

C: \Windows\System32\cacls.exe、cmd.exe、net.exe，、net1.exe 檔只給 Administrators 組和 SYSTEM 的完全控制許可權。

7 IIS控制帳號的許可權分配

現在駭客的入侵技術當中，有一種技術叫網站旁注入侵，這種技術方式上面駭客入侵技術環節已經講過了，是通過伺服器裡面一個有漏洞網站的來實施入侵，成功獲取許可權之後轉而控制其它網站。 那大家就想知道這個問題是由於什麼原因導致的。 原來IIS對於遠端的普通使用者訪問是設置了一個專用的「IUSR_機器名」的帳號。 那麼正因為IIS用「IUSR_機器名」的帳號來管理所有網站存取權限，因此駭客就可以用到這種旁注入侵技術了。 那麼我們怎麼來解決這個問題？ 很簡單，我們給每個網站分別設置一個單獨的IIS控制帳號，IIS控制帳號的許可權設為GUESTS組就可以。 這樣即使駭客通過伺服器的一個網站拿到許可權，那他也只有這個網站的許可權，伺服器其它網站他都沒有許可權可以訪問，駭客對伺服器破壞的風險降低了，那麼安全就相對提高了。

8注入漏洞的修補以及上傳檔案類型的限制

這兩個部分是各位網站程式師所必須關注的，駭客對網站實施入侵的過程中，80％會用到網站的注入點和上傳漏洞來實施入侵。 注入漏洞的修補可以使用網上一些現成的修補代碼，如ASP通用防注入元件，防注入代碼完美版等，但是我們還是建議網站程式師稍微花點時間自己來寫防注入代碼，這樣會比較安全可靠。 上傳檔案類型的限制這個寫起來也不難，只允許使用者上傳你們網站所要用到的檔案類型，限制好檔案類型，特別不要讓ASP,ASA等副檔名的檔上傳上來，然後對檔的標頭檔進行一個檢查，發現有ASP木馬特徵的就限制上傳。 當然，現在的駭客越來越聰明，ASP木馬大部分都使用一句話木馬，然後還會對代碼進行各種各樣的變形處理來逃過網站的限制以及殺毒軟體的查殺。 對於這些免殺技術的木馬用ASP代碼的方式很難防範，最好使用安全產品來進行防禦。
9 SQL許可權的安全設置

ASP+MSSQL是駭客最感興趣的網站，通常駭客能很輕鬆的利用MSSQL的漏洞拿到系統許可權，因此這一塊是大家要加以重視。

首先系統安裝的時候，儘量不要預設安裝到c:\Program files目錄裡面，然後安裝好之後要打好SQL資料庫最新的補丁程式。 然後資料庫不要放在預設的位置，接下來就要看網站是否需要遠端登入sql伺服器，我們建議能不用遠端就不要用，如果必須使用的話，那建議大家可以把埠改成一個高端埠，這樣駭客很難找到。

在做好安全安裝的工作之後，就要把SA設置一個複雜的密碼，然後把SQL裡面的BUILTIN\Administrators使用者組刪除，這樣是避免駭客以WINDOWS身份登錄SQL。 接著在企業管理器裡面編輯SQL Server註冊屬性，選擇使用「使用SQL Server身份驗證」並勾選「總是提示輸入登錄名和密碼」。

然後在增加使用者的時候，只給public和db_owner許可權。

添加使用者

exec sp_addlogin 'abc'

使它變為當前資料庫的合法使用者

exec sp_grantdbaccess N'abc'

授予abc使用者對資料庫的db_owner許可權

exec sp_addrolemember N'db_owner', N'abc'

最後我們就要刪除一些駭客常用到的調用SHELL，操作註冊表，調用COM元件的許可權。

打開查詢分析器，輸入：

use master

EXEC sp_dropextendedproc 'xp_cmdshell'

EXEC sp_dropextendedproc 'Sp_OACreate'

EXEC sp_dropextendedproc 'Sp_OADestroy'

EXEC sp_dropextendedproc 'Sp_OAGetErrorInfo'

EXEC sp_dropextendedproc 'Sp_OAGetProperty'

EXEC sp_dropextendedproc 'Sp_OAMethod'

EXEC sp_dropextendedproc 'Sp_OASetProperty'

EXEC sp_dropextendedproc 'Sp_OAStop'

EXEC sp_dropextendedproc 'Xp_regaddmultistring'

EXEC sp_dropextendedproc 'Xp_regdeletekey'

EXEC sp_dropextendedproc 'Xp_regdeletevalue'

EXEC sp_dropextendedproc 'Xp_regenumvalues'

EXEC sp_dropextendedproc 'Xp_regread'

EXEC sp_dropextendedproc 'Xp_regremovemultistring'

EXEC sp_dropextendedproc 'Xp_regwrite'

drop procedure sp_makewebtask

點擊功能表上「查詢」裡面的「執行」，這樣就可以把這些會被駭客利用的許可權刪除掉。

剛才我們把伺服器的安全防範技巧跟大家進行了講解

那麼，現在我們進入自由問答時間

站長：linux應該注意什麼？

中國紅盟 SharpWinner:簡單來說，現在LINUX系統層面的漏洞不多了，更多的還是應用層面，包括APACHE+PHP+MYSQL這幾個方面所存在的安全問題

站長：生成html安全性是不是也管些用

中國紅盟 SharpWinner:嗯，靜態頁面駭客很難入侵

站長：你覺得現在程式方面最強壯的BBS是哪個？ DZ嗎？

中國紅盟 SharpWinner:其實現在很多BBS都有地下的0DAY漏洞，相對而言，PHP的論壇要比ASP的安全，0day指的是未公開的漏洞

站長：被掛了以後怎麼辦?

中國紅盟 SharpWinner:被掛馬之後，最好把網站停掉，然後仔細檢查，最好用一些工具來配合檢查 ，可以檢查網站被改動的檔

互聯 劉維君(老麥296128095):中國做紅客的人是值得尊敬的，雖然他們的人數越來越少了。

中國紅盟 SharpWinner:嗯，現在是我們蟄伏的階段，今年我們會通過一系列的宣傳活動來給紅客注入新的思想，新的文化，《紅客風雲》的出版將是我們非常重要的一個文化傳播的方式，今年下半年我們會將這兩年宣傳得比較多的《 紅客風雲》出版，書裡面講的是中國紅客為保護國家利益與國外間諜勢力進行鬥爭的故事。