远程管理安全攻防实录

远程管理安全攻防实录

ｌｉｎｚｉｏｏｔ

本文可以学到 　　1　如何保护网站数据库不被非法用户下载 　　2　3289远程登录安全设置 　　本文涉及软件 　　mdb入侵者(jet) 　　Access数据库 　　SecureRDP 2.0 　　本文重要知识点 　　1　3389远程登录安全 　　2　数据库类型 　　3　数据库保护 　　 　　经过几个月的试运蓝盾，xx信息安全中心正式成立了，一群网络安全技术的狂热工程师们在北京的TI行业精华地段创办了中国第一家安全咨询中心。 　　时间：2007年9月 　　地点：信息安全中心客户中心 　　事件：龙信科技有限公司数据库失窃、新龙科技服务器遭黑客远程登录抢劫管理 　　工程师：孙佳兴(资深网络安全顾问) 　　公司负责人：龙信科技网络部　张经理 　　 　　本段掌握技能 　　网络数据库防窃 　　案例1：(数据库失窃、网站数据库地址被暴露营) 　　北京，一个商业竞争惨烈到极致的案例。在龙信科技的董事会上，公司总裁听取了第二季度的公司运营情况后略显惊疑地问道：“是不是因为公司的客服服务器多次遭到攻击造成了数据丟失，让竞争对手掌握了我们大多投标底价?限网络技术部三天给我个合理的解释。” 　　“老孙啊!救命啊，我们公司出现数据失窃，你赶快过来帮我解决一下问题啊。”网络部负责人拨通了工程师孙佳兴的公司电话。 　　 　　第二天的早上：“累死了，终于搞定你们公司的方案了，你们公司的网站被人爆库了，没有任何防护，数据不丢那才奇怪了。我都帮你弄好了，记得要请我吃饭啊!”“谢谢啦，饭一定请的!对了，你说的暴库是什么东西?”张经理好奇地问。 　　 　　实例： 　　如何防止网站数据库被下载 　　第一步：修改数据库名 　　由于大多小型企业都不具备自己开发网站的能力，大多都采用网络上发布出来的模板类整站进行建站，由于整站程序都是公开的，所以使用的数据库路径也很容易被熟悉网站构架结构的人猜到，如果不对数据进行修改就很可能被攻击者利用IE浏览器下载，从而得到网站管理密码，甚至得到服务器管理权限。 第二步：将mdb后缀数据库修改为.asp，并在数据库名称中加入#这类特殊字符。如果攻击者猜到了数据库路径，(如数据库是mdb类)在IE浏览器中输入地址就可以完成下载，进行修改后可避免此类情况。 　　比如数据库被从新修改为：http://www./xre#h.asp由于IE在下载文件时候只会读取#前的内容所以被IE读取的下载路径为：http://www.xxxcom/xrc#.asp此时，就算攻击者知道数据库路径也无法下载了。 　　嘿嘿，只是防止了攻击者下载数据库也不能算安全，因为很多黑客还会采用其他方式继续突破网站。让我们再构架一个反向入侵系统，既保护数据库安全，也能随时发现黑客攻击行为。 　　这里拿动网的论坛数据库(DVBBS7.0 for Access版)做演示，相信大家都熟知动网7.0的数据库默认路径(什么，你不知道?我倒，去动网官方下载一份自己趴着研究去：http://可以下载最新版本的动网论坛程序。)：动网安装目录/data/dvbbs7mdb。 　　首先，新建一个databoo的目录，将数据库dvbbs7.mdb文件拷贝到新目录下，并进行重命名：0917#dw.asp 　　然后，打开conn.asp文件，修改以下代码中的数据库路径： 　　修改前： 　　 　　dim conn,db 　　dim connstr 　　db="Data/dvbbs7.mdb"'数据库文件位置 　　'on error resume next 　　connstr="DBQ="+server.mappath(""&db&"")+"；DefaultDir=；DRIVER={MicrosoftAccess Driver(*mdb)};" 　　修改后： 　　dim conn,db 　　dim connstr 　　db="databoo/0917#dw.asp"'数据库文件位置 　　'on error resume next 　　connstr="DBQ="+server.mappath(""&dba&"")+";DefaultDir=;DRIVER={MicrosoftAccess Driver(*.mdb)};" 　　利用mdb入侵者制造一个溢出程序db1.mdb。将其拷贝到原来动网的默认数据库目录data中将其命名为：dvbbs7.mdb(将原来的数据库移除)。当攻击者下载默认后http://bbs./data/dvbbs7.mdb路径数据库时，利用mdb读取器(见图1)打开我们构造的溢出数据库后，我们的网站上将纪录他所有的攻击手段(由子程序执行后回溢出返回一个systemshell，我们不光可以察看黑客的攻击手段，并可以反控制其计算机)。 　　 　　本段掌握技能 　　远程管理安全验证 　　案例2(公司需要3389远程管理计算机，黑客入侵后同样可以利用远程) 　　新龙科技有限公司是一家IDC网络空间提供商，由于所有服务器在网通机房托管，管理人员需要对服务器进行远程管理。但最近黑客入侵情况严重，管理员发现服务器中有黑客入侵后利用远程桌面管理计算机。为保证公司可以正常使用3389远程管理计算机又希望对服务器增加特殊限制，防止黑客利用，管理员向xx信息安全中心咨询安全解决方案。 　　为此我们做出几个基于SecureRDP的安全防护解决方案，如下： 　　★远程管理限制 　　1、利用登录IP地址限制，验证服务器访问者身份 　　安装SecureRD，(推荐此防火墙是由于其有进程保护，为防止黑客强行关闭。读者也可以采用其他防火墙，如天网、瑞星。)选择IP address，选中enableip address fitter(打勾)然后点击“add”按钮，增加允许登录的IP地址(见图2)。 　　当发现黑客常使用的登录服务器IP地址时，也可以利用IP address进行限制，将图2中“mode→logon endabled”，改为：“mode→Logon disaboed”，填入要屏蔽的IP地址即可(见图3)。 　　 　　很多时候技术人员在管理服务器时可能遇到这样的一个问题，公司服务器IP地址不是固定的，如果做了IP登录限制，黑客是无法访问了，管理员也访问不到就麻烦了。为此我们还可以采用之如下几种方案： 　　2、用工作之利用登录计算机名限制，验证服务器访问者身份 　　依旧在SecureRDP中，选择C0mputer Name项，选中enableComputer Name Fitter(打勾)然后点击“add”按钮添加计算机名称，如：tooler。每次登录服务器的时候只要把使用的计算机改成tooler就OK了，(某小白问：如何更改计算机名称呢?我：哎，好好学习计算机应用基础啊，上过基础课程后这个都不会?算了，我来解决：在“我的电脑”点击鼠标右键选择“属性中“计算机名”→更改输入“tooler”)。 　　3、时间段限制登录用户 　　由于大多黑客入侵都发生在凌晨，而此时管理员一般不会管理服务器，所以可以在SecureRDP中限制登录时间。周一到周五：早上8点到晚上8点允许登录。其他时间无法登录(见图4)。 　　4、安装第三方管理软件，如PCAnyWhero或VNC。