局域網服務器入侵分析與應對策略*

匡鳳飛

(福建師范大學閩南科技學院)

?

局域網服務器入侵分析與應對策略*

匡鳳飛

(福建師范大學閩南科技學院)

文中介紹了局域網服務器常見入侵方式、應對策略及有關防范工具，并強調了建立日常服務器入侵防范機制的必要性.

局域網；服務器入侵；應對策略

1 服務器在局域網內常見入侵分析

1.1 常規掃描入侵

局域網的服務器端口常會受到來自外界的不良掃描風險.通過不同的端口掃描，能夠挖掘一定的IP地址，同時還能夠打開掃描對象的傳輸層UDP或TCP端口.對于執迷于掃描服務器端口的人而言，利用端口掃描器等輔助工具能夠滿足其技術需求.端口掃描器雖然在功能和用途上官方聲稱僅作為學習研究使用，但卻成為了最有效的服務器入侵幫兇，是黑客最常使用的工具.常見的端口掃描器包括Port Scanner1.1，X-Scan掃描器，UltraScan、Ping掃描器、NetScan、Ping Pro等工具.

1.2 默認共享入侵

在局域網中出現默認共享入侵的概率也是相當大的.例如某局域網的服務器安裝windows server 2008系統.，服務器上的個人計算機或工作組Work1、Work2…Work N，同時安裝兩種不同的操作系統Windows 10或Windows 2008.設定其中的一臺計算機，用戶名為JQ_123，密碼為aaaaaa，已經處于登陸狀態，那么對這臺計算機而言就能夠使用默認共享入侵方式，在其網絡鄰居的相關地址欄中輸入serveradmin$，能夠進入Windows 2008系統目錄Windows NT中，不法人員可以直接刪掉其中的某個文件.輸入serverd$后將進入服務器中的D盤，那么服務器實際已經處于該計算機的控制中.很多企圖破壞服務器的人可以通過新建Winstart.hat或Wininit.ini文件，建立C盤格式化語句，等到下次啟動服務器后，C盤中的文件將全部消失.一旦在服務器中加入木馬，則整個服務器與更多的工作組電腦無疑全部中招，后果嚴重.

1.3 Ping命令入侵

Ping命令入侵也可以稱之為ICMP入侵，攻擊者往往靠Ping來尋找Windows系統中的隱形漏洞，利用服務器中的某臺工作計算機的DOS窗口輸入服務器的IP地址后，服務器系統托盤電腦圖標將一直處于閃動狀態，表明計算機已經發出請求輸出到服務器.一旦在局域網內出現更多的計算機，在它們的Aotoexec.bat文件中加入服務器IP地址后，服務器將會不時地收到來自所有電腦的請求，CPU使用率快速增高，整個系統面臨崩潰，這種情況正是DoS服務的典型表述，即同一時段內，服務器收到大量外界請求會因無法回應出現死機.

2 應對局域網服務器入侵的具體策略

2.1 常見入侵的應對措施

一般情況下，入侵服務器都需要首先明確服務器的IP地址，并且積極搜索所有端口.所以出于安全考慮，應該在“網上鄰居”選擇將服務IP地址做好隱藏，保密服務器中的工作組名，屏蔽敏感端口等.

一般情況下，組織機構應該重視病毒防火墻和網絡防火墻的必要性，定期更新病毒庫，有選擇性地安排服務器病毒查殺.定期使用DOS命令netstat-a對服務器端口進行檢測，當然也可以借助Superscan等軟件完成檢測，認真核對檢測結果與端口列表，一旦出現未知端口的異常連接，就應該立即斷開網絡，用Trojan Remover等軟件檢測木馬是否存在.在檢測端口的同時也要完成對服務器進程的檢測，可以借助專業的進程管理軟件檢測服務器進程，也需要同原有列表比照中對不明進程予以判別和處理.服務器的各種計算機之間必然存在資料和數據的共享，但應該有所警惕，常用netshare命令查看共享的風險性.對于共享文件的開啟應該設置密碼，并準許指定的用戶登錄，不能隨便修改共享權限.

2.2 針對性防范措施

針對共享入侵的防范，Windows2008系統下的默認共享設立初衷便于遠程距離的維護，面對入侵風險，應該積極予以防范.找到注冊表編輯器并點開后迅速定位：

HTKEY_LOCAL_MACHINE SYSTEM Current Control Set Services lanman server當然服務器采用的系統不同，相應的處理也不同.系統采用Windows 2000 Pro時，新建一項AutoShareWks的DWORD值賦值為0，關閉 admin$共享；系統采用windows 2000 Server時，新建AutoShareServer的DWORD值賦值為0，最后定位：

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa

找到“restrictanonymous”，設置賦值為1，關閉IPC$共享.重啟后默認共享即不再出現.當然要想更進一步消除隱患，還需要與其他處理， Windows2008系統下的計算機一般會利用iPS$的空連接進攻服務器，其他用戶可使用X-Scan等專用軟件填充IP后在模塊中點SQLserver弱口令，獲取nt-server弱口令后，可在計算機的cmd運行窗口輸入口令建立空連接，激活Guest，并入管理員權限后就可遠程控制.

2.3 常用入侵的應對工具

(1)系統防火墻

目前，眾多防火墻都會具備相應的禁止ICMP設置， Windows 系列的防火墻也有該項功能.通過依次點擊“控制面板”-“Windows防火墻”-“高級”選項卡-選擇系統中已經建立的寬帶連接方式，后從“設置”中的“高級設置”項選“ICMP”選項卡，確?！霸试S傳入的回顯請求”前未勾選，點“確定”完成防火墻的禁止ICMP功能.

(2)第三方防火墻

眾多機構組織的局域網中，都會建設第三方防火墻，這樣的防火墻一般都在設置之初就擁有了很多防范風險的規則.這些規則并不是屬于直接強加的內容，可以快速的在應用欄前進行選擇去控制使用.與此同時，第三方防火墻也會安排相應的創建制度，指導創立有效的防火墻后對于外來的惡意攻擊和入侵能夠進行有效的掃描，入侵檢測基本具有如下邏輯.

圖1 通用的入侵檢測邏輯模型

(3)蜜罐技術

蜜罐屬于服務器的情報收集系統.現今市場上出現了五花八門的蜜罐工具，原理如出一轍.通過對存在漏洞的服務器進行虛擬，等待外界的惡意入侵者進入陷阱.入侵者看到相應的端口后并不能進行有效的入侵，從而起到了保護的租用.

3 局域網服務器入侵案例分析

3.1 案例背景

積極針對當前某校開展校園一卡通服務器的例行安全檢測.某校開展校園一卡通服務器中存有大量數據，主要包括學生信息，一卡通中的生活費用等，因此本次檢測至關重要，本次案例分析將通過例行風險檢查，確定是否需要升級服務器.

3.2 入侵事件還原及分析

3.2.1 掃描網絡服務器

需要首先準備可以幫助入侵服務器的工具軟件，然后掃描當前學校的內網服務器端口，由于服務器的IP地址已經知曉，因此不必再掃描 IP. 選用漏洞掃描軟件，全面地檢測服務器存在的注入漏洞.第一步從 WEB服務器入手，進入學校網站后，并沒有在眾多端口發現可入侵注入點；第二筆進入后臺，對于可以提供上傳的位置展開上傳注入，但仍未獲得管理權限.因此，在可能出現的外界入侵掃描環節，學校的服務器阻攔效果明顯，具有一定的防范性.

3.2.2 強行破解校園網絡

模擬不法人員從后臺尋找有效漏洞登錄服務器后，通過在線的文本編輯器將后臺的所有數據庫進行替換，快速設立不法登錄用戶，完成利用后臺登錄網站的目的.

順利進入后臺后，打開 webshell，對于存在的一切信息進行收集以便獲得提取權限.首先進行net user口令，從而出現 ASPNET 用戶的存在，當通過軟件檢測網站沒有啟動解析 aspx 的服務.進行net stat—an口令后，隨即又出現了遠程終端和 pcanywhere，這時利用軟件掃描 43958 端口成功，通過net start指令看到服務器中存在 MSSQL，pc Anywhere, Terminal Services.

積極試驗本地溢出后，由于添加用戶的操作沒有成功，可以看出學校的網站進行了 guest 權限設置.guest 權限導致 webshell 中產生的眾多命令沒有辦法得到響應.

下一步嘗試建立NC 的反向鏈接.當選擇將NC上傳后， webshell 中存在的cmd 命令中加入指令，成功具有 administrator 權限的用戶加入后，就算完成登錄.然后的操作就屬于惡意入侵的做法：看到服務器中存在的多個院系站點后，直接清理后刪除日志并退出.

3.2.3 利用漏洞攻破服務器，溢出嗅探攻擊

利用軟件IIS 寫漏洞進行高校服務器的探測十分有效.利用遠程軟件直接連接傀儡機，通過傀儡機登陸已經入侵的服務器，查詢得知學校的IP 網段，在IIS的有關寫權限掃描工具模塊中隨意布置某一 IP 段，后查出可用 IP.在 IIS 寫權限漏洞處迅速使用工具填寫有缺陷的IP，寫入木馬程序后獲取數據包點擊提交，然后通過點擊“put”中的“move”完成提交數據包，就得到替換的木馬路徑，再用客戶端連接.

由于已經得到了部分學校主機的信息，就可以進行溢出操作.溢出應該是所有攻擊手段中最快而有效的一種，通過不斷增加的服務器主體，局域網的溢出成功率變得更高，利用測試出的DNS 溢出完成測試.

通過不斷地溢出和嗅探，就能夠獲得主機中 Flash FX 等等一切敏感信息，成功獲取學校一部分站點的控制權.

4 建立日常服務器入侵的防范機制

4.1 選用防木馬病毒網關

對于企業級局域網而言，選用有效的防病毒網關是解決企業服務器免受風險的關鍵.防病毒網關即在服務器的網關處加設能夠防病毒的硬件裝置，裝置的作用在于對外界與內網之間流通的數據分析過濾后阻止病毒代碼的滲透，有效針對蠕蟲病毒的攻擊進行弱化和消除.其運行的原理主要是可以采用流掃描技術，提高性能減少網絡延遲時.流掃描技術會主動針對文件內容進行掃描，大幅度縮減處理程序.防病毒網關一般都采用即插即用形式，因而不會主動變更現行網絡的內容.防病毒網關部署成功后，接入上網線并開啟后直接進行設置，就能夠對數據信息展開有效的病毒掃描模式，極大地抑制內網與外界交流過程中外來病毒的攻擊.

4.2 強化管理漏洞補丁

局域網的服務器需要防范的網絡病毒主要是蠕蟲病毒.蠕蟲病毒通常正利用局域網內的各種缺陷和漏洞進行隱藏性傳播和擴散.從這個角度看，安全工作人員應該在局域網內部強化漏洞補丁程序的管理，以便讓所有的應用程序都能夠保持安全性.因此在局域網中加裝補丁分發服務器，可以讓企業機構中的所有應用都可以直接并于服務器上下載補丁，有效縮減更新時間，大大增加安全性.

圖2 防火墻能夠有效提高局域網內的安全性能

4.3 升級服務器抗風險能力

對于局域網可能受到的外來風險，安全工作人員應該積極考慮部署更大功能的服務器，例如防病毒服務器，從而強制局域網中所有工作組計算機內的客戶端自動完成病毒庫的更新升級，當然，還應該注意定期開通外網聯接，確保防病毒服務器的病毒庫與當前的網絡病毒庫保持版本統一.通過病毒庫的更新升級，防病毒程度容易比對出局域網中的新型病毒實現整個局域網的有效監控，而且能夠放心地將局域網匯中所有網絡病毒全部查殺.

4.4 強化局域網內資料的保密性

對于局域網內服務器上資料信息，很多是企業的核心機密，如果日常只是放在服務上存放，并沒有主動保密和防護意識，就可能導致信息通過不同的途徑泄露，例如可能遭受網絡入侵攻擊，也可能受到來自網絡上0day主義者的越界操作.0day雖然在創立之初僅作為破解游戲的指代，但如今成為了很多共享破解技術的不法分子入侵的有力手段.要警惕0day主義者常見的伎倆：竄改網站日期字段，預先瀏覽未來設定日期的內容；充當管理員修改后臺內容；利用SQL隱碼技術修改企業絕密文件的預發布時間；利用系統漏洞突破訪問權限；設置主機后門.

5 結束語

局域網服務器的安全問題對于組織機構的發展來講，同樣是至關重要的一環.安全工作人員應該要通過不斷的學習和試驗，積累足夠的應對風險的經驗，積極查找存在于局域網服務器網絡中的漏洞，做好應用的安全防范措施.同時，積極呼吁在局域網中的所有用戶，應該提高自身網絡安全意識，積極選用先進技術保障自己的信息安全，從而維護整個局域網的安全穩定.

[1] 陳莊，巫茜,等.計算機網絡安全工程師寶典[M].重慶：重慶出版社，2010.

[2] 楊永濤. 基于ASP的上傳漏洞入侵分析及其防范措施[J].電子技術，2008, 45(5).

[3] 石凌云，詹建國. 計算機網絡安全服務器入侵與防御研究[J] .電腦知識與技術，2010,6:4116-4117..

[4] 楊洪斌，徐蘭萍. 淺談服務器群組防護[J] .信息系統工程，2012(2):21-23.

(責任編輯：李家云)

Analysis and Coping Strategies of LAN Server Intrusion

Kuang Fengfei

(Fujian Normal University Minnan Science and Technology Institute)

In this paper, the common intrusion methods, coping strategies and related prevention tools are introduced, and the necessity of establishing the mechanism of daily server intrusion prevention is emphasized.

Local area network; Server invasion; Coping strategies

2016-03-22

*福建省教育廳B類科研項目“局域網服務器入侵分析與應對策略”(JB13274)

TP393.08

A

1000-5617(2016)03-0033-04