注意异常连接和系统日志
利用漏洞的攻击是让网管员非常头疼的一类攻击。该如何预防此类攻击呢?
提高防范意识
管理员通常比较注意微软发布的Windows漏洞,并会及时地为系统安装补丁程序,但系统上运行第三方的服务程序却常被忽略。比如前一段时间Serv-U服务远程溢出漏洞就让很多服务器成为黑客的“肉鸡”。
系统中运行的远程访问或数据库服务等,都在不同程度上存在有漏洞,管理员应该同样关注这些第三方的服务程序,注意厂商发布的漏洞,并及时地安装补丁或升级服务程序。此外,还有一类漏洞存在于处理文件的应用程序中,如微软的Word文档、图形文件、Adobe的Pdf文档、Realplay的视频文件等。当管理员打开这些带有恶意溢出代码的文件时,系统就为黑客敞开大门了。
对付这类漏洞,首先需要管理员提高防范意识,同时也要求普通用户不要轻易打开来历不明的邮件,并及时安装相应的补丁文件。一个简单有效的办法就是严格控制服务器上安装的程序,保证服务器的简洁性,关闭不需要的系统服务。
注意异常连接和系统日志
有种错误认识,认为系统安装了防火墙和防病毒程序就能有效地防御针对漏洞的攻击。但从TCP/IP分层结构来考虑,防火墙是工作在传输层的,而漏洞溢出攻击的代码往往是针对应用层的程序,因此对这类攻击是无法检测的。
防火墙的特性是它能够对所有进出的连接加以控制,仅依赖防火墙的默认配置规则是不够安全的。管理员需要制定严格的访问规则,仅打开需要对外提供服务的端口。这样即使黑客能够通过漏洞打开系统的某个端口,但由于该端口受防火墙的阻挡,黑客也无法建立连接。
还有些攻击程序是端口反弹型的,程序会在溢出后主动连接黑客计算机上的某个端口,这样黑客就能通过一个反向的连接来控制被攻击的计算机。一般情况下,防火墙对进站连接的控制较严,而对于出站连接的管理较松,因此,黑客常常能成功实施攻击。所以,当发现异常的出站连接时,管理员需要认真分析,找出发起连接的进程,检查进程的用户名和连接的目的端口(如使用ProcessExplorer程序),结合经验判断是正常的连接还是非法的反向连接。
当发生溢出攻击时,服务程序会出现意外错误,管理员还可以通过检查应用程序的日志记录,了解错误发生的来源、频度、时间、类型等详细内容,依此判断是否遭受攻击。
合理限制服务程序的权限
当黑客利用漏洞成功溢出后,得到一个远程连接的Cmdshell,这个Cmdshell的权限往往继承了被溢出的服务程序的初始权限,而大部分服务都是运行在系统的System账户权限下的,该账户的权限甚至超过系统中的Administrator账户。也就是说,如果溢出成功,黑客将成为系统中的管理员。
虽然很大一部分系统内置的服务程序需要以System账户权限启动,但也有不少服务程序可以选择启动时的用户账户。对于这样的服务程序,我们可以在系统中建立一个较小权限的账户,并使用该账户启动服务程序。这样即使出现了漏洞,黑客也只能得到一个较小权限的Cmdshell。
网友评论