病毒可不可以攻击服务器?
Web服务器将成为下一代黑客施展妖术的对象。在很大程度上,进行这种攻击只需一个Web浏览器和一个创造性的头脑。以前,黑客的攻击对象集中在操作系统和 *** 协议上,但随着这些攻击目标的弱点和漏洞逐渐得到修补,要进行这类攻击已经变得非常困难。操作系统正在变得更加稳健,对攻击的抵抗能力日益提高。随着身份验证和加密功能渐渐被内置到 *** 协议中, *** 协议也变得更加安全。此外,防火墙也越来越智能,成为 *** 和系统的外部保护屏障。
另一方面,电子商务技术正在日益普及开来,其复杂性有增无减。基于Web的应用程序正在与基本的操作系统和后端数据库更加紧密地集成在一起。遗憾的是,人们在基于Web的基础设施安全性方面所做的工作还很不够。Web服务器和Web应用程序中的弱点被发现的速度为何这么快呢?
有很多因素促成了这种Web黑客活动的快速增加。其中最主要的原因是防火墙允许所有的Web通信都可以进出 *** ,而防火墙无法防止对Web服务器程序及其组件或Web应用程序的攻击。第二个原因是,Web服务器和基于Web的应用程序有时是在“功能之一,安全其次”的思想指导下开发出来的。
当您的Web服务器面临巨大威胁时,怎样保障它们的安全呢?这就需要您不断了解新信息,新情况,每天跟踪您所用服务器的有关网站,阅读相关新闻并向它进行咨询。为了让你着手这方面的工作,下面介绍黑客对NT系统的四种常用攻击手段,同时介绍如何防止这类攻击。
Microsoft IIS i *** .dll缓冲区溢出
受影响的服务器:运行IIS 4.0并带有“Service Pack 3/4/5”的Windows NT服务器
Microsoft IIS缓冲区溢出这一安全弱点是Web服务器无时不有的重大缺陷之一。该弱点被称为IIS
eEye,这个名称来自发现此问题的一个小组。在实施缓冲区溢出攻击时,黑客向目标程序或服务输入超出程序处理能力的数据,导致程序突然终止。另外,还可以通过设置,在执行中的程序终止运行前,用输入的内容来覆盖此程序的某些部分,这样就可以在服务器的安全权限环境下执行任意黑客命令。
eEye发现,IIS用来解释HTR文件的解释程序是i *** .dll,它对缓冲区溢出攻击的抵抗力十分脆弱。如果攻击者将一个以.htr结尾的超长文件名(大约3,000个字符,或更多)传递给IIS,那么输入值将在i *** .dll中造成输入缓冲区溢出,并导致IIS崩溃。如果攻击者输入的不是一串字母而是可执行代码(通常称为“鸡蛋”或“外壳代码”),那么在IIS终止之前将执行该代码。由eEye小组发现的这一攻击 *** 包括三个步骤:
1.创建一个用于侦听任意TCP端口上连接活动的程序。一旦接收到连接信号,该程序将执行一个Windows命令外壳程序(cmd.exe),并将该外壳与连接绑定在一起。这个程序是经过修改的Netcat。Netcat是一个流行的 *** 连接实用程序,其源代码可以免费获得。
2.在IIS的i *** .dll中制造缓冲区溢出,并使IIS从外部Web站点下载侦听程序(由步骤1产生)。
3.执行刚下载的程序(由步骤2产生),该程序将等待传入的连接并使攻击者进入Windows命令外壳程序中。
由于缓冲区溢出导致IIS在崩溃之前转而运行Windows命令外壳,所以该外壳程序将在IIS的安全权限背景下运行,而该安全权限背景等价于NT
Administrator权限。这样,攻击者要做的只是与被攻击的IIS服务器的侦听端口建立连接,然后等着出现c:提示就万事大吉了。现在,攻击者拥有对整个NT服务器的管理权限,可以做任何事,比如,添加新用户、修改服务器的内容、格式化驱动器,甚至将该服务器用作攻击其它系统的踏脚石。
运行IIS 4.0并带有“Service Pack 3/4/5”的Windows
NT服务器容易受到此类攻击。Microsoft已经发布了对该弱点的修补程序。Windows NT Service Pack
6也已经修补了该问题。
Microsoft IIS MDAC RDS安全弱点
受影响的服务器:运行IIS 4.0并安装了MDAC 2.1或更早版本的Windows NT服务器
在发现IIS eEye安全弱点的大约一个月后,IIS
4.0的另一个弱点又暴露出来。使用Microsoft数据访问组件(MDAC)和远程数据服务(RDS),攻击者可以建立非法的ODBC连接,并获得对Web服务器上的内部文件的访问权。如果安装了Microsoft
Jet OLE DB提供程序或Datashape提供程序,攻击者可以使用Visual Basic for Applications
shell()函数发出能够在服务器上执行的命令。
在安装了MDAC 2.1或更高版本的IIS 4.0上,从位于其公共目录中的msadcmsadcs.dll,可以找到MDAC
RDS弱点。Rain Forest
Puppy在其站点中对该弱点进行了详细说明。该弱点利用了IIS上MDAC默认安装时的不适当配置和安全机制的缺乏这一漏洞。在等价于NT
Administrator的IIS Web服务器进程的安全权限背景下,进行这种攻击的黑客可以在NT系统上远程执行任意命令。
MDAC的弱点不是由于技术造成的,而是由于用户对它的配置方式所致。很多站点是通过NT Option Pack 4.0安装IIS
4.0的。如果NT Option Pack
4.0是以典型或默认配置安装的,那么MDAC就容易遭到这种攻击。大多数使用默认安装的系统管理员都没有具体调整过这些设置,从而使Web服务器的安全性大大降低。
Foundstone公司的George Kurtz、Purdue大学的Nitesh
Dhanjani和我曾经共同设计了一个只有一行的命令字符串,该命令将利用MDAC
RDS弱点,使远程NT系统启动一个通过FTP或TFTP进行的文件传输过程。这个命令将告诉服务器到从某个外部系统下载并执行Netcat。Netcat将运行Windows命令外壳程序,并建立一个返回攻击者计算机的连接,这样,攻击者就获得了对远程NT系统的完全管理控制权。
Microsoft已经发布了相应的安全公告,并对使IIS 4.0免受该弱点攻击的保护措施进行了说明。
Allaire ColdFusion 4.0弱点
受影响的服务器:运行在Windows NT上的Allaire ColdFusion Server 4.0
作为还算容易使用的、功能强大的脚本语言,ColdFusion已经广泛流行起来。但流行并不意味着安全。ColdFusion的问题不在于该服务器自身,而是在于它附带的脚本。ColdFusion
4.0提供了示范应用程序和范例,它们可以在位于Web服务器根目录中的cfdocsexampleapp和cfdocsexpeval目录中找到。当用户执行典型安装时,将安装这些应用程序和脚本。ColdFusion所附带的部分范例经过修改后,将允许非法访问服务器上所包含的敏感数据。这些弱点表明,基本的应用程序服务器可以被编写得不好的应用程序脚本歪曲利用。
存在这种弱点的一个范例应用程序是cfdocsexampleappdocssourcewindow.cfm。因为ColdFusion是作为具有Administrator权限的系统服务运行的,所以,该程序可以被用来任意访问和查看NT
Web服务器上的任何文件,包括boot.ini。用这种 *** 可以检索任何文件。Packet Storm对该弱点做了完整解释。
而更严重的弱点存在于cfdocsexpevalopenfile.cfm、cfdocsexpevaldisplayopenedfile.cfm和cfdocsexpevalexprcalc.cfm中。这三个文件可以用来查看服务器上的任何文件,更为严重的是,它们还能将任意文件上载到服务器。对该弱点如何发作的讨论超出了本文的范围,欲了解详细信息请访问L0pht
Heavy
Industries的咨询信息。表达式求值程序exprcalc.cfm用于让开发人员计算被上载文件中的ColdFusion表达式的值。作为预防手段,该脚本在进行表达式计算时便会把被上载的文件删除掉,但要避免删除却是件容易的事。这样,攻击者可以上载恶意文件,并最终控制服务器。
这些就是ColdFusion的示范脚本中最严重的弱点。要防止出现问题,请从任何运行中的服务器中删除ColdFusion示范脚本。Allaire的Security
Zone提供了补丁程序,并提供了如何保护ColdFusion服务器的进一步信息。
Sambar 4.3 hello.bat
受影响的服务器:运行在Windows NT上的Sambar 4.3 beta 7和更早版本
Sambar是提供给开发者的免费Web服务器。它提供了对CGI和WinCGI脚本、ODBC脚本以及ISAPI的支持。它甚至捆绑了Perl
5解释器。
Sambar 4.3 beta
7版和更早版本附带两个名为hello.bat和echo.bat的文件,它们是将Windows批处理文件用作CGI脚本的范例。这两个脚本本身没有问题,hello.bat显示字符串“Hello
World”,而echo.bat显示字符串“Place
Holder”。但当批处理文件被用作CGI脚本时,Web服务器将使用Windows命令外壳程序cmd.exe来运行它们。这样,攻击者可以利用该弱点针对目标服务器运行任意命令。例如,假如攻击者把URL
;dir+c:放在他或她的浏览器中,那么,将在服务器上运行命令“dir
c:”,并在浏览器上显示结果。由于Sambar是在NT
Administrator安全权限下运行的,因此事情会变得更为复杂。这样的权限等级可以让攻击者作为NT Administrator运行任意命令。
Windows命令外壳使用“”在相同命令行上分隔多个命令。如果用户将“”放在hello.bat的后面,并在其后添加一个命令,那么将在执行hello.bat后执行第二个命令。
由于已经删除了文件hello.bat和echo.bat,Sambar 4.3 beta
8版和更高版本没有该弱点。但是,由于Windows命令外壳程序解析命令行的方式无法改变,所以并没有办法能真正修正该问题。如果您安装了4.3
beta 7版或更低版本,请一定要删除hello.bat和echo.bat。
服务器问题 关于防病毒的
公司服务器和员工电脑是在同一网段 如 网关和DNS都一样
员工电脑 大部分不能上网
---------------------------------------------
之前是否可以上网的?
如果之前可以,并且确认没有内部人员动手更改设置(不排除试用软件或存心破坏).
那么可能是受到ARP攻击了.攻击源就不要找了.你只需要解决能否上网的问题.
DOS命令行,arp-a 查看网关(192.168.1.1)的物理地址(就是一大堆数字字母用-连接的)是否同能上网的机器的网关地址一致.如不一致.更改为正确地址.(命令为 arp-d重置arp 之后arp-s 192.168.1.1 (物理地址))
服务器和局域 *** 的病毒防护措施一般有哪些!
由于病毒摧毁计算机所造成的威胁有越来越严重的趋势,企业对于功能更强大的防毒软件的需求也越来越迫切。许多的企业也因为之前没有对 *** 架构作好防毒措施,付出了惨痛而昂贵的代价。前几天我们这里的行政部门的的所有计算机由于感染了尼姆达病毒,搞得整个局域网瘫痪了,我们几个整整忙了两天才完全恢复正常。在工作期间,我发现这个单位 *** 安全意识低得真让人不敢相信,大多数计算机没有安装防火墙,就算安装了也好久没有升级了。(同志们,这可是我们 *** 机关啊!)所以建构一个全面的防毒策略,成为了大多数单位的一个重要问题,大面我和大家谈谈企业如何构建一个电脑病毒防护的安全策略。
企业的防毒策略
在早期的计算机环境中,其实病毒并不是一个非常令人头痛的事,只要我不用来路不明的磁盘,基本上可以防止 80% 的病毒入侵,但是进入互联网的新世纪,绝大部分的信息经由互联网交换,那么更容易从互联网上染上病毒,因此企业防毒策略的制定,更是绝对不能没有的计划。一般而言,一个需要作好防毒措施的 *** 架构可以分成以下三个不同的阶层:
1、 *** ( *** TP)网关(Internet Gateways)防毒机制
首先针对病毒可能会入侵的通道加以防堵,之一步就是企业的大门,在企业的局域 *** 中,网关扮演了举足轻重的角色,通常企业的网关就是通往内部 *** 的门,或者是安全性更高防护措施更完善的企业 *** 架构中,会有一个非军事区 *** ( DMZ, De-Militarized Zone ) ,在这个地方就是一个非常重要的部署防毒墙或者是防毒过滤软件的地方。
以网关或是DMZ部分的部署,通常可以分为两种模式:
之一种为网关模式,也就是将防毒服务器或是防毒墙(例如McAfee WebShield e50 硬件式防毒墙 ) 当成内部路由器的部署方式,此种配置方式乃是将防毒网关配置在防火墙装置的内部或是所有内部主机系统的最外部,也就是防毒墙或防毒服务器将成为名符其实的一个资料网关(有点像是路由器),如此一来所有进出企业体的封包,将一一被扫描过滤,一个都不会错过。
我以一般企业简单的 *** 架构来说明,一般来说位在网关的防毒机制,考虑到运作效能的问题,是不需要负责太复杂的防毒,通常是专门针对某些通讯协议加以侦测扫描,例如针对 *** TP、FTP、HTTP 等通讯协议。在图1的架构中,共分为两个部分,由外部进来的封包,通过防火墙的控制,只能到达 DMZ 的部分,所有邮件都能够被扫描侦测,并且能够过滤垃圾邮件及防止邮件服务器被来自Internet的使用 ( Anti-Relay ),因此针对邮件我们就有了之一层的保护。
而另一部份则是内部 *** ,基于安全的理由,一般在防火墙的设定是不允许直接由 Internet 前往内部 *** 的,因此这部分是针对客户端计算机因浏览网站,或者是FTP站台所受到一些恶意站台的威胁,所做的防护措施因此针对来自Internet的威胁,我们就有了初步的病毒防护机制。
第二种模式则是 *** 模式,以如此模式建构的话,基本上防毒服务器是以 *** 服务器的型态存在。如果某家公司不管理自己的 Internet 网关,那防护的工作就得交由 ISP 来提供了。如果 ISP 不提供防毒服务或者它索取很高的费用,那么就应当考虑更换服务提供商。
一般情况下如果一个企业设置了之一层的病毒防护,那么公司只要在一两个网关上替整个公司捕捉和拦截病毒就可以了。一旦病毒通过了网关,公司就必须依靠服务器 *** 程序(server agents)对众多的服务器进行扫描和修复,而不再只是处理一个网关。倘若由于某种原因病毒穿透了服务器层,那就必须依靠客户端这一层的防毒软件,这可能会影响到成千上万的节点(nodes)。所以,立即在之一层阻止病毒是最行У慕饩龇椒ā?
2、服务器防毒机制
接下来就是服务器这一层。单单依靠桌上型计算机上的防毒软件是不够的,因为不管是在什么时候,都一定会有好几十台的计算机的防毒软件不是取消功能,就是解除安装,或者是其它原因而让防毒软件不能运作。在企业之中,有着不同的服务器提供着不同的服务,其中最容易遭数受病毒的攻击的服务器,首推群组服务器以及档案服务器,档案服务器有着档案集中的特性,提供企业体制中档案储存及交换的便利性,正是这种特性,更容易让病毒有机可乘,更容易散播开来。
而邮件服务器几乎可以称的现代企业的通信管道,很多资料、重要讯息大都是通过电子邮件这种最普遍亦是最方便的一种共通方式,所以也是病毒传染最快的方式,但这不是全部,病毒不只是通过邮件传递达到散播的目的,更利用群组中的信息共享机制,如电子公告栏,共享资料夹等等的讯息共享机制来散播病毒,因此我们更应该针对所有可能的通道价以防护,这就是架构中的第二层防护:你需要在每台存放文件和 e-mail 的服务器上作好病毒的防护工作,在这些服务器上,防毒软件都必须设置成提供实时防护和定期的防毒扫描(scheduled scanning)。注意:如果你只使用定期扫描这一种 *** ,而病毒在成功入侵一台开放的服务器时,它可能在你准备在夜间通过扫描过程来对付它之前,已经复制并感染了多台工作站。
3、客户端计算机防毒机制
在整个 *** 的最末端,客户端的计算机是企业 *** 中为数最多也是容易遭受到病毒感染的一个环节,也是更大、最难防护的一层,而且并非所有使用者都具有病毒防治的观念,因此在客户端的病毒防护策略,除了必须考虑环境及病毒入侵的防护外,还必须考虑到人为因素及管理因素,在如此复杂的环境中,我们先从病毒可能进行感染的通道防堵。
首先针对一般感染路径,档案的存取及 *** 的存取,已经是一种基本应有的功能,它必须在幕后随时监视及扫描你所存取的所有档案,包含压缩档及较不为一般人所注意的office 宏文件,以防止一般性的病毒威胁。在电子邮件的传染途径中,除了针对 *** TP 的通讯协议作保护外,还必须考虑到一些使用者必须由外部的邮件服务器收取邮件,或者是下载互联网上的档案,因此在下载档案的部分以及 POP3、MAPI 等通讯协议上必须加强防护。同样的来自于浏览网站或者是利用FTP上传或下载档案也是必须防护的重点,如此构成了严密的三层病毒防护策略。
作为 *** 管理人员的你也可以在登录描述程序(logon scripts)中加入了一些智能型的机制,以确保安装的防毒软件的版本是最新的。如果不是最新的版本,那么一个正确的(且升级后的)版本就会安装进来。未经正确病毒防护的设定,任何一台工作站都不允许放在 *** 上,这包括通过拨号的方式远程访问 *** 的计算机。此外,新一代的防毒软件,如 McAfee's ePolicy Orchestrator(相关网址: ),能自动为你进行版本的检测和升级。拥有一个能够针对「工作站上的防毒软件并非最新」这一情况做出报告的系统,对你的企业来说也是相对重要的一环。
4、补充--管理机制
前面我已经讨论了关于防毒的三层架构,其中大家可以发现一点,当企业体制越大,所需要维护及管理的工作也越趋重要,维护及管理病毒防护机制是一件绝对不可缺的事,不然纵使你拥有全球最强的防毒机制,一样形同虚设无法发挥它应有防治病毒的功能,因此在制定你的病毒防护计划的同时,你必须考虑到针对所有防毒软件或硬件,必须要具备易于管理及维护的特性。想想假如你的企业规模是具有50台计算机的单位,也许你认为只要大约三个人就可以担负所有的防毒软件的病毒码更新、病毒扫描引擎更新、以及照顾一些只会使用office的文书人员的防毒机制,但是这并不是一个永久的办法,当你企业不断的成长,终究会面临信息人员的负担越来越重,但是效率却越来越差窘境,因此把这些繁复琐碎的事情交给计算机来管理,而你的信息人员就能够更有效率的完成其它你所交付的工作。如此才能周全你的病毒防护计划,为你的企业带来最完善的防护。
结束语
病毒防护计划在现今的企业体制中已经是不可或缺的事,如何运用最少的人力物力完成更大的防护效能,才是你考虑的重点,对于防毒软件的选择,我综合了以下几个观点供大家参考:
1、全方位的防毒功能,能够考虑到所有可能的入侵通道;
2、具有多层架构的防毒机制;
3、易于集中管理及维护,具有自动更新升级的能力;
4、中央控管的防毒规则,完全不需使用者设定,提高信息人员效率;
5、具有病毒防护统计报告能力,使你易于掌握整个防护计划。
互联网高度发展的现今社会,互联网带给人们更快速的信息取得通道,同样的也给
算机病毒具有快速传播的能力,如今其危害已经不是只有个人,而是扩及到企业损失,如果你依然不重视这个问题,那么所带来的危害将是无法估计的。 采纳我把 (*^__^*) 嘻嘻
服务器如何做防御?
服务器防攻击怎么防?壹基比小喻来教你们。
一些常见的服务器攻击如木马病毒等都是可以通过平常的安全维护以及防火墙来解决,而不一般的服务器攻击,如三大无解攻击方式:ddos攻击、cc攻击和arp欺骗。这种攻击无法防御,只有使用ddos云防护才能有效防止这些攻击。那么,杭州速联具体说一说服务器防攻击的手段吧。手段一:使用ddos云防护。流量攻击通常是一种十分粗暴的手段,即消耗带宽或者消耗服务器资源或者是不断请求服务器来打垮服务器,以致服务器无法正常运转。当面对这种攻击的时候,唯有ddos云防护能防止此种攻击,将攻击流量引到高防节点上面,以确保源服务器不收攻击的影响。手段二:日常安全维护。另一种服务器攻击方式比较常见,即中了木马病毒等等,比如说今年的“wanna cry”勒索病毒等等。而预防这样的攻击,更好的办法是日常打开防火墙,检查日志,安装安全狗软件、修补漏洞等等。只要有着ddos云防护以及日常安全运维的双重保障,服务器防攻击基本已经做好了,安全还算比较有保障的,一般是不会受到攻击影响的。同时,也要保持一颗平常心, *** 攻击偶尔也会遇见的,只要能积极应对解决,就没问题,而不是一味去责怪服务商所给的服务器不给力。杭州速联提供DDOS、CC防御解决服务及方案,无论在流量清洗能力、CC攻击防护能力均处于国内先进水平,提供各类高防服务器租用。
0条大神的评论