服务器漏洞是软硬件本身存在的一些纰漏和缺陷,通过这些纰漏和缺陷之处就可以进入到系统内部。当这些漏洞被有意或者无意的滥用的时候,会对服务器带来危害,或者导致其他的各种安全问题。本文中比较详细地介绍了常见的和最新的一些服务器漏洞,以及对应的解决方案。包括大量应用的UNIX(Telnet、FTP、finger、SSH 等)和Windows NT/2000/XP的系统漏洞及防范措施,还有近几年发展很快的Linux服务器的漏洞及其解决方案。最后具体讲述了ASP(IIS)、PHP(Apache)和CGI(Perl)等服务软件的漏洞及应对办法。
7.1 Windows NT/2000系统漏洞及防范措施(1)
Internet上采用Windows NT Server作为服务器操作系统的网站越来越多,同时,很多企业采用WindowsNT平台作为其Intranet解决方案的基石。Windows NT具有典型的Windows操作界面,简单易用。然而简单和安全是互相矛盾的两个因素,简单就不安全,安全可能就不简单 。安全和稳定又是相互联系的,不安全的系统,其稳定性也直接受到影响,随着 Internet 开放性的发展,网上信息的泄露和篡改,黑客入侵,病毒传播等经常发生,这使Windows NT的安全问题更加值得关注 。
本节将列举并介绍Windows NT系统上的重大安全漏洞,包括两大部分:
(1)Windows NT服务器和工作站的安全漏洞;
(2)关于浏览器和Windows NT的两个严重安全漏洞。
这里描述的某些安全漏洞是很严重的,在最坏的情况下,一个黑客可以利用这些漏洞来破译一个或多个Domain Administrator帐户的口令,并且对Windows NT域中所有主机进行破坏活动。
下列举出Windows NT/2000的一些漏洞和防范措施。
1. 安全漏洞:安全帐户管理(SAM)数据库可以被Administrator帐户,Administrator组中的所有成员、备份操作员、服务器操作员以及所有具有备份特权的人员进行复制。
漏洞描述:
安全帐户管理(SAM)数据库存放有用户账户的口令信息,而Windows NT在对用户进行身份验证时,只能达到加密RSA的水平,所以在这种情况下,利用如PWDump和NTCrack等工具软件,其中的口令信息可以被破解出来。因此SAM能被具有备份特权的人员进行复制备份对系统安全存在很大的隐患。
防范措施:
(1)严格限制Administrator组和备份组帐户的成员资格。加强对这些帐户的跟踪,尤其是Administrator帐户的登录(Logon)失败和注销(Logoff)失败;
(2)为系统管理员和备份操作员创建特殊帐户。系统管理员在进行特殊任务时使用这个特殊帐户注册,然后注销,并限制所有具有Administrator和备份特权的帐户只能具有User或者Power User组的权限,绝对不能浏览WEB;
(3)采用口令过滤器来检测易猜测的口令,例如有 PASSPROP (Windows NT ResourceKit提供)、ScanNT(一个商业口令检测工具软件包)。同时还要对口令进行加强,比如使用Service Pack 3就可以加强WindowsNT的口令,一个加强的口令必须包含大小写字母、数字以及特殊字符。
2.安全漏洞:每次紧急修复盘(Emergency Repair Disk - ERD)在更新时,整个SAM数据库被复制到%system% epairsam._。
防范措施:
确保%system% epairsam._在每次ERD更新后,严格控制对该文件的读权利,使任何用户或者组都无权对该权利,如果需要更新该文件,可暂时改nistrator的权利,当更新操作完成后立即把权限设置成不可访问。
3.安全漏洞:SAM数据库和其他Windows NT服务器文件可能被Windows NT的SMB所读取。
漏洞描述:
SMB是指服务器消息块(Server Message Block),是Microsoft早期LAN产品的一种继承协议,SMB有很多尚未公开的“后门”,可以不用授权就能存取SAM和Windows NT服务器上的其他文件。SMB协议允许远程访问共享目录、Registry数据库以及其他一些系统服务。而且进行这些访问时不需要Administrator访问权或者交互式访问权。另外,SMB在验证用户身份时,使用的是一种简易的加密方法来发送申请包,因此它的文件传输授权机制很容易被击溃。
防范措施:
在防火墙上,截止从端口135到142的所有TCP和UDP连接,这样有利于进行对安全漏洞的控制,其中包括对基于RPC工作端口135的安全漏洞的控制。最安全的方法是利用代理(Proxy)来限制或者完全拒绝网络上基于SMB的连接,但是,限制SMB连接就可能造成对系统功能的限制。
4. 安全漏洞:当对SAM具有备份特权的人员在系统默认的权限下对SAM进行备份工作或在访问ERD更新盘时,有可能使特洛伊木马(Trojan Horses)和病毒执行或发作。
漏洞描述:
有特权身份的人员在系统默认的权限下,使特洛伊木马或病毒在系统中运行,这种情况对系统的影响可能是致命的。
防范措施:
限制所有具有Administrator和备份特权的帐户绝对不能浏览WEB,并限制所有帐户只能具有User或者Power User组的权限。
5. 安全漏洞:能够在物理上连接访问Windows NT计算机的用户,可能利用某些工具程序来获得Administrator级别的访问权。
漏洞描述:
目前有一些工具软件如 NTRecover、Winternal Software 的 NTLocksmith 等,可以比较容易地获得Administrator级别的特权。
防范措施:
改善保安措施。
