通过SERVU 6002的侵入及其防范方法概要文档格式.docx

通过SERVU 6002的侵入及其防范方法概要文档格式.docx

《通过SERVU 6002的侵入及其防范方法概要文档格式.docx》由会员分享，可在线阅读，更多相关《通过SERVU 6002的侵入及其防范方法概要文档格式.docx（16页珍藏版）》请在冰点文库上搜索。

同时，记录下恢复过程中所采取的每一步措施。

因为考虑恢复一个被侵入的系统是一件很麻烦的事，要耗费大量的时间，还有可能作出一些草率的决定。

记录自己所做的每一步操作可以帮助避免作出草率的决定，还可以留作以后的参考。

现在可以审查日志文件和系统配置文件了。

检查系统日志，发现都是当天的，看来侵入过程的日志已经被清除了。

再检查入侵者对系统的修改，搜索近一个星期修改过的文件。

找到一大堆陌生文件，都是远程控制软件服务器端的程序，选定后全部删除。

打开Serv-u管理界面,无法查看域设置，显示“无法连接到43958端口”，看来Serv-u已经遭到了修改破坏。

点击开始菜单，打开程序组竟然还发现QQ聊天软件。

于是找到QQ软件的安装目录，检查留下的蛛丝马迹。

有两个登录帐号，但是聊天记录已经删除。

记下号码后，用QQ查找，两个帐号都没有上线，其个人资料分别显示来自湖北和北京，没有其他有用信息。

用木马防线2005版进行扫描，没有发现其他木马。

WEB服务器中电大在线站点无法访问，尽管可以修复，但考虑黑客极有可能留下后门，无法清除干净，所以决定重装系统。

但在重装之前必须先弄清楚这次遭攻击的漏洞，否则即使重装了系统还是不可靠。

考虑Serv-u无法进行本地管理，看来是被修改了程序文件或配置文件，所以怀疑攻击可能与Serv-u有关。

上网查找资料，发现我所使用的Serv-u6.0.0.2确实存在漏洞。

2.2Serv-U6.0.0.2安全漏洞分析

所有Serv-U存在默认本地管理员登录密码，这帐户只能在本地接口中连接，因此本地攻击者可以连接Serv-U并建立拥有执行权限的FTP用户，在这个用户建立后，连接FTP服务器并执行"

SITEEXEC"

命令，程序就会以SYSTEM权限执行。

Serv-u>

3.x版本都存在本地权限提升漏洞，通过Webshell结合Exp提升权限已经成了很常用提升方法。

在Serv-U6.0.0.2版本中,初始管理密码依旧是#l@$ak#.lk;

0@P，但可以很方便地在Serv-Uadmin控制台修改密码,修改完密码,配置保存在ServUDaemon.ini的LocalSetupPassword=中。

原来的#l@$ak#.lk;

0@P依旧保存，只有当密码为空时使用。

2.3利用Serv-U6.0.0.2的侵入

只要得到一个webshell，一旦发现服务器安装了serv-u,就可以提升权限。

找到Serv-u的目录，打开ServUDaemon.ini，内容类似：

[GLOBAL]

Version=6.0.0.2

ProcessID=392

[Domain1]

User1=jqzx|1|0

如果没有LocalSetupPassword，很可能默认密码没改。

上传xiaolu的那个serv-u权限提升工具（myservu.exe）执行，如果发现权限不够，还是有办法的。

自己再上传一个cmd.exe到网站目录，当然网站目录应该有执行权限，在海洋2005木马上执行。

注意这时的cmd.exe要带上路径，myservu.exe43958"

netuserdqdddqdd/add"

执行完毕后，用netuser查看，成功添加了dqdd用户。

serv-u6.0.0.2的ServUDaemon.ini，如果没有LocalSetupPassword和以前版本的利用方法是完全一样的。

如果管理员修改了默认密码，那么就会增加LocalSetupPassword行。

这时的ServUDaemon.ini类似以下内容：

OpenFilesDownloadMode=Exclusive

PacketTimeOut=300

LocalSetupPassword=ah6A0ED50ADD0A516DA36992DB43F3AA39

这里多出了一行Localsetuppassword。

还是上传myservu.exe。

查看端口：

netstat-an|find"

43958"

TCP127.0.0.1:

439580.0.0.0:

0LISTENING

显然43958本地管理端口可用。

接着执行命令：

D:

\XXX\XXX\XXX\myservu.exe43958"

netuserdqdddqdd/add"

因为设置了本地管理密码，显示不成功的信息，类似以下内容：

******************************************************

Serv-u<

3.xLocalExploitbyxiaolu

>

221Serv-UFTPServerv6.0forWinSockready...

331Usernameokay,needpassword.

#l@$ak#.lk;

0@P

530Notloggedin.

考虑管理员修补这个漏洞是把程序里原来的密码#l@$ak#.lk;

0@P改成了别的，那么他改完的密码也还在程序里，如果能把它给下载了，用Winhex或者Xhex来查找密码，就能够找到。

打开服务器上的海洋顶端2005，直接查看C:

\ProgramFiles\Serv-U\目录，看到文件列表，找到ServUAdmin.exe，用海洋顶端2005的"

流下载"

功能下载下来。

用Xhex打开了ServUAdmin.exe，使用快捷键Ctrl+F，输入LocalAdministrator，点搜索，密码和这个"

LocalAdministrator"

是一家子的，密码是"

85457845152145"

。

显然这里管理员并没有修改用户名，那要是修改了我们怎么搜索？

其实也好办，可以找一个和同一版本的正常Serv-U的ServUAdmin.exe，搜索"

，找到它的偏移地址记下，然后再打开第一个ServUAdmin.exe，快捷键Ctrl+G，跳转到这个地址就可以找到用户名和密码了（图一）。

那要是管理员改了端口呢？

可以直接在Webshell里执行Netstat-an，找找127.0.0.1：

XXXXX端口。

修改管理端口容易出现错误。

图1用Xhex打开了ServUAdmin.exe找密码

接着，建立ok.txt文件，ok.txt内容：

用户名（或ok）

密码（或ok）

使用命令myservu端口号"

命令"

<

ok.txt，就能顺利执行了，例如：

\XXX\XXX\XXX\myservu.exe43958"

netlocalhostadministratorsdqdd/add"

把dqdd帐户加到管理员组，到这里，我们就取得了超级用户的权限，可以进一步控制整个服务器。

3.SERV-U6.0.0.2版安全设置

3.1IIS安全

至于黑客怎样得到webshell，我进行了全面测试。

常规的基于asp的sql注入漏洞不存在，并且留言簿、远程教育、教师进修学校、德清学院旧版等栏目都没有打开上传文件的管理页面，论坛、电大在线也无法上传asp类型文件，视频点播、电子公务系统、计算机文化基础都安装在IBM服务器上。

就是电子邮件系统能不能上传asp附件我没有试过。

赶紧试试，给自己写一封信，附加海阳顶端网ASP木马，发邮件，再转到收件箱，已经收到了，复制附件的地址，修改后粘贴到地址栏执行，竟然没有出错。

看来是我在安装CMailServer5.2的时候错设了邮箱虚拟目录的执行权限。

接着再运行木马，非常顺利，上传myservu.exe，虽然这时候诺顿杀毒软件检测到了海阳木马并把它进行了隔离。

不过，这确实是黑客攻击的一条捷径。

重装系统，由于光驱、软驱的读盘问题，用去了半天时间。

在重新连接到网络之前，安装了所有的安全补丁，只有这样才会使系统不受后门和攻击者的影响。

尽量只配置系统要提供的服务，取消了那些没有必要的服务。

改变密码当然是必须做的，因为很可能黑客已经窃取了超级用户帐号密码，这次改用了15位长的密码。

在本地安全策略中，重新规划帐户策略和本地策略。

安装费尔防火墙，尽管功能有限，有总比没有强。

后面的重点当然是IIS权限的规划，把CMailServer5.2的邮箱虚拟目录、以及所有上传文件路径的访问权限都设置为不可执行。

3.2SERV-U6.0.0.2版安全设置

SERV-U存在安全漏洞，首先是SERV-U的SITECHMOD漏洞和Serv-UMDTM漏洞，即利用一个账号可以轻易的得到SYSTEM权限。

其次是Serv-u的本地溢出漏洞，即Serv-U有一个默认的管理用户（用户名：

localadministrator，密码：

#|@$ak#.|k;

0@p），任何人只要通过一个能访问本地端口43958的账号就可以随意增删账号和执行任意内部和外部命令。

所以它的安全问题应该得到高度重视。

首先采取一些相关措施，如修改SERV-U的管理端口、账号和密码等。

但是，修改后的内容还是保留在ServUDaemon.exe文件里，因此下载后用如UltraEdit之类的16进制编辑软件就可以很轻易的获取到修改后的端口、账号和密码。

从SERV-U6.0.0.2开始，该软件有了登录密码功能，这样如果加了管理密码，并且设置比较妥善的话，SERV-U将会比原来安全的多。

设置SERV-U的安全就从安装开始。

SERV-U默认是安装在C:

\ProgramFiles\Serv-U目录下的，我们最好做一下变动。

例如改为：

\u89327850mx8utu432X$UY32x211936890co7v23x1t3（图2）这样的路径，如果安装盘符WEB用户不能浏览的话，他便很难猜到安装的路径。

当然，安装后会在桌面和开始菜单上生成快捷方式，建议删除，因为一般不会使用到它。

进入SERV-U的设置界面只要双击下右角任务栏里的TrayMonitor小图标就可以启动SERV-U的管理界面。

图2修改安装的目录

安装的时候只选前2项就可以了，后面的2个是说明和在线帮助文件。

（见图3）

图3安装时候只需要选择前2项

下图是生成的开始菜单组里的文件夹的名字，建议更改成比较不像SERV-U的名字，或者是删除该文件夹。

（见图4）

图4更改安装后生成开始菜单组里文件夹的名字

安装完成后会出现一个向导让你建立一个域和账号。

在这里点Cancel取消向导。

用向导生成的账号会带来一些问题，所以下面采用手工方式建立域和账号。

（见图5）

图5点Cancel取消向导

然后点选Startautomatically（systemservice）前面的选项，接着点下边的StartServer按钮把SERV-U加入系统服务，这样就可以随系统启动了，不用每次都手工启动。

（见图6）

图6把SERV-U加入服务

接下来就会出现如图7的界面。

通过点击Set/ChangePassword设置一个密码。

图7点击Set/ChangePassword设置密码

然后会出现如图7的界面。

因为是第一次使用，所以是没有密码的，也就是说原来的密码为空。

不用在oldpassword里输入字符，直接在下面的Newpassword和Repeatnewpassword里输入同样的密码,再点OK就可以了，如图8。

这里建议设置一个足够复杂的密码，以防止别人暴力破解。

自己记不得也没有关系，只要把ServUDaemon.ini里的LocalSetupPassword=这一行清除并保存，再次运行ServUAdmin.exe就不会提示你输入密码登录了。

图8设置和更改密码界面

下面就到了该对SERV-U进行安全设置的时候了。

首先建立一个WINDOWS账号sserv-u，密码也需要足够的复杂。

密码要记住，如果记不住就暂时保存在一个文件里，一会儿还要用到（见图9）。

图9建立一个WINDOWS账号

建好账号以后，双击建好的用户编辑用户属性，从“隶属于”里删除USERS组（图10）。

图10从隶属于里删除USERS组

从“终端服务配置文件”选项里取消“允许登录到终端服务器（W）”的选择，然后点击确定继续我们的设置。

（见图11）

图11取消“允许登录到终端服务器”

这里我们已经建好了账号，该设置服务里的账号了。

现在就要用到刚才建立的这个账号。

在开始菜单的管理工具里找到“服务”点击打开。

在“Serv-UFTPServer服务”上点右键，选择“属性”继续。

然后点击“登录”进入登录账号选择界面。

选择刚才建立的系统账号名，并在下面重复输入2次该账号的密码，点确定，完成服务的设置。

（见图12）

图12更改启动和登录SRV－U的账号密码

接下来要先使用FTP管理工具建立一个域，再建立一个账号，建好后选择保存在注册表。

（见图13）

图13FTP用户密码保存到注册表里

打开注册表来测试相应的权限，否则SERV-U是没办法启动的。

在开始－＞运行里输入regedt32点“确定”继续。

找到[HKEY_LOCAL_MACHINE\SOFTWARE\CatSoft]分支。

在上面点右键，选择“权限”，然后点“高级”，取消允许父项的继承权限传播到该对象和所有子对象，包括那些在此明确定义的项目，点击“应用”继续，接着删除所有的账号。

再次点击“确定”按钮继续。

这时会弹出对话框显示“您拒绝了所有用户访问CatSoft。

没有人能访问CatSoft，而且只有所有者才能更改权限。

您要继续吗？

”，点击“是”继续。

接着点击“添加”按钮增加我们建立的sserv-u账号到该子键的权限列表里，并给予完全控制权限。

到这里注册表已经设置完了。

但还不能重新启动SERV-U，因为安装目录还没设置。

现在就来设置一下，只保留管理账号和sserv-u账号，并给予除了完全控制外的所有权限。

（见图14）

图14SERV-U安装目录权限设置

现在，在服务里重启Serv-UFTPServer服务就可以正常启动了。

当然，到这里还没有完全设置完，你的FTP用户因为没有权限还是登录不了的，所以还要设置一下目录的权限。

假设你有一个WEB目录，路径是d:

\web。

那么在这个目录的“安全设定”里除了管理员和IIS用户都删除掉，再加入sserv-u账号，SYSTEM账号也删除掉。

为什么要这样设置呢？

因为现在已经是用sserv-u账号启动的SERV-U，而不是用SYSTEM权限启动的了，所以访问目录不再是用SYSTEM而是用sserv-u，此时SYSTEM已经没有用了，这样就算真的溢出也不可能得到SYSTEM权限。

另外，WEB目录所在盘的根目录还要设置允许sserv-u账号的浏览和读取权限，并确认在高级里设置只有该文件夹。

（见图15）

图15WEB目录所在盘的权限设置

至此，设置全部结束。

现在的SERV-U设置是配合IIS设置的，因为和IIS使用不同的账号，WEB用户就不可能访问SERV-U的目录，并且WEB目录没有给予SYSTEM权限，所以SYSTEM账号也同样访问不了WEB目录，也就是说，即使使用MSSQL得到备份的权限也不能备份SHELL到WEB目录，可以安全的使用SERV-U了。

4.总结

本文是在学校服务器被黑客侵入之后的思考和总结。

其实，现在的“黑客”攻击网站完全漫无目的，他们利用一些扫描工具在网上随机搜寻攻击目标，只要发现某网站存在他们可以入侵的漏洞，他们就会下手。

入侵的动机大多是想证明一下自己的黑客技术。

那么，如何才能有效地防范黑客入侵呢？

被入侵的网站为使用ASP技术编写的动态网站，其使用的是WIN2000＋SQL2000/ACCESS＋ASP的典型网站构架。

虽然近年来流行的ASP编程技术使网站的建设、维护质量和效率都得到了较高的提升，但还有一些ASP网站脚本程序却仍然可以发现漏洞，黑客通过ASP注入方法可以很简单地得到网站的后台控制权。

所以必须对网站的程序进行严格的安全性检测、增强网站的安全性能。

此外，为了减少黑客入侵给我们带来的损失，一定要做好数据备份工作。

这样，即使网站被黑客入侵，也能第一时间恢复网站的正常运行。

在对网络系统及应用软件进行设置时要有一个统筹考虑，应遵循这样的原则：

不需要的就不要用。

配置完成后，要经常检查各种日志文件，发现错误及时更正。

持续地更新自己的知识见闻，以了解网络攻击事件及其发展态势。

要关注软件供应商提供的各种补丁程序，并下载安装。

参考文献

[1][美]RussBasiura，RichardConway，《ASP.NET安全性高级编程》，北京：

清华大学出版社，2003.4。

[2][美]MarkM.Burnett，《拒绝黑客——ASP.NETWeb应用程序安全性》，北京：

电子工业出版社，2005.2。

[3]《黑客防线》编辑部，《黑客防线2005精华奉献本》，北京：

人民邮电出版社，2004.12。

[4]吴自容，武新华，《黑客入门全程图解》，广州：

山东电子音像出版社，2004.3。

[5]邓吉，《黑客攻防实战入门》，北京：

电子工业出版社，2004.7。