Pepo網(wǎng)站安全分析與加固報告

1、Pepo安全分析和加固報告目錄 TOC o 1-3 h z u HYPERLINK l _RefHeading_Toc189294656 第一章分析概述3 HYPERLINK l _RefHeading_Toc189294657 1.1 概述3 HYPERLINK l _RefHeading_Toc189294658 1.2風(fēng)險分析對象4 HYPERLINK l _RefHeading_Toc189294659 1.3風(fēng)險分析方法4 HYPERLINK l _RefHeading_Toc189294660 第二章威脅分析5 HYPERLINK l _RefHeading_Toc18929466

2、1 2.1 風(fēng)險分析總論5 HYPERLINK l _RefHeading_Toc189294662 2.2 pepo站點安全分析5 HYPERLINK l _RefHeading_Toc189294663 2.2.1 上傳漏洞5 HYPERLINK l _RefHeading_Toc189294664 2.2.2 ServU溢出漏洞8 HYPERLINK l _RefHeading_Toc189294665 2.2.3日志分析9 HYPERLINK l _RefHeading_Toc189294666 2.2.4管理分析10 HYPERLINK l _RefHeading_Toc189294

3、667 2.2.5數(shù)據(jù)庫連接分析11 HYPERLINK l _RefHeading_Toc189294668 2.2.6服務(wù)器權(quán)限設(shè)置分析12 HYPERLINK l _RefHeading_Toc189294669 2.2.7系統(tǒng)檢測20 HYPERLINK l _RefHeading_Toc189294670 2.2.8 SQL服務(wù)器24 HYPERLINK l _RefHeading_Toc189294671 2.2.9 站點綜合分析27 HYPERLINK l _RefHeading_Toc189294672 第三章安全加固27 HYPERLINK l _RefHeading_Toc

4、189294673 3.1 上傳漏洞加固27 HYPERLINK l _RefHeading_Toc189294674 3.2 ServU溢出漏洞修補27 HYPERLINK l _RefHeading_Toc189294675 3.3 ASP木馬防御加固28 HYPERLINK l _RefHeading_Toc189294676 3.4 數(shù)據(jù)庫28 HYPERLINK l _RefHeading_Toc189294677 3.5殺毒軟件29 HYPERLINK l _RefHeading_Toc189294678 3.6 IIS設(shè)置加固30 HYPERLINK l _RefHeading_

5、Toc189294679 3.7 管理員權(quán)限設(shè)置32 HYPERLINK l _RefHeading_Toc189294680 3.8 本地安全策略服務(wù)設(shè)置33 HYPERLINK l _RefHeading_Toc189294681 3.9 終端連接加固39 HYPERLINK l _RefHeading_Toc189294682 3.10 SQL數(shù)據(jù)庫服務(wù)器加固40 HYPERLINK l _RefHeading_Toc189294683 第四章安全建議40 HYPERLINK l _RefHeading_Toc189294684 4.1 安全建議40 HYPERLINK l _RefHe

6、ading_Toc189294685 4.2 總論41分析概述1.1概述本章通過對pepo使用滲透測試和遠程安全分析，以及加強安全漏洞，介紹了分析過程中使用的技術(shù)和工具。此次通過分析pepo的安全漏洞和威脅點，對pepo網(wǎng)絡(luò)進行加固，消除威脅源，并對pepo網(wǎng)絡(luò)未來發(fā)展中會遇到的安全問題提出了預(yù)測方案。本次采用的安全分析方法的邏輯描述和分析圖如下:其意義在于:1)信息資產(chǎn)很有價值，會受到威脅的潛在影響；2)漏洞使信息資產(chǎn)暴露于威脅，威脅利用漏洞影響資產(chǎn)；3)威脅和漏洞的增加導(dǎo)致安全風(fēng)險的增加；4)安全風(fēng)險的存在要求組織的信息安全；5)安全措施應(yīng)符合安全要求；6)通過實施安全措施降低安全風(fēng)險，組

7、織防范威脅。1.2風(fēng)險分析對象安全分析和加固如下:互聯(lián)網(wǎng)協(xié)議(Internet Protocol)舊歷法分貝WEB應(yīng)用滲透測試Windows操作系統(tǒng)（同ImmigrationInspectors移民檢查）系統(tǒng)滲透Windows操作系統(tǒng)SqlServier系統(tǒng)滲透測試1.3風(fēng)險分析方法本次信息安全分析分為人工系統(tǒng)分析、滲透測試等方面。在網(wǎng)絡(luò)安全漏洞評估中，我們使用專業(yè)的網(wǎng)絡(luò)安全漏洞評估工具。通過使用專業(yè)的安全漏洞評估工具進行自動掃描和后期人工整理分析，由人工協(xié)同工具進行滲透測試，使用團隊編寫的安全工具進行測試。最后形成網(wǎng)絡(luò)安全分析和加固報告。威脅分析2.1一般風(fēng)險分析在本次安全分析中，我們根據(jù)外

8、在和外在兩個方面進行分析和總結(jié)。在對進行分析的過程中，發(fā)現(xiàn)其網(wǎng)站存在諸多漏洞，其中最引人注目的就是個人資料的圖片上傳沒有得到很好的過濾，導(dǎo)致黑客隨意上傳木馬文件，包括服務(wù)器中沒有權(quán)限設(shè)置。從我們團隊檢查開始，就發(fā)現(xiàn)從去年9月12日開始，網(wǎng)站被多次入侵，我們設(shè)置了管理員等等，包括后門木馬。一般來說應(yīng)該是完全暴露在互聯(lián)網(wǎng)上，不需要復(fù)雜的黑客技術(shù)就可以進入網(wǎng)站。風(fēng)險等級高，是紅色預(yù)警。2.2 pepo現(xiàn)場安全分析上傳漏洞在接受了pepo測試后，安檢員直接對該站點進行了人工測試，發(fā)現(xiàn)對上傳的個人資料圖片過濾不嚴，于是直接上傳了一個腳本木馬，控制了全站，并通過提權(quán)獲得了服務(wù)器管理權(quán)限。如圖所示:通過捕獲

9、數(shù)據(jù)包自定義上傳路徑。通過外部提交上傳腳本木馬。使用2003功能，*中的任何文件。asp文件夾解析為asp，成功上傳一個腳本木馬。從上圖可以看出，入侵者可以輕松獲得訪問權(quán)，完全操作整個系統(tǒng)，包括修改、刪除內(nèi)容和修改、刪除數(shù)據(jù)庫內(nèi)容等。2.2.2ServU溢出漏洞所有版本的ServU中都存在本地權(quán)限提升溢出漏洞。入侵者可以通過腳本木馬輕松利用該漏洞提升權(quán)限，獲得服務(wù)器管理權(quán)限，如下圖所示:日志分析我們分析了遠程連接系統(tǒng)后的WEB日志，發(fā)現(xiàn)入侵者通過上述漏洞入侵，并留下了ASP木馬后門。下面是找到的ASP后門，如圖:2.2.4管理分析我們在搜索分析時發(fā)現(xiàn)了入侵者添加的管理員，如下圖所示:入侵者創(chuàng)建

10、的隱藏具有管理員權(quán)限。數(shù)據(jù)庫連接分析通過檢測，我們發(fā)現(xiàn)數(shù)據(jù)庫使用的是SA連接，具有系統(tǒng)權(quán)限。通過這個，入侵者可以直接連接到數(shù)據(jù)庫服務(wù)器，執(zhí)行任何系統(tǒng)命令，并獲得數(shù)據(jù)庫服務(wù)器管理權(quán)限。2.2.6服務(wù)器權(quán)限設(shè)置分析遠程登錄服務(wù)器后，我們發(fā)現(xiàn)幾乎所有的目錄權(quán)限設(shè)置都是默認的，入侵者可以輕松獲取整個服務(wù)器，如圖:默認權(quán)限配置默認權(quán)限配置不相關(guān)的映射不會被刪除。錯誤消息未被禁用。默認IIS用戶目錄權(quán)限默認值安裝了太多不相關(guān)的程序。存儲太多敏感信息文件系統(tǒng)檢測遠程登錄服務(wù)器后，在系統(tǒng)盤下發(fā)現(xiàn)黑客留下的后門木馬。經(jīng)過分析，得知該木馬文件是驅(qū)動級別的pcshare遠程控制木馬，如下圖所示:木馬文件木馬文件特洛

11、伊木馬服務(wù)特洛伊木馬服務(wù)SQL server遠程登錄數(shù)據(jù)庫服務(wù)器后，發(fā)現(xiàn)數(shù)據(jù)庫服務(wù)器上有很多站點，這些站點存在很多問題。一旦網(wǎng)站被入侵，將會嚴重危及數(shù)據(jù)庫的安全，如下圖所示:所有網(wǎng)站都使用默認的IIS用戶。目錄權(quán)限默認值推薦的升級版本2.2.9現(xiàn)場綜合分析根據(jù)之前檢測的整體分析，該網(wǎng)站已經(jīng)被黑客攻擊，其數(shù)據(jù)被黑客攻擊修改不止一次兩次?；旧蠜]有任何安全保護措施，服務(wù)器也沒有做任何加固工作。從安全角度來說，根本沒有安全防御。安全加固3.1上傳漏洞加固個人圖片上傳過濾器不說話，導(dǎo)致外部提交可以直接向服務(wù)器提交asp木馬，繞過驗證。加固方案:檢測所有上傳部分，修改上傳代碼，增加對外提交驗證的防范。3

12、.2 servu溢出漏洞的修復(fù)目前所有版本的ServU都存在本地權(quán)限提升漏洞。要堵住這個漏洞，只需添加一個本地管理密碼，如圖:當(dāng)前密碼為:88888，請自行修改。3.3 ASP木馬的防御與加固目前腳本木馬主要使用Shell。應(yīng)用程序WScript。外殼兩個組件，所以如果我們刪除它們，腳本木馬的大部分功能都可以被限制。regsvr 32/u C: WINDOWS System32 wshom . ocxdel C: WINDOWS System32 wshom . ocxregsvr 32/u C: WINDOWS system32 shell 32 . dlldel C: WINDOWS sy

13、stem32 shell32 . dll3.4數(shù)據(jù)庫立即更改數(shù)據(jù)庫連接，創(chuàng)建一個低權(quán)限的新連接，并立即更改SA密碼。3.5防病毒軟件建議升級McAfee防病毒軟件的版本。最新版本是8.5I，充分利用其強大的自定義規(guī)則，給服務(wù)器最大程度的保護。McAfee8.5i企業(yè)版(原味:正式版)直接官方下載地址 HYPERLINK ./%20%20%20%20s:/secure.nai%20%20%20%20/apps/downloads/my_products/login.asp%3Fsid=8V5UK1 t _blank 在授權(quán)號中輸入1359125-NAI。然后打開McAfee Active Vir

14、usScan下的查看可用下載。選擇要下載的程序版本(VirusScan Enterprise v8.5i)3.6 IIS設(shè)置加固對于每一個，使用獨立的IIS用戶，同時只保留必要的腳本解析，關(guān)閉錯誤回顯，如圖:只保留必要的腳本解析。關(guān)閉錯誤回顯設(shè)置獨立的IIS用戶3.7管理員權(quán)限設(shè)置系統(tǒng)中的一些系統(tǒng)命令只能由系統(tǒng)管理員訪問和執(zhí)行。其他任何根據(jù)需要設(shè)置的低權(quán)限，如:cmd.exe net.exe。Net1.exeipconfig.exe HYPERLINK ftp:/ftp.exe/ ftp.exe如圖tftp.exe所示:3.8本地安全策略服務(wù)設(shè)置下列安全設(shè)置已得到加強。數(shù)字檢查選項結(jié)果情況一個

15、系統(tǒng)上安裝了最新的服務(wù)包。符合Windows2000的最新服務(wù)包是SP4、SP2和SP1。Windows2003操作系統(tǒng)2所有熱修復(fù)程序都已安裝在系統(tǒng)中。符合操作:點擊開始-設(shè)置-控制面板，然后雙擊管理工具，最后雙擊本地安全策略開始檢查。數(shù)字檢查選項結(jié)果情況1.密碼策略:密碼必須滿足復(fù)雜性要求(已啟用)符合2.密碼策略:最小密碼長度(8)符合3.密碼策略:最長密碼期限(90天)符合4.密碼策略:最短密碼壽命(1天)符合5.密碼策略:強制密碼歷史(24)符合避免用戶使用以前使用的密碼更改密碼，這樣可以防止密碼泄露。6.密碼策略:使用可恢復(fù)加密存儲密碼(禁用)符合7.鎖定策略:重置鎖定計數(shù)器(15

16、分鐘后)不一致8.鎖定策略:鎖定時間(15分鐘)不一致9.鎖定策略:鎖定閾值(3次無效登錄)不一致10.審計策略:審計策略更改(成功和失敗)不一致11.審計策略:審計登錄事件(成功和失敗)不一致12.審核策略:審核對象訪問(失敗)不一致用于跟蹤特定用戶對特定文件的訪問。13.審計策略:審計過程跟蹤(可選)不一致每次用戶啟動、停止或更改一個進程時，事件的日志都會增長得非?？?。建議僅在絕對必要時使用。14.審核策略:審核目錄服務(wù)訪問(未定義)不一致只有域控制器需要審核目錄服務(wù)訪問。15.審計策略:審計權(quán)限使用(失敗)不一致用于跟蹤用戶超出授予權(quán)限的使用情況。16.審計策略:審計系統(tǒng)事件(成功和失敗

17、)不一致對系統(tǒng)事件的審計非常重要，包括啟動和關(guān)閉計算機，或者其他與安全相關(guān)的事件。17.審計策略:審計登錄事件(成功和失敗)不一致18.審計戰(zhàn)略:審計管理(成功和失敗)不一致用于跟蹤帳戶創(chuàng)建、名稱更改、用戶組創(chuàng)建和名稱更改、帳戶密碼更改等。19.安全選項:來賓狀態(tài)(禁用)符合20.事件查看器:登錄保留模式(如有必要，覆蓋事件日志)符合21.事件查看器:安全日志的最大占用空間(80Mb)符合數(shù)字檢查選項結(jié)果情況1.Microsoft Web服務(wù)器:登錄時間用完時自動注銷用戶(啟用)不一致可以防止用戶在不適當(dāng)?shù)臅r間登錄系統(tǒng)，或者在登錄系統(tǒng)后忘記注銷。2.Microsoft網(wǎng)絡(luò)服務(wù)器:暫停會話前需要

18、的空閑時間(小于或等于30分鐘)。不一致3.Microsoft網(wǎng)絡(luò)客戶端:向第三方SMB服務(wù)器發(fā)送未加密的密碼:(已禁用)不一致4.恢復(fù)控制臺:允許軟盤復(fù)制和訪問所有驅(qū)動器和文件夾(禁用)不一致Windows 2000控制臺恢復(fù)的另一個功能是禁止訪問硬盤上的所有文件和目錄。它只允許訪問每個卷的根目錄和%systemroot%目錄及其子目錄。即便如此，它也限制了將硬盤上的文件復(fù)制到軟盤上。5.恢復(fù)控制臺:允許自動系統(tǒng)管理登錄(禁用)不一致故障恢復(fù)控制臺是Windows 2000的一項新功能，它在無法啟動的系統(tǒng)上提供有限的命令行訪問界面。此功能可能會導(dǎo)致任何可以重新啟動系統(tǒng)的人繞過帳戶密碼限制和其

19、他安全設(shè)置來訪問系統(tǒng)。6.關(guān)閉:清除虛擬頁面文件(啟用)不一致7.關(guān)機:允許系統(tǒng)在登錄前關(guān)機(禁用)不一致8.交互式登錄:不顯示最后一個用戶名(已啟用)不一致9.交互式登錄:不需要按Ctrl+Alt+Del(禁用)不一致10.交互式登錄:可以緩存的以前登錄的次數(shù)(當(dāng)域控制器不可用時)(0)不一致11.:重命名系統(tǒng)管理員帳戶(管理員的名稱除外)符合數(shù)字檢查選項結(jié)果情況1.取消沃森博士故障轉(zhuǎn)儲:HKLM 軟件微軟沃森博士創(chuàng)建故障轉(zhuǎn)儲(reg _ dword) 0不一致沃森博士是微軟用來處理應(yīng)用程序錯誤的工具。它可以轉(zhuǎn)儲錯誤應(yīng)用程序的內(nèi)存以供分析。但是，轉(zhuǎn)儲中的數(shù)據(jù)可能包含敏感信息，因此應(yīng)防止Dr.

20、 Watson崩潰轉(zhuǎn)儲到磁盤。2.禁止在任何驅(qū)動器上自動運行任何程序:HKLM 軟件微軟 Windows 當(dāng)前版本策略資源管理器 NodriveTypeAutoRun(reg _ dword)255不一致運行自動程序可能會導(dǎo)致惡意代碼或特洛伊木馬運行。3.使用星號隱藏任何密碼輸入；HKLM 軟件 Microsoft Windows current version Policies Network HideSharePwds(REG _ DWORD)1符合4.禁止自動執(zhí)行系統(tǒng)調(diào)試器:hklm software Microsoft windows nt current version AE deb

21、ug auto(reg _ dword)0不一致系統(tǒng)調(diào)試器啟動后，可能會導(dǎo)致應(yīng)用程序在特權(quán)內(nèi)存空間中執(zhí)行代碼。5.禁止自動登錄:hklm software Microsoft windows nt current version winlogon autoadmin logon(reg _ dword)0符合自動登錄將以明文形式將用戶名和密碼保存在注冊表中。6.藍屏后禁止自動啟動機器:hklm system current control set control crash control auto reboot(reg _ dword)0不一致防止惡意用戶故意制造程序錯誤重啟機器進行某些操作

22、。7.禁止CD自動運行:hklm system current control set services cdrom autorun(reg _ dword)0不一致防止光盤上可能的惡意程序自動運行。8.刪除服務(wù)器上的管理員共享:hklm system current control set services lanman server parameters autoshareserver(reg _ dword)0符合默認情況下，每臺Windows NT/2000機器在安裝后都有“管理員共享”。它們僅限于管理員使用，但是它們會公開網(wǎng)絡(luò)上每個卷的根目錄和%systemroot%目錄以及Admi

23、n$、c$等。9.路由欺騙保護:hklm system current control set services tcpip parameters disable sourcing(reg _ dword)2不一致如果Windows計算機安裝了兩個有效的網(wǎng)絡(luò)設(shè)備(包括撥號網(wǎng)絡(luò)),它可以配置為路由器或防火墻，將網(wǎng)絡(luò)通信從一個網(wǎng)絡(luò)接口傳輸?shù)搅硪粋€網(wǎng)絡(luò)接口。這種路由器上的“源路由”通信可以“欺騙”設(shè)備，使其認為這是受保護端的惡意網(wǎng)絡(luò)行為，從而跳過一些路由規(guī)則。10.幫助防止碎片數(shù)據(jù)包攻擊:hklm system current control set services tcpip parameter

24、s enablePMTudiscovery(reg _ dword)1未加抑制的11.管理保持活動時間:hklm system current control set services tcpip parameters keep-alive time(reg _ dword)300000未加抑制的網(wǎng)絡(luò)子系統(tǒng)使用保活時間來確定TCP會話是否仍然有效。值300000表示超時時間為5分鐘。12.防止SYN Flood攻擊:hklm system current control set services tcpip parameters synattackprotect(reg _ dword)2不一致13.SYN攻擊保護-管理的TCP半開套接字的最大數(shù)量:HKLM 系統(tǒng)當(dāng)前控制集服務(wù) tcpip 參數(shù) tcpmaxalfopen (reg _ dword) 100或500不一致數(shù)字檢查選項結(jié)果情況1.警報器-禁止符合警報器服務(wù)通常用于在進程之間發(fā)送信息，例如打印作業(yè)。它還用于連接信使服務(wù)，在網(wǎng)絡(luò)上的計算機之間發(fā)送相同的信息。2.剪貼簿-禁止符合剪貼簿服務(wù)用于在網(wǎng)絡(luò)上的機器之間共享剪切板上的信息。在大多數(shù)情況下，用戶不需要與其他機器共享這些信息。3.禁止使用電腦不適用瀏覽器服務(wù)跟蹤網(wǎng)絡(luò)上某個域中的計算機。它允許用戶通過他的網(wǎng)上鄰居發(fā)現(xiàn)他不知道確切名字的共享資源。不幸的是，它可以允許