发布时间 : 星期一 文章甯歌缁堢闂瑙e喅鏂规鍜屾暣鏀规柟娉?- 鐧惧害鏂囧簱更新完毕开始阅读ca61ed183186bceb18e8bb76
问题一:猜测出远程可登录的SMB/Samba用户名口令
弱密码示例:
扫描原理:通过SMB协议,匹配弱密码字典库,对终端用户和口令,进行扫描。 产生原因:终端存在SMB自建共享或者开启SMB默认共享导致,同时系统用户存在弱口令。 验证方法:
(1)使用命令net use \\\\ip\\ipc$ password /u:username进行弱密码登录尝试,若登录成功,则该账号一定存在。
(2)该账号可能在“计算机管理”中不存在,因为该账号可能为克隆账号、隐藏账号或者某程序产生的账号。
(3)也存在计算机已经中毒的可能。 《注释》
判断计算机是否存在隐藏账号的方法:
1. 打开注册表编辑器,展开HKEY_LOCAL_MACHINE\\SAM\\SAM,修改SAM权限 为administrator完全控制。
2. 按F5刷新注册表,展开HKEY_LOCAL_MACHINE\\SAM\\SAM\\Domains\\account\%user\\names,对比用户列表和计算机管理中的用户列表是否相同,如果存在多余的,则为隐藏账号。 加固方法: ? 杀毒
? 使用net use \\\\ip\\ipc$ /del,进行删除
? 如果可以关闭Server服务,建议关闭Server服务 ? 更改计算机系统用户密码,设置足够密码强度的口令 ? 关闭自建共享
问题二:SMB漏洞问题
漏洞示例:
利用SMB会话可以获取远程共享列表 主机SID信息可通过SMB远程获取 利用主机SID可以获取本地用户名列表
扫描原理:通过SMB服务(主要端口为135.445)对被扫描系统,进行信息获取 产生原因:终端存在SMB自建共享或者开启SMB默认共享导致。 加固方法:
? 如果可以关闭Server服务,建议关闭Server服务 ? 修改本地安全策略,如:
? 利用SMB会话可以获取远程共享列表–启用“不允许匿名列举SAM帐号和共享”
? 主机SID信息可通过SMB远程获取 –更改“对匿名连接的额外限制”为“没有显式匿名权限就无法访问”
? ? ? ? ? ? ? ?
利用主机SID可以获取本地用户名列表–启用“允许匿名 SID/名称转换”
通过防火墙过滤端口135/TCP、139/TCP、445/TCP、135/UDP、137/UDP、138/UDP、445/UDP,过滤方法如下:
进入“控制面板->系统和安全->windows 防火墙->左侧高级设置”,打开“高级安全防火墙”,右键“入站规则”->新建规则。
进入“规则类型”页面,选择“要创建的规则类型”为“端口”,点击“下一步”。 进入“协议和端口”页面,选择“TCP规则”,并在“特定本地端口”中输入要屏蔽的端口(如:135、139、445、1025),点击“下一步”。 进入“操作”页面,选择“阻止链接”,点击“下一步”。 进入“配置文件”页面,选中“域、专用、公用”,点击“下一步”。 进入“名称”页面,输入一个名称,如“网络端口屏蔽”
问题三:自建共享的问题
漏洞示例:
存在可写共享目录 存在可访问的共享目录
猜测出远程可登录的SMB/Samba用户名口令
产生原因:终端用户自建了共享,且共享目录的权限为可访问、可写 加固方法:
? 关闭自建共享
? 更改共享文件的权限,取消everyone权限
问题四:SNMP口令问题
漏洞示例:
SNMP服务存在可读口令 SNMP服务存在可写口令
产生原理:通过UDP 161 端口获取被测系统信息。同时所谓可读,可写是针对RO权限和RW权限所对应的,因为SNMP代理服务可能存在默认口令。如果您没有修改这些默认口令或者口令为弱口令,远程攻击者就可以通过SNMP代理获取系统的很多细节信息。 相关服务:
?
SNMP Service:使简单网络管理协议(SNMP)请求能在此计算机上被处理。如果此服务停止,计算机将不能处理SNMP 请求。如果此服务被禁用,所有明确依赖它的服务都将不能启动。 SNMP Trap:接收本地或远程简单网络管理协议(SNMP) 代理程序生成的陷阱消息并将消息转发到此计算机上运行的SNMP 管理程序。如果此服务被停用,此计算机上基于SNMP 的程序将不会接收SNMP trap 消息。如果此服务被禁用,任何依赖它的服务将无法启动。 加固方法:
如非必须,建议关闭SNMP
? ? ? ? ? XP关闭方法:控制面板-?“添加或删除程序”-?“添加/删除Windows组件”-?“管理和监视工具”,双击打开,取消“简单网络管理协议.
Windows 7关闭方法:控制面板-?“添加或删除程序”-?“打开或关闭winows功能”,取消“简单网络管理协议.
如为必须,请修改SNMP的“团体名称”
打开“服务”?选择“SNMP server”?右键“安全”-?添加团体名称 修改端口号或者防火墙屏蔽
问题五:FTP相关漏洞问题
漏洞示例:
? 猜测出远程FTP服务存在可登录的用户名口令 ? 远程FTP服务器根目录匿名可写
产生原理:使用TCP 21号端口,进行FTP相关漏洞的扫描 加固方法:
? 如果FTP为非必须,建议关闭FTP服务 ? 如果FTP为业务需要,建议修改ftp 若口令
? Linux 下有两种弱密码,一个是ftp, 一个是anouymous帐号,对于anouymous帐号弱密码,通过关闭默认帐号来实现。对于ftp帐号,由于此时ftp帐号是系统帐号,故需要通过passwd为ftp 设置密码
? 由于在windows下,ftp帐号使用的是系统帐号,因此windows下ftp帐号的弱密码,也就是系统帐号的弱密码。
? 针对漏洞“远程FTP服务器根目录匿名可写”,使用命令chown root ~ftp &&chmod 0555
~ftp进行加固
问题六:Integard Home和Pro HTTP请求远程栈溢出漏洞
?
当前没有解决方案,可能是误报,一直在和总部沟通中,尚未找到解决方案。
问题七:远程协议相关漏洞
产生原因:利用TCP 3389端口对终端进行扫描,发现远程协议相关漏洞。 加固方法:
? ? ? ?
针对不同漏洞,下载不同补丁
如果远程协议服务不需要,建议关闭远程桌面协议 通过防火墙过滤3389端口 更改3389端口为一不常见端口