返回
6002的侵入及其防范方法

6002的侵入及其防范方法

ID:30775976

大小:789.34 KB

页数:15页

时间:2019-01-03

6002的侵入及其防范方法_第1页
6002的侵入及其防范方法_第2页
6002的侵入及其防范方法_第3页
6002的侵入及其防范方法_第4页
6002的侵入及其防范方法_第5页
资源描述:

《6002的侵入及其防范方法》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、通过SERV-U6.0.0.2的侵入及其防范方法沈浩德清学院(313200)摘要:Serv-U是一个Windows平台下使用非常广泛的FTP服务器软件。本文通过研究,分析了Serv-U存在的设计问题,介绍了利用漏洞以SYSTEM权限在系统上执行任意命令,侵入服务器的方法。并探讨了如何加强Serv-U6.0.0.2的安全防范问题。关键词:Serv-UWebshelI权限提升1.引言作为一款精典的FTP服务器软件,SERV-U—直被大部分管理员所使用,它简单的安装和配置,以及强大的管理功能都值得称颂。但随着使用者的增加,该软件的安全

2、问题也逐渐显露出来。木月初,就因为SERV-U的漏洞,导致了我校服务器被黑客侵入,教学支持站点被破坏,造成了一定程度的损失。2.Serv-U6.0.0.2的安全问题2.1网站遭遇攻击儿天前的早上,发现学校网站FTP不正常,打开服务器查看,登录窗口有异常,没有了默认的登录用户。输入用户名、密码登录后,打开用户管理,发现增加了四个陌生的帐号,“hk007”、“hk0007”、“hk009”、“hk0009”。不好,遭黑客侵入了。“hk”分明就是“黑客”的意思。为了夺回对服务器的控制权,我首先将它从网络上断开,防止破坏进一步扩大。赶紧

3、看看其他,发现硬盘上目录都在。在进行入侵分析之前,我备份了被侵入的系统。因为可能会需要将系统恢复到侵入刚被发现时的状态,并且对法律调查有帮助。记录下备份的卷标、标志和日期,然后保存到网上邻居其他电脑上以保持数据的完整性。同吋,记录下恢复过程中所采取的每一步措施。因为考虑恢复一个被侵入的系统是一件很麻烦的事,要耗费大量的时间,还有可能作出一些草率的决定。记录自己所做的每一步操作可以帮助避免作出草率的决定,还可以留作以后的参考。现在可以审查日志文件和系统趾置文件了。检查系统日志,发现都是当天的,看来侵入过程的日志已经被清除了。再检查

4、入侵者对系统的修改,搜索近一个星期修改过的文件。找到一大堆陌生文件,都是远程控制软件服务器端的程序,选定后全部删除。打开Serv-u管理界面,无法查看域设置,显示“无法连接到43958端口”,看来Serv-u己经遭到了修改破坏。点击开始菜单,打开程序组竟然还发现QQ聊天软件。于是找到QQ软件的安装目录,检查留下的蛛丝马迹。有两个登录帐号,但是聊天记录已经删除。记下号码后,用QQ查找,两个帐号都没有上线,其个人资料分别显示来自湖北和北京,没有其他有用信息。用木马防线2005版进行扫描,没有发现其他木马。WEB服务器中电大在线站点无

5、法访问,尽管可以修复,但考虑黑客极有可能留下后门,无法清除干净,所以决定重装系统。但在重装Z前必须先弄清楚这次遭攻击的漏洞,否则即使重装了系统还是不可靠。考虑Serv-u无法进行本地管理,看来是被修改了程序文件或趾置文件,所以怀疑攻击可能与Serv-u有关。上网查找资料,发现我所使用的Serv-u6.0.0.2确实存在漏洞。1.2Serv-u6.0.0.2安全漏洞分析所有Serv-U存在默认本地管理员登录密码,这帐户只能在本地接口中连接,因此本地攻击者可以连接Serv-U并建立拥有执行权限的FTP用户,在这个用户建立后,连接FT

6、P服务器并执行"SITEEXEC〃命令,程序就会以SYSTEM权限执行。Serv-u>3.x版本都存在本地权限提升漏洞,通过Webshell结合Exp提升权限已经成了很常用提升方法。在Serv-U6.0.0.2版本中,初始管理密码依旧是#l@$ak#.lk;0@P,但可以很方便地在Serv-Uadmin控制台修改密码,修改完密码,配置保存在ServUDaemon.ini的LocalSetupPassword=屮。原来的#l@$ak#.lk;0@P依旧保存,只有当密码为空时使用。1.3利用Serv-U6.0.0.2的侵入只要得到一

7、个webshell,一旦发现服务器安装了setv-u,就可以提升权限。找到Serv-u的目录,打开ServUDaemon.ini,内容类似:[GLOBAL]Version二6.0.0.2ProcesslD二392[Dornaini]Userl=jqzx

8、1

9、0如果没有LocalSetupPassword,很能默认密码没改。上传xiaolu的那个serv-u权限提升工具(myservu.exe)执行,如果发现权限不够,还是有办法的。自己再上传一个cmd.exe到网站目录,当然网站目录应该有执行权限,在海洋2005木马上执行。注意这

10、吋的cmd.exe要帯上路径,myservu.exe43958"netuserdqdddqdd/add"执行完毕后,用netuser查看,成功添加了dqdd用户。serv-u6.0.0.2的ServUDaemon.ini,如果没有LocalSetupPasswo

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。