荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: hellsolaris (qq), 信区: Security
标 题: 如何静止IPC$、C$等黑客的攻击漏洞的绝佳方法
发信站: 荔园晨风BBS站 (Sat Oct 25 18:46:21 2003), 站内信件
发信人: arthurhzl (狼迹天涯), 信区: Hacker
标 题: 如何静止IPC$、C$等黑客的攻击漏洞的绝佳方法!
发信站: 华南网木棉站 (Thu Jul 17 08:23:00 2003), 转信
用过Windows 2000的人都知道,Windows 2000的默认安装允许任何用户通过空用户连接
(IPC$)得到系统所有账号和共享列表,这本来是为了方便局域网用户共享资源和文件
的,但是任何一个远程用户都可以利用这个空的连接得到你的用户列表。一些别有用心
者会利用这项功能,查找我们的用户列表,并使用一些字典工具,对我们的主机进行攻
击。另外,在安装系统时创建一些隐藏的共享,通过“计算机名或IP地址\盘符$”就可
以访问。作为系统管理员的我,平时也喜欢利用这些共享来进行远程管理计算机和查看
计算机的共享资源时,没想到却给黑客留了通道。
黑客攻击
一些别有用心者曾经利用黑客工具软件对我所管理的服务器进行IPC$漏洞探测,其中以
“流光”软件最为出名,其运行主界面如图1所示,按[Ctrl+R]键弹出扫描框(如图2)。
在扫描范围栏里输入你要扫描的IP地址范围,在扫描主机类型里选择Windows NT/98,确
定后进行扫描,这样,一些在线的Windows NT/98机器就会被扫描出来。
鼠标右击界面上“IPC$主机”,选择“探测”下面的“探测所有IPC$用户列表”
命令,就会探测出给出IP地址范围的机器里的IPC$用户列表,关键是这里也可以扫描出
这些用户列表中没有密码或是简单密码的用户(如图3)。当然,得到用户列表后也可以
选用专门的黑客字典试探出密码来,谁能保证,服务器里每个用户的密码都很强壮呢?
所以这些人总有得逞的时候。
有了用户名和密码,在IE浏览器的地址栏输入“\\IP地址”,就会弹出一个对话框
要求输入用户名和密码,将得到的用户名和密码输入之后就可轻松进入目标机器,不过
这里看到的仅是目标机器主动共享出来的文件夹。如果在地址栏输入“\\IP地址\C$(
或是D$,E$等)”,则可以看到目标机器C盘(或是D$,E$等)的全部内容。
防范IPC$漏洞攻击
知道黑客利用此漏洞入侵后,我惊出了一身冷汗,赶紧把密码设置得复杂一些,但
是无论我采用多复杂的密码,过一段时间还是发现有被入侵的迹象。看来万事都不能两
全,计算机管理也一样,要方便就不安全,要安全就不方便,所以我只好采用下面的方
法把IPC$漏洞堵住,这样自己也就没办法享受默认共享带来的方便了。
1. 通过修改注册表来禁止建立空连接(IPC$)
点击[开始]→[运行],在运行框里输入“Regedit”回车后打开注册表,将HKE
Y_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA的RestrictAnonymous 项设
置为“1”,就可以禁止空用户连接。
2. 通过修改注册表来禁止管理共享 C$D$等
打开注册表的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\Lanman
Server\Parameters项
对于服务器,添加键值“AutoShareServer”,类型为“REG_DWORD”,值为“0”。
对于客户机,添加键值“AutoShareWks”,类型为“REG_DWORD”,值为“0”。
3. 批处理删除共享
更简单的方法就是到http://www.heibai.net/download/show.php?id=2194下载Del
share.zip。该压缩包里包含两个自动永久删除 Windows 2000所有默认共享的两个批处
理文件(一个中文版,一个英文版),也就是采用批处理方式一一删除所有共享,解压
后执行其中一个即可达到目的。[/color]
--
即可达到目的。[/color]
--
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.44.223]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店