服务器安全:堵上致命的IISUnicode

  夜已深,窗外已是灯火阑珊时。我疲惫地吸了最后一口烟,准备关上和网络连接了5个小时的电脑,离开这梦幻般的网络时空。却意外地发现桌面上多了一个文件,要知道我的桌面向来是干干净净的……。


  是我自己不注意的时候创建的吗?随即我漫不经心地打开了这个文本文件。上面赫然写着几个字:你的电脑有漏洞,我随时都可以删除你的文件!不相信就看看你XXX目录下的那个文件,他已经被我移动到了XXX目录里!。是吗?我遭黑客攻击了。好在他还处于黑客的初级阶段,我知道他是如何入侵我的计算机的。


  扫描漏洞的软件


  他可能采用了扫描漏洞的黑客软件如:X-Scan V2.3、小榕的“流光”等,以X-Scan V2.3为例,该软件采用多线程方式对指定IP地址段进行安全漏洞检测,并提供了图形界面和命令行两种操作方式,扫描内容包括:远程操作系统类型及版本,标准端口状态及端口BANNER信息,CGI漏洞,IIS漏洞,RPC漏洞,SQL-SERVER、FTP-SERVER、SMTP-SERVER、POP3-SERVER、NT-SERVER弱口令用户,NT服务器NETBIOS信息等。扫描结果会保存在/log/目录中,index_*.htm为扫描结果索引文件。下载完成后,点击压缩包中“xscan_gui.exe”进入X-Scan图形界面。本篇文章发表于www.xker.com(小新)


  X-Scan V3.2小档案


  软件大小:9188KB  软件语言:简体中文


  软件类别:国产免费软件  应用平台:Win9x/NT/2000/XP


  下载地址:http://www.mydown.com/soft/259/259551.html


  设置扫描参数


  他点击工具栏的第二个按钮进入“扫描参数”对话框(图1),在“指定IP范围”栏中输入局域网IP地址范围是“192.168.0.1-192.168.0.99”。其它可以使用默认。



图1


  开始扫描


  他点击工具栏的第三个按钮进行漏洞扫描。检测出IP地址为“192.168.0.15”,我的计算机有许多明显的IISUnicode漏洞。想知道IISUnicode漏洞是什么吗?我简单介绍一下IISUnicode漏洞:微软的IIS4.0和5.0都存在利用扩展Unicode字符取代“/”和“\”从而利用“../”目录遍历的漏洞。未经授权的用户可能利用IUSR_machinename账号进行入侵。该账号在默认情况下属于Everyone和Users组的成员,因此任何与Web根目录在同一逻辑驱动器上并能被这些用户组访问的文件都能被删除、修改或执行,就如同一个用户成功登陆后所能完成的一样。

#p#副标题#e#


  夜已深,窗外已是灯火阑珊时。我疲惫地吸了最后一口烟,准备关上和网络连接了5个小时的电脑,离开这梦幻般的网络时空。却意外地发现桌面上多了一个文件,要知道我的桌面向来是干干净净的……。


  是我自己不注意的时候创建的吗?随即我漫不经心地打开了这个文本文件。上面赫然写着几个字:你的电脑有漏洞,我随时都可以删除你的文件!不相信就看看你XXX目录下的那个文件,他已经被我移动到了XXX目录里!。是吗?我遭黑客攻击了。好在他还处于黑客的初级阶段,我知道他是如何入侵我的计算机的。


  扫描漏洞的软件


  他可能采用了扫描漏洞的黑客软件如:X-Scan V2.3、小榕的“流光”等,以X-Scan V2.3为例,该软件采用多线程方式对指定IP地址段进行安全漏洞检测,并提供了图形界面和命令行两种操作方式,扫描内容包括:远程操作系统类型及版本,标准端口状态及端口BANNER信息,CGI漏洞,IIS漏洞,RPC漏洞,SQL-SERVER、FTP-SERVER、SMTP-SERVER、POP3-SERVER、NT-SERVER弱口令用户,NT服务器NETBIOS信息等。扫描结果会保存在/log/目录中,index_*.htm为扫描结果索引文件。下载完成后,点击压缩包中“xscan_gui.exe”进入X-Scan图形界面。本篇文章发表于www.xker.com(小新)


  X-Scan V3.2小档案


  软件大小:9188KB  软件语言:简体中文


  软件类别:国产免费软件  应用平台:Win9x/NT/2000/XP


  下载地址:http://www.mydown.com/soft/259/259551.html


  设置扫描参数


  他点击工具栏的第二个按钮进入“扫描参数”对话框(图1),在“指定IP范围”栏中输入局域网IP地址范围是“192.168.0.1-192.168.0.99”。其它可以使用默认。



图1


  开始扫描


  他点击工具栏的第三个按钮进行漏洞扫描。检测出IP地址为“192.168.0.15”,我的计算机有许多明显的IISUnicode漏洞。想知道IISUnicode漏洞是什么吗?我简单介绍一下IISUnicode漏洞:微软的IIS4.0和5.0都存在利用扩展Unicode字符取代“/”和“\”从而利用“../”目录遍历的漏洞。未经授权的用户可能利用IUSR_machinename账号进行入侵。该账号在默认情况下属于Everyone和Users组的成员,因此任何与Web根目录在同一逻辑驱动器上并能被这些用户组访问的文件都能被删除、修改或执行,就如同一个用户成功登陆后所能完成的一样。