1、信息安全分析与加固1密 级: 内 部 版 本文档编号: SEC2008-JG002编 写:信息安全评估项目组Pepo网站安全分析与加固报告广州易城计算机信息技术有限公司信息安全评估项目组Guangzhou Ewall Computer Information Technology CO.,LTD2008-1-20目 录第一章 分析概述 31.1 概述 .3信息安全分析与加固2密 级: 内 部 版 本文档编号: SEC2008-JG002编 写:信息安全评估项目组1.2 风险分析对象 41.3 风险分析方法 4第二章 威胁分析 52.1 风险分析总论 .52.2 pepo 站点安全分析 .52.
2、2.1 上传漏洞 52.2.2 ServU 溢出漏洞 .82.2.3 日志分析 .92.2.4 管理帐号分析 .102.2.5 数据库连接帐号分析 .112.2.6 服务器权限设置分析 .122.2.7 系统检测 .202.2.8 SQL 服务器 242.2.9 站点综合分析 27第三章 安全加固 273.1 上传漏洞加固 .273.2 ServU 溢出漏洞修补 273.3 ASP 木马防御加固 .283.4 数据库帐号 .283.5 杀毒软件 293.6 IIS 设置加固 303.7 管理员权限设置 .323.8 本地安全策略 服务设置 .333.9 终端连接加固 .393.10 SQL 数
3、据库服务器加固 .40第四章 安全建议 404.1 安全建议 .404.2 总论 .41第一章 分析概述1.1 概述通过对 pepo 网站采用渗透测试和远程安全分析并对其分析出来的安全漏洞进行加固,本章描述本次分析过程中所采用的技术和工具。信息安全分析与加固3密 级: 内 部 版 本文档编号: SEC2008-JG002编 写:信息安全评估项目组通过本次对 pepo 网站的安全漏洞以及威胁点进行分析对 pepo网进行加固,消除威胁源并对 pepo 网以后的发展过程中将会遇到的安全问题提出预测性的方案。本次所采用的安全分析方法逻辑描述分析图为:其意义为:1) 信息资产具有价值,并会受到威胁的潜在
4、影响;2) 漏洞将信息资产暴露给威胁,威胁利用漏洞对资产造成影响;3) 威胁与漏洞的增加导致安全风险的增加;4) 安全风险的存在对组织的信息安全提出要求;5) 安全措施应满足安全需求;6) 组织通过实施安全措施防范威胁,以降低安全风险。信息安全分析与加固4密 级: 内 部 版 本文档编号: SEC2008-JG002编 写:信息安全评估项目组1.2 风险分析对象本次安全分析加固范围如下;1.3 风险分析方法本次信息安全分析分为人工系统分析、渗透测试等几个方面,在网络安全漏洞评估中我们使用了专业的网络安全漏洞评估工具。通过使用专业安全漏洞评估工具进行自动扫描和后期的人工整理分析,渗透测试采用人工
5、配合工具进行检测,小组编写的安全工具进行测试。最终形成网络安全分析与加固报告。第二章 威胁分析2.1 风险分析总论在本次安全分析中我们按照对内、对外两个方面来进行分析汇总。在对网站进行分析时候发现其站点存在多处漏洞,最引人注目的:在个人资料的图像上传,没有过滤好,造成黑客可以任意上传木马文件,包括服务器中没做任何权限设置。从我们小组通过对网站开始做检测以来,就发现该站点自去年 9 月 12 日以来就被多次入侵过,IP OS DBWEB 应用渗透测试 Windows IIS数据库系统渗透 Windows SqlServier系统渗透测试信息安全分析与加固5密 级: 内 部 版 本文档编号: SE
6、C2008-JG002编 写:信息安全评估项目组并建立管理员帐号等等,包括后门木马。总体来说该网站完全暴露在 INTERNET 外,不需要很高明的黑客技术就可以进入该站点,风险等级级别为高,红色警报。2.2 pepo 站点安全分析2.2.1 上传漏洞在接到对 pepo 网站检测后,安全检测人员直接手工的对该站点进行检测,结果发现个人资料上传图像处过滤不严,从而直接上传一个脚本木马,控制全站,通过提权得到服务器管理权限。如图:通过抓包,自定义上传路径通过外部提交,上传脚本木马信息安全分析与加固6密 级: 内 部 版 本文档编号: SEC2008-JG002编 写:信息安全评估项目组利用 2003
7、 特性,*.asp 文件夹内任何文件均作为 asp 来解析,成功上传一个脚本木马信息安全分析与加固7密 级: 内 部 版 本文档编号: SEC2008-JG002编 写:信息安全评估项目组从以上图片可以看出,入侵者轻易获得网站权限,可以完全操作整个网站,包括修改、删除网站内容以及修改、删除数据库内容等等。2.2.2 ServU 溢出漏洞ServU 所有版本均存在本地权限提升溢出漏洞,入侵者通过脚本木马,可以轻易利用此漏洞提升权限,获得服务器管理权限,如图:信息安全分析与加固8密 级: 内 部 版 本文档编号: SEC2008-JG002编 写:信息安全评估项目组2.2.3 日志分析我们在远程连
8、接网站系统后对起 WEB 日志进行分析,发现入侵者均是通过以上漏洞入侵网站,并且留下 ASP 木马后门,以下是在网站发现的 ASP 后门,如图:信息安全分析与加固9密 级: 内 部 版 本文档编号: SEC2008-JG002编 写:信息安全评估项目组2.2.4 管理帐号分析在我们对网站进行帐号查找分析的时候发现入侵者添加的管理员帐号,如图:入侵者建立的隐藏拥有管理员权限信息安全分析与加固10密 级: 内 部 版 本文档编号: SEC2008-JG002编 写:信息安全评估项目组2.2.5 数据库连接帐号分析通过检测,我们发现数据库采用的是 SA 帐户连接,该帐户具有系统权限,入侵者可以通过该
9、帐号,直接连接数据库服务器,执行任何系统命令,取得数据库服务器管理权限2.2.6 服务器权限设置分析在远程登陆网站服务器后,我们发现各目录权限设置几乎都是默认,入侵者可以非常轻松的得到整个服务器的情况,如图:默认权限配置信息安全分析与加固11密 级: 内 部 版 本文档编号: SEC2008-JG002编 写:信息安全评估项目组默认权限配置信息安全分析与加固12密 级: 内 部 版 本文档编号: SEC2008-JG002编 写:信息安全评估项目组无关映射没有删除信息安全分析与加固13密 级: 内 部 版 本文档编号: SEC2008-JG002编 写:信息安全评估项目组错误消息没有禁用信息安
10、全分析与加固14密 级: 内 部 版 本文档编号: SEC2008-JG002编 写:信息安全评估项目组默认 IIS 用户信息安全分析与加固15密 级: 内 部 版 本文档编号: SEC2008-JG002编 写:信息安全评估项目组网站目录权限默认信息安全分析与加固16密 级: 内 部 版 本文档编号: SEC2008-JG002编 写:信息安全评估项目组无关程序安装过多信息安全分析与加固17密 级: 内 部 版 本文档编号: SEC2008-JG002编 写:信息安全评估项目组存放过多敏感信息文件2.2.7 系统检测在远程登陆网站服务器后,在系统盘下发现被黑客入侵后留下的后门木马,经分析,获
11、悉此木马文件为驱动级别的 pcshare 远程控制木马,如图:信息安全分析与加固18密 级: 内 部 版 本文档编号: SEC2008-JG002编 写:信息安全评估项目组木马文件信息安全分析与加固19密 级: 内 部 版 本文档编号: SEC2008-JG002编 写:信息安全评估项目组木马文件信息安全分析与加固20密 级: 内 部 版 本文档编号: SEC2008-JG002编 写:信息安全评估项目组木马服务木马服务信息安全分析与加固21密 级: 内 部 版 本文档编号: SEC2008-JG002编 写:信息安全评估项目组2.2.8 SQL 服务器在远程登陆数据库服务器后,发现数据库服务
12、器上有许多站点,这些站点存在大量问题,一旦该站点被入侵,就会严重危害到数据库的安全,如图:所有站点均采用默认 IIS 用户信息安全分析与加固22密 级: 内 部 版 本文档编号: SEC2008-JG002编 写:信息安全评估项目组信息安全分析与加固23密 级: 内 部 版 本文档编号: SEC2008-JG002编 写:信息安全评估项目组网站目录权限默认建议升级版本信息安全分析与加固24密 级: 内 部 版 本文档编号: SEC2008-JG002编 写:信息安全评估项目组2.2.9 站点综合分析通过前面对网站的检测总体分析来看,该站点已经被黑客入侵过,而且还不只一两次被入侵并被修改过数据,
13、网站基本上无任何安全保护措施,服务器也没做任何的加固工作,从安全的角度来讲完全上无任何的安全防御。第三章 安全加固3.1 上传漏洞加固个人图像上传处过滤不言,导致外部提交可以直接提交asp木马到服务器上,饶过验证.加固方案:针对网站所有上传部分进行检测,修改上传代码,增加防止外部提交验证。3.2 ServU 溢出漏洞修补目前ServU所有版本均存在本地权限提升漏洞,要堵住此漏洞,只需增加一个本地管理密码即可,如图:信息安全分析与加固25密 级: 内 部 版 本文档编号: SEC2008-JG002编 写:信息安全评估项目组目前密码为:888888 ,请自行修改。3.3 ASP 木马防御加固目前
14、脚本木马主要利用 Shell.Application WScript.Shell 两个组件,因此我们将其删除,就可限制脚本木马的绝大部分功能。regsvr32/u C:WINDOWSSystem32wshom.ocxdel C:WINDOWSSystem32wshom.ocxregsvr32/u C:WINDOWSsystem32shell32.dlldel C:WINDOWSsystem32shell32.dll3.4 数据库帐号立即更改数据库连接帐号,新建一个低权限的帐号来连接,同时,信息安全分析与加固26密 级: 内 部 版 本文档编号: SEC2008-JG002编 写:信息安全评估项
15、目组立即更改 SA 帐号密码。3.5 杀毒软件推荐升级麦咖啡杀毒软件版本,最新版本为:8.5I,充分利用其强悍的自定义规则,给服务器最大保护。McAfee8.5i 企业版( 原汁原味:官方正式版)直接官方下载地址信息安全分析与加固27密 级: 内 部 版 本文档编号: SEC2008-JG002编 写:信息安全评估项目组https:/ 进去后在 Grant Number 那里输入 1359125-NAI然后打开 McAfee Active VirusScan 下面的 View Available Downloads 链接选择想要下载的程序版本(VirusScan Enterprise v8.5
16、i )3.6 IIS 设置加固针对每个网站,采用独立的 IIS 用户,同时,只保留必要的脚本解析,关闭错误回显,如图:只保留必要的脚本解析信息安全分析与加固28密 级: 内 部 版 本文档编号: SEC2008-JG002编 写:信息安全评估项目组关闭错误回显设置独立的 IIS 用户信息安全分析与加固29密 级: 内 部 版 本文档编号: SEC2008-JG002编 写:信息安全评估项目组3.7 管理员权限设置在系统中的一些系统命令只允许系统管理员能够访问与执行。任何其他帐号都根据需要设置及低的权限,如:cmd.exe net.exeNet1.exe ipconfig.exe ftp.exe tftp.exe 如图:信息安全分析与加固30密 级: 内 部 版 本文档编号: SEC2008-JG002编 写:信息安全评估项目组3.8 本地安全策略 服务设置以下安全设置均已加固完成。1. Service Packs 和 Hotfixs 安装情况 结果编号 检查选项状态系统已经安装最新的 Service Pack。1 Windows2000 的最新 Service Pack 是 SP4WindowsXP 的最新 Service Pack 是 SP2符合
