Pepo网站安全分析与加固报告.doc

密 级： 内 部 版 本文档编号： SEC2008-JG002编 写：信息安全评估项目组信息安全分析与加固Pepo网站安全分析与加固报告 广州易城计算机信息技术有限公司信息安全评估项目组Guangzhou Ewall Computer Information Technology CO.,LTD2008-1-20目 录第一章分析概述31.1 概述31.2风险分析对象41.3风险分析方法4第二章威胁分析52.1 风险分析总论52.2 pepo站点安全分析52.2.1 上传漏洞52.2.2 ServU溢出漏洞82.2.3日志分析92.2.4管理帐号分析102.2.5数据库连接帐号分析112.2.6服务器权限设置分析122.2.7系统检测202.2.8 SQL服务器242.2.9 站点综合分析27第三章安全加固273.1 上传漏洞加固273.2 ServU溢出漏洞修补273.3 ASP木马防御加固283.4 数据库帐号283.5杀毒软件293.6 IIS设置加固303.7 管理员权限设置323.8 本地安全策略 服务设置333.9 终端连接加固393.10 SQL数据库服务器加固40第四章安全建议404.1 安全建议404.2 总论41第一章 分析概述1.1 概述通过对pepo网站采用渗透测试和远程安全分析并对其分析出来的安全漏洞进行加固，本章描述本次分析过程中所采用的技术和工具。通过本次对pepo网站的安全漏洞以及威胁点进行分析对pepo网进行加固，消除威胁源并对pepo网以后的发展过程中将会遇到的安全问题提出预测性的方案。本次所采用的安全分析方法逻辑描述分析图为：其意义为：1) 信息资产具有价值，并会受到威胁的潜在影响；2) 漏洞将信息资产暴露给威胁，威胁利用漏洞对资产造成影响；3) 威胁与漏洞的增加导致安全风险的增加；4) 安全风险的存在对组织的信息安全提出要求；5) 安全措施应满足安全需求；6) 组织通过实施安全措施防范威胁，以降低安全风险。1.2风险分析对象 本次安全分析加固范围如下；IPOSDBWEB应用渗透测试WindowsIIS数据库系统渗透WindowsSqlServier系统渗透测试1.3风险分析方法 本次信息安全分析分为人工系统分析、渗透测试等几个方面，在网络安全漏洞评估中我们使用了专业的网络安全漏洞评估工具。通过使用专业安全漏洞评估工具进行自动扫描和后期的人工整理分析，渗透测试采用人工配合工具进行检测，小组编写的安全工具进行测试。最终形成网络安全分析与加固报告。第二章 威胁分析2.1 风险分析总论在本次安全分析中我们按照对内、对外两个方面来进行分析汇总。在对网站进行分析时候发现其站点存在多处漏洞，最引人注目的：在个人资料的图像上传，没有过滤好，造成黑客可以任意上传木马文件，包括服务器中没做任何权限设置。从我们小组通过对网站开始做检测以来，就发现该站点自去年9月12日以来就被多次入侵过，并建立管理员帐号等等，包括后门木马。总体来说该网站完全暴露在INTERNET外，不需要很高明的黑客技术就可以进入该站点，风险等级级别为高，红色警报。2.2 pepo站点安全分析2.2.1 上传漏洞 在接到对pepo网站检测后，安全检测人员直接手工的对该站点进行检测，结果发现个人资料上传图像处过滤不严，从而直接上传一个脚本木马，控制全站，通过提权得到服务器管理权限。如图：通过抓包，自定义上传路径通过外部提交，上传脚本木马利用2003特性，*.asp文件夹内任何文件均作为asp来解析，成功上传一个脚本木马从以上图片可以看出，入侵者轻易获得网站权限，可以完全操作整个网站，包括修改、删除网站内容以及修改、删除数据库内容等等。2.2.2 ServU溢出漏洞 ServU所有版本均存在本地权限提升溢出漏洞，入侵者通过脚本木马，可以轻易利用此漏洞提升权限，获得服务器管理权限，如图：2.2.3日志分析 我们在远程连接网站系统后对起WEB日志进行分析，发现入侵者均是通过以上漏洞入侵网站，并且留下ASP木马后门，以下是在网站发现的ASP后门，如图：2.2.4管理帐号分析 在我们对网站进行帐号查找分析的时候发现入侵者添加的管理员帐号，如图：入侵者建立的隐藏拥有管理员权限2.2.5数据库连接帐号分析通过检测，我们发现数据库采用的是SA帐户连接，该帐户具有系统权限，入侵者可以通过该帐号，直接连接数据库服务器，执行任何系统命令，取得数据库服务器管理权限2.2.6服务器权限设置分析 在远程登陆网站服务器后，我们发现各目录权限设置几乎都是默认，入侵者可以非常轻松的得到整个服务器的情况，如图：默认权限配置默认权限配置无关映射没有删除错误消息没有禁用默认IIS用户网站目录权限默认无关程序安装过多存放过多敏感信息文件2.2.7系统检测 在远程登陆网站服务器后，在系统盘下发现被黑客入侵后留下的后门木马，经分析，获悉此木马文件为驱动级别的pcshare远程控制木马，如图：木马文件木马文件木马服务木马服务2.2.8 SQL服务器在远程登陆数据库服务器后，发现数据库服务器上有许多站点，这些站点存在大量问题，一旦该站点被入侵，就会严重危害到数据库的安全，如图：所有站点均采用默认IIS用户 网站目录权限默认建议升级版本2.2.9 站点综合分析通过前面对网站的检测总体分析来看，该站点已经被黑客入侵过，而且还不只一两次被入侵并被修改过数据，网站基本上无任何安全保护措施，服务器也没做任何的加固工作，从安全的角度来讲完全上无任何的安全防御。第三章 安全加固3.1 上传漏洞加固 个人图像上传处过滤不言,导致外部提交可以直接提交asp木马到服务器上,饶过验证. 加固方案：针对网站所有上传部分进行检测，修改上传代码，增加防止外部提交验证。 3.2 ServU溢出漏洞修补目前ServU所有版本均存在本地权限提升漏洞，要堵住此漏洞，只需增加一个本地管理密码即可，如图：目前密码为：888888 ，请自行修改。3.3 ASP木马防御加固目前脚本木马主要利用Shell.Application WScript.Shell两个组件，因此我们将其删除，就可限制脚本木马的绝大部分功能。regsvr32/u C:WINDOWSSystem32wshom.ocxdel C:WINDOWSSystem32wshom.ocxregsvr32/u C:WINDOWSsystem32shell32.dlldel C:WINDOWSsystem32shell32.dll3.4 数据库帐号 立即更改数据库连接帐号，新建一个低权限的帐号来连接，同时，立即更改SA帐号密码。3.5杀毒软件推荐升级麦咖啡杀毒软件版本，最新版本为：8.5I，充分利用其强悍的自定义规则，给服务器最大保护。McAfee8.5i企业版（原汁原味：官方正式版）直接官方下载地址/apps/downloads/my_products/login.asp 进去后在Grant Number那里输入 1359125-NAI然后打开McAfee Active VirusScan下面的View Available Downloads链接选择想要下载的程序版本（VirusScan Enterprise v8.5i ）3.6 IIS设置加固针对每个网站，采用独立的IIS用户，同时，只保留必要的脚本解析，关闭错误回显，如图：只保留必要的脚本解析关闭错误回显设置独立的IIS用户3.7 管理员权限设置在系统中的一些系统命令只允许系统管理员能够访问与执行。任何其他帐号都根据需要设置及低的权限，如：cmd.exe net.exeNet1.exe ipconfig.exe ftp.exe tftp.exe 如图：3.8 本地安全策略 服务设置 以下安全设置均已加固完成。1. Service Packs和Hotfixs安装情况编号检查选项结果状态1 系统已经安装最新的Service Pack。符合Windows2000的最新Service Pack是SP4WindowsXP的最新Service Pack是SP2Windows2003的最新Service Pack是SP12 系统已经安装所有的hotfix。符合2. 审计和帐号策略操作：点击开始-设置-控制面板，然后双击管理工具，最后双击本地安全策略，开始进行检查。编号检查选项结果状态1. 密码策略：密码必须符合复杂性要求（启用）符合2. 密码策略：密码长度最小值（8）符合3. 密码策略：密码最长使用期限（90天）符合4. 密码策略：密码最短使用期限（1天）符合5. 密码策略：强制密码历史（24）符合避免用户更改口令时使用以前使用过的口令，可以防止密码的泄露。6. 密码策略：用可还原的加密来储存密码（禁用）符合7. 帐户锁定策略：复位帐户锁定计数器（15分钟之后）不符合8. 帐户锁定策略：帐户锁定时间（15分钟）不符合9. 帐户锁定策略：帐户锁定阀值（3次无效登录）不符合10. 审核策略：审核策略更改（成功和失败）不符合11. 审核策略：审核登录事件（成功和失败）不符合12. 审核策略：审核对象访问（失败）不符合用于跟踪特定用户对特定文件的访问。13. 审核策略：审核过程跟踪（可选）不符合跟踪每次一个用户启动，停止或改变一个进程，该事件的日志将会增长的非常快，建议仅在绝对必须时才使用。14. 审核策略：审核目录服务访问（未定义）不符合仅域控制器才需要审计目录服务访问。15. 审核策略：审核特权使用（失败）不符合用于跟踪用户对超出赋予权限的使用。16. 审核策略：审核系统事件（成功和失败）不符合系统事件审计相当关键，它包括启动、关闭计算机，或其它安全相关的事件。17. 审核策略：审核帐户登录事件（成功和失败）不符合18. 审核策略：审核帐户管理（成功和失败）不符合用于跟踪账号的创建、改名、用户组的创建和改名、账号口令的更改等。19. 安全选项：帐户：来宾状态（已禁用）符合20. 事件查看器：登录保持方式（需要时覆盖事件日志）符合21. 事件查看器：安全日志最大占用空间（80Mb）符合3. 安全设置编号检查选项结果状态1. Microsoft 网络服务器：当登录时间用完时自动注销用户（启用）不符合可以避免用户在不适合的时间登录到系统,或者用户登录到系统后忘记退出登录2. Microsoft 网络服务器：在挂起会话之前所需的空闲时间（小于等于30分钟）不符合3. Microsoft 网络客户端：发送未加密的密码到第三方SMB服务器:（禁用）不符合4. 故障恢复控制台:允许对所有驱动器和文件夹进行软盘复制和访问（禁用）不符合Windows 2000控制台恢复的另一个特性是它禁止访问硬盘驱动器上的所有文件和目录。它仅允许访问每个卷的根目录和%systemroot%目录及子目录，即使是这样它还限制不允许把硬盘驱动器上的文件拷贝到软盘上。5. 故障恢复控制台:允许自动系统管理级登录（禁用）不符合恢复控制台是Windows 2000的一个新特性，它在一个不能启动的系统上给出一个受限的命令行访问界面。该特性可能会导致任何可以重起系统的人绕过账号口令限制和其它安全设置而访问系统。6. 关机：清除虚拟内存页面文件（启用）不符合7. 关机：允许系统在未登录前关机（禁用）不符合8. 交互式登录：不显示上次的用户名（启用）不符合9. 交互式登录：不需要按Ctrl+Alt+Del（禁用）不符合10. 交互式登录：可被缓存的前次登录个数（在域控制器不可用的情况下）（0）不符合11. 帐户：重命名系统管理员账户（除了Administrator 的其它名字）符合4. 注册表安全设置编号检查选项结果状态1. 抑制Dr. Watson Crash Dump: HKLMSoftwareMicrosoftDrWatson CreateCrashDump (REG_DWORD) 0不符合Dr. Watson 是Microsoft用来处理应用程序错误的一个实用程序。它可以Dump一个出错应用程序的内存以便进行分析。但是Dump出来的数据中可能会含有敏感信息，因此应该防止Dr. Watson crash dump到磁盘上。2. 禁止在任何驱动器上自动运行任何程序: HKLMSoftware MicrosoftWindowsCurrentVersionPoliciesExplorerNoDriveTypeAutoRun (REG_DWORD) 255不符合自动运行程序可能会导致恶意代码或特洛伊木马的运行.3. 用星号掩藏任何的口令输入; HKLMSoftwareMicrosoft WindowsCurrentVersionPoliciesNetworkHideSharePwds (REG_DWORD) 1符合4. 禁止自动执行系统调试器: HKLMSoftware MicrosoftWindows NTCurrentVersionAeDebugAuto (REG_DWORD) 0不符合系统调试器启动以后可能会导致应用程序在特权内存空间内执行代码。5. 禁止自动登录: HKLMSoftwareMicrosoftWindows NT CurrentVersionWinlogonAutoAdminLogon (REG_DWORD) 0符合自动登录会把用户名和口令以明文的形式保存在注册表中。6. 禁止在蓝屏后自动启动机器: HKLMSystem CurrentControlSetControlCrashControlAutoReboot (REG_DWORD) 0不符合防止有恶意用户故意制造程序错误来重起机器以进行某些操作。7. 禁止CD自动运行: HKLMSystemCurrentControlSetServicesCDrom Autorun (REG_DWORD) 0不符合防止CD上可能的恶意程序被自动运行。8. 删除服务器上的管理员共享: HKLMSystemCurrentControlSet ServicesLanmanServerParametersAutoShareServer (REG_DWORD) 0符合每个Windows NT/2000机器在安装后都缺省存在”管理员共享”,它们被限制只允许管理员使用,但是它们会在网络上以Admin$,c$等来暴露每个卷的根目录和%systemroot%目录。9. 源路由欺骗保护: HKLMSystemCurrentControlSet ServicesTcpipParametersDisableIPSourceRouting (REG_DWORD) 2不符合如果一台Windows机器安装了两个有效的网络设备(包括拨号网络),它可以被配置为一个路由器或防火墙,从一个网络接口传送网络通信到另一个. 在这样的路由器上进行源路由通信可以通过欺骗设备认为来自于被保护的一端的恶意网络行为来跳过某些路由规则。10. 帮助防止碎片包攻击: HKLMSystemCurrentControlSet ServicesTcpipParametersEnablePMTUDiscovery (REG_DWORD) 1未检查11. 管理keep-alive时间: HKLMSystemCurrentControlSetServicesTcpip ParametersKeepAliveTime (REG_DWORD) 300000未检查Keep-alive时间被网络子系统用来判定一个TCP会话是否仍然有效.数值300000表示超时时间为5分钟。12. 防止SYN Flood攻击: HKLMSystemCurrentControlSet ServicesTcpipParametersSynAttackProtect (REG_DWORD) 2不符合13. SYN攻击保护-管理TCP半开sockets的最大数目: HKLMSystemCurrentControlSetServicesTcpipParameters TcpMaxHalfOpen (REG_DWORD) 100 或 500不符合5. 不必要的服务编号检查选项结果状态1. Alerter 禁止符合Alerter服务通常用于进程间发送信息,比如执行打印作业.它也用于和Messenger服务连接来在网络上的计算机间发送同样的信息。2. Clipbook 禁止符合Clipbook服务用于在网络上的机器间共享剪裁板上的信息.大多数情况下用户没有必要和其它机器共享这种信息。3. Computer Browser 禁止不适用Computer Browser服务跟踪网络上一个域内的机器.它允许用户通过网上邻居来发现他不知道确切名字的共享资源.不幸的是它可以不通过任何授权就允许任何人浏览这些资源。4. Internet Connection Sharing 禁止不适用5. Messenger 禁止符合6. Remote Registry Service 禁止不符合7. Routing and Remote Access 禁止符合8. Simple Mail Trasfer Protocol(SMTP) 禁止不适用该服务是IIS的一部分,应该被禁止或完全删除。9. Simple Network Management Protocol(SNMP) Service 禁止不适用10. Simple Network Management Protocol(SNMP) Trap 禁止不适用11. Telnet 禁止符合12. World Wide Web Publishing Service 禁止