常見漏洞的處理方案

1、 2013 綠盟科技常見漏洞的處理方案綠盟科技安全顧問：林天翔綠盟科技安全顧問：林天翔1 漏洞掃描原理6 數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備漏洞處理建議5 Linux發(fā)行版漏洞處理建議4 Windows系統(tǒng)漏洞處理建議3 漏洞修復(fù)整體方式2 黑客攻擊方式7 漏洞處理方案總結(jié)有關(guān)安全漏洞的幾個問題什么是安全漏洞？ 在計算機安全學(xué)中，存在于一個系統(tǒng)內(nèi)的弱點或缺陷，系統(tǒng)對一個特定的威脅攻擊或危險事件的敏感性，或進(jìn)行攻擊的威脅作用的可能性。為什么存在安全漏洞？ 客觀上技術(shù)實現(xiàn) 技術(shù)發(fā)展局限 永遠(yuǎn)存在的編碼失誤 環(huán)境變化帶來的動態(tài)化 主觀上未能避免的原因 默認(rèn)配置 對漏洞的管理缺乏 人員意識如何解決安全漏洞？如何解決安全

2、漏洞？一些基本原則 服務(wù)最小化 嚴(yán)格訪問權(quán)限控制 及時的安裝補丁 安全的應(yīng)用開發(fā)可使用工具和技術(shù) 安全評估與掃描工具 補丁管理系統(tǒng) 代碼審計漏洞的可利用性 可利用性：80%的利用漏洞的攻擊發(fā)生在前兩個半衰期內(nèi)，85%的破壞來自于漏洞攻擊開始的15天的自動化攻擊，并且會不斷持續(xù)，直到該漏洞的影響消失。漏洞的流行性和持續(xù)性流行性：50%的最流行的高危漏洞的影響力會流行一年左右，一年后這些漏洞將被一些新的流行高危漏洞所替代。持續(xù)性：4%的高危漏洞的壽命很長，其影響會持續(xù)很長一段時間；尤其是對于企業(yè)的內(nèi)部網(wǎng)絡(luò)來說，某些漏洞的影響甚至是無限期的。少數(shù)漏洞的壽命無限期絕大多數(shù)漏洞的壽命綠盟遠(yuǎn)程安全評估系統(tǒng)

3、依托專業(yè)的NSFOCUS安全小組，綜合運用信息重整化（NSIP）等多種領(lǐng)先技術(shù)，自動、高效、及時準(zhǔn)確地發(fā)現(xiàn)網(wǎng)絡(luò)資產(chǎn)存在的安全漏洞；提供Open VM（Open Vulnerability Management開放漏洞管理）工作流程平臺，將先進(jìn)的漏洞管理理念貫穿整個產(chǎn)品實現(xiàn)過程中；專業(yè)的Web應(yīng)用掃描模塊，可以自動化進(jìn)行Web應(yīng)用、Web 服務(wù)及支撐系統(tǒng)等多層次全方位的安全漏洞掃描，簡化安全管理員發(fā)現(xiàn)和修復(fù) Web 應(yīng)用安全隱患的過程。漏洞管理系統(tǒng)Vulnerability Management System漏洞評估系統(tǒng)Vulnerability Assessment System漏洞掃描產(chǎn)品V

4、ulnerability Scanner RSAS內(nèi)部模塊系統(tǒng)架構(gòu)RSAS Internet掃描結(jié)果庫漏洞知識庫掃描核心模塊WEB界面模塊升級服務(wù)器升級服務(wù)器遠(yuǎn)程遠(yuǎn)程RSAS匯總服務(wù)器匯總服務(wù)器Internet被掃描主機被掃描主機瀏覽器瀏覽器HTTPS訪問訪問InternetHTTP升級請求SSL加密通道SSL加密通道數(shù)據(jù)匯總Internet用戶用戶數(shù)據(jù)同步模塊漏洞掃描技術(shù)原理名詞解釋Banner理解為系統(tǒng)標(biāo)識，可表現(xiàn)出系統(tǒng)版本，業(yè)務(wù)類型等，可理解為“身份證”；漏洞插件漏洞插件基于對某個漏洞的有效攻擊，除去攻擊過程中可導(dǎo)致目標(biāo)系統(tǒng)受損的單元，剩余的測試步驟就為一個漏洞插件；防火墻過濾防火墻過濾

5、防火墻可進(jìn)行嚴(yán)格的出入棧過濾，但可通過nmap等攻擊進(jìn)行繞過探測；數(shù)據(jù)庫版本數(shù)據(jù)庫版本默認(rèn)情況下數(shù)據(jù)庫無法進(jìn)行版本更新等；并且針對數(shù)據(jù)庫絕大部分為DDOS、溢出等攻擊，因此極少存在漏洞插件。大多數(shù)數(shù)據(jù)庫漏洞通過數(shù)據(jù)庫banner進(jìn)行判定；漏洞掃描誤報漏洞掃描誤報常規(guī)情況下，由于目標(biāo)設(shè)備適用環(huán)境的變化，漏洞掃描設(shè)備存在一定的誤報率，因此部分漏洞可能誤報甚至未被發(fā)現(xiàn)，因此要進(jìn)行周期化的掃描，以降低誤報率；1 漏洞掃描原理6 數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備漏洞處理建議5 Linux發(fā)行版漏洞處理建議4 Windows系統(tǒng)漏洞處理建議3 漏洞修復(fù)整體方式2 黑客攻擊方式7 漏洞處理方案總結(jié)黑客攻擊方式之1廣撒網(wǎng)黑客

6、攻擊方式之2重點撈魚WEB服務(wù)器數(shù)據(jù)庫服務(wù)器服務(wù)器終端WindowsLinuxAIXHPSolarisNetWareBSD路由器交換機防火墻網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)系統(tǒng)WWWFTPSSHSMTP DCE/RPC數(shù)據(jù)庫木馬和后門IMAPLDAPONC/RPC 遠(yuǎn)程管理POP3SMB KernelSNMPNNTPCGI X WindowXDMCPXFSKerberosFingerRTSP應(yīng)用系統(tǒng)應(yīng)用系統(tǒng)全面滲透1 漏洞掃描原理6 數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備漏洞處理建議5 Linux發(fā)行版漏洞處理建議4 Windows系統(tǒng)漏洞處理建議3 漏洞修復(fù)整體方式2 黑客攻擊方式7 漏洞處理方案總結(jié)漏洞修復(fù)方式安全性與易用性始終是

7、最大的矛盾1 漏洞掃描原理6 數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備漏洞處理建議5 Linux發(fā)行版漏洞處理建議4 Windows系統(tǒng)漏洞處理建議3 漏洞修復(fù)整體方式2 黑客攻擊方式7 漏洞處理方案總結(jié)Windows漏洞綜述查看系統(tǒng)版本查看系統(tǒng)版本ver查看查看SP版本版本wmic os get ServicePackMajorVersion查看查看Hotfixwmic qfe get hotfixid,InstalledOn查看主機名查看主機名hostname查看網(wǎng)絡(luò)配置查看網(wǎng)絡(luò)配置ipconfig /all查看路由表查看路由表route print查看開放端口查看開放端口netstat -ano配置型漏洞配置型

8、漏洞通過組策略、注冊表等進(jìn)行配置修改，多數(shù)情況下為禁用開放協(xié)議及默認(rèn)協(xié)議；系統(tǒng)型漏洞系統(tǒng)型漏洞系統(tǒng)自身存在的溢出漏洞、DDOS漏洞等；需通過補丁升級解決；Windows漏洞事例Windows漏洞修復(fù)更新補丁http:/ Updates（不使用自動更新可以關(guān)閉）Background Intelligent Transfer ServiceDHCP ClientMessengerRemote RegistryPrint SpoolerServer（不使用文件共享可以關(guān)閉）Simple TCP/IP ServiceSimple Mail Transport Protocol (SMTP)SNMP S

9、erviceTask ScheduleTCP/IP NetBIOS Helper是否實施是否實施備注備注其他不需要的服務(wù)也應(yīng)該關(guān)閉默認(rèn)共享操作目的操作目的關(guān)閉默認(rèn)共享關(guān)閉默認(rèn)共享檢查方法檢查方法開始-運行-cmd.exe-net share，查看共享加固方法加固方法關(guān)閉C$，D$等默認(rèn)共享開始-運行-regedit-找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters ，新建AutoShareServer（REG_DWORD），鍵值為0是否實施是否實施備注備注網(wǎng)絡(luò)訪問限制操作目的操作目的網(wǎng)絡(luò)訪問限制網(wǎng)

10、絡(luò)訪問限制檢查方法檢查方法開始-運行-secpol.msc -安全設(shè)置-本地策略-安全選項加固方法加固方法網(wǎng)絡(luò)訪問: 不允許 SAM 帳戶的匿名枚舉：啟用網(wǎng)絡(luò)訪問: 不允許 SAM 帳戶和共享的匿名枚舉：啟用網(wǎng)絡(luò)訪問: 將 “每個人”權(quán)限應(yīng)用于匿名用戶：禁用帳戶: 使用空白密碼的本地帳戶只允許進(jìn)行控制臺登錄：啟用是否實施是否實施備注備注gpupdate /force立即生效Windows漏洞修復(fù)修改配置Windows漏洞修復(fù)修改配置第一步，打開組策略編輯器：gpedit.msc第二步，找到“計算機配置windows設(shè)置安全設(shè)置安全選項”第三步，在安全選項中找到：”系統(tǒng)加密：將FIPS兼容算法用

11、于加密、哈希和簽名“（個版本系統(tǒng)表述方法可能不同，但系統(tǒng)加密選項就幾種，針對FIPS就一種，因此不會選錯）第四步，執(zhí)行g(shù)pupdate命令1 漏洞掃描原理6 數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備漏洞處理建議5 Linux發(fā)行版漏洞處理建議4 Windows系統(tǒng)漏洞處理建議3 漏洞修復(fù)整體方式2 黑客攻擊方式7 漏洞處理方案總結(jié)Linux漏洞綜述查看內(nèi)核信息查看內(nèi)核信息uname -a查看所有軟件包查看所有軟件包rpm -qa查看主機名查看主機名hostname查看網(wǎng)絡(luò)配置查看網(wǎng)絡(luò)配置ifconfig -a查看路由表查看路由表netstat -rn查看開放端口查看開放端口netstat -an查看當(dāng)前進(jìn)程查看當(dāng)前進(jìn)

12、程ps -auxLinux系統(tǒng)漏洞Apache應(yīng)用漏洞PHP應(yīng)用漏洞修改Telnet banner信息Telnet Banner修改法： 編輯文件/etc/,找到類似這幾行（不同版本的Linux內(nèi)容不太一樣）： Red Hat Linux release 8.0(Psyche) Kernel r on an m 改成： Microsoft Windows Version 5.00(Build 2195) Welcome to Microsoft Telnet Service Telnet Server Build 5.00.99206.1 由于重啟后會自動恢復(fù)，為了保護這些偽造的信息，還需要編

13、輯文件/etc/rc.local， 在這些行前加“#”號，注釋掉恢復(fù)的功能： #echo”/etc/issue #echo”$R”/etc/issue #echo “Kernel $(uname ?r) on $a $SMP$(umame ?m)”/etc/issue #cp-f/etc/issue/etc/ #echo/etc/issue 通過上面的方法將linux系統(tǒng)下的telnet服務(wù)修改成windows下的telnet服務(wù)，從而達(dá)到迷惑黑客的目的。修改Apache服務(wù)banner信息自動化工具：自動化工具：Banner Edit Tool修改httpd.conf文件,設(shè)置以下選項:Se

14、rverTokens ProductOnlyServerSignature Off關(guān)閉trace-methodTraceEnable offServerSignature apache生成的一些頁面底部,比如404頁面,文件列表頁面等等。ServerTokens指向被用來設(shè)置Server的http頭回響。設(shè)置為Prod可以讓HTTP頭回響顯示成這樣.Server: Apacheapache禁止訪問目錄列表- -編輯httpd.conf把下面配置項改成Options Indexes FollowSymlinks MultiViewsOptions FollowSymlinks MultiView

15、s即拿掉Indexes,重新啟動apache隱藏http頭信息中看到php的版本信息在php.ini中設(shè)置 expose_php = Off關(guān)閉不常用的服務(wù)操作目的操作目的關(guān)閉不必要的服務(wù)（普通服務(wù)和關(guān)閉不必要的服務(wù)（普通服務(wù)和xinetd服務(wù)），降低風(fēng)險服務(wù)），降低風(fēng)險檢查方法檢查方法使用命令“who -r”查看當(dāng)前init級別使用命令“chkconfig -list ”查看所有服務(wù)的狀態(tài)加固方法加固方法使用命令“chkconfig -level on|off|reset”設(shè)置服務(wù)在個init級別下開機是否啟動是否實施是否實施備注備注新版本的Linux中，xinetd已經(jīng)將inetd取代Op

16、enSSH漏洞分析OpenSSH修復(fù)建議1：隱藏OpenSSH版本。由于漏掃在針對OpenSSH進(jìn)行掃描時，先判斷SSH服務(wù)開啟狀況，在進(jìn)行banner信息的判斷，確認(rèn)系統(tǒng)版本后即報響應(yīng)版本漏洞。因此，可通過修改OpenSSH的banner信息進(jìn)行隱藏，進(jìn)而避免漏掃對其漏洞的爆出。修改命令如下（建議聯(lián)系系統(tǒng)開發(fā)商，并且在測試機上進(jìn)行試驗）：修改openssh-X.x/version.h找到#define SSH_VERSION OpenSSH_6.22：進(jìn)行OpenSSH版本升級，現(xiàn)有版本最高為6.2。建議升級到6.0以上即可。版本升級不復(fù)雜并且較為有效，但升級過程中會中斷SSH業(yè)務(wù)，因此需慎

17、重考慮。3：采用iptables，可進(jìn)行在服務(wù)器端的端口訪問限制?？上拗茷橹辉试S小部分維護端及SSH接收端即可?？捎行П苊釹SH端口對本次檢查地址開放，并可對操作系統(tǒng)TTL值進(jìn)行修改，避免系統(tǒng)版本泄露。此方法最安全，但需要linux支持iptables。Iptables使用建議iptables 是與最新的 3.5 版本 Linux 內(nèi)核集成的 IP 信息包過濾系統(tǒng)。如果 Linux 系統(tǒng)連接到因特網(wǎng)或 LAN、服務(wù)器或連接 LAN 和因特網(wǎng)的代理服務(wù)器， 則該系統(tǒng)有利于在 Linux 系統(tǒng)上更好地控制 IP 信息包過濾和防火墻配置。#允許本地回環(huán)接口允許本地回環(huán)接口(即運行本機訪問本機即運行本

18、機訪問本機) iptables -A INPUT -s -d -j ACCEPT # 允許已建立的或相關(guān)連的通行允許已建立的或相關(guān)連的通行 iptables -A INPUT -m state -state ESTABLISHED,RELATED -j ACCEPT #允許所有本機向外的訪問允許所有本機向外的訪問 iptables -A OUTPUT -j ACCEPT # 允許訪問允許訪問22端口端口 iptables -A INPUT -p tcp -dport 22 -j ACCEPT #允許訪問允許訪問80端口端口 iptables -A INP

19、UT -p tcp -dport 80 -j ACCEPT #允許允許FTP服務(wù)的服務(wù)的21和和20端口端口 iptables -A INPUT -p tcp -dport 21 -j ACCEPT iptables -A INPUT -p tcp -dport 20 -j ACCEPTIptables使用建議#屏蔽單個屏蔽單個IPiptables -I INPUT -s -j DROP#封整個段即從封整個段即從到到54iptables -I INPUT -s /8 -j DROP#封封IP段即從段即從123.

20、45.0.1到到54iptables -I INPUT -s /16 -j DROP#封封IP段即從段即從到到54iptables -I INPUT -s /24 -j DROP#查看以添加的規(guī)則查看以添加的規(guī)則iptables -L n#刪除規(guī)則刪除規(guī)則iptables -D INPUT XX1 漏洞掃描原理6 數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備漏洞處理建議5 Linux發(fā)行版漏洞處理建議4 Windows系統(tǒng)漏洞處理建議3 漏洞修復(fù)整體方式2 黑客攻擊方式7 漏洞處理方案總結(jié)網(wǎng)絡(luò)設(shè)備漏洞處理數(shù)據(jù)庫加固口令

21、密碼復(fù)雜性策略通過增加可能密碼的數(shù)量來阻止強力攻擊。實施密碼復(fù)雜性策略時，新密碼必須符合以下原則。 密碼不得包含全部或“部分”用戶帳戶名。部分帳戶名是指三個或三個以上兩端用“空白”（空格、制表符、回車符等）或任何以下字符分隔的連續(xù)字母數(shù)字字符： - _ #密碼長度至少為六個字符。 密碼包含以下四類字符中的三類： 英文大寫字母 (A - Z) 英文小寫字母 (a - z) 十個基本數(shù)字 (0 - 9) 非字母數(shù)字（例如：!、$、# 或 %）詢問管理員sa是否空口令或為弱口令并實際登錄測試，檢查有無不必要帳戶如果要修改弱密碼和刪除不必要帳戶，可以登錄企業(yè)管理器1)展開“安全性”“登錄名”條目，雙擊弱密碼帳號2)修改帳號弱密碼為包含英文大小寫、數(shù)字、特殊字符的復(fù)雜密碼3)刪除不必要的帳戶數(shù)據(jù)庫加固訪問控制操作名稱：操作名稱：檢查操作系統(tǒng)是否進(jìn)行數(shù)據(jù)庫訪問ip和端口限制實施方案：實施方案：檢查主機防火墻設(shè)置，詢問管理員是否有網(wǎng)絡(luò)防火墻對數(shù)據(jù)庫進(jìn)行保護，建議開啟主機防火墻對數(shù)據(jù)庫進(jìn)行保護實施目的：實施目的：限制對數(shù)據(jù)庫的網(wǎng)絡(luò)訪問實施風(fēng)險：實施風(fēng)險：可能影響應(yīng)用備注：備注：檢查名稱：檢查名稱：檢查tns 登錄IP限制實施方案：實施方案：檢查sq