二、防范共享资源入侵

一般局域网中的服务器都使用的是Win 2000 Server/WINDOWS XP系统,而客户端计算机使用的操作系统有Win98或Win2000 Pro/XP等。

比如现在有一台客户机已经登录到域domain,则它可使用默认共享方式入侵服务器:在该客户机的网络邻居地址栏中输入\\server\admin$,便可进入Win2000的系统目录Win NT,此时该用户可以删除文件。若再输入\\server\d$,即可进入服务器上的D盘,此时该客户机用户已经具备服务器的管理员权限,这是相当危险的。居心叵测的人可以通过新建Winstart.bat或者Wininit.ini文件,并在其中加入格式化C盘的语句,使系统丢失所有C盘文件; 或是在服务器的启动项中加入现在任何流行木马的启动程序,后果也不堪设想。

Win2000/XP采用默认共享方式来方便远程维护,但同时也给了有心者可乘之机。怎么办?可能通过修改注册表来关闭默认共享,打开注册表编辑器,依次打开HKEY_L0CAl_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver,若系统为Win2000 Pro,则新建Autosharewks的DWORD值,并设键值为0;若系统为Win2000 Server,则新建Autoshareserver的DWORD值,并设键值为0。重新启动计算机后就关闭了默认共享。

不过不要以为这样别人就不能通过共享来入侵服务器了,装有Win2000平台的客户机还可以通过IPS$的空连接入侵服务器。客户机用户可以先用端口扫描软件,这里以X-Scan 2.3为蓝本,在“扫描参数”对话窗口中填入服务器的IP地址,在“扫描模块”对话窗口中选择“sql server弱口令”和“nt-server弱口令”,单击“开始扫描”即开始探测,当得到nt-server弱口令后,可在客户机的命令行状态窗口中输入命令:“net use \\192.168.0.1\ipc$ "wmgwmg" /user:snow”来建立一IPC$对话,运行命令:net user guest /active:yes 将Guest帐户激活,然后运行命令:net localgroup administrators guest /add 将GUEST帐户添加到管理员组(如图2),然后设置好后门,这样就可以进行远程控制啦。

图2

够危险吧!管理员怎么禁止IPS$空连接呢?在注册表编辑器找到子键HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA,修改Restrict Anony-mous的DWORD值为0000001。或者是运行命令:net share ipc$ /delete


共3页: 上一页123下一页

相关内容