打印本文 打印本文  关闭窗口 关闭窗口  
令人堪忧的网络安全 一次非常规安全检测
作者:未知  文章来源:网络文摘  点击数  更新时间:2008/9/2 1:45:36  文章录入:admin  责任编辑:admin

这是一次非常规的网路安全检测,或者也可称为网路安全调查。

  一、缘由:

  几天前,朋友说他们单位的一台数据库服务器好像被人黑了,并且在桌面上留言“***到此一游!”。我赶过去,对这台数据库服务器的系统进行了全面的检查。这台主机是Windows XP系统,没有打SP2补丁包。检查的结果让我非常惊讶:1.系统中有两个管理员用户“administrator”和“new”,并且密码都为空。2.系统开了3389端口,可以进行“远程桌面”连接。3.系统的开了23端口,可以telnet上去。4.系统135、445端口都开着,默认共享也没有删除。5.这台作为数据库服务器的主机,直接用sa连接数据库,密码为“sa”,可以用用SQL连接器连上去。通过问朋友得知这个系统是他用ghost盘做的,因为他看到好多人都是这样做的。难道这种现象具有普遍性?于是才有了这次非常规安全检测,看看笔者本地的网络安全到底怎么样。

  二、工具:

  s扫描器、微软远程登录工具(mstsc.msc)、telnet、SQL登录器

  三、时间段:

  某天晚上8点和一个工作日的早晨10点。

  四、对象:

  本地ADSL用户

  五、检测

  ADSL拨号上网,运行“命令提示符”(cmd.exe),然后用“ipconfig”命令获得本机外网ip地址。然后以本机IP为中心,确定一个ip段,以备用s扫描器扫描。

  1、远程登录测试(3389端口)

  第一步:在命令提示符下运行s扫描器,敲入如下命令:

  s syn **.1**.133.1 **.1**.138.254 3389

  不到10秒钟,结果出来了。(图1)

 

图1

  令人震惊!这个ip段有365台上线的主机,开3389端口的竟然有202个,占到73.7%!

  第二步:用微软自己的“远程桌面连接”工具(mstsc.msc)连接测试,从中随机找一个开了3389端口的主机,进行连接。哇!连上了!敲入用户名“administrator”,空密码测试,提示有“new”用户当前登录。(图2),原来有一个用户名为“new”的用户在。对不起了,直接点击确定,显示第一次登录的用户配置界面,不到10秒钟,果然进去了。马上“注销”出来。然后用“new”用户,空密码登录,也进去了。对方在看MM!(图3)马上退出来。随即对开了3389的其他主机进行测试,成功率高于60%。在测试中竟然有的Windows SP系统竟然支持多用户登录!登录进去后,对于一个没有安全意识的人他根本无法知道!有部分主机的“new”账户设置了密码,但“administrator”的密码为空。还有部分用户的设置了密码,但密码简单,猜三四次就猜中。比如一些简单的弱口令“123456”、“ndows”、“adsl”等等。(XMW)

[1] [2] [3] [4] [5]  下一页

打印本文 打印本文  关闭窗口 关闭窗口