UNICODE编码漏洞全攻略-8

/ns/ld/win/data/20010426131654.htm

―――――――――――――――――――――――――――――――――
八、unicode安全问题

1、unicode漏洞解决方案
简单解决方案：
限制网络用户访问和调用CMD的权限，
在SCRIPTS、MSADC目录没必要使用的情况下，删除该文件夹或者改名。
安装NT系统时不要使用默认WINNT路径，你可以改为badboy或者其他什么的文件夹。
当然最好的方法还是下载最著名的补丁公司m$提供的补丁。
该漏洞补丁随微软安全公告MS00-057一起发布
(http://www.microsoft.com/technet/security/bulletin/ms00-057.asp)
可以从如下地址下载补丁:
IIS 4.0
http://www.microsoft.com/ntserver/nts/downloads/critical/q269862/default.asp
IIS 5.0
http://www.microsoft.com/windows2000/downloads/critical/q269862/default.asp

2、检查是否被黑客利用unicode漏洞入侵
检查LOG日志
在winnt＼system32＼logfiles＼w3svc1＼目录里保留有web访问记录
如果曾经被人利用UNICODE漏洞访问过，我们可以在日志里看到类似的记录
13:46:07 127.0.0.1 GET /scripts/..＼../winnt/system32/cmd".exe 401
13:46:07 127.0.0.1 GET /scripts/..＼../winnt/system32/cmd".exe 200
如果有人曾经执行过COPY、del、echo、.bat等具有入侵行为命令时
13:47:37 127.0.0.1 GET /scripts/..＼../winnt/system32/cmd".exe 401
13:47:37 127.0.0.1 GET /scripts/..＼../winnt/system32/cmd".exe 502

在winnt/system32/logfiles＼msftp＼svc1目录里可以找到运行FTP的日志
如果有人执行过FTP命令，在日志文件里我可以看到类似的记录
13:59:25 127.0.0.1 [2]USER badboy 331
13:59:25 127.0.0.1 [2]PASS - 230
13:59:25 127.0.0.1 [2]sent /a.txt 226
13:59:25 127.0.0.1 [2]QUIT - 226
这里入侵爱好者请注意，你利用目标主机到某个站点FTP下载什么文件都是被记录
的，不要以为你删除文件、改文件名就可以逃脱你入侵的证据了。
我们不排除有可能入侵者使用代理服务器或者其他的肉机。
当然你知道自己被人利用UNICODE漏洞来入侵自己的主机，但在这些日志里你
无法找到记录，那你就更要注意了，因为你遇到的不是一般的小菜鸟了。

检查事件查看器里面的错误记录
我们也可以在管理工具的事件查看器里找到入侵者的足迹，比如在某个时段出现
比较多的警告信息。信息类似以下内容：

事件类型: 警告
事件来源: W3SVC
事件种类: 无
事件 ID: 100
日期: 2001-2-2
事件: 21:51:26
用户: N/A
计算机: CLUB-BUM1HOYJHJ
描述:
该服务器因为错误 登录失败: 未知的用户名或错误密码。 而无法登录至 Windows NT 帐号 ‘CLUB-BUM1HOYJHJ＼badboy‘。此数据为错误码。
若要获取关于此消息的更多的信息，请访问 Microsoft 联机支持站点:http://www.microsoft.com/contentredirect.asp 。
数据:
0000: 2e 05 00 00 ....