系统漏洞扫描与分析报告.docx
《系统漏洞扫描与分析报告.docx》由会员分享,可在线阅读,更多相关《系统漏洞扫描与分析报告.docx(18页珍藏版)》请在冰豆网上搜索。
系统漏洞扫描与分析报告
郑州轻院轻工职业学院
系统漏洞扫描与分析(报告)
学生姓名_杨人杰_
专业班级08信息安全
(1)班
系别__计算机系___
完成时间_2010年5月16日_
1.报告目的
为了充分了解计算机网络信息系统的当前安全状况(安全隐患),因此需要对计算机的信息网络系统中的重点服务器及本主机进行一次扫描和安全弱点分析,对象为2502机房XXAQ-E2主机。
然后根据安全弱点扫描分析报告,作为提高计算机信息网络系统整体安全的重要的参考依据之一。
2.实验环境
图2.1
利用Dos命令systeminfo查看本计算机的配置,如图2.1所示
2.1硬件:
CPU:
Intel(R)Core(TM)E4500
内存:
2.00GBHz
2.2操作系统:
MicrosoftWindowsXP
版本:
5.1.2600ServicePack3Build2600
初始安装时间:
2008-9-10,12:
01:
31
BIOS版本:
LENOVO–44
修复程序:
安装了68个修复程序
3.扫描软件简介
3.1.Retian
RetinaNetworkSecurityScannerv5.09.682,06月13日发布,eeye公司出品的网络安全扫描产品,强大的网络漏洞检测技术可以有效的检测并修复各种安全隐患和漏洞,并且生成详细的安全检测报告,兼容各种主流操作系统、防火墙、路由器等各种网络设备。
曾在国外的安全评估软件的评测中名列第一。
如图3.1为Retian的工作页面。
图3.1
3.2.MBSA
Microsoft基准安全分析器(MBSA)可以检查操作系统和SQLServer更新。
MBSA还可以扫描计算机上的不安全配置。
检查Windows服务包和修补程序时,它将Windows组件(如Internet信息服务(IIS)和COM+)也包括在内。
MBSA使用一个XML文件作为现有更新的清单。
该XML文件包含在存档Mssecure.cab中,由MBSA在运行扫描时下载,也可以下载到本地计算机上,或通过网络服务器使用。
如图3.2为MBSA的工作页面。
3.2.1使用本模块可以实现:
⏹扫描您的计算机以确定缺少的安全更新。
⏹检查是否存在不安全的默认配置设置。
图3.2
3.2.2适用范围:
●运行Microsoft®Windows®2000Server或MicrosoftWindowsServer™2003操作系统的服务器
●运行Windows2000(所有版本)、WindowsXPProfessional或WindowsServer2003的开发工作站
●MicrosoftSQLServer™2000,包括DesktopEdition(MSDE)
3.2.3MBSA支持的微软产品:
(如下表)
产品名
安全扫描
更新扫描
WindowsServer2003/XP/2000,NT4.0
是
是
ExchangeServer5.5及更高版本
否
是
IIS4.0及更高版本
是
是
IE5.01及更高版本
是
是
Office2000及更高版本
是
是
SQLServer7.0及更高版本
是
是
WindowsMediaPlayer6.4及更高版本
否
是
4.扫描过程
4.1漏洞介绍
所谓漏洞就是指程序设计方面在安全性上存在缺失,留下了隐患,而网络黑客可以从这些漏洞对远程计算机进行攻击,窃取数据,破坏远程用户电脑等等,危害很大。
尤其是机密被窃,损失不可估计,就是个人用户也非常危险,个人帐号密码被入侵后可能会被窃取。
4.2漏洞分析
系统安全漏洞是在系统具体实现和具体使用中产生的错误,但并不是系统中存在的错误都是安全漏洞。
只有能威胁到系统安全的错误才是漏洞。
许多错误在通常情况下并不会对系统安全造成危害,只有被人在某些条件下故意使用时才会影响系统安全。
漏洞虽然可能最初就存在于系统当中,但一个漏洞并不是自己出现的,必须要有人发现。
在实际使用中,用户会发现系统中存在错误,而入侵者会有意利用其中的某些错误并使其成为威胁系统安全的工具,这时人们会认识到这个错误是一个系统安全漏洞。
系统供应商会尽快发布针对这个漏洞的补丁程序,纠正这个错误。
这就是系统安全漏洞从被发现到被纠正的一般过程。
系统攻击者往往是安全漏洞的发现者和使用者,要对于一个系统进行攻击,如果不能发现和使用系统中存在的安全漏洞是不可能成功的。
对于安全级别较高的系统尤其如此。
系统安全漏洞与系统攻击活动之间有紧密的关系。
因而不该脱离系统攻击活动来谈论安全漏洞问题。
了解常见的系统攻击方法,对于有针对性的理解系统漏洞问题,以及找到相应的补救方法是十分必要的。
通过漏洞扫描软件扫描出的漏洞如下:
红色上箭头代表高级风险安全漏洞,如图4.2.1
黄色方块代表中级风险安全漏洞,如图4.2.2
黄色下箭头代表低级风险安全漏洞,如图4.2.3
图4.2.1
图4.2.2
图4.2.3
发现的系统漏洞(按照严重等级排列)
4.2.1高级风险安全漏洞
4.2.2中级风险安全漏洞
4.2.3低级风险安全漏洞
4.3漏洞修复方法
通过扫描软件扫描出很多漏洞,在此只对其中几个漏洞加以分析
图4.3.1
如图4.3.1所示,为自动管理员登录
描述:
自动管理员登录会自动登录管理系统.因此,任何用户可以接近机器能够坐在控制台作为管理者没有进入密码。
这是一个非常高的安全风险和建议你消除自动管理员登录。
风险水平:
较高。
如何修复:
禁用自动管理员登录设置
图4.3.2
如图4.3.2所示,为832894InternetExplorer累积补丁
描述:
下面的累积补丁修补三个新的漏洞已经被发现,影响到MicrosoftWindows5.01探索者5.5,6.0,包括一个问题的弱点在cross-domain安全模型,可以对攻击者要举办一个恶意网站包含可执行代码对用户机器第二个危险存在时拖放操作期间与函数指针danamicHTML事件相感染。
第三个漏洞牵涉到错误的解析的url可以发动了攻击者攻击的网站。
风险水平:
较高。
如何修复:
安装适当的hotfix或最近的服务包。
图4.3.3
如图4.3.3所示,为匿名FTP
描述:
建议你禁用匿名FTP访问,如果它是不需要的。
匿名FTP访问会导致一个攻击者获得信息,您的系统都有可能导致他们进入你的系统。
风险等级:
中等
如何修复:
关闭匿名FTP服务器
如图4.3.4
如图4.3.4所示,为自动分享驱动问题.NT服务器
描述:
在默认情况下,所有的驱动机器共享使用硬编码的行政ACL的.即使这些共享被移除,他们会在每次系统重启是启动。
风险等级:
中等
如何修复:
来消除这种功能,下面的注册表关键设置:
Hive:
HKEY_LOCAL_MACHINE
Path:
System\CurrentControlSet\Services\LanmanServer\Parameters
Key:
AutoShareServer
Value:
0
图4.3.5
如图4.3.5所示,为CD光盘自动运行
漏洞描述:
CD-ROM系统允许自动播放,在某些条件下,该功能允许用户绕过屏幕保护进入系统。
低风险水:
平。
如何修复:
禁止CD光盘自动运行可以修改注册表如下项目:
Hive:
HKEY_LOCAL_MACHINE
Path:
System\CurrentControlSet\Services\CDRom
Key:
Autorun
Value:
0
安全漏洞及解决方案:
localhost如图4.3.6所示
图4.3.6
5.总结
主机存在安全弱点
安全弱点和信息资产紧密相连,它可能被威胁利用、引起资产损失或伤害。
但是,安全弱点本身不会造成损失,它只是一种条件或环境、可能导致被威胁利
用而造成资产损失。
安全弱点的出现有各种原因,例如可能是软件开发过程中的
质量问题,也可能是系统管理员配置方面的,也可能是管理方面的。
但是,它们
的共同特性就是给攻击者提供了对主机系统或者其他信息系统进行攻击的机会。
经过对这些主机系统和防火墙的扫描记录分析,我们发现目前省公安厅网络
中的主机系统主要弱点集中在以下几个方面:
1.系统自身存在的弱点
对于商业UNIX系统的补丁更新不及时,没有安全配置过,系统还是运行在
默认的安装状态非常危险。
对NT/2000的服务器系统,虽然补丁更新的比较即使,但是配置上存在很大
安全隐患,用户的密码口令的强度非常低很多还在使用默认的弱口令,网络
攻击者可以非常轻易的接管整个服务器。
另外存在IPC$这样的匿名共享会泄
露很多服务器的敏感信息。
2.系统管理存在的弱点
在系统管理上缺乏统一的管理策略,比如缺乏对用户轮廓文件(Profile)的
支持。
在系统中存在空口令的Guest组的用户,这些用户有的是系统默认的Guest
用户,有的是IIS和SQL服务器的默认安装用户。
这些用户有些是被系统禁
用的,如Guest,有些则没有,没有被禁用的这些账号可能被利用进入系统。
3.数据库系统的弱点
数据库系统的用户权限和执行外部系统指令是该系统最大的安全弱点,由于
未对数据库做明显的安全措施,望进一步对数据库做最新的升级补丁。
4.来自周边机器的威胁
手工测试发现部分周边机器明显存在严重安全漏洞,来自周边机器的安全弱
点(比如可能使用同样的密码等等)可能是影响网络的最大威胁。
附录一:
浅析计算机漏洞及修补措施
在信息安全得到广泛关注的今天,漏洞问题也逐渐引起了广大计算机用户的重视。
操作系统漏洞、应用软件漏洞、硬件漏洞甚至是用户不良操作习惯所造成的人为漏洞等,其实都是隐藏在病毒爆发、黑客攻击、网络钓鱼、网页挂马等安全现象背后的技术性根源。
据国际权威机构统计,Windows操作系统的漏洞数量从2000年突破1000大关之后增长非常迅猛,2004年之后的增长幅度虽然不大,但是每年漏洞的绝对数量仍然处在快速增长的过程中,2006年总数接近10000,数量激增的漏洞已经成了互联网的“牛皮癣”。
尽管微软等软件开发商及安全厂商采取了积极措施,但短时间内仍然很难根治。
所以,认识和了解计算机漏洞的基本知识,掌握漏洞修补的常用方法,是目前解决由漏洞引起的一系列信息安全问题的关键,也是实施信息安全防范的基础性工作。
漏洞从何而来
由于软件设计的复杂性,尽管包括操作系统在内的每一款商业软件在发布前,都要经过大量严格的各种测试,但仍难免或多或少地存在着一些设计缺陷。
这些设计缺陷包括三类,一是软件开发者出于某种目的人为地在软件中留下的后门。
例如,为隐秘地收集用户信息,有的软件会留有不公开的后门。
二是软件开发者由于能力和经验所限,在软件中难免会有一些设计上的逻辑错误。
三是软件开发者无法弥补硬件的漏洞,从而使硬件的问题通过软件表现出来。
以上这些设计缺陷都是产生漏洞的温床。
只要不存在完美无缺的软件,漏洞就不可避免。
当然,并不是所有的设计缺陷都会成为漏洞,只有在软件实际使用过程中,被人发现后刻意进行利用,并威胁到系统安全的设计缺陷才是漏洞。
黑客要对一个系统进行攻击,如果不能发现和利用系统中存在的安全漏洞是很难成功的,对于安全级别较高的系统尤其如此。
我们可根据漏洞对系统造成的潜在威胁程度(破坏性、危害性、严重性)以及被利用的可能性为依据对其进行分级。
漏洞一般被分为紧急、重要、警告、注意四级。
对于被评为“紧急”或“重要”的漏洞必须要打上相应补丁,尤其是对于“紧急”漏洞应立即安装补丁,越快越好。
对于“警告”或“注意”级别的漏洞,则应该在阅读有关说明以后,搞清这些漏洞对系统究竟产生何种影响,然后再决定是否采用并安装相应补丁。
漏洞的危害
作为应用最为广泛的桌面操作系统,Windows操作系统暴露的漏洞时间最早,数量最多,影响最大,利用其漏洞进行传播的蠕虫病毒造成的损失极其惊人。
1988年,“莫里斯”蠕虫病毒的蔓延造成了数千台计算机停机,蠕虫病毒开始现身网络;2000年以来,先后出现了“尼姆达”、“红色代码”、“求职信”、“爱情后门”等一大批蠕虫病毒,尤其是以“冲击波”、“震荡波”和“狙击波”为代表的蠕虫病毒将操作系统漏洞的危害性放大到了极致;2003年1月26日,一种名为“2003蠕虫王”的病毒迅速传播并袭击了全球,致使互联网严重堵塞,造成网页浏览和邮件收发速度大幅减缓,在全球范围内,很多银行自动提款机停止工作,机票等网络预订系统运作中断,信用卡等收付款系统出现故障。
专家估计,此病毒造成的直接经济损失至少在12亿美元以上。
更为可怕的是,由于蠕虫病毒制造者水平的提高,从一个漏洞发现到攻击代码实现,再到蠕虫病毒产生这一漏洞利用过程,几年前可能需要几个月甚至半年多的时间,而现在几周甚至一天之内就可以完成。
例如,在微软发布MS04-011漏洞信息后,一些黑客在8分钟后就写出了攻击代码。
漏洞利用速度越快,留给用户更新补丁抵御病毒攻击的时间就越短,蠕虫病毒进行大规模、大范围传播的机会就越大。
2007年以后,由于用户对操作系统漏洞的日益重视,操作系统漏洞造成的危害得到了一定程度的控制,黑客和病毒制造者又逐渐将目光瞄向了常用应用软件的漏洞。
这些软件安装数量多,使用范围广,安全性能又赶不上大厂商开发的操作系统,稍加研究和挖掘,就会漏洞百出。
网络浏览器、影音播放软件、下载软件、输入法软件、电子阅读软件等常用软件相继暴露出许多高危漏洞,并被大肆利用,造成极大的破坏。
例如,2008年4月8日,Flash Player 9.0.115及更早版本被发现存在高危漏洞,5月下旬就出现了利用此漏洞传播的大量病毒,攻击者可以通过精心设计的特殊flash文件实施攻击。
据不完全统计,访问那些被利用此漏洞植入恶意木马网站的用户,中招率超过60%。
由于Flash Player用户十分广泛,且该漏洞涉及日常使用的IE浏览器,因此危险指数直线上升。
漏洞的修补
补丁是软件开发商用来修补漏洞的程序,打补丁是预防漏洞危害最直接的办法。
据美国软件工程研究所估算,如果系统能及时安装合适的软件补丁,可以避免95%以上的网络入侵。
漏洞的发现和修补过程通常按照以下步骤进行:
专业安全研究人员组织研究并发现一个漏洞;该漏洞被提交给相关厂商,等待确认并为开发补丁争取时间;厂商对漏洞进行确认并发布有关补丁程序;通过安全厂商或者软件厂商向用户通告和公布该漏洞情况;用户下载并且安装相关补丁;该漏洞被补丁修补。
对于操作系统漏洞的修复,通常有以下几种方法。
一是利用Windows系统自带的Update功能自动安装最新补丁,这也是微软推荐的方法。
二是对于不能直接升级的用户,可通过各个正规软件下载站点下载补丁,拷贝到本机后运行安装。
三是通过安全软件打补丁。
目前瑞星、江民、金山毒霸、诺顿等杀毒软件,以及360安全卫士、雅虎助手等安全辅助软件都提供了漏洞扫描功能,并能自动下载补丁进行修补。
对于应用软件漏洞的修复,通常有以下几种方法:
一是安装应用软件补丁。
现在不仅操作系统有补丁发布,发现有重大漏洞的应用软件也会推出相应的补丁,用户同样需要及时安装。
二是安装应用软件的最新版本。
新版本修补了已发现的漏洞,且新漏洞还未暴露出来,因而相对比较安全,因此用户应及时将常用软件升级到最新版本。
三是寻找替代软件。
对普通用户来说,操作系统的选择余地较小,但实现相同或相似功能的应用软件的选择余地却非常大,用户完全可以选择使用漏洞较少的应用软件。
如火狐浏览器就比IE浏览器的漏洞要少得多。
当然,不是所有的补丁都要打上,有的补丁由于不完善,在修补原来漏洞的同时还会带来新的漏洞,甚至会影响系统的运行。
例如,微软就承认其发布的MS04-011漏洞的补丁存在瑕疵,可引起某些Windows2000系统锁死或不能启动。
有证据表明,由于推出仓促和测试不够充分,大概有18%的补丁,因为带来了新的缺陷或漏洞,稍后会进行重新发布,即出现了所谓“补丁的补丁”。
有的补丁还会让用户惹上麻烦。
例如,前不久闹得沸沸扬扬的微软“黑屏”事件,就是因为盗版用户打上了微软提供的具有正版增值功能的补丁而造成的。
警惕更大的漏洞
以上所说的漏洞只是狭义上的漏洞,即计算机中由于软件设计造成的漏洞。
事实上,在对这些漏洞的处理问题上,还存在着包括操作上、管理上和观念上的更为广义的漏洞,主要表现在:
一是缺少漏洞的常识。
一些用户不知漏洞为何物,对其原理和危害更是不得而知,因而完全没有打补丁的意识,千疮百孔的系统成了病毒和黑客的活靶子。
二是不及时打补丁。
有的用户没有设置操作系统的自动升级功能,有的用户以为补丁打一次就够了,或者嫌打补丁太麻烦,没有养成及时打补丁的习惯。
三是只打操作系统补丁,不打应用软件补丁。
有的用户没有看到病毒黑客在漏洞利用方面转向应用软件的趋势,认为打好操作系统补丁就万事大吉,不及时更新应用软件补丁和升级版本,这样做同样非常危险。
四是乱打补丁。
有的用户“病急乱投医”,不看补丁说明,导致打上补丁后带来新的问题。
有的用户从不正规站点下载补丁,在修补漏洞的同时又染上了病毒。
从以往很多由漏洞造成巨大损失的案例来看,软件漏洞虽然危险,但并非无药可治,真正可怕的是用户在操作上、管理上和观念上的漏洞。
大多数的蠕虫病毒和黑客攻击都是针对已知的漏洞,如果能及时打上补丁,完全可以避免不必要的损失。
2000年爆发的“尼姆达”蠕虫病毒,受害用户数量创造了当时的历史记录,而事实上修补该漏洞的补丁早在一年前就已经发布了。
因此,我们要记住“苍蝇不叮无缝的蛋”,“千里之堤,溃于蚁穴”,在对漏洞的预防和修补这个问题上,首先要堵住的是思想、意识和观念上的漏洞,然后是管理、使用和操作上的漏洞,最后才是实际的软件漏洞。
附录二:
微软产品中的主要七个漏洞和个人pc机主要面临漏洞的安全问题
微软产品中的主要七个漏洞如下:
LSASS相关漏洞是本地安全系统服务中的缓冲区溢出漏洞,“震荡波”病毒正是利用此漏洞造成了互联网严重堵塞。
RPC接口相关漏洞首先它会在互联网上发送攻击包,造成企业局域网瘫痪,电脑系统崩溃等情况。
“冲击波”病毒正是利用了此漏洞进行破坏,造成了全球上千万台计算机瘫痪,无数企业受到损失。
IE浏览器漏洞能够使得用户的信息泄露,比如用户在互联网通过网页填写资料,如果黑客利用这个漏洞很容易窃取用户个人隐私。
URL处理漏洞,此漏洞给恶意网页留下了后门,用户在浏览某些图片网站过后,浏览器主页有可能被改或者是造成无法访问注册表等情况。
URL规范漏洞,一些通过即时通讯工具传播的病毒,比如当QQ聊天栏内出现陌生人发的一条链接,如果点击过后很容易中木马病毒。
FTP溢出系列漏洞主要针对企业服务器造成破坏,前段时间很多国内信息安全防范不到位的网站被黑,目前黑客攻击无处不在,企业一定要打好补丁。
GDI+漏洞可以使电子图片成为病毒!
用户在点击网页上的图片、小动物、甚至是通过邮件发来的好友图片都有可能感染各种病毒。
那么个人pc机主要面临哪些漏洞的安全问题?
第一是ipc漏洞
IPC$(InternetProcessConnection)是共享"命名管道"的资源(大家都是这么说的),它是为了让进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用。
Ipc的连接命令是:
netuse\\IP\ipc$""/user:
""在现实中很多个人用户并没有安全意识,没装防火墙,并且系统的密码也不很复杂,有的系统安装盘安装后有一个默认的administrator空密码,很多用户并没有注意。
这就导至黑客随便扫描一下用户机器的弱口令就建立ipc连接进行上传文件执行和开启telnet等方式直接得到用户的系统权限。
如:
C:
\>netuse\\127.0.0.1\IPC$""/user:
"admintitrator" 建立连接,空口令。
C:
\>copyserver.exe\\127.0.0.1\admin$ 复制server.exe到127.0.0.1的admin$目录下。
C:
\>nettime\\127.0.0.1 查看时间
C:
\>at\\127.0.0.111:
05server.exe 指定时间运行。
这样就传送了一个木马程序到用户机上运行,当然也可以开一个telnet服务登录下去,或是映射用户的磁盘到本机上。
但现在这种漏洞存在的并不多了。
对于这种漏洞的防范方法很多,我们可以装一个防火墙过虑掉135、139端口,也可以在本机做一个端口限制,还可以停到它的服务:
永久关闭ipc$和默认共享依赖的服务:
lanmanserver即server服务
控制面板-管理工具-服务-找到server服务(右击)-属性-常规-启动类型-已禁用。
第二是远程溢出漏洞
对个人pc机危害最大的就是rpc的溢出漏洞,Windows的RPCSS服务中用于处理分布式组件对象模型(DCOM)接口的组件中存在三个漏洞,其中两个是缓冲溢出漏洞,一个是拒绝服务漏洞。
我们看下它们的原理:
WindowsRPCDCOM接口长文件名堆缓冲区溢出漏洞WindowsRPC在分布式组件对象模型(DCOM)接口的处理中存在一个缓冲区溢出漏洞。
Windows的DCOM实现在处理一个参数的时候没有检查长度。
通过提交一个超长(数百字节)的文件名参数可以导致堆溢出,从而使RpcSS服务崩溃。
精心构造提交的数据就可以在系统上以本地系统权限运行代码。
成功利用此漏洞攻击者可以在系统中采取任何行为,包括安装程序,
窃取更改或删除数据,或以完全权限创建新帐号。
WindowsRPCDCOM接口报文长度域堆缓冲区溢出漏洞WindowsRPCDCOM接口对报文的长度域缺乏检查导致发生基于堆的溢出,远程攻击者可以利用这些漏洞以本地系统权限在系统上执行任意指令。
漏洞实质上影响的是使用RPC的DCOM接口,此接口处理由客户端机器发送给服务器的DCOM对象激活请求(如UNC路径)。
攻击者通过向目标发送畸形RPCDCOM请求来利用这些漏洞。
成功利用此漏洞可以以本地系统权限执行任意指令。
成功利用此漏洞攻击者可以在系统上执行任意操作
,如安装程序、查看或更改、删除数据或创建系统管理员权限的帐户。
WindowsRPCDCOM接口拒绝服务和权限提升漏洞windowsRPCDCOM服务存在拒绝服务缺陷,一个远程的攻击者通过发送特定的消息可以导致RPC服务产生拒绝服务攻击,而本地的攻击者可发送畸形的消息到__RemoteGetClassObject界面,可导致一个空的指令被传送到PerformScmStage函数,这会造成拒绝服务攻击,并且攻击者可以劫持epmapper的管道来达到提升权限的目的。
我们了解到了rpc的这三个漏洞,也就知道了它所带来的危害,因于很多用户的安全意识薄弱,黑客很轻松地利用rpc远程溢出进入你的机器。
因为rpc服务在安装时是默认启动的,并且这个补丁采用微软的自动更新是没有打上的,我们只有下载专门的rpc补丁才能补上这个漏洞。
对于一般的防火墙,黑客通常采用反弹溢出的方式来绕过它,因为它在发出一个溢出包过来时,溢出导向的shellcode直接去接连黑客的机器,黑客在溢出前就已在机器上监听了一个特定的端口,这样就轻松地绕过了防火墙的拦截,所以说