【正文】 蔽性 – 包含在正常程序中，當(dāng)用戶執(zhí)行正常程序啟動(dòng) – 在用戶難以察覺的情況下，完成一些危害用戶的操作 – 沒有圖標(biāo) ,在任務(wù)管理器中隱藏 ? 自動(dòng)運(yùn)行 – 增加一個(gè)服務(wù) – 注冊表啟動(dòng)項(xiàng) run ? 功能的特殊性 – 除了文件操作、設(shè)置口令、進(jìn)行鍵盤記錄、遠(yuǎn)程注冊表操作 – 上傳、下載以及鎖定鼠標(biāo)等功能 2022年 2月 5日 安全基礎(chǔ)知識 木馬的隱藏方式 ? 隱藏進(jìn)程、端口 ? 隱藏文件、目錄 ? 被控端反向連接控制端 ? 端口復(fù)用 – 有些木馬在使用 80HTTP端口后，收到正常的 HTTP請求仍然把它交給 Web服務(wù)器處理，只有收到一些特殊約定的數(shù)據(jù)包后，才調(diào)用木馬程序 ? 隱身技術(shù) – 采用替代系統(tǒng)功能的方法 (改寫 vxd或 DLL文件 )，木馬會將修改后的 DLL替換系統(tǒng)已知的DLL，并對所有的函數(shù)調(diào)用進(jìn)行過濾 ? 文件加殼 – 通過加殼隱藏特征，躲避殺毒軟件的查殺 2022年 2月 5日 安全基礎(chǔ)知識 典型木馬 灰鴿子 ? 灰鴿子是國內(nèi)著名的木馬 ? 遠(yuǎn)程控制、文件操作 ? 運(yùn)用 “反彈端口”突破防火墻 ? 服務(wù)端上線通知 ? 遠(yuǎn)程音頻通訊，音視頻監(jiān)控 2022年 2月 5日 安全基礎(chǔ)知識 風(fēng)云項(xiàng)目服務(wù)器中木馬案例 ? HIDS監(jiān)測到異常文件 – 病毒或木馬 20220316 01:16:10 999021372 感染文件=//?/C:/WINDOWS/ 風(fēng)云測試區(qū)測試組 loginserver ? 使用殺毒軟件掃描 ? 文件加殼 ? 木馬以 webclient服務(wù)啟動(dòng) 2022年 2月 5日 安全基礎(chǔ)知識 SQL注入 ? 利用 SQL的語法，針對的是應(yīng)用程序開發(fā)設(shè)計(jì)中的漏洞 ? 當(dāng)攻擊者能夠操作數(shù)據(jù)，往應(yīng)用程序中插入一些 SQL語句時(shí)， SQL注入就發(fā)生了 ? 攻擊目標(biāo)：控制服務(wù)器 /獲取敏感數(shù)據(jù) 2022年 2月 5日 安全基礎(chǔ)知識 SQL 注入的步驟 ? 判斷 SQL注入漏洞 ? 查找 SQL注入點(diǎn) ? 判斷后臺數(shù)據(jù)庫類型 ? 確定 XP_CMDSHELL可執(zhí)行情況 ? 獲得后臺管理的權(quán)限 2022年 2月 5日 安全基礎(chǔ)知識 判斷 SQL注入漏洞 ? 語句 select * from 表名 where 字段 =49?（ ） ? 返回 Microsoft OLE DB Provider for SQL Server 錯(cuò)誤 39。服務(wù)器安全防范體系 2022年 11月 2022年 2月 5日 服務(wù)器安全培訓(xùn)索引 Pages:2 培訓(xùn)目錄 ? 第一講： 安全基礎(chǔ)知識 ? 第二講： 服務(wù)器安全規(guī)范 ? 第三講： 操作系統(tǒng)安全 ? 第四講： 常見應(yīng)用安全 ? 第五講 ：操作實(shí)踐 2022年 2月 5日 服務(wù)器安全培訓(xùn)索引 Pages:3 《 安全基礎(chǔ)知識 》 主要內(nèi)容 (1) ? 信息安全的概念 ? 安全問題產(chǎn)生的根源 ? 安全漏洞的威脅 ? 常見的攻擊方式 – 掃描： 掃描目的、使用工具獲取信息 – 網(wǎng)絡(luò)監(jiān)聽： 監(jiān)聽原理與作用 – 拒絕服務(wù)： Syn Flood、 udp Flood、 Icmp Flood – 木馬： 木馬的概念、入侵途徑、隱藏方式、特洛依木馬簡介 – SQL注入： 講解 SQL注入的思路與過程，防范 SQL注入的方法 2022年 2月 5日 服務(wù)器安全培訓(xùn)索引 Pages:4 《 安全基礎(chǔ)知識 》 主要內(nèi)容 (2) ? 主要安全技術(shù) – 防火墻技術(shù)簡介： ? 包過濾、應(yīng)用層網(wǎng)關(guān)、狀態(tài)檢測、優(yōu)缺點(diǎn) – 入侵檢測技術(shù)簡介 ? 主機(jī)入侵檢測、網(wǎng)絡(luò)入侵檢測 – 掃描技術(shù)簡介 ? 掃描器分類、工作原理、端口掃描 2022年 2月 5日 服務(wù)器安全培訓(xùn)索引 Pages:5 《 服務(wù)器安全規(guī)范 》 主要內(nèi)容 (1) ? 服務(wù)器維護(hù)安全規(guī)范 – 口令安全 – 訪問控制 – 安全責(zé)任的劃分 – 安全檢查 – 服務(wù)器上禁止操作行為 – 系統(tǒng)日志管理 – 安全隱患通告 – 系統(tǒng)安全設(shè)置的問題 ? 補(bǔ)丁管理流程 – Autoup/Octopod簡介、對比 – 補(bǔ)丁的下載、測試、上傳、分發(fā)過程 – 補(bǔ)丁光盤的制作 2022年 2月 5日 服務(wù)器安全培訓(xùn)索引 Pages:6 《 服務(wù)器安全規(guī)范 》 主要內(nèi)容 (2) ? 目前采取的安全措施簡介 – 日常監(jiān)控、補(bǔ)丁管理、訪問控制 – 主機(jī)安全配置、安全檢查 – 漏洞掃描、漏洞跟蹤與分析、安全通告 – 安全控管 (octopod)、 HIDS、防病毒 – 備份、日志集中 ? 典型安全事件 – 介紹兩個(gè)公司發(fā)生過的安全事件 2022年 2月 5日 服務(wù)器安全培訓(xùn)索引 Pages:7 《 操作系統(tǒng)安全 》 主要內(nèi)容 (1) ? Windows系統(tǒng)安全 – Windows安全特性 – 內(nèi)建帳號，內(nèi)建組、 SAM 、 SID – NTFS、用戶權(quán)利、權(quán)限、共享權(quán)限 – Windows系統(tǒng)服務(wù)與進(jìn)程、日志系統(tǒng) – Windows安裝配置過程（介紹安全原則性的內(nèi)容） 2022年 2月 5日 服務(wù)器安全培訓(xùn)索引 Pages:8 《 操作系統(tǒng)安全 》 主要內(nèi)容 (2) ? Linux系統(tǒng)安全 – Linux帳號安全、口令安全 – 用戶與 UID、用戶組與 GID – 文件類型、文件的權(quán)限 – 加強(qiáng) Linux安全的幾點(diǎn)建議 ? 關(guān)閉不必要的服務(wù)、遠(yuǎn)程維護(hù) openssh ? 啟用 syslog、升級主要應(yīng)用 ? 查看登錄情況、網(wǎng)絡(luò)連接、進(jìn)程、系統(tǒng)資源 ? iptables策略 2022年 2月 5日 服務(wù)器安全培訓(xùn)索引 Pages:9 《 常見應(yīng)用安全 》 主要內(nèi)容 (1) ? Web安全（ IIS) – 概述、漏洞、 IIS組件的安裝 – IIS安全加固 ? 刪除：默認(rèn)站點(diǎn)、示例文件、默認(rèn)腳本、無用腳本映射 ? IIS工作目錄修改、啟用 web日志、更改日志路徑 ? Web站點(diǎn)權(quán)限設(shè)置、 500錯(cuò)誤重定向 ? 禁用 WebDav、啟用 ipsec保護(hù) 2022年 2月 5日 服務(wù)器安全培訓(xùn)索引 Pages:10 《 常見應(yīng)用安全 》 主要內(nèi)容 (2) ? 數(shù)據(jù)庫安全 (SQL Server 2022) – 補(bǔ)丁管理 ? 新裝數(shù)據(jù)庫服務(wù)器的補(bǔ)丁要求 ? 老數(shù)據(jù)庫服務(wù)器的補(bǔ)丁要求 – 口令策略 – 數(shù)據(jù)庫日志 – 去除部分危險(xiǎn)擴(kuò)展存儲過程 – 數(shù)據(jù)庫的端口保護(hù) 2022年 2月 5日 服務(wù)器安全培訓(xùn)索引 Pages:11 《 操作實(shí)踐 》 主要內(nèi)容 ? 講解、演示以下內(nèi)容： – 服務(wù)器安全配置過程（依據(jù)服務(wù)器安全規(guī)范要求） ? 更改、刪除帳號 ? 啟用安全日志 ? 網(wǎng)絡(luò)安全設(shè)置 ? Winchk/autoup配置安裝 ? Octopod功能介紹、基本操作 ? NetView功能介紹、基本操作 ? Syslog與 Hids初始化操作 ? 在命令行下配置 IPSEC 安全基礎(chǔ)知識 網(wǎng)絡(luò)安全部 2022年 11月 2022年 2月 5日 安全基礎(chǔ)知識 主要內(nèi)容 ? 信息安全的概念 ? 安全問題產(chǎn)生的根源 ? 安全漏洞的威脅 ? 常見的攻擊方式 ? 主要的安全技術(shù) 2022年 2月 5日 安全基礎(chǔ)知識 信息安全概念 ? 信息安全的含義 – 保證信息內(nèi)容在傳儲、傳輸和處理各環(huán)節(jié)的機(jī)密性、完整性和可用性 – 對信息的傳播及內(nèi)容具有控制能力 – 不受偶然的或者惡意的原因而遭到破壞、更改、泄露 – 保證信息系統(tǒng)連續(xù)可靠的運(yùn)行 – 網(wǎng)絡(luò)服務(wù)不中斷 2022年 2月 5日 安全基礎(chǔ)知識 安全問題產(chǎn)生的根源 ? 網(wǎng)絡(luò)建設(shè)之初忽略了安全問題 ? TCP/IP協(xié)議本身缺乏安全性 ? 操作系統(tǒng)及應(yīng)用自身存在的漏洞 ? 操作系統(tǒng)及應(yīng)用不安全的配置 ? 來自內(nèi)網(wǎng)用戶的安全威脅 ? 缺乏有效的手段監(jiān)視、評估網(wǎng)絡(luò)的安全性 ? 郵件病毒、 Web頁面中中惡意 Java/ActiveX控件 ? 代碼中存在安全漏洞 ? 管理中存在的安全問題 2022年 2月 5日 安全基礎(chǔ)知識 安全漏洞 ? 漏洞的概念 – 在硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷，可以使攻擊者在未授權(quán)的情況下訪問或破壞系統(tǒng) ? 可能存在于 ? 網(wǎng)絡(luò)設(shè)備：交換機(jī)、路由器的 IOS存在的漏洞、配置錯(cuò)誤 ? 操作系統(tǒng)： Windows、 Unix/Linux存在的漏洞 ? 應(yīng)用服務(wù)： IIS、 Apache、 Serv_u存在的漏洞 ? 網(wǎng)絡(luò)協(xié)議： TCP/IP存在的缺陷 ? 應(yīng)用程序：用 C、 C++、 ASP、 PHP代碼中 ? …… 2022年 2月 5日 安全基礎(chǔ)知識 漏洞帶來的威脅 ? 如果攻擊者獲得了一般用戶的訪問權(quán)限，那他就很有可能再通過利用本地漏洞把自己提升為管理員權(quán)限： ?遠(yuǎn)程管理員權(quán)限 ?本地管理員權(quán)限 ?普通用戶訪問權(quán)限 ?權(quán)限提升 ?讀取受限文件 ?遠(yuǎn)程拒絕服務(wù) ?本地拒絕服務(wù) ?遠(yuǎn)程非授權(quán)文件存取 ?口令恢復(fù) ?欺騙 ?服務(wù)器信息泄露 ?其它 2022年 2月 5日 安全基礎(chǔ)知識 黑客攻擊典型步驟 漏洞分析 實(shí)施攻擊 exploit 消除證據(jù) 留下后門 收集信息 掃描 2022年 2月 5日 安全基礎(chǔ)知識 常見的攻擊方式 ? 掃描 ? 網(wǎng)絡(luò)監(jiān)聽 ? DoS與 DDoS攻擊 ? 特洛依木馬 ? SQL 注入 2022年 2月 5日 安全基礎(chǔ)知識 通過掃描獲取信息 ? 收集目標(biāo)服務(wù)器的信息 – 開放的端口和應(yīng)用 – 操作系統(tǒng)類型 – 用戶帳號信息 – 系統(tǒng)的漏洞 – 應(yīng)用的漏洞 – …… 2022年 2月 5日 安全基礎(chǔ)知識 網(wǎng)絡(luò)監(jiān)聽 ? 監(jiān)聽的目的是截獲通信的內(nèi)容 ? 監(jiān)聽的手段是對協(xié)議進(jìn)行分析 ? 常用的工具 – Sniffer pro、 Wireshark都是網(wǎng)絡(luò)監(jiān)聽、協(xié)議分析的工具。 – Tcpdump ? 在共享網(wǎng)絡(luò)中，可以監(jiān)聽所有流量 ? 在交換環(huán)境中，必須設(shè)置端口鏡像 ? 通過協(xié)議分析，可獲取敏感的明文信息 – Tel、 smtp、 pop ftp、 等應(yīng)用層協(xié)議都是明文傳輸 2022年 2月 5日 安全基礎(chǔ)知識 共享和交換環(huán)境下的監(jiān)聽 ? 共享式網(wǎng)絡(luò) – 通過網(wǎng)絡(luò)的所有數(shù)據(jù)包發(fā)往每一個(gè)主機(jī) – 通過 HUB連接起來的子網(wǎng) – 可以直接監(jiān)聽 ? 交換式網(wǎng)絡(luò) – 通過交換機(jī)連接網(wǎng)絡(luò) – 由交換機(jī)構(gòu)造一個(gè)“ MAC地址 端口”映射表 – 發(fā)送包的時(shí)候，只發(fā)到特定的端口上 – 可以通過配置“端口鏡像”來實(shí)現(xiàn)監(jiān)聽 2022年 2月 5日 安全基礎(chǔ)知識 利用監(jiān)聽獲取郵件密碼 ? 截獲用戶郵件口令 2022年 2月 5日 安全基礎(chǔ)知識 冒險(xiǎn)島抓包分析案例 ? 設(shè)置抓包服務(wù)器 ? 配置端口鏡像 ? 7x24小時(shí)抓包 ? 進(jìn)行協(xié)議分析 ? 判斷攻擊類型 2022年 2月 5日 安全基礎(chǔ)知識 拒絕服務(wù) DoS ? 定義 – 通過某些手段使得目標(biāo)系統(tǒng)或者網(wǎng)絡(luò)不能提供正常的服務(wù) – 是針對可用性發(fā)起的攻擊 ? 原理 – 主要是利用了 TCP/IP協(xié)議中存在的設(shè)計(jì)缺陷、操作系統(tǒng)或網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)協(xié)議棧存在的缺陷 ? 特點(diǎn) – 難于防范 2022年 2月 5日 安全基礎(chǔ)知識 拒絕服務(wù)的形式 ? 資源耗盡和資源過載 – 網(wǎng)絡(luò)連接 – 帶寬資源 – 其他資源，例如：磁盤空間被日志撐滿 ? 錯(cuò)誤的配置 – 不當(dāng)?shù)呐渲迷斐赡承┓?wù)無法訪問 ? 物理部件故障 2022年 2月 5日 安全基礎(chǔ)知識 拒絕服務(wù)攻擊分類 ? 拒絕服務(wù)攻擊 – Syn Flood – Udp Flood – Icmp Flood – Ping of death – Teardrop – Smurf – Land ? 主要介紹 Syn flood、 UDP Flood、 ICMP Flood攻擊 2022年 2月 5日 安全基礎(chǔ)知識 Syn Flood攻擊 (1) ? TCP協(xié)議 – 提供可靠的連接服務(wù)，采用三次握手建立一個(gè) TCP連接 – TCP連接三