实战服务器 安全防御体系

本文可以学到

1 映像劫持是什么？如何防御？

2 DMZ的概念和应用

本文阅读难度

1 适合人群：网络安全爱好者，入门级安全工程师。

2 阅读难度：

3 实用程度：

本文知识重点

时间：2008年3月28日

负责工程师：陈竞

地点：秦皇岛菁菁实业有限责任公司

现场：公司的WEB、FTP服务器完全瘫痪，黑客利用企业的PC渗透到WEB和FTP服务器，实施了破坏性攻击。并在获取大量信息后，将服务器数据删除。

事件分析：此次攻击在白天上班时间发生，公司的网络管理人员在WEB日志上发现可疑的入侵者。入侵者利用内网渗透完成了对外网访问服务器的攻击。经过工程师分析，这次入侵是一次商业非法报复性攻击。黑客的手段是：绕过公司的防御系统，对网络管理人员的主机安装了映像劫持后门木马。

被攻击前的网络环境：

FTP环境：Window 2003 SP1 、Serv-U6.1 FTP服务程序、IIS 6.0 、天网防火墙企业版

WEB环境：Windows 2003 SP1、FlashfXP FTP管理、IIS6.0

上篇：

黑客攻击分析

Tag：个人计算机、映像劫持、注册表/黑客/攻击

PC：黑客的突破口

黑客利用内网的某一台用户计算机（PC），来进行对服务器的攻击是非常容易的，大多防火墙只对外网限制严格，而忽视了对内网的防备。菁菁公司就是因为防火墙对内网用户的信任，导致了服务器被攻陷。黑客在攻击时采用内网渗透，获取WEB主机的管理权限，并利用映像劫持技术加以巩固，完成了对服务器的攻击。

映像劫持：

黑客进入PC的钥匙

映像劫持是Windows系统自带的功能。最近黑客开始通过映像劫持来做文章，在网络管理程序中查看，似乎是运行了一个正常的程序。而实际上，黑客已经利用这些“正常程序”在控制后台运行了，千万不要被假象给迷惑。

重点知识

关于映像劫持

映像劫持(IFEO)，系统在试图执行一个可执行文件的运行请求时，会检查格式以及是否存在。不存在的话提示“系统找不到文件”，或者“指定的路径不正确”等。

映像劫持在注册表的位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\键值下。

黑客盯上了它

既然是劫持，就有“绑架”之意。这个项主要是用来调试程序用的，对一般用户意义不大，默认是只有管理员和Local System有权读写修改。黑客可以利用修改此项内的键值实现劫持，如：当网络管理人员尝试运行的WEB管理程序时，计算机却执行了杀毒软件，这种情况下，计算机中的管理程序被杀毒软件给劫持了，即：你想运行的程序，被另外一个程序代替了。

如图1,笔者运行了“QQ.exe”，计算机却运行了千千静听。QQ被千千静听程序劫持，所以出现此类现象。

图1

避重就轻―黑客智商越来越高

通常情况下，黑客的木马都是通过加载系统启动项来运行的，也有一些注册成为系统服务。但是利用劫持技术的黑客却很聪明，采用了不同的技术：木马不再随着系统的启动而运行。黑客抓住了一些用户的心理，等到用户运行某个特定的程序的时候，木马才运行。

小提示

黑客的算盘：很多管理员或者普通用户，只要发觉自己的机子运行了木马进程，首先要察看的就是系统的加载项，很少有人会想到映像劫持。这就叫做出其不意吧。

映像劫持的木马，主要通过修改注册表中映像劫持所在项“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\”，来劫持正常的程序。比如某木马“cmd.exe”，要劫持管理员的程序，它会在该项位置下新建一个“123.exe”项，再在这个项下面新建一个字符串的键“debugger”，并把其值改为C:\WINDOWS\system32\cmd.exe(这里是木马藏身的目录)即可(见图2）。

图2

下篇：

网络安全解决方案

Tag：服务器、DMZ、后门/工程师/防御

工程师陈竞对攻击进行了详细分析，并根据公司网络架构情况，对网络环境进行了重新划分，将终端用户计算机与服务器，进行了隔离性分配，并设置了DMZ专区。

黑客“杀手”

――工程师出马调整

在菁菁公司被攻击后，工程师陈竞调整了公司的整个网络架构，参照图3所示。

你攻我防

――木马劫持映像的防御

由于映像劫持是Administrator和System用户可以进行修改的，不需要的用户可以直接剔除其管理权限，就能够防止其应用。方法如下：

打开注册表编辑器映像劫持项，选中，右击“权限高级”，取消Administrator和System用户的“写权限”即可（见图4）。

图4

封死退路

―清理黑客残留的后门

完成对服务器的安全检测和数据恢复后，工程师对WEB服务器进行了后门检查，最终在“admin/loing.asp”中发现如下一段代码“

这是一个黑客放置的隐蔽性后门，当管理员打开/admin/login.asp时一切正常，如图5。但在/admin/login.asp?action=comeon页面时，可以看到一个后门木马的真实存在，如图5。删除这段代码即可。

图5

续：

双刃剑

―劫持映像为我所用

劫持映像既然是黑客眼中的宝贝，那我们也不要浪费，要珍惜它。看看如何得当地应用劫持映像来保护系统。

利用劫持映像保护系统文件

很多时候黑客入侵会调用“cmd.exe”、“net.exe”等命令文件，我们可以通过劫持技术对其进行禁止运行保护。利用注册表进行如下修改：

“开始运行”输入“regedit”打开注册表编辑器，找到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\”键值，右击“新建项”，起名为“cmd.exe”，在右侧框内空白处右击“新建字符串值”，输入“Debugger”，右击“Debugger修改”，在“数值数据”下输入“winnt\system32\cmd.exe”即可。

利用映像劫持防御病毒

很多病毒在运行时都需要系统的组件来支持，如果我们将这些系统组件利用映像劫持重新定向，病毒将无法正常运行。

方法同上：映像劫持键值下，新建“sppoolsv.exe”项，之后是新建“Debugger”字符串，右击修改“数值数据”为“123.exe”即可。

笔者有话说

很多网络安全管理人员在进入大型企业后，都会发现一个完善的网络结构中必然设置了DMZ区。DMZ区提升了网络防御的等级，并为管理减少了负担。在未来的一段时间内，DMZ结构是一个发展趋向，也是网络安全工作人员必须了解的知识。

重点知识

什么是DMZ

DMZ（Demilitarized Zone）即俗称的隔离区。作用是把WEB、Email等允许外部访问的服务器，单独接在该区端口。DMZ可以理解为一个不同于外网或内网的特殊网络区域。打个比方：DMZ像是一个农家的院子，放一些不怕被偷的东西；而且，即使小偷能够翻墙入院，他也不一定能够进入紧锁的房屋，去偷贵重东西。

DMZ内通常放置一些不含机密信息的公用服务器，比如WEB、MAIL、FTP等。来自外网的访问者可以访问DMZ中的服务，但不可能接触到存放在内网中的公司机密或私人信息等。即使DMZ的服务器受到破坏，也不会对内网中的机密信息造成影响（见图3）。

图3

1.DMZ专区包含：FTP服务器、WEB服务器、MAIL服务器。数据服务器在内网。

2.用户计算机通过防火墙后，访问外网和内网的Server服务器。

3.DMZ区被外网防火墙和内网防火墙进行了双隔离。