令人堪忧的网络安全 一次非常规安全检测(组图)

这是一次非常规的网路安全检测，或者也可称为网路安全调查。
　　一、缘由：
　　几天前，朋友说他们单位的一台数据库服务器好像被人黑了，并且在桌面上留言“***到此一游!”。我赶过去，对这台数据库服务器的系统进行了全面的检查。这台主机是Windows XP系统，没有打SP2补丁包。检查的结果让我非常惊讶：1.系统中有两个管理员用户“administrator”和“new”，并且密码都为空。2.系统开了3389端口，可以进行“远程桌面”连接。3.系统的开了23端口，可以telnet上去。4.系统135、445端口都开着，默认共享也没有删除。5.这台作为数据库服务器的主机，直接用sa连接数据库，密码为“sa”，可以用用SQL连接器连上去。通过问朋友得知这个系统是他用ghost盘做的，因为他看到好多人都是这样做的。难道这种现象具有普遍性?于是才有了这次非常规安全检测，看看笔者本地的网络安全到底怎么样。
　　二、工具：
　　s扫描器、微软远程登录工具(mstsc.msc)、telnet、SQL登录器
　　三、时间段：
　　某天晚上8点和一个工作日的早晨10点。
　　四、对象：
　　本地ADSL用户
　　五、检测
　　ADSL拨号上网，运行“命令提示符”(cmd.exe)，然后用“ipconfig”命令获得本机外网ip地址。然后以本机IP为中心，确定一个ip段，以备用s扫描器扫描。
　　1、远程登录测试(3389端口)
　　第一步：在命令提示符下运行s扫描器，敲入如下命令：
　　s syn **.1**.133.1 **.1**.138.254 3389
　　不到10秒钟，结果出来了。(图1)

                               
登录/注册后可看大图

图1
　　令人震惊!这个ip段有365台上线的主机，开3389端口的竟然有202个，占到73.7%!
　　第二步：用微软自己的“远程桌面连接”工具(mstsc.msc)连接测试，从中随机找一个开了3389端口的主机，进行连接。哇!连上了!敲入用户名“administrator”，空密码测试，提示有“new”用户当前登录。(图2)，原来有一个用户名为“new”的用户在。对不起了，直接点击确定，显示第一次登录的用户配置界面，不到10秒钟，果然进去了。马上“注销”出来。然后用“new”用户，空密码登录，也进去了。对方在看MM!(图3)马上退出来。随即对开了3389的其他主机进行测试，成功率高于60%。在测试中竟然有的Windows SP系统竟然支持多用户登录!登录进去后，对于一个没有安全意识的人他根本无法知道!有部分主机的“new”账户设置了密码，但“administrator”的密码为空。还有部分用户的设置了密码，但密码简单，猜三四次就猜中。比如一些简单的弱口令“123456”、“ndows”、“adsl”等等。

                               
登录/注册后可看大图

图2

                               
登录/注册后可看大图

图3
　　分析：现在用“gost版系统”的用户非常多，这些系统除了一个“administrator”管理员用户外，还有一个“new”用户，也为管理员权限。并且所有的管理员密码都为空!另外有些“电脑城版系统”，竟然支持多用户远程登录!有相当一部分电脑用户对这些浑然不知，没有进行任何安全配置就直接使用。有些电脑用户认为安装了杀毒软件，就可以高枕无忧了。但“大门”敞开，这些杀毒软件就形同虚设，并且杀毒不等于防黑呀!
2、IPC$测试(139 445端口)
　　第一步：在命令提示符下运行s扫描器，敲入如下命令：
　　s syn **.1**.133.1 **.1**.138.254 139 445
　　同样时间很短，结果马上出来了，开445端口的比3389的更多，粗略算了一下，超过80%，让人大跌眼镜的是这些主机3389、135都开放!(图4)

                               
登录/注册后可看大图

图4
　　第二步：随机找一个ip，在“命令提示符”下运行如下命令：
　　net use \\**.1**.135.253\ipc$ "" /user:administrator
　　提示“命令成功完成”
　　继续敲入命令：
　　net use z: \\**.1**.135.253\c$
　　提示“命令成功完成”(图5)

                               
登录/注册后可看大图

图5
　　这样就把它的系统盘映射到本机，检测到此为止。都到了这一步还有什么不能做的呢，这台主机就算系统沦陷了。
　　分析：这也是“ghost系统”或“电脑城系统”的后遗症，于管理员组的两个用户“administrator”、“new”都为空密码。电脑用户缺乏基本的电脑安全意识，更没有防范意识，请有方面的人来进行配置，系统安装完成不做任何配置就上网逛了，能不被黑吗?
3.telnet测试(23端口)
　　第一步：在命令提示符下运行s扫描器
　　s syn **.1**.133.1 **.1**.138.254 23
　　很短的时间，结果就出来了!在测试的在线365个主机中开了23端口的有35个。(图6)

                               
登录/注册后可看大图

第二步：用telnet连接测试
　　随机找一个IP,敲入如下命令：
　　telnet **.1**.134.242
　　用“new”空密码登录失败，换用“adminstrator”空密码，登录成功。(图7)这样获得一个具有管理员权限的“shell”，检测到此结束。有一定基础的“命令行”操作经验的读者都知道，既然获得了“shell”，就等于控制了整个主机。

                               
登录/注册后可看大图

然后对于其他IP进行测试，也用administrator或者new空密码连接，成功率超过40%。其中有以部分开了23端口的是路由器，用默认用户“admin”，默认密码“admin”，连接，竟然成功。(图8)(图9)，这是两个不同品牌的路由器。既然控制了路由器，那可以拿下的就不仅仅是一台主机了，有可能整个局域网都将沦陷!

                               
登录/注册后可看大图

图8

                               
登录/注册后可看大图

图9
　　分析：主机开了23端口，确实有些莫明其妙!一台个人电脑为什么开23端口，“ghost系统”及“电脑城版系统”都没有打开这个端口。我想这大概是已经有人进入了该主机，然后留的一个后门吧。电脑被入侵了，机主竟然一点都不知道!用户的安全意识可见一斑。另外，一些单位或者个人的路由器，也没有进行任何安全配置就联入网路，连默认的密码都没有更改，不被入侵才怪呢?

4.SQL Server测试(1433端口)
　　SQL Server是很多企业、事业单位首选的数据库系统。这次测试的时间选在一个工作日早晨10点，因为这时这些数据库服务器都在工作。
　　第一步：在命令提示符下运行s扫描器，敲入如下命令：
　　s syn **.1**.133.1 **.1**.138.254 1433
　　扫描结果有13个。(图10)

                               
登录/注册后可看大图

图10
　　第二步：用SQL连接器连接测试：
　　随机选一个IP，账户为“sa”，密码为空连接成功!(图11)然后敲命令”dir c:\“，可以执行!(图12)这样就等于获得了一个具有“system”权限(比管理员权限还高!)的“shell”。测试到此为止!都到了这一步，什么做不成呢?这台SQL server服务器宣告沦陷!

                               
登录/注册后可看大图

图11

                               
登录/注册后可看大图

图12
　　分析：管理员(也许这些单位根本就没有专业的管理员)图方便或安全意识淡薄，以“sa”连接数据库，并且密码为空，或者以”sa“及其简单的数字为密码。这样只要用“扫描器”扫描到这台数据库服务器的IP，就可轻而易举地拿下!数据库的沦陷应该比一般的个人电脑的入侵后果更严重。
　　总结：以上的安全测试所使用的工具都是一些及其常见的工具，一些是系统自己的，技术上也没有多大的难道，任何一个有一定电脑操作经验的人都可以完成一次入侵。如果别有用心的人拿来干一些事情，那就太可怕了。虽然这次测试的是笔者本地ADSL的一个IP段，但我想这种安全现状在全国肯定具有普遍性,网络安全状况不容乐观 !其主要原因是个人电脑用户安全防范意识淡薄，安全知识贫乏，不具备基本的安全技术。另外企事业单位对网络安全重视不够，缺乏专业的管理员。提高安全防范意识，掌握一定的安全技能，刻不容缓，不然下一个被入侵的人就是你!

这个嘛.好象是看不懂.

[发帖际遇]: LM_TZ在金矿任劳任怨,辛勤工作金币14.

9494真滴看不懂这是什么咚咚...

太专业了
看不懂
瞎看了会
很自卑 玩了多少年电脑了
除了游戏 什么都不懂

我也什么都不懂
..

现在的人都觉得用GHOST省事  我们现在的活都少了  觉得他们买张盘能用好长时间 我们作次系统就要50  很不划算  哎~  没办法 而且我们也没有这么强的专业知识去跟他们解释  管不了~~~