可以的 ,请看案例!
内网共享入侵案例
某市摄影机构局域网中有机器25台,其服务器装有Win2000 Server系统并且采用NTFS格式,主机名为sdftp,客户机装的是Win2000 Pro系统,计算机名分别为sd001、sd002依次类推。当其中一台客户机登到摄影域时,那么此时恶意用户就可以使用默认共享方式入侵该服务器,方法如下:打开桌面网络邻居,在地址栏中输入\\sdftp\admin$回车,即进入到Win2000服务器的系统目录下,用户拥有删除添加权限。而恶意用户获得此通道时,在网络邻居地址栏中输入命令\\sdftp\c$进入到C盘系统根目录下,编辑其下的Winstart.bat或Wininit.ini文件,将格式化语句加入。另类用户可以通过修改*.inf文件将木马启动语句插入其内,并随机植入木马病毒,让服务器论为傀儡。
防范方法
其实基于这样的内网入侵的方法有很多种,每一种都能足以让服务器失去安全,成为肉鸡。这里内网入侵的手段进行全面封杀,让其如秋后的落叶一般,离开安全视线。
删除默认共享
虽然默认共享在方式上可以便于远程维护,但其安全性十分可虑。为了解决此患只需打开注册表分支HKEY_L0 CAl_MACHINE\ SYSTEM\Current Control Set\Services\lanmanserver下,如果用户是Win2000 Pro系统则须新建Autosharewks的DWORD值,并设键值为0。而当用户是Win2000 Server,则新建Autoshareserver的DWORD值,并设键值为0即可让默认共享不再出现。此时恶意用户依然可以通过利用命令net use \\192.168.0.88\ips$''/user:'用户'”来建立空连接,随后激活Guest,并添加管理员权限,最后将安装后门软件来进行远程控制。管理人员须打开注册表分支HKEY_LOCAL_MACHINE\ SYSTEM\Current Control Set\Control\LSA,修改Restrict Anony-mous的DWORD值为0000001即可禁止IPS$空连接。 也可以建立TXT文件,在其中写入内容来删除共享如下:
以下是引用片段:
net share c$ /delete
net share d$ /delete
net share e$ /delete
net share f$ /delete
net share admin$ /delete
net share ipc$ /delete
注:(盘符有多少可添加多少命令),编好后,将TXT文本文件重命名为*.bat,放入到启动组,此时当计算机每一次重新启动后即可实现自删除共享,让恶意用户无法寻找默认共享。
防止服务入侵
那除了加强用户密码外,还有什么好方法可以防止对方利用开启的服务入侵呢?首先要将容易导致系统被入侵的服务禁用,并将相对应的注册表键值删除。方法如下:打开注册表分支HKEY_ LOCAL_MACHINE\SYSTEM\CurrentControlSet\Serices,查看其下所有值健(注:每个子键就是系统中对应的服务,DisplayName键值是服务显示名称),并将其导出为备份,随后将原健值删除或重命名。时此即能做到当恶意用户连接到服务列表中双击某服务时即弹出错误信息,而非出现属性框,另其无从改写。
管理维护
黑客入侵服务器,必须知道服务器的IP地址和所开放的端口。那么作为一台服务器,管理与维护必不可少,一个好的安全策略中以挡住大部份的恶意用户。这里可以打开计算机管理工具里的本地安全策略,在其内建立新的策略,内容包含常见攻击端口的屏蔽,如:3389、139、4899、7626、6267等。并要不定期使用命令如:netstat、net share等或利用安全软件对端口、服务、进程等检测,以防恶意用户不轨行为。要尽可能不设立共享文件或文件夹,如果工作需要开启共享,那么则须建立相应的密码,并给用户设立相应的权限:打开计算机管理,禁止系统中的Guest用户,并对Administrator超级用户进行改名,定期检查分析事件查看器与审核安全日志。
笔者按:作为服务器管理人员不要随意将服务器作为上网娱乐的平台,要对服务器的安全问题高度重视,即时将系统打入最新补丁,最好挂双硬盘或组建磁盘阵列防止数据丢失,使服务器在出错后能实现快速恢复,不影响正常工作的使用,这里建议管理人员或用户多去安全类网站或论坛了解最新安全动态,即时做好防范才是上策。
加入收藏复制链接给好友我要报错跳到顶部BBS讨论
能!这是防火墙的命令吧!
net share 是查看网络之间工享的命令 例如
net share d$ /del
就删除了电脑对D盘的共享
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024