Windows文件服務器在網絡中的作用至關重要。它們承載了敏感文件、數據庫和密碼等等。當文件服務器宕機的時候,網絡很可能因此癱瘓,如果它們被破壞,等於打開了潘多拉魔盒。
下面是作者遇到過的文件服務器被黑客攻擊的真實案例。和大家分享所遇到的情形以及這些漏洞是如何被利用來破壞系統的——這些都是從一個黑客的角度來看的。這將幫助你進一步了解在新聞中看到的關於系統漏洞如何被利用以及結合具體的情況來了解安全問題——幫助你從一個全新的角度來開始檢測你的服務器安全,你將會認識並非所有安全問題都是深不可測的。
第一步:發現一個沒有安裝的補丁
將所有你知道的微軟重要安全更新都安裝上,然後用我最喜歡的幾個漏洞探測工具進行掃描。你會發現一定還有可能被攻擊的漏洞存在。
你會常常發現,大多數Windows文件服務器安全漏洞問題都是因為忘了安裝補丁導致的,這種情況常常在網絡內部就會導致攻擊。這很大程度上要歸咎於許多網絡在內部沒有部署入侵保護系統——所有內部連接都是被信任的。如果你公司裡面有不法分子試圖控制你的Windows服務器,那就麻煩了。
讓我們從一個內部攻擊者的角度來看看一個忘了打windows補丁的漏洞是怎樣被發現的。他所需要的只是一個內部網絡的連接和幾個可以免費下載的安全工具:NeXpose Community edition 和 Metasploit。
以下就是具體步驟:
有不良企圖的用戶通過安裝NeXpose來掃描網絡——或者他所知道的一系列重要服務器——掃描漏洞。
接著他發現了一個文件服務器的MS08-067漏洞允許‘任意代碼’執行,這看起來實在有點可笑。
然後這個用戶進入Metasploit的檢測清單頁面可以看到該漏洞。
接著他下載並安裝Metasploit,添加一些參數,然後創建可以完全訪問你的服務器的命令,如下圖所示。
圖1.用Metasploit檢查MS08-067漏洞
1
這在有漏洞的Windows系統和相關應用上可以被一再重復操作,哪怕你一點都不了解。想想這可能造成的破壞有多可怕吧:刪除文件,復制備份SAM數據庫和敏感文件,添加/刪除用戶,等等。如果你有放在公網上供公共訪問的服務器卻沒有防火牆保護,相同類型的攻擊也可能通過INTERNET發生。
另外很重要的是要記住上面提到的網絡連接可以通過一個不安全的無線網絡取得。一個常見的例子是可以通過原本提供給倉庫中的掃描設備使用的無線熱點直接連接到你的網絡中。不管它們是使用WEP、WPA或者其它的加密方式來保證這些掃描設備的安全性,任何在一定距離范圍內(常常是在你的停車場裡或者旁邊的大樓)的設備都能輕易的接入你的網絡從而展開攻擊。
第二步:嗅探網絡取得有用信息
說到不安全的無線網絡,有惡意的外來攻擊者潛入你的網絡取得敏感信息一般是利用一些無線網絡分析工具,如CommView for WiFi 或者 AirMagnet WiFi Analyzer。另外,如果攻擊者可以獲得一個你網絡的物理連接(或者是一個被信任的用戶),他就能用工具來進行ARP攻擊,這可以讓他穿透你的以太網‘安全’控制並從你的網絡中拿到任何他想要的東西。
為什麼要攻擊一個文件服務器就必需做這個呢?很簡單,攻擊者可以很容易地通過SMB、POP3、WEB、FTP和windows認證對話來取得密碼然後用它做為一個非法的直接鏈接來訪問你的文件服務器。
圖2.利用如Cane%Abel這樣的工具可以輕松或者密碼
在本文下半部分中,我們將介紹如何取得敏感文件以及進行間接影響文件服務器安全的攻擊的步驟。