Windows系統常見漏洞分析

　　由於windows NT/2000作業系統的普及率和市場佔有率比較高，所以很容易使它成為很多黑客攻擊的目標。目前，Windows NT/2000最主要的漏洞有Unicode漏洞、.ida/.idq緩衝區溢位漏洞、Microsoft IIS CGI檔名錯誤解碼漏洞、MSADCS RDS弱點漏洞、FrontPage伺服器擴充套件和.Printer漏洞等等。下面筆者將對這些漏洞的原理、危害程度、檢測和解決辦法分別進行介紹。 
　　

　　一、Unicode漏洞 

　　
　　1．漏洞危害 
　　
　　在Unicode字元解碼時，IIS 4.0/5.0存在一個安全漏洞，導致使用者可以遠端通過iis執行任意命令。當用戶用IIS開啟檔案時，如果該檔名包含Unicode字元，系統會對其進行解碼。如果使用者提供一些特殊的編碼，將導致IIS錯誤地開啟或者執行某些Web根目錄以外的檔案。未經授權的使用者可能會利用IUSR_machinename賬號的上下文空間訪問任何已知的檔案。該賬號在預設情況下屬於Everyone和Users組的成員，因此任何與Web根目錄在同一邏輯驅動器上的能被這些使用者組訪問的檔案都可能被刪除、修改或執行。通過此漏洞，您可檢視檔案內容、建立資料夾、刪除檔案、拷貝檔案且改名、顯示目標主機當前的環境變數、把某個資料夾內的全部檔案一次性拷貝到另外的資料夾去、把某個資料夾移動到指定的目錄和顯示某一路徑下相同檔案型別的檔案內容等等。 
　　
　　2．漏洞成因 
　　
　　Unicode漏洞的成因可大致歸結為: 從中文windows IIS 4.0+SP6開始，還影響中文Windows 2000+IIS 5.0、中文Windows 2000+IIS5.0+SP1。臺灣繁體中文也同樣存在這樣的漏洞。它們利用擴充套件Unicode字元（如利用“../”取代“/”和“＼”）進行目錄遍歷漏洞。據瞭解，在Windows NT中編碼為%c1%9c，在Windows 2000英文版中編碼為%c0%af。 
　　
　　3．漏洞檢測 
　　
　　首先，對網路內IP地址為*.*.*.*的windows NT/2000主機，您可以在IE位址列輸// *.*.*.*/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir(其中%c1%1c為Windows 2000漏洞編碼，在不同的作業系統中，您可使用不同的漏洞編碼)，如漏洞存在，您還可以將Dir換成Set和Mkdir等命令。 
　　
　　其次，您要檢測網路中某IP段的Unicode漏洞情況，可使用有如Red.exe、SuperScan、RangeScan掃描器、Unicode掃描程式Uni2.pl及流光Fluxay4.7和SSS等掃描軟體來檢測。 
　　
　　4．解決方法 
　　
　　若網路記憶體在Unicode漏洞，可採取如下方法進行補救： 
　　
　　（1）限制網路使用者訪問和呼叫CMD命令的許可權； 
　　
　　（2）若沒必要使用SCRIPTS和MSADC目錄，刪除或改名； 
　　
　　（3）安裝windows NT系統時不要使用預設WINNT路徑，您可以改為其他的資料夾，如C:\mywindowsnt； 
　　
　　(4)使用者可從如下地址下載Microsoft提供的補丁：t.asp為IIS 4.0的補丁地址，.asp為IIS 5.0補丁地址。 
　　

　　二、.ida/.idq緩衝區溢位漏洞 

　　
　　1．漏洞危害及成因 
　　
　　作為安裝IIS過程的一部分，系統還會安裝幾個ISAPI擴充套件.dlls，其中idq.dll是Index Server的一個元件，對管理員指令碼和Internet資料查詢提供支援。但是，idq.dll在一段處理URL輸入的程式碼中存在一個未經檢查的緩衝區，攻擊者利用此漏洞能導致受影響伺服器產生緩衝區溢位，從而執行自己提供的程式碼。更為嚴重的是，idq.dll是以System身份執行的，攻擊者可以利用此漏洞取得系統管理員許可權。 
　　
　　2．解決方法 
　　
　　使用者可以分別到?ReleaseID=30833和?ReleaseID=30800處下載補丁，或刪除對.idq和.ida的指令碼對映。如果其他系統元件被增刪，有可能導致該對映被重新自動安裝。 
　　
　　注意：安裝Index Server或Index Services而沒有安裝IIS的系統無此漏洞；另外，即使Index Server/Indexing Service沒有開啟，但是隻要對.idq或.ida檔案的指令碼對映存在，攻擊者也能利用此漏洞。受影響平臺有windows NT 4.0、Windows 2000、Windows XP beta; 受影響的版本有Microsoft Index Server 2.0、Indexing Service in windows 2000。 
　　

　　三、Microsoft IIS CGI 檔名錯誤解碼漏洞 

　　
　　1．漏洞危害及成因 
　　
　　IIS在載入可執行CGI程式時，會進行兩次解碼。第一次解碼是對CGI檔名進行Http解碼，然後判斷此檔名是否為可執行檔案，如檢查字尾名是否為“.exe”或”等。在檔名檢查通過之後，IIS會進行第二次解碼。正常情況下，應該只對該CGI的引數進行解碼，然而，當漏洞被攻擊後，IIS會錯誤地將已經解過碼的CGI檔名和CGI引數一起進行解碼。這樣，CGI檔名就被錯誤地解碼兩次。通過精心構造CGI檔名，攻擊者可以繞過IIS對檔名所做的安全檢查。在某些條件下，攻擊者可以執行任意系統命令。 
　　
　　2．漏洞檢測 
　　
　　該漏洞對IIS 4.0/5.0（SP6/SP6a沒有安裝）遠端本地均適用，您可通過前文所述的SSS軟體進行測試。 
　　
　　3．解決方法 
　　
　　如果您的主機有此漏洞，可在?ReleaseID=29787處下載補丁。 
　　

　　四、MSADCS RDS弱點漏洞 

　　
　　1．漏洞危害 
　　
　　雖然MSADCS RDS弱點漏洞對許多黑客來說已經有點兒過時，不過，對於網路上一些粗心大意的網管來說，還是有為數眾多的機器並沒有針對這個漏洞進行防堵。 
　　
　　該漏洞可以導致攻擊者遠端執行使用者系統的命令，並以裝置使用者的身份執行。 
　　
　　2．漏洞成因 
　　
　　此漏洞是因windows NT 4.0 Option Pack中的元件MDAC（即Microsoft Data Access Components）引起的，它包含了一項RDS（Remote Data Service）的功能。RDS是Microsoft提供給使用者遠端訪問資料庫的服務，它能夠讓使用者透過ODBC遠端存取/查詢伺服器資料庫中的資料資訊，而在IIS伺服器中，還能夠讓使用者通過一個位於/msadc虛擬目錄內名為msadcs.dll的檔案提供RDS服務，以便與遠端使用者溝通。 
　　
　　3．漏洞檢測 
　　
　　使用者可使用Shadow Security Scanner 5.35（本文簡稱SSS）、流光Fluxay 4.7、Nmap以及SuperScan或MSADC2.PL（Perl程式，執行需要ActivePerl環境，您可去雨林小狗網站下載，網址為）來進行測試，也可以通過以下辦法測試本機是否存在這個漏洞。 
　　
　　c:\>nc -nw -w 2 <目標機> 80 
　　
　　GET /msadc/msadcs.dll HTTP 
　　
　　4．解決方法 
　　
　　其實，Microsoft對關於Msadc的問題發了3次以上的補丁，但仍然存在問題。 
　　
　　筆者認為最好的辦法是：通過移除或刪除系統內/msadc目錄，同時移除c:\Program Files\Common Files\System\Msadc\msadcs.dll，或安裝MDAC 2.1 SP2補丁（下載網址為），並注意及時上網更新。 
　　

　　五、FrontPage 伺服器擴充套件漏洞 

　　
　　1．漏洞危害 
　　
　　該漏洞對網站構成嚴重威脅，可以讓入侵者輕易地獲得整個網站的資訊。 
　　
　　2．漏洞成因 
　　
　　對於安裝Frontpage伺服器的網站，通常會在Web目錄（預設）下有若干個以字母“_vti”開頭的目錄，正是這些目錄隱藏了潛在的攻擊性。當用戶在任何常用的搜尋引擎上搜索預設的Frontpage目錄時，會得到大量從引擎上返回的資訊，這時，給入侵者一可乘之機，使他們得以對伺服器進行簡單而又反覆的攻擊。 
　　
　　對攻擊者來說，此漏洞可使他們獲得被攻擊方的Frontpage口令檔案、通過Frontpage副檔名執行任意二進位制檔案，以及通過用_vti_cnf替換l，即入侵者能看到該目錄下的所有檔案，並有可能獲得訪問許可權等。 
　　
　　3．解決方法 
　　
　　如對目錄定義許可、移去某些目錄、設定使用者密碼或不安裝Frontpage擴充套件伺服器等。
　　

　　六、.Printer漏洞 

　　
　　1．漏洞危害及成因 
　　
　　此漏洞只存在於執行IIS 5.0的windows 2000伺服器中。由於IIS 5的列印ISAPI擴充套件介面建立了.printer副檔名到Msw3prt.dll的對映關係（預設情況下該對映也存在），當遠端使用者提交對.printer的URL請求時，IIS 5.0會呼叫Msw3prt.dll解釋該請求，加之Msw3prt.dll缺乏足夠的緩衝區邊界檢查，遠端使用者可以提交一個精心構造的針對.printer的URL請求，其“Host:”域包含大約420B的資料，此時在Msw3prt.dll中發生典型的緩衝區溢位，潛在地允許執行任意程式碼。在溢位發生後，Web服務會停止使用者響應，而windows 2000將接著自動重啟它，進而使得系統管理員很難檢查到已發生的攻擊。 
　　
　　2．漏洞檢測 
　　
　　針對.Printer漏洞的檢測軟體很多，如easyscan（）、x-scaner()和SSS等。 
　　
　　3．解決方法 
　　
　　可通過安裝Microsoft漏洞補丁來解決此影響系統的安全問題。 


========

Windows 常見埠漏洞分析

99埠
99埠是用於一個名為“Metagram Relay”（亞對策延時）的服務，該服務比較少見，一般是用不到的。
　　埠漏洞：雖然“Metagram Relay”服務不常用，可是Hidden Port、NCx99等木馬程式會利用該埠，比如在Windows 2000中，NCx99可以把cmd．exe程式繫結到99埠，這樣用Telnet就可以連線到伺服器，隨意新增使用者、更改許可權。


　　操作建議：建議關閉該埠。


-------------------------------------
　　109、110埠
109埠是為POP2（Post Office Protocol Version 2，郵局協議2）服務開放的，110埠是為POP3（郵件協議3）服務開放的，POP2、POP3都是主要用於接收郵件的。


埠說明：109埠是為POP2（Post Office Protocol Version 2，郵局協議2）服務開放的，110埠是為POP3（郵件協議3）服務開放的，POP2、POP3都是主要用於接收郵件的，目前POP3使用的比較多，許多伺服器都同時支援POP2和POP3。客戶端可以使用POP3協議來訪問服務端的郵件服務，如今ISP的絕大多數郵件伺服器都是使用該協議。在使用電子郵件客戶端程式的時候，會要求輸入POP3伺服器地址，預設情況下使用的就是110埠。


　　埠漏洞：POP2、POP3在提供郵件接收服務的同時，也出現了不少的漏洞。單單POP3服務在使用者名稱和密碼交換緩衝區溢位的漏洞就不少於20個，比如WebEasyMail POP3 Server合法使用者名稱資訊洩露漏洞，通過該漏洞遠端攻擊者可以驗證使用者賬戶的存在。另外，110埠也被ProMail trojan等木馬程式所利用，通過110埠可以竊取POP賬號使用者名稱和密碼。


　　操作建議：如果是執行郵件伺服器，可以開啟該埠。


-------------------------------------------
　　111埠
111埠是SUN公司的RPC（Remote Procedure Call，遠端過程呼叫）服務所開放的埠，主要用於分散式系統中不同計算機的內部程序通訊，RPC在多種網路服務中都是很重要的元件。
埠漏洞：SUN RPC有一個比較大漏洞，就是在多個RPC服務時xdr＿array函式存在遠端緩衝溢位漏洞，通過該漏洞允許攻擊者傳遞超




　　113埠
113埠主要用於Windows的“Authentication Service”（驗證服務）。
埠說明：113埠主要用於Windows的“Authentication Service”（驗證服務），一般與網路連線的計算機都執行該服務，主要用於驗證TCP連線的使用者，通過該服務可以獲得連線計算機的資訊。在Windows 2000/2003 Server中，還有專門的IAS元件，通過該元件可以方便遠端訪問中進行身份驗證以及策略管理。


　　埠漏洞：113埠雖然可以方便身份驗證，但是也常常被作為FTP、POP、SMTP、IMAP以及IRC等網路服務的記錄器，這樣會被相應的木馬程式所利用，比如基於IRC聊天室控制的木馬。另外，113埠還是Invisible Identd Deamon、Kazimas等木馬預設開放的埠。




　　119埠
119埠是為“Network News Transfer Protocol”（網路新聞組傳輸協議，簡稱NNTP）開放的。
埠說明：119埠是為“Network News Transfer Protocol”（網路新聞組傳輸協議，簡稱NNTP）開放的，主要用於新聞組的傳輸，當查詢USENET伺服器的時候會使用該埠。


　　埠漏洞：著名的Happy99蠕蟲病毒預設開放的就是119埠，如果中了該病毒會不斷髮送電子郵件進行傳播，並造成網路的堵塞。


　　操作建議：如果是經常使用USENET新聞組，就要注意不定期關閉該埠。




　　135埠
135埠主要用於使用RPC（Remote Procedure Call，遠端過程呼叫）協議並提供DCOM（分散式元件物件模型）服務。
埠說明：135埠主要用於使用RPC（Remote Procedure Call，遠端過程呼叫）協議並提供DCOM（分散式元件物件模型）服務，通過RPC可以保證在一臺計算機上執行的程式可以順利地執行遠端計算機上的程式碼；使用DCOM可以通過網路直接進行通訊，能夠跨包括HTTP協議在內的多種網路傳輸。


　　埠漏洞：相信去年很多Windows 2000和Windows XP使用者都中了“衝擊波”病毒，該病毒就是利用RPC漏洞來攻擊計算機的。RPC本身在處理通過TCP/IP的訊息交換部分有一個漏洞，該漏洞是由於錯誤地處理格式不正確的訊息造成的。該漏洞會影響到RPC與DCOM之間的一個介面，該介面偵聽的埠就是135。


　　操作建議：為了避免“衝擊波”病毒的攻擊，建議關閉該埠。




　　137埠
137埠主要用於“NetBIOS Name Service”（NetBIOS名稱服務）。
埠說明：137埠主要用於“NetBIOS Name Service”（NetBIOS名稱服務），屬於UDP埠，使用者只需要向區域網或網際網路上的某臺計算機的137埠傳送一個請求，就可以獲取該計算機的名稱、註冊使用者名稱，以及是否安裝主域控制器、IIS是否正在執行等資訊。


　　埠漏洞：因為是UDP埠，對於攻擊者來說，通過傳送請求很容易就獲取目標計算機的相關資訊，有些資訊是直接可以被利用，並分析漏洞的，比如IIS服務。另外，通過捕獲正在利用137埠進行通訊的資訊包，還可能得到目標計算機的啟動和關閉的時間，這樣就可以利用專門的工具來攻擊。


　　操作建議：建議關閉該埠。


　　139埠
139埠是為“NetBIOS Session Service”提供的，主要用於提供Windows檔案和印表機共享以及Unix中的Samba服務。
埠說明：139埠是為“NetBIOS Session Service”提供的，主要用於提供Windows檔案和印表機共享以及Unix中的Samba服務。在Windows中要在區域網中進行檔案的共享，必須使用該服務。比如在Windows 98中，可以開啟“控制面板”，雙擊“網路”圖示，在“配置”選項卡中單擊“檔案及列印共享”按鈕選中相應的設定就可以安裝啟用該服務；在Windows 2000/XP中，可以開啟“控制面板”，雙擊“網路連線”圖示，開啟本地連線屬性；接著，在屬性視窗的“常規”選項卡中選擇“Internet協議（TCP/IP）”，單擊“屬性”按鈕；然後在開啟的視窗中，單擊“高階”按鈕；在“高階TCP/IP設定”視窗中選擇“WINS”選項卡，在“NetBIOS設定”區域中啟用TCP/IP上的NetBIOS。


　　埠漏洞：開啟139埠雖然可以提供共享服務，但是常常被攻擊者所利用進行攻擊，比如使用流光、SuperScan等埠掃描工具，可以掃描目標計算機的139埠，如果發現有漏洞，可以試圖獲取使用者名稱和密碼，這是非常危險的。


　　操作建議：如果不需要提供檔案和印表機共享，建議關閉該埠。


　　143埠
143埠主要是用於“Internet Message Access Protocol”v2（Internet訊息訪問協議，簡稱IMAP）。
埠說明：143埠主要是用於“Internet Message Access Protocol”v2（Internet訊息訪問協議，簡稱IMAP），和POP3一樣，是用於電子郵件的接收的協議。通過IMAP協議我們可以在不接收郵件的情況下，知道信件的內容，方便管理伺服器中的電子郵件。不過，相對於POP3協議要負責一些。如今，大部分主流的電子郵件客戶端軟體都支援該協議。


　　埠漏洞：同POP3協議的110埠一樣，IMAP使用的143埠也存在緩衝區溢位漏洞，通過該漏洞可以獲取使用者名稱和密碼。另外，還有一種名為“admv0rm”的Linux蠕蟲病毒會利用該埠進行繁殖。


　　操作建議：如果不是使用IMAP伺服器操作，應該將該埠關閉。


　　161埠
161埠是用於“Simple Network Management Protocol”（簡單網路管理協議，簡稱SNMP）。


　　埠說明：161埠是用於“Simple Network Management Protocol”（簡單網路管理協議，簡稱SNMP），該協議主要用於管理TCP/IP網路中的網路協議，在Windows中通過SNMP服務可以提供關於TCP/IP網路上主機以及各種網路裝置的狀態資訊。目前，幾乎所有的網路裝置廠商都實現對SNMP的支援。


　　在Windows 2000/XP中要安裝SNMP服務，我們首先可以開啟“Windows元件嚮導”，在“元件”中選擇“管理和監視工具”，單擊“詳細資訊”按鈕就可以看到“簡單網路管理協議（SNMP）”，選中該元件；然後，單擊“下一步”就可以進行安裝。


　　埠漏洞：因為通過SNMP可以獲得網路中各種裝置的狀態資訊，還能用於對網路裝置的控制，所以黑客可以通過SNMP漏洞來完全控制網路。


　　操作建議：建議關閉該埠。


　　443埠
43埠即網頁瀏覽埠，主要是用於HTTPS服務，是提供加密和通過安全埠傳輸的另一種HTTP。
埠說明：443埠即網頁瀏覽埠，主要是用於HTTPS服務，是提供加密和通過安全埠傳輸的另一種HTTP。在一些對安全性要求較高的網站，比如銀行、證券、購物等，都採用HTTPS服務，這樣在這些網站上的交換資訊其他人都無法看到，保證了交易的安全性。網頁的地址以https://開始，而不是常見的http://。


　　埠漏洞：HTTPS服務一般是通過SSL（安全套接字層）來保證安全性的，但是SSL漏洞可能會受到黑客的攻擊，比如可以黑掉線上銀行系統，盜取信用卡賬號等。


　　操作建議：建議開啟該埠，用於安全性網頁的訪問。另外，為了防止黑客的攻擊，應該及時安裝微軟針對SSL漏洞釋出的最新安全補丁。


　　554埠
554埠預設情況下用於“Real Time Streaming Protocol”（實時流協議，簡稱RTSP）。
埠說明：554埠預設情況下用於“Real Time Streaming Protocol”（實時流協議，簡稱RTSP），該協議是由RealNetworks和Netscape共同提出的，通過RTSP協議可以藉助於Internet將流媒體檔案傳送到RealPlayer中播放，並能有效地、最大限度地利用有限的網路頻寬，傳輸的流媒體檔案一般是Real伺服器釋出的，包括有.rm、.ram。如今，很多的下載軟體都支援RTSP協議，比如FlashGet、影音傳送帶等等。


　　埠漏洞：目前，RTSP協議所發現的漏洞主要就是RealNetworks早期釋出的Helix Universal Server存在緩衝區溢位漏洞，相對來說，使用的554埠是安全的。


　　操作建議：為了能欣賞並下載到RTSP協議的流媒體檔案，建議開啟554埠。


　　1024埠
1024埠一般不固定分配給某個服務，在英文中的解釋是“Reserved”（保留）。
埠說明：1024埠一般不固定分配給某個服務，在英文中的解釋是“Reserved”（保留）。之前，我們曾經提到過動態埠的範圍是從1024～65535，而1024正是動態埠的開始。該埠一般分配給第一個向系統發出申請的服務，在關閉服務的時候，就會釋放1024埠，等待其他服務的呼叫。


　　埠漏洞：著名的YAI木馬病毒預設使用的就是1024埠，通過該木馬可以遠端控制目標計算機，獲取計算機的螢幕影象、記錄鍵盤事件、獲取密碼等，後果是比較嚴重的。


　　操作建議：一般的防毒軟體都可以方便地進行YAI病毒的查殺，所以在確認無YAI病毒的情況下建議開啟該埠。


　　1080埠
1080埠是Socks代理服務使用的埠，大家平時上網使用的WWW服務使用的是HTTP協議的代理服務。
埠說明：1080埠是Socks代理服務使用的埠，大家平時上網使用的WWW服務使用的是HTTP協議的代理服務。而Socks代理服務不同於HTTP代理服務，它是以通道方式穿越防火牆，可以讓防火牆後面的使用者通過一個IP地址訪問Internet。Socks代理服務經常被使用在區域網中，比如限制了QQ，那麼就可以開啟QQ引數設定視窗，選擇“網路設定”，在其中設定Socks代理服務。另外，還可以通過安裝Socks代理軟體來使用QQ，比如Socks2HTTP、SocksCap32等。


　　埠漏洞：著名的代理伺服器軟體WinGate預設的埠就是1080，通過該埠來實現區域網內計算機的共享上網。不過，如Worm.Bugbear.B（怪物II）、Worm.Novarg.B（SCO炸彈變種B）等蠕蟲病毒也會在本地系統監聽1080埠，給計算機的安全帶來不利。


　　操作建議：除了經常使用WinGate來共享上網外，那麼其他的建議關閉該埠。


　　1755埠
1755埠預設情況下用於“Microsoft Media Server”（微軟媒體伺服器，簡稱MMS）。
埠說明：1755埠預設情況下用於“Microsoft Media Server”（微軟媒體伺服器，簡稱MMS），該協議是由微軟釋出的流媒體協議，通過MMS協議可以在Internet上實現Windows Media伺服器中流媒體檔案的傳送與播放。這些檔案包括.asf、.wmv等，可以使用Windows Media Player等媒體播放軟體來實時播放。其中，具體來講，1755埠又可以分為TCP和UDP的MMS協議，分別是MMST和MMSU，一般採用TCP的MMS協議，即MMST。目前，流媒體和普通下載軟體大部分都支援MMS協議。


　　埠漏洞：目前從微軟官方和使用者使用MMS協議傳輸、播放流媒體檔案來看，並沒有什麼特別明顯的漏洞，主要一個就是MMS協議與防火牆和NAT（網路地址轉換）之間存在的相容性問題。


　　操作建議：為了能實時播放、下載到MMS協議的流媒體檔案，建議開啟該埠。


　　4000埠
4000埠是用於大家經常使用的QQ聊天工具的，再細說就是為QQ客戶端開放的埠，QQ服務端使用的埠是8000。
埠說明：4000埠是用於大家經常使用的QQ聊天工具的，再細說就是為QQ客戶端開放的埠，QQ服務端使用的埠是8000。通過4000埠，QQ客戶端程式可以向QQ伺服器傳送資訊，實現身份驗證、訊息轉發等，QQ使用者之間傳送的訊息預設情況下都是通過該埠傳輸的。4000和8000埠都不屬於TCP協議，而是屬於UDP協議。


　　埠漏洞：因為4000埠屬於UDP埠，雖然可以直接傳送訊息，但是也存在著各種漏洞，比如Worm_Witty.A（維迪）蠕蟲病毒就是利用4000埠向隨機IP傳送病毒，並且偽裝成ICQ資料包，造成的後果就是向硬碟中寫入隨機資料。另外，Trojan.SkyDance特洛伊木馬病毒也是利用該埠的。


　　操作建議：為了用QQ聊天，4000大門敞開也無妨。


　　5554埠
在今年4月30日就報道出現了一種針對微軟lsass服務的新蠕蟲病毒——震盪波（Worm.Sasser），該病毒可以利用TCP 5554埠開啟一個FTP服務，主要被用於病毒的傳播。
埠說明：在今年4月30日就報道出現了一種針對微軟lsass服務的新蠕蟲病毒——震盪波（Worm.Sasser），該病毒可以利用TCP 5554埠開啟一個FTP服務，主要被用於病毒的傳播。


　　埠漏洞：在感染“震盪波”病毒後會通過5554埠向其他感染的計算機傳送蠕蟲病毒，並嘗試連線TCP 445埠併發送攻擊，中毒的計算機會出現系統反覆重啟、執行緩慢、無法正常上網等現象，甚至會被黑客利用奪取系統的控制權限。


　　操作建議：為了防止感染“震盪波”病毒，建議關閉5554埠。


　　5632埠
5632埠是被大家所熟悉的遠端控制軟體pcAnywhere所開啟的埠。
埠說明：5632埠是被大家所熟悉的遠端控制軟體pcAnywhere所開啟的埠，分TCP和UDP兩種，通過該埠可以實現在本地計算機上控制遠端計算機，檢視遠端計算機螢幕，進行檔案傳輸，實現檔案同步傳輸。在安裝了pcAnwhere被控端計算機啟動後，pcAnywhere主控端程式會自動掃描該埠。


　　埠漏洞：通過5632埠主控端計算機可以控制遠端計算機，進行各種操作，可能會被不法分子所利用盜取賬號，盜取重要資料，進行各種破壞。


　　操作建議：為了避免通過5632埠進行掃描並遠端控制計算機，建議關閉該埠。


　　8080埠
8080埠同80埠，是被用於WWW代理服務的，可以實現網頁瀏覽。
埠說明：8080埠同80埠，是被用於WWW代理服務的，可以實現網頁瀏覽，經常在訪問某個網站或使用代理伺服器的時候，會加上“:8080”埠號，比如http://www.cce.com.cn:8080。


　　埠漏洞：8080埠可以被各種病毒程式所利用，比如Brown Orifice（BrO）特洛伊木馬病毒可以利用8080埠完全遙控被感染的計算機。另外，RemoConChubo，RingZero木馬也可以利用該埠進行攻擊。


　　操作建議：一般我們是使用80埠進行網頁瀏覽的，為了避免病毒的攻擊，我們可以關閉該埠。
========

 微軟Windows系統最危險的10個漏洞 

來自SANS/FBI聯合發表了以往找出的微軟Windows系統最危險的10個漏洞：
W1 IIS（網際網路資訊伺服器）
W2 微軟資料訪問部件（MDAC）－遠端資料服務
W3 微軟SQL Server
W4 NETBIOS－不受保護的Windows網路共享
W5 匿名登入 -- Null Sessions（空會話，注二）
W6 LAN Manager 身份認證 －易被攻擊的LAN Manager口令雜湊（注三）
W7 一般Windows身份認證－帳戶密碼太脆弱或乾脆為空
W8 IE瀏覽器漏洞
W9 遠端登錄檔訪問
W10 WSH（Windows指令碼主機服務）

（1） IIS伺服器

微軟的IIS伺服器存在快取溢位漏洞，它難以合適地過濾客戶端請求，執行應用指令碼的能力較差。部分問題可以通過已釋出的補丁解決，但每次IIS的新版本釋出都帶來新的漏洞，因此IIS出現安全漏洞並不能完全歸罪於網管的疏漏。建議管理人員執行HFNetChk來檢查目前可更新的補丁。 


適用性說明——Windows NT 4執行 IIS 4， Windows 2000 執行IIS 5，Windows XP Pro執行 IIS 5.1 。
修復方法——安裝補丁檔案。為你的系統安裝最新的IIS補丁，並在IIS中排除惡意使用者的訪問IP地址（相關解釋見：http://www.microsoft.com/technet/security/tools/urlscan.asp）。刪除IIS中預設支援的ISAPI副檔名，諸如：.htr、.idq、.ism以及.printer，這些可執行指令碼的副檔名在IIS安裝時預設支援，但使用者很少會需要它們。刪除\inetput\wwwroot\scripts目錄中的指令碼樣本檔案。同樣，在進行IIS安裝時不要安裝遠端管理工具。

（2）MDAC

微軟資料訪問部件的遠端資料服務單元有一個編碼錯誤，遠端訪問使用者有可能通過這一漏洞獲得遠端管理的許可權，並有可能使資料庫遭到外部匿名攻擊。
適用性說明——NT 4.0系統執行IIS 3.0和4.0，RDS 1.5或是 VS 6.0。
修復方法——升級MDAC到2.1或更新的版本，或者基於以下發布的方法進行系統配置：
Q184375
MS98-004
MS99-025
從上述公告發布的時間可以看出，這些漏洞是所謂的well-know (著名的) 漏洞。實際上上述漏洞常被用來攻擊Windows網路 ，尤其是那些較早的系統。

（3）微軟SQL資料庫

Internet Storm Center始終在警告使用者微軟SQL資料庫的1433埠是攻擊者必定掃描的十大現存漏洞埠之一。
適用性說明——SQL伺服器7.0，SQL伺服器2000以及SQL桌面安裝版本。
修復方法——根據各自的系統安裝下面的其中一個補丁：
SQL Server 7.0 服務包 4
SQL Server 2000 服務包 2

（4）NETBIOS/Windows網路共享

由於使用了伺服器資訊塊(SMB) 
協議或通用網際網路檔案系統(CIFS)，將使遠端使用者可以訪問本地檔案，但也向攻擊者開放了系統。
適用性說明——所有的windows系統。
風險——肆虐一時的Sircam和Nimda蠕蟲病毒都利用這一漏洞進行攻擊和傳播，因此使用者對此絕對不能掉以輕心。
修復方法——限制檔案的訪問共享，並指定特定IP的訪問限制以避免域名指向欺騙。關閉不必要的檔案服務，取消這一特性並關閉相應埠。 
注一：SANS（System Administration， Networking， and 
Security-系統管理、網路和安全學會）SANS和FBI已經陸續聯合發表多個網路安全危險名單，這似乎已經成了一個慣例。
注二：Null 
Session被認為是WIN2K自帶的一個後門。當建立一個空會話之後，對於一臺配置不到位的WIN2K伺服器來說，那麼將能夠得到非常多的資訊，比如列舉帳號等等。
注三：微軟在Windows NT 和 2000系統裡預設安裝了LAN Manager口令雜湊。由於LAN 
Manager使用的加密機制比微軟現在的方法脆弱，LAN Manager的口令能在很短的時間內被破解。

（5）匿名登入

Window作業系統的帳戶服務至關重要，但一旦使用者通過匿名登入程序(空對話)後就可以匿名訪問其它系統中的檔案。不幸的是，這意味著攻擊者也可以匿名進入系統。
適用性說明——Windows NT， 2000以及XP系統
修復方法——使用者唯一可以補救的就是修改登錄檔限制這一潛在的威脅。

（6）LAN Manager身份認證(易被攻擊的LAN Manager口令雜湊)

儘管Windows的大多數使用者不再需要LAN 
Manager的支援，微軟還是在Windows NT 和 2000系統裡預設安裝了LAN Manager口令雜湊。由於LAN 
Manager使用的早期加密機制比微軟現在的方法脆弱，即使相當強健的LAN Manager的口令也能在很短的時間內被破解。
適用性說明——所有的Windows作業系統: 預設安裝的Windows NT，Windows 2000，Windows XP都存在這一漏洞。
修復方法——只要使用者用不到它，就儘快取消LM認證支援。

（7）Window 密碼

脆弱的密碼是管理人員的心腹大患。儘管各種系統設定都要求使用者使用足夠強壯的密碼並進行定期更換，但使用者往往抱怨系統管理員做出的各種限制，這就引發了訪問控制的脆弱性。既然這一漏洞名列第七大系統漏洞，系統管理員就可以理直氣壯地要求使用者遵守足夠強壯的密碼策略。
適用性說明——所有使用密碼保護的系統和應用軟體。
修復方法——略。

（8）IE瀏覽器

對於IE瀏覽器的使用者有以下幾個方面的威脅
ActiveX控制元件
指令碼漏洞
MIME 型別和內容的誤用
快取區溢位
風險——Cookies 和其它本地檔案有可能被利用來威脅系統安全，惡意程式碼有可能趁虛而入安裝並執行，甚至惡意程式碼可以執行刪除和格式化硬碟的命令。
修復方法——升級並安裝補丁檔案。微軟不再支援版本早於5.01的IE瀏覽器，因此使用者必須升級到5.01或更高版本。完成瀏覽器升級到IE5.01或5.5後，安裝IE 
5.01服務包2或IE 5.5服務包2 。然後安裝安全補丁的最新累積版本Q32375。

（9）登錄檔訪問

在任何Windows系統中，登錄檔都是最重要的檔案，而允許遠端訪問登錄檔將帶來很大危害。
適用性說明——所有的Windows版本：在NT Resource Kit（資源套件）中有一個軟體 regdump.exe 
，可以用來測試系統是否開放了遠端登錄檔訪問許可權。
修復方法——限制訪問：這並非是軟體的bug，而是Windows系統所具備的一個特性，因此使用者必須通過限制訪問許可權來避免潛在的威脅。
微軟知識庫的文章Q153183說明了如何限制遠端訪問NT系統登錄檔，而SANS/FBI報告中也提到了幾種方法來限制授權和非授權的遠端登錄檔訪問。

（10）WSH 

（Windows指令碼主機服務）：用VB來編輯巨集非常方便，但類似愛蟲和其它VB指令碼蠕蟲病毒卻可以給使用者系統帶來難以預見的災難，使用者無意間下載的該類惡意指令碼檔案，很可能通過WSH服務自動在系統中執行。
適用性說明——任何Windows系統
修復方法——取消WSH：按賽門鐵克公司Symantec或Sophos）提供的方法取消系統中WSH服務，這樣惡意VB指令碼就無法自動執行了。然後執行反病毒軟體並保證病毒定義庫的同步更新，以降低此類安全問題的風險。

========

相關連結

http://blog.csdn.net/miromelo/article/category/749746

http://www.educity.cn/labs/c211.html