1
refresh 2013-06-05 17:13:56 +08:00
再加一台服务器做代理,win2003只能内网访问
|
2
Sunyanzi 2013-06-05 18:41:58 +08:00 5
手上有大几百台 2003 服务器的人看着你 ...
这玩意怎么说呢 ... 非常不安全 ... 但这个不安全并不是来自操作系统本身 ... 一台机器新装好 ... 默认的十二位的字母数字密码 ... 我见过的最快几个小时就被攻陷了 ... 慢一点的一星期之内也准完蛋 ... 被攻陷之后一般会运行端口扫描器 ... 继续去扫更多的机器 ... 滚雪球一般 ... 基本上我对 2003 机器定下的运维规范是这样 ... 机器到手第一件事改 administrator 用户名和密码重启 ... 用户名和密码都用我的一个密码计算工具来算 ... 保证没有两台机器有同样的用户名密码 ... 第二件事改 3389 端口到 6xxxx 端口 ... 第三件事防火墙放行远程端口只到本地的固定 IP ... 开防火墙 ... 这些其实应该在机器连外网之前就做好 ... 但如果机器到手就是有外网远程的 ... 这几件事一定要确保在通外网之后十分钟内搞定 ... 我不知道现在扫描的原理是什么样子 ... 我只知道 3389 对外网开放这事儿特别危险 ... 我会跑一个端口测试工具保证外网没有访问权限 ... 这个事情如果没做好的话严惩 ... 以及严格控制服务器上安装的软件 ... 所有非必要的东西一律不装 ... 如果按我的规范应该连 winrar 都不能装 ... 使用 2003 自带的 zip 解压功能解压 ... 后来部分机器上有装是因为自带的那个 zip 实在是太慢了 ... 这是迫不得已 ... 上传文件到服务器之前要确认文件来源 ... 需要安装的话在机器上再检查一次 MD5 和 SHA1 ... 以及不装杀毒软件以免影响性能 ... 说来之前有个运维在服务器上装了个 360 ... 理由是他们前公司是这么干的 ... 我表示无法理解 ... 至于升级相关的就是能升就升 ... 没办法重启的时候就推迟到能重启的时候升 ... 这个倒不是特别紧急 ... 最后说下 ... 2003 的机器真心不好管 ... 又可能是我不会管 ... 反正我现在看到的是很多在 Linux 下面可以用脚本完成的事情换到 2003 下就只能用人堆 ... 我的这个运维规范会降低一些效率 ... 但至少在这个规范下服务器很少被攻陷 ... 被攻陷也是因为操作失误 ... 之后轻则手杀毒重则备份重装 ... 费时费力伤财惹气 ... |
3
Gawie OP |
4
Sunyanzi 2013-06-05 21:55:44 +08:00
@Gawie 用是当然能用 ... 我现在这些机器不都用的好好的 ..?
基本的措施我上面都说过了 ... 其实能做到这几点也就够了 ... 重中之重是本地最好有个固定 IP ... 固定范围也行 ... 然后防火墙设置远程端口只对这个 IP 开放 ... 这样可以降低 80%+ 的风险 ... 没有固定 IP 的话各种麻烦 ... 我见过有机器端口用户名密码都改了还是被攻陷的 ... 有段日子都逼得我在研究用 TeamViewer 管理服务器的可行性了 ... 以及不要在服务器上运行莫名的软件 ... 如果防火墙没了也是完蛋 ... |
5
lvye 2013-06-05 22:03:11 +08:00 via Android
|
6
cooka 2013-06-05 22:31:07 +08:00
@Sunyanzi
""" 我见过的最快几个小时就被攻陷了 ... 慢一点的一星期之内也准完蛋 ... """ 几个小时和一个星期有区别吗, 就是一个多久被扫描到的问题, 如果没及时打补丁,被现成的工具入侵是很容易的. 但是如果及时打补丁的话, 3389端口放在那里, 我觉得目前而言不会有什么问题, 毕竟, win03还在微软的支持周期内. 至于zip/winrar什么的, 我觉得小心过份了.. |
7
Gawie OP |
8
xi4oh4o 2013-06-05 23:12:59 +08:00 via Android
以前hack的经验来说,网站不安全被上传shell是硬伤,之后可以找数据库连接文件啥的sa提权和软件溢出,内网没用端口映射轻松绕过,设置好iis和系统权限才是正解
|
9
Sunyanzi 2013-06-06 00:04:23 +08:00
@lvye 这里要分是单点打击还是地图炮 ...
一般来说地图炮都是只扫 3389 ... 如果定点打击的话不限 IP 改什么都没用 ... 至于反弹 SHELL ... 首先我孤陋寡闻没听说过反弹 SHELL 可以用在 2003 上 ... 其次如果你通过其他方式获取了 SHELL ... 服务器就已经沦陷了 ... 还管远程桌面做什么 ..? @cooka 我之前的状况是有台机器 3389 外网开放 ... 用户名八位纯英文密码十二位英文数字 ... 补丁打到最新 ... 放在那里没管没几天机房就跟我反应流量异常了 ... 入侵方法不详 ... 觉得是没有用的 ... 欢迎来做实验党 ... 找台 2003 的 VPS 开着 3389 对外网这样 ... |
10
lvye 2013-06-06 00:13:52 +08:00 via Android
@Sunyanzi 他不是说只限制一些ip可以访问服务器,主动访问不行,那就只能服务器访问攻击者了。
nmap扫一下端口很快,因此最好防火墙做一下过滤。 |
11
ETiV 2013-06-06 02:15:16 +08:00 3
用 NodeJS 写了一个 Web 前端的跳板机. 跳板机的 Web 服务没在80端口上.
带简单的用户登录系统, 登录时需用 PhoneGap 写的动态验证码, 验证登录. Windows 除了服务必须端口, 其他一律阻隔公网访问. 3389端口改掉, ipsec给跳板机开放权限. 跳板机买了aliyun, 目的是确保跟Windows机器的IP没任何关系, 以私人名义买, 外面也不知道这机器跟公司有任何关系. 用户登录后, 可以选择登录的服务器, 而后跳板机临时打开一个端口. 生成连接命令字符串. * 如果这个端口在 20 秒内没有连入就自动断开. * 数据通信间隔大于 x 分钟自动断开 (RDP 不是一直有数据通信的, 值设置小了, 没多久就断了). * 当这个连接被使用以后, 拒绝任何新连接的连入. 跳板机, 就是一个简单的TCP Proxy. 加了setTimeout. |
12
manhere 2013-06-06 03:11:23 +08:00
最简单的,买个普通的路由器放在外网和服务器之间,只映射需要的端口到WAN
|
13
winterx 2013-06-06 12:10:18 +08:00
请问一下各位。如果是VPS,有没有更好的管理方法?
win至今唯一不爽的是不支持密钥登陆。。。。。 |
14
Gawie OP |
15
cooka 2013-06-06 16:26:55 +08:00
|
16
moxuanyuan 2013-06-06 17:49:47 +08:00
最近两年帮HK一家出版社做项目,用的是win2000 + IIS 5.0的服务器,够旧吧
|
17
fuxkcsdn 2013-06-06 18:01:07 +08:00
@ETiV
以前想过类似的方案,不过不是用VPS,而是用邮件,服务器上写个专门收取邮件的程序,然后解析固定的E-mail地址的邮件,然后邮件内容用自制的密码进行加密,解析后仅对邮件内容里的IP开放端口 邮件都是通过第三方邮件服务器来发送,比如gmail、outlook这些 不过这方案是基于Linux的,windows的话会比较难 |
18
ETiV 2013-06-06 19:09:04 +08:00
@fuxkcsdn 这个我也做过, 用 DNSPod 做动态域名解析. 拿本地公网IP设置到域名上.
然后远程机器去 DNSPod 解析这个域名的IP. 不 ping 是怕有缓存啥的. Windows上, 我装了个 cygwin 来跑 bash 脚本和 cronjob. 防火墙用 ipseccmd. |
19
Sunyanzi 2013-06-06 20:10:50 +08:00
@Gawie 流量异常是机房通知我 ... 应该是交换机的监控报的 ...
3389 必须可以暴力破解 ... 相关软件一搜一百篇儿 ... 很多 2003 的机器沦陷之后也是在挂 3389 的暴破软件 ... @cooka 当时机器新装好没有启用 ... 纯净的操作系统放在一边 ... 防火墙关闭状态 ... 我去翻了陈旧的报告 ... 当时的图在这里 http://i7.minus.com/jEiqNSXmRoZD9.jpg ... 当然我还是那句话 ... 「觉得」「应该」是没有用的 ... 实践出真知 ... |
20
cooka 2013-06-07 10:06:07 +08:00
@Sunyanzi
如果你说的是暴力爆破的话, 那Linux的ssh也一样的问题了. 你这个更像是新机器装好后, 没有及时打补丁, 或者打补丁不完整的缘故. 我遇到过新安装系统暴露在公网,一个晚上就被"路过"很多人, 但是同IP我放了一个全补丁的windows 虚拟机就没钓到了. |
21
tititake 2013-06-07 10:37:30 +08:00
用nessus扫描一遍看下有没有安全漏洞。
另外3389建议只对允许的IP开放,如果是动态IP的话,利用动态域名、或者脚本来进行定时或者触发更新。 Windows自带防火墙支持命令行 netsh firewall set portopening TCP 3389 "Remote Desktop" ENABLE CUSTOM ip.ip.ip.ip |