郭玉龙

（铁道警察学院实验和网络信息中心 河南 450053）

Guo Yulong

0 引言

现在网络攻击的目的已不单纯的为了展示攻击者在计算机及网络方面超人的技术，很多是为了通过攻击目标服务器以获取非法利益，所以攻击的技术与手段越来越隐蔽，发现的难度越来越大，对服务器的安全性要求也越来越高。防火墙安全策略的设置、操作系统的漏洞、WEB应用程序本身设计的缺陷，都可能成为被攻击的目标，并以此为切入点入侵整个系统，进而修改网页内容，安装病毒木马程序，影响被攻击服务器的正常运行，并有可能被黑客当作跳板，对其它计算机进行攻击，影响更多计算机的正常运行，对被入侵单位的声誉造成负面影响。本文主要研究服务器攻击的基本原理与一般过程，并从操作系统本身的层面探讨如何进行网络服务器的安全策略设置，增强服务器的安全性。

1 服务器攻击的基本原理

服务器攻击的总体思路就是寻找系统存在的漏洞，以及人们在使用计算机的过程中容易忽略的安全设置，发现可用于登录系统的途径，进而在已成功登录的服务器上安装后门程序，以方便入侵者进行后续的远程操作与控制。在整个入侵的过程中，最为关键的一步就是寻找登录系统的突破口，成功登录系统后安装后门程序以及在此之后控制整个系统都是非常简单的事情。在成功进入系统之后，入侵者可以在服务器上创建专为其服务的用户账户，安装满足其要求的控制端后门服务程序。用户账户相对比较容易发现，在系统的用户管理界面中即可看到所有的账户，而且一般服务器上系统用户也不会太多，这样非法创建的用户就很容易找到。后门程序就比较难以发现，因为后门程序可以存放在硬盘上成千上万的文件之中，伪装成常用的应有程序进行运行，并且可以只在必要的时间定时启动，平时并不会执行，这样除非有比较完善的日志系统，并详细分析才有可能发现存在的问题。

为了简单快捷的设置而关闭系统防火墙，采用系统默认的用户名，使用简单的密码，安装数据库系统采用默认的端口号，采用默认的数据库登录名以及简单的密码或空密码，为方便服务器的远程管理安装一些远程控制软件时完全采用默认设置等这些习惯性的操作都是极易留下安全隐患的，很可能被入侵者所利用。

2 服务器攻击的一般过程

入侵者攻击服务器的目的通常是利用服务器的资源获得非法利益，服务器的物理位置及网络地址对其来说并不重要，因此攻击者的目标并不明确，只要能为其利用即可，所以一般情况下成功的攻击会经过主机探测、漏洞扫描、后门安装、控制利用四个阶段。

主机探测阶段的主要工作是寻找处于开机状态的服务器，通常的做法是借助于一些扫描工具对一定 IP地址范围内的主机进行探测。探测的方法可采用向目标主机发送ICMP回显请求，与特定的端口建立TCP连接等，因为通常情况下作为WEB服务器的80端口必然处于开放状态，为了远程管理的方便远程桌面端口3389也会处于开放状态。通过探测找到处于开机状态的服务器之后即可进行下一步的漏洞扫描工作。

在漏洞扫描阶段也是借助于一些工具，对探测阶段已经发现的处于开机状态的主机进行各项已知漏洞的扫描。通常首先扫描常用的远程管理软件服务端监听的端口，如3389（远程桌面）、5900（VNC）、4899（Remote Administrator）等，如果这些端口处于开放状态，基本可以断定服务器上已经安装有这些远程管理工具，因为不可能有其它软件刚好和这些软件的默认端口相同，用这些远程管理客户端进行连接即可明确判断是否真正安装了这些远程管理工具。在扫描到已经安装有这些远程管理工具后即进行下一步工作，破解用户名和密码，通常采用暴力破解或者密码字典方法，密码字典的方法更为普遍，因为操作系统、远程管理软件通常都有默认的用户名或者密码，如 windows默认的用户名 administrator、linux默认的用户名root，VNC甚至可以不设置用户名只设置密码，为了安装调试的方便，有时候管理员可能会将密码留空或者设置为简单的1234、abcd，或者将密码设置成与用户名相同，这些弱口令很容易被破解，从而控制整个系统。在破解密码取得系统控制权的过程中，也可以通过数据库管理系统的漏洞来实现，如安装有SQL Server数据库管理系统的服务器会开放1433端口，而数据库的默认用户名是sa，管理员为了配置的方便常常会将密码也设置为sa或者留空，这样入侵者就可以非常容易的连接到主机的数据库管理系统，然后执行一些特殊的系统存储过程创建系统用户名和密码，再借助远程桌面或者其它远程管理工具登陆到服务器上进行各种操作。

在成功扫描到系统漏洞取得系统控制权后安装后门的操作就非常简单了，入侵者可以根据自己的需要在服务器上安装各种远程管理工具，并添加新的操作系统用户名和密码，以便在管理员修改密码后仍能控制整个系统。

当在服务器上安装远程管理工具，取得系统的控制权后，入侵者就可以利用服务器的计算资源与网络资源，获取非法利益，如最常见的在服务器上运行的网页程序中植入广告或者链接，增加特定网站的点击率，进而提高其在搜索引擎上的排名。修改原有的网页内容，盗取注册用户的个人资料信息等。

在攻击服务器的过程中，也有针对特定主机进行的，在这种情况下服务器的IP地址是非常明确的，不需要进行主机的探测，而且也可能不容易探测出来，如屏蔽ICMP数据包。在这种情况下入侵者通常会对该主机的所有端口进行扫描，以发现可利用的漏洞。

3 服务器安全策略配置

主机探测和漏洞扫描是攻击过程中的关键步骤，在服务器的安全策略中应特别注意防范，后门安装和控制利用基本没有什么办法可以防范，可做的是配置日志系统并定期查看，及时发现正在进行的入侵活动并及时处理。

为隐藏主机、防止被探测到可以在操作系统防火墙上屏蔽ICMP回显请求，防止通过发送回显请求的方式对主机进行探测。对于非必需的或者不用的端口也要通过系统防火墙进行关闭，防止通过特定端口的扫描来判断对应IP地址的主机是否在线。有些端口必须要打开，如为了远程管理的方便通常会开启远程桌面功能，需要打开远程桌面对应的服务器端监听端口3389，在这种情况下最好修改远程管理应用程序监听的默认端口，并且不要修改为简单的端口如8888、1234等，修改为较为复杂没有什么规律的端口如23568等等，因为有些软件通过端口来对主机进行扫描，扫描工具也会利用密码字典的原理对一些比较容易被使用的端口进行探测。同时由于修改后的端口通常都没有什么规律，所以即使扫描到该端口处于开放状态，也难以通过端口来猜测该端口上所绑定的应用。修改应用程序默认端口的方法虽然简单，但却能在很大程度上提高系统的安全性。具体修改应用程序端口的方法可以查阅相关应用程序的说明文档，一般都比较容易实现。

服务器通常必须对外开放一些端口，如 WEB应用服务器需要开放80端口，完全避免对服务器的探测是不可能的，在服务器被探测到的情况下加强安全防范策略，尽可能的减少服务器详细配置信息的暴露显得尤为重要。服务器上应该避免安装不必要的应用软件和远程管理工具，有些应用软件相互之间可能存在冲突，同时安装会影响到系统的稳定性，安装的远程管理工具太多，配置的难度将增加，考虑不够全面容易造成漏洞。对于必须安装的远程管理工具，应注意采用必要的安全策略，防止被扫描和猜测到。系统和远程管理用户名尽量不要采用默认设置，密码要设置的足够复杂，并注意设置合适的密码锁定策略，防止暴力破解。设置复杂的用户名和密码在远程管理工具被扫描到的情况下也可有效防止系统入侵。服务器上应注意关闭不必要的调试信息输出，防止通过调试信息探测系统配置信息并进一步找到入侵系统的突破口。如IIS（Interne信息服务）默认情况下向客户端输出详细的错误信息，而为了程序员调试方便，错误信息中通常会包含有敏感的服务器配置信息，如所使用的 IIS版本、采用的数据库类型以及数据库文件名等，这些信息很可能为下一步入侵提供重要参考信息，如通过数据库文件名路径下载数据库文件，猜测服务器上应用程序的目录结构。通过在 IIS的配置中禁用向客户端发送详细的调试信息或者设置自定义的错误信息可有效防止向客户端暴露服务器敏感信息，提高系统的安全性。

发现系统中已经存在的后门或者入侵的有效办法就是通过查看系统或应用程序的日志信息，所以配置并经常查看系统的日志信息非常重要。尤其需要特别关注防火墙的日志信息，发现有可疑的连接及时进行分析，找到建立该连接的应用程序，判断是正常的连接还是被远程控制的连接。对于 WEB服务器应经常查看页面访问日志，查看其中是否有可疑的页面访问，及时发现网站是否被挂马，以及是否有特殊的查询串，找出网站应用程序被注入的漏洞。日志系统是发现正在进行的入侵活动的重要方法，应注意将日志系统配置的完善全面。

4 小结

本文简要分析总结了网络服务器入侵的基本原理以及一般过程，并在此基础上针对入侵的不同阶段总结了具体可行的应对策略，希望对从事计算机网络服务器管理的人员能有一定帮助。由于网络病毒及攻击手段繁多，操作系统和应用程序存在很多已知或未知的漏洞，需要在平时的管理维护过程中不断研究分析各种入侵手段，进而找到防范措施，以保证服务器的安全性。

[1]乔素艳.Web服务器安全策略探讨[J].无线互联科技，2012（3）：72.

[2]丛佩丽.高校网站服务器安全防范策略[J].网络安全技术与应用，2013（2）：37-39+44.

[3]陈正权.物联网时代校园网服务器的安全配置策略研究[J].凯里学院学报，2012（6）：99-102.

[4]魏鹏.校园网络服务器的安全维护浅析[J].中国科技信息，2011（12）：93.

[5]文静，谭政.服务器安全管理探析[J].广西轻工业，2008（11）：66-67.

[6]巫广彦.WIN2003服务器安全加固方案[J].计算机安全，2007（11）：97-98.