Windows系統常見漏洞分析

　　由于windows NT/2000操作系統的普及率和市場占有率比較高，所以很容易使它成為很多黑客攻擊的目標。目前，Windows NT/2000最主要的漏洞有Unicode漏洞、.ida/.idq緩沖區溢出漏洞、Microsoft IIS CGI文件名錯誤解碼漏洞、MSADCS RDS弱點漏洞、FrontPage服務器擴展和.Printer漏洞等等。下面筆者將對這些漏洞的原理、危害程度、檢測和解決辦法分別進行介紹。?
　　

　　一、Unicode漏洞?

　　
　　1．漏洞危害?
　　
　　在Unicode字符解碼時，IIS 4.0/5.0存在一個安全漏洞，導致用戶可以遠程通過iis執行任意命令。當用戶用IIS打開文件時，如果該文件名包含Unicode字符，系統會對其進行解碼。如果用戶提供一些特殊的編碼，將導致IIS錯誤地打開或者執行某些Web根目錄以外的文件。未經授權的用戶可能會利用IUSR_machinename賬號的上下文空間訪問任何已知的文件。該賬號在默認情況下屬于Everyone和Users組的成員，因此任何與Web根目錄在同一邏輯驅動器上的能被這些用戶組訪問的文件都可能被刪除、修改或執行。通過此漏洞，您可查看文件內容、建立文件夾、刪除文件、拷貝文件且改名、顯示目標主機當前的環境變量、把某個文件夾內的全部文件一次性拷貝到另外的文件夾去、把某個文件夾移動到指定的目錄和顯示某一路徑下相同文件類型的文件內容等等。?
　　
　　2．漏洞成因?
　　
　　Unicode漏洞的成因可大致歸結為: 從中文windows IIS 4.0+SP6開始，還影響中文Windows 2000+IIS 5.0、中文Windows 2000+IIS5.0+SP1。臺灣繁體中文也同樣存在這樣的漏洞。它們利用擴展Unicode字符（如利用“../”取代“/”和“＼”）進行目錄遍歷漏洞。據了解，在Windows NT中編碼為%c1%9c，在Windows 2000英文版中編碼為%c0%af。?
　　
　　3．漏洞檢測?
　　
　　首先，對網絡內IP地址為*.*.*.*的windows NT/2000主機，您可以在IE地址欄輸// *.*.*.*/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir(其中%c1%1c為Windows 2000漏洞編碼，在不同的操作系統中，您可使用不同的漏洞編碼)，如漏洞存在，您還可以將Dir換成Set和Mkdir等命令。?
　　
　　其次，您要檢測網絡中某IP段的Unicode漏洞情況，可使用有如Red.exe、SuperScan、RangeScan掃描器、Unicode掃描程序Uni2.pl及流光Fluxay4.7和SSS等掃描軟件來檢測。?
　　
　　4．解決方法?
　　
　　若網絡內存在Unicode漏洞，可采取如下方法進行補救：?
　　
　　（1）限制網絡用戶訪問和調用CMD命令的權限；?
　　
　　（2）若沒必要使用SCRIPTS和MSADC目錄，刪除或改名；?
　　
　　（3）安裝windows NT系統時不要使用默認WINNT路徑，您可以改為其他的文件夾，如C:\mywindowsnt；?
　　
　　(4)用戶可從如下地址下載Microsoft提供的補丁：t.asp為IIS 4.0的補丁地址，.asp為IIS 5.0補丁地址。?
　　

　　二、.ida/.idq緩沖區溢出漏洞?

　　
　　1．漏洞危害及成因?
　　
　　作為安裝IIS過程的一部分，系統還會安裝幾個ISAPI擴展.dlls，其中idq.dll是Index Server的一個組件，對管理員腳本和Internet數據查詢提供支持。但是，idq.dll在一段處理URL輸入的代碼中存在一個未經檢查的緩沖區，攻擊者利用此漏洞能導致受影響服務器產生緩沖區溢出，從而執行自己提供的代碼。更為嚴重的是，idq.dll是以System身份運行的，攻擊者可以利用此漏洞取得系統管理員權限。?
　　
　　2．解決方法?
　　
　　用戶可以分別到?ReleaseID=30833和?ReleaseID=30800處下載補丁，或刪除對.idq和.ida的腳本映射。如果其他系統組件被增刪，有可能導致該映射被重新自動安裝。?
　　
　　注意：安裝Index Server或Index Services而沒有安裝IIS的系統無此漏洞；另外，即使Index Server/Indexing Service沒有開啟，但是只要對.idq或.ida文件的腳本映射存在，攻擊者也能利用此漏洞。受影響平臺有windows NT 4.0、Windows 2000、Windows XP beta; 受影響的版本有Microsoft Index Server 2.0、Indexing Service in windows 2000。?
　　

　　三、Microsoft IIS CGI 文件名錯誤解碼漏洞?

　　
　　1．漏洞危害及成因?
　　
　　IIS在加載可執行CGI程序時，會進行兩次解碼。第一次解碼是對CGI文件名進行Http解碼，然后判斷此文件名是否為可執行文件，如檢查后綴名是否為“.exe”或”等。在文件名檢查通過之后，IIS會進行第二次解碼。正常情況下，應該只對該CGI的參數進行解碼，然而，當漏洞被攻擊后，IIS會錯誤地將已經解過碼的CGI文件名和CGI參數一起進行解碼。這樣，CGI文件名就被錯誤地解碼兩次。通過精心構造CGI文件名，攻擊者可以繞過IIS對文件名所做的安全檢查。在某些條件下，攻擊者可以執行任意系統命令。?
　　
　　2．漏洞檢測?
　　
　　該漏洞對IIS 4.0/5.0（SP6/SP6a沒有安裝）遠程本地均適用，您可通過前文所述的SSS軟件進行測試。?
　　
　　3．解決方法?
　　
　　如果您的主機有此漏洞，可在?ReleaseID=29787處下載補丁。?
　　

　　四、MSADCS RDS弱點漏洞?

　　
　　1．漏洞危害?
　　
　　雖然MSADCS RDS弱點漏洞對許多黑客來說已經有點兒過時，不過，對于網絡上一些粗心大意的網管來說，還是有為數眾多的機器并沒有針對這個漏洞進行防堵。?
　　
　　該漏洞可以導致攻擊者遠程執行用戶系統的命令，并以設備用戶的身份運行。?
　　
　　2．漏洞成因?
　　
　　此漏洞是因windows NT 4.0 Option Pack中的組件MDAC（即Microsoft Data Access Components）引起的，它包含了一項RDS（Remote Data Service）的功能。RDS是Microsoft提供給使用者遠程訪問數據庫的服務，它能夠讓使用者透過ODBC遠程存取/查詢服務器數據庫中的數據信息，而在IIS服務器中，還能夠讓使用者通過一個位于/msadc虛擬目錄內名為msadcs.dll的文件提供RDS服務，以便與遠程使用者溝通。?
　　
　　3．漏洞檢測?
　　
　　用戶可使用Shadow Security Scanner 5.35（本文簡稱SSS）、流光Fluxay 4.7、Nmap以及SuperScan或MSADC2.PL（Perl程序，執行需要ActivePerl環境，您可去雨林小狗網站下載，網址為）來進行測試，也可以通過以下辦法測試本機是否存在這個漏洞。?
　　
　　c:\>nc -nw -w 2 <目標機> 80?
　　
　　GET /msadc/msadcs.dll HTTP?
　　
　　4．解決方法?
　　
　　其實，Microsoft對關于Msadc的問題發了3次以上的補丁，但仍然存在問題。?
　　
　　筆者認為最好的辦法是：通過移除或刪除系統內/msadc目錄，同時移除c:\Program Files\Common Files\System\Msadc\msadcs.dll，或安裝MDAC 2.1 SP2補丁（下載網址為），并注意及時上網更新。?
　　

　　五、FrontPage 服務器擴展漏洞?

　　
　　1．漏洞危害?
　　
　　該漏洞對網站構成嚴重威脅，可以讓入侵者輕易地獲得整個網站的信息。?
　　
　　2．漏洞成因?
　　
　　對于安裝Frontpage服務器的網站，通常會在Web目錄（缺省）下有若干個以字母“_vti”開頭的目錄，正是這些目錄隱藏了潛在的攻擊性。當用戶在任何常用的搜索引擎上搜索默認的Frontpage目錄時，會得到大量從引擎上返回的信息，這時，給入侵者一可乘之機，使他們得以對服務器進行簡單而又反復的攻擊。?
　　
　　對攻擊者來說，此漏洞可使他們獲得被攻擊方的Frontpage口令文件、通過Frontpage擴展名執行任意二進制文件，以及通過用_vti_cnf替換l，即入侵者能看到該目錄下的所有文件，并有可能獲得訪問權限等。?
　　
　　3．解決方法?
　　
　　如對目錄定義許可、移去某些目錄、設置用戶密碼或不安裝Frontpage擴展服務器等。
　　

　　六、.Printer漏洞?

　　
　　1．漏洞危害及成因?
　　
　　此漏洞只存在于運行IIS 5.0的windows 2000服務器中。由于IIS 5的打印ISAPI擴展接口建立了.printer擴展名到Msw3prt.dll的映射關系（缺省情況下該映射也存在），當遠程用戶提交對.printer的URL請求時，IIS 5.0會調用Msw3prt.dll解釋該請求，加之Msw3prt.dll缺乏足夠的緩沖區邊界檢查，遠程用戶可以提交一個精心構造的針對.printer的URL請求，其“Host:”域包含大約420B的數據，此時在Msw3prt.dll中發生典型的緩沖區溢出，潛在地允許執行任意代碼。在溢出發生后，Web服務會停止用戶響應，而windows 2000將接著自動重啟它，進而使得系統管理員很難檢查到已發生的攻擊。?
　　
　　2．漏洞檢測?
　　
　　針對.Printer漏洞的檢測軟件很多，如easyscan（）、x-scaner()和SSS等。?
　　
　　3．解決方法?
　　
　　可通過安裝Microsoft漏洞補丁來解決此影響系統的安全問題。?


========

Windows 常見端口漏洞分析

99端口
99端口是用于一個名為“Metagram Relay”（亞對策延時）的服務，該服務比較少見，一般是用不到的。
　　端口漏洞：雖然“Metagram Relay”服務不常用，可是Hidden Port、NCx99等木馬程序會利用該端口，比如在Windows 2000中，NCx99可以把cmd．exe程序綁定到99端口，這樣用Telnet就可以連接到服務器，隨意添加用戶、更改權限。


　　操作建議：建議關閉該端口。


-------------------------------------
　　109、110端口
109端口是為POP2（Post Office Protocol Version 2，郵局協議2）服務開放的，110端口是為POP3（郵件協議3）服務開放的，POP2、POP3都是主要用于接收郵件的。


端口說明：109端口是為POP2（Post Office Protocol Version 2，郵局協議2）服務開放的，110端口是為POP3（郵件協議3）服務開放的，POP2、POP3都是主要用于接收郵件的，目前POP3使用的比較多，許多服務器都同時支持POP2和POP3。客戶端可以使用POP3協議來訪問服務端的郵件服務，如今ISP的絕大多數郵件服務器都是使用該協議。在使用電子郵件客戶端程序的時候，會要求輸入POP3服務器地址，默認情況下使用的就是110端口。


　　端口漏洞：POP2、POP3在提供郵件接收服務的同時，也出現了不少的漏洞。單單POP3服務在用戶名和密碼交換緩沖區溢出的漏洞就不少于20個，比如WebEasyMail POP3 Server合法用戶名信息泄露漏洞，通過該漏洞遠程攻擊者可以驗證用戶賬戶的存在。另外，110端口也被ProMail trojan等木馬程序所利用，通過110端口可以竊取POP賬號用戶名和密碼。


　　操作建議：如果是執行郵件服務器，可以打開該端口。


-------------------------------------------
　　111端口
111端口是SUN公司的RPC（Remote Procedure Call，遠程過程調用）服務所開放的端口，主要用于分布式系統中不同計算機的內部進程通信，RPC在多種網絡服務中都是很重要的組件。
端口漏洞：SUN RPC有一個比較大漏洞，就是在多個RPC服務時xdr＿array函數存在遠程緩沖溢出漏洞，通過該漏洞允許攻擊者傳遞超




　　113端口
113端口主要用于Windows的“Authentication Service”（驗證服務）。
端口說明：113端口主要用于Windows的“Authentication Service”（驗證服務），一般與網絡連接的計算機都運行該服務，主要用于驗證TCP連接的用戶，通過該服務可以獲得連接計算機的信息。在Windows 2000/2003 Server中，還有專門的IAS組件，通過該組件可以方便遠程訪問中進行身份驗證以及策略管理。


　　端口漏洞：113端口雖然可以方便身份驗證，但是也常常被作為FTP、POP、SMTP、IMAP以及IRC等網絡服務的記錄器，這樣會被相應的木馬程序所利用，比如基于IRC聊天室控制的木馬。另外，113端口還是Invisible Identd Deamon、Kazimas等木馬默認開放的端口。




　　119端口
119端口是為“Network News Transfer Protocol”（網絡新聞組傳輸協議，簡稱NNTP）開放的。
端口說明：119端口是為“Network News Transfer Protocol”（網絡新聞組傳輸協議，簡稱NNTP）開放的，主要用于新聞組的傳輸，當查找USENET服務器的時候會使用該端口。


　　端口漏洞：著名的Happy99蠕蟲病毒默認開放的就是119端口，如果中了該病毒會不斷發送電子郵件進行傳播，并造成網絡的堵塞。


　　操作建議：如果是經常使用USENET新聞組，就要注意不定期關閉該端口。




　　135端口
135端口主要用于使用RPC（Remote Procedure Call，遠程過程調用）協議并提供DCOM（分布式組件對象模型）服務。
端口說明：135端口主要用于使用RPC（Remote Procedure Call，遠程過程調用）協議并提供DCOM（分布式組件對象模型）服務，通過RPC可以保證在一臺計算機上運行的程序可以順利地執行遠程計算機上的代碼；使用DCOM可以通過網絡直接進行通信，能夠跨包括HTTP協議在內的多種網絡傳輸。


　　端口漏洞：相信去年很多Windows 2000和Windows XP用戶都中了“沖擊波”病毒，該病毒就是利用RPC漏洞來攻擊計算機的。RPC本身在處理通過TCP/IP的消息交換部分有一個漏洞，該漏洞是由于錯誤地處理格式不正確的消息造成的。該漏洞會影響到RPC與DCOM之間的一個接口，該接口偵聽的端口就是135。


　　操作建議：為了避免“沖擊波”病毒的攻擊，建議關閉該端口。




　　137端口
137端口主要用于“NetBIOS Name Service”（NetBIOS名稱服務）。
端口說明：137端口主要用于“NetBIOS Name Service”（NetBIOS名稱服務），屬于UDP端口，使用者只需要向局域網或互聯網上的某臺計算機的137端口發送一個請求，就可以獲取該計算機的名稱、注冊用戶名，以及是否安裝主域控制器、IIS是否正在運行等信息。


　　端口漏洞：因為是UDP端口，對于攻擊者來說，通過發送請求很容易就獲取目標計算機的相關信息，有些信息是直接可以被利用，并分析漏洞的，比如IIS服務。另外，通過捕獲正在利用137端口進行通信的信息包，還可能得到目標計算機的啟動和關閉的時間，這樣就可以利用專門的工具來攻擊。


　　操作建議：建議關閉該端口。


　　139端口
139端口是為“NetBIOS Session Service”提供的，主要用于提供Windows文件和打印機共享以及Unix中的Samba服務。
端口說明：139端口是為“NetBIOS Session Service”提供的，主要用于提供Windows文件和打印機共享以及Unix中的Samba服務。在Windows中要在局域網中進行文件的共享，必須使用該服務。比如在Windows 98中，可以打開“控制面板”，雙擊“網絡”圖標，在“配置”選項卡中單擊“文件及打印共享”按鈕選中相應的設置就可以安裝啟用該服務；在Windows 2000/XP中，可以打開“控制面板”，雙擊“網絡連接”圖標，打開本地連接屬性；接著，在屬性窗口的“常規”選項卡中選擇“Internet協議（TCP/IP）”，單擊“屬性”按鈕；然后在打開的窗口中，單擊“高級”按鈕；在“高級TCP/IP設置”窗口中選擇“WINS”選項卡，在“NetBIOS設置”區域中啟用TCP/IP上的NetBIOS。


　　端口漏洞：開啟139端口雖然可以提供共享服務，但是常常被攻擊者所利用進行攻擊，比如使用流光、SuperScan等端口掃描工具，可以掃描目標計算機的139端口，如果發現有漏洞，可以試圖獲取用戶名和密碼，這是非常危險的。


　　操作建議：如果不需要提供文件和打印機共享，建議關閉該端口。


　　143端口
143端口主要是用于“Internet Message Access Protocol”v2（Internet消息訪問協議，簡稱IMAP）。
端口說明：143端口主要是用于“Internet Message Access Protocol”v2（Internet消息訪問協議，簡稱IMAP），和POP3一樣，是用于電子郵件的接收的協議。通過IMAP協議我們可以在不接收郵件的情況下，知道信件的內容，方便管理服務器中的電子郵件。不過，相對于POP3協議要負責一些。如今，大部分主流的電子郵件客戶端軟件都支持該協議。


　　端口漏洞：同POP3協議的110端口一樣，IMAP使用的143端口也存在緩沖區溢出漏洞，通過該漏洞可以獲取用戶名和密碼。另外，還有一種名為“admv0rm”的Linux蠕蟲病毒會利用該端口進行繁殖。


　　操作建議：如果不是使用IMAP服務器操作，應該將該端口關閉。


　　161端口
161端口是用于“Simple Network Management Protocol”（簡單網絡管理協議，簡稱SNMP）。


　　端口說明：161端口是用于“Simple Network Management Protocol”（簡單網絡管理協議，簡稱SNMP），該協議主要用于管理TCP/IP網絡中的網絡協議，在Windows中通過SNMP服務可以提供關于TCP/IP網絡上主機以及各種網絡設備的狀態信息。目前，幾乎所有的網絡設備廠商都實現對SNMP的支持。


　　在Windows 2000/XP中要安裝SNMP服務，我們首先可以打開“Windows組件向導”，在“組件”中選擇“管理和監視工具”，單擊“詳細信息”按鈕就可以看到“簡單網絡管理協議（SNMP）”，選中該組件；然后，單擊“下一步”就可以進行安裝。


　　端口漏洞：因為通過SNMP可以獲得網絡中各種設備的狀態信息，還能用于對網絡設備的控制，所以黑客可以通過SNMP漏洞來完全控制網絡。


　　操作建議：建議關閉該端口。


　　443端口
43端口即網頁瀏覽端口，主要是用于HTTPS服務，是提供加密和通過安全端口傳輸的另一種HTTP。
端口說明：443端口即網頁瀏覽端口，主要是用于HTTPS服務，是提供加密和通過安全端口傳輸的另一種HTTP。在一些對安全性要求較高的網站，比如銀行、證券、購物等，都采用HTTPS服務，這樣在這些網站上的交換信息其他人都無法看到，保證了交易的安全性。網頁的地址以https://開始，而不是常見的http://。


　　端口漏洞：HTTPS服務一般是通過SSL（安全套接字層）來保證安全性的，但是SSL漏洞可能會受到黑客的攻擊，比如可以黑掉在線銀行系統，盜取信用卡賬號等。


　　操作建議：建議開啟該端口，用于安全性網頁的訪問。另外，為了防止黑客的攻擊，應該及時安裝微軟針對SSL漏洞發布的最新安全補丁。


　　554端口
554端口默認情況下用于“Real Time Streaming Protocol”（實時流協議，簡稱RTSP）。
端口說明：554端口默認情況下用于“Real Time Streaming Protocol”（實時流協議，簡稱RTSP），該協議是由RealNetworks和Netscape共同提出的，通過RTSP協議可以借助于Internet將流媒體文件傳送到RealPlayer中播放，并能有效地、最大限度地利用有限的網絡帶寬，傳輸的流媒體文件一般是Real服務器發布的，包括有.rm、.ram。如今，很多的下載軟件都支持RTSP協議，比如FlashGet、影音傳送帶等等。


　　端口漏洞：目前，RTSP協議所發現的漏洞主要就是RealNetworks早期發布的Helix Universal Server存在緩沖區溢出漏洞，相對來說，使用的554端口是安全的。


　　操作建議：為了能欣賞并下載到RTSP協議的流媒體文件，建議開啟554端口。


　　1024端口
1024端口一般不固定分配給某個服務，在英文中的解釋是“Reserved”（保留）。
端口說明：1024端口一般不固定分配給某個服務，在英文中的解釋是“Reserved”（保留）。之前，我們曾經提到過動態端口的范圍是從1024～65535，而1024正是動態端口的開始。該端口一般分配給第一個向系統發出申請的服務，在關閉服務的時候，就會釋放1024端口，等待其他服務的調用。


　　端口漏洞：著名的YAI木馬病毒默認使用的就是1024端口，通過該木馬可以遠程控制目標計算機，獲取計算機的屏幕圖像、記錄鍵盤事件、獲取密碼等，后果是比較嚴重的。


　　操作建議：一般的殺毒軟件都可以方便地進行YAI病毒的查殺，所以在確認無YAI病毒的情況下建議開啟該端口。


　　1080端口
1080端口是Socks代理服務使用的端口，大家平時上網使用的WWW服務使用的是HTTP協議的代理服務。
端口說明：1080端口是Socks代理服務使用的端口，大家平時上網使用的WWW服務使用的是HTTP協議的代理服務。而Socks代理服務不同于HTTP代理服務，它是以通道方式穿越防火墻，可以讓防火墻后面的用戶通過一個IP地址訪問Internet。Socks代理服務經常被使用在局域網中，比如限制了QQ，那么就可以打開QQ參數設置窗口，選擇“網絡設置”，在其中設置Socks代理服務。另外，還可以通過安裝Socks代理軟件來使用QQ，比如Socks2HTTP、SocksCap32等。


　　端口漏洞：著名的代理服務器軟件WinGate默認的端口就是1080，通過該端口來實現局域網內計算機的共享上網。不過，如Worm.Bugbear.B（怪物II）、Worm.Novarg.B（SCO炸彈變種B）等蠕蟲病毒也會在本地系統監聽1080端口，給計算機的安全帶來不利。


　　操作建議：除了經常使用WinGate來共享上網外，那么其他的建議關閉該端口。


　　1755端口
1755端口默認情況下用于“Microsoft Media Server”（微軟媒體服務器，簡稱MMS）。
端口說明：1755端口默認情況下用于“Microsoft Media Server”（微軟媒體服務器，簡稱MMS），該協議是由微軟發布的流媒體協議，通過MMS協議可以在Internet上實現Windows Media服務器中流媒體文件的傳送與播放。這些文件包括.asf、.wmv等，可以使用Windows Media Player等媒體播放軟件來實時播放。其中，具體來講，1755端口又可以分為TCP和UDP的MMS協議，分別是MMST和MMSU，一般采用TCP的MMS協議，即MMST。目前，流媒體和普通下載軟件大部分都支持MMS協議。


　　端口漏洞：目前從微軟官方和用戶使用MMS協議傳輸、播放流媒體文件來看，并沒有什么特別明顯的漏洞，主要一個就是MMS協議與防火墻和NAT（網絡地址轉換）之間存在的兼容性問題。


　　操作建議：為了能實時播放、下載到MMS協議的流媒體文件，建議開啟該端口。


　　4000端口
4000端口是用于大家經常使用的QQ聊天工具的，再細說就是為QQ客戶端開放的端口，QQ服務端使用的端口是8000。
端口說明：4000端口是用于大家經常使用的QQ聊天工具的，再細說就是為QQ客戶端開放的端口，QQ服務端使用的端口是8000。通過4000端口，QQ客戶端程序可以向QQ服務器發送信息，實現身份驗證、消息轉發等，QQ用戶之間發送的消息默認情況下都是通過該端口傳輸的。4000和8000端口都不屬于TCP協議，而是屬于UDP協議。


　　端口漏洞：因為4000端口屬于UDP端口，雖然可以直接傳送消息，但是也存在著各種漏洞，比如Worm_Witty.A（維迪）蠕蟲病毒就是利用4000端口向隨機IP發送病毒，并且偽裝成ICQ數據包，造成的后果就是向硬盤中寫入隨機數據。另外，Trojan.SkyDance特洛伊木馬病毒也是利用該端口的。


　　操作建議：為了用QQ聊天，4000大門敞開也無妨。


　　5554端口
在今年4月30日就報道出現了一種針對微軟lsass服務的新蠕蟲病毒——震蕩波（Worm.Sasser），該病毒可以利用TCP 5554端口開啟一個FTP服務，主要被用于病毒的傳播。
端口說明：在今年4月30日就報道出現了一種針對微軟lsass服務的新蠕蟲病毒——震蕩波（Worm.Sasser），該病毒可以利用TCP 5554端口開啟一個FTP服務，主要被用于病毒的傳播。


　　端口漏洞：在感染“震蕩波”病毒后會通過5554端口向其他感染的計算機傳送蠕蟲病毒，并嘗試連接TCP 445端口并發送攻擊，中毒的計算機會出現系統反復重啟、運行緩慢、無法正常上網等現象，甚至會被黑客利用奪取系統的控制權限。


　　操作建議：為了防止感染“震蕩波”病毒，建議關閉5554端口。


　　5632端口
5632端口是被大家所熟悉的遠程控制軟件pcAnywhere所開啟的端口。
端口說明：5632端口是被大家所熟悉的遠程控制軟件pcAnywhere所開啟的端口，分TCP和UDP兩種，通過該端口可以實現在本地計算機上控制遠程計算機，查看遠程計算機屏幕，進行文件傳輸，實現文件同步傳輸。在安裝了pcAnwhere被控端計算機啟動后，pcAnywhere主控端程序會自動掃描該端口。


　　端口漏洞：通過5632端口主控端計算機可以控制遠程計算機，進行各種操作，可能會被不法分子所利用盜取賬號，盜取重要數據，進行各種破壞。


　　操作建議：為了避免通過5632端口進行掃描并遠程控制計算機，建議關閉該端口。


　　8080端口
8080端口同80端口，是被用于WWW代理服務的，可以實現網頁瀏覽。
端口說明：8080端口同80端口，是被用于WWW代理服務的，可以實現網頁瀏覽，經常在訪問某個網站或使用代理服務器的時候，會加上“:8080”端口號，比如http://www.cce.com.cn:8080。


　　端口漏洞：8080端口可以被各種病毒程序所利用，比如Brown Orifice（BrO）特洛伊木馬病毒可以利用8080端口完全遙控被感染的計算機。另外，RemoConChubo，RingZero木馬也可以利用該端口進行攻擊。


　　操作建議：一般我們是使用80端口進行網頁瀏覽的，為了避免病毒的攻擊，我們可以關閉該端口。
========

?微軟Windows系統最危險的10個漏洞?

來自SANS/FBI聯合發表了以往找出的微軟Windows系統最危險的10個漏洞：
W1 IIS（互聯網信息服務器）
W2 微軟數據訪問部件（MDAC）－遠程數據服務
W3 微軟SQL Server
W4 NETBIOS－不受保護的Windows網絡共享
W5 匿名登入 -- Null Sessions（空會話，注二）
W6 LAN Manager 身份認證 －易被攻擊的LAN Manager口令散列（注三）
W7 一般Windows身份認證－帳戶密碼太脆弱或干脆為空
W8 IE瀏覽器漏洞
W9 遠程注冊表訪問
W10 WSH（Windows腳本主機服務）

（1） IIS服務器

微軟的IIS服務器存在緩存溢出漏洞，它難以合適地過濾客戶端請求，執行應用腳本的能力較差。部分問題可以通過已發布的補丁解決，但每次IIS的新版本發布都帶來新的漏洞，因此IIS出現安全漏洞并不能完全歸罪于網管的疏漏。建議管理人員運行HFNetChk來檢查目前可更新的補丁。?


適用性說明——Windows NT 4運行 IIS 4， Windows 2000 運行IIS 5，Windows XP Pro運行 IIS 5.1 。
修復方法——安裝補丁文件。為你的系統安裝最新的IIS補丁，并在IIS中排除惡意用戶的訪問IP地址（相關解釋見：http://www.microsoft.com/technet/security/tools/urlscan.asp）。刪除IIS中缺省支持的ISAPI擴展名，諸如：.htr、.idq、.ism以及.printer，這些可執行腳本的擴展名在IIS安裝時缺省支持，但用戶很少會需要它們。刪除\inetput\wwwroot\scripts目錄中的腳本樣本文件。同樣，在進行IIS安裝時不要安裝遠程管理工具。

（2）MDAC

微軟數據訪問部件的遠程數據服務單元有一個編碼錯誤，遠程訪問用戶有可能通過這一漏洞獲得遠程管理的權限，并有可能使數據庫遭到外部匿名攻擊。
適用性說明——NT 4.0系統運行IIS 3.0和4.0，RDS 1.5或是 VS 6.0。
修復方法——升級MDAC到2.1或更新的版本，或者基于以下發布的方法進行系統配置：
Q184375
MS98-004
MS99-025
從上述公告發布的時間可以看出，這些漏洞是所謂的well-know (著名的) 漏洞。實際上上述漏洞常被用來攻擊Windows網絡 ，尤其是那些較早的系統。

（3）微軟SQL數據庫

Internet Storm Center始終在警告用戶微軟SQL數據庫的1433端口是攻擊者必定掃描的十大現存漏洞端口之一。
適用性說明——SQL服務器7.0，SQL服務器2000以及SQL桌面安裝版本。
修復方法——根據各自的系統安裝下面的其中一個補丁：
SQL Server 7.0 服務包 4
SQL Server 2000 服務包 2

（4）NETBIOS/Windows網絡共享

由于使用了服務器信息塊(SMB)?
協議或通用互聯網文件系統(CIFS)，將使遠程用戶可以訪問本地文件，但也向攻擊者開放了系統。
適用性說明——所有的windows系統。
風險——肆虐一時的Sircam和Nimda蠕蟲病毒都利用這一漏洞進行攻擊和傳播，因此用戶對此絕對不能掉以輕心。
修復方法——限制文件的訪問共享，并指定特定IP的訪問限制以避免域名指向欺騙。關閉不必要的文件服務，取消這一特性并關閉相應端口。?
注一：SANS（System Administration， Networking， and?
Security-系統管理、網絡和安全學會）SANS和FBI已經陸續聯合發表多個網絡安全危險名單，這似乎已經成了一個慣例。
注二：Null?
Session被認為是WIN2K自帶的一個后門。當建立一個空會話之后，對于一臺配置不到位的WIN2K服務器來說，那么將能夠得到非常多的信息，比如枚舉帳號等等。
注三：微軟在Windows NT 和 2000系統里缺省安裝了LAN Manager口令散列。由于LAN?
Manager使用的加密機制比微軟現在的方法脆弱，LAN Manager的口令能在很短的時間內被破解。

（5）匿名登錄

Window操作系統的帳戶服務至關重要，但一旦用戶通過匿名登錄進程(空對話)后就可以匿名訪問其它系統中的文件。不幸的是，這意味著攻擊者也可以匿名進入系統。
適用性說明——Windows NT， 2000以及XP系統
修復方法——用戶唯一可以補救的就是修改注冊表限制這一潛在的威脅。

（6）LAN Manager身份認證(易被攻擊的LAN Manager口令散列)

盡管Windows的大多數用戶不再需要LAN?
Manager的支持，微軟還是在Windows NT 和 2000系統里缺省安裝了LAN Manager口令散列。由于LAN?
Manager使用的早期加密機制比微軟現在的方法脆弱，即使相當強健的LAN Manager的口令也能在很短的時間內被破解。
適用性說明——所有的Windows操作系統: 缺省安裝的Windows NT，Windows 2000，Windows XP都存在這一漏洞。
修復方法——只要用戶用不到它，就盡快取消LM認證支持。

（7）Window 密碼

脆弱的密碼是管理人員的心腹大患。盡管各種系統設置都要求用戶使用足夠強壯的密碼并進行定期更換，但用戶往往抱怨系統管理員做出的各種限制，這就引發了訪問控制的脆弱性。既然這一漏洞名列第七大系統漏洞，系統管理員就可以理直氣壯地要求用戶遵守足夠強壯的密碼策略。
適用性說明——所有使用密碼保護的系統和應用軟件。
修復方法——略。

（8）IE瀏覽器

對于IE瀏覽器的用戶有以下幾個方面的威脅
ActiveX控件
腳本漏洞
MIME 類型和內容的誤用
緩存區溢出
風險——Cookies 和其它本地文件有可能被利用來威脅系統安全，惡意代碼有可能趁虛而入安裝并運行，甚至惡意代碼可以執行刪除和格式化硬盤的命令。
修復方法——升級并安裝補丁文件。微軟不再支持版本早于5.01的IE瀏覽器，因此用戶必須升級到5.01或更高版本。完成瀏覽器升級到IE5.01或5.5后，安裝IE?
5.01服務包2或IE 5.5服務包2 。然后安裝安全補丁的最新累積版本Q32375。

（9）注冊表訪問

在任何Windows系統中，注冊表都是最重要的文件，而允許遠程訪問注冊表將帶來很大危害。
適用性說明——所有的Windows版本：在NT Resource Kit（資源套件）中有一個軟件 regdump.exe?
，可以用來測試系統是否開放了遠程注冊表訪問權限。
修復方法——限制訪問：這并非是軟件的bug，而是Windows系統所具備的一個特性，因此用戶必須通過限制訪問權限來避免潛在的威脅。
微軟知識庫的文章Q153183說明了如何限制遠程訪問NT系統注冊表，而SANS/FBI報告中也提到了幾種方法來限制授權和非授權的遠程注冊表訪問。

（10）WSH?

（Windows腳本主機服務）：用VB來編輯宏非常方便，但類似愛蟲和其它VB腳本蠕蟲病毒卻可以給用戶系統帶來難以預見的災難，用戶無意間下載的該類惡意腳本文件，很可能通過WSH服務自動在系統中執行。
適用性說明——任何Windows系統
修復方法——取消WSH：按賽門鐵克公司Symantec或Sophos）提供的方法取消系統中WSH服務，這樣惡意VB腳本就無法自動執行了。然后運行反病毒軟件并保證病毒定義庫的同步更新，以降低此類安全問題的風險。

========

相關鏈接

http://blog.csdn.net/miromelo/article/category/749746

http://www.educity.cn/labs/c211.html

總結

以上是生活随笔為你收集整理的Windows系统漏洞学习总结的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。