个人PC机安全之漏洞

ヤ星空下..

所谓漏洞就是指程序设计方面在安全性上存在缺失，留下了隐患，而网络黑客可以从这些漏洞对远程计算机进行攻击，窃取数据，破坏远程用户电脑等等，危害很大。尤其是机密被窃，损失不可估计，就是个人用户也非常危险，个人帐号密码被入侵后可能会被窃取。
微软产品中的主要七个漏洞如下：
LSASS相关漏洞是本地安全系统服务中的缓冲区溢出漏洞， “震荡波”病毒正是利用此漏洞造成了互联网严重堵塞。

RPC接口相关漏洞首先它会在互联网上发送攻击包，造成企业局域网瘫痪，电脑系统崩溃等情况。 “冲击波”病毒正是利用了此漏洞进行破坏，造成了全球上千万台计算机瘫痪，无数企业受到损失。

IE浏览器漏洞能够使得用户的信息泄露，比如用户在互联网通过网页填写资料，如果黑客利用这个漏洞很容易窃取用户个人隐私。

URL处理漏洞，此漏洞给恶意网页留下了后门，用户在浏览某些图片网站过后，浏览器主页有可能被改或者是造成无法访问注册表等情况。

URL规范漏洞，一些通过即时通讯工具传播的病毒，比如当QQ聊天栏内出现陌生人发的一条链接，如果点击过后很容易中木马病毒。

FTP溢出系列漏洞主要针对企业服务器造成破坏，前段时间很多国内信息安全防范不到位的网站被黑，目前黑客攻击无处不在，企业一定要打好补丁。

GDI+漏洞可以使电子图片成为病毒！用户在点击网页上的图片、小动物、甚至是通过邮件发来的好友图片都有可能感染各种病毒。
那么个人pc机主要面监哪些漏洞的安全问题？
第一是ipc漏洞
IPC$(Internet Process Connection)是共享"命名管道"的资源(大家都是这么说的)，它是为了让进程间通信而开放的命名管道，可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用。Ipc的连接命令是：net use \\IP\ipc$ "" /user:""在现实中很多个人用户并没有安全意识，没装防火墙，并且系统的密码也不很复杂，有的系统安装盘安装后有一个默认的administrator空密码，很多用户并没有注意。这就导至黑客随便扫描一下用户机器的弱口令就建立ipc连接进行上传文件执行和开启telnet等方式直接得到用户的系统权限。如：
C:\>net use \\127.0.0.1\IPC$ "" /user:"admintitrator"  建立连接，空口令。
C:\>copy server.exe \\127.0.0.1\admin$    复制server.exe到127.0.0.1的admin$目录下。
C:\>net time \\127.0.0.1  查看时间
C:\>at \\127.0.0.1 11:05 server.exe  指定时间运行。
这样就传送了一个木马程序到用户机上运行，当然也可以开一个telnet服务登录下去，或是映射用户的磁盘到本机上。但现在这种漏洞存在的并不多了。对于这种漏洞的防范方法很多，我们可以装一个防火墙过虑掉135、139端口，也可以在本机做一个端口限制，还可以停到它的服务：永久关闭ipc$和默认共享依赖的服务:lanmanserver即server服务
控制面板-管理工具-服务-找到server服务（右击）-属性-常规-启动类型-已禁用。
第二是远程溢出漏洞
对个人pc机危害最大的就是rpc的溢出漏洞， Windows的RPCSS服务中用于处理分布式组件对象模型(DCOM)接口的组件中存在三个漏洞，其中两个是缓冲溢出漏洞，一个是拒绝服务漏洞。我们看下它们的原理：
Windows RPC DCOM接口长文件名堆缓冲区溢出漏洞Windows RPC在分布式组件对象模型(DCOM)接口的处理中存在一个缓冲区溢出漏洞。Windows的DCOM实现在处理一个参数的时候没有检查长度。通过提交一个超长（数百字节）的文件名参数可以导致堆溢出，从而使RpcSS 服务崩溃。精心构造提交的数据就可以在系统上以本地系统权限运行代码。成功利用此漏洞攻击者可以在系统中采取任何行为，包括安装程序，
窃取更改或删除数据，或以完全权限创建新帐号。
Windows RPC DCOM接口报文长度域堆缓冲区溢出漏洞Windows RPC DCOM接口对报文的长度域缺乏检查导致发生基于堆的溢出，远程攻击者可以利用这些漏洞以本地系统权限在系统上执行任意指令。漏洞实质上影响的是使用RPC的DCOM接口，此接口处理由客户端机器发送给服务器的DCOM对象激活请求(如UNC路径)。攻击者通过向目标发送畸形RPC DCOM请求来利用这些漏洞。成功利用此漏洞可以以本地系统权限执行任意指令。成功利用此漏洞攻击者可以在系统上执行任意操作
，如安装程序、查看或更改、删除数据或创建系统管理员权限的帐户。
Windows RPC DCOM接口拒绝服务和权限提升漏洞windows RPC DCOM服务存在拒绝服务缺陷，一个远程的攻击者通过发送特定的消息可以导致RPC服务产生拒绝服务攻击，而本地的攻击者可发送畸形的消息到__RemoteGetClassObject界面，可导致一个空的指令被传送到PerformScmStage函数，这会造成拒绝服务攻击，并且攻击者可以劫持epmapper的管道来达到提升权限的目的。
我们了解到了rpc的这三个漏洞，也就知道了它所带来的危害，因于很多用户的安全意识薄弱，黑客很轻松地利用rpc远程溢出进入你的机器。因为rpc服务在安装时是默认启动的，并且这个补丁采用微软的自动更新是没有打上的，我们只有下载专门的rpc补丁才能补上这个漏洞。对于一般的防火墙，黑客通常采用反弹溢出的方式来绕过它，因为它在发出一个溢出包过来时，溢出导向的shellcode直接去接连黑客的机器，黑客在溢出前就已在机器上监听了一个特定的端口，这样就轻松地绕过了防火墙的拦截，所以说这个漏洞是相当严重的。同样我们来看看对这个漏洞的防范：
使用防火墙阻断如下端口：
135/UDP
137/UDP
138/UDP
445/UDP
135/TCP
139/TCP
445/TCP
593/TCP
我做过一个测试，大多数的溢出工具都是通过的”tcp/ip netbios”来作为连接通道的，当我们禁用这个时，溢出通常是失败。禁用方法：右击“网上邻居”-----打开网络连接，右击“本地连接”打开属性对话框，选中internet 协议(tcp/ip)属性，再点击“高击”-----选择wins标签，在下面的单选按钮中选取“禁用tcp/ip上的netbios”即可。再右击我的电脑，选取“管理”----选择“服务和应用程序”-----选择“服务”---在展开的服务中选取“tcp/ip netbios”并右击，在菜单中选择“停止”。使用这种方法，百分之八十的系统远程溢出可以防住。当然我们还要防范一些应用程序的溢出，如1433,serv-u,imail,iis等。对应用程序的溢出一般都是注意应用程序的弱口令问题和版本问题。
为了有效的防范网上的远程溢出攻击，我们应该给我们的系统装上一个好的防火墙，其实国产的瑞星防火墙就不错，曾经测试pcshare的远程连接都可以被它阻断。它不断有效地阻止了外部连接，还对内部向外的连接作了限制，并且还带了系统漏洞扫描功能，我们可以及时的为自己的系统打上补丁。
第三是浏览器漏洞
这个漏洞主要导致你在浏览网站时容易感染网站上黑客挂的网页木马，对于ie浏览器存在很多的安全漏洞，再加上使用的用户最多，因此常常是黑客们生成网页木马的首要目标，对于网页木马我们前面已经讲过，还有它的危害等。所以我们安全的在网上冲浪，应该注意好我们的ie的安全，因为现在网上经常用被黑的网站挂上网马，为了防范这种安全问题，我们得在自己的浏览器上想问题。一般是使用最新的ie，并打好ie相关的补丁。最好的解决办法是不再使用ie浏览器，可以采用firefox或是opera它们都不是基于ie的，针对这些浏览器的网马很少。
第四是弱口令漏洞
这当然包括你的系统弱口令和服务方面的弱口令，比如你机器搭建的iis中的网站都可能导致你机器的安全问题，还有你搭建的mssql弱口令和mysql弱口令等，这些都可能导致你的机器权限被恶意用户拿到，对于这些危害前面已经详谈，最主要的解决方法就是增加
自己的安全意识，加强密码强度。
那么黑客们利用我们的个人pc机想干什么呢？前面我们讲了很多个人机的安全问题，那么黑客到底为什么对我们的个人pc机很感兴趣？其实最主要的是利溢的驱使，如令随着计计算机的普及，随着国内对黑客技术的研究，在网络安全领域形成了很多不良的作用，任何东西都有它的两面性。黑客利用个人机的最主要目的是开代理通过互联星空利用你的ADSL帐号进行充值服务，如充Q币、游戏点卡等，从中获取利润。因为网上的服务越来越便利，本来互联星空的充值服务是为了广大用户的方便，但现在却变成了黑客的乐园，曾经有篇报道是《互联星空服务到底是为谁开？》。
我们知道黑客在我们的机器上种值木马后，可以通过传一个查看ADSL密码的软件（当然是dos下的）来盗取我们的用户名和密码，并通过软件开设一个代理服务，那么他就可以在浏览器上设置一个在你机器上开的代理服务访问互联星空用取得的用户名和密码进行冲值。虽然现在互联星空出台了一个安全加密插件，但却屡屡被黑客破解。黑客通常利用我们的pc搞一些商业活动，因为每个人的个人机都有一个自己的信息，或是商业方面的资料。因此就出现了一个商业黑客，通常受雇于某些大型公司，帮助其盗窃竞争对手的商业秘密或重要资料。
黑客通常利用我们的机器做跳板，在我们的机器上做一个代理跳板，从而进行一个违法活动并达到隐藏自己的目的。黑客通常利用我们的机器来进行拒绝服务攻击，因为拒绝服务攻击需要大批的电脑，个人pc机往往成为黑客组织网络僵尸的组织对象，因为个人机的安全低，通过挂马或是批量溢出或扫描的方式来得快。黑客常常在个人pc机上面种植一个ddos攻击的后门程序，并通过主程序来达到远程发运ddos攻击的目的。还有一种无聊型的黑客，主要通过来抓取个人pc肉机，偷窥个人隐私，有时也在个人pc机里面搜索一些有用的信息。