入侵实例看视频服务器安全部署策略

视频服务器都会提供大量的视频资源，大部分都提供了在线观看以及下载服务。对于流量要求比较高，而从服务器本身的部署来看，也有一些特别之处。我们从一个入侵实例来看看视频服务器中暴露出的弱点。

   寻找漏洞

   我们找到一个目标。首先用工具扫描了一下，显示没有注入点，用Webtool只扫到了后台，也没发现社区程序，看来从网站下手不太可能了。再来看下系统的安全性怎么样，从IIS写权限扫描器的结果看不存在IIS写入漏洞，用Superscan刺探端口信息，如图1所示，居然开了3389。利用远程终端登录一下得知系统是Windows 2003系统，现在基本可以确定服务器的构架了：Windows 2003 IIS6.0 MSSQL asp。



再用极速MsSQL弱口令扫描器，挂上字典后开始扫描，过了几分钟扫描到了弱口令！，拿下服务器有一丝丝希望了，再拿出MsSQL连接器连接，连接成功。在MsSQL的中CMD中利用dir命令找到了Web目录，执行echo “”>>c:\"program files"\viewgood\webvod\webmedia\test.asp，建了一个一句话木马，断开连接，用一句话客户端连接，成功进入，可以浏览几乎所有文件，但很多目录没有写权限。查看了系统服务和端口，由于安装的东西太少了，没有Serv-u、PCAnywhere、Radmin等，提权又变得有点困难了。



成功入侵

   在c:\Inetpub\下发现了NTpass.dll，这正是Goldsun写的记录系统登录密码的文件。来到这个程序记录信息存放的位置%systemroot%\system32\eulagold.txt（%systemroot%指系统目录，这里就该是c:\windows），用刚才的权限打开，发现里面记录了很多用户的登录密码，其中还有Guest用户，利用3389端口登录，得到桌面权限了。



部署细节  

   这次的入侵看似更多的是运气，可仔细分析一下还是比较有价值的，尤其是对于用户对于服务器的安全部署很有借鉴意义。大体有以下几点：

   1.弱口令的防范

   2.服务器文件的常规检测

   3.对于用户的把控，尤其是视频服务器会提供web形式的会员形式，查看异常会员情况。

   4.必要端口的封锁