V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Gawie
V2EX  ›  服务器

话说现在WIN2003服务器安全么?

  •  
  •   Gawie · 2013-06-05 12:03:23 +08:00 · 3780 次点击
    这是一个创建于 4223 天前的主题,其中的信息可能已经有所发展或是发生改变。
    公司一个平台软件比较老,暂时只能用这个解决,
    不过win2003现在开系统默认防火墙,80,3389等常规端口,
    系统正常升级,无其他措施,这样安全上面有那些隐患?

    如果可以的话,应该进行那些安全方面的措施
    21 条回复    1970-01-01 08:00:00 +08:00
    refresh
        1
    refresh  
       2013-06-05 17:13:56 +08:00
    再加一台服务器做代理,win2003只能内网访问
    Sunyanzi
        2
    Sunyanzi  
       2013-06-05 18:41:58 +08:00   ❤️ 5
    手上有大几百台 2003 服务器的人看着你 ...

    这玩意怎么说呢 ... 非常不安全 ... 但这个不安全并不是来自操作系统本身 ...

    一台机器新装好 ... 默认的十二位的字母数字密码 ...

    我见过的最快几个小时就被攻陷了 ... 慢一点的一星期之内也准完蛋 ...

    被攻陷之后一般会运行端口扫描器 ... 继续去扫更多的机器 ... 滚雪球一般 ...

    基本上我对 2003 机器定下的运维规范是这样 ...

    机器到手第一件事改 administrator 用户名和密码重启 ...

    用户名和密码都用我的一个密码计算工具来算 ... 保证没有两台机器有同样的用户名密码 ...

    第二件事改 3389 端口到 6xxxx 端口 ...

    第三件事防火墙放行远程端口只到本地的固定 IP ... 开防火墙 ...

    这些其实应该在机器连外网之前就做好 ...

    但如果机器到手就是有外网远程的 ... 这几件事一定要确保在通外网之后十分钟内搞定 ...

    我不知道现在扫描的原理是什么样子 ... 我只知道 3389 对外网开放这事儿特别危险 ...

    我会跑一个端口测试工具保证外网没有访问权限 ... 这个事情如果没做好的话严惩 ...

    以及严格控制服务器上安装的软件 ... 所有非必要的东西一律不装 ...

    如果按我的规范应该连 winrar 都不能装 ... 使用 2003 自带的 zip 解压功能解压 ...

    后来部分机器上有装是因为自带的那个 zip 实在是太慢了 ... 这是迫不得已 ...

    上传文件到服务器之前要确认文件来源 ... 需要安装的话在机器上再检查一次 MD5 和 SHA1 ...

    以及不装杀毒软件以免影响性能 ...

    说来之前有个运维在服务器上装了个 360 ... 理由是他们前公司是这么干的 ...

    我表示无法理解 ...

    至于升级相关的就是能升就升 ... 没办法重启的时候就推迟到能重启的时候升 ...

    这个倒不是特别紧急 ...

    最后说下 ... 2003 的机器真心不好管 ... 又可能是我不会管 ...

    反正我现在看到的是很多在 Linux 下面可以用脚本完成的事情换到 2003 下就只能用人堆 ...

    我的这个运维规范会降低一些效率 ... 但至少在这个规范下服务器很少被攻陷 ...

    被攻陷也是因为操作失误 ... 之后轻则手杀毒重则备份重装 ... 费时费力伤财惹气 ...
    Gawie
        3
    Gawie  
    OP
       2013-06-05 20:50:49 +08:00
    @Sunyanzi 按照你这样说,03现在基本不能用了...

    日常的升级,开防火墙,尽量保证安装软件纯洁性,改端口,用户名,密码,还有什么其他措施么?还是根本没有措施
    Sunyanzi
        4
    Sunyanzi  
       2013-06-05 21:55:44 +08:00
    @Gawie 用是当然能用 ... 我现在这些机器不都用的好好的 ..?

    基本的措施我上面都说过了 ... 其实能做到这几点也就够了 ...

    重中之重是本地最好有个固定 IP ... 固定范围也行 ...

    然后防火墙设置远程端口只对这个 IP 开放 ... 这样可以降低 80%+ 的风险 ...

    没有固定 IP 的话各种麻烦 ... 我见过有机器端口用户名密码都改了还是被攻陷的 ...

    有段日子都逼得我在研究用 TeamViewer 管理服务器的可行性了 ...

    以及不要在服务器上运行莫名的软件 ... 如果防火墙没了也是完蛋 ...
    lvye
        5
    lvye  
       2013-06-05 22:03:11 +08:00 via Android
    @Sunyanzi 改端口没用的,照样能扫出来。
    固定ip访问的确能降低不少危险。但是一般都采用反弹shell的办法,可以绕过。
    当然,linux也一样,只不过windows风险更大一点。
    cooka
        6
    cooka  
       2013-06-05 22:31:07 +08:00
    @Sunyanzi
    """
    我见过的最快几个小时就被攻陷了 ... 慢一点的一星期之内也准完蛋 ...
    """

    几个小时和一个星期有区别吗, 就是一个多久被扫描到的问题, 如果没及时打补丁,被现成的工具入侵是很容易的.
    但是如果及时打补丁的话, 3389端口放在那里, 我觉得目前而言不会有什么问题, 毕竟, win03还在微软的支持周期内.
    至于zip/winrar什么的, 我觉得小心过份了..
    Gawie
        7
    Gawie  
    OP
       2013-06-05 22:42:19 +08:00
    @cooka 了解的一些安全论坛上面,03目前如果不是特意攻击你,一般都是批量的,那么修改端口+用户名+密码,默认自动升级,开自带防火墙,目前来讲,非特意想搞你的,还OK吧,

    固定IP,这个应该是限制远程登录的固定登录IP吧,可以限定范围么?一般登录还是家用的线路,固定的很少,

    @lvye 嗯,看到一些HK的博客上面讲到这个,这个我还是比较坚持那句话,目前的技术范围,真是同行或者恶意的,我想单说技术上面防是防不住的~ 不过固定IP登录,还是避免很多问题吧,这个是不是类是很多LINUX平台,用VPN,登录?
    xi4oh4o
        8
    xi4oh4o  
       2013-06-05 23:12:59 +08:00 via Android
    以前hack的经验来说,网站不安全被上传shell是硬伤,之后可以找数据库连接文件啥的sa提权和软件溢出,内网没用端口映射轻松绕过,设置好iis和系统权限才是正解
    Sunyanzi
        9
    Sunyanzi  
       2013-06-06 00:04:23 +08:00
    @lvye 这里要分是单点打击还是地图炮 ...

    一般来说地图炮都是只扫 3389 ... 如果定点打击的话不限 IP 改什么都没用 ...

    至于反弹 SHELL ... 首先我孤陋寡闻没听说过反弹 SHELL 可以用在 2003 上 ...

    其次如果你通过其他方式获取了 SHELL ... 服务器就已经沦陷了 ... 还管远程桌面做什么 ..?

    @cooka 我之前的状况是有台机器 3389 外网开放 ... 用户名八位纯英文密码十二位英文数字 ...

    补丁打到最新 ... 放在那里没管没几天机房就跟我反应流量异常了 ... 入侵方法不详 ...

    觉得是没有用的 ... 欢迎来做实验党 ... 找台 2003 的 VPS 开着 3389 对外网这样 ...
    lvye
        10
    lvye  
       2013-06-06 00:13:52 +08:00 via Android
    @Sunyanzi 他不是说只限制一些ip可以访问服务器,主动访问不行,那就只能服务器访问攻击者了。
    nmap扫一下端口很快,因此最好防火墙做一下过滤。
    ETiV
        11
    ETiV  
       2013-06-06 02:15:16 +08:00   ❤️ 3
    用 NodeJS 写了一个 Web 前端的跳板机. 跳板机的 Web 服务没在80端口上.
    带简单的用户登录系统, 登录时需用 PhoneGap 写的动态验证码, 验证登录.

    Windows 除了服务必须端口, 其他一律阻隔公网访问.

    3389端口改掉, ipsec给跳板机开放权限.

    跳板机买了aliyun, 目的是确保跟Windows机器的IP没任何关系, 以私人名义买, 外面也不知道这机器跟公司有任何关系.

    用户登录后, 可以选择登录的服务器, 而后跳板机临时打开一个端口. 生成连接命令字符串.
    * 如果这个端口在 20 秒内没有连入就自动断开.
    * 数据通信间隔大于 x 分钟自动断开 (RDP 不是一直有数据通信的, 值设置小了, 没多久就断了).
    * 当这个连接被使用以后, 拒绝任何新连接的连入.

    跳板机, 就是一个简单的TCP Proxy. 加了setTimeout.
    manhere
        12
    manhere  
       2013-06-06 03:11:23 +08:00
    最简单的,买个普通的路由器放在外网和服务器之间,只映射需要的端口到WAN
    winterx
        13
    winterx  
       2013-06-06 12:10:18 +08:00
    请问一下各位。如果是VPS,有没有更好的管理方法?
    win至今唯一不爽的是不支持密钥登陆。。。。。
    Gawie
        14
    Gawie  
    OP
       2013-06-06 15:28:08 +08:00
    @Sunyanzi 流量异常?这个可以说下详细的检测方法吗?

    @ETiV +1 好复杂

    @winterx 所以好像很多安全方法都使用 VPN=>跳板 或者 @ETiV 的跳板,有密匙就OK了

    话说03 3389 可以暴力破解么? @Sunyanzi
    cooka
        15
    cooka  
       2013-06-06 16:26:55 +08:00
    @Gawie @Sunyanzi
    我的意思就是 特地去攻击, 在仅仅80 443 3389端口开启的情况下, 补丁完全及时打过,有基本的防火墙, iis就是默认空配置.
    我觉得目前除非存在非常小范围内流传的漏洞, 目前win03应该是安全的吧.

    sunyanzi说的那个案例我觉得更大可能,原因不是出在3389而是其他端口和应用上. 流量异常没去检查一下具体什么进程之类实在太可惜了.
    moxuanyuan
        16
    moxuanyuan  
       2013-06-06 17:49:47 +08:00
    最近两年帮HK一家出版社做项目,用的是win2000 + IIS 5.0的服务器,够旧吧
    fuxkcsdn
        17
    fuxkcsdn  
       2013-06-06 18:01:07 +08:00
    @ETiV
    以前想过类似的方案,不过不是用VPS,而是用邮件,服务器上写个专门收取邮件的程序,然后解析固定的E-mail地址的邮件,然后邮件内容用自制的密码进行加密,解析后仅对邮件内容里的IP开放端口
    邮件都是通过第三方邮件服务器来发送,比如gmail、outlook这些
    不过这方案是基于Linux的,windows的话会比较难
    ETiV
        18
    ETiV  
       2013-06-06 19:09:04 +08:00
    @fuxkcsdn 这个我也做过, 用 DNSPod 做动态域名解析. 拿本地公网IP设置到域名上.

    然后远程机器去 DNSPod 解析这个域名的IP. 不 ping 是怕有缓存啥的.

    Windows上, 我装了个 cygwin 来跑 bash 脚本和 cronjob. 防火墙用 ipseccmd.
    Sunyanzi
        19
    Sunyanzi  
       2013-06-06 20:10:50 +08:00
    @Gawie 流量异常是机房通知我 ... 应该是交换机的监控报的 ...

    3389 必须可以暴力破解 ... 相关软件一搜一百篇儿 ...

    很多 2003 的机器沦陷之后也是在挂 3389 的暴破软件 ...

    @cooka 当时机器新装好没有启用 ... 纯净的操作系统放在一边 ... 防火墙关闭状态 ...

    我去翻了陈旧的报告 ... 当时的图在这里 http://i7.minus.com/jEiqNSXmRoZD9.jpg ...

    当然我还是那句话 ... 「觉得」「应该」是没有用的 ... 实践出真知 ...
    cooka
        20
    cooka  
       2013-06-07 10:06:07 +08:00
    @Sunyanzi
    如果你说的是暴力爆破的话, 那Linux的ssh也一样的问题了.
    你这个更像是新机器装好后, 没有及时打补丁, 或者打补丁不完整的缘故.

    我遇到过新安装系统暴露在公网,一个晚上就被"路过"很多人, 但是同IP我放了一个全补丁的windows 虚拟机就没钓到了.
    tititake
        21
    tititake  
       2013-06-07 10:37:30 +08:00
    用nessus扫描一遍看下有没有安全漏洞。

    另外3389建议只对允许的IP开放,如果是动态IP的话,利用动态域名、或者脚本来进行定时或者触发更新。
    Windows自带防火墙支持命令行
    netsh firewall set portopening TCP 3389 "Remote Desktop" ENABLE CUSTOM ip.ip.ip.ip
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3987 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 05:14 · PVG 13:14 · LAX 21:14 · JFK 00:14
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.