斷開(kāi)網(wǎng)絡(luò)準(zhǔn)備關(guān)機(jī)，意外地發(fā)現(xiàn)本來(lái)十分干凈的桌面上多了一個(gè)文件，

遭遇入侵　堵上致命的 IISUnicode 漏洞

。奇怪？打開(kāi)這個(gè)文本文件，上面赫然寫著：你的電腦有漏洞，我隨時(shí)都可以刪除你的文件！不相信就看看你XXX目錄下的那個(gè)文件，他已經(jīng)被我移動(dòng)到了XXX目錄里。天！我遭 攻擊了。好在他還處于 的初級(jí)階段，我知道他是如何入侵我的計(jì)算機(jī)的。

    掃描漏洞的軟件

    他可能采用了掃描漏洞的 軟件如：X-Scan V2.3、小榕的“流光”等，以X-Scan V2.3為例，該軟件采用多線程方式對(duì)指定IP地址段進(jìn)行安全漏洞檢測(cè)，并提供了圖形界面和命令行兩種操作方式，掃描內(nèi)容包括：遠(yuǎn)程操作系統(tǒng)類型及版本，標(biāo)準(zhǔn)端口狀態(tài)及端口BANNER信息，CGI漏洞，IIS漏洞，RPC漏洞，SQL-SERVER、FTP-SERVER、SMTP-SERVER、POP3-SERVER、NT-SERVER弱口令用戶，NT服務(wù)器NETBIOS信息等。掃描結(jié)果會(huì)保存在/log/目錄中，index_*.htm為掃描結(jié)果索引文件。下載完成后，點(diǎn)擊壓縮包中“xscan_gui.exe”進(jìn)入X-Scan圖形界面。

    設(shè)置掃描參數(shù)

    他點(diǎn)擊工具欄的第二個(gè)按鈕進(jìn)入“掃描參數(shù)”對(duì)話框，在“指定IP范圍”欄中輸入局域網(wǎng)IP地址范圍是“192.168.0.1-192.168.0.99”。其它可以使用默認(rèn)。

    開(kāi)始掃描

    他點(diǎn)擊工具欄的第三個(gè)按鈕進(jìn)行漏洞掃描。檢測(cè)出IP地址為“192.168.0.15”，我的計(jì)算機(jī)有許多明顯的IISUnicode漏洞。想知道IISUnicode漏洞是什么嗎？我簡(jiǎn)單介紹一下IISUnicode漏洞：微軟的IIS4.0和5.0都存在利用擴(kuò)展Unicode字符取代“/”和“\”從而利用“../”目錄遍歷的漏洞。未經(jīng)授權(quán)的用戶可能利用IUSR_machinename賬號(hào)進(jìn)行入侵。該賬號(hào)在默認(rèn)情況下屬于Everyone和Users組的成員，因此任何與Web根目錄在同一邏輯驅(qū)動(dòng)器上并能被這些用戶組訪問(wèn)的文件都能被刪除、修改或執(zhí)行，就如同一個(gè)用戶成功登陸后所能完成的一樣，

電腦資料

《遭遇入侵　堵上致命的 IISUnicode 漏洞》(http://www.msguai.com)。

    入侵我的計(jì)算機(jī)

    他可能出于好奇，在IE瀏覽器的地址欄中輸入“hxxp://192.168.0.15/msadc/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir+c:\”，立刻顯示出了我計(jì)算機(jī)(IP地址為“192.168.0.15”)的C盤所有的文件和目錄，太刺激了！他又將“c:\”換成“d:\”、“e:\”，都能成功地顯示各盤符下所有文件和目錄，他心中開(kāi)始涌動(dòng)著要當(dāng)“ ”的念頭。他想刪除我計(jì)算機(jī)上的文件？試著輸入“hxxp://192.168.0.15/msadc/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+del+c:\aa.txt”，果然刷新一下命令，文件沒(méi)了。想復(fù)制文件并改名，他輸入“hxxp://192.168.0.15/msadc/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+copy+c:\aa.fon c:\unzipped\bad.fon”，換名復(fù)制成功。

    他還想顯示某一路徑下相同文件類型的文件內(nèi)容，輸入“hxxp://192.168.0.15/msadc/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir+d:\*.xls”列出了D盤根目錄下所有的excel文件。哈哈，他已完全控制了我的計(jì)算機(jī)，想干什么就干什么。能給我個(gè)提示，就算不錯(cuò)了。

    通過(guò)這個(gè)真實(shí)事例，我們可以看到，IISUNICODE漏洞雖然出現(xiàn)了很久了，但是很多象我一樣大意的用戶根本沒(méi)有取消IIS服務(wù)和打上補(bǔ)丁的安全防范意識(shí)，其實(shí)防范IISUnicode漏洞最簡(jiǎn)單的方法就是限制網(wǎng)絡(luò)用戶訪問(wèn)和調(diào)用CMD的權(quán)限，在Scripts、Msadc目錄沒(méi)必要使用的情況下，盡量刪除這些文件夾或者干脆換名。安裝NT系統(tǒng)時(shí)盡量不要使用默認(rèn)的win nt路徑，改成自己喜歡的名字。再則還可以安裝上SP4補(bǔ)丁程序，很多漏洞就會(huì)不復(fù)存在了。此外平時(shí)還要勤于升級(jí)，如果覺(jué)得每天上網(wǎng)去打補(bǔ)丁太麻煩的話，可以將WINDOWS Updata設(shè)定為自動(dòng)，那么系統(tǒng)一但連上互聯(lián)網(wǎng)后就會(huì)自動(dòng)查找最新補(bǔ)丁，你要做的就僅僅是確定安裝而已，非常方便�！巴鲅蜓a(bǔ)牢，為未晚已”，IISUnicode漏洞今天您堵上了嗎？