对江西某电信服务器的一次安全检查
2008-12-03 13:34:33 来源:WEB开发网图2 扫描Radmin口令
说明:
(1)由于该网段比较大,全部扫描花了一个晚上,第二天上去将结果进行整理,呵呵,除了几个IP地址的Radmin口令没有扫描出来其它全部扫描出来了,将其整理后如图3所示。
图3 Radmin扫描结果
(2)其实还有另外一种扫描方式,就是先使用s.exe对存在4899端口的计算机进行扫描,然后再使用Radmin弱口令扫描器进行扫描,这样时间会更快。
(五)使用Radmin进行外网连接内网测试
在本地Radmin客户端中新建一个连接,如图4所示,项目名称可以随便填写,在IP地址中输入刚才扫描获取了Radmin口令的计算机,接着选中“通过主机连接”,然后选择有外网独立IP地址计算机,最后单击“确定”完成设置。
图4 设置Radmin客户端
在本地Radmin客户端中双击刚才建立的服务端计算机(134.226.7.47),在弹出的口令输入框中先输入有外网IP的计算机的Radmin口令,然后再输入内网Radmin的口令,输入完毕验证正确后,成功查看内网计算机远程屏幕,如图5所示,显示结果为中国电信股份有限公司江西分公司中国电信自助营业终端。
图5 远程查看内网计算机屏幕
由于看到是电信自助营业终端,因此后面没有再做测试了,退出系统,完成本次测试。
(六)体会与探讨
在本次渗透中,所用到的工具和技术都很简单,可以肯定的说该服务器先前被人入侵过,入侵者留下了一个可以输入随意口令而登录系统,在网上看到过,这还是第一次碰到,也算是安全检测中的一个收获。下面是一些说明与探讨:
(1)如果存在独立IP计算机,该计算机为网络入口,如果该入口保护不周,一旦被入侵,其后果很严重。在本例中通过Radmin完全可以控制整个内网,可以说危险很高,不知道是管理员图省事,还是被人入侵后,绝大部分Radmin服务端的口令都是一样!
(2)该独立计算机所管理的计算机大多是WindowsXP操作系统,在获取系统口令后,完全可以直接启用远程终端服务,从而远程对内网计算机进行管理。
(3)该计算机上对net等命令都进行了严格限制,也安装了防火墙和杀毒软件,可以说有很强的安全意识,想起一位大牛的话,计算机网络系统只有绝对的不安全,没有绝对的安全。计算机先期被人成功控制,并安装了一个超级隐蔽的后门,而管理员又在使用Radmin进行大范围管理内网计算机,其口令均是一些比较弱的口令。
(4)很多管理员都喜欢使用vnc、pcanywhere以及ramdin等远程管理软件,这些远程管理软件本身是没有多大的安全问题,但是如果在使用过程中配置或者设置不当,就会造成安全事故。
(5)由此看来对个人计算机系统实行定期检查还是很有必要。
更多精彩
赞助商链接