案例分析:CNNS对去年东亚一著名银行的入侵案例分析# Security - 系统安全
m*k
1 楼
FROM http://my.szptt.net.cn/frankie/
该网站为WindowsNT 4.0,是这个国家最大的银行之一。
该网站BankServer实际上有两道安全防线,首先在其路由器的访问控
制表中(ACL)做了严格的端口过滤限制,只允许对80、443和65300进
行incoming访问,另一道防火墙为全世界市场份额最大的软件防火墙
FW,在FW防火墙上除了端口访问控制外,还禁止了很多异常的、利用
已知CGI bug的非法调用。
在12月某日,该银行网站的系统管理员Ymouse(呢称)突然发现在任务
列表中有一个杀不死的CMD.exe进程,而在BankServer系统上并没有
与CMD.exe相关的服务。该系统管理员在一黑客聊天室向本站技术人
员F求救。F认为这是一个典型的NT系统已经遭受入侵的迹象。
(CNNS注:入侵者若非登录本机控制台运行cmd.exe等文件,而是远程
通过非法手段运行,那么这个进程通常是连系统管理员都杀不死的)
通过Email授权,F开始分析该系统的安全问题,从外部看,除WWW服
务外,BankServer并没有向外开放任何有安全问题的服务。
该网站为WindowsNT 4.0,是这个国家最大的银行之一。
该网站BankServer实际上有两道安全防线,首先在其路由器的访问控
制表中(ACL)做了严格的端口过滤限制,只允许对80、443和65300进
行incoming访问,另一道防火墙为全世界市场份额最大的软件防火墙
FW,在FW防火墙上除了端口访问控制外,还禁止了很多异常的、利用
已知CGI bug的非法调用。
在12月某日,该银行网站的系统管理员Ymouse(呢称)突然发现在任务
列表中有一个杀不死的CMD.exe进程,而在BankServer系统上并没有
与CMD.exe相关的服务。该系统管理员在一黑客聊天室向本站技术人
员F求救。F认为这是一个典型的NT系统已经遭受入侵的迹象。
(CNNS注:入侵者若非登录本机控制台运行cmd.exe等文件,而是远程
通过非法手段运行,那么这个进程通常是连系统管理员都杀不死的)
通过Email授权,F开始分析该系统的安全问题,从外部看,除WWW服
务外,BankServer并没有向外开放任何有安全问题的服务。