探讨漏洞校园Web服务器Unicode漏洞防护一些倡议中专

摘 要：目前，很多学校都拥有自己的Web服务器，应用的操作系统是Windows NT/2000，所以很多服务器存在Unicode漏洞，使得校园网存在着严重的安全隐患。针对Windows NT/2000的Unicode漏洞进行分析，提出了解决的办法。
关键词：Unicode漏洞；网络攻击；网络防护；Web服务器安全
很多学校Web服务器使用的操作系统是Windows NT/2000，且很多主机都存在着Unicode漏洞，使得Web主机的IIS很容易受到来自于网络的攻击，让网络入侵者很容易就侵入主机，甚至改掉Web主页，删除硬盘上的重要数据。如果入侵者得到Administrator权限，那对于Web主机就会更加危险。以下是笔者对Unicode漏洞的分析和防护的几点思考。

一、Unicode漏洞的原理

对于用Windows NT/2000操作系统作为Web服务器，存在的Unicode漏洞大概分为四种：%c1%1c、%c0%cf、%c1%pc、%c0%9v。对于 c1 1c，简体中文操作系统里面没有这个字，按照一般的情况分析，根据系统内码文件转换＼winnt＼system32＼c_936.nls会编码成“？”。而在简体中文版的IIS中 c1 1c会被解码成（c1-c0）*40+1c=5c=“＼”。该编码出现在IIS检测处理路径字符串中的“＼”后面，所以可以利用IIS路径达到访问上一级目录的目的。
其实原因就在于Unicode的编码存在BUG，在Unicode的编码中：
%c1%1c -> （0xc1 - 0xc0） * 0x40 + 0x1c = 0x5c =‘/’；%c0%2f -> （0xc0 - 0xc0） * 0x40 + 0x2f = 0x2f =‘＼’，而NT4中‘/’编码为%c1%9c ，在WIN2000英文版中为%c0%af 。
该漏洞是利用扩展Unicode字符取代“/”和“＼”而能利用“../”目录遍历，因此在一台存在Unicode漏洞的服务器的IP地址后边加上/scripts/..%c1%1c../winnt/system32/cmd.exe？/c+dir+c：＼就可以看到主机C盘上的所有文件和文件夹。

二、Unicode漏洞的危害

未经授权的用户可能利用IUSR_machinename的上下文空间访问任何已知的文件。该在默认情况下属于Everyone 和Users组的成员，因此所有与Web根目录在同一个硬盘分区上的文件都有可能被删除、修改或运行，就如同一个用户成功登录系统所能完成的操作一样。

三、Unicode漏洞的攻击方法

1.利用漏洞修改Web主页

方法一：
对于存在Unicode漏洞的主机，入侵者可以利用在IE的地址栏里输入http：//主机的IP/scripts/..%c1%9c../winnt/system32/cmd.exe？/c+dir+c：＼， 这样可以看到Web主机上C盘的所有内容。
如果入侵者要想知道主页放在什么目录的话，将dir+c：＼换成set，从IE返回的信息中查找PATH_TRANSLATED=c：＼inetpub＼pub＼pub＼scripts文件夹中。如果检查到网页的主页名字后，可以利用echo命令来添加要写入的信息，将主页文件更换掉。
方法二：
除了上面的方法外，入侵者还可以将自己做的网页替换掉Web主机的主页。先是在本地硬盘建立个共享文件夹（如Look），把自己制作的网页复制进去。照样把cmd.exe复制到目标文件夹c：＼inetpub＼scripts下，名字为Look.exe，映射本地的Look目录为目标的一个盘（如q：），把q：里的网页拷贝到目标主机的目录里，覆盖原来主机的主页文件，再把映射断开就可以了。这是利用本地共享目录和映射硬盘的方法替换主页。

2.删除硬盘上的东西

某些入侵者进入主机后，喜欢删除主机上的一些重要文件，这是一件令人头痛的事情。而入侵者要做的就是把http：//主机的ip/scripts/..%c1%9c../winnt/system32/cmd.exe？/c+dir+c：的命令dir改成del就行了。

3.建立服务器

往往入侵者想要取得更高的权限，把Web主机建立成服务器。这种方法跟“利用FTP脚本替换目标主机的主页”一样，在目标主机上建立一个可执行的命令文件，并且有一个放有软件的空间，把软件放到目标上运行即可。

四、Unicode漏洞的防护措施

下面是笔者总结出来的防范Unicode漏洞的几点措施：

1.打上最新补丁

作为一个有责任的网络管理员，应加强服务器的安全，经常给服务器打上最新的系统补丁，这是预防Unicode漏洞比较有效的方法。但在网络上，安全也只是相对的，正所谓道高一尺魔高一丈，完全相信系统补丁或是网络防火墙也不是万摘自：毕业论文评语www.618jyw.com
全之策。

2.防止漏洞扫描软件的扫描

一些普通的入侵者大都是利用扫描软件来扫描Web主机的Unicode漏洞。所以网络管理员先要采取相应的措施来阻止扫描软件的扫描。笔者介绍几种躲避扫描软件扫描的方法：
（1）更改winnt目录名
在安装winnt或者win2000时，缺省文件夹目录是c：＼winnt。一般情况下要把这个文件夹改成别的名称，这样利用扫描器软件提交http：//$host[$a]/scripts/..%c1%9c../winnt/system32/cmd。exe？/c+dir+c：＼类似的url时就会返回“该页找不到”的返回信息，从而使大部分扫描软件失去效用。如果系统已经安装在缺省的目录c：＼winnt，而又不想更改winnt/2000的文件夹名称，可以用下面的方法来解决。（2）更改cmd.exe和各种常用命令的名称
更改cmd.exe的名称也可以达到相同的效果，并且使得主机更加的安全可靠，假如只更改winnt/win2000所在目录的名称，一旦入侵者猜对目录名称后仍然可以入侵主机。同时还要把一些不常用的并且有潜在危害的命令改成只有自己知道的名称。
（3）改变Web文件夹的位置
一般情况下Web主页所放的位置是在c：＼InetPub＼Pub里有scripts之类的目录。如果不需要他们的话，可以把Web目录转移到别的分区，比如e：＼netroot然后把c：＼InetPub目录整个删除掉。
有些安全意识好的管理员，虽然Web服务器也存在Unicode漏洞，但将Web目录转移到了D盘，并且D盘是不可写的，这样，一般的入侵者就难以入侵主机并修改主页。但请注意，这只能防止一般的入侵者，高级别的入侵者还是能通过别的方法达到入侵主机的目的。
（4）停止不必要的服务
在Internet服务器中，为了系统的安全，必须停掉所有的缺省Web目录的服务。然后全部删除掉，只保留所必要的服务，以免留下安全隐患。
（5）改变服务的端口号
在不影响网络访问率的情况下，可以把Web服务的端口由80改成别的，比如178。因为大部分入侵者是利用Unicode漏洞进行攻击的，他们经常用的方法就是用扫描软件扫描一个IP地址段，经过更改端口，就可以躲避入侵者对特定网段的扫描了。值得关注的是，利用这种方法只能防止IP地址段的扫描，而入侵者通过别的方法，如通过修改扫描软件的插件来达到扫描的目的，主机受攻击的可能性已经大大降低。
（6）限制iusr_server的权限
上面所说的措施是把入侵者拒绝于Web服务器之外，但还是会有入侵者自动地找上门来。入侵者利用Unicode漏洞遍历目录时的用户权限是决定于iusr_server的权限的，而通常iusr_server是属于guest组的，所以我们还要进一步限制iusr_server的权限，方法如下：
采用NTFS格式的文件系统，将Web文件夹外所有的访问权限设置为：用户iusr_server不可访问。注意不要给iusr_server对Web目录有写权限，那些确实需要开放写权限不可的地方，如聊天室或论坛，可以适当地选择性放开。

3.分析日志，寻找入侵痕迹

要想知道是否有入侵者非法入侵主机，还要求网络管理员经常对访问日志进行分析。对于一名网络管理员，要有经常查看系统访问日志的习惯。主源于：免费论文www.618jyw.com
机日志虽然非常的多，看起来也很麻烦，但针对于Unicode漏洞的入侵者，网络管理员一般只要分析查看Web主机的访问日志就可以了。扫描软件的扫描和已经攻击完了的动作都会被记录下来，特别要注意是否有“cmd.exe”的字样出现。

4.管理好admin账户和

大部分的入侵者都是冲着Unicode漏洞而来的，他们一般采用强大的漏洞扫描工具。在扫描的过程中，往往简单的管理员账户和（如：账户：admin：1234）很容易就被猜中，让入侵者很容易就可以进入Web主机。一般情况下，只要设置复杂些就可以避免被猜中的可能，长度最好超过8位，大小写和复杂字符同时出现，如：W*&%&$98这样的就很难被猜中。

5.经常更改管理员的

网络管理员应该要保证只有管理员一个用户出现在管理员组中，经常检查有没有可疑的用户出现。很多入侵者喜欢在管理员组里增加一个用户，留作后门使用。而这样做往往给管理员提供了寻找可疑入侵的机会，平时只要多花些时间多注意检查就可以了。
Unicode漏洞是最容易让入侵者利用的一个漏洞，如果网络管理员不重视Web服务器安全的话，小小的漏洞可能会造成非常严重的后果。所以提醒网络管理员们，网络中没有绝对的安全，平时要多加强服务器的安全检查和防护，有备才会无患！
（作者单位 浙江省舟山市舟山职业技术学校）