如何检查系统漏洞，并用补丁进行修补

一、前期准备，建立安全模型

1、熟悉软件功能、功能实现，配置等；

如：IIS的虚拟目录、脚本映射；

2、根据功能，分析安全需求，建立安全模型；

IIS外挂，文件类型识别，目录正确识别；目录限制；

外挂的特点；权限不是在文件对象上，需要自己识别文件，所以需要识别出同一个文件的所有文件名；

3、根据安全需求，分析编程应注意的地方，重点检查。

IIS要对"/"进行检测，连接文件的处理，识别出正确的目录、文件名； 编程接口完全按接口实现；

二、原代码分析

1、通读原代码；

2、安全需求里面重点需要检测的地方；

3、搜索容易有问题的函数调用，如strcpy、strcat、printf、free、strncpy等；

4、常见一些编程问题；一些变量类型，如长度变量用int，注意一些函数非直接返回赋值问题等，一些边界条件，记数从0开始还是从1开始。

5、分析缓冲区使用的代码；

6、输入输出合法检测；

7、编程接口调用；了解操作系统、基本文件、进程调用等的特性；

8、数据结构；

9、安全领域的最小原则；

三、二进制代码分析

1、测试；

（1）、熟悉输入输出；

（2）、根据需要编写测试程序；

（3）、输入输出各种特殊情况测试，特殊字符、长串；

（4）、安全需求需要检测的一些条件测试；

2、反汇编分析；

（1）、阅读理解反汇编代码；

（2）、安全需求检测的代码分析；

（3）、调用接口代码分析；

（4）、sub esp,xxx 代码分析缓冲；

（5）、strcpy、strcat、printf、free、strncpy等调用分析；

（6）、输入输出检测；

3、跟踪调试；

（1）、异常的拦截分析；

（2）、一些字符串的流向，读写断点；

四、总结提高

1、分析总结各种漏洞、漏洞原因、编程问题，补丁修补方法，编程怎么避免。

2、对漏洞归纳分类，全面考虑；

一些漏洞研究成果：

1 IIS ISMDLL文件名截断漏洞泄漏文件内容漏洞；

http://wwwmicrosoftcom/technet/security/bulletin/ms00-044asp

2 Microsoft Windows 9x共享密码校验漏洞；

http://wwwmicrosoftcom/technet/security/bulletin/ms00-072asp

3 Microsoft IIS Unicode解码目录遍历漏洞；

http://wwwmicrosoftcom/technet/security/bulletin/ms00-078asp

4 Microsoft IIS CGI文件名检查漏洞；

http://wwwmicrosoftcom/technet/security/bulletin/ms00-086asp

5 Microsoft IIS远东版泄漏文件内容漏洞；

http://wwwnsfocuscom/english/homepage/sa_08htm

6 Microsoft IIS CGI文件名错误解码漏洞；

http://wwwmicrosoftcom/technet/security/bulletin/ms01-026asp

7 Microsoft FrontPage 2000服务器扩展缓冲区溢出漏洞；

http://wwwmicrosoftcom/technet/security/bulletin/ms01-035asp

8 Microsoft IIS ssincdll缓冲区溢出漏洞；

http://wwwmicrosoftcom/technet/security/bulletin/ms01-044asp

9 WebDav 拒绝服务漏洞；

10 WebDav 泄露文件源代码漏洞；

11 WebDav 缓冲区溢出漏洞；

12 aspdll 缓冲区溢出漏洞；

13 shtmldll 泄露文件源代码漏洞；

14 IIS CGI 拒绝服务漏洞；

15 IIS CGI 泄露源代码漏洞；

16 winlogonexe 缓冲区溢出漏洞；

17 WINDOWS API 缓冲溢出漏洞；

18 Windows mupsys 缓冲溢出漏洞；

19 apache for win32 可搜索文件漏洞；

20 apache for win32 执行任意命令漏洞；

21 php40 缓冲溢出漏洞；…………

网游突然倒闭，通常是不会向玩家进行赔偿的。但是网游突然倒闭可以向法院提起诉讼的。《网络游戏管理暂行办法》第二十二条规定网络游戏运营企业终止运营网络游戏，或者网络游戏运营权发生转移的，应当提前60日予以公告。

网络游戏用户尚未使用的网络游戏虚拟货币及尚未失效的游戏服务，应当按用户购买时的比例，以法定货币退还用户或者用户接受的其他方式进行退换。

扩展资料：

我国网络游戏管理的法律缺乏具体的立法，现有的网络管理制度规章层次较低，使得网络游戏得不到应有的管理和规范。尽管国家有一系列法规的出台，但其对在网络游戏中产生的问题难以全面覆盖和解决。

而且政府制定的法规在执行力度上不够，《互联网上网服务营业场所管理办法》中规定，网吧等场所不得经营含有色情、赌博、暴力等信息的内容，但是，由于受经济利益的驱动，网吧经营网络暴力游戏已成为公开的秘密。

网络游戏管理部门的分工在法规中没有很好地得以体现，从而导致各部门对复杂问题推诿推卸，网络游戏管理滞后，对社会造成严重的危害。

-网络游戏管理暂行办法

                        人民网-我国网络游戏管理存在的问题

1、发现服务器被入侵，应立即关闭所有网站服务，暂停至少3小时。这时候很多站长朋友可能会想，不行呀，网站关闭几个小时，那该损失多大啊，可是你想想，是一个可能被黑客修改的钓鱼网站对客户的损失大，还是一个关闭的网站呢你可以先把网站暂时跳转到一个单页面，写一些网站维护的的公告。

2、下载服务器日志，并且对服务器进行全盘杀毒扫描。这将花费你将近1-2小时的时间，但是这是必须得做的事情，你必须确认黑客没在服务器上安装后门木马程序，同时分析系统日志，看黑客是通过哪个网站，哪个漏洞入侵到服务器来的。找到并确认攻击源，并将黑客挂马的网址和被篡改的黑页面截图保存下来，还有黑客可能留下的个人IP或者代理IP地址。

3、Windows系统打上最新的补丁，然后就是mysql或者sql数据库补丁，还有php以及IIS，serv-u就更不用说了，经常出漏洞的东西，还有就是有些IDC们使用的虚拟主机管理软件。

4、关闭删除所有可疑的系统帐号，尤其是那些具有高权限的系统账户!重新为所有网站目录配置权限，关闭可执行的目录权限，对和非脚本目录做无权限处理。

5、完成以上步骤后，你需要把管理员账户密码，以及数据库管理密码，特别是sql的sa密码，还有mysql的root密码，要知道，这些账户都是具有特殊权限的，黑客可以通过他们得到系统权限!

6、Web服务器一般都是通过网站漏洞入侵的，你需要对网站程序进行检查(配合上面的日志分析)，对所有网站可以进行上传、写入shell的地方进行严格的检查和处理。如果不能完全确认攻击者通过哪些攻击方式进行攻击，那就重装系统，彻底清除掉攻击源。

一、打开domain41，在旁注检测—”当前路径”中输入服务器的域名或IP地址。

二、点击“连接”，在“网页浏览”中显示打开的网页，并自动检测注入点，在“注入点：”中显示结果。

三、选择任何注射点，然后单击-“检测注射”。

四、对注射点进行注射检测，点击-'开始检测。

五、点击“猜测表名”，选择“管理员”，点击“猜测列名”，选择“密码”和“管理员”，点击“猜测内容”。密码是用MD5加密的，可以用在线密码破解。

六、在“管理门户扫描”中进行后台扫描，结果如下。

七、右击获取的地址，进入后台管理登录界面。

服务器遭受攻击后的处理流程

　安全总是相对的，再安全的服务器也有可能遭受到攻击。作为一个安全运维人员，要把握的原则是：尽量做好系统安全防护，修复所有已知的危险行为，同时，在系统遭受攻击后能够迅速有效地处理攻击行为，最大限度地降低攻击对系统产生的影响。下面是我整理的服务器遭受攻击后的处理流程：

　一、处理服务器遭受攻击的一般思路

　系统遭受攻击并不可怕，可怕的是面对攻击束手无策，下面就详细介绍下在服务器遭受攻击后的一般处理思路。

　1 切断网络

　所有的攻击都来自于网络，因此，在得知系统正遭受黑客的攻击后，首先要做的就是断开服务器的网络连接，这样除了能切断攻击源之外，也能保护服务器所在网络的其他主机。

　2 查找攻击源

　可以通过分析系统日志或登录日志文件，查看可疑信息，同时也要查看系统都打开了哪些端口，运行哪些进程，并通过这些进程分析哪些是可疑的程序。这个过程要根据经验和综合判断能力进行追查和分析。下面的章节会详细介绍这个过程的处理思路。

　3 分析入侵原因和途径

　既然系统遭到入侵，那么原因是多方面的，可能是系统漏洞，也可能是程序漏洞，一定要查清楚是哪个原因导致的，并且还要查清楚遭到攻击的途径，找到攻击源，因为只有知道了遭受攻击的原因和途径，才能删除攻击源同时进行漏洞的修复。

　4 备份用户数据

　在服务器遭受攻击后，需要立刻备份服务器上的用户数据，同时也要查看这些数据中是否隐藏着攻击源。如果攻击源在用户数据中，一定要彻底删除，然后将用户数据备份到一个安全的地方。

　5 重新安装系统

　永远不要认为自己能彻底清除攻击源，因为没有人能比黑客更了解攻击程序，在服务器遭到攻击后，最安全也最简单的方法就是重新安装系统，因为大部分攻击程序都会依附在系统文件或者内核中，所以重新安装系统才能彻底清除攻击源。

　6 修复程序或系统漏洞

　在发现系统漏洞或者应用程序漏洞后，首先要做的就是修复系统漏洞或者更改程序bug，因为只有将程序的漏洞修复完毕才能正式在服务器上运行。

　7 恢复数据和连接网络

　将备份的数据重新复制到新安装的服务器上，然后开启服务，最后将服务器开启网络连接，对外提供服务。

　二、检查并锁定可疑用户

　当发现服务器遭受攻击后，首先要切断网络连接，但是在有些情况下，比如无法马上切断网络连接时，就必须登录系统查看是否有可疑用户，如果有可疑用户登录了系统，那么需要马上将这个用户锁定，然后中断此用户的远程连接。

　1 登录系统查看可疑用户

　通过root用户登录，然后执行“w”命令即可列出所有登录过系统的用户，如图1-11所示。

　通过这个输出可以检查是否有可疑或者不熟悉的用户登录，同时还可以根据用户名以及用户登录的源地址和它们正在运行的进程来判断他们是否为非法用户。

　2 锁定可疑用户

　一旦发现可疑用户，就要马上将其锁定，例如上面执行“w”命令后发现nobody用户应该是个可疑用户(因为nobody默认情况下是没有登录权限的)，于是首先锁定此用户，执行如下操作：

　[root@server ~]# passwd -l nobody

　锁定之后，有可能此用户还处于登录状态，于是还要将此用户踢下线，根据上面“w”命令的输出，即可获得此用户登录进行的pid值，操作如下：

　[root@server ~]# ps -ef|grep @pts/3

　531 6051 6049 0 19:23 00:00:00 sshd: nobody@pts/3

　[root@server ~]# kill -9 6051

　这样就将可疑用户nobody从线上踢下去了。如果此用户再次试图登录它已经无法登录了。

　3 通过last命令查看用户登录事件

　last命令记录着所有用户登录系统的日志，可以用来查找非授权用户的登录事件，而last命令的输出结果来源于/var/log/wtmp文件，稍有经验的入侵者都会删掉/var/log/wtmp以清除自己行踪，但是还是会露出蛛丝马迹在此文件中的。

　三、查看系统日志

　查看系统日志是查找攻击源最好的方法，可查的'系统日志有/var/log/messages、/var/log/secure等，这两个日志文件可以记录软件的运行状态以及远程用户的登录状态，还可以查看每个用户目录下的bash_history文件，特别是/root目录下的bash_history文件，这个文件中记录着用户执行的所有历史命令。

　四、检查并关闭系统可疑进程

　检查可疑进程的命令很多，例如ps、top等，但是有时候只知道进程的名称无法得知路径，此时可以通过如下命令查看：

　首先通过pidof命令可以查找正在运行的进程PID，例如要查找sshd进程的PID，执行如下命令：

　[root@server ~]# pidof sshd

　13276 12942 4284

　然后进入内存目录，查看对应PID目录下exe文件的信息：

　[root@server ~]# ls -al /proc/13276/exe

　lrwxrwxrwx 1 root root 0 Oct 4 22:09 /proc/13276/exe -> /usr/sbin/sshd

　这样就找到了进程对应的完整执行路径。如果还有查看文件的句柄，可以查看如下目录：

　[root@server ~]# ls -al /proc/13276/fd

　通过这种方式基本可以找到任何进程的完整执行信息，此外还有很多类似的命令可以帮助系统运维人员查找可疑进程。例如，可以通过指定端口或者tcp、udp协议找到进程PID，进而找到相关进程：

　[root@server ~]# fuser -n tcp 111

　111/tcp: 1579

　[root@server ~]# fuser -n tcp 25

　25/tcp: 2037

　[root@server ~]# ps -ef|grep 2037

　root 2037 1 0 Sep23 00:00:05 /usr/libexec/postfix/master

　postfix 2046 2037 0 Sep23 00:00:01 qmgr -l -t fifo -u

　postfix 9612 2037 0 20:34 00:00:00 pickup -l -t fifo -u

　root 14927 12944 0 21:11 pts/1 00:00:00 grep 2037

　在有些时候，攻击者的程序隐藏很深，例如rootkits后门程序，在这种情况下ps、top、netstat等命令也可能已经被替换，如果再通过系统自身的命令去检查可疑进程就变得毫不可信，此时，就需要借助于第三方工具来检查系统可疑程序，例如前面介绍过的chkrootkit、RKHunter等工具，通过这些工具可以很方便的发现系统被替换或篡改的程序。

　五、检查文件系统的完好性

　检查文件属性是否发生变化是验证文件系统完好性最简单、最直接的方法，例如可以检查被入侵服务器上/bin/ls文件的大小是否与正常系统上此文件的大小相同，以验证文件是否被替换，但是这种方法比较低级。此时可以借助于Linux下rpm这个工具来完成验证，操作如下：

　[root@server ~]# rpm -Va

　L c /etc/pamd/system-auth

　S5 c /etc/security/limitsconf

　S5T c /etc/sysctlconf

　S5T /etc/sgml/docbook-simplecat

　S5T c /etc/logindefs

　S5 c /etc/openldap/ldapconf

　S5T c /etc/sudoers

　5T c /usr/lib64/security/classpathsecurity

　L c /etc/pamd/system-auth

　S5 c /etc/security/limitsconf

　S5 c /etc/ldapconf

　S5T c /etc/ssh/sshd_config

　对于输出中每个标记的含义介绍如下：

　 S 表示文件长度发生了变化

　 M 表示文件的访问权限或文件类型发生了变化

　 5 表示MD5校验和发生了变化

　 D 表示设备节点的属性发生了变化

　 L 表示文件的符号链接发生了变化

　 U 表示文件/子目录/设备节点的owner发生了变化

　 G 表示文件/子目录/设备节点的group发生了变化

　 T 表示文件最后一次的修改时间发生了变化

　如果在输出结果中有“M”标记出现，那么对应的文件可能已经遭到篡改或替换，此时可以通过卸载这个rpm包重新安装来清除受攻击的文件。

　不过这个命令有个局限性，那就是只能检查通过rpm包方式安装的所有文件，对于通过非rpm包方式安装的文件就无能为力了。同时，如果rpm工具也遭到替换，就不能通过这个方法了，此时可以从正常的系统上复制一个rpm工具进行检测。

;