在SCRIPTS、MSADC目录没必要使用的情况下,删除该文档夹或改名。
安装NT系统时不要使用默认WINNT路径,您能够改为badboy或其他什么的文档夹。
当然最好的方法还是下载最著名的补丁公司m$提供的补丁。
该漏洞补丁随微软安全公告MS00-057一起发布
(http://www.microsoft.com/technet/security/bulletin/ms00-057.asp)
能够从如下地址下载补丁:
IIS 4.0
http://www.microsoft.com/ntserver/nts/downloads/critical/q301625/default.asp
IIS 5.0
http://www.microsoft.com/windows2000/downloads/critical/q301625/default.asp
2、检查是否被黑客利用unicode漏洞入侵
检查LOG日志
在winnt\system32\logfiles\w3svc1\目录里保留有web访问记录
假如曾被人利用UNICODE漏洞访问过,我们能够在日志里看到类似的记录
13:46:07 127.0.0.1 GET /scripts/..\../winnt/system32/cmd".exe 401
13:46:07 127.0.0.1 GET /scripts/..\../winnt/system32/cmd".exe 200
假如有人曾执行过COPY、del、echo、.bat等具备入侵行为命令时
13:47:37 127.0.0.1 GET /scripts/..\../winnt/system32/cmd".exe 401
13:47:37 127.0.0.1 GET /scripts/..\../winnt/system32/cmd".exe 502
在winnt/system32/logfiles\msftp\svc1目录里能够找到运行FTP的日志
假如有人执行过FTP命令,在日志文档里我能够看到类似的记录
13:59:25 127.0.0.1 [2]USER badboy 331
13:59:25 127.0.0.1 [2]PASS - 230
13:59:25 127.0.0.1 [2]sent /a.txt 226
13:59:25 127.0.0.1 [2]QUIT - 226 这里入侵爱好者请注意,您利用目标主机到某个站点FTP下载什么文档都是被记录
的,不要以为您删除文档、改文档名就能够逃脱您入侵的证据了。
我们不排除有可能入侵者使用代理服务器。
当然您知道自己被人利用UNICODE漏洞来入侵自己的主机,但在这些日志里您
无法找到记录,那您就更要注意了,因为您碰到的不是一般的小菜鸟了。
检查事件查看器里面的错误记录
我们也能够在管理工具的事件查看器里找到入侵者的足迹,比如在某个时段出现
比较多的警告信息。信息类似以下内容:
事件类型: 警告
事件来源: W3SVC
事件种类: 无
事件 ID: 100
日期: 2001-2-2
事件: 21:51:26
用户: N/A
电脑: CLUB-BUM1HOYJHJ
描述:
该服务器因为错误 登录失败: 未知的用户名或错误密码。 而无法登录至 Windows NT 帐号 'CLUB-BUM1HOYJHJ\badboy'。此数据为错误码。
若要获取关于此消息的更多的信息,请访问 Microsoft 联机支持站点:http://www.microsoft.com/contentredirect.asp 。
数据:
0000: 2e 05 00 00 ....
