天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧软件 >> 正文

九大入侵检测系统的风险及对策

2009-7-13天下网盟佚名



  事件6、Microsoft SQL 客户端SA用户默认空口令连接

  Microsoft SQL数据库默认安装时存在sa用户密码为空的问题,远程攻击者可能利用这个漏洞登录到数据库服务器对数据库进行任意操作。更危险的是由大多数MS-SQL的安装采用集成Windows系统认证的方式,远程攻击者利用空口令登录到SQL服务器后,可以利用MS-SQL的某些转储过程如xp_cmdshell等以LocalSystem的权限在主机上执行任意命令,从而取得主机的完全控制。

  [对策]

  1、系统的安全模式尽量使用“Windows NT only”模式,这样只有信任的计算机才能连上数据库。

  2、为sa账号设置一个强壮的密码;

  3、不使用TCP/IP网络协议,改用其他网络协议。

  4、如果使用TCP/IP网络协议,最好将其默认端口1433改为其他端口,这样攻击者用扫描器就不容易扫到。

  事件7、POP3服务暴力猜测口令攻击

  POP3服务是常见网络邮件收取协议。

  发现大量的POP3登录失败事件,攻击者可能正在尝试猜测有效的POP3服务用户名和口令,如果成功,攻击者可能利用POP3服务本身漏洞或结合其他服务相关的漏洞进一步侵害系统,也可能读取用户的邮件,造成敏感信息泄露。

  [对策]

  密切留意攻击来源的进一步活动,如果觉得有必要阻塞其对服务器的连接访问。

  事件8、POP3服务接收可疑病毒邮件

  当前通过邮件传播的病毒、蠕虫日益流行,其中一些邮件病毒通过发送带有可执行的附件诱使用户点击执行来传播,常见的病毒附件名后缀有:.pif、.scr、.bat、.cmd、.com ,带有这些后缀文件名附件的邮件通常都是伪装成普通邮件的病毒邮件。

  邮件病毒感染了主机以后通常会向邮件客户端软件中保存的其他用户邮件地址发送相同的病毒邮件以扩大传染面。

  此事件表示IDS检测到接收带可疑病毒附件邮件的操作,邮件的接收者很可能会感染某种邮件病毒,需要立即处理。

  [对策]

  1、通知隔离检查发送病毒邮件的主机,使用杀毒软件杀除系统上感染的病毒。

  2、在邮件服务器上安装病毒邮件过滤软件,在用户接收之前就杀除之。

  事件9、Microsoft Windows LSA服务远程缓冲区溢出攻击

  Microsoft Windows LSA是本地安全授权服务(LSASRV.DLL)。

  LSASS DCE/RPC末端导出的Microsoft活动目录服务存在一个缓冲区溢出,远程攻击者可以利用这个漏洞以SYSTEM权限在系统上执行任意指令。

  [对策]

  1、临时处理方法:使用防火墙对UDP端口135、137、138、445及TCP端口135、139、445、593进行过滤。

  2、打系统补丁、升级。

本文来源:天下网盟 作者:佚名

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行