击退入侵！！

通过Internet进行的计算机系统大多数成功入侵都可以归结到很少数量的安全漏洞上。 在Solar Sunrise Pentagon入侵事件中被入侵的大多数系统都是因为同一个漏洞受到攻 击。不久前分布式拒绝服务攻击中被利用的大部分计算机也是因为一个漏洞。最近基于 WindowsNT的WEB服务器的大量入侵也可归结到一个众所周知的漏洞。另外有一个漏洞也 被认为可以被用来入侵超过30000台Linux系统。

少量的软件漏洞对应绝大多数成功的攻击是因为攻击者都是机会主义者－他们采用最简 单最方便的方法。他们用最有效最广泛使用的工具来攻击最著名的漏洞。他们指望组织 没有修补漏洞，他们常常在Internet上扫描有漏洞的系统，作无目的攻击。 系统管理员反映说，他们没有补这些漏洞的原因是他们也不知道超过500个的潜在问题中 那些是最严重的，而他们又太忙，不可能把所有的问题都改正好。

信息安全共同体试图解决这个问题，标出Internet上最严重的安全问题，汇集系统管理 员需要立即解决的漏洞。这个针对TOP TEN列表给出的专家建议展示了史无前例的企业、 政府和学校积极合作的范例。参与者来自最有安全意识的联邦代理、安全软件供应商、 咨询机构、基于大学的顶级安全小组、CERT/CC和SANS研究会。完整的参与者名单在文末 给出。

这里列出专家给出的5个Internet上最常被利用的安全漏洞列表，并给出了如何消除你
系统中这些问题的建议。

BIND程序存在的问题，利用nxt,qinv,in.named可直接得到root权限。

BIND(Berkeley Internet Name Domain)软件包是域名服务（DNS）的一个应用最 广泛的实现软件－－我们所有人都通过它来定位Internet上的系统，只需知道域 名（如www.sans.org）而不用知道IP地址，由此可体会它的重要性－－这使它成 为最受欢迎的攻击目标。

很遗憾，根据1999年中的回顾，Internet上的DNS服务器有50%以上用的是有漏洞 的BIND版本。

比较典型的BIND攻击的例子是，入侵者抹掉系统记录，安装工具获得管理员级别 的访问。他们然后编译安装IRC工具和网络扫描工具，用它们扫描更多的B类网络， 找到其它的使用有漏洞版本的BIND的域名服务器。只需几分钟，他们就可以攻入 成千上百个远程系统，取得更多的入侵成果。

这种混乱的场面说明，在Internet上广泛应用的服务上，如DNS服务，软件中一个 很小的漏洞都是非常可怕的。

受影响的系统：

多数UNIX和Linux系统

到2001年5月22日为止，BIND8.2.2patch5以前的版本都有问题。

CVE检索项：
nxt CVE-1999-0833
qinv CVE-1999-0009
相关检索项: CVE-1999-0835, CVE-1999-0848, CVE-1999-0849,CVE-1999-0851

更正建议：

A、取消所有非授权作为DNS服务器的机器上的BIND后台进程(named)。一些专家 还建议删掉这些DNS软件。

B、把授权作为DNS服务器的软件升级到最新版本，加入最新补丁。（到2000年5 月22日为止，最新版本为8.2.2，patch5）。

采纳如下的其它指导建议：
For the NXT vulnerability:
http://www.cert.org/advisories/CA-99-14-bind.html
For the QINV (Inverse Query) and NAMED vulnerabilities:
http://www.cert.org/advisories/CA-98.05.bind_problems.html
http://www.cert.org/summaries/CS-98.04.html

C、以非特权用户身份运行BIND，以便将来受到远程攻击时得到保护。（但是，必 须以root身份运行程序才能配置使用低于1024端口－如DNS要求的53，因此你必须 配置BIND在绑定到指定端口后改变用户身份。）

D、在chroot()过的目录中运行BIND，以便将来受到远程攻击时得到保护。

CVE检索项：
有漏洞例子程序的CGI程序
CAN-1999-0736
CVE-1999-0067
CVE-1999-0068
CVE-1999-0270
CVE-1999-0346
CVE-2000-0207
没有例子程序但有漏洞的CGI程序
CAN-1999-0467
CAN-1999-0509
CVE-1999-0021
CVE-1999-0039
CVE-1999-0058
CVE-1999-0147
CVE-1999-0148
CVE-1999-0149
CVE-1999-0174
CVE-1999-0177
CVE-1999-0178
CVE-1999-0237
CVE-1999-0262
CVE-1999-0279
CVE-1999-0771
CVE-1999-0951
CVE-2000-0012
CVE-2000-0039
CVE-2000-0208
ColdFusion例子程序漏洞
CAN-1999-0455
CAN-1999-0922
CAN-1999-0923
ColdFusion其它漏洞
CAN-1999-0760
CVE-2000-0057

C、删掉不安全的CGI脚本。
http://www.cert.org/advisories/CA-97.07.nph-test-cgi_script.html
http://www.cert.org/advisories/CA-96.06.cgi_example_code.html
http://www.cert.org/advisories/CA-97.12.webdist.html
D、编写安全的CGI脚本
http://www-4.ibm.com/software/developer/library/secure-cgi/
http://www.cert.org/tech_tips/cgi_metacharacters.html
http://www.cert.org/advisories/CA-97.24.Count_cgi.html
E、不需要CGI的WEB服务器上不配置CGI支持。
F、在chroot()过的环境中运行WEB服务器，以便保护机器防止其它不断发现的漏洞。

更正建议：
A、如果可能的话，关掉和/或删除那些可以从Internet上直接访问到的服务。
B、对于必须运行的，安装最新的补丁：
For Solaris Software Patches:
--http://sunsolve.sun.com
For IBM AIX Software
--http://techsupport.services.ibm.com/support/rs6000.support/downloads

--http://techsupport.services.ibm.com/rs6k/fixes.html
For SGI Software Patches:
--http://support.sgi.com/
For Compaq (Digital Unix) Patches:
--http://www.compaq.com/support
在供应商的补丁数据库中找tooltalk的补丁程序，并立刻安装。
对这三个主要RPC漏洞做出专门的建议的总结性文档可在如下地址找到：
http://www.cert.org/incident_notes/IN-99-04.html
For statdd:
http://www.cert.org/advisories/CA-99-05-statd-automountd.html
For ToolTalk: http://www.cert.org/advisories/CA-98.11.tooltalk.html
For Calendar Manager:
http://www.cert.org/advisories/CA-99-08-cmsd.html

nch/VbBusObj.VbBusObjCls