服务器软件的安全"隐患"
在常用的服务器软件有,Apache、Alt-NMDaemon、WebEasyMaiLMySQL、SQLServer、Serv-U,等等。通过安装这些组件,才能把各种类型的网站所需的初始化环境准备好。比方说,可以通过MySQL程序完成数据库环境的准备,等等。通常,是否需要安装这些服务器程序,主要看我们需要架设什么样类型的网站,如:
•静态网站:通常都是使用IIS来提供环境。
•asp:通常都是使用IIS来提供环境。
•CGI:MS+相应插件。
•PHP:IIS+相应插件+MySQL。
•邮件收发:IIS、WebEasyMail等。
•FTP:IIS或Serv-U等。
和IIS—样,很多服务器软件都出现过安全漏洞。安全漏洞出现的诱因一般有两种,一是设置不当,二是软件本身设计有BUG。
设置不当
在Internet中,FTP服务器中往往存储着大量的资源,这些资源包含了各种各样的信息、数据和软件。如果出现设置不当的现象,那么存储的数据就可能出现非正常“外泄”的可能。下面,让我们来以一个实例看看FTP是如何被入侵的。
步骤1:首先,到官方网站下载“FTP搜索引擎”。这个软件提供了如下功能:
•提供FTP服务器、Web服务器的搜索功能。
•可在FTP服务器中下载、上传、浏览文件(即实现了FTP客户端的功能)。
•在FTP站点上搜索想要的文件或文件夹。
•搜索电脑(搜索到后可向它们发送短信-前提是它们在同一网段内)。
•搜索局域网内机器上的共享资源。
步骤2:在win xp系统运行软件后,在“扫描服务”选项卡设置界面中,在“扫描的起始IP地址”和“扫描的终止IP地址”文本框中输入指定的IP段范围,如图所示。
步骤3:单击下方的“开始扫描”按钮,稍后可以在右侧的“搜索结果”框中看到搜索得出的FTP服务器资源列表。
步骤4:双击任一ftp服务器,然后点击切换到“文件浏览”选项卡设置界面,可以从“文件名”列表中看到该服务器当前FTP浏览权限下,可以看到的根目录中的所有目录,如图所示。
步骤5:此时,双击其中任一目录可以查看该目录下的所有子目录和文件列表,想返回上一层目录的话,点击下方的“上层目录”按钮即可。在“文件搜索”选项卡设置界面中,可以指定搜索所需类型的文件,如EXE、RM、AVI等等。如果需要下载某个目录或文件的话,只需双击要下载的文件即可。在下载的时候可以在软件的右下角看到下载实时进度。
步骤6:除了上述功能外,对于一些可能存在弱口令的FTP资源还可以使用该软件提供的“破解FTP登录口令”功能进行暴力式的破解,如图所示。
步骤7:看到了吗,利用这款FTP程序,甚至还可以进行小小的破解操作呢。而且范围包括了FTP服务器弱口令、共享弱口令和2000/xp主机的弱口令破解。