Serv-u本地权限提升漏洞的终极防御__你做了吗???

yr_ln 2009-03-14 04:41:05
年后过来,服务器上出现N多的木马,每天反复的清理,但还是反复出现,这几天都快疯了,被老板批,没办法,只有拼命的在网站搜,一些可以防范的方法,以及清理服务器上的木马的措施,无何还是弄不了,哈哈^本人太笨,确实需要多多学习,服务器是2003Server+II6+serv-u,网站页面频繁被修改,后来仔细检查发现有一些后门程序,通过它被人挂马,然后的就不停的删,但这些都治标不治本,最后关注到了serv-u,提权问题?应该多少跟它有关系,处理方法也找到了,一步一步下来,却又行不通,以下是我的操作步骤:
希望走过路过的高手,指点一下,没弄过的也关注一下;
我的想法是修改B6AB(43958的16进制),可是ServUDaemon.exe和ServUAdmin.exe我都作了,也是按图1图2改过了,启动的serv-u出现了图3的状况,“TCP 127.0.0.1:12345 0.0.0.0:0 LISTENING”这个我没弄,因为不明白要修改那里,ServUAdmin.ini/ServUDaemon.ini两个文件也找了,没有“TCP 127.0.0.1:43958 0.0.0.0:0
LISTENING”要改“TCP 127.0.0.1:12345 0.0.0.0:0 LISTENING”文件,唉 可能就是这一步的原因serv-u连不上了,没办法又重新安装了一遍,反复看资料,还是不明的,请做过的高手指点一下,还有“对策:Exp编译又怎么修改呀?”
USAGE: serv-u.exe port "command"
Example: serv-u.exe 43958 "net user xl xiaoxue /add"
我要是修改:用Ultraedit打开ServUDaemon.exe查找Ascii:LocalAdministrator,和#l@$ak#.lk;0@P,修改成等长度的其它字符就可以了,ServUAdmin.exe也一样处理。LocalAdministrator,和#l@$ak#.lk;0@P的Ascii又怎么找呀,在Ultraedit里,Ascii又是什么,难道是L 76,o 111 c 99....一个字母一个字母找,网上的搜出来的都是这样一笔带过,有没有那位高手说详细说一些的要怎么改呀,在此不胜感谢;
大道理是懂的,水平有限;路过的关注一下
以下是我做的第一步:

第二步:

第三步:

到此是我所做的,serv-u就打不开了;
以下是我从网站搜的:参考着做的

Serv-u本地权限提升漏洞的终极防御

Serv-u Ftp server(以下简称Serv-u)是一个应用比较广泛的Ftp Server,功能强大,使用方便,Serv-u>3.x版本存在本地权限提升漏洞,使用guest权限结合Exp可以以system权限运行程 序,通过Webshell结合Exp提升权限已经成了很常用提升方法。
漏洞简介:
漏洞是使用Serv-u本地默认管理端口,以默认管理员登陆新建域和用户来执行命令,Serv-u>3.x版本默认本地管理端口 是:43958,默认管理员:LocalAdministrator,默认密码:#l@$ak#.lk;0@P,这是集成在Serv-u内部的,可以以 Guest权限来进行连接,对Serv-u进行管理。
防止办法和对策:
一般防止方法:设置目录权限,通过去掉Web目录iusr用户的执行权限来防止使用Webshell来运行Exp程序。
对策:这种方法有一定的局限性,需要设置的目录很多,不能有一点疏漏,比如我就发现很多虚拟主机在C:\Documents and Settings\All Users\ Documents目录以及下边几个子目录Documents没有设置权限,导致可以在这个目录上传并运行Exp,这种目录还有x:\php,x: \perl等,因为这种目录都是everyone完全控制的。有些主机还支持php,pl,aspx等,这简直就是服务器的Serv-U灾难,^_^,运 行程序更加方便。
高级一点的防止办法:修改Serv-u管理端口,用Ultraedit打开ServUDaemon.exe查找B6AB(43958的16进制), 替换成自己定义的端口比如3930(12345),打开ServUAdmin.exe找到最后一个B6AB替换成3930(12345),启动Serv- u,现在本地管理端口就成了12345了:
TCP 127.0.0.1:12345 0.0.0.0:0 LISTENING
对策:对付这种也很简单,netstat –an,就能看到端口了,有人说netstat无法运行,其实你再上传个netstat.exe到可执行目录运行就ok了,然后修改一下Exp编译,上传运行就好了,我修改了一个可以自定义端口的Exp,运行格式:
USAGE: serv-u.exe port "command"
Example: serv-u.exe 43958 "net user xl xiaoxue /add"
更高级的防止办法:修改管理员名和密码,用Ultraedit打开ServUDaemon.exe查找Ascii:LocalAdministrator,和#l@$ak#.lk;0@P,修改成等长度的其它字符就可以了,ServUAdmin.exe也一样处理。
对策:这下默认的管理员连接不上了,还有办法么?嘿嘿,有的管理员安装Serv-u都是使用默认目录C:\Program Files\Serv-U安装,这个目录虽然不能写,也不能修改,但是默认iusr是可以读的,我们可以用webshell来下载 ServUDaemon.exe,用Ultraedit打开分析一下,Serv-U的帐号密码就到手了,修改Exp编译上传运行,我们又胜利了。
终极防御:
1.设置好目录权限,不要疏忽大意;
2.Serv-U最好不要使用默认安装路径,设置Serv-U目录的权限,只有管理员才能访问;
3.用我介绍的办法修改Serv-U的默认管理员名字和密码,喜欢的话端口也可以改掉。
后记:
入侵和防御就像矛和盾,盾上不能有任何薄弱之处,不然就会死的很难看。本文旨在为服务器管理员提供防御这个漏洞的办法,不足之处,请各位高手指教。(以上测试在Serv-u 5.0,5.1,5.2上通过)

...全文
144 点赞 收藏 1
写回复
1 条回复
切换为时间正序
当前发帖距今超过3年,不再开放新的回复
发表回复
taito 2009-03-22
现在都用6.0以上了,这个漏洞已经过时了
回复
相关推荐
发帖
Web开发应用服务器
创建于2007-09-28

5596

社区成员

Web开发应用服务器相关讨论专区
申请成为版主
帖子事件
创建了帖子
2009-03-14 04:41
社区公告
暂无公告