校園Web服務器Unicode漏洞防護的幾點建議

摘 要：目前，很多學校都擁有自己的Web服務器，應用的操作系統是Windows NT/2000，所以很多服務器存在Unicode漏洞，使得校園網存在著嚴重的安全隱患。針對Windows NT/2000的Unicode漏洞進行分析，提出了解決的辦法。

關鍵詞：Unicode漏洞；網絡攻擊；網絡防護；Web服務器安全

很多學校Web服務器使用的操作系統是Windows NT/2000，且很多主機都存在著Unicode漏洞，使得Web主機的IIS很容易受到來自于網絡的攻擊，讓網絡入侵者很容易就侵入主機，甚至改掉Web主頁，刪除硬盤上的重要數據。如果入侵者得到Administrator權限，那對于Web主機就會更加危險。以下是筆者對Unicode漏洞的分析和防護的幾點思考。

一、Unicode漏洞的原理

對于用Windows NT/2000操作系統作為Web服務器，存在的Unicode漏洞大概分為四種：%c1%1c、%c0%cf、%c1%pc、%c0%9v。對于 c1 1c，簡體中文操作系統里面沒有這個字，按照一般的情況分析，根據系統內碼文件轉換＼winnt＼system32＼c_936.nls會編碼成“？”。而在簡體中文版的IIS中 c1 1c會被解碼成（c1-c0）*40+1c=5c=“＼”。該編碼出現在IIS檢測處理路徑字符串中的“＼”后面，所以可以利用IIS路徑達到訪問上一級目錄的目的。

其實原因就在于Unicode的編碼存在BUG，在Unicode的編碼中：

%c1%1c -> （0xc1 - 0xc0） * 0x40 + 0x1c = 0x5c =‘/’；%c0%2f -> （0xc0 - 0xc0） * 0x40 + 0x2f = 0x2f =‘＼’，而NT4中‘/’編碼為%c1%9c ，在WIN2000英文版中為%c0%af 。

該漏洞是利用擴展Unicode字符取代“/”和“＼”而能利用“../”目錄遍歷，因此在一臺存在Unicode漏洞的服務器的IP地址后邊加上/scripts/..%c1%1c../winnt/system32/cmd.exe？/c+dir+c：＼就可以看到主機C盤上的所有文件和文件夾。

二、Unicode漏洞的危害

未經授權的用戶可能利用IUSR_machinename賬號的上下文空間訪問任何已知的文件。該賬號在默認情況下屬于Everyone 和Users組的成員，因此所有與Web根目錄在同一個硬盤分區上的文件都有可能被刪除、修改或運行，就如同一個用戶成功登錄系統所能完成的操作一樣。

三、Unicode漏洞的攻擊方法

1.利用漏洞修改Web主頁

方法一：

對于存在Unicode漏洞的主機，入侵者可以利用在IE的地址欄里輸入http：//主機的IP/scripts/..%c1%9c../winnt/system32/cmd.exe？/c+dir+c：＼， 這樣可以看到Web主機上C盤的所有內容。

如果入侵者要想知道主頁放在什么目錄的話，將dir+c：＼換成set，從IE返回的信息中查找PATH_TRANSLATED=c：＼inetpub＼wwwroot這一句或者相似的語句。c：＼inetpub＼wwwroot就是Web主頁所在的文件夾。入侵者為了避免操作系統對一些特殊字符的檢測，一般會用本地電腦的cmd.exe文件拷貝到目標主機的c：＼inetpub＼scripts文件夾中。如果檢查到網頁的主頁名字后，可以利用echo命令來添加要寫入的信息，將主頁文件更換掉。

方法二：

除了上面的方法外，入侵者還可以將自己做的網頁替換掉Web主機的主頁。先是在本地硬盤建立個共享文件夾（如Look），把自己制作的網頁復制進去。照樣把cmd.exe復制到目標文件夾c：＼inetpub＼scripts下，名字為Look.exe，映射本地的Look目錄為目標的一個盤（如q：），把q：里的網頁拷貝到目標主機的目錄里，覆蓋原來主機的主頁文件，再把映射斷開就可以了。這是利用本地共享目錄和映射硬盤的方法替換主頁。

2.刪除硬盤上的東西

某些入侵者進入主機后，喜歡刪除主機上的一些重要文件，這是一件令人頭痛的事情。而入侵者要做的就是把http：//主機的ip/scripts/..%c1%9c../winnt/system32/cmd.exe？/c+dir+c：的命令dir改成del就行了。

3.建立代理服務器

往往入侵者想要取得更高的權限，把Web主機建立成代理服務器。這種方法跟“利用FTP腳本替換目標主機的主頁”一樣，在目標主機上建立一個可執行的命令文件，并且有一個放有代理軟件的空間，把代理軟件放到目標上運行即可。

四、Unicode漏洞的防護措施

下面是筆者總結出來的防范Unicode漏洞的幾點措施：

1.打上最新補丁

作為一個有責任的網絡管理員，應加強服務器的安全，經常給服務器打上最新的系統補丁，這是預防Unicode漏洞比較有效的方法。但在網絡上，安全也只是相對的，正所謂道高一尺魔高一丈，完全相信系統補丁或是網絡防火墻也不是萬全之策。

2.防止漏洞掃描軟件的掃描

一些普通的入侵者大都是利用掃描軟件來掃描Web主機的Unicode漏洞。所以網絡管理員先要采取相應的措施來阻止掃描軟件的掃描。筆者介紹幾種躲避掃描軟件掃描的方法：

（1）更改winnt目錄名

在安裝winnt或者win2000時，缺省文件夾目錄是c：＼winnt。一般情況下要把這個文件夾改成別的名稱，這樣利用掃描器軟件提交http：//$host[$a]/scripts/..%c1%9c../winnt/system32/cmd。exe？/c+dir+c：＼類似的url時就會返回“該頁找不到”的返回信息，從而使大部分掃描軟件失去效用。如果系統已經安裝在缺省的目錄c：＼winnt，而又不想更改winnt/2000的文件夾名稱，可以用下面的方法來解決。

（2）更改cmd.exe和各種常用命令的名稱

更改cmd.exe的名稱也可以達到相同的效果，并且使得主機更加的安全可靠，假如只更改winnt/win2000所在目錄的名稱，一旦入侵者猜對目錄名稱后仍然可以入侵主機。同時還要把一些不常用的并且有潛在危害的命令改成只有自己知道的名稱。

（3）改變Web文件夾的位置

一般情況下Web主頁所放的位置是在c：＼InetPub＼wwwroot下。在c：＼InetPub里有scripts之類的目錄。如果不需要他們的話，可以把Web目錄轉移到別的分區，比如e：＼netroot然后把c：＼InetPub目錄整個刪除掉。

有些安全意識好的管理員，雖然Web服務器也存在Unicode漏洞，但將Web目錄轉移到了D盤，并且D盤是不可寫的，這樣，一般的入侵者就難以入侵主機并修改主頁。但請注意，這只能防止一般的入侵者，高級別的入侵者還是能通過別的方法達到入侵主機的目的。

（4）停止不必要的服務

在Internet服務器中，為了系統的安全，必須停掉所有的缺省Web目錄的服務。然后全部刪除掉，只保留所必要的服務，以免留下安全隱患。

（5）改變服務的端口號

在不影響網絡訪問率的情況下，可以把Web服務的端口由80改成別的，比如178。因為大部分入侵者是利用Unicode漏洞進行攻擊的，他們經常用的方法就是用掃描軟件掃描一個IP地址段，經過更改端口，就可以躲避入侵者對特定網段的掃描了。值得關注的是，利用這種方法只能防止IP地址段的掃描，而入侵者通過別的方法，如通過修改掃描軟件的插件來達到掃描的目的，主機受攻擊的可能性已經大大降低。

（6）限制iusr_server的權限

上面所說的措施是把入侵者拒絕于Web服務器之外，但還是會有入侵者自動地找上門來。入侵者利用Unicode漏洞遍歷目錄時的用戶權限是決定于iusr_server的權限的，而通常iusr_server是屬于guest組的，所以我們還要進一步限制iusr_server的權限，方法如下：

采用NTFS格式的文件系統，將Web文件夾外所有的訪問權限設置為：用戶iusr_server不可訪問。注意不要給iusr_server對Web目錄有寫權限，那些確實需要開放寫權限不可的地方，如聊天室或論壇，可以適當地選擇性放開。

3.分析日志，尋找入侵痕跡

要想知道是否有入侵者非法入侵主機，還要求網絡管理員經常對訪問日志進行分析。對于一名網絡管理員，要有經常查看系統訪問日志的習慣。主機日志雖然非常的多，看起來也很麻煩，但針對于Unicode漏洞的入侵者，網絡管理員一般只要分析查看Web主機的訪問日志就可以了。掃描軟件的掃描和已經攻擊完了的動作都會被記錄下來，特別要注意是否有“cmd.exe”的字樣出現。

4.管理好admin賬戶和密碼

大部分的入侵者都是沖著Unicode漏洞而來的，他們一般采用強大的漏洞掃描工具。在掃描的過程中，往往簡單的管理員賬戶和密碼（如：賬戶：admin密碼：1234）很容易就被猜中，讓入侵者很容易就可以進入Web主機。一般情況下，只要密碼設置復雜些就可以避免被猜中的可能，長度最好超過8位，大小寫和復雜字符同時出現，如：W*&%&$98這樣的密碼就很難被猜中。

5.經常更改管理員的密碼

網絡管理員應該要保證只有管理員一個用戶出現在管理員組中，經常檢查有沒有可疑的用戶出現。很多入侵者喜歡在管理員組里增加一個用戶，留作后門使用。而這樣做往往給管理員提供了尋找可疑入侵的機會，平時只要多花些時間多注意檢查就可以了。

Unicode漏洞是最容易讓入侵者利用的一個漏洞，如果網絡管理員不重視Web服務器安全的話，小小的漏洞可能會造成非常嚴重的后果。所以提醒網絡管理員們，網絡中沒有絕對的安全，平時要多加強服務器的安全檢查和防護，有備才會無患！

（作者單位 浙江省舟山市舟山職業技術學校）