构建一台安全的win2k肉鸡

构建一台安全的win2k肉鸡 理由：避免被追踪，防止同行破坏，可以长期的使用,使自己更安全,让你更加的有爱心(一定不要破坏肉鸡<忽略肉鸡国籍>)。
GO~ 
检查补丁状态：
查看
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\HotFix 
或者使用 hfnetchk.exe （微软主页可以找到）
注意，只是看，好心里有个数！
▲ipc$(445 or 139)
主要的问题是因为默认设置允许空会话。通过匿名，可以获得n多的信息。从而进行用户验证攻击。
问题：你不能改密码。
关掉Admin$
服务器： 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\LanmanServer\Parameters
AutoShareServer = DWORD:00000000
工作站：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\lanmanserver\parameters
AutoShareWks = DWORD:00000000
问题：ipc$还存在，它只是关掉了诸如Admin$,c$之类的东西。
立刻从新启动lanmanserver服务，使其生效
禁止空会话：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
RestrictAnonymous = DWORD:00000001
或者“控制面板”-“本地（域）安全策略”-“安全选项”里......
立刻从新启动lanmanserver服务，使其生效
问题：
GetAclearcase/" target="_blank" >ccount.exe这个小工具一样可以轻易的获得用户列表，然后挂字典攻击。
更改帐号锁定阀值5次。
此外，还有bug，445 or139 上还有一个漏洞,直接让机器挂掉。
攻击程序 SMBdie.exe 可以到http://packetstorm.linuxsecurity.com找到。
相关的补丁 Q326830_W2K_SP4_X86_CN.exe。
注意，这是在为肉鸡打补丁，不是自己的机器。所以绝对不要安装。
很烦？所以直接关掉445or139，最好。注意，要关，两个端口一起。关一个没用。（注意这是指windows 2000,不是nt机器）
通常，是这样的，先连接445端口，如果失败，就会去连接139，所以一定要两个都关了。
如何关闭？
启用ipsec（路由和远程访问也可以），一个强大的玩意。包括icmp。一样可以关掉。也就是ping不通了。
这里不涉及ipsec如何使用，他确实很强大，建议熟练使用。给出两个相关的连接，给不熟悉的朋友们参考一下。
Internet 协议安全 (IPSec) 循序渐进指南
http://www.microsoft.com/china/technet/windows2000/win2ksrv
/technote/ispstep.asp 
IPSec 锁定服务器
http://www.microsoft.com/CHINA/TechNet/windows2000/win2ksrv
/ipsecld.asp 
需要注意的是，我们在为肉鸡做安全，不是自己的机器，当然，有些时候是很矛盾的，毕竟你要改的东西很多，相对的，你被管理员发现的可能也增加了。
通常默认的IPSec的设置是这样的（本地（域）安全策略-ip安全策略）
默认的有3个：安全服务器（要求安全设置） 客户端（只响应） 服务器（请求安全设置）
所以，最好不要创建新的策略，直接在原来的基础上改，也就是3个默认设置的其中一个。以免太过于暴露了。连接类型最好指定为远程访问，以免他内网机器访问不到。最后，选中一个策略，右键-指派。立刻生效了。提一下命令行下的操作。以上是通过终端服务上去操作的。要是行命令下，如何做？推荐使用Resource Kit中的ipsecpol.exe。非常强大，也非常复杂。有兴趣的朋友，可以自己看看。
▲iis （80）
iis 默认安装完后，漏洞就像蜂窝。
unicode漏洞：虽然这个漏洞老的已经成为历史，但还是有的，主要是一些默认安装了iis的机器，也别删除它。之所以http://www.xxx.com/scripts/..%c1%1c..%c1%1c..%c1%1c..%c1%1c..
/winnt/system32/cmd.exe?/c+dir能够执行命令（相当于一个shell）。其实是scripts目录有执行权限。到iis里去掉就可以了。注意一点的是，把每个虚拟目录的的执行权限都去掉。因为在没打补丁之前，所有的有执行权限的虚拟目录都有这个问题，但不一定能被扫描器扫到。如果已经安装了sp2也就不用忙了，补上了。
单个补丁：http://www.microsoft.com/windows2000/downloads/critical
/q269862/default.asp Q269862_W2K_SP2_x86_CN.EXE
二次解码漏洞：这个漏洞很像上面的那个，一个列子http://www.xxx.com/scripts/..%255c..%255cwinnt/system32
/cmd.exe?/c+dir+c:\。同样的去掉所有虚拟目录的执行权限。如果安装了sp3，不用忙了，补上了。
单个补丁：http://www.microsoft.com/Downloads/Release.asp?ReleaseID=29764 
Q293826_W2k_SP3_x86_cn.exe
.printer远程益出：同样，一个成为历史的漏洞。到iis设置里把这个映射删掉就可以了，注意一点的是。ms的iis有点变态。有些时候，你安装删除了一些系统组件。映射可能重新产生。如果安装了sp2，不用忙了，补上了。
单个补丁：Q296576_w2k_sp2_x86_CN.EXE
Index Server远程益出：同样，一个非常危险的漏洞，直接取得system权限。主要是idq.dll有问题，相对应的映射idq,ida。删掉后，也算补上了。如果安装了sp3，不用忙了，补上了。
asp分块编码远程溢出：对于这个漏洞，成功率是很低的。你可以到http://packetstorm.linuxsecurity.com找到相关的exploit。而且你所得到的权限是IWAM_computername这个帐号的。但结合一些local exploit。就...。看情况了，如果iis只是被默认安装了，没有网站。把wwwroot目录里的那些默认安装的*.asp删掉，也算是补上了。如果，它已经有web在运做了，这个没办法，或许帮它升级windows update是个不错的注意 ：）。安装了sp3，也不要忙了，补上了。
此外，还有一些看asp源码的漏洞，方法n多。如果你肉鸡的没安装sp3的话，最好到iis里把htw和htr删掉。
Frontpage服务器扩展：这个服务所涉及的漏洞特别多，要是肉鸡更本就没用到这个服务建议直接删除它。主要是默认的权限设置问题。允许权限是分配给Everyone组的，有些可以写的，相应的，放后门程序上去（asp.cmd),结合一些local exploit。最后获得admin权限。对“_vti”开头的目录，去掉Everyone组的控制，此外，还有一些拒绝服务漏洞，直接当掉iis。列如：提交http://www.xxx.com/_vti_bin/shtml.dll/com1.。或者http://www.xxx.com/_vti_inf.html。可以获得服务器的一些信息。多的要死，直接删掉！
snmp服务（udp 161）：即简单网络管理协议 。也就是为了方便网络管理而产生的。主要的问题：口令默认。
通常在win2k下，能找到运行这个服务的机器是很少的。相对的*nix和路游比较多些。
在win2k下一旦安装了snmp服务，打开新的端口udp 161、dup 162。通过scan可以轻易的刺探到（推荐LANguard Network Scanner、它带有一个snmp浏览器，或者snscan.exe，一个强劲的snmp扫描器，那它找不同类型的肉鸡，比较方便）主要是口令默认，也别删除这个服务了，改了口令也算补上了，如何改？“服务”-“snmp service”-“属性页”-“安全”那个“接受团体名称”也就是“public”，它就是snmp访问口令。把它改成一个安全的口令。小心！一些暴力破解。这个漏洞，危害虽然没有那么直接，但还是有的，暴露系统的类型和具体的版本，获取帐号列表，运行服务信息.....。
Terminal service（3389） ：主要是输入法状态条漏洞，虽然这个已经成了古董级的，但还是有的。有些肉鸡连sp1都没有。也不要去删什么帮助文件了。在注册表里-这个：HKEY_USERS\.DEFAULT\Keyboard Layout\Preload 这也就是登陆时可以用到的输入法。都在这里面，保留一个就可以了E00E0804 微软拼音，免得被人看出破绽。要是全删除了也就没有en图标了。打过sp2的，也不要忙了。补上了。此外，还有一个拒绝服务漏洞。这个没办法。只有打补丁，如果装了sp3也不要忙了，补上了。
ms-sql（tcp 1433 udp 1434）: ms-sql这个服务涉及的漏洞也是比较多的，如果肉鸡没安装sp2，更多。
口令问题：sa这个帐号比较特别，不能改名字，也不能删除。加之安装时的“随意”。成了一个漏洞，口令太弱。通过一些小工具，连接以后调用系统存储过程xp-cmdshell，来执行命令。就算你禁用了存储过程xp-cmdshell。也是可以恢复的，就算恢复不了，通过写一些特别的asp文件（cmd.asp)到iis下有执行权限的目录，得到一个shell，最后结合一些local exploit。取得admin权限。 顺便说下，针对win2k+sp3的本地exploit已经有了。所以这个漏洞，没办法补，你不可能改sa口令，要不，等于买了自己，要不让它的asp脚本全部完蛋。这样的问题，永远都有的，像ipc$，本来设计来为了方便管理员管理计算机的。设置一个强壮的口令，本身就是很好的防御措施，就算是默认设置。又能怎么样！意识...
除外，ms-sql还有一个udp remote exploit和一些拒绝服务漏洞，这个没办法，只有打补丁，要是肉鸡装了sp3，不用忙了，补上了。
同行所留下的：
帐号，脚本，木马，服务级后门，内核级后门。
帐号：
1.可能已经被先来的同行全部破解掉了，这个没办法，只能希望admin经常改口令。
2.攻击者添加的帐号，这个针对一些帐号特多的肉鸡，可能有人用这样低级的手法，你一样没办法，你没法判断到底是谁的帐号。
3.帐号被克窿。检查注册表，每个帐号的sid应该是对应的，比如guest的f5,01，如果是f4,01。被克窿了。要是觉得麻烦，用工具ca.exe来检查，只是要记得del掉%windir%\system32下的SASrv.exe，这是ca产生的。应该重点检查系统帐号，比如guest和IUSR_computername等。
4.注意的：有些帐号里来有"$"这个字符，这样的帐号在行命令下，将不会被显示。
脚本：
利用运行的web，这类后门找起来多少有点困难，比如被放了cmd.asp。名字不一定是这个，都会被改的。你要是想完美点，执行一下：regsvr32 scrrun.dll /u /s 那个cmd.asp文件也就没用了。也就是无法创建FileSystemObject 改回来：regsvr32 scrrun.dll /i /s 。此外，针对php、jsp、perl也一样有类似的脚本。找这类后门很困难。
木马：
被中过马儿了，还好，一般比较好的服务器，都装有强力的杀毒软件，比如，Norton AntiVirus、kill nt版等。只是n久没升级了。提示下，顺便把它注册码给弄走（有些在注册表里，有些是一个文件）。都是正版的哦，绝对可以升级。：）。像这类后门只能依靠杀毒软件。种类实在太多了。
服务级后门： 这类后门找起来也即算容易，首先需要一些工具，pslist.exe pskill.exe、fport.exe、sc.exe、结合一些系统命令来找。netstat -an |more 看看端口，fport.exe 来查看端口所对应的程序。常用两种手法，直接加到服务里或者删掉一个系统里无关紧要的服务，在把后门伪装成刚刚哪个删掉的服务。找这类后门，只要你对系统服务和系统进程比较熟悉，应该不是很困难。
1.系统服务都是以大写字母开头的，并有规范的描述。（注意一些软件安装所产生的服务，比如serv-u）
2.系统服务对应的程序，都是版权信息的。（查看属性页）以及生成的时间。
3.端口，不太确定它是干什么用的时候，最好telnet下。
4.不能确定某个服务是干什么用的时候，也就不要del了（用sc.exe）。
内核后门：
这类后门在win2k下是比较少的，不像在*nix系统下，多的要死，比如用的比较爽的lkm后门，在win2k下这类后门不太成熟。弄不好让肉鸡彻底完蛋。我自己不太清楚，不多废话了。 


别的废话：这个，只是我太无聊了，写起玩的。可能有用词不准确的或者错误。将就下了。本人工作也和计算机安全没有关系。要批评我的，随便了，我没意见。

原文转自：http://www.ltesting.net