La función del servidor de archivos de Windows en la red es crucial. Alojan archivos confidenciales, bases de datos, contraseñas y más. Cuando el servidor de archivos se cae, es probable que la red se avergüence. Si se destruyen, es equivalente a abrir la Caja de Pandora. Aquí es
TechTarget China, contribuyendo escritor se encontró con un caso real de servidor de archivos hackeado. Comparta con usted lo que sucedió y cómo se explotaron estas vulnerabilidades para comprometer el sistema, todo desde la perspectiva de un pirata informático. Esto le ayudará a aprender más acerca de cómo se utilizan las vulnerabilidades del sistema en las noticias y cómo entender los problemas de seguridad en combinación con situaciones específicas, lo que lo ayudará a comenzar a detectar la seguridad de su servidor desde una perspectiva completamente nueva. Los problemas de seguridad son insondables.
El primer paso: encontrar un parche no está instalado
todo lo que sabe se instalan las actualizaciones críticas de seguridad de Microsoft, y luego usar mi favorito de varias vulnerabilidades La herramienta de sondeo escanea. Encontrarás que debe haber una vulnerabilidad que puede ser atacada.
a menudo se dará cuenta de que la mayor parte del servidor de archivos de Windows debido a los problemas de seguridad causados por olvidado instalar el parche, esto a menudo conduce a los ataques dentro de la red. Gran parte de esto se debe al hecho de que muchas redes no implementan sistemas de protección contra intrusiones internamente: todas las conexiones internas son confiables. Si hay delincuentes en su empresa que intentan controlar su servidor de Windows, será una molestia. Deje
desde la perspectiva de un atacante interno se olvidó de mirar a una docena de ventanas de vulnerabilidad parcheada es lo que se encontró. Todo lo que necesita es una conexión de red interna y varias herramientas de seguridad que se pueden descargar de forma gratuita: NeXpose Community edition y Metasploit.
Los siguientes son los pasos específicos:
un usuario malicioso potencial para escanear la red instalando NeXpose - o una serie de importantes servidor sabía - escanear en busca de vulnerabilidades.
Luego se encontró un archivo de servidor MS08-067 vulnerabilidad permite la ejecución "código arbitrario ', que se parece un poco ridículo realmente.
A continuación, el usuario entra en la página de prueba Metasploit se puede ver la lista de vulnerabilidades.
A continuación, descargar e instalar Metasploit, añadir algunos parámetros, a continuación, crear un acceso completo a su comando de servidor, como se muestra a continuación.
Figura 1. Comprobar la vulnerabilidad MS08-067
con Metasploit Esto se puede repetir las operaciones en los sistemas Windows vulnerables y aplicaciones relacionadas, incluso si usted no sabe nada. Piense en lo terrible que puede ser esto: elimine archivos, copie bases de datos SAM de respaldo y archivos confidenciales, agregue /elimine usuarios y más. Si tiene un servidor en la red pública para acceso público pero no tiene protección de firewall, puede ocurrir el mismo tipo de ataque a través de INTERNET.
También es importante recordar que la conexión de red se ha mencionado anteriormente puede obtener una red inalámbrica no segura. Un ejemplo común es la capacidad de conectarse directamente a su red a través de un punto de acceso inalámbrico que originalmente se proporcionó al dispositivo de escaneo en el almacén. Ya sea que utilicen WEP, WPA u otro cifrado para garantizar la seguridad de estos dispositivos de escaneo, cualquier dispositivo que se encuentre dentro de una cierta distancia (generalmente en su estacionamiento o al lado del edificio) puede acceder a usted fácilmente. La red lanzó así un ataque.
Segundo paso: oler la red para obtener información útil
se trata de redes inalámbricas no seguras, los atacantes alienígenas maliciosos colarse en la red para obtener información general sensibles Use algunas herramientas de análisis de redes inalámbricas como CommView for WiFi o AirMagnet WiFi Analyzer. Además, si un atacante puede obtener una conexión física a su red (o un usuario de confianza), puede usar herramientas para realizar ataques ARP, lo que le permite penetrar en el control de "seguridad" de Ethernet y obtener de usted. Consigue lo que quiera en la red. ¿Por
para atacar a un servidor de archivos se debe hacer al respecto? Sencillamente, un atacante puede obtener fácilmente una contraseña a través de los diálogos de autenticación de SMB, POP3, WEB, FTP y Windows y luego utilizarla como un enlace directo ilegal para acceder a su servidor de archivos.
Figura 2. El uso de herramientas de casos reales, como la caña% Abel fácil o contraseña
Aquí es TechTarget China, contribuyendo escritor se encontró con un servidor de archivos es hackeado. En la primera mitad de este artículo, le mostramos cómo encontrar un parche que no está instalado y cómo detectar la red para obtener información útil. ¿Cuáles son los próximos pasos? Paso 3: Obtener archivos confidenciales Repito este tema una y otra vez porque el problema parece empeorar. El problema es que cualquiera que esté en la red puede acceder a esta información confidencial almacenada en servidores compartidos desprotegidos, generalmente aquellas carpetas públicas. Por que Mi opinión es que los administradores de red a menudo tienen demasiada información para administrar, y los usuarios a menudo realizan algunas operaciones descuidadas en sus archivos. Por supuesto, para la gestión empresarial, no hay duda de que la gestión de la seguridad de la información de identificación personal es muy importante. Esto es lo que puede suceder: un usuario con permisos de dominio estándar (o un pirata informático que obtuvo un derecho de usuario legítimo) escanea la red para encontrar archivos compartidos. Por ejemplo, GFI LANguard puede traer este problema, tiene una herramienta integrada para encontrar recursos compartidos. Encuentra recursos compartidos y luego trata de conectarlos uno por uno. Encontró que el archivo era demasiado, y luego decidió usar la función de búsqueda del navegador de Windows para filtrar, o herramientas más rápidas y más poderosas como la Búsqueda de archivos efectivos (EFS) para encontrar información confidencial. Búsqueda de atacantes. Los archivos de texto Doc, .xls, .txt y similares contienen palabras clave como "ssn", "dob", "confidencial", etc. Sin lugar a dudas, mientras no busque cientos de documentos, encontrará algo útil. Copió la información y luego usó los permisos robados para daños mayores, como los competidores que se les vendieron. Repita nuevamente, pruebe este problema usted mismo, encontrará que lo que dije no es falso. Qué herramientas están disponibles para encontrar el tipo de documento y las palabras clave que desea. Si su servidor de archivos es de acceso público (lo que generalmente está prohibido, pero veo mucho de esto), los piratas informáticos pueden hacer muchas cosas con las consultas de Google para obtener información confidencial del servidor. Para probar esto, recomiendo usar el Escáner de Vulnerabilidad Web de Acunetix, que tiene una función de escaneo incorporada en la base de datos de ataques Google (GHDB). Paso 4: investigue los ataques que afectan indirectamente a la seguridad del servidor de archivos Finalmente, es fácil encontrar otras vulnerabilidades en su red y es fácil hacer que los servidores de archivos sean manipulados y atacados indirectamente. La mayoría de estos se deben a problemas de seguridad del dispositivo físico. Un problema grave que quiero abordar es que todos los usuarios pueden acceder a la interfaz de administración web de los dispositivos en algunos centros de datos, incluidos los usuarios que ingresan a través de otras redes inalámbricas inseguras en otros edificios. Para empeorar las cosas, esta aplicación de administración del centro de datos se ejecuta con el usuario y la contraseña predeterminados. Esto significa que una vez que inicie sesión, puede deshabilitar el control de acceso, se puede cambiar la alerta de seguridad, se puede cambiar el archivo de registro, etc. Esta es una buena manera para que los piratas informáticos cubran las huellas del ataque. También he visto muchas veces que los servidores de archivos están completamente abiertos al público (por lo general, en las empresas financieras ocupadas, las instituciones médicas, las redes están completamente abiertas a los sistemas de negocios locales). Me refiero a un entorno de red sin controles de seguridad, ni siquiera los controles de seguridad de dispositivos físicos más básicos. Estos servidores a menudo no están bloqueados en la pantalla, lo que puede llevar fácilmente a las puertas traseras del administrador. Los hackers también pueden aprender acerca de las conexiones internas del sistema para que puedan ingresar al sistema para robar la información que necesitan cuando no hay nadie allí. ¿Es difícil descifrar un servidor de archivos de Windows? Debido a que los discos duros no están cifrados, todo lo que deben hacer los piratas informáticos es usar algunas herramientas como el CD Vivo de Ophcrack o ElcomSoft System Recovery para descifrar o restablecer la contraseña del sistema, incluida la contraseña del administrador. Por eso recomiendo el cifrado del disco duro del servidor, que es casi la última línea de defensa. Finalmente, no te quedes inactivo. Recuerda que si un hacker puede hacer esto, deberías probarlo de nuevo. Puede intentar atacar el servidor de archivos de Windows usted mismo, de manera maliciosa, para ver qué se puede hacer dentro y fuera de la red sin restricciones. Tenga en cuenta que debe prestar atención a la forma en que realiza estas pruebas, de modo que pueda utilizar las herramientas adecuadas, en el momento adecuado, con las herramientas adecuadas, etc.