通过Internet进行的计算机系统大多数成功***都可以归结到很少数量的安全漏洞上。
　　在Solar Sunrise Pentagon***事件中被***的大多数系统都是因为同一个漏洞受到***。不久前分布式拒绝服务***中被利用的大部分计算机也是因为一个漏洞。最近基于WindowsNT的WEB服务器的大量***也可归结到一个众所周知的漏洞。另外有一个漏洞也被认为可以被用来***超过30000台Linux系统。

　　少量的软件漏洞对应绝大多数成功的***是因为***者都是机会主义者－他们采用最简单最方便的方法。他们用最有效最广泛使用的工具来***最著名的漏洞。他们指望组织没有修补漏洞，他们常常在Internet上扫描有漏洞的系统，作无目的***。

　　系统管理员反映说，他们没有补这些漏洞的原因是他们也不知道超过500个的潜在问题中那些是最严重的，而他们又太忙，不可能把所有的问题都改正好。

　　信息安全共同体试图解决这个问题，标出Internet上最严重的安全问题，汇集系统管理员需要立即解决的漏洞。这个针对TOP TEN列表给出的专家建议展示了史无前例的企业、 政府和学校积极合作的范例。参与者来自最有安全意识的联邦代理、安全软件供应商、咨询机构、基于大学的顶级安全小组、CERT/CC和SANS研究会。完整的参与者名单在文末给出。

　　这里列出专家给出的10个Internet上最常被利用的安全漏洞列表，并给出了如何消除你系统中这些问题的建议。
　　对读者提出的三点注意事项：

　　注1、这是一份随时更新(living)的文档，它包含初始定义，一步步更正漏洞的指导意见。我们会随时更新这些建议，使它更正确更方便，欢迎你的加入。这是一封公开的建议文档－你消除漏洞的经验可以帮助后来人。有建议可以"Top Ten Comments"为标题发信
到〈info@sans〉。想获得最新版本的指导可以"Top Ten Fixes"为标题发信到〈info@sans〉。

　　注2、你将看到给出了CVE检索项的参考－the Comm Vulnerabilities and Exposures索引号同漏洞相对应，CAN是CVE的候补索引项，它还没有得到完全的认可。对CVE项目更多的了解可参照：http://cve.mitre

　　注3、在列表的最后，你会看到一个附加章节给出了常被探测和***的端口列表。通过在防火墙或其它边界防护设备阻塞掉这些端口，你可以增加一个额外的防护层保护你的错误配置。


　　1. BIND weaknesses: nxt, qinv and in.named allow immediate root compromise.

　　BIND程序存在的问题，利用nxt,qinv,in.named可直接得到root权限。BIND(Berkeley Internet Name Domain)软件包是域名服务（DNS）的一个应用最广泛的实现软件－－我们所有人都通过它来定位Internet上的系统，只需知道域名（如www.sans）而不用知道IP地址，由此可体会它的重要性－－这使它成为最受欢迎的***目标。

　　很遗憾，根据1999年中的回顾，Internet上的DNS服务器有50%以上用的是有漏洞的BIND版本。

　　比较典型的BIND***的例子是，***者抹掉系统记录，安装工具获得管理员级别的访问。他们然后编译安装IRC工具和网络扫描工具，用它们扫描更多的B类网络，找到其它的使用有漏洞版本的BIND的域名服务器。只需几分钟，他们就可以攻入成千上百个远程系统，取得更多的***成果。

　　这种混乱的场面说明，在Internet上广泛应用的服务上，如DNS服务，软件中一个很小的漏洞都是非常可怕的。

　　受影响的系统：
　　多数UNIX和Linux系统

　　到2000年5月22日为止，BIND8.2.2patch5以前的版本都有问题。

　　CVE检索项：
　　nxt CVE-1999-0833
　　qinv CVE-1999-0009
　　相关检索项: CVE-1999-0835, CVE-1999-0848, CVE-1999-0849,CVE-1999-0851
　　更正建议：
　　A、取消所有非授权作为DNS服务器的机器上的BIND后台进程(named)。一些专家还建议删掉这些DNS软件。

　　B、把授权作为DNS服务器的软件升级到最新版本，加入最新补丁。（到2000年5月22日为止，最新版本为8.2.2，patch5）。
采纳如下的其它指导建议：
　　For the NXT vulnerability: http://www.cert/advisories/CA-99-14-bind.html
　　For the QINV (Inverse Query) and NAMED vulnerabilities:
http://www.cert/advisories/CA-98.05.bind_problems.html
http://www.cert/summaries/CS-98.04.html

　　C、以非特权用户身份运行BIND，以便将来受到远程***时得到保护。（但是，必须以root身份运行程序才能配置使用低于1024端口－如DNS要求的53，因此你必须配置BIND在绑定到指定端口后改变用户身份。）

　　D、在chroot()过的目录中运行BIND，以便将来受到远程***时得到保护。


　　2. Vulnerable CGI programs and application extensions (e.g., ColdFusion) in stalled on web servers.

　　在WEB服务器上安装的有漏洞的CGI程序和应用扩展（如ColdFusion）

　　大部分WEB服务器支持CGI(Common Gateway Interface)程序以提供WEB页面的交互功能，如数据采集和检验。很多WEB服务器缺省的安装了CGI例子程序。很不幸，很多CGI程序并没有考虑到它们有可能被滥用去执行恶意指令。***者选择CGI程序作为***目标主要因
为它们容易定位，并以同WEB服务器相同的权限运行。***者利用有漏洞的CGI程序破坏主页，盗窃信用卡信息，安装后门以利于将来即使CGI程序被修补好仍然可以***。


　　当司法部的Janet Reno的图片被换成Adolph Hitler时，得出了CGI漏洞是最有可能的***网络的方法的结论。Allaire的ColdFusion是一个WEB服务器应用软件，缺省安装时包含有漏洞例子CGI程序。作为一个最一般的法则，例子程序应该从系统中删除。

  受影响的系统：
　　所有的WEB服务器。


　　CVE检索项：

　　有漏洞例子程序的CGI程序
　　CAN-1999-0736
　　CVE-1999-0067
　　CVE-1999-0068
　　CVE-1999-0270
　　CVE-1999-0346
　　CVE-2000-0207

　　没有例子程序但有漏洞的CGI程序
　　CAN-1999-0467
　　CAN-1999-0509
　　CVE-1999-0021
　　CVE-1999-0039
　　CVE-1999-0058
　　CVE-1999-0147
　　CVE-1999-0148
　　CVE-1999-0149
　　CVE-1999-0174
　　CVE-1999-0177
　　CVE-1999-0178
　　CVE-1999-0237
　　CVE-1999-0262
　　CVE-1999-0279
　　CVE-1999-0771
　　CVE-1999-0951
　　CVE-2000-0012
　　CVE-2000-0039
　　CVE-2000-0208

　　ColdFusion例子程序漏洞
　　CAN-1999-0455
　　CAN-1999-0922
　　CAN-1999-0923

　　ColdFusion其它漏洞
　　CAN-1999-0760
　　CVE-2000-0057
　　更正建议：

　　A、不要以ROOT身份运行WEB服务器。

　　B、去掉BIN目录下的CGI脚本解释器。
http://www.cert/advisories/C ... in_cgi_bin_dir.html

　　C、删掉不安全的CGI脚本。
http://www.cert/advisories/CA-97.07.nph-test-cgi_script.html
http://www.cert/advisories/CA-96.06.cgi_example_code.html
http://www.cert/advisories/CA-97.12.webdist.html

　　D、编写安全的CGI脚本
http://www-4.ibm/software/developer/library/secure-cgi/
http://www.cert/tech_tips/cgi_metacharacters.html
http://www.cert/advisories/CA-97.24.Count_cgi.html

　　E、不需要CGI的WEB服务器上不配置CGI支持。

　　F、在chroot()过的环境中运行WEB服务器，以便保护机器防止其它不断发现的漏洞。


　　3. Remote Procedure Call (RPC) weaknesses in rpc.ttdbserverd (ToolTalk), rp c.cmsd (Calendar Manager), and rpc.statd that allow immediate root compromise

　　RPC(Remote Procedure Call)中rpc.ttdbserverd(ToolTalk)、rpc.cmsd(Calendar Man ager)和rpc.statd可以直接获得root权限

　　远程过程调用（RPC）允许一台计算机上的程序去执行另一台计算机上的程序。它们广泛的应用在各种网络服务中，如文件共享服务NFS。有很多漏洞是RPC本身的缺陷导致的，它们正不停的涌现出来。有很明显的证据表明，1999年末2000年初大规模的分布式拒绝
服务***中，很多被作为***跳板的牺牲品就是因为存在RPC漏洞。在Solar Sunrise事件期间，对美国陆军广为人知的成功***就是因为在数百台国防部的系统中找到了一个RPC漏洞。

　　受影响的系统：
　　多数UNIX和Linux系统

　　CVE检索项：
　　rpc.ttdbserverd - CVE-1999-0687, CVE-1999-0003, CVE-1999-0693 (-0687 比-0003 新，但二者都能让远程***者得到root权限，好像-0003漏洞还有很多很多；－0693 只能作为本地***，但也能得到root权限。)
　　rpc.cmsd ？ CVE-1999-0696
　　rpc.statd - CVE-1999-0018, CVE-1999-0019.


　　更正建议：

　　A、如果可能的话，关掉和/或删除那些可以从Internet上直接访问到的服务。

　　B、对于必须运行的，安装最新的补丁：
　　For Solaris Software Patches:
　　--http://sunsolve.sun  
　　For IBM AIX Software
　　--http://techsupport.services.ibm/support/rs6000.support/downloads  
　　--http://techsupport.services.ibm/rs6k/fixes.html  
　　For SGI Software Patches:
　　--http://support.sgi/  
　　For Compaq (Digital Unix) Patches:
　　--http://wwwpaq/support  

　　在供应商的补丁数据库中找tooltalk的补丁程序，并立刻安装。 对这三个主要RPC漏洞做出专门的建议的总结性文档可在如下地址找到：
http://www.cert/incident_notes/IN-99-04.html
　　For statdd: http://www.cert/advisories/CA-99-05-statd-automountd.html
　　For ToolTalk: http://www.cert/advisories/CA-98.11.tooltalk.html
　　For Calendar Manager: http://www.cert/advisories/CA-99-08-cmsd.html


　　4. RDS security hole in the Microsoft Internet Information Server (IIS).微软IIS中存在的RDS安全漏洞

　　微软的IIS(Internet Information Server)是用在微软WindowsNT和Windows2000服务器 上的WEB服务软件。在IIS的远程数据服务（RDS）中的编程缺陷可被恶意用户利用，用来远程执行管理员级别的命令。一些参与制定十大威胁列表的专家认为，IIS的其它漏洞，如.HTR文件，至少同RDS漏洞一样严重。当使用IIS的组织安装或升级RDS漏洞补丁的时候，应当采取谨慎的态度，同时安装和升级所有已知的IIS安全缺陷的补丁程序。

　　受影响的系统：
　　使用IIS的Microsoft Windows NT系统

　　CVE检索项：
　　CVE-1999-1011

　　更正建议：

　　A、使用用户自己的处理程序并删掉注册表中VBBusObj的索引项
　　HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/W3SVC/Parameters/ADCLaunch/VbBusObj.VbBusObjCls

　　B、参考微软公布的信息去掉服务或更正RDS漏洞以及其它IIS的安全问题。
http://support.microsoft/support/kb/articles/q184/3/75.asp
http://www.microsoft/technet/security/bulletin/ms98-004.asp
http://www.microsoft/technet/security/bulletin/ms99-025.asp


　　5. Sendmail buffer overflow weaknesses, pipe attacks and MIMEbo, that allow immediate root compromise.
Sendmail缓冲区溢出问题，pipe***和MIMI缓冲区溢出都可以直接得到root权限。

　　在大多数UNIX和Linux系统中用Sendmail程序发送、接收和转发电子邮件。Sendmail的广泛应用使它成为***者选取的主要目标。这些年来发现了很多漏洞，最早的是1988年CERT/CC发布的一个建议文件。最常见的漏洞之一是，***者发送一封处理过的邮件但运行
Sendmail的机器，Sendmail把邮件作为指令读出执行，使目标机器把本机上的口令文件发送到***者的机器上（或其它被侵入的机器）然后破解口令。

　　受影响的系统：
　　多数UNIX和Linux系统

　　CVE检索项：
　　CVE-1999-0047, CVE-1999-0130, CVE-1999-0131, CVE-1999-0203, CVE-1999-0204, C
　　VE-1999-0206.
　　CVE-1999-0130 is locally exploitable only.

　　更正建议：

　　A、升级Sendmail到最新版本并/或修补它。参见：
http://www.cert/advisories/CA-97.05.sendmail.html

　　B、在既不是邮件服务器也不作邮件转发的机器上不用以后台进程模式运行Sendmail（关掉 -bd 选项）。
　　p>6. sadmind and mountd Sadmind用于Solaris系统的远程管理访问，提供图形化的系统管理功能。Mountd控制管理UNIX主机上NFS的加载点。这些应用程序的缓冲区溢出***可以让***者得到root权限。

　　受影响的系统：
　　多数UNIX和Linux系统
　　Sadmind：仅仅Solaris系统

　　CVE检索项：
　　sadmind - CVE-1999-0977
　　mountd - CVE-1999-0002.

　　更正建议：

　　A、如果可能的话，关掉和/或删除那些可以从Internet上直接访问到的服务。

　　B、对于必须运行的，安装最新的补丁：
　　For Solaris Software Patches:
　　--http://sunsolve.sun  
　　For IBM AIX Software
　　--http://techsupport.services.ibm/support/rs6000.support/downloads  
　　--http://techsupport.services.ibm/rs6k/fixes.html  
　　For SGI Software Patches:
　　--http://support.sgi/  
　　For Compaq (Digital Unix) Patches:
　　--http://wwwpaq/support  

　　C、更多建议参见：
http://www.cert/advisories/CA-99-16-sadmind.html
http://www.cert/advisories/CA-98.12.mountd.html


　　7. Global file sharing and inappropriate information sharing via NetBIOS and Windows NT ports 135-〉139 (445 in Windows2000), or UNIX NFS exports on port 2049, or Macintosh Web sharing or AppleShare/IP on ports 80, 427, and 548.

　　通过NetBIOS协议和Windows NT 135-〉139端口（Windows2000下是445）或UNIX NFS在2049端口给出的或Macintosh Web共享或AppleShare/IP在80、427和548端口给出的等等全局共享和不正确的信息共享。

　　这些服务允许在网络上共享文件。但如果配置不正确，它们会暴露重要的系统文件或给出整个文件系统的完全控制权到网络上的任何一台机器上。很多计算机的主人或管理员为了提高数据访问的方便性而利用这些服务使他们的文件系统可读写。如一个政府机关计算机管理员在开发任务计划软件时使他们的文件全局可读以方便政府的其它部门访问，没过两天，就有人发现了这些共享并偷走了整个任务计划软件。

　　当在Windows系统中实现文件共享时，产生的问题就不单单是信息窃贼，还有某些特定类型感染极快的病毒。最近发现的一个叫做911的蠕《纠?肳indow95和Windows98的文件共享来传播，使被感染的机器通过连在它上面的调制解调器拨打911电话。Macintosh计算机的文件共享漏洞也存在同样的问题。

　　同样，NetBIOS机制在允许Windows文件共享的同时也常常会给出NT系统的敏感系统信息。用户和组信息（用户名、最后登陆时间、口令策略、RAS信息），系统信息和一些注册表中的键值都可以通过建立在NetBIOS连接服务上的空任务连接"null session"被访问到
。针对NT目标系统，这些信息常被用作口令猜测或暴力口令***的基础。


　　受影响的系统：
　　UNIX，Windows，和Macintosh系统

　　CVE检索项：
　　SMB shares with poor access control - CAN-1999-0520
　　NFS exports to the world - CAN-1999-0554候选检索项在被正式接受作为完全的CVE前可能有比较大的改动。


　　更正建议：

　　A、共享加载的设备时，一定要保证只共享必须的子目录。

　　B、因为DNS名称可能伪造，为了更好的安全性，只对指定的IP地址提供共享。

　　C、对于Windows系统，要保证所有的共享都采用了很难破解的口令。

　　D、对于Windows NT系统，禁止利用空任务连接为匿名用户提供用户、组、系统配置和注册表键值信息。

　　在路由器或NT主机上阻塞掉到NetBIOS任务服务（tcp 139）的连接。

　　对连入Internet的独立主机或不信任域环境要仔细考虑受限匿名用户的注册表键值的实现。
　　NT4: http://support.microsoft/support/kb/articles/Q143/4/74.asp
　　Win2000: http://support.microsoft/support/kb/articles/Q246/2/61.ASP

　　E、对于Macintosh系统，去掉WEB共享扩展，除非特别需要。如果必须提供文件共享，一定要保证使用强口令控制。当不需要时一定要去掉文件共享。

　　如果要永久性的去掉MacOS8或MacOS9上的WEB共享，要删掉两个文件并重新启动机器：
　　System Folder:Control Panels:Web Sharing
　　System Folder:Extensions:Web Sharing Extension

　　如果要永久性的去掉MacOS9上的AppleShare/IP，要删掉一个文件并重新启动机器：
　　System Folder:Extensions:Shareway IP Personal Bgnd



　　8. User IDs, especially root/administrator with no passwords or weak passwords.用户，尤其是超级用户或系统管理员(root/administrator)，没有口令或口令很弱。

　　一些系统带有"demo"或"guest"等无口令或广为人知的缺省口令的用户。服务工作人员一般给你装完系统后，把超级用户口令设为空；一些数据库系统的管理员帐号一般在安装时设为缺省口令。另外，繁忙的系统管理员常常选择非常容易被猜到的系统口令("love
","money","wizard"是最常见的)或者就使用空口令。缺省的口令让***者可以毫不费力的访问系统。很多***者先尝试缺省口令然后猜口令最后才用其它更复杂的方法。***者拿到一般用户权限后可以让他们进入防火墙或目标机器，一旦进入，很多***者就能够利用各种各样的系统漏洞得到超级用户或管理员权限。

　　受影响的系统：
　　所有系统。

　　CVE检索项：
　　Unix guessable (weak) password - CAN-1999-0501
　　Unix default or blank password - CAN-1999-0502
　　NT guessable (weak) password - CAN-1999-0503
　　NT default or blank password - CAN-1999-0504
　　候选检索项在被正式接受作为完全的CVE前可能有比较大的改动。


　　更正建议：

　　A、建立可接受的口令策略，包括分派负责和周期性检验口令质量。要保证高级领导也不例外。要求的策略也包括把计算机连入Internet前改变所有缺省口令，对不合作者给予实质性的处罚。

　　B1、非常重要！有写权限以便测试口令。
　　B2、用口令破解程序测试口令：
　　　For Windows NT: l0pthcrack http://www.l0pht
　　For UNIX: Crack http://www.users.dircon.co.uk/~crypto

　　C、在创建口令时执行检查功能。
　　For UNIX: Npasswd, http://www.utexas.edu/cc/unix/software/npasswd
　　For Windows NT: http://support.microsoft/support/kb/articles/Q161/9/90.asp

　　D、强制使口令周期性过期(at a frequency established in your security policy)。

　　E、保持口令历史记录，使用户不能循环使用旧口令。


　　其它资料可在如下地址找到：
http://www.cert/tech_tips/passwd_file_protection.html
http://www.cert/incident_notes/IN-98.03.html
http://www.cert/incident_notes/IN-98.01.irix.html


　　9. IMAP and POP buffer overflow vulnerabilities or incorrect configuration. IMAP和POP缓冲区溢出漏洞或不正确的配置

　　IMAP和POP是最流行的远程邮件存取协议，允许用户从内部和外部网络访问他们的邮件帐户。这些服务的“开放性访问”本质上决定了它们特别脆弱，因为开放使它们即使在防火墙之内也要允许外部的电子邮件存取。***者利用IMAP或POP漏洞***常常能直接获得
ROOT级别的控制权。

　　受影响的系统：
　　多数UNIX和Linux系统

　　CVE检索项：
　　CVE-1999-0005, CVE-1999-0006, CVE-1999-0042, CVE-1999-0920, CVE-2000-0091


　　更正建议：

　　A、在不提供邮件服务的机器上取消这些服务。

　　B、使用最新的补丁和版本。
　　资料可在如下地址找到：
http://www.cert/advisories/CA-98.09.imapd.html
http://www.cert/advisories/CA-98.08.qpopper_vul.html
http://www.cert/advisories/CA-97.09.imap_pop.html

　　C、一些专家也建议用TCP Wrapper类软件控制对这些服务的访问，同时用SSH和SSL等加密信道以保护口令。


　　10. Default SNMP community strings set to ‘public’ and ‘private.’
　　缺省的SNMP口令(community strings)被设为"public"和"private"。

　　简单网络管理协议(SMTP)被网络管理员广泛的使用，从路由器到打印机到计算机，所有连入网络中的设备都可以通过它来监控和管理。SNMP使用未加密的口令(community strings)作为认证的唯一机制。缺少加密已经够糟糕的了，同时绝大多数SNMP设备的缺省口
令为"public"，少数“聪明”一点的网络设备供应商把口令改为了"private"。***者可以利用SNMP的这个漏洞远程重新配置或关掉设备。监听SNMP流量可以暴露你网络的大部分细节，包括系统和连入的设备。***者用这些信息来找出***目标和规划***。

　　受影响的系统：
　　所有系统和网络设备。

　　CVE检索项：
　　default or blank SNMP community name (public) - CAN-1999-0517
　　guessable SNMP community name - CAN-1999-0516
　　hidden SNMP community strings - CAN-1999-0254, CAN-1999-0186
　　候选检索项在被正式接受作为完全的CVE前可能有比较大的改动。


　　更正建议：

　　A、如果你不是绝对需要SNMP，关掉它。

　　B、如果你使用SNMP，就要采用同本安全列表中的第8个问题中针对口令一样的安全策略。

　　C、用SNMPWALK验证和检查口令。

　　D、如果可能，把MIB设为只读。

　　其它信息：
http://www.cisco/univercd/cc ... mp.htm#xtocid210315

　　A High Priority Bonus Item for Windows Users and Administrators Various Scripting Holes in Internet Explorer and Office2000

　　针对Windows系统用户和管理员的有益补充：IE浏览器和Office2000中的各种脚本漏洞

　　最近病毒***已经展示了宏和脚本代码可以很容易的通过电子邮件附件传播，人们被告诫不要打开可能危险的附件。不过，Windows系统用户即使不打开附件，也可能感染恶意病毒。在缺省安装的情况下，Microsoft Outlook 和Outlook Express可以执行电子邮件中的HTML和脚本代码。另外，很多被称为ActiveX组件的可以被含有HTML和脚本代码的电子邮件不正确的执行。含有漏洞的控件包括Scriplet.typlib（同IE4.x和IE5.x一同交付）和UA控件(Office2000)。其它漏洞表明利用活动脚本电子邮件可以在用户的计算机上
安装新的软件。

　　一个相对良性的病毒kak蠕虫就是通过这些机制传播的。恶意版本的kak病毒可以预见任何时候都可能出现。我们建议所有用户和管理员把Outlook和Outlook Express设为只在某些“受限地址域”读取电子邮件，并进一步在这些受限域中关掉活动脚本和ActiveX功
能。微软对某些单独的漏洞已经给出了补丁并正准备在Outlook中加入安全设置，但好像还没有修补Outlook Express的计划。

　　受影响的系统：
　　所有带有IE4.x和IE5.x或Office 2000的Windows系统。带有某些版本的IE的Windows 2000不受影响。

　　CVE检索项：
　　CVE-1999-0668
　　CAN-2000-0329


　　更正建议：
http://www.microsoft/security/bulletins/ms99-032.asp
http://www.microsoft/security/bulletins/MS99-048.asp
http://www.microsoft/technet/security/bulletin/MS00-034.asp

　　这里讨论的特定漏洞的补丁可从下面地址得到：
http://www.microsoft/msdownl ... et/en/scriptlet.htm
http://www.microsoft/msdownl ... ol/en/ascontrol.htm
http://officeupdate.microsoft/info/ocx.htm

　　设置你的安全域到几个限定的站点并取消这个区域中的所有活动内容。
　　及时使用下列站点公布的Outlook补丁：
http://www.officeupdate/2000/articles/out2ksecarticle.htm

　　关键时刻，升级你的杀毒软件对这些问题也不能完全奏效。你必须同时更正微软软件中的缺陷。
　　Perimeter Protection For An Added Layer of Defense In Depth
　　更深层次上的作为附加防卫层的边界保护

　　本节中，我们列出那些常被探测和***的端口。阻塞这些端口是边界安全的最小需求，而不是复杂的防火墙规范表。更好的规则是阻塞掉所有未用端口。即使你认为这些端口已经被阻塞掉了，你也要经常监控它们以便检测到***尝试。阻塞掉下面列表中的某些端口可能会取消必须的服务。在执行下面的建议的时候请考虑它们的潜在影响。

　　1)阻塞“伪造”地址--那些从你公司外部地址来的报文却声称内部地址或专网地址，同时阻塞源路由报文。

　　2)登录服务--telnet(23/tcp),SSH(22/tcp),FTP(21/tcp),NetBIOS(139/tcp),rlogin(512/tcp到514/tcp)等等。

　　3)RPC和NFS--portmap/rpcbind(111/tcp和111/udp),NFS(2049/tcp和2049/udp),lockd(4045/tcp和4045/udp)

　　4)Windows NT下的NetBIOS--135(tcp和udp),137(udp),139(tcp).Windows 2000--这些端口再加上445(tcp和udp)

　　5)X Windows -- 从6000/tcp 到 6255/tcp

　　6)名字服务-- 所有不是DNS服务器的机器上的DNS (53/udp), DNS zone transfers (53/tcp) except from external secondaries, LDAP (389/tcp and 389/udp)

　　7)邮件-- 所有不作外部邮件转发的机器上的SMTP (25/tcp), POP (109/tcp and 110/tcp), IMAP (143/tcp)

　　8)主页-- 除了外部WEB服务器上的HTTP (80/tcp)和SSL (443/tcp), 你也许同时需要阻塞常用的其它高端的HTTP端口(8000/tcp, 8080/tcp, 8888/tcp, etc.)

　　9) "Small Services"-- 低于 20/tcp and 20/udp的端口, time (37/tcp and 37/udp)

　　10)其它-- TFTP (69/udp), finger (79/tcp), NNTP (119/tcp), NTP (123/tcp), LPD(515/tcp), syslog (514/udp), SNMP (161/tcp and 161/udp, 162/tcp and 162/udp), BGP (179/tcp), SOCKS (1080/tcp)

　　11) ICMP-- 阻塞收到的回应请求 (ping 命令和 Windows 系统下的traceroute命令),阻塞发出回应应答消息，超时消息，和不可达消息。

转载于:https://blog.51cto/3482506/1290956

通过Internet进行的计算机系统大多数成功***都可以归结到很少数量的安全漏洞上。
　　在Solar Sunrise Pentagon***事件中被***的大多数系统都是因为同一个漏洞受到***。不久前分布式拒绝服务***中被利用的大部分计算机也是因为一个漏洞。最近基于WindowsNT的WEB服务器的大量***也可归结到一个众所周知的漏洞。另外有一个漏洞也被认为可以被用来***超过30000台Linux系统。

　　少量的软件漏洞对应绝大多数成功的***是因为***者都是机会主义者－他们采用最简单最方便的方法。他们用最有效最广泛使用的工具来***最著名的漏洞。他们指望组织没有修补漏洞，他们常常在Internet上扫描有漏洞的系统，作无目的***。

　　系统管理员反映说，他们没有补这些漏洞的原因是他们也不知道超过500个的潜在问题中那些是最严重的，而他们又太忙，不可能把所有的问题都改正好。

　　信息安全共同体试图解决这个问题，标出Internet上最严重的安全问题，汇集系统管理员需要立即解决的漏洞。这个针对TOP TEN列表给出的专家建议展示了史无前例的企业、 政府和学校积极合作的范例。参与者来自最有安全意识的联邦代理、安全软件供应商、咨询机构、基于大学的顶级安全小组、CERT/CC和SANS研究会。完整的参与者名单在文末给出。

　　这里列出专家给出的10个Internet上最常被利用的安全漏洞列表，并给出了如何消除你系统中这些问题的建议。
　　对读者提出的三点注意事项：

　　注1、这是一份随时更新(living)的文档，它包含初始定义，一步步更正漏洞的指导意见。我们会随时更新这些建议，使它更正确更方便，欢迎你的加入。这是一封公开的建议文档－你消除漏洞的经验可以帮助后来人。有建议可以"Top Ten Comments"为标题发信
到〈info@sans〉。想获得最新版本的指导可以"Top Ten Fixes"为标题发信到〈info@sans〉。

　　注2、你将看到给出了CVE检索项的参考－the Comm Vulnerabilities and Exposures索引号同漏洞相对应，CAN是CVE的候补索引项，它还没有得到完全的认可。对CVE项目更多的了解可参照：http://cve.mitre

　　注3、在列表的最后，你会看到一个附加章节给出了常被探测和***的端口列表。通过在防火墙或其它边界防护设备阻塞掉这些端口，你可以增加一个额外的防护层保护你的错误配置。


　　1. BIND weaknesses: nxt, qinv and in.named allow immediate root compromise.

　　BIND程序存在的问题，利用nxt,qinv,in.named可直接得到root权限。BIND(Berkeley Internet Name Domain)软件包是域名服务（DNS）的一个应用最广泛的实现软件－－我们所有人都通过它来定位Internet上的系统，只需知道域名（如www.sans）而不用知道IP地址，由此可体会它的重要性－－这使它成为最受欢迎的***目标。

　　很遗憾，根据1999年中的回顾，Internet上的DNS服务器有50%以上用的是有漏洞的BIND版本。

　　比较典型的BIND***的例子是，***者抹掉系统记录，安装工具获得管理员级别的访问。他们然后编译安装IRC工具和网络扫描工具，用它们扫描更多的B类网络，找到其它的使用有漏洞版本的BIND的域名服务器。只需几分钟，他们就可以攻入成千上百个远程系统，取得更多的***成果。

　　这种混乱的场面说明，在Internet上广泛应用的服务上，如DNS服务，软件中一个很小的漏洞都是非常可怕的。

　　受影响的系统：
　　多数UNIX和Linux系统

　　到2000年5月22日为止，BIND8.2.2patch5以前的版本都有问题。

　　CVE检索项：
　　nxt CVE-1999-0833
　　qinv CVE-1999-0009
　　相关检索项: CVE-1999-0835, CVE-1999-0848, CVE-1999-0849,CVE-1999-0851
　　更正建议：
　　A、取消所有非授权作为DNS服务器的机器上的BIND后台进程(named)。一些专家还建议删掉这些DNS软件。

　　B、把授权作为DNS服务器的软件升级到最新版本，加入最新补丁。（到2000年5月22日为止，最新版本为8.2.2，patch5）。
采纳如下的其它指导建议：
　　For the NXT vulnerability: http://www.cert/advisories/CA-99-14-bind.html
　　For the QINV (Inverse Query) and NAMED vulnerabilities:
http://www.cert/advisories/CA-98.05.bind_problems.html
http://www.cert/summaries/CS-98.04.html

　　C、以非特权用户身份运行BIND，以便将来受到远程***时得到保护。（但是，必须以root身份运行程序才能配置使用低于1024端口－如DNS要求的53，因此你必须配置BIND在绑定到指定端口后改变用户身份。）

　　D、在chroot()过的目录中运行BIND，以便将来受到远程***时得到保护。


　　2. Vulnerable CGI programs and application extensions (e.g., ColdFusion) in stalled on web servers.

　　在WEB服务器上安装的有漏洞的CGI程序和应用扩展（如ColdFusion）

　　大部分WEB服务器支持CGI(Common Gateway Interface)程序以提供WEB页面的交互功能，如数据采集和检验。很多WEB服务器缺省的安装了CGI例子程序。很不幸，很多CGI程序并没有考虑到它们有可能被滥用去执行恶意指令。***者选择CGI程序作为***目标主要因
为它们容易定位，并以同WEB服务器相同的权限运行。***者利用有漏洞的CGI程序破坏主页，盗窃信用卡信息，安装后门以利于将来即使CGI程序被修补好仍然可以***。


　　当司法部的Janet Reno的图片被换成Adolph Hitler时，得出了CGI漏洞是最有可能的***网络的方法的结论。Allaire的ColdFusion是一个WEB服务器应用软件，缺省安装时包含有漏洞例子CGI程序。作为一个最一般的法则，例子程序应该从系统中删除。

  受影响的系统：
　　所有的WEB服务器。


　　CVE检索项：

　　有漏洞例子程序的CGI程序
　　CAN-1999-0736
　　CVE-1999-0067
　　CVE-1999-0068
　　CVE-1999-0270
　　CVE-1999-0346
　　CVE-2000-0207

　　没有例子程序但有漏洞的CGI程序
　　CAN-1999-0467
　　CAN-1999-0509
　　CVE-1999-0021
　　CVE-1999-0039
　　CVE-1999-0058
　　CVE-1999-0147
　　CVE-1999-0148
　　CVE-1999-0149
　　CVE-1999-0174
　　CVE-1999-0177
　　CVE-1999-0178
　　CVE-1999-0237
　　CVE-1999-0262
　　CVE-1999-0279
　　CVE-1999-0771
　　CVE-1999-0951
　　CVE-2000-0012
　　CVE-2000-0039
　　CVE-2000-0208

　　ColdFusion例子程序漏洞
　　CAN-1999-0455
　　CAN-1999-0922
　　CAN-1999-0923

　　ColdFusion其它漏洞
　　CAN-1999-0760
　　CVE-2000-0057
　　更正建议：

　　A、不要以ROOT身份运行WEB服务器。

　　B、去掉BIN目录下的CGI脚本解释器。
http://www.cert/advisories/C ... in_cgi_bin_dir.html

　　C、删掉不安全的CGI脚本。
http://www.cert/advisories/CA-97.07.nph-test-cgi_script.html
http://www.cert/advisories/CA-96.06.cgi_example_code.html
http://www.cert/advisories/CA-97.12.webdist.html

　　D、编写安全的CGI脚本
http://www-4.ibm/software/developer/library/secure-cgi/
http://www.cert/tech_tips/cgi_metacharacters.html
http://www.cert/advisories/CA-97.24.Count_cgi.html

　　E、不需要CGI的WEB服务器上不配置CGI支持。

　　F、在chroot()过的环境中运行WEB服务器，以便保护机器防止其它不断发现的漏洞。


　　3. Remote Procedure Call (RPC) weaknesses in rpc.ttdbserverd (ToolTalk), rp c.cmsd (Calendar Manager), and rpc.statd that allow immediate root compromise

　　RPC(Remote Procedure Call)中rpc.ttdbserverd(ToolTalk)、rpc.cmsd(Calendar Man ager)和rpc.statd可以直接获得root权限

　　远程过程调用（RPC）允许一台计算机上的程序去执行另一台计算机上的程序。它们广泛的应用在各种网络服务中，如文件共享服务NFS。有很多漏洞是RPC本身的缺陷导致的，它们正不停的涌现出来。有很明显的证据表明，1999年末2000年初大规模的分布式拒绝
服务***中，很多被作为***跳板的牺牲品就是因为存在RPC漏洞。在Solar Sunrise事件期间，对美国陆军广为人知的成功***就是因为在数百台国防部的系统中找到了一个RPC漏洞。

　　受影响的系统：
　　多数UNIX和Linux系统

　　CVE检索项：
　　rpc.ttdbserverd - CVE-1999-0687, CVE-1999-0003, CVE-1999-0693 (-0687 比-0003 新，但二者都能让远程***者得到root权限，好像-0003漏洞还有很多很多；－0693 只能作为本地***，但也能得到root权限。)
　　rpc.cmsd ？ CVE-1999-0696
　　rpc.statd - CVE-1999-0018, CVE-1999-0019.


　　更正建议：

　　A、如果可能的话，关掉和/或删除那些可以从Internet上直接访问到的服务。

　　B、对于必须运行的，安装最新的补丁：
　　For Solaris Software Patches:
　　--http://sunsolve.sun  
　　For IBM AIX Software
　　--http://techsupport.services.ibm/support/rs6000.support/downloads  
　　--http://techsupport.services.ibm/rs6k/fixes.html  
　　For SGI Software Patches:
　　--http://support.sgi/  
　　For Compaq (Digital Unix) Patches:
　　--http://wwwpaq/support  

　　在供应商的补丁数据库中找tooltalk的补丁程序，并立刻安装。 对这三个主要RPC漏洞做出专门的建议的总结性文档可在如下地址找到：
http://www.cert/incident_notes/IN-99-04.html
　　For statdd: http://www.cert/advisories/CA-99-05-statd-automountd.html
　　For ToolTalk: http://www.cert/advisories/CA-98.11.tooltalk.html
　　For Calendar Manager: http://www.cert/advisories/CA-99-08-cmsd.html


　　4. RDS security hole in the Microsoft Internet Information Server (IIS).微软IIS中存在的RDS安全漏洞

　　微软的IIS(Internet Information Server)是用在微软WindowsNT和Windows2000服务器 上的WEB服务软件。在IIS的远程数据服务（RDS）中的编程缺陷可被恶意用户利用，用来远程执行管理员级别的命令。一些参与制定十大威胁列表的专家认为，IIS的其它漏洞，如.HTR文件，至少同RDS漏洞一样严重。当使用IIS的组织安装或升级RDS漏洞补丁的时候，应当采取谨慎的态度，同时安装和升级所有已知的IIS安全缺陷的补丁程序。

　　受影响的系统：
　　使用IIS的Microsoft Windows NT系统

　　CVE检索项：
　　CVE-1999-1011

　　更正建议：

　　A、使用用户自己的处理程序并删掉注册表中VBBusObj的索引项
　　HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/W3SVC/Parameters/ADCLaunch/VbBusObj.VbBusObjCls

　　B、参考微软公布的信息去掉服务或更正RDS漏洞以及其它IIS的安全问题。
http://support.microsoft/support/kb/articles/q184/3/75.asp
http://www.microsoft/technet/security/bulletin/ms98-004.asp
http://www.microsoft/technet/security/bulletin/ms99-025.asp


　　5. Sendmail buffer overflow weaknesses, pipe attacks and MIMEbo, that allow immediate root compromise.
Sendmail缓冲区溢出问题，pipe***和MIMI缓冲区溢出都可以直接得到root权限。

　　在大多数UNIX和Linux系统中用Sendmail程序发送、接收和转发电子邮件。Sendmail的广泛应用使它成为***者选取的主要目标。这些年来发现了很多漏洞，最早的是1988年CERT/CC发布的一个建议文件。最常见的漏洞之一是，***者发送一封处理过的邮件但运行
Sendmail的机器，Sendmail把邮件作为指令读出执行，使目标机器把本机上的口令文件发送到***者的机器上（或其它被侵入的机器）然后破解口令。

　　受影响的系统：
　　多数UNIX和Linux系统

　　CVE检索项：
　　CVE-1999-0047, CVE-1999-0130, CVE-1999-0131, CVE-1999-0203, CVE-1999-0204, C
　　VE-1999-0206.
　　CVE-1999-0130 is locally exploitable only.

　　更正建议：

　　A、升级Sendmail到最新版本并/或修补它。参见：
http://www.cert/advisories/CA-97.05.sendmail.html

　　B、在既不是邮件服务器也不作邮件转发的机器上不用以后台进程模式运行Sendmail（关掉 -bd 选项）。
　　p>6. sadmind and mountd Sadmind用于Solaris系统的远程管理访问，提供图形化的系统管理功能。Mountd控制管理UNIX主机上NFS的加载点。这些应用程序的缓冲区溢出***可以让***者得到root权限。

　　受影响的系统：
　　多数UNIX和Linux系统
　　Sadmind：仅仅Solaris系统

　　CVE检索项：
　　sadmind - CVE-1999-0977
　　mountd - CVE-1999-0002.

　　更正建议：

　　A、如果可能的话，关掉和/或删除那些可以从Internet上直接访问到的服务。

　　B、对于必须运行的，安装最新的补丁：
　　For Solaris Software Patches:
　　--http://sunsolve.sun  
　　For IBM AIX Software
　　--http://techsupport.services.ibm/support/rs6000.support/downloads  
　　--http://techsupport.services.ibm/rs6k/fixes.html  
　　For SGI Software Patches:
　　--http://support.sgi/  
　　For Compaq (Digital Unix) Patches:
　　--http://wwwpaq/support  

　　C、更多建议参见：
http://www.cert/advisories/CA-99-16-sadmind.html
http://www.cert/advisories/CA-98.12.mountd.html


　　7. Global file sharing and inappropriate information sharing via NetBIOS and Windows NT ports 135-〉139 (445 in Windows2000), or UNIX NFS exports on port 2049, or Macintosh Web sharing or AppleShare/IP on ports 80, 427, and 548.

　　通过NetBIOS协议和Windows NT 135-〉139端口（Windows2000下是445）或UNIX NFS在2049端口给出的或Macintosh Web共享或AppleShare/IP在80、427和548端口给出的等等全局共享和不正确的信息共享。

　　这些服务允许在网络上共享文件。但如果配置不正确，它们会暴露重要的系统文件或给出整个文件系统的完全控制权到网络上的任何一台机器上。很多计算机的主人或管理员为了提高数据访问的方便性而利用这些服务使他们的文件系统可读写。如一个政府机关计算机管理员在开发任务计划软件时使他们的文件全局可读以方便政府的其它部门访问，没过两天，就有人发现了这些共享并偷走了整个任务计划软件。

　　当在Windows系统中实现文件共享时，产生的问题就不单单是信息窃贼，还有某些特定类型感染极快的病毒。最近发现的一个叫做911的蠕《纠?肳indow95和Windows98的文件共享来传播，使被感染的机器通过连在它上面的调制解调器拨打911电话。Macintosh计算机的文件共享漏洞也存在同样的问题。

　　同样，NetBIOS机制在允许Windows文件共享的同时也常常会给出NT系统的敏感系统信息。用户和组信息（用户名、最后登陆时间、口令策略、RAS信息），系统信息和一些注册表中的键值都可以通过建立在NetBIOS连接服务上的空任务连接"null session"被访问到
。针对NT目标系统，这些信息常被用作口令猜测或暴力口令***的基础。


　　受影响的系统：
　　UNIX，Windows，和Macintosh系统

　　CVE检索项：
　　SMB shares with poor access control - CAN-1999-0520
　　NFS exports to the world - CAN-1999-0554候选检索项在被正式接受作为完全的CVE前可能有比较大的改动。


　　更正建议：

　　A、共享加载的设备时，一定要保证只共享必须的子目录。

　　B、因为DNS名称可能伪造，为了更好的安全性，只对指定的IP地址提供共享。

　　C、对于Windows系统，要保证所有的共享都采用了很难破解的口令。

　　D、对于Windows NT系统，禁止利用空任务连接为匿名用户提供用户、组、系统配置和注册表键值信息。

　　在路由器或NT主机上阻塞掉到NetBIOS任务服务（tcp 139）的连接。

　　对连入Internet的独立主机或不信任域环境要仔细考虑受限匿名用户的注册表键值的实现。
　　NT4: http://support.microsoft/support/kb/articles/Q143/4/74.asp
　　Win2000: http://support.microsoft/support/kb/articles/Q246/2/61.ASP

　　E、对于Macintosh系统，去掉WEB共享扩展，除非特别需要。如果必须提供文件共享，一定要保证使用强口令控制。当不需要时一定要去掉文件共享。

　　如果要永久性的去掉MacOS8或MacOS9上的WEB共享，要删掉两个文件并重新启动机器：
　　System Folder:Control Panels:Web Sharing
　　System Folder:Extensions:Web Sharing Extension

　　如果要永久性的去掉MacOS9上的AppleShare/IP，要删掉一个文件并重新启动机器：
　　System Folder:Extensions:Shareway IP Personal Bgnd



　　8. User IDs, especially root/administrator with no passwords or weak passwords.用户，尤其是超级用户或系统管理员(root/administrator)，没有口令或口令很弱。

　　一些系统带有"demo"或"guest"等无口令或广为人知的缺省口令的用户。服务工作人员一般给你装完系统后，把超级用户口令设为空；一些数据库系统的管理员帐号一般在安装时设为缺省口令。另外，繁忙的系统管理员常常选择非常容易被猜到的系统口令("love
","money","wizard"是最常见的)或者就使用空口令。缺省的口令让***者可以毫不费力的访问系统。很多***者先尝试缺省口令然后猜口令最后才用其它更复杂的方法。***者拿到一般用户权限后可以让他们进入防火墙或目标机器，一旦进入，很多***者就能够利用各种各样的系统漏洞得到超级用户或管理员权限。

　　受影响的系统：
　　所有系统。

　　CVE检索项：
　　Unix guessable (weak) password - CAN-1999-0501
　　Unix default or blank password - CAN-1999-0502
　　NT guessable (weak) password - CAN-1999-0503
　　NT default or blank password - CAN-1999-0504
　　候选检索项在被正式接受作为完全的CVE前可能有比较大的改动。


　　更正建议：

　　A、建立可接受的口令策略，包括分派负责和周期性检验口令质量。要保证高级领导也不例外。要求的策略也包括把计算机连入Internet前改变所有缺省口令，对不合作者给予实质性的处罚。

　　B1、非常重要！有写权限以便测试口令。
　　B2、用口令破解程序测试口令：
　　　For Windows NT: l0pthcrack http://www.l0pht
　　For UNIX: Crack http://www.users.dircon.co.uk/~crypto

　　C、在创建口令时执行检查功能。
　　For UNIX: Npasswd, http://www.utexas.edu/cc/unix/software/npasswd
　　For Windows NT: http://support.microsoft/support/kb/articles/Q161/9/90.asp

　　D、强制使口令周期性过期(at a frequency established in your security policy)。

　　E、保持口令历史记录，使用户不能循环使用旧口令。


　　其它资料可在如下地址找到：
http://www.cert/tech_tips/passwd_file_protection.html
http://www.cert/incident_notes/IN-98.03.html
http://www.cert/incident_notes/IN-98.01.irix.html


　　9. IMAP and POP buffer overflow vulnerabilities or incorrect configuration. IMAP和POP缓冲区溢出漏洞或不正确的配置

　　IMAP和POP是最流行的远程邮件存取协议，允许用户从内部和外部网络访问他们的邮件帐户。这些服务的“开放性访问”本质上决定了它们特别脆弱，因为开放使它们即使在防火墙之内也要允许外部的电子邮件存取。***者利用IMAP或POP漏洞***常常能直接获得
ROOT级别的控制权。

　　受影响的系统：
　　多数UNIX和Linux系统

　　CVE检索项：
　　CVE-1999-0005, CVE-1999-0006, CVE-1999-0042, CVE-1999-0920, CVE-2000-0091


　　更正建议：

　　A、在不提供邮件服务的机器上取消这些服务。

　　B、使用最新的补丁和版本。
　　资料可在如下地址找到：
http://www.cert/advisories/CA-98.09.imapd.html
http://www.cert/advisories/CA-98.08.qpopper_vul.html
http://www.cert/advisories/CA-97.09.imap_pop.html

　　C、一些专家也建议用TCP Wrapper类软件控制对这些服务的访问，同时用SSH和SSL等加密信道以保护口令。


　　10. Default SNMP community strings set to ‘public’ and ‘private.’
　　缺省的SNMP口令(community strings)被设为"public"和"private"。

　　简单网络管理协议(SMTP)被网络管理员广泛的使用，从路由器到打印机到计算机，所有连入网络中的设备都可以通过它来监控和管理。SNMP使用未加密的口令(community strings)作为认证的唯一机制。缺少加密已经够糟糕的了，同时绝大多数SNMP设备的缺省口
令为"public"，少数“聪明”一点的网络设备供应商把口令改为了"private"。***者可以利用SNMP的这个漏洞远程重新配置或关掉设备。监听SNMP流量可以暴露你网络的大部分细节，包括系统和连入的设备。***者用这些信息来找出***目标和规划***。

　　受影响的系统：
　　所有系统和网络设备。

　　CVE检索项：
　　default or blank SNMP community name (public) - CAN-1999-0517
　　guessable SNMP community name - CAN-1999-0516
　　hidden SNMP community strings - CAN-1999-0254, CAN-1999-0186
　　候选检索项在被正式接受作为完全的CVE前可能有比较大的改动。


　　更正建议：

　　A、如果你不是绝对需要SNMP，关掉它。

　　B、如果你使用SNMP，就要采用同本安全列表中的第8个问题中针对口令一样的安全策略。

　　C、用SNMPWALK验证和检查口令。

　　D、如果可能，把MIB设为只读。

　　其它信息：
http://www.cisco/univercd/cc ... mp.htm#xtocid210315

　　A High Priority Bonus Item for Windows Users and Administrators Various Scripting Holes in Internet Explorer and Office2000

　　针对Windows系统用户和管理员的有益补充：IE浏览器和Office2000中的各种脚本漏洞

　　最近病毒***已经展示了宏和脚本代码可以很容易的通过电子邮件附件传播，人们被告诫不要打开可能危险的附件。不过，Windows系统用户即使不打开附件，也可能感染恶意病毒。在缺省安装的情况下，Microsoft Outlook 和Outlook Express可以执行电子邮件中的HTML和脚本代码。另外，很多被称为ActiveX组件的可以被含有HTML和脚本代码的电子邮件不正确的执行。含有漏洞的控件包括Scriplet.typlib（同IE4.x和IE5.x一同交付）和UA控件(Office2000)。其它漏洞表明利用活动脚本电子邮件可以在用户的计算机上
安装新的软件。

　　一个相对良性的病毒kak蠕虫就是通过这些机制传播的。恶意版本的kak病毒可以预见任何时候都可能出现。我们建议所有用户和管理员把Outlook和Outlook Express设为只在某些“受限地址域”读取电子邮件，并进一步在这些受限域中关掉活动脚本和ActiveX功
能。微软对某些单独的漏洞已经给出了补丁并正准备在Outlook中加入安全设置，但好像还没有修补Outlook Express的计划。

　　受影响的系统：
　　所有带有IE4.x和IE5.x或Office 2000的Windows系统。带有某些版本的IE的Windows 2000不受影响。

　　CVE检索项：
　　CVE-1999-0668
　　CAN-2000-0329


　　更正建议：
http://www.microsoft/security/bulletins/ms99-032.asp
http://www.microsoft/security/bulletins/MS99-048.asp
http://www.microsoft/technet/security/bulletin/MS00-034.asp

　　这里讨论的特定漏洞的补丁可从下面地址得到：
http://www.microsoft/msdownl ... et/en/scriptlet.htm
http://www.microsoft/msdownl ... ol/en/ascontrol.htm
http://officeupdate.microsoft/info/ocx.htm

　　设置你的安全域到几个限定的站点并取消这个区域中的所有活动内容。
　　及时使用下列站点公布的Outlook补丁：
http://www.officeupdate/2000/articles/out2ksecarticle.htm

　　关键时刻，升级你的杀毒软件对这些问题也不能完全奏效。你必须同时更正微软软件中的缺陷。
　　Perimeter Protection For An Added Layer of Defense In Depth
　　更深层次上的作为附加防卫层的边界保护

　　本节中，我们列出那些常被探测和***的端口。阻塞这些端口是边界安全的最小需求，而不是复杂的防火墙规范表。更好的规则是阻塞掉所有未用端口。即使你认为这些端口已经被阻塞掉了，你也要经常监控它们以便检测到***尝试。阻塞掉下面列表中的某些端口可能会取消必须的服务。在执行下面的建议的时候请考虑它们的潜在影响。

　　1)阻塞“伪造”地址--那些从你公司外部地址来的报文却声称内部地址或专网地址，同时阻塞源路由报文。

　　2)登录服务--telnet(23/tcp),SSH(22/tcp),FTP(21/tcp),NetBIOS(139/tcp),rlogin(512/tcp到514/tcp)等等。

　　3)RPC和NFS--portmap/rpcbind(111/tcp和111/udp),NFS(2049/tcp和2049/udp),lockd(4045/tcp和4045/udp)

　　4)Windows NT下的NetBIOS--135(tcp和udp),137(udp),139(tcp).Windows 2000--这些端口再加上445(tcp和udp)

　　5)X Windows -- 从6000/tcp 到 6255/tcp

　　6)名字服务-- 所有不是DNS服务器的机器上的DNS (53/udp), DNS zone transfers (53/tcp) except from external secondaries, LDAP (389/tcp and 389/udp)

　　7)邮件-- 所有不作外部邮件转发的机器上的SMTP (25/tcp), POP (109/tcp and 110/tcp), IMAP (143/tcp)

　　8)主页-- 除了外部WEB服务器上的HTTP (80/tcp)和SSL (443/tcp), 你也许同时需要阻塞常用的其它高端的HTTP端口(8000/tcp, 8080/tcp, 8888/tcp, etc.)

　　9) "Small Services"-- 低于 20/tcp and 20/udp的端口, time (37/tcp and 37/udp)

　　10)其它-- TFTP (69/udp), finger (79/tcp), NNTP (119/tcp), NTP (123/tcp), LPD(515/tcp), syslog (514/udp), SNMP (161/tcp and 161/udp, 162/tcp and 162/udp), BGP (179/tcp), SOCKS (1080/tcp)

　　11) ICMP-- 阻塞收到的回应请求 (ping 命令和 Windows 系统下的traceroute命令),阻塞发出回应应答消息，超时消息，和不可达消息。

转载于:https://blog.51cto/3482506/1290956