云锁公告

拿什么拯救你,被抛弃的windows server 2003

文章来源: 发布者: 发布时间:2017-3-29

Windows Server 2003又爆漏洞了,这次是Windows Server 2003R2版本自带的web服务器软件IIS 6.0,漏洞编号:CVE-2017-7269


IIS6.0的 WebDAV 服务中 ScStoragePathFromUrl 函数存在缓存区溢出漏洞,远程攻击者通过以“If:<http://”开头的长header PROPFIND请求,可以导致任意代码执行。 

 


尽管微软2015714日已经停止了对server 2003的安全补丁更新,但由于server 2003系统简单干净,加上部分用户不愿意做业务迁移,全球仍有大量的主机仍在运行server 2003 ,据Netcraft的调查结果,全球仍有20%的受访网站(1.75亿)运行在server 2003之上。

 

被抛弃的window server 2003改如何自救?

 

server 2003停服后,就不断有安全漏洞爆出,本次IIS6.0的安全漏洞级别更被定位为高危,因为没有安全补丁可打,部分用户只能选择关闭IIS下的webDAV服务,除此之外是否有更好的解决方法?

 

我们知道,操作系统本身其实都有一套安全机制,只不过这套机制的防护力度比较粗而且不够智能化,我们可以通过对系统自身进行合理设置,提升操作系统的安全性和抗攻击能,另外再利用服务器安全软件(如:云锁)加固系统,进一步提高操作系统抗攻击能力。

 

我们先在一台server 2003主机上部署云锁。云锁采用服务器端agent+远程控制台的部署方式,服务器端agent占用资源很少、清爽干净,下面是PC版控制台的截图,另外云锁还提供网页控制台和手机控制台的登陆方式,远程批量管理服务器非常方便。



云锁的系统防护功能很全,包括文件上传防护、文件防篡改、服务器优化、漏洞修复(微软提供的官方安全补丁)、防端口扫描等,因为本次是server 2003漏洞,并没有安全补丁可打,所以我们用云锁的服务优化功能,对系统自身的配置进行合理设置,提升操作系统的安全性和抗攻击能,同时禁用系统中无用的服务,降低服务器资源占用,进一步提高系统安全性。云锁提供一键优化功能,一键操作非常方便。




因为本次是IIS6.0爆出的安全漏洞,再看看云锁对IIS应用是如何防护,首先点击应用防护,可以看到云锁可以自动识别到服务器上的应用进程,对每个进程都有不同的防护模块。




点击IIS6.0的web防护功能,可以看到防护内容非常完整,包括漏洞防护、后台防护、抗CC、敏感词过滤、HTTP响应内容防护等。



这次是web服务器应用的漏洞,因此我们点击网站漏洞防护。发现在云锁默认规则中,已经禁用了除get、post外的请求类型,因此本次IIS6.0利用PROPFIND请求的所谓0DAY,对装了云锁的服务器无效,可以无视。



实际测了一下,CVE-2017-7269漏洞攻击直接被云锁拦截,攻击日志如下:



云锁的web应用防护是采用探针的方式,在web应用中插入流量过滤探针,通过防护规则、结合海量安全大数据,对流量进行安全过滤,就是软件形式的waf插件,支持IIS、apache、nginx、tomcat、WebSphere、TongWeb、Jboss、Glassfish、Jetty等几乎所有的web应用。


然而通过waf规则只能防护住已知攻击,在waf探针后端,云锁还通过RASP技术对应用系统的流量、上下文、行为进行持续监控,识别及防御已知及未知威胁,能有效防御SQL注入、命令执行、文件上传、任意文件读写、反序列化、Struts2等基于传统签名方式无法有效防护的应用漏洞,可以有效防御0DAY,RASP和检测未知webshell的沙盒,就是云锁高级防护里面的内容。


因此,如果用户坚持使用windows server 2003,即使没有微软的安全补丁,用云锁也可以有效抵御黑客攻击,以及0DAY。当然server 2008 、server 2012包括linux服务器用户,也很有必要在服务器上装个云锁,除了安全防护之外,云锁还提供边界管理、业务拓扑、攻击溯源、安全态势感知、风险扫描的一体化防护方案,是用户安全运维的好助手。


服务器自救,其实就这么简单。