不管是在Windows XP上启用防火墙还是Windows Server上配置TCP/IP筛选,都不能严格控制出去的流量。因此如果你的服务器中了木马程序(比如中了灰鸽子木马程序),该程序会主动连接入侵者建立会话,入侵者就能监控和控制你的服务器了。
最大化配置服务器网络安全,你可以严格控制进出服务器的流量,比如你的服务器是Web服务器,你可以配置只允许TCP目标端口80的数据包进入服务器,TCP源端口为80的数据包离开服务器。这样即便你的服务器中了灰鸽子木马程序,也不能主动连接入侵者。这种控制方式可以通过配置服务器IPSec来实现,Windows XP,Windows Server 2003和Windows Server 2008都支持IPSec。
下面就以通过IPSec配置Web服务器安全,防止灰鸽子木马程序为例。演示入侵者制作木马程序,在Server上启用Windows防火墙,安装木马程序,在入侵者远程控制服务器。配置IPSec,如图2-143所示,只允许TCP的目标端口为80数据包进入服务器,只允许TCP的源端口为80的数据包离开服务器。验证木马程序不能连接入侵者。
入侵者的IP地址为192.168.1.121,服务器Server的IP地址为192.168.1.200。
1.制作木马程序
灰鸽子木马程序,可以在http://down.51cto.com/搜索“灰鸽子”,可以找到并下载。
中了灰鸽子木马程序,会主动连接到入侵者,入侵者就可以远程监控和操控中了木马的服务器。这就要求木马程序能够连接到入侵者,因此生成的木马程序必须指定入侵者的IP地址。
(1)如图2-144所示,在入侵者的计算机上安装并运行灰鸽子木马程序,单击“配置服务程序”按钮,提示:木马程序在中了招的计算机上是以服务的方式存在的。
(2)如图2-145所示,在出现的“服务器配置”对话框的“自动上线设置”中输入入侵者的IP地址。
图2-144 运行灰鸽子木马程序 ▲图2-145 “服务器配置”对话框