自動化檢查 IIS 5.0 的安全漏洞

網站被駭客侵入或是攻擊的事件是越來越多, 咁講駭客真正是這呢多擱這呢厲害? 實在講這掛事件的發生大部分是因為系統管理者嘸用心來修理 IIS 的安全破洞, 一般不是真高段的駭客只要到微軟的網站看麥這嘛的 IIS 有啥咪安全破洞, 再擱照步來攻擊那掛不注意的網站就可以。
對系統管理者來講要每天去微軟網站檢查也是真麻煩的代誌, 浪費時間無打緊擱降低管理者的階級。 像這款的工作上好是可以甲伊自動化, 所以微軟也真好心出了一支 IIS 5.0 Hot Fix 的檢查程式 HFCHECK.WSF, 來方便管理者將檢查的工作自動化。
HFCheck.wsf

這個安全破洞檢查程式主要是由兩個 Windows Script Host 檔案所組成, HFCHECK.WSF 及 NOTIFY.JS, 這當中 HFCHECK.WSF 是主要的檢查檔案, NOTIFY.JS 的用途則是用作程式個人化功能的延伸。
當你執行 HFCHECK.WSF 時, 它會對照目前微軟 IIS 5.0 的補洞程式清單檔, 與你目前電腦所安裝的補洞程式來做比較, 預設的清單位址是在微軟網站上的 http://www.microsoft.com/technet/security/search/bulletins.xml, 你也可以將這支XML檔抓到本機端, 當然你也可以指定其他的網路位址（如果存在的話）, 當發現你有漏勾任何更新的補洞程式, HFCHECK.WSF 會呼叫 NOTIFY.JS 檔內底的 Notify 函數, 預設它會在命令列顯示出警告訊息並將訊息寫入去事件檢視器, 不過這個動作是可以依自己的需要來定做的, 譬如你可以把訊息用電子郵件的方式寄給管理者。
要注意的所在

• 目前HFCHECK只能檢查Windows 2000平台上的IIS 5.0
• 如果你重新安裝IIS, 你要記得刪除登錄資料庫 Registry 中的 hotfix 登錄值, 因為HFCHECK實際上也是參考登錄值來偵測漏勾的安全補洞程式。重新安裝 IIS 會將之前所補的洞蓋掉但卻是不會刪除 hotfix 登錄值, 所以如果你重新安裝IIS, 請刪除HotFix下底的登錄值
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\HofFix

使用方法
在你將檔案下載了後請解壓縮到資料夾, 譬如 E:\HFC, 擱來請打開命令提示字元, 執行 HFCHECK.WSF, 你可能會看到這樣的訊息

這是因為這支程式必須要在CScript下執行，你可以更改預設的Script Host
C:\cscript.exe //H:cscript
如果你只是執行HFCHECK.WSF，它只會檢查本機端漏勾的安全破洞，當然這支程式嘸這飯桶的，你還可以加上一掛命令列的參數來加強它的功能，來看它的命令列參數：
/B <檢查清單檔的路徑>
你可以用/B來指定其他的清單檔路徑，預設的檢查清單檔的路徑是http://www.microsoft.com/technet/security/search/bulletins.xml，只要將它抓回來存在本機端即可。例：
hfcheck.wsf /B e:\HFC\bulletins.xml
/M <電腦一,電腦二,...>
你可以同時檢查遠端機器的安全破洞，利用/M參數加上電腦名稱，每台電腦名稱以逗號隔開，不過這中間不要插入空白。例：
hfcheck.wsf /M iis1,iis2,iis3
/U <網域\使用者帳號 或是 電腦名稱\使用者帳號> /P <密碼>
當你要檢查遠端電腦，你的本機端的使用者帳號必須也要是遠端機器的管理者，如果不是你要提供一組管理者帳號才能連結到遠端電腦。例：
hfcheck.wsf /M iis1 /U domain\Administrator /P adminpassword
/?
這個參數免講嘛知，顯示說明。
個人化定做
在頭前有講到你也可以將檢查的結果以電子批件的方式來通知管理者, 在微軟的文件裡有一段範例, 不過講了不是真清楚, 所以這部分還是靠自己, 來看看如何做!

這部分程式碼收錄於泊學讀冊誌試讀版,
  
定時排程
當然擱來你不需要手動去執行這支程式來檢查安全漏洞, 你可以將這項例行的工作交給Windows的工作排程, 你可以使用 AT 指令：

這部分程式碼收錄於泊學讀冊誌試讀版,
  
希望這篇文章對你有幫助!
  

原文转自：http://www.ltesting.net