常在網(wǎng)上飄，哪有不挨刀？只要聯(lián)上互聯(lián)網(wǎng)，就有可能受到各種攻擊，可能是被病毒攻擊，也可能是被黑客攻擊。那如何才能保證我們的系統(tǒng)安全呢？我們將以一種常見(jiàn)的WMI攻擊方式為例告訴大家它是如何進(jìn)行攻擊的，并給出防范這種攻擊的一般方法。 WMI是“Microsoft Windows 管理規(guī)范”的簡(jiǎn)稱，需要“Windows Management Instrumentation”服務(wù)支持，而這個(gè)服務(wù)是默認(rèn)啟動(dòng)的，這就為入侵提供了很大的方便。只要黑客知道了管理員的用戶名和密碼，而且本機(jī)的135端口已開(kāi)啟，黑客就可以在被入侵的機(jī)器上執(zhí)行任意命令，取得控制權(quán)。而大多數(shù)用戶在安裝系統(tǒng)時(shí)都把系統(tǒng)自帶的管理員賬戶Administrator密碼留空，這無(wú)疑給了黑客可乘之機(jī)，即使是很初級(jí)的“無(wú)聊黑客”也可以輕而易舉地使用利用WMI漏洞的工具來(lái)實(shí)現(xiàn)入侵。 WMI入侵 1．Remoxec Remoxec是最早出現(xiàn)的利用WMI原理編寫的程序，功能簡(jiǎn)單，但已具有執(zhí)行任意命令的功能。 在軟件界面中輸入目標(biāo)主機(jī)的域名或IP地址及具有管理員權(quán)限的用戶名密碼，再輸入要執(zhí)行的命令，就可以入侵了。比如要新建一個(gè)用戶名名為“simuz”，密碼為“123456”的用戶，只要輸入“net user simuz 123456 /add”即可，命令執(zhí)行成功后會(huì)彈出一個(gè)成功的提示對(duì)話框。利用命令可以做很多事，比如提升用戶為管理員，上傳文件等，可以這么說(shuō)，只要在Shell中可以做到的事，在Remoxec中同樣可以做到。 ≈?Shell是一個(gè)命令解釋器，類似于Dos下的command.com。它用來(lái)接收用戶命令，然后調(diào)用相應(yīng)的應(yīng)用程序。 2．Recton 與Remoxec相比，Recton的功能就強(qiáng)多了，它內(nèi)置了開(kāi)啟3389端口、開(kāi)啟Telnet等功能，只要輸入主機(jī)的管理員用戶名和密碼，選擇相應(yīng)的命令并執(zhí)行即可。在開(kāi)啟了對(duì)方的遠(yuǎn)程終端服務(wù)后，就可以像操作自己的電腦一樣操作主機(jī)了（如圖1）。

圖1

　 WMI入侵的防范 從上文我們可以得知，利用WMI服務(wù)進(jìn)行入侵需要兩個(gè)必要條件，即系統(tǒng)的135端口和Windows Management Instrumentation服務(wù)要同時(shí)開(kāi)啟，所以我們可以對(duì)癥下藥，不用任何工具就能切斷黑客利用WMI入侵這條途徑。 方法一：利用WMI入侵首先需要得到目標(biāo)主機(jī)的管理員用戶名和密碼，而粗心的用戶往往會(huì)將系統(tǒng)默認(rèn)的Administrator賬戶密碼留空，因此就給了黑客可乘之機(jī)。我們可以為該賬戶設(shè)置一個(gè)“強(qiáng)悍”的密碼，這樣黑客就很難破譯管理員密碼，利用WMI入侵的幾率就很小了。 方法二：關(guān)閉135端口或Windows Management Instrumentation服務(wù)都可以防止WMI入侵，但是WMI服務(wù)是系統(tǒng)基本的服務(wù)，關(guān)閉它會(huì)造成系統(tǒng)崩潰，因此我們可以從關(guān)閉端口入手，利用系統(tǒng)內(nèi)置的“TCP/IP篩選”功能就可以做到。打開(kāi)控制面板里的“網(wǎng)絡(luò)連接”，在本地連接圖標(biāo)上點(diǎn)擊鼠標(biāo)右鍵，選擇“屬性”，然后在打開(kāi)的對(duì)話框中雙擊“Internet協(xié)議（TCP/IP）”，再點(diǎn)擊下面的“高級(jí)”按鈕打開(kāi)“高級(jí)TVP/IP設(shè)置”對(duì)話框并切換到“選項(xiàng)”標(biāo)簽，雙擊“TCP/IP篩選”，在這里就可以設(shè)置需要關(guān)閉的端口了。比如要關(guān)閉135端口，可以照?qǐng)D2所示來(lái)設(shè)置。關(guān)閉了必要的端口后，黑客就無(wú)法連接WMI服務(wù)了。

圖2