八、unicode安全问题

1、unicode漏洞解决方案

简单解决方案：
限制网络用户访问和调用CMD的权限，
在SCRIPTS、MSADC目录没必要使用的情况下，删除该文件夹或者改名。
安装NT系统时不要使用默认WINNT路径，你可以改为badboy或者其他什么的文件夹。
当然最好的方法还是下载最著名的补丁公司m$提供的补丁。
该漏洞补丁随微软安全公告MS00-057一起发布
(http://www.microsoft.com/technet/security/bulletin/ms00-057.asp)
可以从如下地址下载补丁:
IIS 4.0
http://www.microsoft.com/ntserver/nts/downloads/critical/q269862/default.asp
IIS 5.0
http://www.microsoft.com/windows2000/downloads/critical/q269862/default.asp

2、检查是否被黑客利用unicode漏洞入侵

检查LOG日志
在winnt＼system32＼logfiles＼w3svc1＼目录里保留有web访问记录
如果曾经被人利用UNICODE漏洞访问过，我们可以在日志里看到类似的记录
13:46:07 127.0.0.1 GET /scripts/..＼../winnt/system32/cmd".exe 401
13:46:07 127.0.0.1 GET /scripts/..＼../winnt/system32/cmd".exe 200
如果有人曾经执行过COPY、del、echo、.bat等具有入侵行为命令时
13:47:37 127.0.0.1 GET /scripts/..＼../winnt/system32/cmd".exe 401
13:47:37 127.0.0.1 GET /scripts/..＼../winnt/system32/cmd".exe 502

在winnt/system32/logfiles＼msftp＼svc1目录里可以找到运行FTP的日志
如果有人执行过FTP命令，在日志文件里我可以看到类似的记录
13:59:25 127.0.0.1 [2]USER badboy 331
13:59:25 127.0.0.1 [2]PASS - 230
13:59:25 127.0.0.1 [2]sent /a.txt 226
13:59:25 127.0.0.1 [2]QUIT - 226