斷開網絡準備關機，意外地發現本來十分干凈的桌面上多了一個文件，

遭遇入侵　堵上致命的 IISUnicode 漏洞

。奇怪？打開這個文本文件，上面赫然寫著：你的電腦有漏洞，我隨時都可以刪除你的文件！不相信就看看你XXX目錄下的那個文件，他已經被我移動到了XXX目錄里。天！我遭 攻擊了。好在他還處于 的初級階段，我知道他是如何入侵我的計算機的。

    掃描漏洞的軟件

    他可能采用了掃描漏洞的 軟件如：X-Scan V2.3、小榕的“流光”等，以X-Scan V2.3為例，該軟件采用多線程方式對指定IP地址段進行安全漏洞檢測，并提供了圖形界面和命令行兩種操作方式，掃描內容包括：遠程操作系統類型及版本，標準端口狀態及端口BANNER信息，CGI漏洞，IIS漏洞，RPC漏洞，SQL-SERVER、FTP-SERVER、SMTP-SERVER、POP3-SERVER、NT-SERVER弱口令用戶，NT服務器NETBIOS信息等。掃描結果會保存在/log/目錄中，index_*.htm為掃描結果索引文件。下載完成后，點擊壓縮包中“xscan_gui.exe”進入X-Scan圖形界面。

    設置掃描參數

    他點擊工具欄的第二個按鈕進入“掃描參數”對話框，在“指定IP范圍”欄中輸入局域網IP地址范圍是“192.168.0.1-192.168.0.99”。其它可以使用默認。

    開始掃描

    他點擊工具欄的第三個按鈕進行漏洞掃描。檢測出IP地址為“192.168.0.15”，我的計算機有許多明顯的IISUnicode漏洞。想知道IISUnicode漏洞是什么嗎？我簡單介紹一下IISUnicode漏洞：微軟的IIS4.0和5.0都存在利用擴展Unicode字符取代“/”和“\”從而利用“../”目錄遍歷的漏洞。未經授權的用戶可能利用IUSR_machinename賬號進行入侵。該賬號在默認情況下屬于Everyone和Users組的成員，因此任何與Web根目錄在同一邏輯驅動器上并能被這些用戶組訪問的文件都能被刪除、修改或執行，就如同一個用戶成功登陸后所能完成的一樣，

電腦資料

《遭遇入侵　堵上致命的 IISUnicode 漏洞》(http://salifelink.com)。

    入侵我的計算機

    他可能出于好奇，在IE瀏覽器的地址欄中輸入“hxxp://192.168.0.15/msadc/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir+c:\”，立刻顯示出了我計算機(IP地址為“192.168.0.15”)的C盤所有的文件和目錄，太刺激了！他又將“c:\”換成“d:\”、“e:\”，都能成功地顯示各盤符下所有文件和目錄，他心中開始涌動著要當“ ”的念頭。他想刪除我計算機上的文件？試著輸入“hxxp://192.168.0.15/msadc/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+del+c:\aa.txt”，果然刷新一下命令，文件沒了。想復制文件并改名，他輸入“hxxp://192.168.0.15/msadc/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+copy+c:\aa.fon c:\unzipped\bad.fon”，換名復制成功。

    他還想顯示某一路徑下相同文件類型的文件內容，輸入“hxxp://192.168.0.15/msadc/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir+d:\*.xls”列出了D盤根目錄下所有的excel文件。哈哈，他已完全控制了我的計算機，想干什么就干什么。能給我個提示，就算不錯了。

    通過這個真實事例，我們可以看到，IISUNICODE漏洞雖然出現了很久了，但是很多象我一樣大意的用戶根本沒有取消IIS服務和打上補丁的安全防范意識，其實防范IISUnicode漏洞最簡單的方法就是限制網絡用戶訪問和調用CMD的權限，在Scripts、Msadc目錄沒必要使用的情況下，盡量刪除這些文件夾或者干脆換名。安裝NT系統時盡量不要使用默認的win nt路徑，改成自己喜歡的名字。再則還可以安裝上SP4補丁程序，很多漏洞就會不復存在了。此外平時還要勤于升級，如果覺得每天上網去打補丁太麻煩的話，可以將WINDOWS Updata設定為自動，那么系統一但連上互聯網后就會自動查找最新補丁，你要做的就僅僅是確定安裝而已，非常方便。“亡羊補牢，為未晚已”，IISUnicode漏洞今天您堵上了嗎？