推薦:十類千萬不能使用的密碼
[ 2007-03-25 03:23:33 | 作者: sun ]
在信息技術(shù)普遍應(yīng)用的時(shí)代,密碼已經(jīng)成為驗(yàn)證身份的主要手段,但有些密碼千萬不能使用。
1、密碼和用戶名相同
如:用戶名和密碼都是123456789。幾乎所有盜取密碼的人,都會(huì)以用戶名作為破解密碼的突破口。
2、密碼為用戶名中的某幾個(gè)鄰近的數(shù)字或字母
如:用戶名為test000001,密碼為test或000001。如果您的用戶名是字母和數(shù)字組合,如:test000001,那么別人要盜取您的密碼時(shí),肯定會(huì)以用戶名中的字母或數(shù)字來試密碼。
3、密碼為連續(xù)或相同的數(shù)字
如123456789、1111111等。幾乎所有黑客軟件,都會(huì)從連續(xù)或相同的數(shù)字開始試密碼。如:先試111、111......到9999999999,然后再試123、321、234、1234......如果您的密碼是111111、123456或654321,甚至用不著黑客軟件也能在片刻試出。
4、密碼為連續(xù)或相同的數(shù)字
如abcdefg、jjjjjjj等。字母雖然比數(shù)字多,但是先試相同的字母如aaaaa,再試連續(xù)的字母如abcde,黑客軟件所用時(shí)間也不會(huì)太多。
5、將用戶名顛倒或加前后綴作為密碼
如用戶名為test,密碼為test123、aaatest、tset等。以用戶名test為例,黑客軟件在嘗試使用test作為密碼之后,還會(huì)試著使用諸如test123、test1、tset、tset123等作為密碼,只要是你想得到的變換方法,黑客軟件也會(huì)想得到,它破解這種口令,幾乎不需要時(shí)間。
6、使用姓氏的拼音作為密碼
在不少黑客軟件中,百家姓往往都被一一列出,并放在字典的前列。只需片刻即可破解您的密碼。以姓氏或姓名的拼音作為密碼還存在一種危險(xiǎn):想盜您密碼的人如果探聽到您的真實(shí)姓名,就很有可能用您姓名中的拼音組合來試密碼。
7、使用自己或親友的生日作為密碼
由于表示月份的只有1~12可以使用,表示日期的也只有1-31可以使用,表示日期的肯定19xx或xx,因此表達(dá)方式只有100×12×31×2=74400種,即使考慮到年月日共有六種排列順序,一共也只有74400×6=446400種。按普通計(jì)算機(jī)每秒搜索3~4萬種的速度計(jì)算,破解您的密碼最多只需10秒。
8、使用常用英文單詞作為密碼
黑客軟件一般都有一個(gè)包含10萬~20萬個(gè)英文單詞及相應(yīng)組合的字典庫(kù)。如果您的密碼在這個(gè)庫(kù)中,那么即使字典庫(kù)中有20萬單詞,再考慮到一些DES(數(shù)據(jù)加密算法)的加密運(yùn)算,每秒搜索1800個(gè),也只需要110秒。
9、使用8位以下的數(shù)字作為密碼
數(shù)字只有10個(gè),8位數(shù)字組成方式只有10的8次方=100,000,000種,按普通計(jì)算機(jī)每秒搜索3~4萬種的速度計(jì)算,黑客軟件只需要不到3小時(shí)就可以破解您的密碼。
10、使用5位以下的小寫字母加數(shù)字作為口令
小寫字母加數(shù)字一共36位,組合方式只有36的5次方=60466176種可能性,按普通的計(jì)算機(jī)每秒搜索3~4萬種的速度計(jì)算,黑客軟件只需要25分鐘就可以破解密碼。
1、密碼和用戶名相同
如:用戶名和密碼都是123456789。幾乎所有盜取密碼的人,都會(huì)以用戶名作為破解密碼的突破口。
2、密碼為用戶名中的某幾個(gè)鄰近的數(shù)字或字母
如:用戶名為test000001,密碼為test或000001。如果您的用戶名是字母和數(shù)字組合,如:test000001,那么別人要盜取您的密碼時(shí),肯定會(huì)以用戶名中的字母或數(shù)字來試密碼。
3、密碼為連續(xù)或相同的數(shù)字
如123456789、1111111等。幾乎所有黑客軟件,都會(huì)從連續(xù)或相同的數(shù)字開始試密碼。如:先試111、111......到9999999999,然后再試123、321、234、1234......如果您的密碼是111111、123456或654321,甚至用不著黑客軟件也能在片刻試出。
4、密碼為連續(xù)或相同的數(shù)字
如abcdefg、jjjjjjj等。字母雖然比數(shù)字多,但是先試相同的字母如aaaaa,再試連續(xù)的字母如abcde,黑客軟件所用時(shí)間也不會(huì)太多。
5、將用戶名顛倒或加前后綴作為密碼
如用戶名為test,密碼為test123、aaatest、tset等。以用戶名test為例,黑客軟件在嘗試使用test作為密碼之后,還會(huì)試著使用諸如test123、test1、tset、tset123等作為密碼,只要是你想得到的變換方法,黑客軟件也會(huì)想得到,它破解這種口令,幾乎不需要時(shí)間。
6、使用姓氏的拼音作為密碼
在不少黑客軟件中,百家姓往往都被一一列出,并放在字典的前列。只需片刻即可破解您的密碼。以姓氏或姓名的拼音作為密碼還存在一種危險(xiǎn):想盜您密碼的人如果探聽到您的真實(shí)姓名,就很有可能用您姓名中的拼音組合來試密碼。
7、使用自己或親友的生日作為密碼
由于表示月份的只有1~12可以使用,表示日期的也只有1-31可以使用,表示日期的肯定19xx或xx,因此表達(dá)方式只有100×12×31×2=74400種,即使考慮到年月日共有六種排列順序,一共也只有74400×6=446400種。按普通計(jì)算機(jī)每秒搜索3~4萬種的速度計(jì)算,破解您的密碼最多只需10秒。
8、使用常用英文單詞作為密碼
黑客軟件一般都有一個(gè)包含10萬~20萬個(gè)英文單詞及相應(yīng)組合的字典庫(kù)。如果您的密碼在這個(gè)庫(kù)中,那么即使字典庫(kù)中有20萬單詞,再考慮到一些DES(數(shù)據(jù)加密算法)的加密運(yùn)算,每秒搜索1800個(gè),也只需要110秒。
9、使用8位以下的數(shù)字作為密碼
數(shù)字只有10個(gè),8位數(shù)字組成方式只有10的8次方=100,000,000種,按普通計(jì)算機(jī)每秒搜索3~4萬種的速度計(jì)算,黑客軟件只需要不到3小時(shí)就可以破解您的密碼。
10、使用5位以下的小寫字母加數(shù)字作為口令
小寫字母加數(shù)字一共36位,組合方式只有36的5次方=60466176種可能性,按普通的計(jì)算機(jī)每秒搜索3~4萬種的速度計(jì)算,黑客軟件只需要25分鐘就可以破解密碼。
防止外部數(shù)據(jù)提交的腳本
[ 2007-03-25 03:23:21 | 作者: sun ]
提交時(shí)可能會(huì)有人修改Script從本地提交,這樣存在安全提交的問題,所以應(yīng)該要求從服務(wù)器斷路徑提交,其他地址提交無效:
<%
server_v1=Cstr(Request.ServerVariables("HTTP_REFERER"))
server_v2=Cstr(Request.ServerVariables("SERVER_NAME"))
if mid(server_v1,8,len(server_v2))<>server_v2 then
response.write "<br><br><center><table border=1 cellpadding=20 bordercolor=black
bgcolor=#EEEEEE width=450>"
response.write "<tr><td style=“font:9pt Verdana“>"
response.write "你提交的路徑有誤,禁止從站點(diǎn)外部提交數(shù)據(jù)請(qǐng)不要亂該參數(shù)!"
response.write "</td></tr></table></center>"
response.end
end if
<%
server_v1=Cstr(Request.ServerVariables("HTTP_REFERER"))
server_v2=Cstr(Request.ServerVariables("SERVER_NAME"))
if mid(server_v1,8,len(server_v2))<>server_v2 then
response.write "<br><br><center><table border=1 cellpadding=20 bordercolor=black
bgcolor=#EEEEEE width=450>"
response.write "<tr><td style=“font:9pt Verdana“>"
response.write "你提交的路徑有誤,禁止從站點(diǎn)外部提交數(shù)據(jù)請(qǐng)不要亂該參數(shù)!"
response.write "</td></tr></table></center>"
response.end
end if
木馬各種隱藏技術(shù)披露
[ 2007-03-25 03:23:09 | 作者: sun ]
雖然沒有絕對(duì)的安全,但如果能知已知彼,了解木馬的隱藏手段,對(duì)于木馬即使不能百戰(zhàn)百勝,也能做到及時(shí)發(fā)現(xiàn),使損失最小化。那么,木馬究竟是如何躲在我們的系統(tǒng)中的呢?
最基本的隱藏:不可見窗體+隱藏文件
木馬程序無論如何神秘,但歸根究底,仍是Win32平臺(tái)下的一種程序。Windows下常見的程序有兩種: 1.Win32應(yīng)用程序(Win32 Application),比如QQ、Office等都屬于此行列。
2.Win32控制臺(tái)程序(Win32 Console),比如硬盤引導(dǎo)修復(fù)程序FixMBR。
其中,Win32應(yīng)用程序通常會(huì)有應(yīng)用程序界面,比如系統(tǒng)中自帶的“計(jì)算器”就有提供各種數(shù)字按鈕的應(yīng)用程序界面。木馬雖然屬于Win32應(yīng)用程序,但其一般不包含窗體或隱藏了窗體(但也有某些特殊情況,如木馬使用者與被害者聊天的窗口),并且將木馬文件屬性設(shè)置為“隱藏”,這就是最基本的隱藏手段,稍有經(jīng)驗(yàn)的用戶只需打開“任務(wù)管理器”,并且將“文件夾選項(xiàng)”中的“顯示所有文件”勾選即可輕松找出木馬,于是便出現(xiàn)了下面要介紹的“進(jìn)程隱藏”技術(shù)。
第一代進(jìn)程隱藏技術(shù):Windows 98的后門
在Windows 98中,微軟提供了一種能將進(jìn)程注冊(cè)為服務(wù)進(jìn)程的方法。盡管微軟沒有公開提供這種方法的技術(shù)實(shí)現(xiàn)細(xì)節(jié)(因?yàn)閃indows的后續(xù)版本中沒有提供這個(gè)機(jī)制),但仍有高手發(fā)現(xiàn)了這個(gè)秘密,這種技術(shù)稱為RegisterServiceProcess。只要利用此方法,任何程序的進(jìn)程都能將自己注冊(cè)為服務(wù)進(jìn)程,而服務(wù)進(jìn)程Windows 98中的任務(wù)管理器中恰巧又是不顯示的,所以便被木馬程序鉆了空子。
要對(duì)付這種隱藏的木馬還算簡(jiǎn)單,只需使用其他第三方進(jìn)程管理工具即可找到其所在,并且采用此技術(shù)進(jìn)行隱藏的木馬在Windows 2000/XP(因?yàn)椴恢С诌@種隱藏方法)中就得現(xiàn)形!中止該進(jìn)程后將木馬文件刪除即可。可是接下來的第二代進(jìn)程隱藏技術(shù),就沒有這么簡(jiǎn)單對(duì)付了。
第二代進(jìn)程隱藏技術(shù):進(jìn)程插入
在Windows中,每個(gè)進(jìn)程都有自己的私有內(nèi)存地址空間,當(dāng)使用指針(一種訪問內(nèi)存的機(jī)制)訪問內(nèi)存時(shí),一個(gè)進(jìn)程無法訪問另一個(gè)進(jìn)程的內(nèi)存地址空間,就好比在未經(jīng)鄰居同意的情況下,你無法進(jìn)入鄰居家吃飯一樣。比如QQ在內(nèi)存中存放了一張圖片的數(shù)據(jù),而MSN則無法通過直接讀取內(nèi)存的方式來獲得該圖片的數(shù)據(jù)。這樣做同時(shí)也保證了程序的穩(wěn)定性,如果你的進(jìn)程存在一個(gè)錯(cuò)誤,改寫了一個(gè)隨機(jī)地址上的內(nèi)存,這個(gè)錯(cuò)誤不會(huì)影響另一個(gè)進(jìn)程使用的內(nèi)存。 你知道嗎——進(jìn)程(Process)是什么
對(duì)應(yīng)用程序來說,進(jìn)程就像一個(gè)大容器。在應(yīng)用程序被運(yùn)行后,就相當(dāng)于將應(yīng)用程序裝進(jìn)容器里了,你可以往容器里加其他東西(如:應(yīng)用程序在運(yùn)行時(shí)所需的變量數(shù)據(jù)、需要引用的DLL文件等),當(dāng)應(yīng)用程序被運(yùn)行兩次時(shí),容器里的東西并不會(huì)被倒掉,系統(tǒng)會(huì)找一個(gè)新的進(jìn)程容器來容納它。
一個(gè)進(jìn)程可以包含若干線程(Thread),線程可以幫助應(yīng)用程序同時(shí)做幾件事(比如一個(gè)線程向磁盤寫入文件,另一個(gè)則接收用戶的按鍵操作并及時(shí)做出反應(yīng),互相不干擾),在程序被運(yùn)行后中,系統(tǒng)首先要做的就是為該程序進(jìn)程建立一個(gè)默認(rèn)線程,然后程序可以根據(jù)需要自行添加或刪除相關(guān)的線程
1.進(jìn)程插入是什么
獨(dú)立的地址空間對(duì)于編程人員和用戶來說都是非常有利的。對(duì)于編程人員來說,系統(tǒng)更容易捕獲隨意的內(nèi)存讀取和寫入操作。對(duì)于用戶來說,操作系統(tǒng)將變得更加健壯,因?yàn)橐粋€(gè)應(yīng)用程序無法破壞另一個(gè)進(jìn)程或操作系統(tǒng)的運(yùn)行。當(dāng)然,操作系統(tǒng)的這個(gè)健壯特性是要付出代價(jià)的,因?yàn)橐帉懩軌蚺c其他進(jìn)程進(jìn)行通信,或者能夠?qū)ζ渌M(jìn)程進(jìn)行操作的應(yīng)用程序?qū)⒁щy得多。但仍有很多種方法可以打破進(jìn)程的界限,訪問另一個(gè)進(jìn)程的地址空間,那就是“進(jìn)程插入”(Process Injection)。一旦木馬的DLL插入了另一個(gè)進(jìn)程的地址空間后,就可以對(duì)另一個(gè)進(jìn)程為所欲為,比如下文要介紹的盜QQ密碼。
2.木馬是如何盜走QQ密碼的
普通情況下,一個(gè)應(yīng)用程序所接收的鍵盤、鼠標(biāo)操作,別的應(yīng)用程序是無權(quán)“過問”的。可盜號(hào)木馬是怎么偷偷記錄下我的密碼的呢?木馬首先將1個(gè)DLL文件插入到QQ的進(jìn)程中并成為QQ進(jìn)程中的一個(gè)線程,這樣該木馬DLL就赫然成為了QQ的一部分!然后在用戶輸入密碼時(shí),因?yàn)榇藭r(shí)木馬DLL已經(jīng)進(jìn)入QQ進(jìn)程內(nèi)部,所以也就能夠接收到用戶傳遞給QQ的密碼鍵入了,真是“家賊難防”啊!
3.如何插入進(jìn)程
(1)使用注冊(cè)表插入DLL
早期的進(jìn)程插入式木馬的伎倆,通過修改注冊(cè)表中的[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs]來達(dá)到插入進(jìn)程的目的。缺點(diǎn)是不實(shí)時(shí),修改注冊(cè)表后需要重新啟動(dòng)才能完成進(jìn)程插入。
(2)使用掛鉤(Hook)插入DLL
比較高級(jí)和隱蔽的方式,通過系統(tǒng)的掛鉤機(jī)制(即“Hook”,類似于DOS時(shí)代的“中斷”)來插入進(jìn)程(一些盜QQ木馬、鍵盤記錄木馬以Hook方式插入到其他進(jìn)程中“偷雞摸狗”),需要調(diào)用SetWindowsHookEx函數(shù)(也是一個(gè)Win32 API函數(shù))。缺點(diǎn)是技術(shù)門檻較高,程序調(diào)試?yán)щy,這種木馬的制作者必須具有相當(dāng)?shù)腤in32編程水平。
你知道嗎——什么是API
Windows中提供各種功能實(shí)現(xiàn)的接口稱為Win32 API(Application Programming Interface,即“應(yīng)用程序編程接口”),如一些程序需要對(duì)磁盤上的文件進(jìn)行讀寫,就要先通過對(duì)相應(yīng)的API(文件讀寫就要調(diào)用文件相關(guān)的API)發(fā)出調(diào)用請(qǐng)求,然后API根據(jù)程序在調(diào)用其函數(shù)時(shí)提供的參數(shù)(如讀寫文件就需要同時(shí)給出需要讀寫的文件的文件名及路徑)來完成請(qǐng)求實(shí)現(xiàn)的功能,最后將調(diào)用結(jié)果(如寫入文件成功,或讀取文件失敗等)返回給程序。
(3)使用遠(yuǎn)程線程函數(shù)(CreateRemoteThread)插入DLL
在Windows 2000及以上的系統(tǒng)中提供了這個(gè)“遠(yuǎn)程進(jìn)程”機(jī)制,可以通過一個(gè)系統(tǒng)API函數(shù)來向另一個(gè)進(jìn)程中創(chuàng)建線程(插入DLL)。缺點(diǎn)很明顯,僅支持Windows 2000及以上系統(tǒng),在國(guó)內(nèi)仍有相當(dāng)多用戶在使用Windows 98,所以采用這種進(jìn)程插入方式的木馬缺乏平臺(tái)通用性。
木馬將自身作為DLL插入別的進(jìn)程空間后,用查看進(jìn)程的方式就無法找出木馬的蹤跡了,你能看到的僅僅是一些正常程序的進(jìn)程,但木馬卻已經(jīng)偷偷潛入其中了。解決的方法是使用支持“進(jìn)程模塊查看”的進(jìn)程管理工具(如“Windows優(yōu)化大師”提供的進(jìn)程查看),木馬的DLL模塊就會(huì)現(xiàn)形了。
不要相信自己的眼睛:恐怖的進(jìn)程“蒸發(fā)”
嚴(yán)格地來講,這應(yīng)該算是第2.5代的進(jìn)程隱藏技術(shù)了,可是它卻比前幾種技術(shù)更為可怕得多。這種技術(shù)使得木馬不必將自己插入到其他進(jìn)程中,而可以直接消失!
它通過Hook技術(shù)對(duì)系統(tǒng)中所有程序的進(jìn)程檢測(cè)相關(guān)API的調(diào)用進(jìn)行了監(jiān)控,“任務(wù)管理器”之所以能夠顯示出系統(tǒng)中所有的進(jìn)程,也是因?yàn)槠湔{(diào)用了EnumProcesses等進(jìn)程相關(guān)的API函數(shù),進(jìn)程信息都包含在該函數(shù)的返回結(jié)果中,由發(fā)出調(diào)用請(qǐng)求的程序接收返回結(jié)果并進(jìn)行處理(如“任務(wù)管理器”在接收到結(jié)果后就在進(jìn)程列表中顯示出來)。
而木馬由于事先對(duì)該API函數(shù)進(jìn)行了Hook,所以在“任務(wù)管理器”(或其他調(diào)用了列舉進(jìn)程函數(shù)的程序)調(diào)用EnumProcesses函數(shù)時(shí)(此時(shí)的API函數(shù)充當(dāng)了“內(nèi)線”的角色),木馬便得到了通知,并且在函數(shù)將結(jié)果(列出所有進(jìn)程)返回給程序前,就已將自身的進(jìn)程信息從返回結(jié)果中抹去了。就好比你正在看電視節(jié)目,卻有人不知不覺中將電視接上了DVD,你在不知不覺中就被欺騙了。
所以無論是“任務(wù)管理器”還是殺毒軟件,想對(duì)這種木馬的進(jìn)程進(jìn)行檢測(cè)都是徒勞的。這種木馬目前沒有非常有效的查殺手段,只有在其運(yùn)行前由殺毒軟件檢測(cè)到木馬文件并阻止其病毒體的運(yùn)行。當(dāng)時(shí)還有一種技術(shù)是由木馬程序?qū)⑵渥陨淼倪M(jìn)程信息從Windows系統(tǒng)用以記錄進(jìn)程信息的“進(jìn)程鏈表”中刪除,這樣進(jìn)程管理工具就無法從“進(jìn)程鏈表”中獲得木馬的進(jìn)程信息了。但由于缺乏平臺(tái)通用性而且在程序運(yùn)行時(shí)有一些問題,所以沒有被廣泛采用。
你知道嗎——什么是Hook
Hook是Windows中提供的一種用以替換DOS下“中斷”的一種系統(tǒng)機(jī)制,中文譯名為“掛鉤”或“鉤子”。在對(duì)特定的系統(tǒng)事件(包括上文中的特定API函數(shù)的調(diào)用事件)進(jìn)行Hook后,一旦發(fā)生已Hook的事件,對(duì)該事件進(jìn)行Hook的程序(如:木馬)就會(huì)收到系統(tǒng)的通知,這時(shí)程序就能在第一時(shí)間對(duì)該事件做出響應(yīng)(木馬程序便搶在函數(shù)返回前對(duì)結(jié)果進(jìn)行了修改)。
毫無蹤跡:全方位立體隱藏
利用剛才介紹的Hook隱藏進(jìn)程的手段,木馬可以輕而易舉地實(shí)現(xiàn)文件的隱藏,只需將Hook技術(shù)應(yīng)用在文件相關(guān)的API函數(shù)上即可,這樣無論是“資源管理器”還是殺毒軟件都無法找出木馬所在了。更令人吃驚的是,現(xiàn)在已經(jīng)有木馬(如:灰鴿子)利用該技術(shù)實(shí)現(xiàn)了文件和進(jìn)程的隱藏。要防止這種木馬最好的手段仍是利用殺毒軟件在其運(yùn)行前進(jìn)行攔截。
跟殺毒軟件對(duì)著干:反殺毒軟件外殼
木馬再狡猾,可是一旦被殺毒軟件定義了特征碼,在運(yùn)行前就被攔截了。要躲過殺毒軟件的追殺,很多木馬就被加了殼,相當(dāng)于給木馬穿了件衣服,這樣殺毒軟件就認(rèn)不出來了,但有部分殺毒軟件會(huì)嘗試對(duì)常用殼進(jìn)行脫殼,然后再查殺(小樣,別以為穿上件馬夾我就不認(rèn)識(shí)你了)。除了被動(dòng)的隱藏外,最近還發(fā)現(xiàn)了能夠主動(dòng)和殺毒軟件對(duì)著干的殼,木馬在加了這種殼之后,一旦運(yùn)行,則外殼先得到程序控制權(quán),由其通過各種手段對(duì)系統(tǒng)中安裝的殺毒軟件進(jìn)行破壞,最后在確認(rèn)安全(殺毒軟件的保護(hù)已被瓦解)后由殼釋放包裹在自己“體內(nèi)”的木馬體并執(zhí)行之。對(duì)付這種木馬的方法是使用具有脫殼能力的殺毒軟件對(duì)系統(tǒng)進(jìn)行保護(hù)。
你知道嗎——什么是殼
顧名思義,你可以很輕易地猜到,這是一種包在外面的東西。沒錯(cuò),殼能夠?qū)⑽募?比如EXE)包住,然后在文件被運(yùn)行時(shí),首先由殼獲得控制權(quán),然后釋放并運(yùn)行包裹著的文件體。很多殼能對(duì)自己包住的文件體進(jìn)行加密,這樣就可以防止殺毒軟件的查殺。比如原先殺毒軟件定義的該木馬的特征是“12345”,如果發(fā)現(xiàn)某文件中含有這個(gè)特征,就認(rèn)為該文件是木馬,而帶有加密功能的殼則會(huì)對(duì)文件體進(jìn)行加密(如:原先的特征是“12345”,加密后變成了“54321”,這樣殺毒軟件當(dāng)然不能靠文件特征進(jìn)行檢查了)。脫殼指的就是將文件外邊的殼去除,恢復(fù)文件沒有加殼前的狀態(tài)。
最基本的隱藏:不可見窗體+隱藏文件
木馬程序無論如何神秘,但歸根究底,仍是Win32平臺(tái)下的一種程序。Windows下常見的程序有兩種: 1.Win32應(yīng)用程序(Win32 Application),比如QQ、Office等都屬于此行列。
2.Win32控制臺(tái)程序(Win32 Console),比如硬盤引導(dǎo)修復(fù)程序FixMBR。
其中,Win32應(yīng)用程序通常會(huì)有應(yīng)用程序界面,比如系統(tǒng)中自帶的“計(jì)算器”就有提供各種數(shù)字按鈕的應(yīng)用程序界面。木馬雖然屬于Win32應(yīng)用程序,但其一般不包含窗體或隱藏了窗體(但也有某些特殊情況,如木馬使用者與被害者聊天的窗口),并且將木馬文件屬性設(shè)置為“隱藏”,這就是最基本的隱藏手段,稍有經(jīng)驗(yàn)的用戶只需打開“任務(wù)管理器”,并且將“文件夾選項(xiàng)”中的“顯示所有文件”勾選即可輕松找出木馬,于是便出現(xiàn)了下面要介紹的“進(jìn)程隱藏”技術(shù)。
第一代進(jìn)程隱藏技術(shù):Windows 98的后門
在Windows 98中,微軟提供了一種能將進(jìn)程注冊(cè)為服務(wù)進(jìn)程的方法。盡管微軟沒有公開提供這種方法的技術(shù)實(shí)現(xiàn)細(xì)節(jié)(因?yàn)閃indows的后續(xù)版本中沒有提供這個(gè)機(jī)制),但仍有高手發(fā)現(xiàn)了這個(gè)秘密,這種技術(shù)稱為RegisterServiceProcess。只要利用此方法,任何程序的進(jìn)程都能將自己注冊(cè)為服務(wù)進(jìn)程,而服務(wù)進(jìn)程Windows 98中的任務(wù)管理器中恰巧又是不顯示的,所以便被木馬程序鉆了空子。
要對(duì)付這種隱藏的木馬還算簡(jiǎn)單,只需使用其他第三方進(jìn)程管理工具即可找到其所在,并且采用此技術(shù)進(jìn)行隱藏的木馬在Windows 2000/XP(因?yàn)椴恢С诌@種隱藏方法)中就得現(xiàn)形!中止該進(jìn)程后將木馬文件刪除即可。可是接下來的第二代進(jìn)程隱藏技術(shù),就沒有這么簡(jiǎn)單對(duì)付了。
第二代進(jìn)程隱藏技術(shù):進(jìn)程插入
在Windows中,每個(gè)進(jìn)程都有自己的私有內(nèi)存地址空間,當(dāng)使用指針(一種訪問內(nèi)存的機(jī)制)訪問內(nèi)存時(shí),一個(gè)進(jìn)程無法訪問另一個(gè)進(jìn)程的內(nèi)存地址空間,就好比在未經(jīng)鄰居同意的情況下,你無法進(jìn)入鄰居家吃飯一樣。比如QQ在內(nèi)存中存放了一張圖片的數(shù)據(jù),而MSN則無法通過直接讀取內(nèi)存的方式來獲得該圖片的數(shù)據(jù)。這樣做同時(shí)也保證了程序的穩(wěn)定性,如果你的進(jìn)程存在一個(gè)錯(cuò)誤,改寫了一個(gè)隨機(jī)地址上的內(nèi)存,這個(gè)錯(cuò)誤不會(huì)影響另一個(gè)進(jìn)程使用的內(nèi)存。 你知道嗎——進(jìn)程(Process)是什么
對(duì)應(yīng)用程序來說,進(jìn)程就像一個(gè)大容器。在應(yīng)用程序被運(yùn)行后,就相當(dāng)于將應(yīng)用程序裝進(jìn)容器里了,你可以往容器里加其他東西(如:應(yīng)用程序在運(yùn)行時(shí)所需的變量數(shù)據(jù)、需要引用的DLL文件等),當(dāng)應(yīng)用程序被運(yùn)行兩次時(shí),容器里的東西并不會(huì)被倒掉,系統(tǒng)會(huì)找一個(gè)新的進(jìn)程容器來容納它。
一個(gè)進(jìn)程可以包含若干線程(Thread),線程可以幫助應(yīng)用程序同時(shí)做幾件事(比如一個(gè)線程向磁盤寫入文件,另一個(gè)則接收用戶的按鍵操作并及時(shí)做出反應(yīng),互相不干擾),在程序被運(yùn)行后中,系統(tǒng)首先要做的就是為該程序進(jìn)程建立一個(gè)默認(rèn)線程,然后程序可以根據(jù)需要自行添加或刪除相關(guān)的線程
1.進(jìn)程插入是什么
獨(dú)立的地址空間對(duì)于編程人員和用戶來說都是非常有利的。對(duì)于編程人員來說,系統(tǒng)更容易捕獲隨意的內(nèi)存讀取和寫入操作。對(duì)于用戶來說,操作系統(tǒng)將變得更加健壯,因?yàn)橐粋€(gè)應(yīng)用程序無法破壞另一個(gè)進(jìn)程或操作系統(tǒng)的運(yùn)行。當(dāng)然,操作系統(tǒng)的這個(gè)健壯特性是要付出代價(jià)的,因?yàn)橐帉懩軌蚺c其他進(jìn)程進(jìn)行通信,或者能夠?qū)ζ渌M(jìn)程進(jìn)行操作的應(yīng)用程序?qū)⒁щy得多。但仍有很多種方法可以打破進(jìn)程的界限,訪問另一個(gè)進(jìn)程的地址空間,那就是“進(jìn)程插入”(Process Injection)。一旦木馬的DLL插入了另一個(gè)進(jìn)程的地址空間后,就可以對(duì)另一個(gè)進(jìn)程為所欲為,比如下文要介紹的盜QQ密碼。
2.木馬是如何盜走QQ密碼的
普通情況下,一個(gè)應(yīng)用程序所接收的鍵盤、鼠標(biāo)操作,別的應(yīng)用程序是無權(quán)“過問”的。可盜號(hào)木馬是怎么偷偷記錄下我的密碼的呢?木馬首先將1個(gè)DLL文件插入到QQ的進(jìn)程中并成為QQ進(jìn)程中的一個(gè)線程,這樣該木馬DLL就赫然成為了QQ的一部分!然后在用戶輸入密碼時(shí),因?yàn)榇藭r(shí)木馬DLL已經(jīng)進(jìn)入QQ進(jìn)程內(nèi)部,所以也就能夠接收到用戶傳遞給QQ的密碼鍵入了,真是“家賊難防”啊!
3.如何插入進(jìn)程
(1)使用注冊(cè)表插入DLL
早期的進(jìn)程插入式木馬的伎倆,通過修改注冊(cè)表中的[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs]來達(dá)到插入進(jìn)程的目的。缺點(diǎn)是不實(shí)時(shí),修改注冊(cè)表后需要重新啟動(dòng)才能完成進(jìn)程插入。
(2)使用掛鉤(Hook)插入DLL
比較高級(jí)和隱蔽的方式,通過系統(tǒng)的掛鉤機(jī)制(即“Hook”,類似于DOS時(shí)代的“中斷”)來插入進(jìn)程(一些盜QQ木馬、鍵盤記錄木馬以Hook方式插入到其他進(jìn)程中“偷雞摸狗”),需要調(diào)用SetWindowsHookEx函數(shù)(也是一個(gè)Win32 API函數(shù))。缺點(diǎn)是技術(shù)門檻較高,程序調(diào)試?yán)щy,這種木馬的制作者必須具有相當(dāng)?shù)腤in32編程水平。
你知道嗎——什么是API
Windows中提供各種功能實(shí)現(xiàn)的接口稱為Win32 API(Application Programming Interface,即“應(yīng)用程序編程接口”),如一些程序需要對(duì)磁盤上的文件進(jìn)行讀寫,就要先通過對(duì)相應(yīng)的API(文件讀寫就要調(diào)用文件相關(guān)的API)發(fā)出調(diào)用請(qǐng)求,然后API根據(jù)程序在調(diào)用其函數(shù)時(shí)提供的參數(shù)(如讀寫文件就需要同時(shí)給出需要讀寫的文件的文件名及路徑)來完成請(qǐng)求實(shí)現(xiàn)的功能,最后將調(diào)用結(jié)果(如寫入文件成功,或讀取文件失敗等)返回給程序。
(3)使用遠(yuǎn)程線程函數(shù)(CreateRemoteThread)插入DLL
在Windows 2000及以上的系統(tǒng)中提供了這個(gè)“遠(yuǎn)程進(jìn)程”機(jī)制,可以通過一個(gè)系統(tǒng)API函數(shù)來向另一個(gè)進(jìn)程中創(chuàng)建線程(插入DLL)。缺點(diǎn)很明顯,僅支持Windows 2000及以上系統(tǒng),在國(guó)內(nèi)仍有相當(dāng)多用戶在使用Windows 98,所以采用這種進(jìn)程插入方式的木馬缺乏平臺(tái)通用性。
木馬將自身作為DLL插入別的進(jìn)程空間后,用查看進(jìn)程的方式就無法找出木馬的蹤跡了,你能看到的僅僅是一些正常程序的進(jìn)程,但木馬卻已經(jīng)偷偷潛入其中了。解決的方法是使用支持“進(jìn)程模塊查看”的進(jìn)程管理工具(如“Windows優(yōu)化大師”提供的進(jìn)程查看),木馬的DLL模塊就會(huì)現(xiàn)形了。
不要相信自己的眼睛:恐怖的進(jìn)程“蒸發(fā)”
嚴(yán)格地來講,這應(yīng)該算是第2.5代的進(jìn)程隱藏技術(shù)了,可是它卻比前幾種技術(shù)更為可怕得多。這種技術(shù)使得木馬不必將自己插入到其他進(jìn)程中,而可以直接消失!
它通過Hook技術(shù)對(duì)系統(tǒng)中所有程序的進(jìn)程檢測(cè)相關(guān)API的調(diào)用進(jìn)行了監(jiān)控,“任務(wù)管理器”之所以能夠顯示出系統(tǒng)中所有的進(jìn)程,也是因?yàn)槠湔{(diào)用了EnumProcesses等進(jìn)程相關(guān)的API函數(shù),進(jìn)程信息都包含在該函數(shù)的返回結(jié)果中,由發(fā)出調(diào)用請(qǐng)求的程序接收返回結(jié)果并進(jìn)行處理(如“任務(wù)管理器”在接收到結(jié)果后就在進(jìn)程列表中顯示出來)。
而木馬由于事先對(duì)該API函數(shù)進(jìn)行了Hook,所以在“任務(wù)管理器”(或其他調(diào)用了列舉進(jìn)程函數(shù)的程序)調(diào)用EnumProcesses函數(shù)時(shí)(此時(shí)的API函數(shù)充當(dāng)了“內(nèi)線”的角色),木馬便得到了通知,并且在函數(shù)將結(jié)果(列出所有進(jìn)程)返回給程序前,就已將自身的進(jìn)程信息從返回結(jié)果中抹去了。就好比你正在看電視節(jié)目,卻有人不知不覺中將電視接上了DVD,你在不知不覺中就被欺騙了。
所以無論是“任務(wù)管理器”還是殺毒軟件,想對(duì)這種木馬的進(jìn)程進(jìn)行檢測(cè)都是徒勞的。這種木馬目前沒有非常有效的查殺手段,只有在其運(yùn)行前由殺毒軟件檢測(cè)到木馬文件并阻止其病毒體的運(yùn)行。當(dāng)時(shí)還有一種技術(shù)是由木馬程序?qū)⑵渥陨淼倪M(jìn)程信息從Windows系統(tǒng)用以記錄進(jìn)程信息的“進(jìn)程鏈表”中刪除,這樣進(jìn)程管理工具就無法從“進(jìn)程鏈表”中獲得木馬的進(jìn)程信息了。但由于缺乏平臺(tái)通用性而且在程序運(yùn)行時(shí)有一些問題,所以沒有被廣泛采用。
你知道嗎——什么是Hook
Hook是Windows中提供的一種用以替換DOS下“中斷”的一種系統(tǒng)機(jī)制,中文譯名為“掛鉤”或“鉤子”。在對(duì)特定的系統(tǒng)事件(包括上文中的特定API函數(shù)的調(diào)用事件)進(jìn)行Hook后,一旦發(fā)生已Hook的事件,對(duì)該事件進(jìn)行Hook的程序(如:木馬)就會(huì)收到系統(tǒng)的通知,這時(shí)程序就能在第一時(shí)間對(duì)該事件做出響應(yīng)(木馬程序便搶在函數(shù)返回前對(duì)結(jié)果進(jìn)行了修改)。
毫無蹤跡:全方位立體隱藏
利用剛才介紹的Hook隱藏進(jìn)程的手段,木馬可以輕而易舉地實(shí)現(xiàn)文件的隱藏,只需將Hook技術(shù)應(yīng)用在文件相關(guān)的API函數(shù)上即可,這樣無論是“資源管理器”還是殺毒軟件都無法找出木馬所在了。更令人吃驚的是,現(xiàn)在已經(jīng)有木馬(如:灰鴿子)利用該技術(shù)實(shí)現(xiàn)了文件和進(jìn)程的隱藏。要防止這種木馬最好的手段仍是利用殺毒軟件在其運(yùn)行前進(jìn)行攔截。
跟殺毒軟件對(duì)著干:反殺毒軟件外殼
木馬再狡猾,可是一旦被殺毒軟件定義了特征碼,在運(yùn)行前就被攔截了。要躲過殺毒軟件的追殺,很多木馬就被加了殼,相當(dāng)于給木馬穿了件衣服,這樣殺毒軟件就認(rèn)不出來了,但有部分殺毒軟件會(huì)嘗試對(duì)常用殼進(jìn)行脫殼,然后再查殺(小樣,別以為穿上件馬夾我就不認(rèn)識(shí)你了)。除了被動(dòng)的隱藏外,最近還發(fā)現(xiàn)了能夠主動(dòng)和殺毒軟件對(duì)著干的殼,木馬在加了這種殼之后,一旦運(yùn)行,則外殼先得到程序控制權(quán),由其通過各種手段對(duì)系統(tǒng)中安裝的殺毒軟件進(jìn)行破壞,最后在確認(rèn)安全(殺毒軟件的保護(hù)已被瓦解)后由殼釋放包裹在自己“體內(nèi)”的木馬體并執(zhí)行之。對(duì)付這種木馬的方法是使用具有脫殼能力的殺毒軟件對(duì)系統(tǒng)進(jìn)行保護(hù)。
你知道嗎——什么是殼
顧名思義,你可以很輕易地猜到,這是一種包在外面的東西。沒錯(cuò),殼能夠?qū)⑽募?比如EXE)包住,然后在文件被運(yùn)行時(shí),首先由殼獲得控制權(quán),然后釋放并運(yùn)行包裹著的文件體。很多殼能對(duì)自己包住的文件體進(jìn)行加密,這樣就可以防止殺毒軟件的查殺。比如原先殺毒軟件定義的該木馬的特征是“12345”,如果發(fā)現(xiàn)某文件中含有這個(gè)特征,就認(rèn)為該文件是木馬,而帶有加密功能的殼則會(huì)對(duì)文件體進(jìn)行加密(如:原先的特征是“12345”,加密后變成了“54321”,這樣殺毒軟件當(dāng)然不能靠文件特征進(jìn)行檢查了)。脫殼指的就是將文件外邊的殼去除,恢復(fù)文件沒有加殼前的狀態(tài)。
解決ASP(圖像)上傳漏洞的方法
[ 2007-03-25 03:22:57 | 作者: sun ]
經(jīng)常聽說的ASP上傳漏洞,即是將一些木馬文件修改后綴名(修改為圖像文件后綴),進(jìn)行上傳。
針對(duì)此情況使用下列函數(shù)進(jìn)行辨別:
<%
'******************************************************************
'CheckFileType 函數(shù)用來檢查文件是否為圖片文件
'參數(shù)filename是本地文件的路徑
'如果是文件jpeg,gif,bmp,png圖片中的一種,函數(shù)返回true,否則返回false
'******************************************************************
const adTypeBinary=1
dim jpg(1):jpg(0)=CByte(&HFF):jpg(1)=CByte(&HD8)
dim bmp(1):bmp(0)=CByte(&H42):bmp(1)=CByte(&H4D)
dim png(3):png(0)=CByte(&H89):png(1)=CByte(&H50):png(2)=CByte(&H4E):png(3)=CByte(&H47)
dim gif(5):gif(0)=CByte(&H47):gif(1)=CByte(&H49):gif(2)=CByte(&H46):gif(3)=CByte(&H39):gif(4)=CByte(&H38):gif(5)=CByte(&H61)
function CheckFileType(filename)
on error resume next
CheckFileType=false
dim fstream,fileExt,stamp,i
fileExt=mid(filename,InStrRev(filename,".")+1)
set fstream=Server.createobject("ADODB.Stream")
fstream.Open
fstream.Type=adTypeBinary
fstream.LoadFromFile filename
fstream.position=0
select case fileExt
case "jpg","jpeg"
stamp=fstream.read(2)
for i=0 to 1
if ascB(MidB(stamp,i+1,1))=jpg(i) then CheckFileType=true else CheckFileType=false
next
case "gif"
stamp=fstream.read(6)
for i=0 to 5
if ascB(MidB(stamp,i+1,1))=gif(i) then CheckFileType=true else CheckFileType=false
next
case "png"
stamp=fstream.read(4)
for i=0 to 3
if ascB(MidB(stamp,i+1,1))=png(i) then CheckFileType=true else CheckFileType=false
next
case "bmp"
stamp=fstream.read(2)
for i=0 to 1
if ascB(MidB(stamp,i+1,1))=bmp(i) then CheckFileType=true else CheckFileType=false
next
end select
fstream.Close
set fseteam=nothing
if err.number<>0 then CheckFileType=false
end function
%>
那么在應(yīng)用的時(shí)候
CheckFileType(server.mappath("cnbruce.jpg"))
或者
CheckFileType("F:/web/164/images/cnbruce.jpg"))
反正即是檢測(cè)驗(yàn)證本地物理地址的圖像文件類型,返回 true 或 false值
所以這個(gè)情況應(yīng)用在圖像上傳中,目前的辦法是先允許該“偽圖像”文件的上傳,接著使用以上的自定義函數(shù)判斷該文件是否符合圖像的規(guī)范,若是木馬偽裝的圖像文件則FSO刪除之,比如:
file.SaveAs Server.mappath(filename) '保存文件
If not CheckFileType(Server.mappath(filename)) then
response.write "錯(cuò)誤的圖像格式"
Set fso = CreateObject("Scripting.FileSystemObject")
Set ficn = fso.GetFile(Server.mappath(filename))
ficn.delete
set ficn=nothing
set fso=nothing
response.end
end if
則是先將文件上傳,接著立馬使用自定義函數(shù)判斷文件圖像類型的吻合性,F(xiàn)SO做出刪除該文件的操作。
ASP上傳漏洞還利用"\0"對(duì)filepath進(jìn)行手腳操作
http://www.cnbruce.com/blog/showlog.asp?cat_id=32&log_id=635
針對(duì)這樣的情況可使用如下函數(shù)
function TrueStr(fileTrue)
str_len=len(fileTrue)
pos=Instr(fileTrue,chr(0))
if pos=0 or pos=str_len then
TrueStr=true
else
TrueStr=false
end if
end function
接著就可判斷后再做文件的上傳
if TrueStr(filename)=false then
response.write "非法文件"
response.end
end if
file.SaveAs Server.mappath(filename)
所以,在Blog中的一文:(ASP)文件系統(tǒng)之化境無組件(v2.0)上傳
關(guān)于upfile.asp的全新內(nèi)容如下:
<%@LANGUAGE="VBSCRIPT" CODEPAGE="936"%> <!--#include file="upload.inc"--> <html> <head> <title>文件上傳</title> <meta http-equiv="content-type" content="text/html;charset=gb2312"> </head> <body> <% on error resume next dim upload,f_folder,file,formPath,iCount,filename,fileExt,filesizemin,filesizemax '****************************************************************** 'CheckFileType 函數(shù)用來檢查文件是否為圖片文件 '參數(shù)filename是本地文件的路徑 '如果是文件jpeg,gif,bmp,png圖片中的一種,函數(shù)返回true,否則返回false '****************************************************************** const adTypeBinary=1 dim jpg(1):jpg(0)=CByte(&HFF):jpg(1)=CByte(&HD8) dim bmp(1):bmp(0)=CByte(&H42):bmp(1)=CByte(&H4D) dim png(3):png(0)=CByte(&H89):png(1)=CByte(&H50):png(2)=CByte(&H4E):png(3)=CByte(&H47) dim gif(5):gif(0)=CByte(&H47):gif(1)=CByte(&H49):gif(2)=CByte(&H46):gif(3)=CByte(&H39):gif(4)=CByte(&H38):gif(5)=CByte(&H61) function CheckFileType(filename) CheckFileType=false dim fstream,fileExt,stamp,i fileExt=mid(filename,InStrRev(filename,".")+1) set fstream=Server.createobject("ADODB.Stream") fstream.Open fstream.Type=adTypeBinary fstream.LoadFromFile filename fstream.position=0 select case fileExt case "jpg","jpeg" stamp=fstream.read(2) for i=0 to 1 if ascB(MidB(stamp,i+1,1))=jpg(i) then CheckFileType=true else CheckFileType=false next case "gif" stamp=fstream.read(6) for i=0 to 5 if ascB(MidB(stamp,i+1,1))=gif(i) then CheckFileType=true else CheckFileType=false next case "png" stamp=fstream.read(4) for i=0 to 3 if ascB(MidB(stamp,i+1,1))=png(i) then CheckFileType=true else CheckFileType=false next case "bmp" stamp=fstream.read(2) for i=0 to 1 if ascB(MidB(stamp,i+1,1))=bmp(i) then CheckFileType=true else CheckFileType=false next end select fstream.Close set fseteam=nothing if err.number<>0 then CheckFileType=false end function function TrueStr(fileTrue) str_len=len(fileTrue) pos=Instr(fileTrue,chr(0)) if pos=0 or pos=str_len then TrueStr=true else TrueStr=false end if end function filesizemin=100 filesizemax=200*1024 set upload=new upload_5xSoft '建立上傳對(duì)象 f_folder=upload.form("upfilefolder") '********************************列出所有上傳文件*************************************************** For each formName in upload.objFile set file=upload.file(formName) If file.filesize>0 then '********************************檢測(cè)文件大小*************************************************** If file.filesize<filesizemin Then response.write "你上傳的文件太小了 [ <a href=# onclick=history.go(-1)>重新上傳</a> ]" ElseIf file.filesize>filesizemax then response.write "文件大小超過了 "&filesizemax&"字節(jié) 限制 [ <a href=# onclick=history.go(-1)>重新上傳</a> ]" End If '********************************檢測(cè)文件類型**************************************************** fileExt=ucase(right(file.filename,4)) uploadsuc=false Forum_upload="RAR|ZIP|SWF|JPG|PNG|GIF|DOC|TXT|CHM|PDF|ACE|MP3|WMA|WMV|MIDI|AVI|RM|RA|RMVB|MOV|XLS" Forumupload=split(Forum_upload,"|") for i=0 to ubound(Forumupload) if fileEXT="."&trim(Forumupload(i)) then uploadsuc=true exit for else uploadsuc=false end if next if uploadsuc=false then response.write "文件格式不正確 [ <a href=# onclick=history.go(-1)>重新上傳</a> ]" response.end end if '********************************建立文件上傳的目錄文件夾**************************************** Set upf=Server.CreateObject("Scripting.FileSystemObject") If Err<>0 Then Err.Clear response.write("您的服務(wù)器不支持FSO") response.end End If f_type= replace(fileExt,".","") f_name= year(now)&"-"&month(now) If upf.FolderExists(Server.MapPath(f_folder&"/"&f_type&"/"&f_name))=False Then If upf.FolderExists(Server.MapPath(f_folder&"/"&f_type))=False Then If upf.FolderExists(Server.MapPath(f_folder))=False Then upf.CreateFolder Server.MapPath(f_folder) upf.CreateFolder Server.MapPath(f_folder&"/"&f_type) upf.CreateFolder Server.MapPath(f_folder&"/"&f_type&"/"&f_name) Else upf.CreateFolder Server.MapPath(f_folder&"/"&f_type) upf.CreateFolder Server.MapPath(f_folder&"/"&f_type&"/"&f_name) End If Else upf.CreateFolder Server.MapPath(f_folder&"/"&f_type&"/"&f_name) End If End If f_ftn=f_folder&"/"&f_type&"/"&f_name Set upf=Nothing '********************************保存上傳文件至文件夾***************************************** randomize ranNum=int(90000*rnd)+10000 filename=f_ftn&"/"&day(now)&"-"&ranNum&"-"&file.filename if TrueStr(filename)=false then response.write "非法文件" response.end end if if file.filesize>filesizemin and file.filesize<filesizemax then file.SaveAs Server.mappath(filename) '保存文件 if f_type="JPG" or f_type="GIF" or f_type="PNG" then If not CheckFileType(Server.mappath(filename)) then response.write "錯(cuò)誤的圖像格式 [ <a href=# onclick=history.go(-1)>重新上傳</a> ]" Set fso = CreateObject("Scripting.FileSystemObject") Set ficn = fso.GetFile(Server.mappath(filename)) ficn.delete set ficn=nothing set fso=nothing response.end end if response.write "<script>parent.cn_bruce.cn_content.value+='!["&filename&"]("&filename&")
'</script>" ElseIf f_type="ZIP" or f_type="RAR" or f_type="DOC" or f_type="TXT" then response.write "<script>parent.cn_bruce.cn_content.value+='"&filename&"'</script>" 'ElseIf else response.write "<script>parent.cn_bruce.cn_content.value+=' "&filename&" '</script>" end if iCount=iCount+1 end if set file=nothing end if next set upload=nothing '刪除此對(duì)象 response.write (iCount&" 個(gè)文件上傳成功! <a href=# onclick=history.go(-1)>繼續(xù)上傳</a>") %> </body> </html>
[Ctrl+A 全部選擇 提示:你可先修改部分代碼,再按運(yùn)行]
另外,請(qǐng)各位調(diào)試是否具有上傳漏洞:
http://www.164.cc/2006/upf/
針對(duì)此情況使用下列函數(shù)進(jìn)行辨別:
<%
'******************************************************************
'CheckFileType 函數(shù)用來檢查文件是否為圖片文件
'參數(shù)filename是本地文件的路徑
'如果是文件jpeg,gif,bmp,png圖片中的一種,函數(shù)返回true,否則返回false
'******************************************************************
const adTypeBinary=1
dim jpg(1):jpg(0)=CByte(&HFF):jpg(1)=CByte(&HD8)
dim bmp(1):bmp(0)=CByte(&H42):bmp(1)=CByte(&H4D)
dim png(3):png(0)=CByte(&H89):png(1)=CByte(&H50):png(2)=CByte(&H4E):png(3)=CByte(&H47)
dim gif(5):gif(0)=CByte(&H47):gif(1)=CByte(&H49):gif(2)=CByte(&H46):gif(3)=CByte(&H39):gif(4)=CByte(&H38):gif(5)=CByte(&H61)
function CheckFileType(filename)
on error resume next
CheckFileType=false
dim fstream,fileExt,stamp,i
fileExt=mid(filename,InStrRev(filename,".")+1)
set fstream=Server.createobject("ADODB.Stream")
fstream.Open
fstream.Type=adTypeBinary
fstream.LoadFromFile filename
fstream.position=0
select case fileExt
case "jpg","jpeg"
stamp=fstream.read(2)
for i=0 to 1
if ascB(MidB(stamp,i+1,1))=jpg(i) then CheckFileType=true else CheckFileType=false
next
case "gif"
stamp=fstream.read(6)
for i=0 to 5
if ascB(MidB(stamp,i+1,1))=gif(i) then CheckFileType=true else CheckFileType=false
next
case "png"
stamp=fstream.read(4)
for i=0 to 3
if ascB(MidB(stamp,i+1,1))=png(i) then CheckFileType=true else CheckFileType=false
next
case "bmp"
stamp=fstream.read(2)
for i=0 to 1
if ascB(MidB(stamp,i+1,1))=bmp(i) then CheckFileType=true else CheckFileType=false
next
end select
fstream.Close
set fseteam=nothing
if err.number<>0 then CheckFileType=false
end function
%>
那么在應(yīng)用的時(shí)候
CheckFileType(server.mappath("cnbruce.jpg"))
或者
CheckFileType("F:/web/164/images/cnbruce.jpg"))
反正即是檢測(cè)驗(yàn)證本地物理地址的圖像文件類型,返回 true 或 false值
所以這個(gè)情況應(yīng)用在圖像上傳中,目前的辦法是先允許該“偽圖像”文件的上傳,接著使用以上的自定義函數(shù)判斷該文件是否符合圖像的規(guī)范,若是木馬偽裝的圖像文件則FSO刪除之,比如:
file.SaveAs Server.mappath(filename) '保存文件
If not CheckFileType(Server.mappath(filename)) then
response.write "錯(cuò)誤的圖像格式"
Set fso = CreateObject("Scripting.FileSystemObject")
Set ficn = fso.GetFile(Server.mappath(filename))
ficn.delete
set ficn=nothing
set fso=nothing
response.end
end if
則是先將文件上傳,接著立馬使用自定義函數(shù)判斷文件圖像類型的吻合性,F(xiàn)SO做出刪除該文件的操作。
ASP上傳漏洞還利用"\0"對(duì)filepath進(jìn)行手腳操作
http://www.cnbruce.com/blog/showlog.asp?cat_id=32&log_id=635
針對(duì)這樣的情況可使用如下函數(shù)
function TrueStr(fileTrue)
str_len=len(fileTrue)
pos=Instr(fileTrue,chr(0))
if pos=0 or pos=str_len then
TrueStr=true
else
TrueStr=false
end if
end function
接著就可判斷后再做文件的上傳
if TrueStr(filename)=false then
response.write "非法文件"
response.end
end if
file.SaveAs Server.mappath(filename)
所以,在Blog中的一文:(ASP)文件系統(tǒng)之化境無組件(v2.0)上傳
關(guān)于upfile.asp的全新內(nèi)容如下:
<%@LANGUAGE="VBSCRIPT" CODEPAGE="936"%> <!--#include file="upload.inc"--> <html> <head> <title>文件上傳</title> <meta http-equiv="content-type" content="text/html;charset=gb2312"> </head> <body> <% on error resume next dim upload,f_folder,file,formPath,iCount,filename,fileExt,filesizemin,filesizemax '****************************************************************** 'CheckFileType 函數(shù)用來檢查文件是否為圖片文件 '參數(shù)filename是本地文件的路徑 '如果是文件jpeg,gif,bmp,png圖片中的一種,函數(shù)返回true,否則返回false '****************************************************************** const adTypeBinary=1 dim jpg(1):jpg(0)=CByte(&HFF):jpg(1)=CByte(&HD8) dim bmp(1):bmp(0)=CByte(&H42):bmp(1)=CByte(&H4D) dim png(3):png(0)=CByte(&H89):png(1)=CByte(&H50):png(2)=CByte(&H4E):png(3)=CByte(&H47) dim gif(5):gif(0)=CByte(&H47):gif(1)=CByte(&H49):gif(2)=CByte(&H46):gif(3)=CByte(&H39):gif(4)=CByte(&H38):gif(5)=CByte(&H61) function CheckFileType(filename) CheckFileType=false dim fstream,fileExt,stamp,i fileExt=mid(filename,InStrRev(filename,".")+1) set fstream=Server.createobject("ADODB.Stream") fstream.Open fstream.Type=adTypeBinary fstream.LoadFromFile filename fstream.position=0 select case fileExt case "jpg","jpeg" stamp=fstream.read(2) for i=0 to 1 if ascB(MidB(stamp,i+1,1))=jpg(i) then CheckFileType=true else CheckFileType=false next case "gif" stamp=fstream.read(6) for i=0 to 5 if ascB(MidB(stamp,i+1,1))=gif(i) then CheckFileType=true else CheckFileType=false next case "png" stamp=fstream.read(4) for i=0 to 3 if ascB(MidB(stamp,i+1,1))=png(i) then CheckFileType=true else CheckFileType=false next case "bmp" stamp=fstream.read(2) for i=0 to 1 if ascB(MidB(stamp,i+1,1))=bmp(i) then CheckFileType=true else CheckFileType=false next end select fstream.Close set fseteam=nothing if err.number<>0 then CheckFileType=false end function function TrueStr(fileTrue) str_len=len(fileTrue) pos=Instr(fileTrue,chr(0)) if pos=0 or pos=str_len then TrueStr=true else TrueStr=false end if end function filesizemin=100 filesizemax=200*1024 set upload=new upload_5xSoft '建立上傳對(duì)象 f_folder=upload.form("upfilefolder") '********************************列出所有上傳文件*************************************************** For each formName in upload.objFile set file=upload.file(formName) If file.filesize>0 then '********************************檢測(cè)文件大小*************************************************** If file.filesize<filesizemin Then response.write "你上傳的文件太小了 [ <a href=# onclick=history.go(-1)>重新上傳</a> ]" ElseIf file.filesize>filesizemax then response.write "文件大小超過了 "&filesizemax&"字節(jié) 限制 [ <a href=# onclick=history.go(-1)>重新上傳</a> ]" End If '********************************檢測(cè)文件類型**************************************************** fileExt=ucase(right(file.filename,4)) uploadsuc=false Forum_upload="RAR|ZIP|SWF|JPG|PNG|GIF|DOC|TXT|CHM|PDF|ACE|MP3|WMA|WMV|MIDI|AVI|RM|RA|RMVB|MOV|XLS" Forumupload=split(Forum_upload,"|") for i=0 to ubound(Forumupload) if fileEXT="."&trim(Forumupload(i)) then uploadsuc=true exit for else uploadsuc=false end if next if uploadsuc=false then response.write "文件格式不正確 [ <a href=# onclick=history.go(-1)>重新上傳</a> ]" response.end end if '********************************建立文件上傳的目錄文件夾**************************************** Set upf=Server.CreateObject("Scripting.FileSystemObject") If Err<>0 Then Err.Clear response.write("您的服務(wù)器不支持FSO") response.end End If f_type= replace(fileExt,".","") f_name= year(now)&"-"&month(now) If upf.FolderExists(Server.MapPath(f_folder&"/"&f_type&"/"&f_name))=False Then If upf.FolderExists(Server.MapPath(f_folder&"/"&f_type))=False Then If upf.FolderExists(Server.MapPath(f_folder))=False Then upf.CreateFolder Server.MapPath(f_folder) upf.CreateFolder Server.MapPath(f_folder&"/"&f_type) upf.CreateFolder Server.MapPath(f_folder&"/"&f_type&"/"&f_name) Else upf.CreateFolder Server.MapPath(f_folder&"/"&f_type) upf.CreateFolder Server.MapPath(f_folder&"/"&f_type&"/"&f_name) End If Else upf.CreateFolder Server.MapPath(f_folder&"/"&f_type&"/"&f_name) End If End If f_ftn=f_folder&"/"&f_type&"/"&f_name Set upf=Nothing '********************************保存上傳文件至文件夾***************************************** randomize ranNum=int(90000*rnd)+10000 filename=f_ftn&"/"&day(now)&"-"&ranNum&"-"&file.filename if TrueStr(filename)=false then response.write "非法文件" response.end end if if file.filesize>filesizemin and file.filesize<filesizemax then file.SaveAs Server.mappath(filename) '保存文件 if f_type="JPG" or f_type="GIF" or f_type="PNG" then If not CheckFileType(Server.mappath(filename)) then response.write "錯(cuò)誤的圖像格式 [ <a href=# onclick=history.go(-1)>重新上傳</a> ]" Set fso = CreateObject("Scripting.FileSystemObject") Set ficn = fso.GetFile(Server.mappath(filename)) ficn.delete set ficn=nothing set fso=nothing response.end end if response.write "<script>parent.cn_bruce.cn_content.value+='
[Ctrl+A 全部選擇 提示:你可先修改部分代碼,再按運(yùn)行]
另外,請(qǐng)各位調(diào)試是否具有上傳漏洞:
http://www.164.cc/2006/upf/
SNMP網(wǎng)絡(luò)安全性配置指南
[ 2007-03-25 03:22:44 | 作者: sun ]
如何在Windows Server 2003中為“簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議”(SNMP)服務(wù)配置網(wǎng)絡(luò)安全性呢?SNMP服務(wù)起著代理的作用,它會(huì)收集可以向SNMP管理站或控制臺(tái)報(bào)告的信息。您可以使用SNMP服務(wù)來收集數(shù)據(jù),并且在整個(gè)公司網(wǎng)絡(luò)范圍內(nèi)管理基于 Windows Server 2003、Microsoft Windows XP和Microsoft Windows 2000的計(jì)算機(jī)。
通常,保護(hù)SNMP代理與SNMP管理站之間的通信的方法是:給這些代理和管理站指定一個(gè)共享的社區(qū)名稱。當(dāng)SNMP管理站向SNMP服務(wù)發(fā)送查詢時(shí),請(qǐng)求方的社區(qū)名稱就會(huì)與代理的社區(qū)名稱進(jìn)行比較。如果匹配,則表明SNMP管理站已通過身份驗(yàn)證。如果不匹配,則表明SNMP代理認(rèn)為該請(qǐng)求是“失敗訪問” 嘗試,并且可能會(huì)發(fā)送一條SNMP陷阱消息。
SNMP消息是以明文形式發(fā)送的。這些明文消息很容易被“Microsoft網(wǎng)絡(luò)監(jiān)視器”這樣的網(wǎng)絡(luò)分析程序截取并解碼。未經(jīng)授權(quán)的人員可以捕獲社區(qū)名稱,以獲取有關(guān)網(wǎng)絡(luò)資源的重要信息。
“IP安全協(xié)議”(IP Sec)可用來保護(hù)SNMP通信。您可以創(chuàng)建保護(hù)TCP和UDP端口161和162上的通信的IP Sec策略,以保護(hù)SNMP事務(wù)。
創(chuàng)建篩選器列表
要?jiǎng)?chuàng)建保護(hù)SNMP消息的IP Sec策略,先要?jiǎng)?chuàng)建篩選器列表。方法是:
單擊開始,指向管理工具,然后單擊本地安全策略。
展開安全設(shè)置,右鍵單擊“本地計(jì)算機(jī)上的IP安全策略”,然后單擊“管理IP篩選器列表和篩選器操作”。
單擊“管理IP篩選器列表”選項(xiàng)卡,然后單擊添加。
在IP篩選器列表對(duì)話框中,鍵入SNMP消息(161/162)(在名稱框中),然后鍵入TCP和UDP端口161篩選器(在說明框中)。
單擊使用“添加向?qū)А睆?fù)選框,將其清除,然后單擊添加。
在“源地址”框(位于顯示的IP篩選器屬性對(duì)話框的地址選項(xiàng)卡上)中,單擊“任意IP地址”。在“目標(biāo)地址”框中,單擊我的IP地址。單擊“鏡像。匹配具有正好相反的源和目標(biāo)地址的數(shù)據(jù)包”復(fù)選框,將其選中。
單擊協(xié)議選項(xiàng)卡。在“選擇協(xié)議類型”框中,選擇UDP。在“設(shè)置IP協(xié)議端口”框中,選擇“從此端口”,然后在框中鍵入161。單擊“到此端口”,然后在框中鍵入161。
單擊確定。
在IP篩選器列表對(duì)話框中,選擇添加。
在“源地址”框(位于顯示的IP篩選器屬性對(duì)話框的地址選項(xiàng)卡上)中,單擊“任意IP地址”。在“目標(biāo)地址”框中,單擊我的IP地址。選中“鏡像、匹配具有正好相反的源和目標(biāo)地址的數(shù)據(jù)包”復(fù)選框。
單擊協(xié)議選項(xiàng)卡。在“選擇協(xié)議類型框中,單擊TCP。在“設(shè)置IP協(xié)議”框中,單擊“從此端口”,然后在框中鍵入161。單擊“到此端口”,然后在框中鍵入161。
單擊確定。
在IP篩選器列表對(duì)話框中,單擊添加。
在“源地址”框(位于顯示的IP篩選器屬性對(duì)話框的地址選項(xiàng)卡上)中,單擊“任意IP地址”。在“目標(biāo)地址”框中,單擊我的IP地址。單擊“鏡像,匹配具有正好相反的源和目標(biāo)地址的數(shù)據(jù)包”復(fù)選框,將其選中。
單擊協(xié)議選項(xiàng)卡。在“選擇協(xié)議類型”框中,單擊UDP。在“設(shè)置IP協(xié)議”框中,單擊“從此端口”,然后在框中鍵入162。單擊“到此端口”,然后在框中鍵入162。
單擊確定,在IP篩選器列表對(duì)話框中,單擊添加。
在“源地址”框(位于顯示的IP篩選器屬性對(duì)話框的地址選項(xiàng)卡上)中,單擊“任意IP地址”。在“目標(biāo)地址”框中,單擊我的IP地址。單擊“鏡像。匹配具有正好相反的源和目標(biāo)地址的數(shù)據(jù)包”復(fù)選框,將其選中。
單擊協(xié)議選項(xiàng)卡。在“選擇協(xié)議類型框中,單擊TCP。在“設(shè)置IP協(xié)議”框中,單擊“從此端口”,然后在框中鍵入162。單擊“到此端口”,然后在框中鍵入162。
單擊確定 在IP篩選器列表對(duì)話框中單擊確定,然后單擊“管理IP篩選器列表和篩選器操作”對(duì)話框中的確定。
創(chuàng)建IPSec策略
要?jiǎng)?chuàng)建IPSec策略來對(duì)SNMP通信強(qiáng)制實(shí)施IPSec,請(qǐng)按以下步驟操作:
右鍵單擊左窗格中“本地計(jì)算機(jī)上的IP安全策略”,然后單擊創(chuàng)建IP安全策略。
“IP安全策略向?qū)А眴?dòng)。
單擊下一步。
在“IP安全策略名稱”頁(yè)上的名稱框中鍵入Secure SNMP。在說明框中,鍵入Force IPSec for SNMP Communications,然后單擊下一步。
單擊“激活默認(rèn)響應(yīng)規(guī)則”復(fù)選框,將其清除,然后單擊下一步。
在“正在完成IP安全策略向?qū)А表?yè)上,確認(rèn)“編輯屬性”復(fù)選框已被選中,然后單擊完成。
在安全“NMP屬性”對(duì)話框中,單擊使用“添加向?qū)А睆?fù)選框,將其清除,然后單擊添加。
單擊IP“篩選器列表”選項(xiàng)卡,然后單擊SNMP消息(161/162)。
單擊篩選器操作選項(xiàng)卡,然后單擊需要安全。
單擊身份驗(yàn)證方法選項(xiàng)卡。默認(rèn)的身份驗(yàn)證方法為Kerberos。如果您需要另一種身份驗(yàn)證方法,則請(qǐng)單擊添加。在新身份驗(yàn)證方法屬性對(duì)話框中,從下面的列表中選擇要使用的身份驗(yàn)證方法,然后單擊確定:
ActiveDirectory默認(rèn)值(KerberosV5協(xié)議)
使用此字符串(預(yù)共享密鑰)
在新規(guī)則屬性對(duì)話框中,單擊應(yīng)用,然后單擊確定。
在SNMP“屬性”對(duì)話框中,確認(rèn)SNMP“消息(161/162)”復(fù)選框已被選中,然后單擊確定。
在“本地安全設(shè)置”控制臺(tái)的右窗格中,右鍵單擊安全SNMP規(guī)則,然后單擊指定。
在所有運(yùn)行SNMP服務(wù)的基于Windows的計(jì)算機(jī)上完成此過程。SNMP管理站上也必須配置此IPSec策略。
通常,保護(hù)SNMP代理與SNMP管理站之間的通信的方法是:給這些代理和管理站指定一個(gè)共享的社區(qū)名稱。當(dāng)SNMP管理站向SNMP服務(wù)發(fā)送查詢時(shí),請(qǐng)求方的社區(qū)名稱就會(huì)與代理的社區(qū)名稱進(jìn)行比較。如果匹配,則表明SNMP管理站已通過身份驗(yàn)證。如果不匹配,則表明SNMP代理認(rèn)為該請(qǐng)求是“失敗訪問” 嘗試,并且可能會(huì)發(fā)送一條SNMP陷阱消息。
SNMP消息是以明文形式發(fā)送的。這些明文消息很容易被“Microsoft網(wǎng)絡(luò)監(jiān)視器”這樣的網(wǎng)絡(luò)分析程序截取并解碼。未經(jīng)授權(quán)的人員可以捕獲社區(qū)名稱,以獲取有關(guān)網(wǎng)絡(luò)資源的重要信息。
“IP安全協(xié)議”(IP Sec)可用來保護(hù)SNMP通信。您可以創(chuàng)建保護(hù)TCP和UDP端口161和162上的通信的IP Sec策略,以保護(hù)SNMP事務(wù)。
創(chuàng)建篩選器列表
要?jiǎng)?chuàng)建保護(hù)SNMP消息的IP Sec策略,先要?jiǎng)?chuàng)建篩選器列表。方法是:
單擊開始,指向管理工具,然后單擊本地安全策略。
展開安全設(shè)置,右鍵單擊“本地計(jì)算機(jī)上的IP安全策略”,然后單擊“管理IP篩選器列表和篩選器操作”。
單擊“管理IP篩選器列表”選項(xiàng)卡,然后單擊添加。
在IP篩選器列表對(duì)話框中,鍵入SNMP消息(161/162)(在名稱框中),然后鍵入TCP和UDP端口161篩選器(在說明框中)。
單擊使用“添加向?qū)А睆?fù)選框,將其清除,然后單擊添加。
在“源地址”框(位于顯示的IP篩選器屬性對(duì)話框的地址選項(xiàng)卡上)中,單擊“任意IP地址”。在“目標(biāo)地址”框中,單擊我的IP地址。單擊“鏡像。匹配具有正好相反的源和目標(biāo)地址的數(shù)據(jù)包”復(fù)選框,將其選中。
單擊協(xié)議選項(xiàng)卡。在“選擇協(xié)議類型”框中,選擇UDP。在“設(shè)置IP協(xié)議端口”框中,選擇“從此端口”,然后在框中鍵入161。單擊“到此端口”,然后在框中鍵入161。
單擊確定。
在IP篩選器列表對(duì)話框中,選擇添加。
在“源地址”框(位于顯示的IP篩選器屬性對(duì)話框的地址選項(xiàng)卡上)中,單擊“任意IP地址”。在“目標(biāo)地址”框中,單擊我的IP地址。選中“鏡像、匹配具有正好相反的源和目標(biāo)地址的數(shù)據(jù)包”復(fù)選框。
單擊協(xié)議選項(xiàng)卡。在“選擇協(xié)議類型框中,單擊TCP。在“設(shè)置IP協(xié)議”框中,單擊“從此端口”,然后在框中鍵入161。單擊“到此端口”,然后在框中鍵入161。
單擊確定。
在IP篩選器列表對(duì)話框中,單擊添加。
在“源地址”框(位于顯示的IP篩選器屬性對(duì)話框的地址選項(xiàng)卡上)中,單擊“任意IP地址”。在“目標(biāo)地址”框中,單擊我的IP地址。單擊“鏡像,匹配具有正好相反的源和目標(biāo)地址的數(shù)據(jù)包”復(fù)選框,將其選中。
單擊協(xié)議選項(xiàng)卡。在“選擇協(xié)議類型”框中,單擊UDP。在“設(shè)置IP協(xié)議”框中,單擊“從此端口”,然后在框中鍵入162。單擊“到此端口”,然后在框中鍵入162。
單擊確定,在IP篩選器列表對(duì)話框中,單擊添加。
在“源地址”框(位于顯示的IP篩選器屬性對(duì)話框的地址選項(xiàng)卡上)中,單擊“任意IP地址”。在“目標(biāo)地址”框中,單擊我的IP地址。單擊“鏡像。匹配具有正好相反的源和目標(biāo)地址的數(shù)據(jù)包”復(fù)選框,將其選中。
單擊協(xié)議選項(xiàng)卡。在“選擇協(xié)議類型框中,單擊TCP。在“設(shè)置IP協(xié)議”框中,單擊“從此端口”,然后在框中鍵入162。單擊“到此端口”,然后在框中鍵入162。
單擊確定 在IP篩選器列表對(duì)話框中單擊確定,然后單擊“管理IP篩選器列表和篩選器操作”對(duì)話框中的確定。
創(chuàng)建IPSec策略
要?jiǎng)?chuàng)建IPSec策略來對(duì)SNMP通信強(qiáng)制實(shí)施IPSec,請(qǐng)按以下步驟操作:
右鍵單擊左窗格中“本地計(jì)算機(jī)上的IP安全策略”,然后單擊創(chuàng)建IP安全策略。
“IP安全策略向?qū)А眴?dòng)。
單擊下一步。
在“IP安全策略名稱”頁(yè)上的名稱框中鍵入Secure SNMP。在說明框中,鍵入Force IPSec for SNMP Communications,然后單擊下一步。
單擊“激活默認(rèn)響應(yīng)規(guī)則”復(fù)選框,將其清除,然后單擊下一步。
在“正在完成IP安全策略向?qū)А表?yè)上,確認(rèn)“編輯屬性”復(fù)選框已被選中,然后單擊完成。
在安全“NMP屬性”對(duì)話框中,單擊使用“添加向?qū)А睆?fù)選框,將其清除,然后單擊添加。
單擊IP“篩選器列表”選項(xiàng)卡,然后單擊SNMP消息(161/162)。
單擊篩選器操作選項(xiàng)卡,然后單擊需要安全。
單擊身份驗(yàn)證方法選項(xiàng)卡。默認(rèn)的身份驗(yàn)證方法為Kerberos。如果您需要另一種身份驗(yàn)證方法,則請(qǐng)單擊添加。在新身份驗(yàn)證方法屬性對(duì)話框中,從下面的列表中選擇要使用的身份驗(yàn)證方法,然后單擊確定:
ActiveDirectory默認(rèn)值(KerberosV5協(xié)議)
使用此字符串(預(yù)共享密鑰)
在新規(guī)則屬性對(duì)話框中,單擊應(yīng)用,然后單擊確定。
在SNMP“屬性”對(duì)話框中,確認(rèn)SNMP“消息(161/162)”復(fù)選框已被選中,然后單擊確定。
在“本地安全設(shè)置”控制臺(tái)的右窗格中,右鍵單擊安全SNMP規(guī)則,然后單擊指定。
在所有運(yùn)行SNMP服務(wù)的基于Windows的計(jì)算機(jī)上完成此過程。SNMP管理站上也必須配置此IPSec策略。
安全雜談之個(gè)人電腦防黑的安全準(zhǔn)則
[ 2007-03-25 03:22:34 | 作者: sun ]
在這個(gè)網(wǎng)絡(luò)時(shí)代,每個(gè)人都可以輕易地從網(wǎng)絡(luò)上得到各種簡(jiǎn)單易用的黑客工具,于是,眾多“黑客”就誕生了。這些人多半是一些無所事事的網(wǎng)蟲,天生就有破壞的欲望。于是無聊+表現(xiàn)欲促使他們拿著從網(wǎng)上找來的各種“炸彈”之類的東西開始在浩大的網(wǎng)絡(luò)中尋找可以炫耀一下自己本事的獵物。當(dāng)你在網(wǎng)絡(luò)上沖浪,或是正在同別人聊天時(shí),機(jī)器突然死機(jī)了或是藍(lán)屏了,網(wǎng)頁(yè)不能瀏覽了,QQ登錄不上去了,這時(shí)你就該想想自己是不是中毒了,或是被黑了。那么為防止我們的個(gè)人電腦被黑客攻擊,我們使用電腦時(shí)該遵循些什么樣的安全準(zhǔn)則呢?
密碼安全準(zhǔn)則
不要使用簡(jiǎn)單的密碼。不要簡(jiǎn)單地用生日、單詞或電話號(hào)碼作為密碼,密碼的長(zhǎng)度至少要8個(gè)字符以上,包含數(shù)字、大、小寫字母和鍵盤上的其他字符混合。對(duì)于不同的網(wǎng)站和程序,要使用不同口令,以防止被黑客破譯。要記錄好你的ID和密碼以免忘記,但不要將記錄存放在上網(wǎng)的電腦里。不要為了下次登錄方便而保存密碼;還有,要經(jīng)常更改密碼和不要向任何人透露您的密碼。
電子郵件安全準(zhǔn)則
不要輕易打開電子郵件中的附件,更不要輕易運(yùn)行郵件附件中的程序,除非你知道信息的來源。要時(shí)刻保持警惕性,不要輕易相信熟人發(fā)來的E-mail就一定沒有黑客程序,如Happy99就會(huì)自動(dòng)加在E-mail附件當(dāng)中。不要在網(wǎng)絡(luò)上隨意公布或者留下您的電子郵件地址,去轉(zhuǎn)信站申請(qǐng)一個(gè)轉(zhuǎn)信信箱,因?yàn)橹挥兴遣慌抡ǖ摹T贓-mail客戶端軟件中限制郵件大小和過濾垃圾郵件;使用遠(yuǎn)程登錄的方式來預(yù)覽郵件;最好申請(qǐng)數(shù)字簽名;對(duì)于郵件附件要先用防病毒軟件和專業(yè)清除木馬的工具進(jìn)行掃描后方可使用。
IE的安全準(zhǔn)則
對(duì)于使用公共機(jī)器上網(wǎng)的網(wǎng)民,一定要注意IE的安全性。因?yàn)镮E的自動(dòng)完成功能在給用戶填寫表單和輸入Web地址帶來一定便利的同時(shí),也給用戶帶來了潛在的泄密危險(xiǎn),最好禁用IE的自動(dòng)完成功能。IE的歷史記錄中保存了用戶已經(jīng)訪問過的所有頁(yè)面的鏈接,在離開之前一定要清除歷史記錄;另外IE的臨時(shí)文件夾(\Windows\Temporary Internet Files)內(nèi)保存了用戶已經(jīng)瀏覽過的網(wǎng)頁(yè),通過IE的脫機(jī)瀏覽特性或者是其他第三方的離線瀏覽軟件,其他用戶能夠輕松地翻閱你瀏覽的內(nèi)容,所以離開之前也需刪除該路徑下的文件。還要使用具有對(duì)Cookie程序控制權(quán)的安全程序,因?yàn)镃ookie程序會(huì)把信息傳送回網(wǎng)站,當(dāng)然安裝個(gè)人防火墻也可對(duì)Cookie的使用進(jìn)行禁止、提示或啟用。
聊天軟件的安全準(zhǔn)則
在使用聊天軟件的時(shí)候,最好設(shè)置為隱藏用戶,以免別有用心者使用一些專用軟件查看到你的IP地址,然后采用一些針對(duì)IP 地址的黑客工具對(duì)你進(jìn)行攻擊。在聊天室的時(shí)候,還要預(yù)防Java炸彈,攻擊者通常發(fā)送一些帶惡意代碼的HTML語句使你的電腦打開無數(shù)個(gè)窗口或顯示巨型圖片,最終導(dǎo)致死機(jī)。你只需禁止Java腳本的運(yùn)行和顯示圖像功能就可以避免遭到攻擊了,但這時(shí)你就沒法訪問一些交互式網(wǎng)頁(yè)了,這需要你個(gè)人權(quán)衡。
防止特洛伊木馬安全準(zhǔn)則
不要太容易信任別人,不要輕易安裝和運(yùn)行從那些不知名的網(wǎng)站(特別是不可靠的FTP站點(diǎn))下載的軟件和來歷不明的軟件。有些程序可能是木馬程序,如果你一旦安裝了這些程序,它們就會(huì)在你不知情的情況下更改你的系統(tǒng)或者連接到遠(yuǎn)程的服務(wù)器。這樣,黑客就可以很容易進(jìn)入你的電腦。筆者并不是讓大家不信任來自Internet的任何東西,因?yàn)榧词故呛艽蟮木W(wǎng)站,都有可能遭到黑客的破壞。對(duì)于此類軟件,即使通過了一般反病毒軟件的檢查也不要輕易運(yùn)行,要用如Cleaner等專門的黑客程序清除軟件檢查,并且需要提醒大家注意的是這些軟件的病毒庫(kù)文件要經(jīng)常更新。同時(shí)不要讓他人隨意在您的計(jì)算機(jī)上安裝軟件。另外如果是購(gòu)買二手電腦,不要購(gòu)買或者使用那些曾經(jīng)受過入侵,但仍未清理過硬盤的二手電腦。因?yàn)檫@樣很可能為黑客提供了入侵你的電腦的機(jī)會(huì),最好是重新格式化硬盤,并重裝操作系統(tǒng)。
定期升級(jí)你的系統(tǒng)
很多常用的程序和操作系統(tǒng)的內(nèi)核都會(huì)發(fā)現(xiàn)漏洞,某些漏洞會(huì)讓入侵者很容易進(jìn)入到你的系統(tǒng),這些漏洞會(huì)以很快的速度在黑客中傳開。如近期流傳極廣的尼姆達(dá)病毒就是針對(duì)微軟信件瀏覽器的弱點(diǎn)和Windows NT/2000、IIS的漏洞而編寫出的一種傳播能力很強(qiáng)的病毒。因此,用戶一定要小心防范。軟件的開發(fā)商會(huì)把補(bǔ)丁公布,以便用戶補(bǔ)救這些漏洞。建議用戶訂閱關(guān)于這些漏洞的郵件列表,以便及時(shí)知道這些漏洞后打上補(bǔ)丁,以防黑客攻擊。當(dāng)然最好使用最新版本的瀏覽器軟件、電子郵件軟件以及其他程序,但不要是測(cè)試版本。
安裝防火墻
不要在沒有防火墻的情況下上網(wǎng)沖浪。如果你使用的是寬帶連接,例如ADSL或者光纖,那么你就會(huì)在任何時(shí)候都連上Internet,這樣,你就很有可能成為那些鬧著玩的黑客的目標(biāo)。最好在不需要的時(shí)候斷開連接,如可以在你的電腦上裝上防黑客的防火墻——一種反入侵的程序作為你的電腦的門衛(wèi),以監(jiān)視數(shù)據(jù)流動(dòng)或是斷開網(wǎng)絡(luò)連接。如Lockdown2000 、ZoneAlarm、天網(wǎng)或者其他的一些個(gè)人防火墻軟件。另外如瑞星、江民、金山公司的最新版殺毒軟件都附有防火墻,可以起到殺毒、防黑的雙重功效,值得信賴。
禁止文件共享
局域網(wǎng)里的用戶喜歡將自己的電腦設(shè)置為文件共享,以方便相互之間資源共享,但是如果你設(shè)了共享的話,就為那些黑客留了后門,這樣他們就有機(jī)可乘進(jìn)入你的電腦偷看你的文件,甚至搞些小破壞。建議在非設(shè)共享不可的情況下,最好為共享文件夾設(shè)置一個(gè)密碼,否則公眾以及你的對(duì)手將可以自由地訪問你的那些共享文件。
如果你在上網(wǎng)時(shí)遵守了以上這些準(zhǔn)則的話,就可以在一定程度上保證個(gè)人電腦的安全,避免黑客的攻擊。
熊貓燒香病毒超強(qiáng)分析(手工查殺方法)
[ 2007-03-25 03:22:23 | 作者: sun ]
本文介紹了熊貓燒香病毒、熊貓燒香病毒變種的查殺方法,及熊貓燒香病毒的手動(dòng)清除方案。提供了病毒進(jìn)程為spoclsv.exe和FuckJacks.exe變種的解決方案,和熊貓燒香病毒專殺工具。
在動(dòng)手查殺熊貓燒香病毒之前,強(qiáng)烈建議先注意以下四點(diǎn):
1.本文包含兩種熊貓燒香病毒變種的描述,請(qǐng)注意查看病毒癥狀,根據(jù)實(shí)際情況選用不同的查殺方法。
2.對(duì)于被熊貓燒香病毒感染的.exe可執(zhí)行文件,推薦先備份,再修復(fù)!
3.找回被熊貓燒香病毒刪除的ghost(.gho)文件,請(qǐng)使用EasyRecovery Pro。.gho文件所在分區(qū)進(jìn)行的寫操作越少,找回來的幾率越大。
4.對(duì)計(jì)算機(jī)了解不多的用戶,請(qǐng)?jiān)趯<抑笇?dǎo)下清除熊貓燒香病毒。
熊貓燒香病毒變種一:病毒進(jìn)程為“spoclsv.exe”
這是“熊貓燒香”早期變種之一,特別之處是“殺死殺毒軟件”,最惡劣之處在于感染全盤.exe文件和刪除.gho文件(Ghost的鏡像文件)。
最有“靈感”的一招莫過于在所有htm/html/asp/php/jsp/aspx文件末尾添加一段代碼來調(diào)用病毒。目前所有專殺工具及殺毒軟件均不會(huì)修復(fù)此病毒行為。需要手動(dòng)清除病毒添加的代碼,且一定要清除。否則訪問了有此代碼的網(wǎng)頁(yè),又會(huì)感染。
其他老一點(diǎn)的“熊貓燒香”spoclsv變種的病毒行為比此版本少。就不再單獨(dú)列出。
病毒描述:
“武漢男生”,俗稱“熊貓燒香”,這是一個(gè)感染型的蠕蟲病毒,它能感染系統(tǒng)中exe,com,pif,src,html,asp等文件,它還能中止大量的反病毒軟件進(jìn)程并且會(huì)刪除擴(kuò)展名為gho的文件,(.gho為GHOST的備份文件),使用戶的系統(tǒng)備份文件丟失。被感染的用戶系統(tǒng)中所有.exe可執(zhí)行文件全部被改成熊貓舉著三根香的模樣。
被感染的程序(實(shí)際圖)
以下是熊貓燒香病毒詳細(xì)行為和解決辦法:
熊貓燒香病毒詳細(xì)行為:
1.復(fù)制自身到系統(tǒng)目錄下:
%System%\drivers\spoclsv.exe(“%System%”代表Windows所在目錄,比如:C:\Windows)
不同的spoclsv.exe變種,此目錄可不同。比如12月爆發(fā)的變種目錄是:C:\Windows\System32\Drivers\spoclsv.exe。
2.創(chuàng)建啟動(dòng)項(xiàng):
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"
3.在各分區(qū)根目錄生成病毒副本:
X:\setup.exe
X:\autorun.inf
autorun.inf內(nèi)容:
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
4.使用net share命令關(guān)閉管理共享:
cmd.exe /c net share X$ /del /y
cmd.exe /c net share admin$ /del /y
5.修改“顯示所有文件和文件夾”設(shè)置:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsCurrentVersion
\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000
6.熊貓燒香病毒嘗試關(guān)閉安全軟件相關(guān)窗口:
天網(wǎng)
防火墻
進(jìn)程
VirusScan
NOD32
網(wǎng)鏢
殺毒
毒霸
瑞星
江民
黃山IE
超級(jí)兔子
優(yōu)化大師
木馬清道夫
木馬清道夫
QQ病毒
注冊(cè)表編輯器
系統(tǒng)配置實(shí)用程序
卡巴斯基反病毒
Symantec AntiVirus
Duba
Windows任務(wù)管理器
esteem procs
綠鷹PC
密碼防盜
噬菌體
木馬輔助查找器
System Safety Monitor
Wrapped gift Killer
Winsock Expert
游戲木馬檢測(cè)大師
超級(jí)巡警
msctls_statusbar32
pjf(ustc)
IceSword
7.嘗試結(jié)束安全軟件相關(guān)進(jìn)程以及Viking病毒(威金病毒)進(jìn)程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
“%System%\system32\spoclsv.exe”是系統(tǒng)文件。(目前看來沒有出現(xiàn)插入該系統(tǒng)進(jìn)程的變種,不排除變種的手法變化。)
查看當(dāng)前運(yùn)行spoclsv.exe的路徑,可使用超級(jí)兔子魔法設(shè)置。
2. 刪除病毒文件:
%System%\drivers\spoclsv.exe
請(qǐng)注意區(qū)分病毒和系統(tǒng)文件。詳見步驟1。
3. 刪除病毒啟動(dòng)項(xiàng):
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"
4. 通過分區(qū)盤符右鍵菜單中的“打開”進(jìn)入分區(qū)根目錄,刪除根目錄下的病毒文件:
X:\setup.exe
X:\autorun.inf
5. 恢復(fù)被修改的“顯示所有文件和文件夾”設(shè)置:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
6. 修復(fù)或重新安裝被破壞的安全軟件。
7.修復(fù)被感染的程序,可用專殺工具進(jìn)行修復(fù)。
金山熊貓燒香病毒專殺工具
安天熊貓燒香病毒專殺工具
江民熊貓燒香病毒專殺工具
瑞星熊貓燒香病毒專殺工具
8. 恢復(fù)被修改的網(wǎng)頁(yè)文件,可以使用某些編輯網(wǎng)頁(yè)的工具替換被添加文字為空。機(jī)器上有htm/html/asp/php/jsp/aspx等網(wǎng)頁(yè)文件,一定要?jiǎng)h除此段代碼。有危險(xiǎn)代碼的網(wǎng)頁(yè)一但發(fā)布到網(wǎng)頁(yè)可能會(huì)感染其他用戶。
以下是數(shù)據(jù)安全實(shí)驗(yàn)室提供的信息與方法。
病毒描述:
含有病毒體的文件被運(yùn)行后,病毒將自身拷貝至系統(tǒng)目錄,同時(shí)修改注冊(cè)表將自身設(shè)置為開機(jī)啟動(dòng)項(xiàng),并遍歷各個(gè)驅(qū)動(dòng)器,將自身寫入磁盤根目錄下,增加一個(gè)Autorun.inf文件,使得用戶打開該盤時(shí)激活病毒體。隨后病毒體開一個(gè)線程進(jìn)行本地文件感染,同時(shí)開另外一個(gè)線程連接某網(wǎng)站下載ddos程序進(jìn)行發(fā)動(dòng)惡意攻擊。
病毒基本情況:
[文件信息]
病毒名: Virus.Win32.EvilPanda.a.ex$
大小: 0xDA00 (55808), (disk) 0xDA00 (55808)
SHA1 : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D
殼信息: 未知
危害級(jí)別:高
病毒名: Flooder.Win32.FloodBots.a.ex$
大 小: 0xE800 (59392), (disk) 0xE800 (59392)
SHA1 : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D
殼信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24
危害級(jí)別:高
病毒行為:
Virus.Win32.EvilPanda.a.ex$ :
1、病毒體執(zhí)行后,將自身拷貝到系統(tǒng)目錄:
%SystemRoot%\system32\FuckJacks.exe
2、添加注冊(cè)表啟動(dòng)項(xiàng)目確保自身在系統(tǒng)重啟動(dòng)后被加載:
鍵路徑:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵名:FuckJacks
鍵值:"C:Windows\system32\FuckJacks.exe"
鍵路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵名:svohost
鍵值:"C:Windows\system32\FuckJacks.exe"
3、拷貝自身到所有驅(qū)動(dòng)器根目錄,命名為Setup.exe,并生成一個(gè)autorun.inf使得用戶打開該盤運(yùn)行病毒,并將這兩個(gè)文件屬性設(shè)置為隱藏、只讀、系統(tǒng)。
C:autorun.inf 1KB RHS
C:setup.exe 230KB RHS
4、關(guān)閉眾多殺毒軟件和安全工具。
5、連接*****.3322.org下載某文件,并根據(jù)該文件記錄的地址,去www.****.com下載某ddos程序,下載成功后執(zhí)行該程序。
6、刷新bbs.qq.com,某QQ秀鏈接。
7、循環(huán)遍歷磁盤目錄,感染文件,對(duì)關(guān)鍵系統(tǒng)文件跳過,不感染W(wǎng)indows媒體播放器、MSN、IE 等程序。
Flooder.Win32.FloodBots.a.ex$ :
1、病毒體執(zhí)行后,將自身拷貝到系統(tǒng)目錄:
%SystemRoot%\SVCH0ST.EXE(注意文件名中的“0”是數(shù)字“零”,不是字母“o”)
%SystemRoot%\system32\SVCH0ST.EXE(注意文件名中的“0”是數(shù)字“零”,不是字母“o”)
2、該病毒后下載運(yùn)行后,添加注冊(cè)表啟動(dòng)項(xiàng)目確保自身在系統(tǒng)重啟動(dòng)后被加載:
鍵路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵名:Userinit
鍵值:"C:Windows\system32\SVCH0ST.exe"
3、連接ddos2.****.com,獲取攻擊地址列表和攻擊配置,并根據(jù)配置文件,進(jìn)行相應(yīng)的攻擊。
配置文件如下:
www。victim.net:3389
www。victim.net:80
www。victim.com:80
www。victim.net:80
1
1
120
50000
解決方案:
1. 斷開網(wǎng)絡(luò)
2. 結(jié)束病毒進(jìn)程:%System%\FuckJacks.exe
3. 刪除病毒文件:%System%\FuckJacks.exe
4. 右鍵點(diǎn)擊分區(qū)盤符,點(diǎn)擊右鍵菜單中的“打開”進(jìn)入分區(qū)根目錄,刪除根目錄下的文件:
X:\autorun.inf
X:\setup.exe
5. 刪除病毒創(chuàng)建的啟動(dòng)項(xiàng):
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"FuckJacks"="%System%\FuckJacks.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"svohost"="%System%\FuckJacks.exe"
6. 修復(fù)或重新安裝反病毒軟件
7. 使用反病毒軟件或?qū)⒐ぞ哌M(jìn)行全盤掃描,清除恢復(fù)被感染的exe文件。也可用以下的手動(dòng)方法恢復(fù)文件。
手動(dòng)恢復(fù)中毒文件(在虛擬機(jī)上通過測(cè)試,供參考)
1.在清除病毒文件的同時(shí)不刪除%SYSTEM%下面釋放FuckJacks.exe的這個(gè)文件,即執(zhí)行之前的步驟1、2、4、5。
2.打開“運(yùn)行”輸入“gpedit.msc”打開組策略-本地計(jì)算機(jī)策略-Windoes設(shè)置-安全設(shè)置-軟件限制策略-其它規(guī)則。在其它規(guī)則上右鍵選擇-新散列規(guī)則-打開新散列規(guī)則窗口
3.在文件散列上點(diǎn)擊瀏覽找到%SYSTEM%下面釋放FuckJacks.exe文件。安全級(jí)別選擇-不允許的。確定后重啟。
4.重啟后可以雙擊運(yùn)行已經(jīng)被熊貓感染的程序。運(yùn)行程序后該FuckJacks.exe文件會(huì)在注冊(cè)表里的Run鍵下建立啟動(dòng)項(xiàng)(不會(huì)有問題的)。
5.雙擊運(yùn)行被感染的程序已經(jīng)恢復(fù)原來樣子了。全部回復(fù)后,用SREng把FuckJacks.exe在注冊(cè)表里的啟動(dòng)項(xiàng)刪除即可!
在動(dòng)手查殺熊貓燒香病毒之前,強(qiáng)烈建議先注意以下四點(diǎn):
1.本文包含兩種熊貓燒香病毒變種的描述,請(qǐng)注意查看病毒癥狀,根據(jù)實(shí)際情況選用不同的查殺方法。
2.對(duì)于被熊貓燒香病毒感染的.exe可執(zhí)行文件,推薦先備份,再修復(fù)!
3.找回被熊貓燒香病毒刪除的ghost(.gho)文件,請(qǐng)使用EasyRecovery Pro。.gho文件所在分區(qū)進(jìn)行的寫操作越少,找回來的幾率越大。
4.對(duì)計(jì)算機(jī)了解不多的用戶,請(qǐng)?jiān)趯<抑笇?dǎo)下清除熊貓燒香病毒。
熊貓燒香病毒變種一:病毒進(jìn)程為“spoclsv.exe”
這是“熊貓燒香”早期變種之一,特別之處是“殺死殺毒軟件”,最惡劣之處在于感染全盤.exe文件和刪除.gho文件(Ghost的鏡像文件)。
最有“靈感”的一招莫過于在所有htm/html/asp/php/jsp/aspx文件末尾添加一段代碼來調(diào)用病毒。目前所有專殺工具及殺毒軟件均不會(huì)修復(fù)此病毒行為。需要手動(dòng)清除病毒添加的代碼,且一定要清除。否則訪問了有此代碼的網(wǎng)頁(yè),又會(huì)感染。
其他老一點(diǎn)的“熊貓燒香”spoclsv變種的病毒行為比此版本少。就不再單獨(dú)列出。
病毒描述:
“武漢男生”,俗稱“熊貓燒香”,這是一個(gè)感染型的蠕蟲病毒,它能感染系統(tǒng)中exe,com,pif,src,html,asp等文件,它還能中止大量的反病毒軟件進(jìn)程并且會(huì)刪除擴(kuò)展名為gho的文件,(.gho為GHOST的備份文件),使用戶的系統(tǒng)備份文件丟失。被感染的用戶系統(tǒng)中所有.exe可執(zhí)行文件全部被改成熊貓舉著三根香的模樣。
被感染的程序(實(shí)際圖)
以下是熊貓燒香病毒詳細(xì)行為和解決辦法:
熊貓燒香病毒詳細(xì)行為:
1.復(fù)制自身到系統(tǒng)目錄下:
%System%\drivers\spoclsv.exe(“%System%”代表Windows所在目錄,比如:C:\Windows)
不同的spoclsv.exe變種,此目錄可不同。比如12月爆發(fā)的變種目錄是:C:\Windows\System32\Drivers\spoclsv.exe。
2.創(chuàng)建啟動(dòng)項(xiàng):
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"
3.在各分區(qū)根目錄生成病毒副本:
X:\setup.exe
X:\autorun.inf
autorun.inf內(nèi)容:
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
4.使用net share命令關(guān)閉管理共享:
cmd.exe /c net share X$ /del /y
cmd.exe /c net share admin$ /del /y
5.修改“顯示所有文件和文件夾”設(shè)置:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsCurrentVersion
\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000
6.熊貓燒香病毒嘗試關(guān)閉安全軟件相關(guān)窗口:
天網(wǎng)
防火墻
進(jìn)程
VirusScan
NOD32
網(wǎng)鏢
殺毒
毒霸
瑞星
江民
黃山IE
超級(jí)兔子
優(yōu)化大師
木馬清道夫
木馬清道夫
QQ病毒
注冊(cè)表編輯器
系統(tǒng)配置實(shí)用程序
卡巴斯基反病毒
Symantec AntiVirus
Duba
Windows任務(wù)管理器
esteem procs
綠鷹PC
密碼防盜
噬菌體
木馬輔助查找器
System Safety Monitor
Wrapped gift Killer
Winsock Expert
游戲木馬檢測(cè)大師
超級(jí)巡警
msctls_statusbar32
pjf(ustc)
IceSword
7.嘗試結(jié)束安全軟件相關(guān)進(jìn)程以及Viking病毒(威金病毒)進(jìn)程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
“%System%\system32\spoclsv.exe”是系統(tǒng)文件。(目前看來沒有出現(xiàn)插入該系統(tǒng)進(jìn)程的變種,不排除變種的手法變化。)
查看當(dāng)前運(yùn)行spoclsv.exe的路徑,可使用超級(jí)兔子魔法設(shè)置。
2. 刪除病毒文件:
%System%\drivers\spoclsv.exe
請(qǐng)注意區(qū)分病毒和系統(tǒng)文件。詳見步驟1。
3. 刪除病毒啟動(dòng)項(xiàng):
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"
4. 通過分區(qū)盤符右鍵菜單中的“打開”進(jìn)入分區(qū)根目錄,刪除根目錄下的病毒文件:
X:\setup.exe
X:\autorun.inf
5. 恢復(fù)被修改的“顯示所有文件和文件夾”設(shè)置:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
6. 修復(fù)或重新安裝被破壞的安全軟件。
7.修復(fù)被感染的程序,可用專殺工具進(jìn)行修復(fù)。
金山熊貓燒香病毒專殺工具
安天熊貓燒香病毒專殺工具
江民熊貓燒香病毒專殺工具
瑞星熊貓燒香病毒專殺工具
8. 恢復(fù)被修改的網(wǎng)頁(yè)文件,可以使用某些編輯網(wǎng)頁(yè)的工具替換被添加文字為空。機(jī)器上有htm/html/asp/php/jsp/aspx等網(wǎng)頁(yè)文件,一定要?jiǎng)h除此段代碼。有危險(xiǎn)代碼的網(wǎng)頁(yè)一但發(fā)布到網(wǎng)頁(yè)可能會(huì)感染其他用戶。
以下是數(shù)據(jù)安全實(shí)驗(yàn)室提供的信息與方法。
病毒描述:
含有病毒體的文件被運(yùn)行后,病毒將自身拷貝至系統(tǒng)目錄,同時(shí)修改注冊(cè)表將自身設(shè)置為開機(jī)啟動(dòng)項(xiàng),并遍歷各個(gè)驅(qū)動(dòng)器,將自身寫入磁盤根目錄下,增加一個(gè)Autorun.inf文件,使得用戶打開該盤時(shí)激活病毒體。隨后病毒體開一個(gè)線程進(jìn)行本地文件感染,同時(shí)開另外一個(gè)線程連接某網(wǎng)站下載ddos程序進(jìn)行發(fā)動(dòng)惡意攻擊。
病毒基本情況:
[文件信息]
病毒名: Virus.Win32.EvilPanda.a.ex$
大小: 0xDA00 (55808), (disk) 0xDA00 (55808)
SHA1 : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D
殼信息: 未知
危害級(jí)別:高
病毒名: Flooder.Win32.FloodBots.a.ex$
大 小: 0xE800 (59392), (disk) 0xE800 (59392)
SHA1 : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D
殼信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24
危害級(jí)別:高
病毒行為:
Virus.Win32.EvilPanda.a.ex$ :
1、病毒體執(zhí)行后,將自身拷貝到系統(tǒng)目錄:
%SystemRoot%\system32\FuckJacks.exe
2、添加注冊(cè)表啟動(dòng)項(xiàng)目確保自身在系統(tǒng)重啟動(dòng)后被加載:
鍵路徑:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵名:FuckJacks
鍵值:"C:Windows\system32\FuckJacks.exe"
鍵路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵名:svohost
鍵值:"C:Windows\system32\FuckJacks.exe"
3、拷貝自身到所有驅(qū)動(dòng)器根目錄,命名為Setup.exe,并生成一個(gè)autorun.inf使得用戶打開該盤運(yùn)行病毒,并將這兩個(gè)文件屬性設(shè)置為隱藏、只讀、系統(tǒng)。
C:autorun.inf 1KB RHS
C:setup.exe 230KB RHS
4、關(guān)閉眾多殺毒軟件和安全工具。
5、連接*****.3322.org下載某文件,并根據(jù)該文件記錄的地址,去www.****.com下載某ddos程序,下載成功后執(zhí)行該程序。
6、刷新bbs.qq.com,某QQ秀鏈接。
7、循環(huán)遍歷磁盤目錄,感染文件,對(duì)關(guān)鍵系統(tǒng)文件跳過,不感染W(wǎng)indows媒體播放器、MSN、IE 等程序。
Flooder.Win32.FloodBots.a.ex$ :
1、病毒體執(zhí)行后,將自身拷貝到系統(tǒng)目錄:
%SystemRoot%\SVCH0ST.EXE(注意文件名中的“0”是數(shù)字“零”,不是字母“o”)
%SystemRoot%\system32\SVCH0ST.EXE(注意文件名中的“0”是數(shù)字“零”,不是字母“o”)
2、該病毒后下載運(yùn)行后,添加注冊(cè)表啟動(dòng)項(xiàng)目確保自身在系統(tǒng)重啟動(dòng)后被加載:
鍵路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵名:Userinit
鍵值:"C:Windows\system32\SVCH0ST.exe"
3、連接ddos2.****.com,獲取攻擊地址列表和攻擊配置,并根據(jù)配置文件,進(jìn)行相應(yīng)的攻擊。
配置文件如下:
www。victim.net:3389
www。victim.net:80
www。victim.com:80
www。victim.net:80
1
1
120
50000
解決方案:
1. 斷開網(wǎng)絡(luò)
2. 結(jié)束病毒進(jìn)程:%System%\FuckJacks.exe
3. 刪除病毒文件:%System%\FuckJacks.exe
4. 右鍵點(diǎn)擊分區(qū)盤符,點(diǎn)擊右鍵菜單中的“打開”進(jìn)入分區(qū)根目錄,刪除根目錄下的文件:
X:\autorun.inf
X:\setup.exe
5. 刪除病毒創(chuàng)建的啟動(dòng)項(xiàng):
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"FuckJacks"="%System%\FuckJacks.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"svohost"="%System%\FuckJacks.exe"
6. 修復(fù)或重新安裝反病毒軟件
7. 使用反病毒軟件或?qū)⒐ぞ哌M(jìn)行全盤掃描,清除恢復(fù)被感染的exe文件。也可用以下的手動(dòng)方法恢復(fù)文件。
手動(dòng)恢復(fù)中毒文件(在虛擬機(jī)上通過測(cè)試,供參考)
1.在清除病毒文件的同時(shí)不刪除%SYSTEM%下面釋放FuckJacks.exe的這個(gè)文件,即執(zhí)行之前的步驟1、2、4、5。
2.打開“運(yùn)行”輸入“gpedit.msc”打開組策略-本地計(jì)算機(jī)策略-Windoes設(shè)置-安全設(shè)置-軟件限制策略-其它規(guī)則。在其它規(guī)則上右鍵選擇-新散列規(guī)則-打開新散列規(guī)則窗口
3.在文件散列上點(diǎn)擊瀏覽找到%SYSTEM%下面釋放FuckJacks.exe文件。安全級(jí)別選擇-不允許的。確定后重啟。
4.重啟后可以雙擊運(yùn)行已經(jīng)被熊貓感染的程序。運(yùn)行程序后該FuckJacks.exe文件會(huì)在注冊(cè)表里的Run鍵下建立啟動(dòng)項(xiàng)(不會(huì)有問題的)。
5.雙擊運(yùn)行被感染的程序已經(jīng)恢復(fù)原來樣子了。全部回復(fù)后,用SREng把FuckJacks.exe在注冊(cè)表里的啟動(dòng)項(xiàng)刪除即可!
最牛、最全“熊貓燒香”整體解決方案推薦:如何預(yù)防“熊貓燒香”系列病毒?
[ 2007-03-25 03:22:11 | 作者: sun ]
近,一個(gè)叫“熊貓燒香”的病毒把電腦用戶折騰得苦不堪言,在人們心目中,“熊貓”這個(gè)國(guó)寶似乎不再可愛,而成了人人喊打的過街老鼠。
“熊貓燒香”蠕蟲不但可以對(duì)用戶系統(tǒng)進(jìn)行破壞,導(dǎo)致大量應(yīng)用軟件無法使用,而且還可刪除擴(kuò)展名為gho的所有文件,造成用戶的系統(tǒng)備份文件丟失,從而無法進(jìn)行系統(tǒng)恢復(fù);同時(shí)該病毒還能終止大量反病毒軟件進(jìn)程,大大降低用戶系統(tǒng)的安全性。
這幾天“熊貓燒香”的變種更是表象異常活躍,近半數(shù)的網(wǎng)民深受其害。用戶除了可以從http://tool.duba.net/zhuansha/253.shtml下載金山毒霸的“熊貓燒香”專殺來對(duì)付該病毒外,金山毒霸技術(shù)專家還總結(jié)的以下預(yù)防措施,幫你遠(yuǎn)離“熊貓燒香”病毒的騷擾。
1、立即檢查本機(jī)administrator組成員口令,一定放棄簡(jiǎn)單口令甚至空口令,安全的口令是字母數(shù)字特殊字符的組合,自己記得住,別讓病毒猜到就行。
修改方法:右鍵單擊我的電腦,選擇管理,瀏覽到本地用戶和組,在右邊的窗中,選擇具備管理員權(quán)限的用戶名,單擊右鍵,選擇設(shè)置密碼,輸入新密碼就行。
2.、利用組策略,關(guān)閉所有驅(qū)動(dòng)器的自動(dòng)播放功能。
步驟:?jiǎn)螕糸_始,運(yùn)行,輸入gpedit.msc,打開組策略編輯器,瀏覽到計(jì)算機(jī)配置,管理模板,系統(tǒng),在右邊的窗格中選擇關(guān)閉自動(dòng)播放,該配置缺省是未配置,在下拉框中選擇所有驅(qū)動(dòng)器,再選取已啟用,確定后關(guān)閉。最后,在開始,運(yùn)行中輸入gpupdate,確定后,該策略就生效了。
3、修改文件夾選項(xiàng),以查看不明文件的真實(shí)屬性,避免無意雙擊騙子程序中毒。
步驟:打開資源管理器(按windows徽標(biāo)鍵+E),點(diǎn)工具菜單下文件夾選項(xiàng),再點(diǎn)查看,在高級(jí)設(shè)置中,選擇查看所有文件,取消隱藏受保護(hù)的操作系統(tǒng)文件,取消隱藏文件擴(kuò)展名。
4、時(shí)刻保持操作系統(tǒng)獲得最新的安全更新,建議用毒霸的漏洞掃描功能。
5、啟用windows防火墻保護(hù)本地計(jì)算機(jī)。
對(duì)于已經(jīng)感染“熊貓燒香”病毒的用戶,金山毒霸反病毒專家建議及時(shí)安裝正版金山毒霸并升級(jí)到最新版本進(jìn)行查殺。
對(duì)于未感染的用戶,專家建議,不要登陸不良網(wǎng)站,及時(shí)下載微軟公布的最新補(bǔ)丁,來避免病毒利用漏洞襲擊用戶的電腦,同時(shí)上網(wǎng)時(shí)應(yīng)采用“殺毒軟件+防火墻”的立體防御體系。
“熊貓燒香”蠕蟲不但可以對(duì)用戶系統(tǒng)進(jìn)行破壞,導(dǎo)致大量應(yīng)用軟件無法使用,而且還可刪除擴(kuò)展名為gho的所有文件,造成用戶的系統(tǒng)備份文件丟失,從而無法進(jìn)行系統(tǒng)恢復(fù);同時(shí)該病毒還能終止大量反病毒軟件進(jìn)程,大大降低用戶系統(tǒng)的安全性。
這幾天“熊貓燒香”的變種更是表象異常活躍,近半數(shù)的網(wǎng)民深受其害。用戶除了可以從http://tool.duba.net/zhuansha/253.shtml下載金山毒霸的“熊貓燒香”專殺來對(duì)付該病毒外,金山毒霸技術(shù)專家還總結(jié)的以下預(yù)防措施,幫你遠(yuǎn)離“熊貓燒香”病毒的騷擾。
1、立即檢查本機(jī)administrator組成員口令,一定放棄簡(jiǎn)單口令甚至空口令,安全的口令是字母數(shù)字特殊字符的組合,自己記得住,別讓病毒猜到就行。
修改方法:右鍵單擊我的電腦,選擇管理,瀏覽到本地用戶和組,在右邊的窗中,選擇具備管理員權(quán)限的用戶名,單擊右鍵,選擇設(shè)置密碼,輸入新密碼就行。
2.、利用組策略,關(guān)閉所有驅(qū)動(dòng)器的自動(dòng)播放功能。
步驟:?jiǎn)螕糸_始,運(yùn)行,輸入gpedit.msc,打開組策略編輯器,瀏覽到計(jì)算機(jī)配置,管理模板,系統(tǒng),在右邊的窗格中選擇關(guān)閉自動(dòng)播放,該配置缺省是未配置,在下拉框中選擇所有驅(qū)動(dòng)器,再選取已啟用,確定后關(guān)閉。最后,在開始,運(yùn)行中輸入gpupdate,確定后,該策略就生效了。
3、修改文件夾選項(xiàng),以查看不明文件的真實(shí)屬性,避免無意雙擊騙子程序中毒。
步驟:打開資源管理器(按windows徽標(biāo)鍵+E),點(diǎn)工具菜單下文件夾選項(xiàng),再點(diǎn)查看,在高級(jí)設(shè)置中,選擇查看所有文件,取消隱藏受保護(hù)的操作系統(tǒng)文件,取消隱藏文件擴(kuò)展名。
4、時(shí)刻保持操作系統(tǒng)獲得最新的安全更新,建議用毒霸的漏洞掃描功能。
5、啟用windows防火墻保護(hù)本地計(jì)算機(jī)。
對(duì)于已經(jīng)感染“熊貓燒香”病毒的用戶,金山毒霸反病毒專家建議及時(shí)安裝正版金山毒霸并升級(jí)到最新版本進(jìn)行查殺。
對(duì)于未感染的用戶,專家建議,不要登陸不良網(wǎng)站,及時(shí)下載微軟公布的最新補(bǔ)丁,來避免病毒利用漏洞襲擊用戶的電腦,同時(shí)上網(wǎng)時(shí)應(yīng)采用“殺毒軟件+防火墻”的立體防御體系。
遠(yuǎn)離網(wǎng)絡(luò)釣魚的44種途徑
[ 2007-03-25 03:21:46 | 作者: sun ]
這是一類能夠產(chǎn)生數(shù)十億美元金錢的騙局,甚至只要有百分之五的命中率就可以做到,它嚴(yán)重地威脅到客戶與電子商鋪之間的在線交易。而在那些犯罪者和安全防御人士之間的角逐就如同一場(chǎng)持續(xù)的貓鼠游戲——釣魚攻擊、信用卡、名牌欺騙攻擊、電子欺騙攻擊——總之無論你稱它什么都好,無法避免的事實(shí)就是這類型的欺詐手段所帶給我們的危險(xiǎn)性是與日俱增的。
這些侵犯者有著他們自己可以支配的裝備——包含在電子郵件內(nèi)改寫后的冒牌站點(diǎn)的看似無害的鏈接,誘使你輸入敏感信息的彈出窗口,突然出現(xiàn)真實(shí)網(wǎng)址的偽裝后的URL,還有那些當(dāng)你輸入用戶名和密碼時(shí)進(jìn)行監(jiān)視和捕獲的裝置。你并不是一定要成為一個(gè)技術(shù)精通者才能夠保護(hù)自己免受釣魚攻擊,只要你能夠?qū)ψ约罕3智逍训呐袛嗔Γ庾R(shí)到并非互聯(lián)網(wǎng)上所有的站點(diǎn)都是真實(shí)可靠的,那就足夠了。下面我們就一起來看看44條關(guān)于反釣魚攻擊,保護(hù)自己的小貼士。
網(wǎng)絡(luò)釣魚示意圖
簡(jiǎn)單,但卻非常有效的幾個(gè)方法
1、不要相信陌生人:這條你在孩童時(shí)代就已經(jīng)被教授過的規(guī)則在此也同樣起作用;絕對(duì)不要打開來自你不認(rèn)識(shí)的人所發(fā)的電子郵件。將你的垃圾郵件過濾器設(shè)置好,讓它只能夠?qū)⒛切﹣碜源嬖谟谀愕刂凡局械泥]件投遞給你。
2、回避這些鏈接:如果你的垃圾郵件過濾器犯傻了,將一些垃圾郵件投入到了你的收件箱中,而你又碰巧將它們打開了怎么辦呢?非常簡(jiǎn)單——永遠(yuǎn)不要點(diǎn)擊這些郵件中的鏈接!
3、保護(hù)你的隱私:你的鼠標(biāo)有可能會(huì)不小心移到某個(gè)鏈接上,你瞧!你就被輸送到了另一個(gè)要求你提供例如用戶名、銀行賬戶號(hào)碼、密碼、信用卡密碼和社會(huì)安全號(hào)碼這樣敏感信息的網(wǎng)站。只有一個(gè)詞送給你——不要!
4、不要害怕:通常,這些欺騙性的網(wǎng)站都伴隨著一些威脅和警示,告知如果你不確認(rèn)你的用戶信息你的賬戶將存在被撤銷的危險(xiǎn),或是如果你不遵從這個(gè)頁(yè)面上所寫的內(nèi)容,稅務(wù)局將隨時(shí)會(huì)找你的麻煩。對(duì)于這些,你只需要忽略它們。
5、拿起你的電話并撥打:如果你心存疑問,這些可能會(huì)是一個(gè)合法的請(qǐng)求,而你的銀行又確實(shí)有要求你在網(wǎng)上輸入一些敏感信息的話,那么請(qǐng)?jiān)谀阌杏聼o謀地做任何事之前先打電話給你的客戶代表向他咨詢。
6、使用你的鍵盤,而不要總是用鼠標(biāo):用鍵盤輸入U(xiǎn)RL地址,而不要通過點(diǎn)擊鏈接進(jìn)入網(wǎng)上商店或是銀行站點(diǎn)這些通常會(huì)要求你輸入信用卡號(hào)和賬戶號(hào)碼的地方。
7、尋找一把鎖:合法的站點(diǎn)通常會(huì)使用加密手段以保證你的敏感信息能夠安全地傳達(dá),會(huì)以一把鎖為特征出現(xiàn)在你瀏覽器窗口的右下角,而不是在網(wǎng)頁(yè)上。它們的地址通常也都是以https://開頭,而不是平常所見的http://。
8、探明不同之處:有時(shí),只是單獨(dú)地出現(xiàn)鎖頭標(biāo)志就足以證明這個(gè)站點(diǎn)的可靠。而如果要證明它是名副其實(shí)的,則可以雙擊這個(gè)鎖頭來顯示這個(gè)站點(diǎn)的安全認(rèn)證書,再核對(duì)一下在認(rèn)證書上的這個(gè)名稱是否與地址欄中的相匹配。如果不是的話,你就處在一個(gè)有問題的站點(diǎn),那么趕緊擺脫這個(gè)糟糕的境地吧。
9:第二次就會(huì)是正確的:如果你擔(dān)心自己進(jìn)入了一個(gè)模仿成你的銀行頁(yè)面的釣魚網(wǎng)站,有些時(shí)候,最簡(jiǎn)單的檢查方法就是輸入一個(gè)錯(cuò)誤的密碼。偽裝的站點(diǎn)就會(huì)接受這個(gè)錯(cuò)誤的密碼,接著你通常會(huì)被帶到一個(gè)頁(yè)面,被告知他們正遇到一些技術(shù)問題,因此要求你是否能夠稍后再試。而真正的銀行網(wǎng)站是不會(huì)允許你進(jìn)入的。
10、在此,“不同的”是一個(gè)關(guān)鍵詞:對(duì)不同的站點(diǎn)使用不同的密碼;我明白,這是一個(gè)有些令你感到有些棘手的要求,好一段時(shí)間你的大腦中某些技能總是要經(jīng)歷一些技術(shù)性的鍛煉,但這確實(shí)是一個(gè)好的方法,能夠防止自己免受釣魚者獲得你所有的敏感事務(wù),即使在他們成功獲取了其中一處的情況下。
11、睜大你的雙眼:垃圾郵件都充滿了語法錯(cuò)誤,且通常都不是很個(gè)性化,常常是帶有一些鏈接或是值得懷疑的附件。及時(shí)地辨認(rèn)出它們,并揭示出它們是垃圾郵件。
12、熟知詳情你就能蔑視他們:你并不能確保當(dāng)收到電子郵件時(shí)能從中辨認(rèn)出哪些是釣魚者所發(fā)送的?也許你也看到一些例子能夠讓你知道他們通常都是怎樣進(jìn)行欺騙的。不久后,你就能熟知如何認(rèn)出偽造的站點(diǎn)。
13、貪婪是不會(huì)有好結(jié)果的:永遠(yuǎn)不要參加那些要求你的敏感信息而能夠提供金錢的調(diào)查。這些通常都是詐騙的攻擊行為,以試圖掌握你的個(gè)人詳情。也許你能夠獲得所承諾的20美元,但更可能的是,你會(huì)發(fā)現(xiàn)你的賬戶被扣除了更高的代價(jià)。
14、不要離開:千萬不要在你登錄你的銀行賬戶或在購(gòu)物網(wǎng)站提供完信用卡信息后讓你的計(jì)算機(jī)無人伴隨左右。
15、適時(shí)地關(guān)閉賬戶:一旦你完成了你的業(yè)務(wù),請(qǐng)適時(shí)地登出,而不要僅僅是關(guān)閉瀏覽器窗口,特別是如果你使用的是公共的電腦終端。
16、再仔細(xì)認(rèn)真,也不算過分:定期地登錄你的銀行賬戶并密切關(guān)注你的資金情況。你也不想哪個(gè)美好的日子一早醒來就發(fā)現(xiàn)某個(gè)釣魚者正在時(shí)不時(shí)地榨取了你幾百美元。
17、多了解知識(shí)沒有壞處:保持自己能知曉關(guān)于釣魚的最新的新聞和信息。
18、硬件中留下跡象:當(dāng)你處理舊計(jì)算機(jī)或硬盤時(shí)要格外留心。回收的計(jì)算機(jī)曾有過被找出保留的有關(guān)網(wǎng)上銀行的機(jī)密信息的例子。請(qǐng)使用軟件刪除并對(duì)你硬盤上的數(shù)據(jù)進(jìn)行反復(fù)讀寫,以確保它無法恢復(fù)。
這些侵犯者有著他們自己可以支配的裝備——包含在電子郵件內(nèi)改寫后的冒牌站點(diǎn)的看似無害的鏈接,誘使你輸入敏感信息的彈出窗口,突然出現(xiàn)真實(shí)網(wǎng)址的偽裝后的URL,還有那些當(dāng)你輸入用戶名和密碼時(shí)進(jìn)行監(jiān)視和捕獲的裝置。你并不是一定要成為一個(gè)技術(shù)精通者才能夠保護(hù)自己免受釣魚攻擊,只要你能夠?qū)ψ约罕3智逍训呐袛嗔Γ庾R(shí)到并非互聯(lián)網(wǎng)上所有的站點(diǎn)都是真實(shí)可靠的,那就足夠了。下面我們就一起來看看44條關(guān)于反釣魚攻擊,保護(hù)自己的小貼士。
網(wǎng)絡(luò)釣魚示意圖
簡(jiǎn)單,但卻非常有效的幾個(gè)方法
1、不要相信陌生人:這條你在孩童時(shí)代就已經(jīng)被教授過的規(guī)則在此也同樣起作用;絕對(duì)不要打開來自你不認(rèn)識(shí)的人所發(fā)的電子郵件。將你的垃圾郵件過濾器設(shè)置好,讓它只能夠?qū)⒛切﹣碜源嬖谟谀愕刂凡局械泥]件投遞給你。
2、回避這些鏈接:如果你的垃圾郵件過濾器犯傻了,將一些垃圾郵件投入到了你的收件箱中,而你又碰巧將它們打開了怎么辦呢?非常簡(jiǎn)單——永遠(yuǎn)不要點(diǎn)擊這些郵件中的鏈接!
3、保護(hù)你的隱私:你的鼠標(biāo)有可能會(huì)不小心移到某個(gè)鏈接上,你瞧!你就被輸送到了另一個(gè)要求你提供例如用戶名、銀行賬戶號(hào)碼、密碼、信用卡密碼和社會(huì)安全號(hào)碼這樣敏感信息的網(wǎng)站。只有一個(gè)詞送給你——不要!
4、不要害怕:通常,這些欺騙性的網(wǎng)站都伴隨著一些威脅和警示,告知如果你不確認(rèn)你的用戶信息你的賬戶將存在被撤銷的危險(xiǎn),或是如果你不遵從這個(gè)頁(yè)面上所寫的內(nèi)容,稅務(wù)局將隨時(shí)會(huì)找你的麻煩。對(duì)于這些,你只需要忽略它們。
5、拿起你的電話并撥打:如果你心存疑問,這些可能會(huì)是一個(gè)合法的請(qǐng)求,而你的銀行又確實(shí)有要求你在網(wǎng)上輸入一些敏感信息的話,那么請(qǐng)?jiān)谀阌杏聼o謀地做任何事之前先打電話給你的客戶代表向他咨詢。
6、使用你的鍵盤,而不要總是用鼠標(biāo):用鍵盤輸入U(xiǎn)RL地址,而不要通過點(diǎn)擊鏈接進(jìn)入網(wǎng)上商店或是銀行站點(diǎn)這些通常會(huì)要求你輸入信用卡號(hào)和賬戶號(hào)碼的地方。
7、尋找一把鎖:合法的站點(diǎn)通常會(huì)使用加密手段以保證你的敏感信息能夠安全地傳達(dá),會(huì)以一把鎖為特征出現(xiàn)在你瀏覽器窗口的右下角,而不是在網(wǎng)頁(yè)上。它們的地址通常也都是以https://開頭,而不是平常所見的http://。
8、探明不同之處:有時(shí),只是單獨(dú)地出現(xiàn)鎖頭標(biāo)志就足以證明這個(gè)站點(diǎn)的可靠。而如果要證明它是名副其實(shí)的,則可以雙擊這個(gè)鎖頭來顯示這個(gè)站點(diǎn)的安全認(rèn)證書,再核對(duì)一下在認(rèn)證書上的這個(gè)名稱是否與地址欄中的相匹配。如果不是的話,你就處在一個(gè)有問題的站點(diǎn),那么趕緊擺脫這個(gè)糟糕的境地吧。
9:第二次就會(huì)是正確的:如果你擔(dān)心自己進(jìn)入了一個(gè)模仿成你的銀行頁(yè)面的釣魚網(wǎng)站,有些時(shí)候,最簡(jiǎn)單的檢查方法就是輸入一個(gè)錯(cuò)誤的密碼。偽裝的站點(diǎn)就會(huì)接受這個(gè)錯(cuò)誤的密碼,接著你通常會(huì)被帶到一個(gè)頁(yè)面,被告知他們正遇到一些技術(shù)問題,因此要求你是否能夠稍后再試。而真正的銀行網(wǎng)站是不會(huì)允許你進(jìn)入的。
10、在此,“不同的”是一個(gè)關(guān)鍵詞:對(duì)不同的站點(diǎn)使用不同的密碼;我明白,這是一個(gè)有些令你感到有些棘手的要求,好一段時(shí)間你的大腦中某些技能總是要經(jīng)歷一些技術(shù)性的鍛煉,但這確實(shí)是一個(gè)好的方法,能夠防止自己免受釣魚者獲得你所有的敏感事務(wù),即使在他們成功獲取了其中一處的情況下。
11、睜大你的雙眼:垃圾郵件都充滿了語法錯(cuò)誤,且通常都不是很個(gè)性化,常常是帶有一些鏈接或是值得懷疑的附件。及時(shí)地辨認(rèn)出它們,并揭示出它們是垃圾郵件。
12、熟知詳情你就能蔑視他們:你并不能確保當(dāng)收到電子郵件時(shí)能從中辨認(rèn)出哪些是釣魚者所發(fā)送的?也許你也看到一些例子能夠讓你知道他們通常都是怎樣進(jìn)行欺騙的。不久后,你就能熟知如何認(rèn)出偽造的站點(diǎn)。
13、貪婪是不會(huì)有好結(jié)果的:永遠(yuǎn)不要參加那些要求你的敏感信息而能夠提供金錢的調(diào)查。這些通常都是詐騙的攻擊行為,以試圖掌握你的個(gè)人詳情。也許你能夠獲得所承諾的20美元,但更可能的是,你會(huì)發(fā)現(xiàn)你的賬戶被扣除了更高的代價(jià)。
14、不要離開:千萬不要在你登錄你的銀行賬戶或在購(gòu)物網(wǎng)站提供完信用卡信息后讓你的計(jì)算機(jī)無人伴隨左右。
15、適時(shí)地關(guān)閉賬戶:一旦你完成了你的業(yè)務(wù),請(qǐng)適時(shí)地登出,而不要僅僅是關(guān)閉瀏覽器窗口,特別是如果你使用的是公共的電腦終端。
16、再仔細(xì)認(rèn)真,也不算過分:定期地登錄你的銀行賬戶并密切關(guān)注你的資金情況。你也不想哪個(gè)美好的日子一早醒來就發(fā)現(xiàn)某個(gè)釣魚者正在時(shí)不時(shí)地榨取了你幾百美元。
17、多了解知識(shí)沒有壞處:保持自己能知曉關(guān)于釣魚的最新的新聞和信息。
18、硬件中留下跡象:當(dāng)你處理舊計(jì)算機(jī)或硬盤時(shí)要格外留心。回收的計(jì)算機(jī)曾有過被找出保留的有關(guān)網(wǎng)上銀行的機(jī)密信息的例子。請(qǐng)使用軟件刪除并對(duì)你硬盤上的數(shù)據(jù)進(jìn)行反復(fù)讀寫,以確保它無法恢復(fù)。
WIN下的PHP環(huán)境設(shè)置防范PHP木馬
[ 2007-03-25 03:21:34 | 作者: sun ]
1. 防止PHP木馬跳轉(zhuǎn)其他目錄
我們可以把PHP環(huán)境下的網(wǎng)站目錄鎖定,使其不能跳出指定的目錄,有兩種方法設(shè)置
一是可以在http.conf文件設(shè)置,假設(shè)你的網(wǎng)站目錄是E:\yourweb\home,那么就可以在http.conf文件內(nèi)加上: php_admin_value open_basedir E:\yourweb\home
二是可以在php.ini文件那里設(shè)置,找到openbase_dir,把他前面的分號(hào)去掉,改為open_basedir=” E:\yourweb\home”
兩種方法,有興趣深入討論的可以自己找下相關(guān)資料下,個(gè)人認(rèn)為還是第二種好,by the way第二種不受safe_mode影響,我建議還是用第二種好,我找了下相關(guān)資料,也沒有分清兩種設(shè)置的區(qū)別,有這方面的見解的請(qǐng)討論下,thx
再改php.ini里的allow_url_fopen設(shè)為off禁止遠(yuǎn)程使用文件
2. 防范PHP木馬執(zhí)行系統(tǒng)命令
PHP執(zhí)行系統(tǒng)命令的方法一般要調(diào)用以下幾個(gè)函數(shù): passthru,exec,shell_exec,system
很多人就是把safe_mode打開了,然后就以為安全了,其實(shí)不然,因?yàn)槊總€(gè)apache的版本不同,多種方法繞過safe_mode,如XY7今年年初寫的imap函數(shù)(imap函數(shù)默認(rèn)是關(guān)的),還有最近新出的方法繞過safe_mode的,如errorlog方法繞過safe_mode,有興趣的朋友可以在網(wǎng)上找下相關(guān)資料,繞過的方法是蠻多的,綜合上述,關(guān)了safe_mode后,還有在php.ini里面改以下這東東:
disable_functions= passthru,exec,shell_exec,system
3.關(guān)閉錯(cuò)誤提示
改了以上東東以后,我們還要改一下錯(cuò)誤選擇, display_errors = Off,這個(gè)在程度測(cè)試的時(shí)候可以打開,程序正式發(fā)布后強(qiáng)烈建議關(guān)了
magic_quotes_gpc = On,這個(gè)默認(rèn)是開的,轉(zhuǎn)義用的, get,post,cookie里的引號(hào)變?yōu)樾备?如值 (It's "PHP!") 會(huì)自動(dòng)轉(zhuǎn)換成 (It\'s \"PHP!\") 如果不想轉(zhuǎn)成”\”的話,可以在magic_quotes_sybase = On設(shè)置為開,他就把單引號(hào)轉(zhuǎn)成雙引了,這個(gè)可以虛張聲勢(shì).
4.關(guān)閉上傳
在PHP.ini文件里上傳的相關(guān)設(shè)置,有利也有不利的,看你如何使用了,如: file_uploads = On默認(rèn)是開的,這個(gè)是支持http上傳的,如果為了免去上傳漏洞使其上傳PHP木馬的話,你可以把他給Off的了,但,其他的相關(guān)http上傳就不能用了,權(quán)量而用吧.
5.系統(tǒng)權(quán)限設(shè)置
在WIN下的apache是以系統(tǒng)身份運(yùn)行的,這時(shí)我們可以新建立一個(gè)底權(quán)限的user組用戶,然后,打開”服務(wù)”那里,找到apache的服務(wù),把系統(tǒng)權(quán)限運(yùn)置換為低權(quán)限的用戶,最后設(shè)置設(shè)置WEB上當(dāng)下的相關(guān)文件權(quán)限,如一些用來上傳的文件夾設(shè)置為可寫,其他的設(shè)置為只讀.安實(shí)際情況而定吧.
6.其他
目前還有很多的函數(shù)設(shè)置還沒有搞得完全明白,學(xué)習(xí)ING中,今天遇到一臺(tái)服務(wù)器,全部是用默認(rèn)的,里面被掛了N多的馬,服務(wù)器環(huán)境是沒有殺毒軟件的,于是用了**的超級(jí)無敵PHP木馬追殺器,如果那個(gè)東東能自定義關(guān)鍵字就好了
最后感謝今天給予幫助我的朋友,帥哥XY7,劍心,MX,alpha.
我們可以把PHP環(huán)境下的網(wǎng)站目錄鎖定,使其不能跳出指定的目錄,有兩種方法設(shè)置
一是可以在http.conf文件設(shè)置,假設(shè)你的網(wǎng)站目錄是E:\yourweb\home,那么就可以在http.conf文件內(nèi)加上: php_admin_value open_basedir E:\yourweb\home
二是可以在php.ini文件那里設(shè)置,找到openbase_dir,把他前面的分號(hào)去掉,改為open_basedir=” E:\yourweb\home”
兩種方法,有興趣深入討論的可以自己找下相關(guān)資料下,個(gè)人認(rèn)為還是第二種好,by the way第二種不受safe_mode影響,我建議還是用第二種好,我找了下相關(guān)資料,也沒有分清兩種設(shè)置的區(qū)別,有這方面的見解的請(qǐng)討論下,thx
再改php.ini里的allow_url_fopen設(shè)為off禁止遠(yuǎn)程使用文件
2. 防范PHP木馬執(zhí)行系統(tǒng)命令
PHP執(zhí)行系統(tǒng)命令的方法一般要調(diào)用以下幾個(gè)函數(shù): passthru,exec,shell_exec,system
很多人就是把safe_mode打開了,然后就以為安全了,其實(shí)不然,因?yàn)槊總€(gè)apache的版本不同,多種方法繞過safe_mode,如XY7今年年初寫的imap函數(shù)(imap函數(shù)默認(rèn)是關(guān)的),還有最近新出的方法繞過safe_mode的,如errorlog方法繞過safe_mode,有興趣的朋友可以在網(wǎng)上找下相關(guān)資料,繞過的方法是蠻多的,綜合上述,關(guān)了safe_mode后,還有在php.ini里面改以下這東東:
disable_functions= passthru,exec,shell_exec,system
3.關(guān)閉錯(cuò)誤提示
改了以上東東以后,我們還要改一下錯(cuò)誤選擇, display_errors = Off,這個(gè)在程度測(cè)試的時(shí)候可以打開,程序正式發(fā)布后強(qiáng)烈建議關(guān)了
magic_quotes_gpc = On,這個(gè)默認(rèn)是開的,轉(zhuǎn)義用的, get,post,cookie里的引號(hào)變?yōu)樾备?如值 (It's "PHP!") 會(huì)自動(dòng)轉(zhuǎn)換成 (It\'s \"PHP!\") 如果不想轉(zhuǎn)成”\”的話,可以在magic_quotes_sybase = On設(shè)置為開,他就把單引號(hào)轉(zhuǎn)成雙引了,這個(gè)可以虛張聲勢(shì).
4.關(guān)閉上傳
在PHP.ini文件里上傳的相關(guān)設(shè)置,有利也有不利的,看你如何使用了,如: file_uploads = On默認(rèn)是開的,這個(gè)是支持http上傳的,如果為了免去上傳漏洞使其上傳PHP木馬的話,你可以把他給Off的了,但,其他的相關(guān)http上傳就不能用了,權(quán)量而用吧.
5.系統(tǒng)權(quán)限設(shè)置
在WIN下的apache是以系統(tǒng)身份運(yùn)行的,這時(shí)我們可以新建立一個(gè)底權(quán)限的user組用戶,然后,打開”服務(wù)”那里,找到apache的服務(wù),把系統(tǒng)權(quán)限運(yùn)置換為低權(quán)限的用戶,最后設(shè)置設(shè)置WEB上當(dāng)下的相關(guān)文件權(quán)限,如一些用來上傳的文件夾設(shè)置為可寫,其他的設(shè)置為只讀.安實(shí)際情況而定吧.
6.其他
目前還有很多的函數(shù)設(shè)置還沒有搞得完全明白,學(xué)習(xí)ING中,今天遇到一臺(tái)服務(wù)器,全部是用默認(rèn)的,里面被掛了N多的馬,服務(wù)器環(huán)境是沒有殺毒軟件的,于是用了**的超級(jí)無敵PHP木馬追殺器,如果那個(gè)東東能自定義關(guān)鍵字就好了
最后感謝今天給予幫助我的朋友,帥哥XY7,劍心,MX,alpha.
