把危险挡在外面 路由安全设置九步曲
[ 2007-03-25 04:01:38 | 作者: sun ]
对于大多数企业局域网来说,路由器已经成为正在使用之中的最重要的安全设备之一。一般来说,大多数网络都有一个主要的接入点。这就是通常与专用防火墙一起使用的“边界路由器”。
经过恰当的设置,边界路由器能够把几乎所有的最顽固的坏分子挡在网络之外。如果你愿意的话,这种路由器还能够让好人进入网络。不过,没有恰当设置的路由器只是比根本就没有安全措施稍微好一点。
在下列指南中,我们将研究一下你可以用来保护网络安全的9个方便的步骤。这些步骤能够保证你拥有一道保护你的网络的砖墙,而不是一个敞开的大门。
1.修改默认的口令!
据卡内基梅隆大学的CERT/CC(计算机应急反应小组/控制中心)称,80%的安全突破事件是由薄弱的口令引起的。网络上有大多数路由器的广泛的默认口令列表。你可以肯定在某些地方的某个人会知道你的生日。SecurityStats.com网站维护一个详尽的可用/不可用口令列表,以及一个口令的可靠性测试。
2.关闭IP直接广播(IP Directed Broadcast)
你的服务器是很听话的。让它做什么它就做什么,而且不管是谁发出的指令。Smurf攻击是一种拒绝服务攻击。在这种攻击中,攻击者使用假冒的源地址向你的网络广播地址发送一个“ICMP echo”请求。这要求所有的主机对这个广播请求做出回应。这种情况至少会降低你的网络性能。
参考你的路由器信息文件,了解如何关闭IP直接广播。例如,“Central(config)#no ip source-route”这个指令将关闭思科路由器的IP直接广播地址。
3.如果可能,关闭路由器的HTTP设置
正如思科的技术说明中简要说明的那样,HTTP使用的身份识别协议相当于向整个网络发送一个未加密的口令。然而,遗憾的是,HTTP协议中没有一个用于验证口令或者一次性口令的有效规定。
虽然这种未加密的口令对于你从远程位置(例如家里)设置你的路由器也许是非常方便的,但是,你能够做到的事情其他人也照样可以做到。特别是如果你仍在使用默认的口令!如果你必须远程管理路由器,你一定要确保使用SNMPv3以上版本的协议,因为它支持更严格的口令。
4.封锁ICMP ping请求
ping的主要目的是识别目前正在使用的主机。因此,ping通常用于更大规模的协同性攻击之前的侦察活动。通过取消远程用户接收ping请求的应答能力,你就更容易避开那些无人注意的扫描活动或者防御那些寻找容易攻击的目标的“脚本小子”(script kiddies)。
请注意,这样做实际上并不能保护你的网络不受攻击,但是,这将使你不太可能成为一个攻击目标。
5.关闭IP源路由
IP协议允许一台主机指定数据包通过你的网络的路由,而不是允许网络组件确定最佳的路径。这个功能的合法的应用是用于诊断连接故障。但是,这种用途很少应用。这项功能最常用的用途是为了侦察目的对你的网络进行镜像,或者用于攻击者在你的专用网络中寻找一个后门。除非指定这项功能只能用于诊断故障,否则应该关闭这个功能。
6.确定你的数据包过滤的需求
封锁端口有两项理由。其中之一根据你对安全水平的要求对于你的网络是合适的。
对于高度安全的网络来说,特别是在存储或者保持秘密数据的时候,通常要求经过允许才可以过滤。在这种规定中,除了网路功能需要的之外,所有的端口和IP地址都必要要封锁。例如,用于web通信的端口80和用于SMTP的110/25端口允许来自指定地址的访问,而所有其它端口和地址都可以关闭。
大多数网络将通过使用“按拒绝请求实施过滤”的方案享受可以接受的安全水平。当使用这种过滤政策时,可以封锁你的网络没有使用的端口和特洛伊木马或者侦查活动常用的端口来增强你的网络的安全性。例如,封锁139端口和445(TCP和UDP)端口将使黑客更难对你的网络实施穷举攻击。封锁31337(TCP和UDP)端口将使Back orifice木马程序更难攻击你的网络。
这项工作应该在网络规划阶段确定,这时候安全水平的要求应该符合网络用户的需求。查看这些端口的列表,了解这些端口正常的用途。
7.建立准许进入和外出的地址过滤政策
在你的边界路由器上建立政策以便根据IP地址过滤进出网络的违反安全规定的行为。除了特殊的不同寻常的案例之外,所有试图从你的网络内部访问互联网的IP地址都应该有一个分配给你的局域网的地址。例如,192.168.0.1这个地址也许通过这个路由器访问互联网是合法的。但是,216.239.55.99这个地址很可能是欺骗性的,并且是一场攻击的一部分。
相反,来自互联网外部的通信的源地址应该不是你的内部网络的一部分。因此,应该封锁入网的192.168.X.X、172.16.X.X和10.X.X.X等地址。
最后,拥有源地址的通信或者保留的和无法路由的目标地址的所有的通信都应该允许通过这台路由器。这包括回送地址127.0.0.1或者E类(class E)地址段240.0.0.0-254.255.255.255。
8.保持路由器的物理安全
从网络嗅探的角度看,路由器比集线器更安全。这是因为路由器根据IP地址智能化地路由数据包,而集线器相所有的节点播出数据。如果连接到那台集线器的一个系统将其网络适配器置于混乱的模式,它们就能够接收和看到所有的广播,包括口令、POP3通信和Web通信。
然后,重要的是确保物理访问你的网络设备是安全的,以防止未经允许的笔记本电脑等嗅探设备放在你的本地子网中。
9.花时间审阅安全记录
审阅你的路由器记录(通过其内置的防火墙功能)是查出安全事件的最有效的方法,无论是查出正在实施的攻击还是未来攻击的征候都非常有效。利用出网的记录,你还能够查出试图建立外部连接的特洛伊木马程序和间谍软件程序。用心的安全管理员在病毒传播者作出反应之前能够查出“红色代码”和“Nimda”病毒的攻击。
此外,一般来说,路由器位于你的网络的边缘,并且允许你看到进出你的网络全部通信的状况。
如何应对针对网游的盗号木马
[ 2007-03-25 04:01:27 | 作者: sun ]
今年的网络游戏可谓是一枝独秀,人气旺盛。网络游戏已经成为很多人另外一个生活的世界,网络游戏中的很多装备甚至级别高的账号本身也成为了玩家的财产,在现实世界中用现金来进行交易。于是,在这样的诱惑下,黑客已经开始瞄上了网络游戏。
近日,某公司截获了首例能感染网络游戏的木马病毒,该病毒专门针对国内第二大棋牌类网络游戏:“边锋”游戏。该病毒通过电子邮件进行传播,如果“边锋”游戏的用户收到了病毒邮件,并打开附件,就感染了该木马病毒。
据介绍:用户感染了这种木马病毒后,不仅会将自己的用户名、密码外泄,而且在游戏中辛辛苦苦赚来的虚拟货币也将被他人窃取;该木马同时还会将中招的电脑共享到互联网上,被黑客远程控制。目前这种木马还没有进行广泛传播,但是,已经有很多恶意的玩家已经在利用这种木马盗取别人的账号了,请“边锋”游戏的玩家慎重对待别人发送的电子邮件。
业内人士分析,随着网络游戏用户不断增多,针对网络游戏的病毒与黑客行为也会越来越多,广大游戏玩家一定要提高警惕,并随时升级您的病毒库!
该木马的病毒名称为:Trojan.Benfgame.214310,如果您没有安装杀毒软件,而怀疑自己中了此种木马病毒,可以进行手工清除:
(1)先打开注册表编辑器;
(2)编辑注册表,恢复注册表中被病毒程序修改的文件关联,并记住被修改的默认关联(病毒程序的名字)。如exe文件的默认关联为"%1"%*,chm文件的默认关联为hh"%1",txt文件的默认关联为Notepad %1,scr文件的默认关联为"%1" /S;
(3)然后打开进程管理器,用进程管理器关掉正在运行的病毒程序(被修改的默认关联病毒程序和MSCVT2.EXE);
(4)编辑注册表中的HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun,找到键值MSBenCheck,并将其删除;
(5)删除掉病毒生成的文件,但不要删除系统目录下的那个控件Mswinsck.ocx;
(6)修改Windows目录下的win.ini文件,删除[windows]栏中“run=C:WINDOWSMSCVT2.EXE”。
近日,某公司截获了首例能感染网络游戏的木马病毒,该病毒专门针对国内第二大棋牌类网络游戏:“边锋”游戏。该病毒通过电子邮件进行传播,如果“边锋”游戏的用户收到了病毒邮件,并打开附件,就感染了该木马病毒。
据介绍:用户感染了这种木马病毒后,不仅会将自己的用户名、密码外泄,而且在游戏中辛辛苦苦赚来的虚拟货币也将被他人窃取;该木马同时还会将中招的电脑共享到互联网上,被黑客远程控制。目前这种木马还没有进行广泛传播,但是,已经有很多恶意的玩家已经在利用这种木马盗取别人的账号了,请“边锋”游戏的玩家慎重对待别人发送的电子邮件。
业内人士分析,随着网络游戏用户不断增多,针对网络游戏的病毒与黑客行为也会越来越多,广大游戏玩家一定要提高警惕,并随时升级您的病毒库!
该木马的病毒名称为:Trojan.Benfgame.214310,如果您没有安装杀毒软件,而怀疑自己中了此种木马病毒,可以进行手工清除:
(1)先打开注册表编辑器;
(2)编辑注册表,恢复注册表中被病毒程序修改的文件关联,并记住被修改的默认关联(病毒程序的名字)。如exe文件的默认关联为"%1"%*,chm文件的默认关联为hh"%1",txt文件的默认关联为Notepad %1,scr文件的默认关联为"%1" /S;
(3)然后打开进程管理器,用进程管理器关掉正在运行的病毒程序(被修改的默认关联病毒程序和MSCVT2.EXE);
(4)编辑注册表中的HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun,找到键值MSBenCheck,并将其删除;
(5)删除掉病毒生成的文件,但不要删除系统目录下的那个控件Mswinsck.ocx;
(6)修改Windows目录下的win.ini文件,删除[windows]栏中“run=C:WINDOWSMSCVT2.EXE”。
间谍软件(spyware)的一个共同特点是,能够附着在共享文件、可执行图像以及各种免费软件当中,并趁
[ 2007-03-25 04:01:16 | 作者: sun ]
思科公司日前宣布了对全球IT决策者的最终调查结果。结果显示,许多决策者都承认信息安全方面的求助数量不断攀升。此外,为了将安全保护扩展到越来越多的移动工作人员,大多数决策人都表示将在2007年增加安全开支 ,且有2/5的决策者表示2007年的安全开支将会增加10% 以上。
今年夏天,独立的第三方市场调研公司在全球范围内针对移动工作人员开展了一系列深入调查,得到了10个国家1,000多名远程工作人员和1,000多名 IT 决策者的反馈,包括美国、英国、法国、德国、意大利、日本、中国、印度、澳大利亚和巴西,思科日前宣布的正是这些调查的最终结果。最新调查结果肯定了10月份调查结果的准确性,证明远程工作人员在安全意识与实际行为之间存在矛盾,并且未能正确理解 IT 部门在控制员工使用笔记本电脑、个人数字助理(PDA)和智能电话等设备上所起的作用。
总体来说,有 38% 的 IT 决策人称,与安全相关的求助呼叫有所增加。主要包括用户及其设备无法抵御病毒攻击、网页仿冒扫描、身份盗用、黑客及其他恶意行为等问题。在印度,超过一半(55%)的IT 受调查者报告说与安全相关的呼叫有所增加,大多数问题与病毒(70%)、基于垃圾邮件的网页仿冒攻击(61%)和间谍软件(55%)相关。总体而言,垃圾邮件和网页仿冒是协助中心遇到的最常见的问题——在所有的 IT 受调查者中,一半以上(52%)都报告说求助呼叫增加与此类问题有关。
因此,每三名IT受调查者中就有两人(67%)声称将在2007年增加与安全相关的 IT 开支。2/5的受调查者(41%) 预计明年将增加10%以上的安全投资。其中尤以中国、印度和巴西为甚 - 这三个国家是相对较新的互联网市场,也是全球网络经济增长速度最快的三个国家。以下是计划在2007年增长安全投资的IT受调查者的百分比:
1. 中国:90%;52% 的公司计划将安全开支增加 10% 以上
2. 印度:82%;66% 的公司计划将安全开支增加 10% 以上
3. 巴西:81%;65% 的公司计划将安全开支增加 10% 以上
4. 美国:66%;44% 的公司计划将安全开支增加 10% 以上
5. 意大利:66%;34% 的公司计划将安全开支增加 10% 以上
6. 德国:63%;27% 的公司计划将安全开支增加 10% 以上
7. 英国:61%;33% 的公司计划将安全开支增加 10% 以上
8. 澳大利亚:55%;36% 的公司计划将安全开支增加 10% 以上
9. 日本:54%;24% 的公司计划将安全开支增加 10% 以上
10. 法国:51%;29% 的公司计划将安全开支增加 10% 以上上
平均值:67%;41% 的公司计划将安全开支增加 10% 以上
思科安全解决方案营销副总裁 Jeff Platon 说:“这些调查结果与上个月的调查结果惊人的相似。”先前的调查显示,全世界约2/3(67%)的远程工作人员声称自己在远程工作时能够认识到安全的重要性。然而,他们中间有许多人都曾使用办公计算机搭用邻居的无线网络,打开来源不明的电子邮件,将商业文件下载到个人电脑上,并与非员工用户共享工作设备。此外,在谈到公司设备的使用控制权时,大多数的远程工作人员都认为部门经理比IT人员权利更高,有些人甚至认为他们如何使用公司设备根本与 IT无关。
Platon 说:“这些调查结果给 IT 和安全团队敲响了警钟。结果明确显示,用户具有安全意识并不一定代表他们拥有安全行为。此外,由于许多用户都忽视了 IT 部门的作用,因此不愿与 IT 部门自由交流,从而未能采用最佳业务实践,难怪 IT 要被动应对越来越多的求助呼叫并增加安全开支。了解到这个现象的幕后原因,将敦促IT 部门采取更先进的低成本方法来保护公司数据和员工。”
据思科首席安全官 John N. Stewart 称,此类方法需要领导层一致地推行“安全意识文化”。Stewart 建议公司针对不同的用户和企业文化定制培训项目,在整个公司和各级组织级别都任命安全先进代表,并加大奖励和表彰力度。他说:“通过生动的安全事故教育可帮助员工提高对安全重要性的认识。”
Stewart 补充说:“技术对安全至关重要,但不是唯一的决定因素。保护安全性是以人为核心的,涉及到沟通以及坚定不移地实施教育、培训和奖励计划等问题。如果将IT和用户的关系与技术解决方案紧密关联在一起,IT 部门自然会发挥战略顾问的作用,推动形成注重安全的企业文化。这时,CIO 和CSO (首席安全官)将能够共同优化安全解决方案的回报,同时防止出现影响生产率的风险。简而言之,就是能够帮助企业取得成功。
开始面对下一个网络杀手 间谍软件
[ 2007-03-25 04:01:05 | 作者: sun ]
间谍软件(spyware)的一个共同特点是,能够附着在共享文件、可执行图像以及各种免费软件当中,并趁机潜入用户的系统,而用户对此毫不知情。间谍软件的主要用途是跟踪用户的上网习惯,有些间谍软件还可以记录用户的键盘操作,捕捉并传送屏幕图像。间谍程序总是与其他程序捆绑在一起,用户很难发现它们是什么时候安装的。一旦间谍软件进入计算机系统,要想彻底清除它们就会十分困难,而且间谍软件往往成为不法分子手中的危险工具。
Gartner的分析专家认为,间谍软件就目前来说还是良性的,不过间谍软件在未来将会变得更具威胁性,不仅可以窃取口令、信用卡号,而且还可以偷走各种类型的身份信息,用于一些更加险恶的目的,如捕捉和传送Word和Excel文档,窃取企业秘密等。如果间谍软件打开通向用户桌面系统的通道,那么用户面临的危险将是不可想象的。
如何避免间谍软件
强制使用安全策略是防止间谍软件的第一道防线,具体措施包括:使用微软的域名安全策略来配置桌面浏览器和Outlook;阻断ActiveX和其他可执行文件;管理脚本文件;通过HTTP代理来过滤Web内容。
如果员工不需要使用Internet来完成自己的工作,还可以断开他们的网络连接。此外,对员工进行培训,使他们知道如何在Web上安全冲浪,在培训中需要注意以下几点:不要下载对等程序或任何无法确定其安全性的程序;不要点击诸如跳舞的小熊等有趣的图片;在咨询IT部门之前,不要下载免费软件;最关键的原则是,如果工作不需要,就不要点击无关内容。
如何探测间谍软件
即使用户已经实施了上述策略,间谍软件仍有可能乘虚而入。过滤软件厂商Websense推出了一种被称为客户端应用模块(Client Application Module,CAM )的产品,并在其中增加了一些全新的反间谍软件功能。该组件可以作为插件安装到Websense的Websense Enterprise集中管理器当中,能够在间谍软件进入网络中的计算机之前拦截它们。如果一些间谍软件通过了这道屏障,CAM也可以利用内核中的过滤驱动程序阻止其执行。这一驱动程序可以对间谍程序进行分类查找,并阻止间谍软件离开。通过这种方式,Websense可以找到那些穿过防线的间谍软件。Websense还可以通过报告机制通知管理员应当对哪些计算机采取措施。
除了Websense CAM外,利用商业工具和一些免费软件,人们也能减小计算机感染间谍软件的概率。杀毒软件能够阻止部分间谍软件发作,桌面工具也可以清除受害机器上的间谍软件。可以肯定的是,Web过滤是最有效的办法,它可以将大部分的间谍软件拒之门外。
如何清除间谍软件
对于那些穿过Web过滤器的间谍软件,如果不使用自动化的间谍软件清除工具,人们将很难将它们清除干净。根据CDT关于间谍软件的一份报告,多数间谍软件都具有抗删除的能力。间谍软件会在系统注册表中遗留下许多后门,并且很难清除干净。要想彻底消除,就必须分解注册表的每一项,并且需要知道查找哪些文件。Lavasoft公司专门推出了一种Ad-Aware间谍软件消除软件。除了Ad-Aware外,还有一种称为Spy Bot的免费软件产品,Spy Bot可以清除更多的间谍软件,而且不需要进行太多的自定义配置。
Gartner的分析专家认为,间谍软件就目前来说还是良性的,不过间谍软件在未来将会变得更具威胁性,不仅可以窃取口令、信用卡号,而且还可以偷走各种类型的身份信息,用于一些更加险恶的目的,如捕捉和传送Word和Excel文档,窃取企业秘密等。如果间谍软件打开通向用户桌面系统的通道,那么用户面临的危险将是不可想象的。
如何避免间谍软件
强制使用安全策略是防止间谍软件的第一道防线,具体措施包括:使用微软的域名安全策略来配置桌面浏览器和Outlook;阻断ActiveX和其他可执行文件;管理脚本文件;通过HTTP代理来过滤Web内容。
如果员工不需要使用Internet来完成自己的工作,还可以断开他们的网络连接。此外,对员工进行培训,使他们知道如何在Web上安全冲浪,在培训中需要注意以下几点:不要下载对等程序或任何无法确定其安全性的程序;不要点击诸如跳舞的小熊等有趣的图片;在咨询IT部门之前,不要下载免费软件;最关键的原则是,如果工作不需要,就不要点击无关内容。
如何探测间谍软件
即使用户已经实施了上述策略,间谍软件仍有可能乘虚而入。过滤软件厂商Websense推出了一种被称为客户端应用模块(Client Application Module,CAM )的产品,并在其中增加了一些全新的反间谍软件功能。该组件可以作为插件安装到Websense的Websense Enterprise集中管理器当中,能够在间谍软件进入网络中的计算机之前拦截它们。如果一些间谍软件通过了这道屏障,CAM也可以利用内核中的过滤驱动程序阻止其执行。这一驱动程序可以对间谍程序进行分类查找,并阻止间谍软件离开。通过这种方式,Websense可以找到那些穿过防线的间谍软件。Websense还可以通过报告机制通知管理员应当对哪些计算机采取措施。
除了Websense CAM外,利用商业工具和一些免费软件,人们也能减小计算机感染间谍软件的概率。杀毒软件能够阻止部分间谍软件发作,桌面工具也可以清除受害机器上的间谍软件。可以肯定的是,Web过滤是最有效的办法,它可以将大部分的间谍软件拒之门外。
如何清除间谍软件
对于那些穿过Web过滤器的间谍软件,如果不使用自动化的间谍软件清除工具,人们将很难将它们清除干净。根据CDT关于间谍软件的一份报告,多数间谍软件都具有抗删除的能力。间谍软件会在系统注册表中遗留下许多后门,并且很难清除干净。要想彻底消除,就必须分解注册表的每一项,并且需要知道查找哪些文件。Lavasoft公司专门推出了一种Ad-Aware间谍软件消除软件。除了Ad-Aware外,还有一种称为Spy Bot的免费软件产品,Spy Bot可以清除更多的间谍软件,而且不需要进行太多的自定义配置。
解析并防范电脑蠕虫病毒
[ 2007-03-25 04:00:44 | 作者: sun ]
凡能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒。所以从这个意义上说,蠕虫也是一种病毒!网络蠕虫病毒,作为对互联网危害严重的 一种计算机程序,其破坏力和传染性不容忽视。与传统的病毒不同,蠕虫病毒以计算机为载体,以网络为攻击对象!本文中将蠕虫病毒分为针对企业网络和个人用户2类,并从企业用户和个人用户两个方面探讨蠕虫病毒的特征和一些防范措施!
本文根据蠕虫病毒的发作机制,将其分为利用系统级别漏洞(主动传播)和利用社会工程学(欺骗传播)两种,并从用户角度中将蠕虫病毒分为针对企业网络和个人用户2类,从企业用户和个人用户两个方面探讨蠕虫病毒的特征和一些防范措施!
一、蠕虫病毒的定义
1.蠕虫病毒的定义
计算机病毒自出现之日起,就成为计算机的一个巨大威胁,而当网络迅速发展的时候,蠕虫病毒引起的危害开始显现!从广义上定义,凡能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒。所以从这个意义上说,蠕虫也是一种病毒!但是蠕虫病毒和一般的病毒有着很大的区别。对于蠕虫,现在还没有一个成套的理论体系,一般认为,蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性,隐蔽性,破坏性等等,同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中),对网络造成拒绝服务,以及和黑客技术相结合等等!在产生的破坏性上,蠕虫病毒也不是普通病毒所能比拟的,网络的发展使得蠕虫可以在短短的时间内蔓延整个网络,造成网络瘫痪!
根据使用者情况可将蠕虫病毒分为2类,一种是面向企业用户和局域网而言,这种病毒利用系统漏洞,主动进行攻击,可以对整个互联网可造成瘫痪性的后果!以“红色代码”,“尼姆达”,以及最新的“sql蠕虫王”为代表。另外一种是针对个人用户的,通过网络(主要是电子邮件,恶意网页形式)迅速传播的蠕虫病毒,以爱虫病毒,求职信病毒为例.在这两类中,第一类具有很大的主动攻击性,而且爆发也有一定的突然性,但相对来说,查杀这种病毒并不是很难。第二种病毒的传播方式比较复杂和多样,少数利用了微软的应用程序的漏洞,更多的是利用社会工程学()对用户进行欺骗和诱使,这样的病毒造成的损失是非常大的,同时也是很难根除的,比如求职信病毒,在2001年就已经被各大杀毒厂商发现,但直到2002年底依然排在病毒危害排行榜的首位就是证明!出得在接下来的内容中,将分别分析这两种病毒的一些特征及防范措施!
2.蠕虫病毒与一般病毒的异同
蠕虫也是一种病毒,因此具有病毒的共同特征。一般的病毒是需要的寄生的,它可以通过自己指令的执行,将自己的指令代码写到其他程序的体内,而被感染的文件就被称为”宿主”,例如,windows下可执行文件的格式为pe格式(Portable Executable),当需要感染pe文件时,在宿主程序中,建立一个新节,将病毒代码写到新节中,修改的程序入口点等,这样,宿主程序执行的时候,就可以先执行病毒程序,病毒程序运行完之后,在把控制权交给宿主原来的程序指令。可见,病毒主要是感染文件,当然也还有像DIRII这种链接型病毒,还有引导区病毒。引导区病毒他是感染磁盘的引导区,如果是软盘被感染,这张软盘用在其他机器上后,同样也会感染其他机器,所以传播方式也是用软盘等方式。
蠕虫一般不采取利用pe格式插入文件的方法,而是复制自身在互联网环境下进行传播,病毒的传染能力主要是针对计算机内的文件系统而言,而蠕虫病毒的传染目标是互联网内的所有计算机.局域网条件下的共享文件夹,电子邮件email,网络中的恶意网页,大量存在着漏洞的服务器等都成为蠕虫传播的良好途径。网络的发展也使得蠕虫病毒可以在几个小时内蔓延全球!而且蠕虫的主动攻击性和突然爆发性将使得人们手足无策!
普通病毒 蠕虫病毒
存在形式 寄存文件 独立程序
传染机制 宿主程序运行 主动攻击
传染目标 本地文件 网络计算机
可以预见,未来能够给网络带来重大灾难的主要必定是网络蠕虫!
3.蠕虫的破坏和发展趋势
1988年一个由美国CORNELL大学研究生莫里斯编写的蠕虫病毒蔓延造成了数千台计算机停机,蠕虫病毒开始现身网络;而后来的红色代码,尼姆达病毒疯狂的时候,造成几十亿美元的损失;北京时间2003年1月26日, 一种名为“2003蠕虫王”的电脑病毒迅速传播并袭击了全球,致使互联网网路严重堵塞,作为互联网主要基础的域名服务器(DNS)的瘫痪造成网民浏览互联网网页及收发电子邮件的速度大幅减缓,同时银行自动提款机的运作中断, 机票等网络预订系统的运作中断,信用卡等收付款系统出现故障!专家估计,此病毒造成的直接经济损失至少在12亿美元以上!
病毒名称 持续时间 造成损失莫里斯蠕虫 1988年
6000多台计算机停机,直接经济损失达9600万美元! 美丽杀手
1999年 政府部门和一些大公司紧急关闭了网络服务器,
经济损失超过12亿美元!爱虫病毒
2000年5月至今
众多用户电脑被感染,损失超过100亿美元以上 红色代码
2001年7月 网络瘫痪,直接经济损失超过26亿美元 求职信
2001年12月至今 大量病毒邮件堵塞服务器,损失达数百亿美元 蠕虫王
2003年1月 网络大面积瘫痪,银行自动提款机运做中断,直接经济损失超过26亿美元
由表可以知道,蠕虫病毒对网络产生堵塞作用,并造成了巨大的经济损失!
通过对以上蠕虫病毒的分析,可以知道,蠕虫发作的一些特点和发展趋势:
1.利用操作系统和应用程序的漏洞主动进行攻击.. 此类病毒主要是“红色代码”和“尼姆达”,以及至今依然肆虐的”求职信”等.由于IE浏览器的漏洞(Iframe Execcomand),使得感染了“尼姆达”病毒的邮件在不去手工打开附件的情况下病毒就能激活,而此前即便是很多防病毒专家也一直认为,带有病毒附件的邮件,只要不去打开附件,病毒不会有危害。“红色代码”是利用了微软IIS服务器软件的漏洞(idq.dll远程缓存区溢出)来传播。Sql蠕虫王病毒则是利用了微软的数据库系统的一个漏洞进行大肆攻击!
2.传播方式多样 如“尼姆达”病毒和”求职信”病毒,可利用的传播途径包括文件、电子邮件、Web服务器、网络共享等等。
3.病毒制作技术与传统的病毒不同的是,许多新病毒是利用当前最新的编程语言与编程技术实现的,易于修改以产生新的变种,从而逃避反病毒软件的搜索。另外,新病毒利用Java、ActiveX、VB Script等技术,可以潜伏在HTML页面里,在上网浏览时触发。
4.与黑客技术相结合! 潜在的威胁和损失更大!以红色代码为例,感染后的机器的web目录的\scripts下将生成一个root.exe,可以远程执行任何命令,从而使黑客能够再次进入!二、网络蠕虫病毒分析和防范
蠕虫和普通病毒不同的一个特征是蠕虫病毒往往能够利用漏洞,这里的漏洞或者说是缺陷,我们分为2种,软件上的缺陷和人为上的缺陷。软件上的缺陷,如远程溢出,微软ie和outlook的自动执行漏洞等等,需要软件厂商和用户共同配合,不断的升级软件。而人为的缺陷,主要是指的是计算机用户的疏忽。这就是所谓的社会工程学(social engineering),当收到一封邮件带着病毒的求职信邮件时候,大多数人都会报着好奇去点击的。对于企业用户来说,威胁主要集中在服务器和大型应用软件的安全上,而个人用户而言,主要是防范第二种缺陷。
1.利用系统漏洞的恶性蠕虫病毒分析
在这种病毒中,以红色代码,尼姆达和sql蠕虫为代表!他们共同的特征是利用微软服务器和应用程序组件的某个漏洞进行攻击,由于网上存在这样的漏洞比较普遍,使得病毒很容易的传播!而且攻击的对象大都为服务器,所以造成的网络堵塞现象严重!
以2003年1月26号爆发的sql蠕虫为例,爆发数小时内席卷了全球网络,造成网络大塞车.亚洲国家中以人口上网普及率达七成的韩国所受影响较为严重。韩国两大网络业KFT及***电讯公司,系统都陷入了瘫痪,其它的网络用户也被迫断线,更为严重的是许多银行的自动取款机都无法正常工作, 美国许美国银行统计,该行的13000台自动柜员机已经无法提供正常提款。网络蠕虫病毒开始对人们的生活产生了巨大的影响!
这次sql蠕虫攻击的是微软数据库系Microsoft SQL Server 2000的,利用了MSSQL2000服务远程堆栈缓冲区溢出漏洞, Microsoft SQL Server 2000是一款由Microsoft公司开发的商业性质大型数据库系统。SQL Server监听UDP的1434端口,客户端可以通过发送消息到这个端口来查询目前可用的连接方式(连接方式可以是命名管道也可以是TCP),但是此程序存在严重漏洞,当客户端发送超长数据包时,将导致缓冲区溢出,黑客可以利用该漏洞在远程机器上执行自己的恶意代码。
微软在200年7月份的时候就为这个漏洞发布了一个安全公告,但当sql蠕虫爆发的时候,依然有大量的装有ms sqlserver 2000的服务器没有安装最新的补丁,从而被蠕虫病毒所利用,蠕虫病毒通过一段376个字节的恶意代码,远程获得对方主机的系统控制权限, 取得三个Win32 API地址,GetTickCount、socket、sendto,接着病毒使用GetTickCount获得一个随机数,进入一个死循环继续传播。在该循环中蠕虫使用获得的随机数生成一个随机的ip地址,然后将自身代码发送至1434端口(Microsoft SQL Server开放端口),该蠕虫传播速度极快,其使用广播数据包方式发送自身代码,每次均攻击子网中所有255台可能存在机器。由于这是一个死循环的过程,发包密度仅和机器性能和网络带宽有关,所以发送的数据量非常大。该蠕虫对被感染机器本身并没有进行任何恶意破坏行为,也没有向硬盘上写文件,仅仅存在与内存中。对于感染的系统,重新启动后就可以清除蠕虫,但是仍然会重复感染。由于发送数据包占用了大量系统资源和网络带宽,形成Udp Flood,感染了该蠕虫的网络性能会极度下降。一个百兆网络内只要有一两台机器感染该蠕虫就会导致整个网络访问阻塞。
通过以上分析可以知道,此蠕虫病毒本身除了对网络产生拒绝服务攻击外,并没有别的破坏措施.但如果病毒编写者在编写病毒的时候加入破坏代码,后果将不堪设想!
2.企业防范蠕虫病毒措施
此次sql蠕虫病毒,利用的漏洞在2002年7月份微软的一份安全公告中就有详细说明!而且微软也提供了安全补丁提供下载,然而在时隔半年之后互联网上还有相当大的一部分服务器没有安装最新的补丁,其网络管理员的安全防范意识可见一斑!
当前,企业网络主要应用于文件和打印服务共享、办公自动化系统、企业业务(MIS)系统、Internet应用等领域。网络具有便利信息交换特性,蠕虫病毒也可以充分利用网络快速传播达到其阻塞网络目的。企业在充分地利用网络进行业务处理时,就不得不考虑企业的病毒防范问题,以保证关系企业命运的业务数据完整不被破坏。
企业防治蠕虫病毒的时候需要考虑几个问题:病毒的查杀能力,病毒的监控能力,新病毒的反应能力。而企业防毒的一个重要方面是是管理和策略。推荐的企业防范蠕虫病毒的策略如下:
(1)加强网络管理员安全管理水平,提高安全意识。由于蠕虫病毒利用的是系统漏洞进行攻击,所以需要在第一时间内保持系统和应用软件的安全性,保持各种操作系统和应用软件的更新!由于各种漏洞的出现,使得安全不在是一种一劳永逸的事,而作为企业用户而言,所经受攻击的危险也是越来越大,要求企业的管理水平和安全意识也越来越高!
(2)建立病毒检测系统。能够在第一时间内检测到网络异常和病毒攻击。
(3)建立应急响应系统,将风险减少到最小!由于蠕虫病毒爆发的突然性,可能在病毒发现的时候已经蔓延到了整个网络,所以在突发情况下,建立一个紧急响应系统是很有必要的,在病毒爆发的第一时间即能提供解决方案。
(4)建立灾难备份系统。对于数据库和数据系统,必须采用定期备份,多机备份措施,防止意外灾难下的数据丢失!
(5)对于局域网而言,可以采用以下一些主要手段:A.在因特网接入口处安装防火墙式防杀计算机病毒产品,将病毒隔离在局域网之外。B.对邮件服务器进行监控,防止带毒邮件进行传播!C.对局域网用户进行安全培训。D.建立局域网内部的升级系统,包括各种操作系统的补丁升级,各种常用的应用软件升级,各种杀毒软件病毒库的升级等等!3.对个人用户产生直接威胁的蠕虫病毒
在以上分析的蠕虫病毒中,只对安装了特定的微软组件的系统进行攻击,而对广大个人用户而言,是不会安装iis(微软的因特网服务器程序,可以使允许在网上提供web服务)或者是庞大的数据库系统的!因此上述病毒并不会直接攻击个个人用户的电脑(当然能够间接的通过网络产生影响),但接下来分析的蠕虫病毒,则是对个人用户威胁最大,同时也是最难以根除,造成的损失也更大的一类蠕虫病毒!
对于个人用户而言,威胁大的蠕虫病毒采取的传播方式一般为电子邮件(Email)以及恶意网页等等!
对于利用email传播得蠕虫病毒来说,通常利用的是社会工程学(Social Engineering),即以各种各样的欺骗手段那诱惑用户点击的方式进行传播!
恶意网页确切的讲是一段黑客破坏代码程序,它内嵌在网页中,当用户在不知情的情况下打开含有病毒的网页时,病毒就会发作。这种病毒代码镶嵌技术的原理并不复杂,所以会被很多怀不良企图者利用,在很多黑客网站竟然出现了关于用网页进行破坏的技术的论坛,并提供破坏程序代码下载,从而造成了恶意网页的大面积泛滥,也使越来越多的用户遭受损失。
对于恶意网页,常常采取vb script和java script编程的形式!由于编程方式十分的简单!所以在网上非常的流行!
Vb script和java script是由微软操作系统的wsh(Windows Scripting HostWindows脚本主机)解析并执行的,由于其编程非常简单,所以此类脚本病毒在网上疯狂传播,疯狂一时的爱虫病毒就是一种vbs脚本病毒,然后伪装成邮件附件诱惑用户点击运行,更为可怕的是,这样的病毒是以源代码的形式出现的,只要懂得一点关于脚本编程的人就可以修改其代码,形成各种各样的变种。
下面以一个简单的脚本为例:
Set objFs=CreateObject (“Scripting.FileSystemObject”)
(创建一个文件系统对象)objFs.CreateTextFile ("C:\virus.txt", 1)
(通过文件系统对象的方法创建了TXT文件)
如果我们把这两句话保存成为.vbs的VB脚本文件,点击就会在C盘中创建一个TXT文件了。倘若我们把第二句改为:
objFs.GetFile (WScript.ScriptFullName).Copy ("C:\virus.vbs")
就可以将自身复制到C盘virus.vbs这个文件。本句前面是打开这个脚本文件,WScript.ScriptFullName指明是这个程序本身,是一个完整的路径文件名。GetFile函数获得这个文件,Copy函数将这个文件复制到C盘根目录下virus.vbs这个文件。这么简单的两句就实现了自我复制的功能,已经具备病毒的基本特征——自我复制能力。
此类病毒往往是通过邮件传播的,在vb script中调用邮件发送功能也非常的简单,病毒往往采用的方法是向outlook中的地址薄中的邮件地址发送带有包含自身的邮件来达到传播目的,一个简单的实例如下:
Set objOA=Wscript.CreateObject ("Outlook.Application")
(创建一个OUTLOOK应用的对象)Set objMapi=objOA.GetNameSpace ("MAPI")
(取得MAPI名字空间)For i=1 to objMapi.AddressLists.Count(遍历地址簿)
Set objAddList=objMapi.AddressLists (i)
For j=1 To objAddList. AddressEntries.Count Set
objMail=objOA.CreateItem (0) objMail.Recipients.Add
(objAddList. AddressEntries
(j))
(取得收件人邮件地址 )objMail.Subject="你好!"
(设置邮件主题,这个往往具有很大的诱惑性质)
objMail.Body="这次给你的附件,是我的新文档!"
(设置信件内容)objMail.Attachments.Add (“c:\virus.vbs")
(把自己作为附件扩散出去 )objMail.Send(发送邮件)
NextNext Set objMapi=Nothing(清空objMapi变量,释放资源)
set objOA=Nothing(清空objOA变量)
这一小段代码的功能是向地址簿中的用户发送电子邮件,并将自己作为附件扩散出去。这段代码中的第一行是创建一个Outlook的对象,是必不可少的。在其下是一个循环,在循环中不断地向地址簿中的电子邮件地址发送内容相同的信件。这就是蠕虫的传播性。
由此可以看出,利用vb script编写病毒是非常容易的,这就使得此类病毒的变种繁多,破坏力极大,同时也是非常难以根除的!
4.个人用户对蠕虫病毒的防范措施
通过上述的分析,我们可以知道,病毒并不是非常可怕的,网络蠕虫病毒对个人用户的攻击主要还是通过社会工程学,而不是利用系统漏洞!所以防范此类病毒需要注意以下几点:
(1)购合适的杀毒软件!网络蠕虫病毒的发展已经使传统的杀毒软件的“文件级实时监控系统”落伍,杀毒软件必须向内存实时监控和邮件实时监控发展!另外面对防不胜防的网页病毒,也使得用户对杀毒软件的要求越来越高!在杀毒软件市场上,赛门铁克公司的norton系列杀毒软件在全球具有很大的比例!经过多项测试,norton杀毒系列软件脚本和蠕虫阻拦技术能够阻挡大部分电子邮件病毒,而且对网页病毒也有相当强的防范能力!目前国内的杀毒软件也具有了相当高的水平。像瑞星,kv系列等杀毒软件,在杀毒软件的同时整合了防火强功能,从而对蠕虫兼木马程序有很大克制作用。
(2)经常升级病毒库,杀毒软件对病毒的查杀是以病毒的特征码为依据的,而病毒每天都层出不穷,尤其是在网络时代,蠕虫病毒的传播速度快,变种多,所以必须随时更新病毒库,以便能够查杀最新的病毒!
(3)提高防杀毒意识.不要轻易去点击陌生的站点,有可能里面就含有恶意代码!
当运行IE时,点击“工具→Internet选项→安全→ Internet区域的安全级别”,把安全级别由“中”改为“高” 。因为这一类网页主要是含有恶意代码的ActiveX或Applet、 JavaScript的网页文件 ,所以在IE设置中将ActiveX插件和控件、Java脚本等全部禁止就可以大大减少被网页恶意代码感染的几率。具体方案是:在IE窗口中点击“工具”→“Internet选项”,在弹出的对话框中选择“安全”标签,再点击“自定义级别”按钮,就会弹出“安全设置”对话框,把其中所有ActiveX插件和控件以及与Java相关全部选项选择“禁用”。但是,这样做在以后的网页浏览过程中有可能会使一些正常应用ActiveX的网站无法浏览。
(4)不随意查看陌生邮件,尤其是带有附件的邮件,由于有的病毒邮件能够利用ie和outlook的漏洞自动执行,所以计算机用户需要升级ie和outlook程序,及常用的其他应用程序!
三、小结
网络蠕虫病毒作为一种互联网高速发展下的一种新型病毒,必将对网络产生巨大的危险。在防御上,已经不再是由单独的杀毒厂商所能够解决,而需要网络安全公司,系统厂商,防病毒厂商及用户共同参与,构筑全方位的防范体系!
蠕虫和黑客技术的结合,使得对蠕虫的分析,检测和防范具有一定的难度,同时对蠕虫的网络传播性,网络流量特性建立数学模型也是有待研究的工作!
进一步的防范 小技巧保护你的密码
[ 2007-03-25 04:00:24 | 作者: sun ]
现在是密码的时代,QQ、MSN、邮箱、系统、RAR、ZIP、Word、Excel、网上银行、论坛密码等等。密码无处不在,可以给我们更多的安全。但它在给我们必要的安全保障的同时,一旦密码丢失或被盗,则会给我们带来很多的麻烦。为此我们有必要将一些常用的密码定期更新,这样才能够永保安全!
问:我使用的是Windows XP,请问怎样修改用户密码,以便不让人猜测到?
答:选择“我的电脑→控制面板→管理工具→计算机管理”,打开“计算机管理”窗口,依次展开“计算机管理(本地)→系统工具→本地用户和组→用户”,在右侧右击自己的账户,选择“设置密码”命令,再在打开的窗口中设置密码即可。如果你是系统管理员,还可以修改别的账户密码。
问:我的MSN上保存了不少联系人,如果密码丢失,重新申请MSN的话,要一一重新添加联系人,则会给自己带来很多的麻烦。如何修改密码?
答:打开浏览器,再定位到http://www.hotmail.com,然后在其中输入你的MSN用户名和密码,再单击“文件→转到→我的电子邮件信箱”,打开电子邮件页面后,单击右上角的“选项”按钮,然后单击“个人”链接打开“个人选项”页面,单击“密码”进入MSN的页面登录,输入正确的当前MSN的用户名和密码后,即可进入“更改密码”页面,输入旧密码和新密码就可以修改成功。
问:我的邮箱中有不少重要的商业信函,担心密码过于简单而被竞争对手收到里面的信件,如何修改密码?
答:一般登录邮箱提供商的相关页面进行修改,以126信箱为例。登录http://www.126.com,然后输入用户名和密码,再单击上方的“选项→修改密码”,然后输入旧密码和新密码就可以修改成功。如果是新浪邮箱,进入后,单击“设置区”,进入设置区页面,单击“用户密码设置”,根据提示一步一步即可完成密码修改。如果你使用公司架设的邮箱,则可以询问网管员,然后再登录相应网页进行邮箱密码的修改。
问:我的上网密码比较简单(默认是提供商提供的),而且我不是包月用户,担心别人会用我的账号,造成费用损失,如何修改密码呢?
答:如果需要修改上网密码,一般登录ISP主页,然后选择即可,如北京的ADSL用户,可以登录http://202.106.46.39:9001/selfadsl/login.html,然后单击“客户口令更改”进行修改。如果你是北京电信的用户,可以登录http://www.bjnet.net.cn,单击“自服务系统”,然后输入原先的用户名和密码,进入后即可修改密码,这样做担心别人会盗用他人用户名和密码,从而造成损失。
不过,如果你是小区宽带,那可能要请你与小区物业机房人员联系修改密码。
问:我使用的是Windows XP,请问怎样修改用户密码,以便不让人猜测到?
答:选择“我的电脑→控制面板→管理工具→计算机管理”,打开“计算机管理”窗口,依次展开“计算机管理(本地)→系统工具→本地用户和组→用户”,在右侧右击自己的账户,选择“设置密码”命令,再在打开的窗口中设置密码即可。如果你是系统管理员,还可以修改别的账户密码。
问:我的MSN上保存了不少联系人,如果密码丢失,重新申请MSN的话,要一一重新添加联系人,则会给自己带来很多的麻烦。如何修改密码?
答:打开浏览器,再定位到http://www.hotmail.com,然后在其中输入你的MSN用户名和密码,再单击“文件→转到→我的电子邮件信箱”,打开电子邮件页面后,单击右上角的“选项”按钮,然后单击“个人”链接打开“个人选项”页面,单击“密码”进入MSN的页面登录,输入正确的当前MSN的用户名和密码后,即可进入“更改密码”页面,输入旧密码和新密码就可以修改成功。
问:我的邮箱中有不少重要的商业信函,担心密码过于简单而被竞争对手收到里面的信件,如何修改密码?
答:一般登录邮箱提供商的相关页面进行修改,以126信箱为例。登录http://www.126.com,然后输入用户名和密码,再单击上方的“选项→修改密码”,然后输入旧密码和新密码就可以修改成功。如果是新浪邮箱,进入后,单击“设置区”,进入设置区页面,单击“用户密码设置”,根据提示一步一步即可完成密码修改。如果你使用公司架设的邮箱,则可以询问网管员,然后再登录相应网页进行邮箱密码的修改。
问:我的上网密码比较简单(默认是提供商提供的),而且我不是包月用户,担心别人会用我的账号,造成费用损失,如何修改密码呢?
答:如果需要修改上网密码,一般登录ISP主页,然后选择即可,如北京的ADSL用户,可以登录http://202.106.46.39:9001/selfadsl/login.html,然后单击“客户口令更改”进行修改。如果你是北京电信的用户,可以登录http://www.bjnet.net.cn,单击“自服务系统”,然后输入原先的用户名和密码,进入后即可修改密码,这样做担心别人会盗用他人用户名和密码,从而造成损失。
不过,如果你是小区宽带,那可能要请你与小区物业机房人员联系修改密码。
如何辨别中了威金病毒
[ 2007-03-25 03:59:57 | 作者: sun ]
病毒表现:
1. 某些杀毒软件的实时监控无法启动(例如:瑞星的实时监控中心)
2. 部分图标变得模糊
3. 进程里面出现例如 Logo_1.exe , 0Sy.exe等莫名其妙的东西
4. C盘隐藏文件出现 _desktop.ini(隐藏文件)
5. 磁盘的autorun被修改,以至于双击磁盘盘符时提示出错
随即用瑞星2006的杀毒软件进行杀毒,但是无法彻底清除。这是感染了"威金"病毒。
清除方法:
1 结束以下进程: logo1_.exe rundl132.exe(注意第六个为数字1而不是L) explorer.exe(该病毒会把vDll.dll加载到该系统进程中去,最好是用进程管理工具直接结束掉这个DLL)另外有类似OS.exe的进程也一并结束掉~~!
2.到windows目录删除"logo1_.exe"、"rundl132.exe"、"vdll.dll"文件!(注意这些进程都是隐藏的,需要把系统设置为“显示隐藏文件”,设置的方法:打开“我的电脑”; 依次打开菜单“工具/文件夹选项”;然后在弹出的“文件夹选项”对话框中切换到“查看”页; 去掉“隐藏受保护的操作系统文件(推荐)”前面的对钩,让它变为不选状态; 在下面的“高级设置”列表框中改变“不显示隐藏的文件
和文件夹”选项为“显示所有文件和文件夹”选项; 去掉“隐藏已知文件类型的扩展名”前面的对钩,也让它变为不选状态;最后点击“确定”。 )
3 .运行 gpedit.msc 打开组策略,依次单击用户配置- 管理模块- 系统-指定不给windows运行的程序,点启用 然后 点显示 添加 logo1_exe 也就是病毒的源文件
4 找到并删除%Windir%下的Logo1_.exe、rundl132.exe、vDll.dll文件,其中vDll.dll可能在其他目录中,%Windir%默认为C:\Windows或者C:\Winnt。打开注册表,索引到HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW,删除auto键值;
打开注册表,索引到HKEY_CURRENT_USER\Software\Microsoft\Windows
NT\CurrentVersion\WIndows,删除load键值;打开%system%\drivers\etc下hosts文件,删除“127.0.0.1 localhost”一行后所有内容;
.在windows目录下新建文件:"logo1_.exe"、"rundl132.exe"、"vdll.dll"并把属性设为“只读”,这样病毒也就无法运行了
现在你的电脑基本上说可以对该病毒免疫了,既使中了该病毒,它也发作不了啦!最后这一点不怎么好办
那些应用程序都被感染了病毒,如果中了病毒,下次重启后,就会弹出来“rundl132.exe不是有效的应用程序”和“无法加载注册表中c;\windows\rundl132.exe”的对话框要么删除所有被感染的应用程序,然后从其它地方复制没感染病毒的过来,要么就是在搜索里用“*.exe”找出所有的exe文件,然后每个运行一下:L最后从注册表里找出“rundl132.exe”的启动项,删掉就OK了没必要大惊小怪的.更不用什么扒网线关门杀毒.
1. 某些杀毒软件的实时监控无法启动(例如:瑞星的实时监控中心)
2. 部分图标变得模糊
3. 进程里面出现例如 Logo_1.exe , 0Sy.exe等莫名其妙的东西
4. C盘隐藏文件出现 _desktop.ini(隐藏文件)
5. 磁盘的autorun被修改,以至于双击磁盘盘符时提示出错
随即用瑞星2006的杀毒软件进行杀毒,但是无法彻底清除。这是感染了"威金"病毒。
清除方法:
1 结束以下进程: logo1_.exe rundl132.exe(注意第六个为数字1而不是L) explorer.exe(该病毒会把vDll.dll加载到该系统进程中去,最好是用进程管理工具直接结束掉这个DLL)另外有类似OS.exe的进程也一并结束掉~~!
2.到windows目录删除"logo1_.exe"、"rundl132.exe"、"vdll.dll"文件!(注意这些进程都是隐藏的,需要把系统设置为“显示隐藏文件”,设置的方法:打开“我的电脑”; 依次打开菜单“工具/文件夹选项”;然后在弹出的“文件夹选项”对话框中切换到“查看”页; 去掉“隐藏受保护的操作系统文件(推荐)”前面的对钩,让它变为不选状态; 在下面的“高级设置”列表框中改变“不显示隐藏的文件
和文件夹”选项为“显示所有文件和文件夹”选项; 去掉“隐藏已知文件类型的扩展名”前面的对钩,也让它变为不选状态;最后点击“确定”。 )
3 .运行 gpedit.msc 打开组策略,依次单击用户配置- 管理模块- 系统-指定不给windows运行的程序,点启用 然后 点显示 添加 logo1_exe 也就是病毒的源文件
4 找到并删除%Windir%下的Logo1_.exe、rundl132.exe、vDll.dll文件,其中vDll.dll可能在其他目录中,%Windir%默认为C:\Windows或者C:\Winnt。打开注册表,索引到HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW,删除auto键值;
打开注册表,索引到HKEY_CURRENT_USER\Software\Microsoft\Windows
NT\CurrentVersion\WIndows,删除load键值;打开%system%\drivers\etc下hosts文件,删除“127.0.0.1 localhost”一行后所有内容;
.在windows目录下新建文件:"logo1_.exe"、"rundl132.exe"、"vdll.dll"并把属性设为“只读”,这样病毒也就无法运行了
现在你的电脑基本上说可以对该病毒免疫了,既使中了该病毒,它也发作不了啦!最后这一点不怎么好办
那些应用程序都被感染了病毒,如果中了病毒,下次重启后,就会弹出来“rundl132.exe不是有效的应用程序”和“无法加载注册表中c;\windows\rundl132.exe”的对话框要么删除所有被感染的应用程序,然后从其它地方复制没感染病毒的过来,要么就是在搜索里用“*.exe”找出所有的exe文件,然后每个运行一下:L最后从注册表里找出“rundl132.exe”的启动项,删掉就OK了没必要大惊小怪的.更不用什么扒网线关门杀毒.
Windows 2003服务器打造铜墙铁壁
[ 2007-03-25 03:59:45 | 作者: sun ]
Windows Server 2003是大家最常用的服务器操作系统之一。虽然它提供了强大的网络服务功能,并且简单易用,但它的安全性一直困扰着众多网管,如何在充分利用Windows Server 2003提供的各种服务的同时,保证服务器的安全稳定运行,最大限度地抵御病毒和黑客的入侵。Windows Server 2003 SP1中文版补丁包的发布,恰好解决这个问题,它不但提供了对系统漏洞的修复,还新增了很多易用的安全功能,如安全配置向导(SCW)功能。利用SCW功能的“安全策略”可以最大限度增强服务器的安全,并且配置过程非常简单,下面就一起来看吧!
厉兵秣马 先装“SCW”
大家都很清楚,Windows Server 2003系统为增强其安全性,默认情况下,很多服务组件是不被安装的,要想使用,必须手工安装。“SCW”功能也是一样,虽然你已经成功安装了补丁包SP1,但也需要手工安装“安全配置向导(SCW)”组件。
进入“控制面板”后,运行“添加或删除程序”,然后切换到“添加/删除Windows组件”页。下面在“Windows组件向导”对话框中选中“安全配置向导”选项,最后点击“下一步”按钮后,就能轻松完成“SCW”组件的安装。
安装过程就这么简单,接下来就能根据自身需要,利用“SCW”配置安全策略,增强Windows Server 2003服务器安全。
配置“安全策略” 原来如此“简单”
在Windows Server 2003服务器中,点击“开始→运行”后,在运行对话框中执行“SCW.exe”命令,就会弹出“安全配置向导”对话框,开始你的安全策略配置过程。当然你也可以进入“控制面板→管理工具”窗口后,执行“安全配置向导”快捷方式来启用“SCW”。
1.新建第一个“安全策略”
如果你是第一次使用“SCW”功能,首先要为Windows Server 2003服务器新建一个安全策略,安全策略信息是被保存在格式为XML 的文件中的,并且它的默认存储位置是“C:\WINDOWS\security\msscw\Policies”。因此一个Windows Server 2003系统可以根据不同需要,创建多个“安全策略”文件,并且还可以对安全策略文件进行修改,但一次只能应用其中一个安全策略。
在“欢迎使用安全配置向导”对话框中点击“下一步”按钮,进入到“配置操作”对话框,因为是第一次使用“SCW”,这里要选择“创建新的安全策略”单选项,点击“下一步”按钮,就开始配置安全策略。
2.轻松配置“角色”
首先进入“选择服务器”对话框,在“服务器”栏中输入要进行安全配置的Windows Server 2003服务器的机器名或IP地址,点击“下一步”按钮后,“安全配置向导”会处理安全配置数据库。
接着就进入到“基于角色的服务配置”对话框。在基于角色的服务配置中,可以对Windows Server 2003服务器角色、客户端角色、系统服务、应用程序,以及管理选项等内容进行配置。
所谓服务器“角色”,其实就是提供各种服务的Windows Server 2003服务器,如文件服务器、打印服务器、DNS服务器和DHCP服务器等 , 一个Windows Server 2003服务器可以只提供一种服务器“角色”,也可以扮演多种服务器角色。点击“下一步”按钮后,就进入到“选择服务器角色”配置对话框,这时需要在“服务器角色列表框”中勾选你的Windows Server 2003服务器所扮演的角色。
注意:为了保证服务器的安全,只勾选你所需要的服务器角色即可,选择多余的服务器角色选项,会增加Windows Server 2003系统的安全隐患。如笔者的Windows Server 2003服务器只是作为文件服务器使用,这时只要选择“文件服务器”选项即可。
进入“选择客户端功能”标签页,来配置Windows Server 2003服务器支持的“客户端功能”,其实Windows Server 2003服务器的客户端功能也很好理解,服务器在提供各种网络服务的同时,也需要一些客户端功能的支持才行,如Microsoft网络客户端、DHCP客户端和FTP客户端等。根据需要,在列表框中勾选你所需的客户端功能即可,同样,对于不需要的客户端功能选项,建议你一定要取消对它的选择。
接下来进入到“选择管理和其它选项”对话框,在这里选择你需要的一些Windows Server 2003系统提供的管理和服务功能,操作方法是一样的,只要在列表框中勾选你需要的管理选项即可。点击“下一步”后,还要配置一些Windows Server 2003系统的额外服务,这些额外服务一般都是第三方软件提供的服务。
然后进入到“处理未指定的服务”对话框,这里“未指定服务”是指,如果此安全策略文件被应用到其它Windows Server 2003服务器中,而这个服务器中提供的一些服务没有在安全配置数据库中列出,那么这些没被列出的服务该在什么状态下运行呢?在这里就可以指定它们的运行状态,建议大家选中“不更改此服务的启用模式”单选项。最后进入到“确认服务更改”对话框,对你的配置进行最终确认后,就完成了基于角色的服务配置。
3.配置网络安全
以上完成了基于角色的服务配置。但Windows Server 2003服务器包含的各种服务,都是通过某个或某些端口来提供服务内容的,为了保证服务器的安全,Windows防火墙默认是不会开放这些服务端口的。下面就可以通过“网络安全”配置向导开放各项服务所需的端口,这种向导化配置过程与手工配置Windows防火墙相比,更加简单、方便和安全。
在“网络安全”对话框中,要开放选中的服务器角色,Windows Server 2003系统提供的管理功能以及第三方软件提供的服务所使用的端口。点击“下一步”按钮后,在“打开端口并允许应用程序”对话框中开放所需的端口,如FTP服务器所需的“20和21”端口,IIS服务所需的“80”端口等,这里要切记“最小化”原则,只要在列表框中选择要必须开放的端口选项即可,最后确认端口配置,这里要注意:其它不需要使用的端口,建议大家不要开放,以免给Windows Server 2003服务器造成安全隐患。
4.注册表设置
Windows Server 2003服务器在网络中为用户提供各种服务,但用户与服务器的通信中很有可能包含“不怀好意”的访问,如黑客和病毒攻击。如何保证服务器的安全,最大限度地限制非法用户访问,通过“注册表设置”向导就能轻松实现。
利用注册表设置向导,修改Windows Server 2003服务器注册表中某些特殊的键值,来严格限制用户的访问权限。用户只要根据设置向导提示,以及服务器的服务需要,分别对“要求SMB安全签名”、“出站身份验证方法”、“入站身份验证方法”进行严格设置,就能最大限度保证Windows Server 2003服务器的安全运行,并且免去手工修改注册表的麻烦。
5.启用“审核策略”
聪明的网管会利用日志功能来分析服务器的运行状况,因此适当的启用审核策略是非常重要的。SCW功能也充分的考虑到这些,利用向导化的操作就能轻松启用审核策略。
在“系统审核策略”配置对话框中要合理选择审核目标,毕竟日志记录过多的事件会影响服务器的性能,因此建议用户选择“审核成功的操作”选项。当然如果有特殊需要,也可以选择其它选项。如“不审核”或“审核成功或不成功的操作”选项。
6.增强IIS安全
IIS服务器是网络中最为广泛应用的一种服务,也是Windows系统中最易受攻击的服务。如何来保证IIS服务器的安全运行,最大限度免受黑客和病毒的攻击,这也是SCW功能要解决的一个问题。利用“安全配置向导”可以轻松的增强IIS服务器的安全,保证其稳定、安全运行。
在“Internet信息服务”配置对话框中,通过配置向导,来选择你要启用的Web服务扩展、要保持的虚拟目录,以及设置匿名用户对内容文件的写权限。这样IIS服务器的安全性就大大增强。
小提示:如果你的Windows Server 2003服务器没有安装、运行IIS服务,则在SCW配置过程中不会出现IIS安全配置部分。
完成以上几步配置后,进入到保存安全策略对话框,首先在“安全策略文件名”对话框中为你配置的安全策略起个名字,最后在“应用安全策略”对话框中选择“现在应用”选项,使配置的安全策略立即生效。
利用SCW增强Windows Server 2003服务器的安全性能就这么简单,所有的参数配置都是通过向导化对话框完成的,免去了手工繁琐的配置过程,SCW功能的确是安全性和易用性有效的结合点。如果你的Windows Server 2003系统已经安装了SP1补丁包,不妨试试SCW吧!
厉兵秣马 先装“SCW”
大家都很清楚,Windows Server 2003系统为增强其安全性,默认情况下,很多服务组件是不被安装的,要想使用,必须手工安装。“SCW”功能也是一样,虽然你已经成功安装了补丁包SP1,但也需要手工安装“安全配置向导(SCW)”组件。
进入“控制面板”后,运行“添加或删除程序”,然后切换到“添加/删除Windows组件”页。下面在“Windows组件向导”对话框中选中“安全配置向导”选项,最后点击“下一步”按钮后,就能轻松完成“SCW”组件的安装。
安装过程就这么简单,接下来就能根据自身需要,利用“SCW”配置安全策略,增强Windows Server 2003服务器安全。
配置“安全策略” 原来如此“简单”
在Windows Server 2003服务器中,点击“开始→运行”后,在运行对话框中执行“SCW.exe”命令,就会弹出“安全配置向导”对话框,开始你的安全策略配置过程。当然你也可以进入“控制面板→管理工具”窗口后,执行“安全配置向导”快捷方式来启用“SCW”。
1.新建第一个“安全策略”
如果你是第一次使用“SCW”功能,首先要为Windows Server 2003服务器新建一个安全策略,安全策略信息是被保存在格式为XML 的文件中的,并且它的默认存储位置是“C:\WINDOWS\security\msscw\Policies”。因此一个Windows Server 2003系统可以根据不同需要,创建多个“安全策略”文件,并且还可以对安全策略文件进行修改,但一次只能应用其中一个安全策略。
在“欢迎使用安全配置向导”对话框中点击“下一步”按钮,进入到“配置操作”对话框,因为是第一次使用“SCW”,这里要选择“创建新的安全策略”单选项,点击“下一步”按钮,就开始配置安全策略。
2.轻松配置“角色”
首先进入“选择服务器”对话框,在“服务器”栏中输入要进行安全配置的Windows Server 2003服务器的机器名或IP地址,点击“下一步”按钮后,“安全配置向导”会处理安全配置数据库。
接着就进入到“基于角色的服务配置”对话框。在基于角色的服务配置中,可以对Windows Server 2003服务器角色、客户端角色、系统服务、应用程序,以及管理选项等内容进行配置。
所谓服务器“角色”,其实就是提供各种服务的Windows Server 2003服务器,如文件服务器、打印服务器、DNS服务器和DHCP服务器等 , 一个Windows Server 2003服务器可以只提供一种服务器“角色”,也可以扮演多种服务器角色。点击“下一步”按钮后,就进入到“选择服务器角色”配置对话框,这时需要在“服务器角色列表框”中勾选你的Windows Server 2003服务器所扮演的角色。
注意:为了保证服务器的安全,只勾选你所需要的服务器角色即可,选择多余的服务器角色选项,会增加Windows Server 2003系统的安全隐患。如笔者的Windows Server 2003服务器只是作为文件服务器使用,这时只要选择“文件服务器”选项即可。
进入“选择客户端功能”标签页,来配置Windows Server 2003服务器支持的“客户端功能”,其实Windows Server 2003服务器的客户端功能也很好理解,服务器在提供各种网络服务的同时,也需要一些客户端功能的支持才行,如Microsoft网络客户端、DHCP客户端和FTP客户端等。根据需要,在列表框中勾选你所需的客户端功能即可,同样,对于不需要的客户端功能选项,建议你一定要取消对它的选择。
接下来进入到“选择管理和其它选项”对话框,在这里选择你需要的一些Windows Server 2003系统提供的管理和服务功能,操作方法是一样的,只要在列表框中勾选你需要的管理选项即可。点击“下一步”后,还要配置一些Windows Server 2003系统的额外服务,这些额外服务一般都是第三方软件提供的服务。
然后进入到“处理未指定的服务”对话框,这里“未指定服务”是指,如果此安全策略文件被应用到其它Windows Server 2003服务器中,而这个服务器中提供的一些服务没有在安全配置数据库中列出,那么这些没被列出的服务该在什么状态下运行呢?在这里就可以指定它们的运行状态,建议大家选中“不更改此服务的启用模式”单选项。最后进入到“确认服务更改”对话框,对你的配置进行最终确认后,就完成了基于角色的服务配置。
3.配置网络安全
以上完成了基于角色的服务配置。但Windows Server 2003服务器包含的各种服务,都是通过某个或某些端口来提供服务内容的,为了保证服务器的安全,Windows防火墙默认是不会开放这些服务端口的。下面就可以通过“网络安全”配置向导开放各项服务所需的端口,这种向导化配置过程与手工配置Windows防火墙相比,更加简单、方便和安全。
在“网络安全”对话框中,要开放选中的服务器角色,Windows Server 2003系统提供的管理功能以及第三方软件提供的服务所使用的端口。点击“下一步”按钮后,在“打开端口并允许应用程序”对话框中开放所需的端口,如FTP服务器所需的“20和21”端口,IIS服务所需的“80”端口等,这里要切记“最小化”原则,只要在列表框中选择要必须开放的端口选项即可,最后确认端口配置,这里要注意:其它不需要使用的端口,建议大家不要开放,以免给Windows Server 2003服务器造成安全隐患。
4.注册表设置
Windows Server 2003服务器在网络中为用户提供各种服务,但用户与服务器的通信中很有可能包含“不怀好意”的访问,如黑客和病毒攻击。如何保证服务器的安全,最大限度地限制非法用户访问,通过“注册表设置”向导就能轻松实现。
利用注册表设置向导,修改Windows Server 2003服务器注册表中某些特殊的键值,来严格限制用户的访问权限。用户只要根据设置向导提示,以及服务器的服务需要,分别对“要求SMB安全签名”、“出站身份验证方法”、“入站身份验证方法”进行严格设置,就能最大限度保证Windows Server 2003服务器的安全运行,并且免去手工修改注册表的麻烦。
5.启用“审核策略”
聪明的网管会利用日志功能来分析服务器的运行状况,因此适当的启用审核策略是非常重要的。SCW功能也充分的考虑到这些,利用向导化的操作就能轻松启用审核策略。
在“系统审核策略”配置对话框中要合理选择审核目标,毕竟日志记录过多的事件会影响服务器的性能,因此建议用户选择“审核成功的操作”选项。当然如果有特殊需要,也可以选择其它选项。如“不审核”或“审核成功或不成功的操作”选项。
6.增强IIS安全
IIS服务器是网络中最为广泛应用的一种服务,也是Windows系统中最易受攻击的服务。如何来保证IIS服务器的安全运行,最大限度免受黑客和病毒的攻击,这也是SCW功能要解决的一个问题。利用“安全配置向导”可以轻松的增强IIS服务器的安全,保证其稳定、安全运行。
在“Internet信息服务”配置对话框中,通过配置向导,来选择你要启用的Web服务扩展、要保持的虚拟目录,以及设置匿名用户对内容文件的写权限。这样IIS服务器的安全性就大大增强。
小提示:如果你的Windows Server 2003服务器没有安装、运行IIS服务,则在SCW配置过程中不会出现IIS安全配置部分。
完成以上几步配置后,进入到保存安全策略对话框,首先在“安全策略文件名”对话框中为你配置的安全策略起个名字,最后在“应用安全策略”对话框中选择“现在应用”选项,使配置的安全策略立即生效。
利用SCW增强Windows Server 2003服务器的安全性能就这么简单,所有的参数配置都是通过向导化对话框完成的,免去了手工繁琐的配置过程,SCW功能的确是安全性和易用性有效的结合点。如果你的Windows Server 2003系统已经安装了SP1补丁包,不妨试试SCW吧!
九大措施安全配置SQLServer2000数据库
[ 2007-03-25 03:59:32 | 作者: sun ]
数据库是电子商务、金融以及ERP系统的基础,通常都保存着重要的商业伙伴和客户信息。大多数企业、组织以及政府部门的电子数据都保存在各种数据库中,他们用这些数据库保存一些个人资料,比如员工薪水、个人资料等等。数据库服务器还掌握着敏感的金融数据。包括交易记录、商业事务和帐号数据,战略上的或者专业的信息,比如专利和工程数据,甚至市场计划等等应该保护起来防止竞争者和其他非法者获取的资料。数据完整性和合法存取会受到很多方面的安全威胁,包括密码策略、系统后门、数据库操作以及本身的安全方案。但是数据库通常没有象操作系统和网络这样在安全性上受到重视。
微软的SQL Server是一种广泛使用的数据库,很多电子商务网站、企业内部信息化平台等都是基于SQL Server上的,但是数据库的安全性还没有被人们更系统的安全性等同起来,多数管理员认为只要把网络和操作系统的安全搞好了,那么所有的应用程序也就安全了。大多数系统管理员对数据库不熟悉而数据库管理员有对安全问题关心太少,而且一些安全公司也忽略数据库安全,这就使数据库的安全问题更加严峻了。数据库系统中存在的安全漏洞和不当的配置通常会造成严重的后果,而且都难以发现。数据库应用程序通常同操作系统的最高管理员密切相关。广泛SQL Server数据库又是属于“端口”型的数据库,这就表示任何人都能够用分析工具试图连接到数据库上,从而绕过操作系统的安全机制,进而闯入系统、破坏和窃取数据资料,甚至破坏整个系统。
这里,我们主要谈论有关SQL Server2000数据库的安全配置以及一些相关的安全和使用上的问题。
在进行SQL Server 2000数据库的安全配置之前,首先你必须对操作系统进行安全配置,保证你的操作系统处于安全状态。然后对你要使用的操作数据库软件(程序)进行必要的安全审核,比如对ASP、PHP等脚本,这是很多基于数据库的WEB应用常出现的安全隐患,对于脚本主要是一个过滤问题,需要过滤一些类似 , ‘ ; @ / 等字符,防止破坏者构造恶意的SQL语句。接着,安装SQL Server2000后请打上补丁sp1以及最新的sp2。
下载地址是:http://www.microsoft.com/sql/downloads/2000/sp1.asp 和 http://www.microsoft.com/sql/downloads/2000/sp2.asp
在做完上面三步基础之后,我们再来讨论SQL Server的安全配置。
1、使用安全的密码策略
我们把密码策略摆在所有安全配置的第一步,请注意,很多数据库帐号的密码过于简单,这跟系统密码过于简单是一个道理。对于sa更应该注意,同时不要让sa帐号的密码写于应用程序或者脚本中。健壮的密码是安全的第一步!
SQL Server2000安装的时候,如果是使用混合模式,那么就需要输入sa的密码,除非你确认必须使用空密码。这比以前的版本有所改进。
同时养成定期修改密码的好习惯。数据库管理员应该定期查看是否有不符合密码要求的帐号。比如使用下面的SQL语句:
Use master
Select name,Password from syslogins where password is null
2、使用安全的帐号策略
由于SQL Server不能更改sa用户名称,也不能删除这个超级用户,所以,我们必须对这个帐号进行最强的保护,当然,包括使用一个非常强壮的密码,最好不要在数据库应用中使用sa帐号,只有当没有其它方法登录到 SQL Server 实例(例如,当其它系统管理员不可用或忘记了密码)时才使用 sa。建议数据库管理员新建立一个拥有与sa一样权限的超级用户来管理数据库。安全的帐号策略还包括不要让管理员权限的帐号泛滥。
SQL Server的认证模式有Windows身份认证和混合身份认证两种。如果数据库管理员不希望操作系统管理员来通过操作系统登陆来接触数据库的话,可以在帐号管理中把系统帐号“BUILTINAdministrators”删除。不过这样做的结果是一旦sa帐号忘记密码的话,就没有办法来恢复了。
很多主机使用数据库应用只是用来做查询、修改等简单功能的,请根据实际需要分配帐号,并赋予仅仅能够满足应用要求和需要的权限。比如,只要查询功能的,那么就使用一个简单的public帐号能够select就可以了。
3、加强数据库日志的记录
审核数据库登录事件的“失败和成功”,在实例属性中选择“安全性”,将其中的审核级别选定为全部,这样在数据库系统和操作系统日志里面,就详细记录了所有帐号的登录事件。
请定期查看SQL Server日志检查是否有可疑的登录事件发生,或者使用DOS命令。
findstr /C:"登录" d:Microsoft SQL ServerMSSQLLOG*.*
4、管理扩展存储过程
对存储过程进行大手术,并且对帐号调用扩展存储过程的权限要慎重。其实在多数应用中根本用不到多少系统的存储过程,而SQL Server的这么多系统存储过程只是用来适应广大用户需求的,所以请删除不必要的存储过程,因为有些系统的存储过程能很容易地被人利用起来提升权限或进行破坏。
如果你不需要扩展存储过程xp_cmdshell请把它去掉。使用这个SQL语句:
use master
sp_dropextendedproc 'xp_cmdshell'
xp_cmdshell是进入操作系统的最佳捷径,是数据库留给操作系统的一个大后门。如果你需要这个存储过程,请用这个语句也可以恢复过来。
sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
如果你不需要请丢弃OLE自动存储过程(会造成管理器中的某些特征不能使用),这些过程包括如下:
Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty
Sp_OAMethod Sp_OASetProperty Sp_OAStop
去掉不需要的注册表访问的存储过程,注册表存储过程甚至能够读出操作系统管理员的密码来,如下:
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues
Xp_regread Xp_regremovemultistring Xp_regwrite
还有一些其他的扩展存储过程,你也最好检查检查。
在处理存储过程的时候,请确认一下,避免造成对数据库或应用程序的伤害。
5、使用协议加密
SQL Server 2000使用的Tabular Data Stream协议来进行网络数据交换,如果不加密的话,所有的网络传输都是明文的,包括密码、数据库内容等等,这是一个很大的安全威胁。能被人在网络中截获到他们需要的东西,包括数据库帐号和密码。所以,在条件容许情况下,最好使用SSL来加密协议,当然,你需要一个证书来支持。
6、不要让人随便探测到你的TCP/IP端口
默认情况下,SQL Server使用1433端口监听,很多人都说SQL Server配置的时候要把这个端口改变,这样别人就不能很容易地知道使用的什么端口了。可惜,通过微软未公开的1434端口的UDP探测可以很容易知道SQL Server使用的什么TCP/IP端口了。
不过微软还是考虑到了这个问题,毕竟公开而且开放的端口会引起不必要的麻烦。在实例属性中选择TCP/IP协议的属性。选择隐藏 SQL Server 实例。如果隐藏了 SQL Server 实例,则将禁止对试图枚举网络上现有的 SQL Server 实例的客户端所发出的广播作出响应。这样,别人就不能用1434来探测你的TCP/IP端口了(除非用Port Scan)。
7、修改TCP/IP使用的端口
请在上一步配置的基础上,更改原默认的1433端口。在实例属性中选择网络配置中的TCP/IP协议的属性,将TCP/IP使用的默认端口变为其他端口。
8、拒绝来自1434端口的探测
由于1434端口探测没有限制,能够被别人探测到一些数据库信息,而且还可能遭到DOS攻击让数据库服务器的CPU负荷增大,所以对Windows 2000操作系统来说,在IPSec过滤拒绝掉1434端口的UDP通讯,可以尽可能地隐藏你的SQL Server。
9、对网络连接进行IP限制
SQL Server 2000数据库系统本身没有提供网络连接的安全解决办法,但是Windows 2000提供了这样的安全机制。使用操作系统自己的IPSec可以实现IP数据包的安全性。请对IP连接进行限制,只保证自己的IP能够访问,也拒绝其他IP进行的端口连接,把来自网络上的安全威胁进行有效的控制。
关于IPSec的使用请参看:http://www.microsoft.com/china/technet/security/ipsecloc.asp
上面主要介绍的一些SQL Server的安全配置,经过以上的配置,可以让SQL Server本身具备足够的安全防范能力。当然,更主要的还是要加强内部的安全控制和管理员的安全培训,而且安全性问题是一个长期的解决过程,还需要以后进行更多的安全维护。
微软的SQL Server是一种广泛使用的数据库,很多电子商务网站、企业内部信息化平台等都是基于SQL Server上的,但是数据库的安全性还没有被人们更系统的安全性等同起来,多数管理员认为只要把网络和操作系统的安全搞好了,那么所有的应用程序也就安全了。大多数系统管理员对数据库不熟悉而数据库管理员有对安全问题关心太少,而且一些安全公司也忽略数据库安全,这就使数据库的安全问题更加严峻了。数据库系统中存在的安全漏洞和不当的配置通常会造成严重的后果,而且都难以发现。数据库应用程序通常同操作系统的最高管理员密切相关。广泛SQL Server数据库又是属于“端口”型的数据库,这就表示任何人都能够用分析工具试图连接到数据库上,从而绕过操作系统的安全机制,进而闯入系统、破坏和窃取数据资料,甚至破坏整个系统。
这里,我们主要谈论有关SQL Server2000数据库的安全配置以及一些相关的安全和使用上的问题。
在进行SQL Server 2000数据库的安全配置之前,首先你必须对操作系统进行安全配置,保证你的操作系统处于安全状态。然后对你要使用的操作数据库软件(程序)进行必要的安全审核,比如对ASP、PHP等脚本,这是很多基于数据库的WEB应用常出现的安全隐患,对于脚本主要是一个过滤问题,需要过滤一些类似 , ‘ ; @ / 等字符,防止破坏者构造恶意的SQL语句。接着,安装SQL Server2000后请打上补丁sp1以及最新的sp2。
下载地址是:http://www.microsoft.com/sql/downloads/2000/sp1.asp 和 http://www.microsoft.com/sql/downloads/2000/sp2.asp
在做完上面三步基础之后,我们再来讨论SQL Server的安全配置。
1、使用安全的密码策略
我们把密码策略摆在所有安全配置的第一步,请注意,很多数据库帐号的密码过于简单,这跟系统密码过于简单是一个道理。对于sa更应该注意,同时不要让sa帐号的密码写于应用程序或者脚本中。健壮的密码是安全的第一步!
SQL Server2000安装的时候,如果是使用混合模式,那么就需要输入sa的密码,除非你确认必须使用空密码。这比以前的版本有所改进。
同时养成定期修改密码的好习惯。数据库管理员应该定期查看是否有不符合密码要求的帐号。比如使用下面的SQL语句:
Use master
Select name,Password from syslogins where password is null
2、使用安全的帐号策略
由于SQL Server不能更改sa用户名称,也不能删除这个超级用户,所以,我们必须对这个帐号进行最强的保护,当然,包括使用一个非常强壮的密码,最好不要在数据库应用中使用sa帐号,只有当没有其它方法登录到 SQL Server 实例(例如,当其它系统管理员不可用或忘记了密码)时才使用 sa。建议数据库管理员新建立一个拥有与sa一样权限的超级用户来管理数据库。安全的帐号策略还包括不要让管理员权限的帐号泛滥。
SQL Server的认证模式有Windows身份认证和混合身份认证两种。如果数据库管理员不希望操作系统管理员来通过操作系统登陆来接触数据库的话,可以在帐号管理中把系统帐号“BUILTINAdministrators”删除。不过这样做的结果是一旦sa帐号忘记密码的话,就没有办法来恢复了。
很多主机使用数据库应用只是用来做查询、修改等简单功能的,请根据实际需要分配帐号,并赋予仅仅能够满足应用要求和需要的权限。比如,只要查询功能的,那么就使用一个简单的public帐号能够select就可以了。
3、加强数据库日志的记录
审核数据库登录事件的“失败和成功”,在实例属性中选择“安全性”,将其中的审核级别选定为全部,这样在数据库系统和操作系统日志里面,就详细记录了所有帐号的登录事件。
请定期查看SQL Server日志检查是否有可疑的登录事件发生,或者使用DOS命令。
findstr /C:"登录" d:Microsoft SQL ServerMSSQLLOG*.*
4、管理扩展存储过程
对存储过程进行大手术,并且对帐号调用扩展存储过程的权限要慎重。其实在多数应用中根本用不到多少系统的存储过程,而SQL Server的这么多系统存储过程只是用来适应广大用户需求的,所以请删除不必要的存储过程,因为有些系统的存储过程能很容易地被人利用起来提升权限或进行破坏。
如果你不需要扩展存储过程xp_cmdshell请把它去掉。使用这个SQL语句:
use master
sp_dropextendedproc 'xp_cmdshell'
xp_cmdshell是进入操作系统的最佳捷径,是数据库留给操作系统的一个大后门。如果你需要这个存储过程,请用这个语句也可以恢复过来。
sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
如果你不需要请丢弃OLE自动存储过程(会造成管理器中的某些特征不能使用),这些过程包括如下:
Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty
Sp_OAMethod Sp_OASetProperty Sp_OAStop
去掉不需要的注册表访问的存储过程,注册表存储过程甚至能够读出操作系统管理员的密码来,如下:
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues
Xp_regread Xp_regremovemultistring Xp_regwrite
还有一些其他的扩展存储过程,你也最好检查检查。
在处理存储过程的时候,请确认一下,避免造成对数据库或应用程序的伤害。
5、使用协议加密
SQL Server 2000使用的Tabular Data Stream协议来进行网络数据交换,如果不加密的话,所有的网络传输都是明文的,包括密码、数据库内容等等,这是一个很大的安全威胁。能被人在网络中截获到他们需要的东西,包括数据库帐号和密码。所以,在条件容许情况下,最好使用SSL来加密协议,当然,你需要一个证书来支持。
6、不要让人随便探测到你的TCP/IP端口
默认情况下,SQL Server使用1433端口监听,很多人都说SQL Server配置的时候要把这个端口改变,这样别人就不能很容易地知道使用的什么端口了。可惜,通过微软未公开的1434端口的UDP探测可以很容易知道SQL Server使用的什么TCP/IP端口了。
不过微软还是考虑到了这个问题,毕竟公开而且开放的端口会引起不必要的麻烦。在实例属性中选择TCP/IP协议的属性。选择隐藏 SQL Server 实例。如果隐藏了 SQL Server 实例,则将禁止对试图枚举网络上现有的 SQL Server 实例的客户端所发出的广播作出响应。这样,别人就不能用1434来探测你的TCP/IP端口了(除非用Port Scan)。
7、修改TCP/IP使用的端口
请在上一步配置的基础上,更改原默认的1433端口。在实例属性中选择网络配置中的TCP/IP协议的属性,将TCP/IP使用的默认端口变为其他端口。
8、拒绝来自1434端口的探测
由于1434端口探测没有限制,能够被别人探测到一些数据库信息,而且还可能遭到DOS攻击让数据库服务器的CPU负荷增大,所以对Windows 2000操作系统来说,在IPSec过滤拒绝掉1434端口的UDP通讯,可以尽可能地隐藏你的SQL Server。
9、对网络连接进行IP限制
SQL Server 2000数据库系统本身没有提供网络连接的安全解决办法,但是Windows 2000提供了这样的安全机制。使用操作系统自己的IPSec可以实现IP数据包的安全性。请对IP连接进行限制,只保证自己的IP能够访问,也拒绝其他IP进行的端口连接,把来自网络上的安全威胁进行有效的控制。
关于IPSec的使用请参看:http://www.microsoft.com/china/technet/security/ipsecloc.asp
上面主要介绍的一些SQL Server的安全配置,经过以上的配置,可以让SQL Server本身具备足够的安全防范能力。当然,更主要的还是要加强内部的安全控制和管理员的安全培训,而且安全性问题是一个长期的解决过程,还需要以后进行更多的安全维护。
杀死威金变种病毒,挽救硬盘数据
[ 2007-03-25 03:59:17 | 作者: sun ]
近来,威金变种病毒肆虐,不少人中招后被迫格式化所有分区,苦心保存的数据毁于一旦。
中了这种病毒的特征是:系统响应缓慢,玩网络游戏时会自动退出,硬盘里的EXE文件图标会变“花”;到dos下用ghost恢复系统失败;如果不全盘格式化,重装系统也不能解决问题。
今天有幸遇到感染此种病毒的电脑,在机主几乎绝望的情况下清除了病毒,挽救了他多年积累的数据。
现在,偶把此次杀毒的过程贴上来,供遇到类似问题的网友参考。
清除病毒的步骤如下:
一、结束病毒进程,删除病毒的启动项。
1、开机按F8键,进安全模式;
2、按Ctrl+Alt+Del打开“任务管理器”,结束Logo1和Rundll32进程;
3、我的电脑→属性→系统还原,勾选“在所有驱动器上关闭系统还原”,“确定”;(如果原来已经关闭了系统还原,这一步可略)
4、右击“我的电脑”→资源管理器→工具→文件夹选项→查看,去掉“隐藏受保护的操作系统(推荐)”前面的√,选“显示所有文件和文件夹”;
在左边“文件夹”框中依次点Documents and Settings→用户帐户名→Local Settings→Temp;
用鼠标点一下右边的任何地方,再点“编辑”→全部选定,然后按Shift+Delete来删除TEMP文件夹下的所有文件。
5、开始→运行,键入msconfig,打开“系统配置实用程序”界面,点“启动”,找出可疑的启动项,如“命令”项有windows\rundll32.exe、windows\logo1.exe,windows\down\rundll32.exe等的启动项;再回到第4步里的“资源管理器”界面,找到rundll32.exe、logo1.exe并删除;
6、再运行regedit打开注册表,编辑→查找,键入run,并勾选“全字匹配”,然后开始查找,如果看到run项中有可疑的、指向上述病毒的键值,则删除该键(注意:不是删除run项),按F3继续查找,删除与病毒有关的键,直至查找完毕;
7、点“开始”→搜索→文件或文件夹→所有文件和文件夹,最大化窗口,文件名栏填“_desktop.ini” , “更多高级选项”中勾选“搜索系统文件夹”、“搜索隐藏的文件和文件夹”、“搜索子文件夹” ,然后点“搜索”,搜索完后,单击“编辑”→全部选定,再按Shift+Delete删除所有找到的“_desktop.ini文件。
经过上述处理后,即使重启系统,病毒一般不会随系统而启动了。为了保险起见,可以在第5步中点“服务”,勾选“隐藏所有Microsoft服务”,把所有项目前面的√去掉(如果是杀毒软件的,到系统正常后再恢复就可以了);
二、下载专杀工具,清除病毒,挽救硬盘数据
重启系统,再次按F8键,选“带网络的安全模式”(正常启动也可以,但为保险起见,还是进入安全模式),打开IE,登录“江民(www.jiangmin.com)网站”或“瑞星(www.rising.com.cn)网站”,下载威金专杀工具,保存到“桌面”或其它地方,下载完后,运行它,便进入了清除病毒的过程。
过一段时间后,病毒就清除完毕。再重启系统,系统就正常了,所有EXE文件也可以用了。
再强调一下,上述是有关“威金变种病毒”的查杀方法,很多人可能同时也中了其它病毒,因此,建议在处理“威金变种病毒”后,安装杀毒软件,升级病毒库,进行全盘杀毒。
中了这种病毒的特征是:系统响应缓慢,玩网络游戏时会自动退出,硬盘里的EXE文件图标会变“花”;到dos下用ghost恢复系统失败;如果不全盘格式化,重装系统也不能解决问题。
今天有幸遇到感染此种病毒的电脑,在机主几乎绝望的情况下清除了病毒,挽救了他多年积累的数据。
现在,偶把此次杀毒的过程贴上来,供遇到类似问题的网友参考。
清除病毒的步骤如下:
一、结束病毒进程,删除病毒的启动项。
1、开机按F8键,进安全模式;
2、按Ctrl+Alt+Del打开“任务管理器”,结束Logo1和Rundll32进程;
3、我的电脑→属性→系统还原,勾选“在所有驱动器上关闭系统还原”,“确定”;(如果原来已经关闭了系统还原,这一步可略)
4、右击“我的电脑”→资源管理器→工具→文件夹选项→查看,去掉“隐藏受保护的操作系统(推荐)”前面的√,选“显示所有文件和文件夹”;
在左边“文件夹”框中依次点Documents and Settings→用户帐户名→Local Settings→Temp;
用鼠标点一下右边的任何地方,再点“编辑”→全部选定,然后按Shift+Delete来删除TEMP文件夹下的所有文件。
5、开始→运行,键入msconfig,打开“系统配置实用程序”界面,点“启动”,找出可疑的启动项,如“命令”项有windows\rundll32.exe、windows\logo1.exe,windows\down\rundll32.exe等的启动项;再回到第4步里的“资源管理器”界面,找到rundll32.exe、logo1.exe并删除;
6、再运行regedit打开注册表,编辑→查找,键入run,并勾选“全字匹配”,然后开始查找,如果看到run项中有可疑的、指向上述病毒的键值,则删除该键(注意:不是删除run项),按F3继续查找,删除与病毒有关的键,直至查找完毕;
7、点“开始”→搜索→文件或文件夹→所有文件和文件夹,最大化窗口,文件名栏填“_desktop.ini” , “更多高级选项”中勾选“搜索系统文件夹”、“搜索隐藏的文件和文件夹”、“搜索子文件夹” ,然后点“搜索”,搜索完后,单击“编辑”→全部选定,再按Shift+Delete删除所有找到的“_desktop.ini文件。
经过上述处理后,即使重启系统,病毒一般不会随系统而启动了。为了保险起见,可以在第5步中点“服务”,勾选“隐藏所有Microsoft服务”,把所有项目前面的√去掉(如果是杀毒软件的,到系统正常后再恢复就可以了);
二、下载专杀工具,清除病毒,挽救硬盘数据
重启系统,再次按F8键,选“带网络的安全模式”(正常启动也可以,但为保险起见,还是进入安全模式),打开IE,登录“江民(www.jiangmin.com)网站”或“瑞星(www.rising.com.cn)网站”,下载威金专杀工具,保存到“桌面”或其它地方,下载完后,运行它,便进入了清除病毒的过程。
过一段时间后,病毒就清除完毕。再重启系统,系统就正常了,所有EXE文件也可以用了。
再强调一下,上述是有关“威金变种病毒”的查杀方法,很多人可能同时也中了其它病毒,因此,建议在处理“威金变种病毒”后,安装杀毒软件,升级病毒库,进行全盘杀毒。
