“熊猫烧香”泛滥 杀毒厂商积极应对
[ 2007-03-25 03:18:28 | 作者: sun ]
通过网络在线杀毒;重启系统到带网络连接的安全模式,升级杀毒软件后杀毒;通过手动修改注册表杀毒……一时间,杀毒厂商的专家们针对“熊猫烧香”病毒,提供了众多的查杀办法。
很难想象一只可爱的小熊猫点燃着三根香竟然是一种病毒的图标,可是互联网就是这样让人意想不到,什么事情都可能发生。受前段时间台湾地区地震引发断网事件的影响,一些国外杀毒产品的病毒库无法更新,导致使用国外杀毒产品的用户无法对新出病毒做到有效防范,“熊猫烧香”病毒乘虚进入,国内网民苦不堪言。
“熊猫烧香”病毒传播迅速
小张是个忠实的网民,每天他都会借助网络浏览新闻。前几天,小张照常打开他熟悉的一个网站链接,顺着路径进入了一个页面,网站自动给他下载了一个程序,页面上一个熊猫点燃三根香的图标引起了小张的注意,好奇心驱使小张双击了鼠标,接下来小张的机器上所有的网页文件尾部都添加了熊猫烧香图标(.exe)代码,大量的应用软件无法使用,机器不断重启。后来,小张才知道自己的机器染上了“熊猫烧香”病毒,由于没有专门的查杀工具,小张的机器彻底瘫痪了。
“熊猫烧香”的病毒不止在小张的电脑上发作,他的许多同事都遭遇了相同情况。据悉,目前多家网站均遭到“熊猫烧香”的攻击,相继被植入病毒。同时,由于这些网站的浏览量非常大,致使“熊猫烧香”病毒传播迅速。据了解,目前该病毒已经把矛头对准了企业和政府网站,相关资料显示,中毒的企业和政府网站已经超过千家,其中不乏金融、税务、能源等关系到国计民生的重要部门。
瑞星公司杀毒专家王占涛表示,“熊猫烧香”其实是“尼姆亚”病毒的新变种,最早出现在2006年11月,到目前为止已经有数十个不同变种。该病毒的问题原本在2006年12月通过众多杀毒公司提供的杀毒软件升级已经解决,但由于“熊猫烧香”是一系列病毒的统称,其生命力惊人,经过一段时间仍然没有死绝,很多用户“中病毒”以后用杀毒软件根本杀不死它,只能忍痛删除硬盘里所有的程序文件。
“除了通过网站带毒感染用户之外,此病毒还会在局域网中传播,在极短时间之内就可以感染几千台计算机,严重时可以导致网络瘫痪。中毒电脑会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。”王占涛介绍说。
众厂商提供解决方案
针对“熊猫烧香”病毒危害网络安全的现象,国内众多杀毒厂商纷纷推出最新的解决方案查杀该病毒。
“要杀掉病毒,专杀工具是最好的办法。”金山公司信息安全事业部技术工程师李铁军表示,他们已经研制出最新的专杀工具,能处理已知变种,并具备免疫功能,只要用户使用了该公司的杀毒软件,就能对“熊猫烧香”病毒起到免疫功能。王占涛表示,专杀工具针对性强,效果最明显,杀毒率在99%以上。
“江民公司也在第一时间推出了专杀工具,该病毒数据已被我们掌握了,推出专杀工具能起到很好的作用。”江民公司一位姓张的专家表示。
“通过网络在线杀毒可以收到奇效;重启系统到带网络连接的安全模式下,升级杀毒软件后可以杀毒;通过手动修改注册表也可以杀毒。”一时间,杀毒厂商的专家们给记者介绍了许多查杀该病毒的办法。
王占涛说,“熊猫烧香”病毒与其他病毒的差别就在于传播方式不同,杀毒公司有信心面对这样的考验。
“最重要的还是要安装杀毒软件,并在上网时打开网页实时监控病毒,同时不要进入一些陌生的网站,不要下载一些不明文件,这样就能离病毒远点。”李铁军认为。
专家们认为,病毒其实并不可怕,只要多加防范就能免受其害。
清除病毒
需要全社会一起努力
既然预防病毒的侵害比杀毒更为重要,杀毒厂商杀毒多年了,推出了那么多种杀毒工具,为什么在网络上还会不定期的冒出这么多病毒,难道杀毒公司只能这样被动杀毒吗?
“这就跟警察抓贼一样,只有贼实施了犯罪行为,偷了东西,警察才能去抓他。”王占涛表示,其实杀毒厂商也很无奈,他们不可能抢先去制止毒源,只能等到“毒发”时才能去“医治”。
“但这并不是说我们就没办法,每种病毒爆发都有它的潜伏期,在潜伏期我们就能提前研究对策,等病毒爆发时我们就能使它的危害性减到最小。”李铁军认为。
“我们已经存储了一个巨大的毒库,这些毒源总是万变不离其宗,我们一定会有办法对付它们。”江民公司的张姓专家显得信心十足。
一些业内人士认为,找出毒源抓住制造病毒的人才是消灭网络病毒的根本所在。这需要法律制度的完善,不给那些犯罪分子有机可乘。同时,还需规范网络制度,全社会一起营造一个安全、稳定的网络环境。
“网络犯罪取证难,国家在这方面的监管打击力度不够,也是病毒如此嚣张的主要原因之一。”李铁军认为,杀毒厂商只能做好查杀病毒的事情,给互联网提供一个安全、清洁的环境,更重要的是有关部门须采取措施保护网络安全。
很难想象一只可爱的小熊猫点燃着三根香竟然是一种病毒的图标,可是互联网就是这样让人意想不到,什么事情都可能发生。受前段时间台湾地区地震引发断网事件的影响,一些国外杀毒产品的病毒库无法更新,导致使用国外杀毒产品的用户无法对新出病毒做到有效防范,“熊猫烧香”病毒乘虚进入,国内网民苦不堪言。
“熊猫烧香”病毒传播迅速
小张是个忠实的网民,每天他都会借助网络浏览新闻。前几天,小张照常打开他熟悉的一个网站链接,顺着路径进入了一个页面,网站自动给他下载了一个程序,页面上一个熊猫点燃三根香的图标引起了小张的注意,好奇心驱使小张双击了鼠标,接下来小张的机器上所有的网页文件尾部都添加了熊猫烧香图标(.exe)代码,大量的应用软件无法使用,机器不断重启。后来,小张才知道自己的机器染上了“熊猫烧香”病毒,由于没有专门的查杀工具,小张的机器彻底瘫痪了。
“熊猫烧香”的病毒不止在小张的电脑上发作,他的许多同事都遭遇了相同情况。据悉,目前多家网站均遭到“熊猫烧香”的攻击,相继被植入病毒。同时,由于这些网站的浏览量非常大,致使“熊猫烧香”病毒传播迅速。据了解,目前该病毒已经把矛头对准了企业和政府网站,相关资料显示,中毒的企业和政府网站已经超过千家,其中不乏金融、税务、能源等关系到国计民生的重要部门。
瑞星公司杀毒专家王占涛表示,“熊猫烧香”其实是“尼姆亚”病毒的新变种,最早出现在2006年11月,到目前为止已经有数十个不同变种。该病毒的问题原本在2006年12月通过众多杀毒公司提供的杀毒软件升级已经解决,但由于“熊猫烧香”是一系列病毒的统称,其生命力惊人,经过一段时间仍然没有死绝,很多用户“中病毒”以后用杀毒软件根本杀不死它,只能忍痛删除硬盘里所有的程序文件。
“除了通过网站带毒感染用户之外,此病毒还会在局域网中传播,在极短时间之内就可以感染几千台计算机,严重时可以导致网络瘫痪。中毒电脑会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。”王占涛介绍说。
众厂商提供解决方案
针对“熊猫烧香”病毒危害网络安全的现象,国内众多杀毒厂商纷纷推出最新的解决方案查杀该病毒。
“要杀掉病毒,专杀工具是最好的办法。”金山公司信息安全事业部技术工程师李铁军表示,他们已经研制出最新的专杀工具,能处理已知变种,并具备免疫功能,只要用户使用了该公司的杀毒软件,就能对“熊猫烧香”病毒起到免疫功能。王占涛表示,专杀工具针对性强,效果最明显,杀毒率在99%以上。
“江民公司也在第一时间推出了专杀工具,该病毒数据已被我们掌握了,推出专杀工具能起到很好的作用。”江民公司一位姓张的专家表示。
“通过网络在线杀毒可以收到奇效;重启系统到带网络连接的安全模式下,升级杀毒软件后可以杀毒;通过手动修改注册表也可以杀毒。”一时间,杀毒厂商的专家们给记者介绍了许多查杀该病毒的办法。
王占涛说,“熊猫烧香”病毒与其他病毒的差别就在于传播方式不同,杀毒公司有信心面对这样的考验。
“最重要的还是要安装杀毒软件,并在上网时打开网页实时监控病毒,同时不要进入一些陌生的网站,不要下载一些不明文件,这样就能离病毒远点。”李铁军认为。
专家们认为,病毒其实并不可怕,只要多加防范就能免受其害。
清除病毒
需要全社会一起努力
既然预防病毒的侵害比杀毒更为重要,杀毒厂商杀毒多年了,推出了那么多种杀毒工具,为什么在网络上还会不定期的冒出这么多病毒,难道杀毒公司只能这样被动杀毒吗?
“这就跟警察抓贼一样,只有贼实施了犯罪行为,偷了东西,警察才能去抓他。”王占涛表示,其实杀毒厂商也很无奈,他们不可能抢先去制止毒源,只能等到“毒发”时才能去“医治”。
“但这并不是说我们就没办法,每种病毒爆发都有它的潜伏期,在潜伏期我们就能提前研究对策,等病毒爆发时我们就能使它的危害性减到最小。”李铁军认为。
“我们已经存储了一个巨大的毒库,这些毒源总是万变不离其宗,我们一定会有办法对付它们。”江民公司的张姓专家显得信心十足。
一些业内人士认为,找出毒源抓住制造病毒的人才是消灭网络病毒的根本所在。这需要法律制度的完善,不给那些犯罪分子有机可乘。同时,还需规范网络制度,全社会一起营造一个安全、稳定的网络环境。
“网络犯罪取证难,国家在这方面的监管打击力度不够,也是病毒如此嚣张的主要原因之一。”李铁军认为,杀毒厂商只能做好查杀病毒的事情,给互联网提供一个安全、清洁的环境,更重要的是有关部门须采取措施保护网络安全。
十大绝招制服顽劣的间谍软件
[ 2007-03-25 03:17:58 | 作者: sun ]
最新的调查报告显示了反间谍软件软件工具的不足,“间谍”仍在网络上肆无忌惮地活动。但也不必垂头丧气,学习并遵循以下的十招办法,间谍软件将对你束手无策。
有的时候,真理和善良总是受到伤害,我们刚刚在反垃圾资讯中心"邮件上取得了一些进展,然而,间谍软件却又将填补这项空白。未来几年里,你将不得不耗费宝贵的时间,在工作中、在家里与间谍软件作斗争。
虽然市面上有数十种新的反间谍软件工具供我们使用,而且这些资讯中心"程序确实很有帮助,但是,运行反间谍软件实用程序只是解决方案的一部分,还有很多其他事情需要你做,请按照我们提供的10个步骤指南开始行动吧。
1.了解你的敌人
如果天真地把间谍软件定义为Web网站留下来的小cookie文件的话,那么你的挫折将永无止境。所有类型的变脸软件(Scumware)都将为你带来不幸,主要的四大类型是:
间谍软件(Spyware)是一种可以秘密地收集有关你计算机信息的软件,并可能向未知网站发送数据,包括“键盘记录软件”或“按键捕获寄生虫”(不要与“恶意软件(malware)”混淆,恶意软件包括病毒、蠕虫和特洛伊木马程序)。
广告软件(Adware):一种可以随机或者根据当前浏览器内容弹出广告和条幅的软件。
劫持软件(Hijackers):可以改变浏览器主页、缺省搜索引擎,甚至改变你的方向,使你无法到达你想到达的网站。
小甜饼文件(Cookies):可以跟踪Web网站参数选择和口令的小型文件。软件可以在用户不知道的情况下收集和扩散该信息。
以上四种类型中,广告软件最讨厌,而劫持软件和间谍软件却是危害最大的。
2.退出InternetExplorer
我们无法指控资讯中心微软公司犯下了生成间谍软件的罪行。但是,Windows的设计,而且尤其是InternetExplorer却肯定使微软公司成了“间谍”的“同谋”。我们鼓励用户转向其他产品,例如Firefox或者Opera,两者均缺省设置封锁弹出文字。Firefox是免费的且已很普及,Opera则需要花几美元。
需要证据来证明InternetExplorer存在着问题?在笔者运行WindowsXPHome的主要测试PC上,使用InternetExplorer和OutlookExpress,结果发现了739个间谍软件。
而在笔者的个人PC上,运行Firefox和Mozilla公司的Thunderbird电子邮件应用,结果才发现了11个间谍软件范例。而且,这11个间谍软件均是在笔者不得不使用InternetExplorer进入某些Web网站的时候,偷偷溜进这台PC的。
然而,不幸的是,有些网站却需要InternetExplorer,而那些与微软公司的Outlook电子邮件客户端有密切联系的用户也必须使用它。不过,还是有办法可以把感染InternetExplorer间谍软件的速度降下来。首先,禁止微软ActiveX支持。在InternetExplorer里,点击Tools→InternetOptions→Security→CustomLevel,然后,点击迫使ActiveX控制在运行之前请求允许的检查框。
有的时候,真理和善良总是受到伤害,我们刚刚在反垃圾资讯中心"邮件上取得了一些进展,然而,间谍软件却又将填补这项空白。未来几年里,你将不得不耗费宝贵的时间,在工作中、在家里与间谍软件作斗争。
虽然市面上有数十种新的反间谍软件工具供我们使用,而且这些资讯中心"程序确实很有帮助,但是,运行反间谍软件实用程序只是解决方案的一部分,还有很多其他事情需要你做,请按照我们提供的10个步骤指南开始行动吧。
1.了解你的敌人
如果天真地把间谍软件定义为Web网站留下来的小cookie文件的话,那么你的挫折将永无止境。所有类型的变脸软件(Scumware)都将为你带来不幸,主要的四大类型是:
间谍软件(Spyware)是一种可以秘密地收集有关你计算机信息的软件,并可能向未知网站发送数据,包括“键盘记录软件”或“按键捕获寄生虫”(不要与“恶意软件(malware)”混淆,恶意软件包括病毒、蠕虫和特洛伊木马程序)。
广告软件(Adware):一种可以随机或者根据当前浏览器内容弹出广告和条幅的软件。
劫持软件(Hijackers):可以改变浏览器主页、缺省搜索引擎,甚至改变你的方向,使你无法到达你想到达的网站。
小甜饼文件(Cookies):可以跟踪Web网站参数选择和口令的小型文件。软件可以在用户不知道的情况下收集和扩散该信息。
以上四种类型中,广告软件最讨厌,而劫持软件和间谍软件却是危害最大的。
2.退出InternetExplorer
我们无法指控资讯中心微软公司犯下了生成间谍软件的罪行。但是,Windows的设计,而且尤其是InternetExplorer却肯定使微软公司成了“间谍”的“同谋”。我们鼓励用户转向其他产品,例如Firefox或者Opera,两者均缺省设置封锁弹出文字。Firefox是免费的且已很普及,Opera则需要花几美元。
需要证据来证明InternetExplorer存在着问题?在笔者运行WindowsXPHome的主要测试PC上,使用InternetExplorer和OutlookExpress,结果发现了739个间谍软件。
而在笔者的个人PC上,运行Firefox和Mozilla公司的Thunderbird电子邮件应用,结果才发现了11个间谍软件范例。而且,这11个间谍软件均是在笔者不得不使用InternetExplorer进入某些Web网站的时候,偷偷溜进这台PC的。
然而,不幸的是,有些网站却需要InternetExplorer,而那些与微软公司的Outlook电子邮件客户端有密切联系的用户也必须使用它。不过,还是有办法可以把感染InternetExplorer间谍软件的速度降下来。首先,禁止微软ActiveX支持。在InternetExplorer里,点击Tools→InternetOptions→Security→CustomLevel,然后,点击迫使ActiveX控制在运行之前请求允许的检查框。
MM的QQ密码又被盗了,朋友一百万两银子又被窃了……面对防不胜防的木马,作为普通用户而言,如何防范、如何应对、如何将损失降在最低呢?当然,首先最要紧的是扎紧篱笆——及时为操作系统打上补丁;拒木马于千里之外——不随便下载和运行不明来源的程序,这些在前几期的文章中已有详述。我们今天谈一下,如果第一道防线被攻破,木马已经进驻电脑,那么应该如何识别,并且不让它得逞呢?
一、不给权限,饿死木马
在Windows 2000/XP/2003等系统中,用户可以加入Administrators、Power Users、Users等不同权限的组,分别具有不同级别的操作权限。如果你平时也就上上网看看新闻,打打游戏聊聊天,编写文字处理几张图片,而不需要频繁地装卸软件,那么不妨藏起管理员,使用一个低权限的用户账户。
通过“控制面板→用户账户”,创建一个新的用户,然后安装常用的软件之后,将其加入到受限用户(Users)组。受限用户能够正常运行大部分的程序,但是无法对系统的心脏——系统目录和注册表进行写操作。该操作需要一个前提条件,即C盘应采用NTFS格式。
木马以及其他恶意软件有个特殊的爱好:往往喜欢藏身于系统目录,并且修改注册表以达到自动加载的目的。而采用这个办法,很大程度上限制了木马的渗透。即使木马已进入硬盘,也不会有权限进行相应的操作,有效地降低了木马的破坏力,事后在灭杀木马过程中也不至于破坏系统。
但是有的软件需要管理员权限账户才可以正常运行,或者有时候我们需要安装一些软件,目前账户权限不够,怎么办?切换用户太麻烦,而且也容易因此给木马可乘之机。那么,用下面的办法实现吧!
右键点击程序,选择“运行方式”,然后选择合适的账户并输入相应密码即可。这样软件就可以其他账户的方式运行,而与当前账户无关。虽然比起直接管理员账户登录操作麻烦了点,但是安全上得到了保障,还是值得的。
二、勤查户口,除不速客
账户信息安全之重要性,自然不言而喻。黑客入侵,往往会偷偷在你的系统中建立一个账户,或者把普通账户提升权限,以达到幕后操纵之目的,而这个往往是普通用户容易忽略的问题,所以大家要养成一个勤查户口的习惯。
打开“管理工具→计算机管理→本地用户和组”,这里枚举了当前的所有账户信息。要看看是不是多了不认识的名字,或者谁偷偷地升级了,这些都需要引起重视。比如臭名昭著的lovgate病毒就会在感染电脑上建立一个名为“lee”的账户。
但是,有时候突然多出一个不速之客也未必就是“中标”了,比如在安装Microsoft .Net Framework后,系统会自动建立一个ASP.NET账户,这是正常的,大可不必为之担心。
另外,还要对现有账户做好安全工作。如果没有必要,可以不启用Guest账户;同时应对内置的管理员账户Administrator加上密码,并且“改头换面”,防止入侵者恶意穷举:通过“管理工具→本地安全策略→本地策略→安全选项→账户”对系统管理员账户进行重命名操作,将Administrator修改为一个别人不容易猜测到的名字。
三、关紧城门,出入查证
木马也好,其他恶意程序也好,如果不能和释放者保持联系,也就失去了威力。所以城门就是我们的最后一道防线。
首先是关闭一些危险的端口。打开“管理工具→本地安全策略→IP 安全策略,在本地计算机”,在右侧窗格中右击鼠标并选择“创建 IP
安全策略”命令,然后根据向导一步一步设置,分别添加TCP135、 137、139、445、593 、1025、2745、3127、6129、3389端口和UDP 135、139、445等端口。关闭了这些端口,可以避免入侵者通过这些通道秘密潜入。
其次,安装一款合适的防火墙。ZoneAlarm、BlackICE、Kaspersky Anti-Hacker、XELIOS Personal Firewall等功能都比较强大。如果嫌这些设置比较复杂,也可以选择天网、金山毒霸网络个人防火墙、瑞星个人防火墙等。它们就像把门者,每一个进出者都会被检查是否有“良民证”:如果确认可靠的就直接放行,如果陌生人想偷偷挟带情报出逃,对不起,拦下。
四、明察秋毫,逮住“马迹”
感染木马或其他恶意程序后,系统不可避免地会出现一些特殊征兆,如果及早发现并及时处理,可以将损失降到最低点。下面的这些“马迹”千万不要放过。
1、密码被改,金币被偷。虽然损失已经造成,但是亡羊补牢,至少避免更多损失。
2、杀软被关闭。很多木马会自动关闭杀毒软件,如果发现杀软防火墙被退出,而且无法启动,绝对不能忽视,排除系统或者杀软本身的问题,很有可能就是被木马或病毒先下手为强了。
3、一闪而过的窗口。打开记事本,或其他软件的时候,会有隐约的窗口一闪而过,这很有可能就是木马或病毒已经寄生在正常程序上了。
4、奇怪的进程。经常用Ctrl+Alt+Del键调出任务管理器进行查看。首先你要熟悉系统的正常进程,如果有陌生进程出现,那就将它一查到底。
5、鱼目混珠的文件名或错位的程序。有些木马会伪造和正常程序相似的名字,比如“svch0st”等;有些则索性冒名,不过路径不同,比如出现在Windows目录下的“rundll32.exe”(正常应该在windows\system32和windows\system32\dllcache下)。
6、自作多情的启动项目。经常使用“msconfig”查看启动项目,如果有不经允许就擅自加载的,不妨查查其身份。
7、绑架浏览器。使用hijackthis辅助,把这些绑匪统统请出系统去。
8、运行“netstat”,查看当前网络的连接情况,是否有偷偷向外报信者。
一、不给权限,饿死木马
在Windows 2000/XP/2003等系统中,用户可以加入Administrators、Power Users、Users等不同权限的组,分别具有不同级别的操作权限。如果你平时也就上上网看看新闻,打打游戏聊聊天,编写文字处理几张图片,而不需要频繁地装卸软件,那么不妨藏起管理员,使用一个低权限的用户账户。
通过“控制面板→用户账户”,创建一个新的用户,然后安装常用的软件之后,将其加入到受限用户(Users)组。受限用户能够正常运行大部分的程序,但是无法对系统的心脏——系统目录和注册表进行写操作。该操作需要一个前提条件,即C盘应采用NTFS格式。
木马以及其他恶意软件有个特殊的爱好:往往喜欢藏身于系统目录,并且修改注册表以达到自动加载的目的。而采用这个办法,很大程度上限制了木马的渗透。即使木马已进入硬盘,也不会有权限进行相应的操作,有效地降低了木马的破坏力,事后在灭杀木马过程中也不至于破坏系统。
但是有的软件需要管理员权限账户才可以正常运行,或者有时候我们需要安装一些软件,目前账户权限不够,怎么办?切换用户太麻烦,而且也容易因此给木马可乘之机。那么,用下面的办法实现吧!
右键点击程序,选择“运行方式”,然后选择合适的账户并输入相应密码即可。这样软件就可以其他账户的方式运行,而与当前账户无关。虽然比起直接管理员账户登录操作麻烦了点,但是安全上得到了保障,还是值得的。
二、勤查户口,除不速客
账户信息安全之重要性,自然不言而喻。黑客入侵,往往会偷偷在你的系统中建立一个账户,或者把普通账户提升权限,以达到幕后操纵之目的,而这个往往是普通用户容易忽略的问题,所以大家要养成一个勤查户口的习惯。
打开“管理工具→计算机管理→本地用户和组”,这里枚举了当前的所有账户信息。要看看是不是多了不认识的名字,或者谁偷偷地升级了,这些都需要引起重视。比如臭名昭著的lovgate病毒就会在感染电脑上建立一个名为“lee”的账户。
但是,有时候突然多出一个不速之客也未必就是“中标”了,比如在安装Microsoft .Net Framework后,系统会自动建立一个ASP.NET账户,这是正常的,大可不必为之担心。
另外,还要对现有账户做好安全工作。如果没有必要,可以不启用Guest账户;同时应对内置的管理员账户Administrator加上密码,并且“改头换面”,防止入侵者恶意穷举:通过“管理工具→本地安全策略→本地策略→安全选项→账户”对系统管理员账户进行重命名操作,将Administrator修改为一个别人不容易猜测到的名字。
三、关紧城门,出入查证
木马也好,其他恶意程序也好,如果不能和释放者保持联系,也就失去了威力。所以城门就是我们的最后一道防线。
首先是关闭一些危险的端口。打开“管理工具→本地安全策略→IP 安全策略,在本地计算机”,在右侧窗格中右击鼠标并选择“创建 IP
安全策略”命令,然后根据向导一步一步设置,分别添加TCP135、 137、139、445、593 、1025、2745、3127、6129、3389端口和UDP 135、139、445等端口。关闭了这些端口,可以避免入侵者通过这些通道秘密潜入。
其次,安装一款合适的防火墙。ZoneAlarm、BlackICE、Kaspersky Anti-Hacker、XELIOS Personal Firewall等功能都比较强大。如果嫌这些设置比较复杂,也可以选择天网、金山毒霸网络个人防火墙、瑞星个人防火墙等。它们就像把门者,每一个进出者都会被检查是否有“良民证”:如果确认可靠的就直接放行,如果陌生人想偷偷挟带情报出逃,对不起,拦下。
四、明察秋毫,逮住“马迹”
感染木马或其他恶意程序后,系统不可避免地会出现一些特殊征兆,如果及早发现并及时处理,可以将损失降到最低点。下面的这些“马迹”千万不要放过。
1、密码被改,金币被偷。虽然损失已经造成,但是亡羊补牢,至少避免更多损失。
2、杀软被关闭。很多木马会自动关闭杀毒软件,如果发现杀软防火墙被退出,而且无法启动,绝对不能忽视,排除系统或者杀软本身的问题,很有可能就是被木马或病毒先下手为强了。
3、一闪而过的窗口。打开记事本,或其他软件的时候,会有隐约的窗口一闪而过,这很有可能就是木马或病毒已经寄生在正常程序上了。
4、奇怪的进程。经常用Ctrl+Alt+Del键调出任务管理器进行查看。首先你要熟悉系统的正常进程,如果有陌生进程出现,那就将它一查到底。
5、鱼目混珠的文件名或错位的程序。有些木马会伪造和正常程序相似的名字,比如“svch0st”等;有些则索性冒名,不过路径不同,比如出现在Windows目录下的“rundll32.exe”(正常应该在windows\system32和windows\system32\dllcache下)。
6、自作多情的启动项目。经常使用“msconfig”查看启动项目,如果有不经允许就擅自加载的,不妨查查其身份。
7、绑架浏览器。使用hijackthis辅助,把这些绑匪统统请出系统去。
8、运行“netstat”,查看当前网络的连接情况,是否有偷偷向外报信者。
“熊猫烧香”为何杀之不绝?
[ 2007-03-25 03:17:29 | 作者: sun ]
电话号码为07588****25的读者询问:我的电脑最近中了“熊猫烧香”病毒,我从网上下载了专杀工具进行查杀,但是重复杀了几次后,软件还是显示有十几个病毒存在,重启后再杀也没能解决问题,我该怎么办?
答:目前,“熊猫烧香”病毒肆虐互联网,而且变种非常快,其变种病毒已经超过了400种。
也就是说,单独依靠一家杀毒软件公司的软件可能还不足以进行完全的查杀,建议你多下载几种不同的专杀工具进行一下处理。
另外,如果你的电脑一直是连接上网的状态,而你的防火墙又没有打开或是没有升级到最新的版本,也可能重复染上病毒。综合这几种可能性,这里建议你先将自己原有的杀毒软件的防火墙升级到最新的版本,然后下载Windows的最新系统补丁,最后在断网的情况下利用多种专杀工具进行反复的查杀,应该能够解决问题。
答:目前,“熊猫烧香”病毒肆虐互联网,而且变种非常快,其变种病毒已经超过了400种。
也就是说,单独依靠一家杀毒软件公司的软件可能还不足以进行完全的查杀,建议你多下载几种不同的专杀工具进行一下处理。
另外,如果你的电脑一直是连接上网的状态,而你的防火墙又没有打开或是没有升级到最新的版本,也可能重复染上病毒。综合这几种可能性,这里建议你先将自己原有的杀毒软件的防火墙升级到最新的版本,然后下载Windows的最新系统补丁,最后在断网的情况下利用多种专杀工具进行反复的查杀,应该能够解决问题。
网络安全之TCP端口作用、漏洞及操作
[ 2007-03-25 03:17:16 | 作者: sun ]
在上网的时候,我们经常会看到“端口”这个词,也会经常用到端口号,比如在FTP地址后面增加的“21”,21就表示端口号。那么端口到底是什么意思呢?怎样查看端口号呢?一个端口是否成为网络恶意攻击的大门呢?,我们应该如何面对形形色色的端口呢?下面就将介绍这方面的内容,以供大家参考。
21端口:21端口主要用于FTP(File Transfer Protocol,文件传输协议)服务。
端口说明:21端口主要用于FTP(File Transfer Protocol,文件传输协议)服务,FTP服务主要是为了在两台计算机之间实现文件的上传与下载,一台计算机作为FTP客户端,另一台计算机作为FTP服务器,可以采用匿名(anonymous)登录和授权用户名与密码登录两种方式登录FTP服务器。目前,通过FTP服务来实现文件的传输是互联网上上传、下载文件最主要的方法。另外,还有一个20端口是用于FTP数据传输的默认端口号。
在Windows中可以通过Internet信息服务(IIS)来提供FTP连接和管理,也可以单独安装FTP服务器软件来实现FTP功能,比如常见的FTP Serv-U。
操作建议:因为有的FTP服务器可以通过匿名登录,所以常常会被黑客利用。另外,21端口还会被一些木马利用,比如Blade Runner、FTP Trojan、Doly Trojan、WebEx等等。如果不架设FTP服务器,建议关闭21端口。
23端口:23端口主要用于Telnet(远程登录)服务,是Internet上普遍采用的登录和仿真程序。
端口说明:23端口主要用于Telnet(远程登录)服务,是Internet上普遍采用的登录和仿真程序。同样需要设置客户端和服务器端,开启Telnet服务的客户端就可以登录远程Telnet服务器,采用授权用户名和密码登录。登录之后,允许用户使用命令提示符窗口进行相应的操作。在Windows中可以在命令提示符窗口中,键入“Telnet”命令来使用Telnet远程登录。
操作建议:利用Telnet服务,黑客可以搜索远程登录Unix的服务,扫描操作系统的类型。而且在Windows 2000中Telnet服务存在多个严重的漏洞,比如提升权限、拒绝服务等,可以让远程服务器崩溃。Telnet服务的23端口也是TTS(Tiny Telnet Server)木马的缺省端口。所以,建议关闭23端口。
25端口:25端口为SMTP(Simple Mail Transfer Protocol,简单邮件传输协议)服务器所开放,主要用于发送邮件,如今绝大多数邮件服务器都使用该协议。
端口说明:25端口为SMTP(Simple Mail Transfer Protocol,简单邮件传输协议)服务器所开放,主要用于发送邮件,如今绝大多数邮件服务器都使用该协议。比如我们在使用电子邮件客户端程序的时候,在创建账户时会要求输入SMTP服务器地址,该服务器地址默认情况下使用的就是25端口。
端口漏洞:
1. 利用25端口,黑客可以寻找SMTP服务器,用来转发垃圾邮件。
2. 25端口被很多木马程序所开放,比如Ajan、Antigen、Email Password Sender、ProMail、trojan、Tapiras、Terminator、WinPC、WinSpy等等。拿WinSpy来说,通过开放25端口,可以监视计算机正在运行的所有窗口和模块。
操作建议:如果不是要架设SMTP邮件服务器,可以将该端口关闭。
53端口:53端口为DNS(Domain Name Server,域名服务器)服务器所开放,主要用于域名解析,DNS服务在NT系统中使用的最为广泛。
端口说明:53端口为DNS(Domain Name Server,域名服务器)服务器所开放,主要用于域名解析,DNS服务在NT系统中使用的最为广泛。通过DNS服务器可以实现域名与IP地址之间的转换,只要记住域名就可以快速访问网站。
端口漏洞:如果开放DNS服务,黑客可以通过分析DNS服务器而直接获取Web服务器等主机的IP地址,再利用53端口突破某些不稳定的防火墙,从而实施攻击。近日,美国一家公司也公布了10个最易遭黑客攻击的漏洞,其中第一位的就是DNS服务器的BIND漏洞。
操作建议:如果当前的计算机不是用于提供域名解析服务,建议关闭该端口
67、68端口:67、68端口分别是为Bootp服务的Bootstrap Protocol Server(引导程序协议服务端)和Bootstrap Protocol Client(引导程序协议客户端)开放的端口。
端口说明:67、68端口分别是为Bootp服务的Bootstrap Protocol Server(引导程序协议服务端)和Bootstrap Protocol Client(引导程序协议客户端)开放的端口。Bootp服务是一种产生于早期Unix的远程启动协议,我们现在经常用到的DHCP服务就是从Bootp服务扩展而来的。通过Bootp服务可以为局域网中的计算机动态分配IP地址,而不需要每个用户去设置静态IP地址。
端口漏洞:如果开放Bootp服务,常常会被黑客利用分配的一个IP地址作为局部路由器通过“中间人”(man-in-middle)方式进行攻击。
操作建议:建议关闭该端口。
69端口:TFTP是Cisco公司开发的一个简单文件传输协议,类似于FTP。
端口说明:69端口是为TFTP(Trival File Tranfer Protocol,次要文件传输协议)服务开放的,TFTP是Cisco公司开发的一个简单文件传输协议,类似于FTP。不过与FTP相比,TFTP不具有复杂的交互存取接口和认证控制,该服务适用于不需要复杂交换环境的客户端和服务器之间进行数据传输。
端口漏洞:很多服务器和Bootp服务一起提供TFTP服务,主要用于从系统下载启动代码。可是,因为TFTP服务可以在系统中写入文件,而且黑客还可以利用TFTP的错误配置来从系统获取任何文件。
操作建议:建议关闭该端口。
79端口:79端口是为Finger服务开放的,主要用于查询远程主机在线用户、操作系统类型以及是否缓冲区溢出等用户的详细信息。
端口说明:79端口是为Finger服务开放的,主要用于查询远程主机在线用户、操作系统类型以及是否缓冲区溢出等用户的详细信息。比如要显示远程计算机www.abc.com上的user01用户的信息,可以在命令行中键入“finger user01@www.abc.com”即可。
端口漏洞:一般黑客要攻击对方的计算机,都是通过相应的端口扫描工具来获得相关信息,比如使用“流光”就可以利用79端口来扫描远程计算机操作系统版本,获得用户信息,还能探测已知的缓冲区溢出错误。这样,就容易遭遇到黑客的攻击。而且,79端口还被Firehotcker木马作为默认的端口。
操作建议:建议关闭该端口。
80端口:80端口是为HTTP(HyperText Transport Protocol,超文本传输协议)开放的,这是上网冲浪使用最多的协议,主要用于在WWW(World Wide Web,万维网)服务上传输信息的协议。
端口说明:80端口是为HTTP(HyperText Transport Protocol,超文本传输协议)开放的,这是上网冲浪使用最多的协议,主要用于在WWW(World Wide Web,万维网)服务上传输信息的协议。我们可以通过HTTP地址加“:80”(即常说的“网址”)来访问网站的,比如http://www.cce.com.cn:80,因为浏览网页服务默认的端口号是80,所以只要输入网址,不用输入“:80”。
端口漏洞:有些木马程序可以利用80端口来攻击计算机的,比如Executor、RingZero等。
操作建议:为了能正常上网冲浪,我们必须开启80端口。
99端口:99端口是用于一个名为“Metagram Relay”(亚对策延时)的服务,该服务比较少见,一般是用不到的。
端口说明:99端口是用于一个名为“Metagram Relay”(亚对策延时)的服务,该服务比较少见,一般是用不到的。
端口漏洞:虽然“Metagram Relay”服务不常用,可是Hidden Port、NCx99等木马程序会利用该端口,比如在Windows 2000中,NCx99可以把cmd.exe程序绑定到99端口,这样用Telnet就可以连接到服务器,随意添加用户、更改权限。
操作建议:建议关闭该端口。
109、110端口:109端口是为POP2(Post Office Protocol Version 2,邮局协议2)服务开放的,110端口是为POP3(邮件协议3)服务开放的,POP2、POP3都是主要用于接收邮件的。
端口说明:109端口是为POP2(Post Office Protocol Version 2,邮局协议2)服务开放的,110端口是为POP3(邮件协议3)服务开放的,POP2、POP3都是主要用于接收邮件的,目前POP3使用的比较多,许多服务器都同时支持POP2和POP3。客户端可以使用POP3协议来访问服务端的邮件服务,如今ISP的绝大多数邮件服务器都是使用该协议。在使用电子邮件客户端程序的时候,会要求输入POP3服务器地址,默认情况下使用的就是110端口。
端口漏洞:POP2、POP3在提供邮件接收服务的同时,也出现了不少的漏洞。单单POP3服务在用户名和密码交换缓冲区溢出的漏洞就不少于20个,比如WebEasyMail POP3 Server合法用户名信息泄露漏洞,通过该漏洞远程攻击者可以验证用户账户的存在。另外,110端口也被ProMail trojan等木马程序所利用,通过110端口可以窃取POP账号用户名和密码。
操作建议:如果是执行邮件服务器,可以打开该端口。
111端口:111端口是SUN公司的RPC(Remote Procedure Call,远程过程调用)服务所开放的端口,主要用于分布式系统中不同计算机的内部进程通信,RPC在多种网络服务中都是很重要的组件。
端口说明:111端口是SUN公司的RPC(Remote Procedure Call,远程过程调用)服务所开放的端口,主要用于分布式系统中不同计算机的内部进程通信,RPC在多种网络服务中都是很重要的组件。常见的RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等等。在Microsoft的Windows中,同样也有RPC服务。
端口漏洞:SUN RPC有一个比较大漏洞,就是在多个RPC服务时xdr_array函数存在远程缓冲溢出漏洞,通过该漏洞允许攻击者传递超
113端口:113端口主要用于Windows的“Authentication Service”(验证服务)。
端口说明:113端口主要用于Windows的“Authentication Service”(验证服务),一般与网络连接的计算机都运行该服务,主要用于验证TCP连接的用户,通过该服务可以获得连接计算机的信息。在Windows 2000/2003 Server中,还有专门的IAS组件,通过该组件可以方便远程访问中进行身份验证以及策略管理。
端口漏洞:113端口虽然可以方便身份验证,但是也常常被作为FTP、POP、SMTP、IMAP以及IRC等网络服务的记录器,这样会被相应的木马程序所利用,比如基于IRC聊天室控制的木马。另外,113端口还是Invisible Identd Deamon、Kazimas等木马默认开放的端口。
操作建议:建议关闭该端口。
119端口:119端口是为“Network News Transfer Protocol”(网络新闻组传输协议,简称NNTP)开放的。
端口说明:119端口是为“Network News Transfer Protocol”(网络新闻组传输协议,简称NNTP)开放的,主要用于新闻组的传输,当查找USENET服务器的时候会使用该端口。
端口漏洞:著名的Happy99蠕虫病毒默认开放的就是119端口,如果中了该病毒会不断发送电子邮件进行传播,并造成网络的堵塞。
操作建议:如果是经常使用USENET新闻组,就要注意不定期关闭该端口。
135端口:135端口主要用于使用RPC(Remote Procedure Call,远程过程调用)协议并提供DCOM(分布式组件对象模型)服务。
端口说明:135端口主要用于使用RPC(Remote Procedure Call,远程过程调用)协议并提供DCOM(分布式组件对象模型)服务,通过RPC可以保证在一台计算机上运行的程序可以顺利地执行远程计算机上的代码;使用DCOM可以通过网络直接进行通信,能够跨包括HTTP协议在内的多种网络传输。
端口漏洞:相信去年很多Windows 2000和Windows XP用户都中了“冲击波”病毒,该病毒就是利用RPC漏洞来攻击计算机的。RPC本身在处理通过TCP/IP的消息交换部分有一个漏洞,该漏洞是由于错误地处理格式不正确的消息造成的。该漏洞会影响到RPC与DCOM之间的一个接口,该接口侦听的端口就是135。
操作建议:为了避免“冲击波”病毒的攻击,建议关闭该端口。
137端口:137端口主要用于“NetBIOS Name Service”(NetBIOS名称服务)。
端口说明:137端口主要用于“NetBIOS Name Service”(NetBIOS名称服务),属于UDP端口,使用者只需要向局域网或互联网上的某台计算机的137端口发送一个请求,就可以获取该计算机的名称、注册用户名,以及是否安装主域控制器、IIS是否正在运行等信息。
端口漏洞:因为是UDP端口,对于攻击者来说,通过发送请求很容易就获取目标计算机的相关信息,有些信息是直接可以被利用,并分析漏洞的,比如IIS服务。另外,通过捕获正在利用137端口进行通信的信息包,还可能得到目标计算机的启动和关闭的时间,这样就可以利用专门的工具来攻击。
操作建议:建议关闭该端口。
139端口:139端口是为“NetBIOS Session Service”提供的,主要用于提供Windows文件和打印机共享以及Unix中的Samba服务。
端口说明:139端口是为“NetBIOS Session Service”提供的,主要用于提供Windows文件和打印机共享以及Unix中的Samba服务。在Windows中要在局域网中进行文件的共享,必须使用该服务。比如在Windows 98中,可以打开“控制面板”,双击“网络”图标,在“配置”选项卡中单击“文件及打印共享”按钮选中相应的设置就可以安装启用该服务;在Windows 2000/XP中,可以打开“控制面板”,双击“网络连接”图标,打开本地连接属性;接着,在属性窗口的“常规”选项卡中选择“Internet协议(TCP/IP)”,单击“属性”按钮;然后在打开的窗口中,单击“高级”按钮;在“高级TCP/IP设置”窗口中选择“WINS”选项卡,在“NetBIOS设置”区域中启用TCP/IP上的NetBIOS。
端口漏洞:开启139端口虽然可以提供共享服务,但是常常被攻击者所利用进行攻击,比如使用流光、SuperScan等端口扫描工具,可以扫描目标计算机的139端口,如果发现有漏洞,可以试图获取用户名和密码,这是非常危险的。
操作建议:如果不需要提供文件和打印机共享,建议关闭该端口。
143端口:143端口主要是用于“Internet Message Access Protocol”v2(Internet消息访问协议,简称IMAP)。
端口说明:143端口主要是用于“Internet Message Access Protocol”v2(Internet消息访问协议,简称IMAP),和POP3一样,是用于电子邮件的接收的协议。通过IMAP协议我们可以在不接收邮件的情况下,知道信件的内容,方便管理服务器中的电子邮件。不过,相对于POP3协议要负责一些。如今,大部分主流的电子邮件客户端软件都支持该协议。
端口漏洞:同POP3协议的110端口一样,IMAP使用的143端口也存在缓冲区溢出漏洞,通过该漏洞可以获取用户名和密码。另外,还有一种名为“admv0rm”的Linux蠕虫病毒会利用该端口进行繁殖。
操作建议:如果不是使用IMAP服务器操作,应该将该端口关闭。
161端口:161端口是用于“Simple Network Management Protocol”(简单网络管理协议,简称SNMP)。
端口说明:161端口是用于“Simple Network Management Protocol”(简单网络管理协议,简称SNMP),该协议主要用于管理TCP/IP网络中的网络协议,在Windows中通过SNMP服务可以提供关于TCP/IP网络上主机以及各种网络设备的状态信息。目前,几乎所有的网络设备厂商都实现对SNMP的支持。
在Windows 2000/XP中要安装SNMP服务,我们首先可以打开“Windows组件向导”,在“组件”中选择“管理和监视工具”,单击“详细信息”按钮就可以看到“简单网络管理协议(SNMP)”,选中该组件;然后,单击“下一步”就可以进行安装。
端口漏洞:因为通过SNMP可以获得网络中各种设备的状态信息,还能用于对网络设备的控制,所以黑客可以通过SNMP漏洞来完全控制网络。
操作建议:建议关闭该端口。
443端口:443端口即网页浏览端口,主要是用于HTTPS服务,是提供加密和通过安全端口传输的另一种HTTP。
端口说明:443端口即网页浏览端口,主要是用于HTTPS服务,是提供加密和通过安全端口传输的另一种HTTP。在一些对安全性要求较高的网站,比如银行、证券、购物等,都采用HTTPS服务,这样在这些网站上的交换信息其他人都无法看到,保证了交易的安全性。网页的地址以https://开始,而不是常见的http://。
端口漏洞:HTTPS服务一般是通过SSL(安全套接字层)来保证安全性的,但是SSL漏洞可能会受到黑客的攻击,比如可以黑掉在线银行系统,盗取信用卡账号等。
操作建议:建议开启该端口,用于安全性网页的访问。另外,为了防止黑客的攻击,应该及时安装微软针对SSL漏洞发布的最新安全补丁。
554端口:554端口默认情况下用于“Real Time Streaming Protocol”(实时流协议,简称RTSP)。
端口说明:554端口默认情况下用于“Real Time Streaming Protocol”(实时流协议,简称RTSP),该协议是由RealNetworks和Netscape共同提出的,通过RTSP协议可以借助于Internet将流媒体文件传送到RealPlayer中播放,并能有效地、最大限度地利用有限的网络带宽,传输的流媒体文件一般是Real服务器发布的,包括有.rm、.ram。如今,很多的下载软件都支持RTSP协议,比如FlashGet、影音传送带等等。
端口漏洞:目前,RTSP协议所发现的漏洞主要就是RealNetworks早期发布的Helix Universal Server存在缓冲区溢出漏洞,相对来说,使用的554端口是安全的。
操作建议:为了能欣赏并下载到RTSP协议的流媒体文件,建议开启554端口。
1024端口:1024端口一般不固定分配给某个服务,在英文中的解释是“Reserved”(保留)。
端口说明:1024端口一般不固定分配给某个服务,在英文中的解释是“Reserved”(保留)。之前,我们曾经提到过动态端口的范围是从1024~65535,而1024正是动态端口的开始。该端口一般分配给第一个向系统发出申请的服务,在关闭服务的时候,就会释放1024端口,等待其他服务的调用。
端口漏洞:著名的YAI木马病毒默认使用的就是1024端口,通过该木马可以远程控制目标计算机,获取计算机的屏幕图像、记录键盘事件、获取密码等,后果是比较严重的。
操作建议:一般的杀毒软件都可以方便地进行YAI病毒的查杀,所以在确认无YAI病毒的情况下建议开启该端口。
Windows操作系统常遇木马的预防技巧
[ 2007-03-25 03:17:01 | 作者: sun ]
木马程序是目前比较流行的一类病毒文件,它与一般的病毒不同,它不会自我繁殖,也并不刻意地去感染其他文件。它通过将自身伪装吸引用户下载执行,或以捆绑在网页中的形式,当用户浏览网页时受害。木马程序向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件和隐私,甚至远程操控被种者的电脑。木马的原理和计算机网络中常常要用到的远程控制软件相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;而木马程序则完全相反,木马要达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是毫无价值的。
木马通常有两个可执行程序:一个是客户端,即控制端,另一个是服务端,即被控制端。木马的设计者为了防止木马被发现,而采用多种手段隐藏木马。木马的服务一旦运行,电脑就会有一个或几个端口被打开,黑客就可以利用控制端进入运行了服务端的电脑,甚至可以控制被种者的电脑,所以被种者的安全和个人隐私也就全无保障了!
随着微软的操作系统从Win9X过渡到WinNT系统(包括2000/xp/2003),微软的任务管理器也一下子“脱胎换骨”,变得“火眼金睛”起来 (在Win9X中,只需要将进程注册为系统服务就能够从进程查看器中隐形,可是这一切在WinNT中却完全不同,无论木马从端口、启动文件上如何巧妙地隐藏自己,始终都不能欺骗WinNT的任务管理器),这使得以前在win9X操作系统下靠将进程注册为系统服务就能够从任务管理器中隐形的木马面临前所未有的危机,所以木马的开发者及时调整了开发思路,转入了开发可以躲避WinNT的任务管理器的进程查询的动态嵌入式DLL木马。
要弄清楚什么是动态嵌入式DLL木马,我们必须要先了解Windows系统的另一种“可执行文件”——DLL,DLL是Dynamic Link Library(动态链接库)的缩写,DLL文件是Windows的基础,因为所有的API函数都是在DLL中实现的。DLL文件没有程序逻辑,是由多个功能函数构成,它并不能独立运行,DLL文件一般都是由进程加载并调用的。
因为DLL文件不能独立运行,所以在进程列表中并不会出现DLL。所以木马的开发者就通过编写动态嵌入式DLL木马,并且通过别的进程来运行它,那么无论是入侵检测软件还是进程列表中,都只会出现那个进程而并不会出现那个DLL木马。如果那个进程是可信进程(例如资源管理器Explorer.exe),那么就没人会怀疑DLL文件也是个木马了。从而木马就又实现了自己的隐蔽性的功能,所以,预防DLL木马也是相当重要的。
在WinNT系统,DLL木马一般都藏在System32目录下(因为System32是系统文件存放的目录,里面的文件很多,在里面隐藏当然很方便了),针对这一点我们可以在安装好系统和必要的应用程序后,对该目录下的EXE和DLL文件作一次记录:点击开始—运行—输入cmd回车—出现DOS命令行模式—输入cd\回车,再输入cd C:\Windows\System32回车,这就转换目录到了System32目录(要还是不知道怎么进入的,请参看DOS的cd命令的使用),输入命令:dir *.exe>exebackup.txt & dir *.dll>dllbackup.txt回车。
这样,我们就把System32目录下所有的exe文件和所有的dll文件都记录在exebackup.txt和dllbackup.txt里面了。日后如发现系统异常而用传统的方法又查不出问题时,则要考虑是不是系统中已经潜入了DLL木马。
这时我们用同样的方法将System32目录下的EXE和DLL文件记录到另外exebackup1.txt和dllbackup1.txt中,然后运行 CMD—fc exebackup.txt exebackup1.txt>different.txt & fc dllbackup.txt dllbackup1.txt>different.txt(使用FC命令比较前后两次的DLL和EXE文件,并将结果输入到 different.txt中),这样我们就能发现一些多出来的DLL和EXE文件,然后通过查看创建时间、版本、是否经过压缩等就能够比较容易地判断出是不是已经被DLL木马光顾了。
没有是最好,如果有的话也不要直接删除掉,可以先把它移到回收站里,若系统没有异常反应再将之彻底删除,或者把DLL文件上报给反病毒研究中心检查。
最后,防治木马的危害,专家建议大家应采取以下措施:
第一,安装反病毒软件和个人防火墙,并及时升级。
第二,把个人防火墙设置好安全等级,防止未知程序向外传送数据。
第三,使用安全性比较好的浏览器和电子邮件客户端工具。
第四,操作系统的补丁要经常进行更新。
第五,不要随便打开陌生网友传送的文件和下载、使用破解软件。
相信大家只要做好安全防护工作,防治木马并不是那么可怕的。
木马通常有两个可执行程序:一个是客户端,即控制端,另一个是服务端,即被控制端。木马的设计者为了防止木马被发现,而采用多种手段隐藏木马。木马的服务一旦运行,电脑就会有一个或几个端口被打开,黑客就可以利用控制端进入运行了服务端的电脑,甚至可以控制被种者的电脑,所以被种者的安全和个人隐私也就全无保障了!
随着微软的操作系统从Win9X过渡到WinNT系统(包括2000/xp/2003),微软的任务管理器也一下子“脱胎换骨”,变得“火眼金睛”起来 (在Win9X中,只需要将进程注册为系统服务就能够从进程查看器中隐形,可是这一切在WinNT中却完全不同,无论木马从端口、启动文件上如何巧妙地隐藏自己,始终都不能欺骗WinNT的任务管理器),这使得以前在win9X操作系统下靠将进程注册为系统服务就能够从任务管理器中隐形的木马面临前所未有的危机,所以木马的开发者及时调整了开发思路,转入了开发可以躲避WinNT的任务管理器的进程查询的动态嵌入式DLL木马。
要弄清楚什么是动态嵌入式DLL木马,我们必须要先了解Windows系统的另一种“可执行文件”——DLL,DLL是Dynamic Link Library(动态链接库)的缩写,DLL文件是Windows的基础,因为所有的API函数都是在DLL中实现的。DLL文件没有程序逻辑,是由多个功能函数构成,它并不能独立运行,DLL文件一般都是由进程加载并调用的。
因为DLL文件不能独立运行,所以在进程列表中并不会出现DLL。所以木马的开发者就通过编写动态嵌入式DLL木马,并且通过别的进程来运行它,那么无论是入侵检测软件还是进程列表中,都只会出现那个进程而并不会出现那个DLL木马。如果那个进程是可信进程(例如资源管理器Explorer.exe),那么就没人会怀疑DLL文件也是个木马了。从而木马就又实现了自己的隐蔽性的功能,所以,预防DLL木马也是相当重要的。
在WinNT系统,DLL木马一般都藏在System32目录下(因为System32是系统文件存放的目录,里面的文件很多,在里面隐藏当然很方便了),针对这一点我们可以在安装好系统和必要的应用程序后,对该目录下的EXE和DLL文件作一次记录:点击开始—运行—输入cmd回车—出现DOS命令行模式—输入cd\回车,再输入cd C:\Windows\System32回车,这就转换目录到了System32目录(要还是不知道怎么进入的,请参看DOS的cd命令的使用),输入命令:dir *.exe>exebackup.txt & dir *.dll>dllbackup.txt回车。
这样,我们就把System32目录下所有的exe文件和所有的dll文件都记录在exebackup.txt和dllbackup.txt里面了。日后如发现系统异常而用传统的方法又查不出问题时,则要考虑是不是系统中已经潜入了DLL木马。
这时我们用同样的方法将System32目录下的EXE和DLL文件记录到另外exebackup1.txt和dllbackup1.txt中,然后运行 CMD—fc exebackup.txt exebackup1.txt>different.txt & fc dllbackup.txt dllbackup1.txt>different.txt(使用FC命令比较前后两次的DLL和EXE文件,并将结果输入到 different.txt中),这样我们就能发现一些多出来的DLL和EXE文件,然后通过查看创建时间、版本、是否经过压缩等就能够比较容易地判断出是不是已经被DLL木马光顾了。
没有是最好,如果有的话也不要直接删除掉,可以先把它移到回收站里,若系统没有异常反应再将之彻底删除,或者把DLL文件上报给反病毒研究中心检查。
最后,防治木马的危害,专家建议大家应采取以下措施:
第一,安装反病毒软件和个人防火墙,并及时升级。
第二,把个人防火墙设置好安全等级,防止未知程序向外传送数据。
第三,使用安全性比较好的浏览器和电子邮件客户端工具。
第四,操作系统的补丁要经常进行更新。
第五,不要随便打开陌生网友传送的文件和下载、使用破解软件。
相信大家只要做好安全防护工作,防治木马并不是那么可怕的。
CC攻击的思路及防范方法
[ 2007-03-25 03:16:48 | 作者: sun ]
前段时间上海一家游戏娱乐公司的网站遭到了基于页面请求的DDOS分布式拒绝服务攻击,网站陷入完全瘫痪状态,并被黑客的匿名信勒索,金额高达10万元,而在勒索过程中,这群黑客还表示会对腾讯QQ等网站下手,随后QQ“服务器维护”几天。12月5号的时候,全球BitTorrent服务器也受到了很强烈的DDOS攻击,一度陷入瘫痪。而DDOS攻击中最流行的也是威力最大的就是基于页面的DDOS以及将这个攻击理论发挥得淋漓尽致的攻击工具CC,本文特邀CC作者和我们共同了解CC的相关攻击原理和防范方法,希望能让更多的朋友了解这样的攻击方式并能防范它。
很多朋友都知道木桶理论,一桶水的最大容量不是由它最高的地方决定的,而是由它最低的地方决定,服务器也是一样,服务器的安全性也是由它最脆弱的地方决定的,最脆弱的地方有多危险服务器就有多危险。DDOS也是一样,只要你的服务器存在一个很耗资源的地方,限制又不够,就马上成为别人DDOS的对象。比如SYN-FLOOD,它就是利用服务器的半连接状态比完全连接状态更耗资源,而SYN发动方只需要不停的发包,根本不需要多少资源。
一个好的DDOS攻击必须是通过自己极少资源的消耗带来对方较大的资源消耗,否则比如ICMP-FLOOD和UDP-FLOOD都必须和别人一样大的带宽,对方服务器消耗多少资源自己也得赔上多少资源,效率极其低下,又很容易被人发现,现在基本没有什么人用了。
攻击原理
CC主要是用来攻击页面的。大家都有这样的经历,就是在访问论坛时,如果这个论坛比较大,访问的人比较多,打开页面的速度会比较慢,对不?!一般来说,访问的人越多,论坛的页面越多,数据库就越大,被访问的频率也越高,占用的系统资源也就相当可观,现在知道为什么很多空间服务商都说大家不要上传论坛,聊天室等东西了吧。
一个静态页面不需要服务器多少资源,甚至可以说直接从内存中读出来发给你就可以了,但是论坛就不一样了,我看一个帖子,系统需要到数据库中判断我是否有读读帖子的权限,如果有,就读出帖子里面的内容,显示出来——这里至少访问了2次数据库,如果数据库的体积有200MB大小,系统很可能就要在这200MB大小的数据空间搜索一遍,这需要多少的CPU资源和时间?如果我是查找一个关键字,那么时间更加可观,因为前面的搜索可以限定在一个很小的范围内,比如用户权限只查用户表,帖子内容只查帖子表,而且查到就可以马上停止查询,而搜索肯定会对所有的数据进行一次判断,消耗的时间是相当的大。
CC就是充分利用了这个特点,模拟多个用户(多少线程就是多少用户)不停的进行访问(访问那些需要大量数据操作,就是需要大量CPU时间的页面)。很多朋友问到,为什么要使用代理呢?因为代理可以有效地隐藏自己的身份,也可以绕开所有的防火墙,因为基本上所有的防火墙都会检测并发的TCP/IP连接数目,超过一定数目一定频率就会被认为是Connection-Flood。
使用代理攻击还能很好的保持连接,我们这里发送了数据,代理帮我们转发给对方服务器,我们就可以马上断开,代理还会继续保持着和对方连接(我知道的记录是有人利用2000个代理产生了35万并发连接)。
可能很多朋友还不能很好的理解,我来描述一下吧。我们假设服务器A对Search.asp的处理时间需要0.01S(多线程只是时间分割,对结论没有影响),也就是说他一秒可以保证100个用户的Search请求,服务器允许的最大连接时间为60s,那么我们使用CC模拟120个用户并发连接,那么经过1分钟,服务器的被请求了7200次,处理了6000次,于是剩下了1200个并发连接没有被处理。有的朋友会说:丢连接!丢连接!问题是服务器是按先来后到的顺序丢的,这1200个是在最后10秒的时候发起的,想丢?!还早,经过计算,服务器满负开始丢连接的时候,应该是有7200个并发连接存在队列,然后服务器开始120个/秒的丢连接,我们发动的连接也是120个/秒,服务器永远有处理不完的连接,服务器的CPU 100%并长时间保持,然后丢连接的60秒服务器也判断处理不过来了,新的连接也处理不了,这样服务器达到了超级繁忙状态。
我们假设服务器处理Search只用了0.01S,也就是10毫秒(这个速度你可以去各个有开放时间显示的论坛看看),我们使用的线程也只有120,很多服务器的丢连接时间远比60S长,我们的使用线程远比120多,可以想象可怕了吧,而且客户机只要发送了断开,连接的保持是代理做的,而且当服务器收到SQL请求,肯定会进入队列,不论连接是否已经断开,而且服务器是并发的,不是顺序执行,这样使得更多的请求进入内存请求,对服务器负担更大。
当然,CC也可以利用这里方法对FTP进行攻击,也可以实现TCP-FLOOD,这些都是经过测试有效的。
防范方法
说了攻击原理,大家肯定会问,那么怎么防御?使用硬件防火墙我不知道如何防范,除非你完全屏蔽页面访问,我的方法是通过页面的编写实现防御。
1、使用Cookie认证。这时候朋友说CC里面也允许Cookie,但是这里的Cookie是所有连接都使用的,所以启用IP+Cookie认证就可以了。
2、利用Session。这个判断比Cookie更加方便,不光可以IP认证,还可以防刷新模式,在页面里判断刷新,是刷新就不让它访问,没有刷新符号给它刷新符号。给些示范代码吧,Session:
程序代码:〈% if session(“refresh”)〈〉 1 then Session(“refresh”)
=session(“refresh”)+1 Response.redirect “index.asp” End if %〉
这样用户第一次访问会使得Refresh=1,第二次访问,正常,第三次,不让他访问了,认为是刷新,可以加上一个时间参数,让多少时间允许访问,这样就限制了耗时间的页面的访问,对正常客户几乎没有什么影响。
3、通过代理发送的HTTP_X_FORWARDED_FOR变量来判断使用代理攻击机器的真实IP,这招完全可以找到发动攻击的人,当然,不是所有的代理服务器都发送,但是有很多代理都发送这个参数。详细代码:
程序代码: 〈%
Dim fsoObject
Dim tsObject
dim file
if Request.ServerVariables("HTTP_X_FORWARDED_FOR")="" then
response.write "无代理访问"
response.end
end if
Set fsoObject = Server.CreateObject("Scripting.FileSystemObject")
file = server.mappath("CCLog.txt")
if not fsoObject.fileexists(file) then
fsoObject.createtextfile file,true,false
end if
set tsObject = fsoObject.OpenTextFile(file,8)
tsObject.Writeline Request.ServerVariables("HTTP_X_FORWARDED_FOR")
&"["&Request.ServerVariables("REMOTE_ADDR")&"]"&now()
Set fsoObject = Nothing
Set tsObject = Nothing
response.write "有代理访问"
%〉
这样会生成CCLog.txt,它的记录格式是:真实IP [代理的IP] 时间,看看哪个真实IP出现的次数多,就知道是谁在攻击了。将这个代码做成Conn.asp文件,替代那些连接数据库的文件,这样所有的数据库请求就连接到这个文件上,然后马上就能发现攻击的人。
4。 还有一个方法就是把需要对数据查询的语句做在Redirect后面,让对方必须先访问一个判断页面,然后Redirect过去。
5。 在存在多站的服务器上,严格限制每一个站允许的IP连接数和CPU使用时间,这是一个很有效的方法。
CC的防御要从代码做起,其实一个好的页面代码都应该注意这些东西,还有SQL注入,不光是一个入侵工具,更是一个DDOS缺口,大家都应该在代码中注意。举个例子吧,某服务器,开动了5000线的CC攻击,没有一点反应,因为它所有的访问数据库请求都必须一个随机参数在Session里面,全是静态页面,没有效果。突然发现它有一个请求会和外面的服务器联系获得,需要较长的时间,而且没有什么认证,开800线攻击,服务器马上满负荷了。
代码层的防御需要从点点滴滴做起,一个脚本代码的错误,可能带来的是整个站的影响,甚至是整个服务器的影响,慎之!
小技巧保护(IIS)Web服务器
[ 2007-03-25 03:16:32 | 作者: sun ]
通常地,大多数Web站点的设计目标都是:以最易接受的方式,为访问者提供即时的信息访问。在过去的几年中,越来越多的黑客、病毒和蠕虫带来的安全问题严重影响了网站的可访问性,尽管Apache服务器也常常是攻击者的目标,然而微软的Internet信息服务(IIS) Web服务器才是真正意义上的众矢之的。
高级教育机构往往无法在构建充满活力、界面友好的网站还是构建高安全性的网站之间找到平衡点。另外,它们现在必须致力于提高网站安全性以面对缩减中的技术预算 (其实许多它们的私有部门也面临着相似的局面)。
正因为如此,我在这里将为预算而头疼的大学IT经理们提供一些技巧,以帮助他们保护他们的IIS服务器。虽然主要是面对大学里的IT专业人员的,但是这些技巧也基本上适用于希望通过少量的财政预算来提高安全性的IIS管理人员。实际上,这里面的一些技巧对拥有强大预算的IIS管理人员也是非常有用的。
首先,开发一套安全策略
保护Web服务器的第一步是确保网络管理员清楚安全策略中的每一项制度。如果公司高层没有把服务器的安全看作是必须被保护的资产,那么保护工作是完全没有意义的。这项工作需要长期的努力。如果预算不支持或者它不是长期IT战略的一部分,那么花费大量时间保护服务器安全的管理员将得不到管理层方面的重要支持。
网络管理员为各方面资源建立安全性的直接结果是什么呢?一些特别喜欢冒险的用户将会被关在门外。那些用户随后会抱怨公司的管理层,管理层人员又会去质问网络管理员究竟发生了什么。那么,网络管理员没办法建立支持他们安全工作的文档,因此,冲突发生了。
通过标注Web服务器安全级别以及可用性的安全策略,网络管理员将能够从容地在不同的操作系统上部署各种软件工具。
IIS安全技巧
微软的产品一向是众矢之的,因此IIS服务器特别容易成为攻击者的靶子。搞清楚了这一点后,网络管理员必须准备执行大量的安全措施。我将要为你们提供的是一个清单,服务器操作员也许会发现这是非常有用的。
1. 保持Windows升级:
你必须在第一时间及时地更新所有的升级,并为系统打好一切补丁。考虑将所有的更新下载到你网络上的一个专用的服务器上,并在该机器上以Web的形式将文件发布出来。通过这些工作,你可以防止你的Web服务器接受直接的Internet访问。
2. 使用IIS防范工具:
这个工具有许多实用的优点,然而,请慎重的使用这个工具。如果你的Web服务器和其他服务器相互作用,请首先测试一下防范工具,以确定它已经被正确的配置,保证其不会影响Web服务器与其他服务器之间的通讯。
3. 移除缺省的Web站点:
很多攻击者瞄准inetpub这个文件夹,并在里面放置一些偷袭工具,从而造成服务器的瘫痪。防止这种攻击最简单的方法就是在IIS里将缺省的站点禁用。然后,因为网虫们都是通过IP地址访问你的网站的 (他们一天可能要访问成千上万个IP地址),他们的请求可能遇到麻烦。将你真实的Web站点指向一个背部分区的文件夹,且必须包含安全的NTFS权限 (将在后面NTFS的部分详细阐述)。
4. 如果你并不需要FTP和SMTP服务,请卸载它们:
进入计算机的最简单途径就是通过FTP访问。FTP本身就是被设计满足简单读/写访问的,如果你执行身份认证,你会发现你的用户名和密码都是通过明文的形式在网络上传播的。SMTP是另一种允许到文件夹的写权限的服务。通过禁用这两项服务,你能避免更多的黑客攻击。
5. 有规则地检查你的管理员组和服务:
有一天我进入我们的教室,发现在管理员组里多了一个用户。这意味着这时某个人已经成功地进入了你的系统,他或她可能冷不丁地将炸弹扔到你的系统里,这将会突然摧毁你的整个系统,或者占用大量的带宽以便黑客使用。黑客同样趋向于留下一个帮助服务,一旦这发生了,采取任何措施可能都太晚了,你只能重新格式化你的磁盘,从备份服务器恢复你每天备份的文件。因此,检查IIS服务器上的服务列表并保持尽量少的服务必须成为你每天的任务。你应该记住哪个服务应该存在,哪个服务不应该存在。Windows 2000 Resource Kit带给我们一个有用的程序,叫作tlist.exe,它能列出每种情况运行在svchost 之下的服务。运行这个程序可以寻找到一些你想要知道的隐藏服务。给你一个提示:任何含有daemon几个字的服务可能不是Windows本身包含的服务,都不应该存在于IIS服务器上。想要得到Windows服务的列表并知道它们各自有什么作用,请点击这里。
6. 严格控制服务器的写访问权限:
这听起来很容易,然而,在大学校园里,一个Web服务器实际上是有很多"作者"的。教职人员都希望让他们的课堂信息能被远程学生访问。职员们则希望与其他的职员共享他们的工作信息。服务器上的文件夹可能出现极其危险的访问权限。将这些信息共享或是传播出去的一个途径是安装第2个服务器以提供专门的共享和存储目的,然后配置你的Web服务器来指向共享服务器。这个步骤能让网络管理员将Web服务器本身的写权限仅仅限制给管理员组。
7. 设置复杂的密码:
我最近进入到教室,从事件察看器里发现了很多可能的黑客。他或她进入了实验室的域结构足够深,以至于能够对任何用户运行密码破解工具。如果有用户使用弱密码 (例如"password"或是 changeme"或者任何字典单词),那么黑客能快速并简单的入侵这些用户的账号。
8. 减少/排除Web服务器上的共享:
如果网络管理员是唯一拥有Web服务器写权限的人,就没有理由让任何共享存在。共享是对黑客最大的诱惑。此外,通过运行一个简单的循环批处理文件,黑客能够察看一个IP地址列表,利用\\命令寻找Everyone/完全控制权限的共享。
9. 禁用TCP/IP协议中的NetBIOS:
这是残忍的。很多用户希望通过UNC路径名访问Web服务器。随着NETBIOS被禁用,他们便不能这么做了。另一方面,随着NETBIOS被禁用,黑客就不能看到你局域网上的资源了。这是一把双刃剑,如果网络管理员部署了这个工具,下一步便是如何教育Web用户如何在NETBIOS失效的情况下发布信息。
10. 使用TCP端口阻塞:
这是另一个残忍的工具。如果你熟悉每个通过合法原因访问你服务器的TCP端口,那么你可以进入你网络接口卡的属性选项卡,选择绑定的TCP/IP协议,阻塞所有你不需要的端口。你必须小心的使用这一工具,因为你并不希望将自己锁在Web服务器之外,特别是在当你需要远程登陆服务器的情况下。要得到TCP端口的详细细节,点击这里。
11. 仔细检查*.bat和*.exe 文件:
每周搜索一次*.bat和*.exe文件,检查服务器上是否存在黑客最喜欢,而对你来说将是一场恶梦的可执行文件。在这些破坏性的文件中,也许有一些是*.reg文件。如果你右击并选择编辑,你可以发现黑客已经制造并能让他们能进入你系统的注册表文件。你可以删除这些没任何意义但却会给入侵者带来便利的主键。
12. 管理IIS目录安全:
IIS目录安全允许你拒绝特定的IP地址、子网甚至是域名。作为选择,我选择了一个被称作WhosOn的软件,它让我能够了解哪些IP地址正在试图访问服务器上的特定文件。WhosOn列出了一系列的异常。如果你发现一个家伙正在试图访问你的cmd.exe,你可以选择拒绝这个用户访问Web服务器。当然,在一个繁忙的Web站点,这可能需要一个全职的员工!然而,在内部网,这真的是一个非常有用的工具。你可以对所有局域网内部用户提供资源,也可以对特定的用户提供。
13. 使用NTFS安全:
缺省地,你的NTFS驱动器使用的是EVERYONE/完全控制权限,除非你手工关掉它们。关键是不要把自己锁定在外,不同的人需要不同的权限,管理员需要完全控制,后台管理账户也需要完全控制,系统和服务各自需要一种级别的访问权限,取决于不同的文件。最重要的文件夹是System32,这个文件夹的访问权限越小越好。在
Web服务器上使用NTFS权限能帮助你保护重要的文件和应用程序。
14.管理用户账户:
如果你已经安装IIS,你可能产生了一个TSInternetUser账户。除非你真正需要这个账户,否则你应该禁用它。这个用户很容易被渗透,是黑客们的显著目标。为了帮助管理用户账户,确定你的本地安全策略没有问题。IUSR用户的权限也应该尽可能的小。
15. 审计你的Web服务器:
审计对你计算机的性能有着较大的影响,因此如果你不经常察看的话,还是不要做审计了。如果你真的能用到它,请审计系统事件并在你需要的时候加入审计工具。如果你正在使用前面提到的WhosOn工具,审计就不那么重要了。缺省地,IIS总是纪录访问, WhosOn 会将这些纪录放置在一个非常容易易读的数据库中,你可以通过Access或是 Excel打开它。如果你经常察看异常数据库,你能在任何时候找到服务器的脆弱点。
总结
上述所有IIS技巧和工具(除了WhosOn以外)都是Windows自带的。不要忘记在测试你网站可达性之前一个一个的使用这些技巧和工具。如果它们一起被部署,结果可能让你损失惨重,你可能需要重启,从而遗失访问。
最后的技巧: 登陆你的Web服务器并在命令行下运行netstat -an。观察有多少IP地址正尝试和你的端口建立连接,然后你将有一大堆的调查和研究要做了。
提高操作系统安全从管理Cookies开始
[ 2007-03-25 03:16:07 | 作者: sun ]
你是否为服务器被入侵而苦恼?你是否对计算机中宝贵数据被泄露而生气?你又是否疑惑为什么服务器保护的很好却还是出现安全问题呢?俗话说攘外必先安内,在我们安装防火墙更新补丁防范外部黑客入侵的同时,首先要做的就是对自己服务器进行全面扫描,将服务器内部蛀虫全部赶走。
一、内部蛀虫有哪些
寄居在系统中的内部蛀虫有很多种,例如间谍软件,恶意插件等。不过这些蛀虫都是可以通过系统优化工具和杀毒软件来解决的。而有些蛀虫让我们这些网络管理员很无奈,例如存储在本地硬盘中的cookies文件,他们记录着计算机操作者的隐私信息,包括用户名和加密的密码以及经常访问的网页信息,总之网站通过cookies文件记录用户的隐私,了解用户浏览的信息。
小提示:
什么是Cookies?Cookies是数据包,可以让网页具有记忆功能,在某台电脑上记忆一定的信息。Cookies的工作原理是,第一次由服务器端写入到客户端的系统中。以后每次访问这个网页,都是先由客户端将Cookies发送到服务器端,再由服务器端进行判断,然后再产生HTML代码返回给客户端。通过这个原理服务器就可以根据不同用户产生不同cookies文件,这样当该用户再次访问同一个站点时就可以根据不同的cookies文件返回不同的页面信息了。
二、如何防范Cookies
Cookies文件是在无声无息中伴随浏览器进入我们本地硬盘的,当我们浏览某个站点时,该站点很可能将记录我们隐私的cookies文件上传到本地硬盘。那么我们如何防范阻止cookies文件泄露我们的隐私呢?实际上我们可以通过浏览器设置不容许计算机接收cookies文件即可。方法如下:
第一步:进入系统打开IE浏览器。
第二步:通过菜单栏中的“工具->internet选项”打开internet设置窗口。
第三步:找到“隐私”标签,将设置的滑动按钮调节到最高,这样将阻止来自所有网站的cookie,而且计算机上的现有cookie文件都将不能被网站读取
第四步:确定后我们完成设置,任何站点都不会将cookie文件强制塞入我们的计算机。我们的隐私也不会再泄露了。
三、Cookies取舍我做主
根据上面的设置我们将所有的cookies文件都阻挡在计算机之外,然而在实际使用中有的站点是需要cookies文件的支持的,特别是一些论坛。如果你禁止了cookies文件的话,这些站点将无法访问。如何解决这些站点的访问问题呢?可能有的读者会说将IE浏览器的隐私设置进行调节不就可以了吗?然而级别调低后计算机的安全性也随之降低了,也许很多我们本来不希望记录的cookies文件也随着隐私级别降低而下载。笔者在网上搜索到一款小软件,通过他可以轻轻松松的管理本地服务器的所有cookies文件,查看他们的信息,删除不必要的cookies。
IECookiesView是一个可以帮你搜寻并显示出你计算机中所有的Cookies档案的数据,包括是哪一个网站写入Cookies的,内容有什么,写入的时间日期及此Cookies的有效期限等等资料。对于那些常常怀疑一些网站写入Cookies内容到你的计算机中是否会对你造成隐私的侵犯的用户来说,使用软件来看看这些Cookies的内容都是些什么,这样就不会再担心怀疑了。此软件只对IE浏览器的Cookies有效。
第一步:下载该软件后解压缩。
第二步:该软件是绿色的,不用安装,只有一个主程序——iecv.exe。运行该程序启动软件。软件会自动扫描驻留在本地计算机IE浏览器中的cookies文件。
第三步:我们随便选中一个cookies后就可以从下面的内容显示区域看到他的地址,参数以及过期时间等信息了。如果是一个红色的叉子说明该cookies已经过期,无法使用;如果是一个绿色的对勾说明该cookies还可以使用。
第四步:找到一个有效的cookies文件后双击打开属性窗口,在这里我们可以看到该cookies的名称和参数,其中参数包括了cookies保存的论坛用户名和经过加密的密码。例如笔者查看的bbs.it168.com,可以看到该论坛保存的cookies记录了用户的。(用户名(softer),用户级别(入门用户)以及密码
第五步:如果你对于某个站点非常反感,不希望计算机下载该站点对应的cookies文件的话,可以将该站点所有cookies删除。方法是在软件上方窗处将某个站点的cookies选中,然后点鼠标右键选择“delete selected cookies files”即可,当然直接点菜单上的红色叉子也是一样的总之该工具有很多功能,例如管理cookies文件,编辑cookies文件,还可以轻松完成对已有cookies文件的导出导入。
一、内部蛀虫有哪些
寄居在系统中的内部蛀虫有很多种,例如间谍软件,恶意插件等。不过这些蛀虫都是可以通过系统优化工具和杀毒软件来解决的。而有些蛀虫让我们这些网络管理员很无奈,例如存储在本地硬盘中的cookies文件,他们记录着计算机操作者的隐私信息,包括用户名和加密的密码以及经常访问的网页信息,总之网站通过cookies文件记录用户的隐私,了解用户浏览的信息。
小提示:
什么是Cookies?Cookies是数据包,可以让网页具有记忆功能,在某台电脑上记忆一定的信息。Cookies的工作原理是,第一次由服务器端写入到客户端的系统中。以后每次访问这个网页,都是先由客户端将Cookies发送到服务器端,再由服务器端进行判断,然后再产生HTML代码返回给客户端。通过这个原理服务器就可以根据不同用户产生不同cookies文件,这样当该用户再次访问同一个站点时就可以根据不同的cookies文件返回不同的页面信息了。
二、如何防范Cookies
Cookies文件是在无声无息中伴随浏览器进入我们本地硬盘的,当我们浏览某个站点时,该站点很可能将记录我们隐私的cookies文件上传到本地硬盘。那么我们如何防范阻止cookies文件泄露我们的隐私呢?实际上我们可以通过浏览器设置不容许计算机接收cookies文件即可。方法如下:
第一步:进入系统打开IE浏览器。
第二步:通过菜单栏中的“工具->internet选项”打开internet设置窗口。
第三步:找到“隐私”标签,将设置的滑动按钮调节到最高,这样将阻止来自所有网站的cookie,而且计算机上的现有cookie文件都将不能被网站读取
第四步:确定后我们完成设置,任何站点都不会将cookie文件强制塞入我们的计算机。我们的隐私也不会再泄露了。
三、Cookies取舍我做主
根据上面的设置我们将所有的cookies文件都阻挡在计算机之外,然而在实际使用中有的站点是需要cookies文件的支持的,特别是一些论坛。如果你禁止了cookies文件的话,这些站点将无法访问。如何解决这些站点的访问问题呢?可能有的读者会说将IE浏览器的隐私设置进行调节不就可以了吗?然而级别调低后计算机的安全性也随之降低了,也许很多我们本来不希望记录的cookies文件也随着隐私级别降低而下载。笔者在网上搜索到一款小软件,通过他可以轻轻松松的管理本地服务器的所有cookies文件,查看他们的信息,删除不必要的cookies。
IECookiesView是一个可以帮你搜寻并显示出你计算机中所有的Cookies档案的数据,包括是哪一个网站写入Cookies的,内容有什么,写入的时间日期及此Cookies的有效期限等等资料。对于那些常常怀疑一些网站写入Cookies内容到你的计算机中是否会对你造成隐私的侵犯的用户来说,使用软件来看看这些Cookies的内容都是些什么,这样就不会再担心怀疑了。此软件只对IE浏览器的Cookies有效。
第一步:下载该软件后解压缩。
第二步:该软件是绿色的,不用安装,只有一个主程序——iecv.exe。运行该程序启动软件。软件会自动扫描驻留在本地计算机IE浏览器中的cookies文件。
第三步:我们随便选中一个cookies后就可以从下面的内容显示区域看到他的地址,参数以及过期时间等信息了。如果是一个红色的叉子说明该cookies已经过期,无法使用;如果是一个绿色的对勾说明该cookies还可以使用。
第四步:找到一个有效的cookies文件后双击打开属性窗口,在这里我们可以看到该cookies的名称和参数,其中参数包括了cookies保存的论坛用户名和经过加密的密码。例如笔者查看的bbs.it168.com,可以看到该论坛保存的cookies记录了用户的。(用户名(softer),用户级别(入门用户)以及密码
第五步:如果你对于某个站点非常反感,不希望计算机下载该站点对应的cookies文件的话,可以将该站点所有cookies删除。方法是在软件上方窗处将某个站点的cookies选中,然后点鼠标右键选择“delete selected cookies files”即可,当然直接点菜单上的红色叉子也是一样的总之该工具有很多功能,例如管理cookies文件,编辑cookies文件,还可以轻松完成对已有cookies文件的导出导入。
银行专家提醒:年底刷卡小心陷阱
[ 2007-03-25 03:15:48 | 作者: sun ]
又到年底了,商店里购买年货的人多了,从安全角度考虑,很多人都没有随身携带现金,而是选择了刷卡消费的便捷方式。与此同时,银行卡诈骗活动近日也有所抬头。为此,记者专门走访了银行专业人士,了解到了日常生活中应该如何防止被骗。
银行人士指出,首先要留意不明信息。如果你没有刷卡消费,手机上却收到“银行”方面发来的消费信息,这很可能是骗子使用的骗术。收到这类信息后,如果需要向有关部门咨询,应拨打此部门向社会公开的咨询服务热线(一般为5位数)。一旦发现可疑者,要及时向警方报案。同时,广大市民应该妥善保管自己的银行卡及卡号、账号、密码等资料,不给犯罪分子以可乘之机。
其次,使用ATM机取款要加倍小心。犯罪分子常常将普通的胶纸或胶套塞进柜员机插卡口,令柜员机系统无法读取卡内资料或出现“暂停服务”字样。这时,持卡人往往以为被“吞卡”而离去,犯罪分子则钩出卡片、用伺机窥得的密码提取存款。还有的不法分子在ATM机的出钞口设置卡子一类的障碍,持卡人进行正确操作后,却没有钞票“吐出”。如果持卡人此时离开,躲在暗处的犯罪分子将很快取走现金。针对上述作案手法,消费者在柜员机上取款时要多加注意,留心旁边是否有人偷窥,一旦出现以上情况,应马上报警或报告相关银行,并最好不要离开柜员机。
第三,使用POS刷卡消费须谨慎。持卡人在消费时,应尽可能要求收银人员在自己的视线内“刷卡”,并留意签账单的交易资料及随后的银行日结单。
第四,当心网上银行交易“陷阱”。一是不要在可疑的网站上登记自己姓名、生日等个人信息。二是在不了解情况时,切勿向虚假站点和冒充站点发送有关资料或密码信息。否则,网上支付卡号与密码泄露后,犯罪分子就有了进行非法资金转移的可能和条件。
银行人士指出,首先要留意不明信息。如果你没有刷卡消费,手机上却收到“银行”方面发来的消费信息,这很可能是骗子使用的骗术。收到这类信息后,如果需要向有关部门咨询,应拨打此部门向社会公开的咨询服务热线(一般为5位数)。一旦发现可疑者,要及时向警方报案。同时,广大市民应该妥善保管自己的银行卡及卡号、账号、密码等资料,不给犯罪分子以可乘之机。
其次,使用ATM机取款要加倍小心。犯罪分子常常将普通的胶纸或胶套塞进柜员机插卡口,令柜员机系统无法读取卡内资料或出现“暂停服务”字样。这时,持卡人往往以为被“吞卡”而离去,犯罪分子则钩出卡片、用伺机窥得的密码提取存款。还有的不法分子在ATM机的出钞口设置卡子一类的障碍,持卡人进行正确操作后,却没有钞票“吐出”。如果持卡人此时离开,躲在暗处的犯罪分子将很快取走现金。针对上述作案手法,消费者在柜员机上取款时要多加注意,留心旁边是否有人偷窥,一旦出现以上情况,应马上报警或报告相关银行,并最好不要离开柜员机。
第三,使用POS刷卡消费须谨慎。持卡人在消费时,应尽可能要求收银人员在自己的视线内“刷卡”,并留意签账单的交易资料及随后的银行日结单。
第四,当心网上银行交易“陷阱”。一是不要在可疑的网站上登记自己姓名、生日等个人信息。二是在不了解情况时,切勿向虚假站点和冒充站点发送有关资料或密码信息。否则,网上支付卡号与密码泄露后,犯罪分子就有了进行非法资金转移的可能和条件。
