浏览模式: 普通 | 列表

推荐日志 从服务器的记录寻找黑客的蛛丝马迹

[ 2007-03-25 03:43:00 | 作者: sun ]

当服务器被攻击时,最容易被人忽略的地方,就是记录文件,服务器的记录文件了黑客活动的蛛丝马迹。在这里,我为大家介绍一下两种常见的网页服务器中最重要的记录文件,分析服务器遭到攻击后,黑客在记录文件中留下什么记录。

目前最常见的网页服务器有两种:Apache和微软的Internet Information Server (简称IIS)。这两种服务器都有一般版本和SSL认证版本,方便黑客对加密和未加密的服务器进行攻击。

IIS的预设记录文件地址在 c:winntsystem32logfilesw3svc1的目录下,文件名是当天的日期,如yymmdd.log。系统会每天产生新的记录文件。预设的格式是W3C延伸记录文件格式(W3C Extended Log File Format),很多相关软件都可以解译、分析这种格式的档案。记录文件在预设的状况下会记录时间、客户端IP地址、method(GET、POST等)、URI stem(要求的资源)、和HTTP状态(数字状态代码)。这些字段大部分都一看就懂,可是HTTP状态就需要解读了。一般而言,如果代码是在200到299代表成功。常见的200状态码代表符合客户端的要求。300到399代表必须由客户端采取动作才能满足所提出的要求。400到499和500到599代表客户端和服务器有问题。最常见的状态代码有两个,一个是404,代表客户端要求的资源不在服务器上,403代表的是所要求的资源拒绝服务。Apache记录文件的预设储存位置在/usr/local/apache/logs。最有价值的记录文件是access_log,不过 ssl_request_log和ssl_engine_log也能提供有用的资料。 access_log记录文件有七个字段,包括客户端IP地址、特殊人物识别符、用户名称、日期、Method Resource Protocol(GET、POST等;要求哪些资源;然后是协议的版本)、HTTP状态、还有传输的字节。

我在这里所用的是与黑客用的相似的模拟攻击网站方式和工具。

分析过程

网页服务器版本是很重要的信息,黑客一般先向网页服务器提出要求,让服务器送回本身的版本信息。只要把「HEAD / HTTP/1.0」这个字符串用常见的netcat utility和OpenSSL binary送到开放服务器的通讯端口就成了。注意看下面的示范:



C:>nc -n 10.0.2.55 80

HEAD / HTTP/1.0

HTTP/1.1 200 OK

Server: Microsoft-IIS/4.0

Date: Sun, 08 Mar 2001 14:31:00 GMT

Content-Type: text/html

Set-Cookie: ASPSESSIONIDGQQQQQPA=IHOJAGJDECOLLGIBNKMCEEED; path=/

Cache-control: private


这种形式的要求在IIS和Apache的记录文件中会生成以下记录:



IIS: 15:08:44 11.1.2.80 HEAD /Default.asp 200

Linux: 11.1.2.80 - - [08/Mar/2001:15:56:39 -0700] "HEAD / HTTP/1.0" 200 0


虽然这类要求合法,看似很平常,不过却常常是网络攻击的前奏曲。access_log和IIS的记录文件没有表明这个要求是连到SSL服务器还是一般的网页服务器,可是Apache的 ssl_request_log和ssl_engine_log(在/usr/local/apache/logs目录下)这两个记录文件就会记录是否有联机到SSL服务器。请看以下的ssl_request_log记录文件:



[07/Mar/2001:15:32:52 -0700] 11.1.1.50 SSLv3 EDH-RSA-DES-CBC3-SHA "HEAD / HTTP/1.0" 0


第三和第四个字段表示客户端使用的是哪种加密方式。以下的ssl_request_log分别记录从OpenSSL、 Internet Explorer和Netscape客户端程序发出的要求。



[07/Mar/2001:15:48:26 -0700] 11.1.1.50 SSLv3 EDH-RSA-DES-CBC3-SHA "GET / HTTP/1.0" 2692

[07/Mar/2001:15:52:51 -0700] 10.0.2.55 TLSv1 RC4-MD5 "GET / HTTP/1.1" 2692

[07/Mar/2001:15:54:46 -0700] 11.1.1.50 SSLv3 EXP-RC4-MD5 "GET / HTTP/1.0" 2692

[07/Mar/2001:15:55:34 –0700] 11.1.2.80 SSLv3 RC4-MD5 “GET / HTTP/1.0” 2692



另外黑客通常会复制一个网站(也就是所谓的镜射网站。),来取得发动攻击所需要的信息。网页原始码中的批注字段常有目录、文件名甚至密码的有用资料。复制网站常用的工具包括窗口系统的Teleport Pro(网址:http://www.tenmax.com/teleport/pro/home.htm)和Unix系统的wget(网址:http://www.gnu.org/manual/wget/)。在这里我为大家分析wget和TeleportPro这两个软件攻击网页服务器后记录文件中的内容。这两个软件能全面快速搜寻整个网站,对所有公开的网页提出要求。只要检查一下记录文件就知道,要解译镜射这个动作是很简单的事。以下是IIS的记录文件:



16:28:52 11.1.2.80 GET /Default.asp 200

16:28:52 11.1.2.80 GET /robots.txt 404

16:28:52 11.1.2.80 GET /header_protecting_your_privacy.gif 200

16:28:52 11.1.2.80 GET /header_fec_reqs.gif 200

16:28:55 11.1.2.80 GET /photo_contribs_sidebar.jpg 200

16:28:55 11.1.2.80 GET /g2klogo_white_bgd.gif 200

16:28:55 11.1.2.80 GET /header_contribute_on_line.gif 200



注:11.1.2.80这个主机是Unix系统的客户端,是用wget软件发出请求。


16:49:01 11.1.1.50 GET /Default.asp 200

16:49:01 11.1.1.50 GET /robots.txt 404

16:49:01 11.1.1.50 GET /header_contribute_on_line.gif 200

16:49:01 11.1.1.50 GET /g2klogo_white_bgd.gif 200

16:49:01 11.1.1.50 GET /photo_contribs_sidebar.jpg 200

16:49:01 11.1.1.50 GET /header_fec_reqs.gif 200

16:49:01 11.1.1.50 GET /header_protecting_your_privacy.gif 200


注:11.1.1.50系统是窗口环境的客户端,用的是TeleportPro发出请求。

注意:以上两个主机都要求robots.txt这个档,其实这个档案是网页管理员的工具,作用是防止wget和TeleportPro这类自动抓文件软件对某些网页从事抓取或搜寻的动作。如果有人提出robots.txt档的要求,常常代表是要镜射整个网站。但,TeleportPro和wget这两个软件都可以把要求robots.txt这个文件的功能取消。另一个侦测镜射动作的方式,是看看有没有同一个客户端IP反复提出资源要求。

黑客还可以用网页漏洞稽核软件:Whisker,来侦查网页服务器有没有安全后门(主要是检查有没有cgi-bin程序,这种程序会让系统产生安全漏洞)。以下是IIS和Apache网页服务器在执行Whisker后产生的部分记录文件。



IIS:

13:17:56 11.1.1.50 GET /SiteServer/Publishing/viewcode.asp 404

13:17:56 11.1.1.50 GET /msadc/samples/adctest.asp 200

13:17:56 11.1.1.50 GET /advworks/equipment/catalog_type.asp 404

13:17:56 11.1.1.50 GET /iisadmpwd/aexp4b.htr 200

13:17:56 11.1.1.50 HEAD /scripts/samples/details.idc 200

13:17:56 11.1.1.50 GET /scripts/samples/details.idc 200

13:17:56 11.1.1.50 HEAD /scripts/samples/ctguestb.idc 200

13:17:56 11.1.1.50 GET /scripts/samples/ctguestb.idc 200

13:17:56 11.1.1.50 HEAD /scripts/tools/newdsn.exe 404

13:17:56 11.1.1.50 HEAD /msadc/msadcs.dll 200

13:17:56 11.1.1.50 GET /scripts/iisadmin/bdir.htr 200

13:17:56 11.1.1.50 HEAD /carbo.dll 404

13:17:56 11.1.1.50 HEAD /scripts/proxy/ 403

13:17:56 11.1.1.50 HEAD /scripts/proxy/w3proxy.dll 500

13:17:56 11.1.1.50 GET /scripts/proxy/w3proxy.dll 500


Apache:

11.1.1.50 - - [08/Mar/2001:12:57:28 -0700] "GET /cfcache.map HTTP/1.0" 404 266

11.1.1.50 - - [08/Mar/2001:12:57:28 -0700] "GET /cfide/Administrator/startstop.html
HTTP/1.0" 404 289

11.1.1.50 - - [08/Mar/2001:12:57:28 -0700] "GET /cfappman/index.cfm HTTP/1.0" 404 273

11.1.1.50 - - [08/Mar/2001:12:57:28 -0700] "GET /cgi-bin/ HTTP/1.0" 403 267

11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "GET /cgi-bin/dbmlparser.exe HTTP/1.0" 404 277

11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /_vti_inf.html HTTP/1.0" 404 0

11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /_vti_pvt/ HTTP/1.0" 404 0

11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /cgi-bin/webdist.cgi HTTP/1.0" 404 0

11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /cgi-bin/handler HTTP/1.0" 404 0

11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /cgi-bin/wrap HTTP/1.0" 404 0

11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /cgi-bin/pfdisplay.cgi HTTP/1.0" 404 0



大家要侦测这类攻击的关键,就在于从单一IP地址发出大量的404 HTTP状态代码。只要注意到这类信息,就可以分析对方要求的资源;于是它们就会拼命要求提供 cgi-bin scripts(Apache 服务器的 cgi-bin 目录;IIS服务器的 scripts目录)。

小结

网页如果被人探访过,总会在记录文件留下什么线索。如果网页管理员警觉性够高,应该会把分析记录文件作为追查线索,并且在检查后发现网站真的有漏洞时,就能预测会有黑客攻击网站。

接下来我要向大家示范两种常见的网页服务器攻击方式,分析服务器在受到攻击后黑客在记录文件中痕迹。

(1)MDAC攻击

MDAC攻击法可以让网页的客户端在IIS网页服务器上执行命令。如果有人开始攻击IIS服务器,记录文件就会记下客户端曾经呼叫msadcs.dll文档:



17:48:49 12.1.2.8 GET /msadc/msadcs.dll 200

17:48:51 12.1.2.8 POST /msadc/msadcs.dll 200


(2)利用原始码漏洞

第二种攻击方式也很普遍,就是会影响ASP和Java网页的暴露原始码漏洞。 最晚被发现的安全漏洞是 +.htr 臭虫,这个bug会显示ASP原始码。 如果有人利用这个漏洞攻击,就会在IIS的记录文件里面留下这些线索:



17:50:13 11.1.2.80 GET /default.asp+.htr 200


网页常会只让有权限的使用者进入。接下来我们要让各位看 Apache的access_log记录文件会在登录失败时留下什么线索:



12.1.2.8 - user [08/Mar/2001:18:58:29 -0700] "GET /private/ HTTP/1.0" 401 462


注:第三栏里面的使用者名称是「user」。还有要注意HTTP的状态代号是401,代表非法存取。

推荐日志 有效防止DOS攻击--利用linux架设防火墙

[ 2007-03-25 03:42:44 | 作者: sun ]
虚拟主机服务商在运营过程中可能会受到黑客攻击,常见的攻击方式有SYN,DDOS等。通过更换IP,查找被攻击的站点可能避开攻击,但是中断服务的时间比较长。比较彻底的解决方法是添置硬件防火墙。不过,硬件防火墙价格比较昂贵。可以考虑利用Linux系统本身提供的防火墙功能来防御。

1. 抵御SYN

SYN攻击是利用TCP/IP协议3次握手的原理,发送大量的建立连接的网络包,但不实际建立连接,最终导致被攻击服务器的网络队列被占满,无法被正常用户访问。Linux内核提供了若干SYN相关的配置,用命令:


sysctl -a | grep syn


看到:


net.ipv4.tcp_max_syn_backlog = 1024
net.ipv4.tcp_syncookies = 0
net.ipv4.tcp_synack_retries = 5
net.ipv4.tcp_syn_retries = 5


tcp_max_syn_backlog是SYN队列的长度,tcp_syncookies是一个开关,是否打开SYN Cookie功能,该功能可以防止部分SYN攻击。tcp_synack_retries和tcp_syn_retries定义SYN的重试次数。加大SYN队列长度可以容纳更多等待连接的网络连接数,打开SYN Cookie功能可以阻止部分SYN攻击,降低重试次数也有一定效果。

调整上述设置的方法是:

增加SYN队列长度到2048:


sysctl -w net.ipv4.tcp_max_syn_backlog=2048


打开SYN COOKIE功能:


sysctl -w net.ipv4.tcp_syncookies=1


降低重试次数:


sysctl -w net.ipv4.tcp_synack_retries=3
sysctl -w net.ipv4.tcp_syn_retries=3


为了系统重启动时保持上述配置,可将上述命令加入到/etc/rc.d/rc.local文件中。



2. 抵御DDOS

DDOS,分布式拒绝访问攻击,是指黑客组织来自不同来源的许多主机,向常见的端口,如80,25等发送大量连接,但这些客户端只建立连接,不是正常访问。由于一般Apache配置的接受连接数有限(通常为256),这些“假” 访问会把Apache占满,正常访问无法进行。

Linux提供了叫ipchains的防火墙工具,可以屏蔽来自特定IP或IP地址段的对特定端口的连接。使用ipchains抵御DDOS,就是首先通过netstat命令发现攻击来源地址,然后用ipchains命令阻断攻击。发现一个阻断一个。

打开ipchains功能

首先查看ipchains服务是否设为自动启动:

chkconfig --list ipchains

输出一般为:

ipchains 0:off 1:off 2:on 3:on 4:on 5:on 6:off

如果345列为on,说明ipchains服务已经设为自动启动如果没有,可以用命令:

chkconfig --add ipchains

将ipchains服务设为自动启动。

其次,察看ipchains配置文件/etc/sysconfig/ipchains是否存在。如果这一文件不存在,ipchains即使设为自动启动,也不会生效。缺省的ipchains配置文件内容如下:


# Firewall configuration written by lokkit
# Manual customization of this file is not recommended.
# Note: ifup-post will punch the current nameservers through the
# firewall; such entries will *not* be listed here.
:input ACCEPT
:forward ACCEPT
:output ACCEPT
-A input -s 0/0 -d 0/0 -i lo -j ACCEPT
# allow http,ftp,smtp,ssh,domain via tcp; domain via udp
-A input -p tcp -s 0/0 -d 0/0 pop3 -y -j ACCEPT
-A input -p tcp -s 0/0 -d 0/0 http -y -j ACCEPT
-A input -p tcp -s 0/0 -d 0/0 https -y -j ACCEPT
-A input -p tcp -s 0/0 -d 0/0 ftp -y -j ACCEPT
-A input -p tcp -s 0/0 -d 0/0 smtp -y -j ACCEPT
-A input -p tcp -s 0/0 -d 0/0 ssh -y -j ACCEPT
-A input -p tcp -s 0/0 -d 0/0 domain -y -j ACCEPT
-A input -p udp -s 0/0 -d 0/0 domain -j ACCEPT
# deny icmp packet
#-A input -p icmp -s 0/0 -d 0/0 -j DENY
# default rules
-A input -p tcp -s 0/0 -d 0/0 0:1023 -y -j REJECT
-A input -p tcp -s 0/0 -d 0/0 2049 -y -j REJECT
-A input -p udp -s 0/0 -d 0/0 0:1023 -j REJECT
-A input -p udp -s 0/0 -d 0/0 2049 -j REJECT
-A input -p tcp -s 0/0 -d 0/0 6000:6009 -y -j REJECT
-A input -p tcp -s 0/0 -d 0/0 7100 -y -j REJECT


如果/etc/sysconfig/ipchains文件不存在,可以用上述内容创建之。创建之后,启动ipchains服务:/etc/init.d/ipchains start

用netstat命令发现攻击来源

假如说黑客攻击的是Web 80端口,察看连接80端口的客户端IP和端口,命令如下:netstat -an -t tcp | grep ":80" | grep ESTABLISHED | awk '{printf "%s %s\n",$5,$6}' | sort

输出:


161.2.8.9:123 FIN_WAIT2
161.2.8.9:124 FIN_WAIT2
61.233.85.253:23656 FIN_WAIT2
...


第一栏是客户机IP和端口,第二栏是连接状态。如果来自同一IP的连接很多(超过50个),而且都是连续端口,就很可能是攻击。如果只希望察看建立的连接,用命令:


netstat -an -t tcp | grep ":80"
| grep ESTABLISHED | awk '{printf "%s %s\n",$5,$6}' | sort





用ipchains阻断攻击来源

用ipchains阻断攻击来源,有两种方法。一种是加入到/etc/sysconfig/ipchains里,然后重启动ipchains服务。另一种是直接用ipchains命令加。屏蔽之后,可能还需要重新启动被攻击的服务,是已经建立的攻击连接失效,加入/etc/sysconfig/ipchains.

假定要阻止的是218.202.8.151到80的连接,编辑/etc/sysconfig/ipchains文件,在:output ACCEPT

行下面加入:

-A input -s 218.202.8.151 -d 0/0 http -y -j REJECT

保存修改,重新启动ipchains:

/etc/init.d/ipchains restart

如果要阻止的是218.202.8的整个网段,加入:

-A input -s 218.202.8.0/255.255.255.0 -d 0/0 http -y -j REJECT


直接用命令行

加入/etc/sysconfig/ipchains文件并重起ipchains的方法,比较慢,而且在ipchains重起的瞬间,可能会有部分连接钻进来。最方便的方法是直接用ipchains命令。假定要阻止的是218.202.8.151到80的连接,命令:

ipchains -I input 1 -p tcp -s 218.202.8.151 -d 0/0 http -y -j REJECT

如果要阻止的是218.202.8的整个网段,命令:

ipchains -I input 1 -p tcp -s 218.202.8.0/255.255.255.0 -d 0/0 http -y -j REJECT

其中,-I的意思是插入,input是规则连,1是指加入到第一个。

您可以编辑一个shell脚本,更方便地做这件事,命令:

vi blockit

内容:


#!/bin/sh
if [ ! -z "$1" ] ; then
echo "Blocking: $1"
ipchains -I input 1 -p tcp -s "$1" -d 0/0 http -y -j REJECT
else
echo "which ip to block?"
fi


保存,然后:


chmod 700 blockit


使用方法:


./blockit 218.202.8.151
./blockit 218.202.8.0/255.255.255.0


上述命令行方法所建立的规则,在重起之后会失效,您可以用ipchains-save命令打印规则:

ipchains-save

输出:


:input ACCEPT
:forward ACCEPT
:output ACCEPT
Saving `input'.
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i lo -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 110:110 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 80:80 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 22:22 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 88:88 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 89:89 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 90:90 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 91:91 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 8180:8180 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 443:443 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 21:21 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 25:25 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 22:22 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 53:53 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 9095:9095 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 8007:8007 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 53:53 -p 17 -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 0:1023 -p 6 -j REJECT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 2049:2049 -p 6 -j REJECT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 0:1023 -p 17 -j REJECT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 2049:2049 -p 17 -j REJECT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 6000:6009 -p 6 -j REJECT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 7100:7100 -p 6 -j REJECT -y


您需要把其中的"Saving `input'."去掉,然后把其他内容保存到/etc/sysconfig/ipchains文件,这样,下次重起之后,建立的规则能够重新生效。



3. 如果使用iptables

RH 8.0以上开始启用iptables替代ipchains,两者非常类似,也有差别的地方。

* 启用iptables

如果/etc/sysconfig/下没有iptables文件,可以创建:


# Firewall configuration written by lokkit
# Manual customization of this file is not recommended.
# Note: ifup-post will punch the current nameservers through the
# firewall; such entries will *not* be listed here.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Lokkit-0-50-INPUT - [0:0]
-A INPUT -j RH-Lokkit-0-50-INPUT
-A RH-Lokkit-0-50-INPUT -i lo -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport ftp -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport ssh -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport http -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport smtp -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport pop3 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport mysql -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 2001 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport domain -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport domain -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 0:1023 --syn -j REJECT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 2049 --syn -j REJECT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 0:1023 -j REJECT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 2049 -j REJECT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 6000:6009 --syn -j REJECT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 7100 --syn -j REJECT
COMMIT


以上配置允许了ftp, ssh, http, smtp, pop3, mysql, 2001(Prim@Hosting ACA端口),domain端口。

启动iptables

/etc/init.d/iptables start

设置iptables为自动启动

chkconfig --level 2345 iptables on

用iptables屏蔽IP

iptables -I RH-Lokkit-0-50-INPUT 1 -p tcp -m tcp -s 213.8.166.227 --dport 80 --syn -j REJECT

注意到,和ipchains的区别是:

-I 后面跟的规则名称的参数和ipchains不同,不是统一的input,而是在/etc/sysconfig/iptables里定义的那个多了-m tcp指定端口的参数是--dport 80多了--syn参数,可以自动检测sync攻击。

使用iptables禁止ping:


-A INPUT -p icmp -m icmp --icmp-type 8 -m
limit --limit 6/min --limit-burst 2 -j
ACCEPT-A INPUT -p icmp -m icmp --icmp-type 8 -j
REJECT --reject-with icmp-port-unreachable

推荐日志 使用路由器仍然还需要防病毒措施

[ 2007-03-25 03:42:26 | 作者: sun ]
如果通过路由器接入互联网,不安装防病毒软件是否安全?是不是应该安装杀毒软件?

即便使用路由器接入互联网,也一定要安装防病毒软件。路由器具有地址转换及开闭TCP/IP通信端口的功能。这些功能虽然可防止病毒传播等一些来自互联网的攻击,但其中仍有无法阻止的攻击。

路由器无法完全防止攻击

比如,路由器无法防御邮件附件中的病毒。因为病毒已作为邮件的一部分存入个人电脑。另外,无法检测出从网上下载的软件中包含的病毒。

那么,路由器可防止何种攻击呢?互联网上的TCP/IP通信使用全球通用IP地址与联络方的个人电脑等终端交换数据。全球通用IP地址是用户接入互联网时服务提供商分配的IP地址。路由器具有可在多台个人电脑上共享这一通用IP地址的功能(称为IP伪装等,IP Masquerade)。

如使用地址转换功能,则可在共用一条接入线路的各个人电脑上使用固定IP(Private IP)地址。固定IP地址是一种可在不直接接入互联网的LAN中自由使用的IP地址,由路由器自动分配。

路由器的安全功能

几乎所有路由器都具有数据包过滤功能,可根据不同的端口号进行数据控制。

固定IP不能在互联网中使用(不能路由),要想通过互联网直接访问分配有这种地址的个人电脑非常困难。也就是说,经路由器接入互联网的个人电脑受到外部入侵的可能性很小。

另外,TCP/IP通信中还使用了端口号。数据通过IP地址传送至目标个人电脑,但为了分清目标个人电脑中哪个应用软件使用该数据,因此需要使用端口号。一般应用软件使用的端口号都是固定的,路由器根据端口号决定数据的通过或拦截(关闭端口等)。

最近肆虐的W32/MSBlaster等病毒利用的就是使用特定端口号的软件(服务)中存在的漏洞,因此只正确使用路由器的端口关闭功能可以有效防止此类病毒的感染。
一)如何在注册表被锁定的情况下修复注册表


注册表被锁定这一招是比较恶毒的,它使普遍用户即使会简单修改注册表使其恢复的条件下,困难又多了一层。症状是在开始菜单中点击“运行”,在运行框中输入regedit命令时,注册表不能够使用,并发现系统提示你没有权限运行该程序,然后让你联系系统管理员。


这是由于注册表编辑器:


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System下的DWORD值“DisableRegistryTools”被修改为“1”的缘故,将其键值恢复为“0”即可恢复注册表的使用。


解决办法:


(1)可以自己动手制作一个解除注册表锁定的工具,就是用记事本编辑一个任意名字的.reg文件,比如recover.reg,内容如下:

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"DisableRegistryTools"=dword:00000000


要特别注意的是:如果你用这个方法制作解除注册表锁定的工具,一定要严格按照上面的书写格式进行,不能遗漏更不能修改(其实你只需将上述内容“复制”、“粘贴”到你机器记事本中即可);完成上述工作后,点击记事本的文件菜单中的“另存为”项,文件名可以随意,但文件扩展名必须为.reg(切记),然后点击“保存”。这样一个注册表解锁工具就制作完成了,之后你只须双击生成的工具图标,其会提示你是否将这个信息添加进注册表,你要点击“是”,随后系统提示信息已成功输入注册表,再点击“确定”即可将注册表解锁了。


(2)也可以直接下载下面这个解锁工具,下载完成运行后可直接解锁注册表编辑器:


http://it.rising.com.cn/antivirus/net_virus/spiteful/enable.reg


(二)篡改IE的默认页


有些IE被改了起始页后,即使设置了“使用默认页”仍然无效,这是因为IE起始页的默认页也被篡改了。具体说就是以下注册表项被修改:


HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Page_URL


“Default_Page_URL”这个子键的键值即起始页的默认页。


解决办法:


运行注册表编辑器,然后展开上述子键,将“Default_Page_UR”子键的键值中的那些篡改网站的网址改掉就行了,或者将其设置为IE的默认值。


(三)修改IE浏览器缺省主页,并且锁定设置项,禁止用户更改


主要是修改了注册表中IE设置的下面这些键值(DWORD值为1时为不可选):


HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel

"Settings"=dword:1


HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel

"Links"=dword:1


HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel

"SecAddSites"=dword:1


解决办法:


将上面这些DWORD值改为“0”即可恢复功能。


(四)IE的默认首页灰色按扭不可选


这是由于注册表HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel


下的DWORD值“homepage”的键值被修改的缘故。原来的键值为“0”,被修改后为“1”(即为灰色不可选状态)。


解决办法:


将“homepage”的键值改为“0”即可。


(五)IE标题栏被修改


在系统默认状态下,是由应用程序本身来提供标题栏的信息,但也允许用户自行在上述注册表项目中填加信息,而一些恶意的网站正是利用了这一点来得逞的:它们将串值Window Title下的键值改为其网站名或更多的广告信息,从而达到改变浏览者IE标题栏的目的。


具体说来受到更改的注册表项目为:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Window Title


HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title


解决办法:


①在Windows启动后,点击“开始”→“运行”菜单项,在“打开”栏中键入regedit,然后按“确定”键;


②展开注册表到


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main下,在右半部分窗口中找到串值“Window Title” ,将该串值删除即可,或将Window Title的键值改为“IE浏览器”等你喜欢的名字;


③同理,展开注册表到


HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main


然后按②中所述方法处理。


④退出注册表编辑器,重新启动计算机,运行IE,你会发现困扰你的问题被解决了!


(六)IE右键菜单被修改


受到修改的注册表项目为:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt


下被新建了网页的广告信息,并由此在IE右键菜单中出现!


解决办法:


打开注册标编辑器,找到


HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt


删除相关的广告条文即可,注意不要把下载软件FlashGet和Netants也删除掉,这两个可是“正常”的,除非你不想在IE的右键菜单中见到它们。


(七)IE默认搜索引擎被修改


在IE浏览器的工具栏中有一个搜索引擎的工具按钮,可以实现网络搜索,被篡改后只要点击那个搜索工具按钮就会链接到那个篡改网站。出现这种现象的原因是以下注册表被修改:


HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch


HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\SearchAssistant


解决办法:


运行注册表编辑器,依次展开上述子键,将“CustomizeSearch”和“SearchAssistant”的键值改为某个搜索引擎的网址即可。


(八)系统启动时弹出对话框


受到更改的注册表项目为:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon


在其下被建立了字符串“LegalNoticeCaption”和“LegalNoticeText”,其中“LegalNoticeCaption”是提示框的标题,“LegalNoticeText”是提示框的文本内容。由于它们的存在,就使得我们每次登陆到Windwos桌面前都出现一个提示窗口,显示那些网页的广告信息!


解决办法:


打开注册表编辑器,找到


HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon


这一个主键,然后在右边窗口中找到“LegalNoticeCaption”和“LegalNoticeText”这两个字符串,删除这两个字符串就可以解决在登陆时出现提示框的现象了。


(九)IE默认连接首页被修改


IE浏览器上方的标题栏被改成“欢迎访问……网站”的样式,这是最常见的篡改手段,受害者众多。


受到更改的注册表项目为:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page


HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page


通过修改“Start Page”的键值,来达到修改浏览者IE默认连接首页的目的,如浏览“万花谷”就会将你的IE默认连接首页修改为“http://on888.home.chinaren.com ”,即便是出于给自己的主页做广告的目的,也显得太霸道了一些,这也是这类网页惹人厌恶的原因。


解决办法:


①在Windows启动后,点击“开始”→“运行”菜单项,在“打开”栏中键入regedit,然后按“确定”键;


②展开注册表到

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main下,在右半部分窗口中找到串值“Start Page”双击 ,将Start Page的键值改为“about:blank”即可;


③同理,展开注册表到

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

在右半部分窗口中找到串值“Start Page”,然后按②中所述方法处理。


④退出注册表编辑器,重新启动计算机,一切OK了!


特殊例子:当IE的起始页变成了某些网址后,就算你通过选项设置修改好了,重启以后又会变成他们的网址啦,十分的难缠。其实他们是在你机器里加了一个自运行程序,它会在系统启动时将你的IE起始页设成他们的网站。


解决办法:运行注册表编辑器regedit.exe,然后依次展开

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run


主键,然后将其下的registry.exe子键删除,然后删除自运行程序c:\Program Files\registry.exe,最后从IE选项中重新设置起始页。


(十)IE中鼠标右键失效


浏览网页后在IE中鼠标右键失效,点击右键没有任何反应!


有的网络流氓为了达到其恶意宣传的目的,将你的右键弹出的功能菜单进行了修改,并且加入了一些乱七八糟的东西,甚至为了禁止你下载,将IE窗口中单击右键的功能都屏蔽掉。


解决办法:


1.右键菜单被修改。打开注册表编辑器,找到HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt,删除相关的广告条文。


2.右键功能失效。打开注册表编辑器,展开到HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions,将其DWORD值"NoBrowserContextMenu"的值改为0。


(十一)查看“源文件”菜单被禁用


在IE窗口中点击“查看”→“源文件”,发现“源文件”菜单已经被禁用。


恶意网页修改了注册表,具体的位置为:


在注册表

HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer


下建立子键“Restrictions”,然后在“Restrictions”下面建立两个DWORD值:


“NoViewSource”和“NoBrowserContextMenu”,并为这两个DWORD值赋值为“1”。


在注册表

HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Restrictions

下,将两个DWORD值:“NoViewSource”和“NoBrowserContextMenu”的键值都改为了“1”。


通过上面这些键值的修改就达到了在IE中使鼠标右键失效,使“查看”菜单中的“源文件”被禁用的目的。


解决办法:


将以下内容另存为后缀名为.reg的注册表文件,比如说unlock.reg,双击unlock.reg导入注册表,不用重启电脑,重新运行IE就会发现IE的功能恢复正常了。


REGEDIT4


HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions


“NoViewSource”=dword:00000000


"NoBrowserContextMenu"=dword:00000000


HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Restrictions


“NoViewSource”=dword:00000000


“NoBrowserContextMenu”=dword:00000000

推荐日志 快速增强路由器安全的十个小技巧

[ 2007-03-25 03:41:59 | 作者: sun ]
很多网络管理员还没有认识到他们的路由器能够成为攻击的热点,路由器操作系统同网络操作系统一样容易受到黑客的攻击。大多数中小企业没有雇佣路由器工程师,也没有把这项功能当成一件必须要做的事情外包出去。因此,网络管理员和经理人既不十分了解也没有时间去保证路由器的安全。下面是保证路由器安全的十个基本的技巧。

  1.更新你的路由器操作系统:就像网络操作系统一样,路由器操作系统也需要更新,以便纠正编程错误、软件瑕疵和缓存溢出的问题。要经常向你的路由器厂商查询当前的更新和操作系统的版本。


  2.修改默认的口令:据卡内基梅隆大学的计算机应急反应小组称,80%的安全事件都是由于较弱或者默认的口令引起的。避免使用普通的口令,并且使用大小写字母混合的方式作为更强大的口令规则。

  3.禁用HTTP设置和SNMP(简单网络管理协议):你的路由器的HTTP设置部分对于一个繁忙的网络管理员来说是很容易设置的。但是,这对路由器来说也是一个安全问题。如果你的路由器有一个命令行设置,禁用HTTP方式并且使用这种设置方式。如果你没有使用你的路由器上的SNMP,那么你就不需要启用这个功能。思科路由器存在一个容易遭受GRE隧道攻击的SNMP安全漏洞。

  4.封锁ICMP(互联网控制消息协议)ping请求:ping和其它ICMP功能对于网络管理员和黑客都是非常有用的工具。黑客能够利用你的路由器上启用的ICMP功能找出可用来攻击你的网络的信息。

  5.禁用来自互联网的telnet命令:在大多数情况下,你不需要来自互联网接口的主动的telnet会话。如果从内部访问你的路由器设置会更安全一些。

  6.禁用IP定向广播:IP定向广播能够允许对你的设备实施拒绝服务攻击。一台路由器的内存和CPU难以承受太多的请求。这种结果会导致缓存溢出。

  7.禁用IP路由和IP重新定向:重新定向允许数据包从一个接口进来然后从另一个接口出去。你不需要把精心设计的数据包重新定向到专用的内部网路。

  8.包过滤:包过滤仅传递你允许进入你的网络的那种数据包。许多公司仅允许使用80端口(HTTP)和110/25端口(电子邮件)。此外,你可以封锁和允许IP地址和范围。

  9.审查安全记录:通过简单地利用一些时间审查你的记录文件,你会看到明显的攻击方式,甚至安全漏洞。你将为你经历了如此多的攻击感到惊奇。

  10.不必要的服务:永远禁用不必要的服务,无论是路由器、服务器和工作站上的不必要的服务都要禁用。思科的设备通过网络操作系统默认地提供一些小的服务,如echo(回波), chargen(字符发生器协议)和discard(抛弃协议)。这些服务,特别是它们的UDP服务,很少用于合法的目的。但是,这些服务能够用来实施拒绝服务攻击和其它攻击。包过滤可以防止这些攻击。

推荐日志 预防网络病毒的八个忠告

[ 2007-03-25 03:41:48 | 作者: sun ]
纵观今年全球病毒的发展,不难发现蠕虫病毒接踵而至,着实让杀毒市场火了一把。蠕虫病毒信手拈来,如库尔尼科娃、Sircam、红色代码、蓝色代码、本拉登等等,一个比一个厉害,一个比一个恶毒,令人防不胜防,只要你上网,不经意之间就有可能染上病毒而浑然不知。



现在人们还没有养成定期进行系统升级、维护的习惯,这也是最近受病毒侵害感染率高的原因之一。只要培养良好的预防病毒意识,并充分发挥杀毒软件的防护能力,完全可以将大部分病毒拒之门外。


1、安装防毒软件:鉴于现今病毒无孔不入,安装一套防毒软件很有必要。首次安 装时,一定要对计算机做一次彻底的病毒扫描,尽管麻烦一点,但可以确保系统尚未受过病毒感染。另外建议你每周至少更新一次病毒定义码或病毒引擎(引擎的更新速度比病毒定义码要慢得多),因为最新的防病毒软件才是最有效的。定期扫描计算机也是一个良好的习惯。


2、注意软盘、光盘媒介:在使用软盘、光盘或活动硬盘其他媒介之前,一定要对 之进行扫描,不怕一万,就怕万一。


3、下载注意点:下载一定要从比较可*的站点进行,对于互联网上的文档与电子 邮件,下载后也须不厌其烦做病毒扫描。


4、用常识进行判断:来历不明的邮件决不要打开,遇到形迹可疑或不是预期中的 朋友来信中的附件,决不要轻易运行,除非你已经知道附件的内容。


5、禁用Windows Scripting Host。许多病毒,特别是蠕虫病毒正是钻了这项“空子”,使得用户无需点击附件,就可自动打开一个被感染的附件。


6、使用基于客户端的防火墙或过滤措施,以增强计算机对黑客和恶意代码的攻击 的免疫力。或者在一些安全网站中,可对自己的计算机做病毒扫描,察看它是否存在安全漏洞与病毒。如果你经常在线,这一点很有必要,因为如果你的系统没有加设有效防护,你的个人资料很有可能会被他人窃取。


7、警惕欺骗性或文告性的病毒。这类病毒利用了人性的弱点,以子虚乌有的说辞 来打动你,记住,天下没有免费的午餐,一旦发现,尽快删除。更有病毒伪装成杀毒软件骗人。


8、使用其它形式的文档,比如说办公处理换用.wps或.pdf文档以防止宏病毒。当然,这不是彻底避开病毒的万全之策,但不失为一个避免病毒缠绕的好方法。

推荐日志 修改注册表对付病毒木马后门及黑客

[ 2007-03-25 03:41:37 | 作者: sun ]
在网络给我们的工作学习带来极大方便的同时,病毒、木马、后门以及黑客程序也严重影响着信息的安全。这些程序感染计算机的一个共同特点是在注册表中写入信息,来达到如自动运行、破坏和传播等目的。以下是笔者在网上收集的,通过修改注册表来对付病毒、木马、后门以及黑客程序,保证个人计算机的安全。






1.预防Acid Battery v1.0木马的破坏

在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunServices下若在右边窗口中如发现了“Explorer”键值,则说明中了YAI木马,将它删除。

2.预防YAI木马的破坏

在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunServices下,若在右边窗口中如发现了“Batterieanzeige”键值,则说明中了YAI木马,将它删除。

3.预防Eclipse 2000木马的破坏

在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunServices下,若在右边窗口中如发现了“bybt”键值,则将它删除。然后在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunServices下删除右边的键值“cksys”,重新启动电脑。

4.预防BO2000的破坏

在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunServices下,若在右边窗口中如发现了“umgr32.exe”键值,则说明中了BO2000,将它删除。

5.预防爱虫的破坏

在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run下,若在右边窗口中如发现了“MSKernel32”键值,就将它删除。

6.禁止出现IE菜单中“工具”栏里“interner选项”

把c:\windows\system下的名为inetcpl.cpl更名为inetcpl.old或则别的名字后就会出现禁止使用的情况把名字再换回来,就可以恢复使用。

7.预防BackDoor的破坏

在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run下,若在右边窗口中如发现了“Notepad”键值,就将它删除。

8.预防WinNuke的破坏

在HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\
MSTCP下,若在右边的窗口中新建或修改字符串“BSDUrgent”,设其值为0。

9.预防KeyboardGhost的破坏

在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
RunServices下如发现KG.EXE这一键值,就将它删除,并查找KG.exe文件和kg.dat文件,将它们都删除。

10.查找NetSpy黑客程序

在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run下,若在右边的窗口中寻找键“NetSpy”,如果存在,就说明已经装有NetSpy黑客程序,把它删除。

11.清理访问“网络邻居”后留下的字句信息

在HEKY_CURRENT_USER/Network/Recent下,删除下面的主键。

12.取消登陆时自动拨号

在HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/
Network/RealModeNet下修改右边窗口中的“autologon”为“01 00 00 00 00”。

13.取消登录时选择用户

已经删除了所有用户,但登录时还要选择用户,我们要取消登录时选择用户,就要在HKEY_LOCAL_MACHINE\Network\Logon下,在右边的窗口中,修改“UserProfiles”值为“0”。

14.隐藏上机用户登录的名字

在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Winlogon下,若在右边的窗口中新建字符串“DontDisplayLastUserName”,设值为“1”。

推荐日志 判断你的系统是否被流氓侵犯

[ 2007-03-25 03:41:25 | 作者: sun ]
江湖规矩“人不犯我,我不犯人”,但是流氓软件并不遵守这条规矩,它们唯恐无法入侵,一旦有机会,你便被其缠身。流氓软件的龙头大哥──3721就采取了“无孔不入”的手段,不管你是在安装软件、浏览网站时它都会在用户不知情的情况下伺机入驻电脑中。那么,如何才能知道自己的电脑是否招流氓了呢?


1.根据表象初步判断

医生判断一个病人是否感冒了,可以从是否流鼻涕,是否鼻塞、是否附带咳嗽等表象进行判断,而要想判断系统是否感染了流氓软件,也可以从表象来判断。当系统感染了流氓软件后一般有以下几种可疑迹象可以通过感觉来判断:

① 系统运行速度越来越慢

安装了病毒防火墙,系统中最近也并没安装什么软件,但是系统的运行速度一天比一天慢,而杀毒软件也没有进行病毒警告,这种情况下,十之八九中了流氓软件的招。

② 部分软件(特别是浏览器)设置被强行修改

由于流氓软件表面上是为用户提供了一些有用的功能,但实质上,它们是为了达到宣传自己的网站、自己的产品等目的。因此,流氓软件一旦成功入侵电脑,它们便会在一些软件上提供相应的插件工具栏,以浏览器类软件居多,在浏览器家族中又以IE最受流氓软件欢迎。当发现日常使用的软件的工具栏被增加了一些项目或是像浏览器的设置被修改了,也足可以说明系统中可能感染了流氓软件。

③ 自动弹出广告窗口

在正常使用电脑过程中,时而不时地自动弹出一些广告窗口,关闭后隔一断时间又会出现,做广告本是流氓软件的一个目的,因此,当你频繁地看到自动弹出的广告时,系统也有可能感染了流氓软件。

④ 自动打开网站

与自动弹出广告类似,有些流氓软件更猖狂,会自动启动浏览器并打开一些网站,如果你遇到了这种情况也说明系统有招流氓软件的迹象了。

2.利用工具检测

根据表象判断只是精略地推断是否感染流氓软件,就像医生给病毒看病一样,先是通过询问等方式来大致地判断病情,最后还会使用相关的医疗机器进行确诊。判断系统是否招流氓软件也应该通过工具来“确诊”。

① 使用系统的任务管理器

当系统感染了流氓软件后,只要流氓软件正在运行的话,一般都是可以通过系统的任务管理器来寻觅其踪影:

按下“Ctrl+Shift+Esc”打开任务管理器窗口,再单击“进程”选项卡,在进程列表中将会看到流氓软件的踪影了。不过,这种方法只适合那些对电脑系统比较熟悉并对流氓软件对应的进程有所了解的朋友们采用。

② 使用专用检测工具

使用任务管理器这个系统自带的工具来检测流氓软件对用户的要求相对高些,为此,笔者推荐大多数用户使用专业的流氓软件检测工具来检测,这样既直观,操作也会方便很多。

现在检测流氓软件的工具有不少,例如:超级兔子、Upiea、恶意软件清理助手、360安全卫士、Windows Defender等。而流氓软件检测数目要数360安全卫士最多。


本文向大家介绍一下网管最常用的一些命令,如ping、 nbtstat、netstat……希望对大家有所帮助。

  一,ping

  它是用来检查网络是否通畅或者网络连接速度的命令。

  作为一个生活在网络上的管理员或者黑客来说,ping命令是第一个必须掌握的DOS命令,它所利用的原理是这样的:网络上的机器都有唯一确定的IP地址,我们给目标IP地址发送一个数据包,对方就要返回一个同样大小的数据包,根据返回的数据包我们可以确定目标主机的存在,可以初步判断目标主机的操作系统等。下面就来看看它的一些常用的操作。先看看帮助吧,在DOS窗口中键入:ping /? 回车,出现如图1。所示的帮助画面。在此,我们只掌握一些基本的很有用的参数就可以了(下同)。

  -t 表示将不间断向目标IP发送数据包,直到我们强迫其停止。试想,如果你使用100M的宽带接入,而目标IP是56K的小猫,那么要不了多久,目标IP就因为承受不了这么多的数据而掉线,呵呵,一次攻击就这么简单的实现了。   

  -l 定义发送数据包的大小,默认为32字节,我们利用它可以最大定义到65500字节。结合上面介绍的-t参数一起使用,会有更好的效果哦。   

  -n 定义向目标IP发送数据包的次数,默认为3次。如果网络速度比较慢,3次对我们来说也浪费了不少时间,因为现在我们的目的仅仅是判断目标IP是否存在,那么就定义为一次吧。   

  说明一下,如果-t 参数和 -n参数一起使用,ping命令就以放在后面的参数为标准,比如“ping IP -t -n 3”,虽然使用了-t参数,但并不是一直ping下去,而是只ping 3次。另外,ping命令不一定非得ping IP,也可以直接ping主机域名,这样就可以得到主机的IP。   

  下面我们举个例子来说明一下具体用法。   

  这里time=2表示从发出数据包到接受到返回数据包所用的时间是2秒,从这里可以判断网络连接速度的大小 。从TTL的返回值可以初步判断被ping主机的操作系统,之所以说“初步判断”是因为这个值是可以修改的。这里TTL=32表示操作系统可能是win98。

  (小知识:如果TTL=128,则表示目标主机可能是Win2000;如果TTL=250,则目标主机可能是Unix)

  至于利用ping命令可以快速查找局域网故障,可以快速搜索最快的QQ服务器,可以对别人进行ping攻击……这些就靠大家自己发挥了。

  二,nbtstat

  该命令使用TCP/IP上的NetBIOS显示协议统计和当前TCP/IP连接,使用这个命令你可以得到远程主机的NETBIOS信息,比如用户名、所属的工作组、网卡的MAC地址等。在此我们就有必要了解几个基本的参数。   


  -a 使用这个参数,只要你知道了远程主机的机器名称,就可以得到它的NETBIOS信息如图3(下同)。   

  -A 这个参数也可以得到远程主机的NETBIOS信息,但需要你知道它的IP。

  -n 列出本地机器的NETBIOS信息。   

  当得到了对方的IP或者机器名的时候,就可以使用nbtstat命令来进一步得到对方的信息了,这又增加了我们入侵的保险系数。   

  三,netstat

  这是一个用来查看网络状态的命令,操作简便功能强大。   

  -a 查看本地机器的所有开放端口,可以有效发现和预防木马,可以知道机器所开的服务等信息,如图4。   

  这里可以看出本地机器开放有FTP服务、Telnet服务、邮件服务、WEB服务等。用法:netstat -a IP。

  -r 列出当前的路由信息,告诉我们本地机器的网关、子网掩码等信息。用法:netstat -r IP。

  四,tracert

  跟踪路由信息,使用此命令可以查出数据从本地机器传输到目标主机所经过的所有途径,这对我们了解网络布局和结构很有帮助。   

  这里说明数据从本地机器传输到192.168.0.1的机器上,中间没有经过任何中转,说明这两台机器是在同一段局域网内。用法:tracert IP。

五,net

  这个命令是网络命令中最重要的一个,必须透彻掌握它的每一个子命令的用法,因为它的功能实在是太强大了,这简直就是微软为我们提供的最好的入侵工具。首先让我们来看一看它都有那些子命令,键入net /?回车。   


  在这里,我们重点掌握几个入侵常用的子命令。   

  net view   

  使用此命令查看远程主机的所以共享资源。命令格式为net view \IP。   

  net use

  把远程主机的某个共享资源影射为本地盘符,图形界面方便使用,呵呵。命令格式为net use x: \IPsharename。上面一个表示把192.168.0.5IP的共享名为magic的目录影射为本地的Z盘。下面表示和192.168.0.7建立IPC$连接(net use \IPIPC$ "password" /user:"name")。   

  建立了IPC$连接后,呵呵,就可以上传文件了:copy nc.exe \192.168.0.7admin$,表示把本地目录下的nc.exe传到远程主机,结合后面要介绍到的其他DOS命令就可以实现入侵了。   

  net start

  使用它来启动远程主机上的服务。当你和远程主机建立连接后,如果发现它的什么服务没有启动,而你又想利用此服务怎么办?就使用这个命令来启动吧。用法:net start servername,如图9,成功启动了telnet服务。   

  net stop

  入侵后发现远程主机的某个服务碍手碍脚,怎么办?利用这个命令停掉就ok了,用法和net start同。   

  net user

  查看和帐户有关的情况,包括新建帐户、删除帐户、查看特定帐户、激活帐户、帐户禁用等。这对我们入侵是很有利的,最重要的,它为我们克隆帐户提供了前提。键入不带参数的net user,可以查看所有用户,包括已经禁用的。下面分别讲解。

  1,net user abcd 1234 /add,新建一个用户名为abcd,密码为1234的帐户,默认为user组成员。

  2,net user abcd /del,将用户名为abcd的用户删除。

  3,net user abcd /active:no,将用户名为abcd的用户禁用。

  4,net user abcd /active:yes,激活用户名为abcd的用户。

  5,net user abcd,查看用户名为abcd的用户的情况。   

  net localgroup

  查看所有和用户组有关的信息和进行相关操作。键入不带参数的net localgroup即列出当前所有的用户组。在入侵过程中,我们一般利用它来把某个帐户提升为administrator组帐户,这样我们利用这个帐户就可以控制整个远程主机了。用法:net localgroup groupname username /add。   

  现在我们把刚才新建的用户abcd加到administrator组里去了,这时候abcd用户已经是超级管理员了,呵呵,你可以再使用net user abcd来查看他的状态,和图10进行比较就可以看出来。但这样太明显了,网管一看用户情况就能漏出破绽,所以这种方法只能对付菜鸟网管,但我们还得知道。现在的手段都是利用其他工具和手段克隆一个让网管看不出来的超级管理员,这是后话。有兴趣的朋友可以参照《黑客防线》第30期上的《由浅入深解析隆帐户》一文。   

  net time

  这个命令可以查看远程主机当前的时间。如果你的目标只是进入到远程主机里面,那么也许就用不到这个命令了。但简单的入侵成功了,难道只是看看吗?我们需要进一步渗透。这就连远程主机当前的时间都需要知道,因为利用时间和其他手段(后面会讲到)可以实现某个命令和程序的定时启动,为我们进一步入侵打好基础。用法:net time \IP。

  六,at

  这个命令的作用是安排在特定日期或时间执行某个特定的命令和程序(知道net time的重要了吧?)。当我们知道了远程主机的当前时间,就可以利用此命令让其在以后的某个时间(比如2分钟后)执行某个程序和命令。用法:at time command \computer。
  

  表示在6点55分时,让名称为a-01的计算机开启telnet服务(这里net start telnet即为开启telnet服务的命令)。   

七,ftp

  大家对这个命令应该比较熟悉了吧?网络上开放的ftp的主机很多,其中很大一部分是匿名的,也就是说任何人都可以登陆上去。现在如果你扫到了一台开放ftp服务的主机(一般都是开了21端口的机器),如果你还不会使用ftp的命令怎么办?下面就给出基本的ftp命令使用方法。

  首先在命令行键入ftp回车,出现ftp的提示符,这时候可以键入“help”来查看帮助(任何DOS命令都可以使用此方法查看其帮助)。   

  大家可能看到了,这么多命令该怎么用?其实也用不到那么多,掌握几个基本的就够了。  

  首先是登陆过程,这就要用到open了,直接在ftp的提示符下输入“open 主机IP ftp端口”回车即可,一般端口默认都是21,可以不写。接着就是输入合法的用户名和密码进行登陆了,这里以匿名ftp为例介绍。   

  用户名和密码都是ftp,密码是不显示的。当提示**** logged in时,就说明登陆成功。这里因为是匿名登陆,所以用户显示为Anonymous。
  
  接下来就要介绍具体命令的使用方法了。   

  dir 跟DOS命令一样,用于查看服务器的文件,直接敲上dir回车,就可以看到此ftp服务器上的文件。

  cd 进入某个文件夹。

  get 下载文件到本地机器。

  put 上传文件到远程服务器。这就要看远程ftp服务器是否给了你可写的权限了,如果可以,呵呵,该怎么 利用就不多说了,大家就自由发挥去吧。

  delete 删除远程ftp服务器上的文件。这也必须保证你有可写的权限。

  bye 退出当前连接。

  quit 同上。   

  八,telnet

  功能强大的远程登陆命令,几乎所有的入侵者都喜欢用它,屡试不爽。为什么?它操作简单,如同使用自己的机器一样,只要你熟悉DOS命令,在成功以administrator身份连接了远程机器后,就可以用它来干你想干的一切了。下面介绍一下使用方法,首先键入telnet回车,再键入help查看其帮助信息。   

  然后在提示符下键入open IP回车,这时就出现了登陆窗口,让你输入合法的用户名和密码,这里输入任何密码都是不显示的。   

  当输入用户名和密码都正确后就成功建立了telnet连接,这时候你就在远程主机上具有了和此用户一样的权限,利用DOS命令就可以实现你想干的事情了,如图19。这里我使用的超级管理员权限登陆的。   

  到这里为止,网络DOS命令的介绍就告一段落了,这里介绍的目的只是给菜鸟网管一个印象,让其知道熟悉和掌握网络DOS命令的重要性。其实和网络有关的DOS命令还远不止这些,这里只是抛砖引玉,希望能对广大菜鸟网管有所帮助。学好DOS对当好网管有很大的帮助,特别的熟练掌握了一些网络的DOS命令。

  另外大家应该清楚,任何人要想进入系统,必须得有一个合法的用户名和密码(输入法漏洞差不多绝迹了吧),哪怕你拿到帐户的只有一个很小的权限,你也可以利用它来达到最后的目的。所以坚决消灭空口令,给自己的帐户加上一个强壮的密码,是最好的防御弱口令入侵的方法。

  最后,由衷的说一句,培养良好的安全意识才是最重要的。

推荐日志 安全防护初级讲座

[ 2007-03-25 03:40:07 | 作者: sun ]
引子一:上个月某班上成绩最好的一同学7位的手机靓号QQ被盗窃。今天某兄弟舍友的qq密码都被盗窃了,好不郁闷哦,晕死哦。尽管是计算机专业的,但是他们基本对计算机安全一无所知:有嫌麻烦从不安装杀毒软件的,有使用两个数字来设置密码的,有看到E-mail或者IM软件发来的网址链接就随手点开的,还有从不知道升级病毒库和给系统打补丁的,甚至有重新安装系统后还以为安全了,却被我指出来看才发现硬盘所有盘都共享了。
  现在遇到麻烦了,才发现后悔莫及。那兄弟某舍友说已经不是第一次被偷了,全怪自己不吸取教训。要我帮他们偷回来。呵呵,我说太麻烦了。我从来不重视号码位数,号码好坏,对我来说qq不过是一个普通聊天工具而已。好的号码我有不少,都不是偷的。他们如果那么在乎自己的号码,又何必那么不重视它的安全呢?其实,他们当初还笑我那么注意安全,简直太可笑了呢?呵呵,现在才发现安全意识是多么的重要。在圈里混了很久了,那些无知的媒体朋友宣传的什么所谓黑客高手都是不用任何防护措施的,遇到毒就手工杀毒,呵呵,简直晕死。

引子二:一个正在黑别人的人,却没发现自己早已经是肉鸡了,盗窃别人qq的人,却发现自己的qq没有保护好.

黑客并不神秘,黑客也并不可怕。“最好的防御是最好的反击!”是十三哥我不变的信条,我从来没有被黑过!

忽视、淡忘网络安全的情况还有很多很多,以上列出的只是最常见的几种情况;但只要你看过文章之后能够时刻警醒,注意网络安全,那么密码被盗,病毒入侵的危险就会减少一些。俗话说"防患于未然",为确保我们的计算机不受到恶意的侵害,我们要设的第一道防线便是要增强我们的计算机网络安全意识,为做到这些,我们应该注意以下几点:

1.配置好自己系统,使用尽量安全的密码
一般建议使用最新版本的系统。如果不行,也要打好补丁。然后设置xp防火墙,去掉网络客户端,去掉文件和打印机共享,过滤端口,保护注册表,应用组策略等等.这些很简单,大家可以自己摸索着来设置。提醒下ip协议在iptcp协议簇的代码是6。防火墙一定要有,特别是我这种有特别重要资料的计算机上。防火墙就不推荐了,反正不是天网,不是诺顿。我用zonealarm pro基本感觉很不错。使用尽量安全的密码这点就不说了。什么,你问我什么样的怎么设置密码才是安全的,是不是位数多就安全?地球人都知道了,你不知道?我晕死!建议去看看技术站(www.juntuan.net)各种安全文章,里面很容易找到密码保护相关知识的,

2.慎用软件
  因为不管是病毒程序还是黑客程序首先都要骗你在自己的机器上运行它,所以对来历不明的软件不要轻易尝试,来历不明的地址不要点,来历不明的文件传送不要接受,即使是qq好友发过来。
  今天的蠕虫病毒之所以能够动辄全球肆虐,往往不是因为病毒程序设计得好,而是因为我们用户安全意识太差。不管内存是128M,还是256M,都请安装一套有正版系列好的杀毒软件,启动其实时防护功能,起码每周一次进行网上升级。虽然对速度有影响,但是为安全牺牲一点内存是应该的。同时,当Windows和浏览器有补丁公布的时候,别忘记及时下载安装。 本人使用卡巴思基,nod32十分不错。

3.检测并清除特洛伊木马程序

  这里不说什么中木马的症状。也可以使用一些清除软件,也不说什么手动什么一大堆了,我只说要使用防护木马的软件来保护你的计算机。有很多这样的软件,支持在线升级,很方便。很简单。开机就是先检查一遍。  

4.保证浏览安全
相信大部分朋友是用的ie。ie不能被暴这样那样的漏洞。而很多朋友上网除了qq就是用ie了。加强浏览时的安全,注意安全意识的培养真的很重要。最近流行的通过浏览网页来盗取qq就很能说明这个问题。所以不要随便开一些莫名其妙的网页,特别是不健康的内容和在网络上广为宣传的内容。使用电子邮件的时候注意不要随便看陌生人的邮件,熟人发来的邮件的附件也要注意杀毒。
  还有一点就是Cookies方面的安全。我们要注意防范Cookies泄密。Internet的属性里自己找去。很简单的,能看懂中文的都会。建议自己仔细研究下,各个地方点着看看摸索下,自己会明白该怎么设置是安全的。另外,由于Cookies的信息并不都是以文件形式存放在计算机里,还有部分信息保存在内存里。比如你在浏览网站的时候,Web服务器会自动在内存中生成Cookie,当你关闭IE浏览器的时候又自动把Cookie删除,那样上面介绍的两种方法就起不了作用,我们需要借助注册表编辑器来修改系统设置。这里也不说了,推荐使用一个比较好用的软件就可以了,没有必要那么麻烦。另外有点很重要:杜绝Cookies虽然可以增强你电脑的信息安全程度,但这样做同样会有一些弊端。比如在一些需要Cookies支持的网页上,会发生一些莫名其妙的错误,典型的例子就是你以后不能使用某些网站的免费信箱或者论坛了。比如军团的免费blog。

5.保证IP地址安全
很多朋友一上网第一件要做的事情就是开QQ。现在大部分人基本用的就是显ip的版本。如果不用代理,真实的IP地址会暴露你的老巢,让你的计算机完全展现在某些别有用心的人眼中,成为攻击的目标。所以我们必须隐藏IP地址,一般使用代理。但是代理不一定安全通过代理服务器上网,可以增强安全防护的作用。但是从别人那里“借道”难免会留下痕迹,你的上网资料完全可以记录在代理服务器的日志中。所以,从网上搜来的来历不明的代理服务器最好不要使用。
  通过代理用QQ时,更应使用腾讯提供的官方代理服务器。   

总结:内容很初级,但我想基本够用,你想谁愿意费那么大劲去黑你呢,如果你已经做的很好了。呵呵,除非你得罪人家,或者那个家伙有病。哈哈,全是废话,总之目前随着攻击方式日趋多样化,网络安全隐患也呈现出突发性、隐藏性等特点,网络安全形势日益严峻,网络安全问题日益成为人们关注的热门话题。要解决网络安全问题,首先应该重在“防”,然后才是“治”,普及网络用户病毒防范意识,是减少网络安全隐患的第一环,也是极其关键的一环。再次提醒大家一方面要注意提高安全意识,另一方面注意多多学习网络安全知识