浏览模式: 普通 | 列表

推荐日志 十分钟看懂360系统诊断日志

[ 2007-03-25 03:30:59 | 作者: sun ]
写在前面
当确定一个系统可能存在问题的时候,首先要做的,就是找出系统的问题所在,这个时候我们就需要来“看懂”系统诊断日志,找出原因所在,然后再来做相应清除。虽然现在有很多的流氓清除软件,但跟杀毒软件一样,他们永远是跟着流氓软件后面在奔跑,当这个流氓是一个新出来的时候,必须要经过以下步骤:
厂商拿到样本——>分析——>加入特征码/病毒行为——>更新病毒特征库——用户下载——>查杀成功
所以有时不得以,我们需要自己来诊断一下,当然,这个诊断远没有想象的那么难。目前比较常用的诊断工具有Hijackthis,360safe,SRENG等几个软件。360safe经过几次升级,借鉴了Hijackthis的日志项,目前已经做得很完善了。本篇文章最早2006/10/10发于360官方的紧急救援区并长期置顶,今天把它拿过来,作为对我的BLOG的一个补充。
很多网络新手对于360的扫描日志看不懂,或者看了之后不知道怎么处理,请花5分钟来了解一下,比你发了日志等待别人来解答强,要他救,更要自救。其实很多作很简单的:
使用方法:
确定可疑项——文件粉碎器删除相应文件——重启——用360修复注册表残留值
以下面这篇贴子为例:
http://bbs.360safe.com/viewthread.php?tid=11221&extra=page%3D1

这个日志其实最主要看6项:
02,浏览器辅助对象★★★★★
这个是最需要关注的重点之一。浏览器辅助对象(BHO),本来是IE提供其它程序扩展浏览器的功能所开放的接口,在浏览器启动的时候,自动加载。这个是几乎所有流氓广告软件的“兵家必争之地”。一般情况下,它可能有很多个,如:
O2-BHNTIECatcherClass-{C56CB6B0-0D96-11D6-8C65-B2868B609932}-C:\ProgramFiles\Xi\NetTransport2\NTIEHelper.dll
在这一项中,我们一般看最后面一行,那个.dll文件的位置,这里是C:\ProgramFiles\Xi\NetTransport2\NTIEHelper.dll就是这个ie模块对应的文件,从对应文件目录或者文件名上我们可以分辨这个模块到底是干什么用的—NetTransport是下载工具影音传送带,那么这一项就应该没问题。
如果你看到这个目录不认识,那就需要注意了。尤其注意这个.dll是位于temp目录或者windows/system32目录下,那就基本可以肯定是有问题的了,如示例文章的日志中,这两个都有肯定有问题的:

O2-未知-BH(ShowBarExClass)-[cn5940barModule]-{15953528-6C01-481A-8DB4-01888FB85B7D}-C:\WINDOWS\system32\CN5940~1.DLL
O2-未知-BH(IPCUSmartLinkClass)-[MicrosoftInternetExplorerExtension]-{A5352191-32C0-4EDB-B265-382F576C32FF}-C:\WINDOWS\system32\IPCUHelper2.dll
处理建议:
方法一:在360里——修复——全面诊断——浏览器辅助对象,选中之后进行修复。可以多试几次。
方法二:用Autoruns或者hijackthis这两个工具(www.nslog.cn)

04,自启动项★★★★★
历来自启动项是所有木马/病毒/流氓软件的“兵家必争之地”。当一个流氓软件入侵和被安装到用户机器之后,必然要想办法让用户下次启动计算机的时候,自身还可以运行。方法有多种,放到自启动是最常用最根本的一招。Windows的自启动有十多个地方,常用的如注册表、INI文件,启动组等。Hijackthis会把所有的自启动列出来。包括名称和运行的文件名。
如示例文章中的这个,一共有六项都有问题:
O4-高危险-HKLM\..\Run:[SoundMam][怀疑为恶意程序或病毒,请使用杀毒软件进行查杀。]C:\WINDOWS\system32\SVOHOST.exe
O4-未知-HKLM\..\Run:[IEUpdates][]C:\WINDOWS\system32\Updates.exe
O4-未知-HKCU\..\Run:[updatereal][]C:\WINDOWS\realupdate.exeother
O4-未知-HKCU\..\Run:[daemon][Microsoft基础类应用程序]C:\WINDOWS\daemon.exe
O4-未知-HKCU\..\Run:[wow][]C:\WINDOWS\system32\Launcher.exe
O4-未知-HKCU\..\Run:[zz][]C:\WINDOWS\system32\intenet.exe
O4-高危险-HKCU\..\Run:[rx][疑为恶意程序或病毒。]C:\WINDOWS\system32\explore.exe
处理建议:
对于一般用户,我给出的建议是除了C:\windows\system32\ctfmon.exe这个输入法指示器,其它的除非你知道是自己安装的程序如(C:\programfiles\tencent\qq\qq.exe),其它的一律删除。
如果修复了,它又偷偷出现,那么基本就肯定有问题(一般流氓软件都会有这种自我修复、保护的功能)。对应怀疑是流氓软件的,相应的.exe也要先删除了。

360里——修复——启动项,选中后进行修复,可以多做几次。

023,系统服务★★★★
系统服务是另外一个流氓软件越来越重视的地方。一般Windows系统的服务在这里不会显示出来。只有第三方安装的服务才会显示出来。所有显示的,都需要留心。
如示例文章中的三项都有问题:
O23-未知-Service:NetSys[管理系统网络连接,您可以查看系统网络连接。]-C:\WINDOWS\system32\NetSys.exe
O23-未知-Service:NetWorkLogon[支持网络上计算机远程登陆事件。如果此服务被停用,网络登陆将不可用。如果此服务被禁用,任何依赖它的服务将无法启动。]-rundll32.exe
O23-未知-Service:NetWorkLogons[支持网络上计算机远程登陆事件。如果此服务被停用,网络登陆将不可用。如果此服务被禁用,任何依赖它的服务将无法启动。]-rundll32.exe

处理建议:
如果知道是自己安装的如MySQL,Apahce这类可以不管,其它的服务一般会冒充,起一个类似于很象正常的名字,如Windowsupdatas,NTServices,等。我的建议是所有你不清楚的,全部删掉。尤其.exe的可执行路径位于windows,System32目录下的。(system32目录下的rundll32.exe除外,这个.exe文件不要删除,直接把服务删除便可)

360里——修复——系统服务,选中后进行修复,可以多做几次。
也可以在CMD窗口(开始——运行——cmd.exe)下输入:
scdelete"服务名"来删除一个服务。
[b]——如果360修复之后它又出现了,那么便先用顽固文件删除工具把相应的.exe给删除掉(见置底的),重启一下,然后再修复。
010,WinsockLSP“浏览器绑架”
这个是近来新出现的“相当”有恶意的流氓软件形径,如果用户把相关的文件删掉,会造成用户计算机无法访问网络!
LSP全称为“WindowsSocketLayeredServiceProvider”(分层服务提供商),这是Winsock2.0才有的功能。通俗一点来说,它是Windows所有底层网络Socket通信需要经过的一个大门。而流氓软件在这个地方把自己的软件加进去了,这样就可以截取所有用户访问网络的数据包,可以针对性地投放广告,获取用户访问习惯——想一想,当你访问一个网络的时候,所有数据都被一只大眼睛盯着看,是什么感觉?而当用户如果不清楚删除这个.dll文件,那么就会造成用户不能访问网络。
如示例中有问题的:
O10-未知-WinsockLSP:[][{E70F1AA0-AB8B-11CF-8CA3-00805F48A192}]C:\WINDOWS\system32\RICHED40.dll
O10-未知-WinsockLSP:[][{E70F1AA0-AB8B-11CF-8CA3-00805F48A192}]C:\WINDOWS\system32\RICHED40.dll
O10-未知-WinsockLSP:[][{E70F1AA0-AB8B-11CF-8CA3-00805F48A192}]C:\WINDOWS\system32\RICHED40.dll
(正确的应该是system32\mswsock.dll和rsvpsp.dll这两个。)
处理建议:
方法一:先删除对应的.dll文件,然后在360里——修复——修复LSP连接。
方法二:先删除对应的.dll文件,然后下载Lsp-fix( http://www.cexx.org/lspfix.htm )这个工具
方法三:先删除对应的.dll文件,然后重装TCP/IP协议:
http://hi.baidu.com/nslog/blog/item/c478d5f942b94359242df26f.html

*****************************************************************************************
以下为360卫士2.0以后版本新增加的,对系统诊断也很有帮助,只建议高级用户诊断使用:
2006年12月20更新
*****************************************************************************************
040,系统进程加载项

现在有一些流氓软件升级之后,不是通过BHO或者Services来加载,没有一个独立的可执行程序,那样很容易被发觉。它们就通过注入到系统进程空间(如exploer.exe资源管理器),把自己变为正常系统的一部分,这样只要你开了资源管理器,它就在后台运行着了。如下面的:

O40-Explorer.EXE--C:\WINDOWS\system32\dllwm.dll--55125f396efcc0ce7e3f4522669d8cdb
O40-Explorer.EXE--C:\WINDOWS\system32\dms.dll--d2b55c379eeabef0b8925dc8e9a1a58e

360会显示所有没有经常Windows签名的.dll文件,即非微软官方的,这些都是可疑的以及重点查处的对象(当然,不是说100%有问题)

处理建议:
必须要
删除对应的.dll文件,删除办法有几种:
1、用文件粉碎器
2、用unlocker
3、试着到安全模式下删除

041,系统驱动
系统驱动是Windows系统最底层的,它没有进程,没有可执行文件,是通过在drivers目录下的.sys文件来体现。也是所有流氓软件用得最高的一招,象前段时间流行的MY123,飘雪以及几个大流氓:CNNIC,MyIEHelper等,因为采取种种保护策略,所以一般用户很难处理,如下面这个:

O41-csysiymq-csysiymq-C:\WINDOWS\system32\drivers\csysiymq.sys-(running)---
.O41-dtscsi-dtscsi-C:\WINDOWS\system32\drivers\dtscsi.sys-(running)---
O41-IBMPMDRV-IBMPMDRV-C:\WINDOWS\system32\drivers\ibmpmdrv.sys-(running)---7514f26bd730a23b4dcd0f51cd007add

360会显示所有没有经过Windows签名的驱动文件作为分析参考的依据,同样的道理,这里面也有非常多的其它正常软件,如瑞星,卡巴等,这里的处理要求高一点,需要有一定的经验。如果上面几项都处理完了,还有主页被改,弹窗口等现象,就需要考察这里了。

处理建议:
必须要
删除对应的.sys文件,删除办法有几种:
1、用文件粉碎器
2、用unlocker
3、试着到安全模式下删除

以上所有修复不成功的,一般都流氓软件有自我保护功能,可以用下面的办法:

1、用顽固文件删除工具,请参考:
http://bbs.360safe.com/viewthread.php?tid=9432&extra=page%3D1

2、找出流氓软件的驱动保护:
http://hi.baidu.com/nslog/blog/item/c08cbefb2c6b5c224f4aea91.html

其它参考:
360safe安全卫士下载
http://www.360safe.com

Hijackthis浏览器劫持日志精解
http://hi.baidu.com/nslog/blog/item/b208922f52cb04381e30895f.html

清除流氓软件的第一利器(IceSword)
http://hi.baidu.com/nslog/blog/item/14bc35dbac337866d1164e21.html

WinXP/2000/2003下如何重装TCP/IP协议
http://hi.baidu.com/nslog/blog/item/c478d5f942b94359242df26f.html [/b]

推荐日志 漏洞分类及进一步发掘

[ 2007-03-25 03:30:46 | 作者: sun ]
漏洞是一个永远的童话。实现劫富济贫的英雄梦想,实现打破技术垄断的自由蓝图,发现漏洞的人,利用漏洞的人,修补漏洞的人,喜欢漏洞的人,害怕漏洞的人就象这个多彩的世界一样,他们构成了计算机网络安全世界永远的角色!

现在很多口必称漏洞,把漏洞的利用当自己的绝招和宝贝,其实漏洞是什么,我们或许存在着很多误解。下面结合相关资料和我个人的理解,我们今天就讲讲什么是漏洞,这个十分基本的问题。

1、什么是漏洞

专业上讲漏洞是在硬件、软件、协议的具体实现或系统安全策略上(主要是人为)存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。但是,其实这是一个纲目,很多书上定义都不同,这里算是比较全面的。怎么理解呢,还是有例子来说吧,这几十年来,漏洞太多了,不能一一说。

2、漏洞的狭义范围

漏洞会影响到很大范围的软硬件设备,包括作系统本身及其支撑软件,网络客户和服务器软件,网络路由器和安全防火墙等。怎么理解呢,就是在这些不同的软硬件设备中都可能存在不同的安全漏洞问题。

3、漏洞的广义范围

这里的漏洞是指所有威胁到计算机信息安全的事物。包括人员、硬件、软件、程序、数据。

4、漏洞的长久性

漏洞问题是与时间紧密相关的。一个系统从发布的那一天起,随着用户的深入使用,系统中存在的漏洞会被不断暴露出来,这些早先被发现的漏洞也会不断被系统供应商发布的补丁软件修补,或在以后发布的新版系统中得以纠正。而在新版系统纠正了旧版本中具有漏洞的同时,也会引入一些新的漏洞和错误。因而随着时间的推移,旧的漏洞会不断消失,新的漏洞会不断出现。漏洞问题也会长期存在。

5、漏洞的隐蔽性

系统安全漏洞是指可以用来对系统安全造成危害,系统本身具有的,或设置上存在的缺陷。总之,漏洞是系统在具体实现中的错误。比如在建立安全机制中规划考虑上的缺陷,作系统和其他软件编程中的错误,以及在使用该系统提供的安全机制时人为的配置错误等。

系统安全漏洞是在系统具体实现和具体使用中产生的错误,但并不是系统中存在的错误都是安全漏洞。只有能威胁到系统安全的错误才是漏洞。许多错误在通常情况下并不会对系统安全造成危害,只有被人在某些条件下故意使用时才会影响系统安全。

6、漏洞的必然被发现性

漏洞虽然可能最初就存在于系统当中,但一个漏洞并不是自己出现的,必须要有人发现。在实际使用中,用户会发现系统中存在错误,而入侵者会有意利用其中的某些错误并使其成为威胁系统安全的工具,这时人们会认识到这个错误是一个系统安全漏洞。系统供应商会尽快发布针对这个漏洞的补丁程序,纠正这个错误。这就是系统安全漏洞从被发现到被纠正的一般过程。

系统攻击者往往是安全漏洞的发现者和使用者,要对于一个系统进行攻击,如果不能发现和使用系统中存在的安全漏洞是不可能成功的。对于安全级别较高的系统尤其如此。

系统安全漏洞与系统攻击活动之间有紧密的关系。因而不该脱离系统攻击活动来谈论安全漏洞问题。广泛的攻击存在,才使漏洞存在必然被发现性。

7、为什么要紧跟最新的计算机系统及其安全问题的最新发展动态

脱离具体的时间和具体的系统环境来讨论漏洞问题是毫无意义的。只能针对目标系统的作系统版本、其上运行的软件版本以及服务运行设置等实际环境来具体谈论其中可能存在的漏洞及其可行的解决办法。

同时应该看到,对漏洞问题的研究必须要跟踪当前最新的计算机系统及其安全问题的最新发展动态。这一点如同对计算机病毒发展问题的研究相似。如果在工作中不能保持对新技术的跟踪,就没有谈论系统安全漏洞问题的发言权,既使是以前所作的工作也会逐渐失去价值。

你喜欢漏洞,你讨厌也好。它永远存在,做到了"不以物喜,不以己悲",实现了"爱她就爱她的灵魂----自由,平等,共享,创新"。 同时它也证明了这个世界没有绝对的安全,如果世界上永远存在计算机存在软件,那么它又将证明什么叫永恒。童话里有永恒的虚假的美, 而漏洞是永恒的真实的童话。

一、不同角度看安全漏洞的分类

对一个特定程序的安全漏洞可以从多方面进行分类。

1、从用户群体分类

●大众类软件的漏洞。如Windows的漏洞、IE的漏洞等等。

●专用软件的漏洞。如Oracle漏洞、Apache漏洞等等。

2、从数据角度看分为

●能读按理不能读的数据,包括内存中的数据、文件中的数据、用户输入的数据、数据库中的数据、网络上传输的数据等等。

●能把指定的内容写入指定的地方(这个地方包括文件、内存、数据库等)

●输入的数据能被执行(包括按机器码执行、按Shell代码执行、按SQL代码执行等等)

3、从作用范围角度看分为

●远程漏洞,攻击者可以利用并直接通过网络发起攻击的漏洞。这类漏洞危害极大,攻击者能随心所欲的通过此漏洞操作他人的电脑。并且此类漏洞很容易导致蠕虫攻击,在Windows。

●本地漏洞,攻击者必须在本机拥有访问权限前提下才能发起攻击的漏洞。比较典型的是本地权限提升漏洞,这类漏洞在Unix系统中广泛存在,能让普通用户获得最高管理员权限。

4、从触发条件上看可以分为

●主动触发漏洞,攻击者可以主动利用该漏洞进行攻击,如直接访问他人计算机。

●被动触发漏洞,必须要计算机的操作人员配合才能进行攻击利用的漏洞。比如攻击者给管理员发一封邮件,带了一个特殊的jpg图片文件,如果管理员打开图片文件就会导致看图软件的某个漏洞被触发,从而系统被攻击,但如果管理员不看这个图片则不会受攻击。

5、从操作角度看可分为

●文件操作类型,主要为操作的目标文件路径可被控制(如通过参数、配置文件、环境变量、符号链接灯),这样就可能导致下面两个问题:

◇写入内容可被控制,从而可伪造文件内容,导致权限提升或直接修改重要数据(如修改存贷数据),这类漏洞有很多,如历史上Oracle TNS LOG文件可指定漏洞,可导致任何人可控制运行Oracle服务的计算机;

◇内容信息可被输出,包含内容被打印到屏幕、记录到可读的日志文件、产生可被用户读的core文件等等,这类漏洞在历史上Unix系统中的crontab子系统中出现过很多次,普通用户能读受保护的shadow文件;

●内存覆盖,主要为内存单元可指定,写入内容可指定,这样就能执行攻击者想执行的代码(缓冲区溢出、格式串漏洞、PTrace漏洞、历史上Windows2000的硬件调试寄存器用户可写漏洞)或直接修改内存中的机密数据。

●逻辑错误,这类漏洞广泛存在,但很少有范式,所以难以查觉,可细分为:

◇条件竞争漏洞(通常为设计问题,典型的有Ptrace漏洞、广泛存在的文件操作时序竞争)

◇策略错误,通常为设计问题,如历史上FreeBSD的Smart IO漏洞。

◇算法问题(通常为设计问题或代码实现问题),如历史上微软的Windows 95/98的共享口令可轻易获取漏洞。

◇设计的不完善,如TCP/IP协议中的3步握手导致了SYN FLOOD拒绝服务攻击。

◇实现中的错误(通常为设计没有问题,但编码人员出现了逻辑错误,如历史上博彩系统的伪随机算法实现问题)

●外部命令执行问题,典型的有外部命令可被控制(通过PATH变量,输入中的SHELL特殊字符等等)和SQL注入问题。

6、从时序上看可分为

●已发现很久的漏洞:厂商已经发布补丁或修补方法,很多人都已经知道。这类漏洞通常很多人已经进行了修补,宏观上看危害比较小。

●刚发现的漏洞:厂商刚发补丁或修补方法,知道的人还不多。相对于上一种漏洞其危害性较大,如果此时出现了蠕虫或傻瓜化的利用程序,那么会导致大批系统受到攻击。

●0day:还没有公开的漏洞,在私下交易中的。这类漏洞通常对大众不会有什么影响,但会导致攻击者瞄准的目标受到精确攻击,危害也是非常之大。

二、不同角度看待漏洞利用

如果一个缺陷不能被利用来干“原本”不能干的事(安全相关的),那么就不能被称为安全漏洞,所以安全漏洞必然和漏洞利用紧密联系在一起。

漏洞利用的视角有:

●数据视角:访问本来不可访问的数据,包括读和写。这一条通常是攻击者的核心目的,而且可造成非常严重的灾难(如银行数据可被人写)。

●权限视角:主要为权限绕过或权限提升。通常权限提升都是为了获得期望的数据操作能力。

●可用性视角:获得对系统某些服务的控制权限,这可能导致某些重要服务被攻击者停止而导致拒绝服务攻击。

●认证绕过:通常利用认证系统的漏洞而不用受权就能进入系统。通常认证绕过都是为权限提升或直接的数据访问服务的。

●代码执行角度:主要是让程序将输入的内容作为代码来执行,从而获得远程系统的访问权限或本地系统的更高权限。这个角度是SQL注入、内存指针游戏类漏洞(缓冲区溢出、格式串、整形溢出等等)等的主要驱动。这个角度通常为绕过系统认证、权限提升、数据读取作准备的。

三、漏洞发掘方法

首先必须清除安全漏洞是软件BUG的一个子集,一切软件测试的手段都对安全漏洞发掘实用。现在”黑客“用的各种漏洞发掘手段里有模式可循的有:

●fuzz测试(黑盒测试),通过构造可能导致程序出现问题的方式构造输入数据进行自动测试。

●源码审计(白盒测试),现在有了一系列的工具都能协助发现程序中的安全BUG,最简单的就是你手上最新版本的C语言编译器。

●IDA反汇编审计(灰盒测试),这和上面的源码审计非常类似,唯一不同的是很多时候你能获得软件,但你无法拿到源码来审计,但IDA是一个非常强大的反汇编平台,能让你基于汇编码(其实也是源码的等价物)进行安全审计。

●动态跟踪分析,就是记录程序在不同条件下执行的全部和安全问题相关的操作(如文件操作),然后分析这些操作序列是否存在问题,这是竞争条件类漏洞发现的主要途径之一,其他的污点传播跟踪也属于这类。

●补丁比较,厂商的软件出了问题通常都会在补丁中解决,通过对比补丁前后文件的源码(或反汇编码)就能了解到漏洞的具体细节。

以上手段中无论是用哪种都涉及到一个关键点:需要通过人工分析来找到全面的流程覆盖路径。分析手法多种多样,有分析设计文档、分析源码、分析反汇编代码、动态调试程序等。

四、漏洞等级评定

考察漏洞的危害性应该紧密的和利用该漏洞带来的危害相关,并不是通常大家认识的所有缓冲区溢出漏洞都是高危漏洞。以远程漏洞为例,比较好的划分方法为:

1 可远程获取OS、应用程序版本信息。

2 开放了不必要或危险得服务,可远程获取系统敏感信息。

3 可远程进行受限的文件、数据读取。

4 可远程进行重要或不受限文件、数据读取。

5 可远程进行受限文件、数据修改。

6 可远程进行受限重要文件、数据修改。

7 可远程进行不受限得重要文件、数据修改,或对普通服务进行拒绝服务攻击。

8 可远程以普通用户身份执行命令或进行系统、网络级的拒绝服务攻击。

9 可远程以管理用户身份执行命令(受限、不太容易利用)。

10 可远程以管理用户身份执行命令(不受限、容易利用)。

本地漏洞几乎都是导致代码执行,归入上面的10分制可以为:

远程主动触发代码执行(如IE的漏洞)。

远程被动触发代码执行(如Word漏洞/看图软件漏洞)。

五、DEMO

一个防火墙隔离(只允许运维部的人访问)的网络里运行一台Unix服务器;操作系统中只有root用户和oracle用户可登陆,操作系统中运行了Apache(nobody权限)、Oracle(oracle用户权限)等服务。

一个攻击者的目的是修改Oracle数据库中的帐单表的数据。

其可能的攻击步骤为:

●1.接入运维部的网络,获得一个运维部的IP地址从而能通过防火墙访问被保护的Unix服务器。

●2.利用Apache服务的某远程缓冲区溢出漏洞直接获得一个nobody权限的shell访问。

●3.利用操作系统某suid程序的漏洞将自己的权限提升到root权限。

●4.用Oracle的sysdba登陆进入数据库(本地登陆不需要密码)。

●5.修改目标表的数据。

以上5个过程分析下来为:

●第1步:认证绕过

●第2步:远程漏洞、代码执行(机器码)、认证绕过

●第3步:权限提升、认证绕过

●第4步:认证绕过

●第5步:数据写

推荐日志 三步堵死SQL注入漏洞

[ 2007-03-25 03:30:30 | 作者: sun ]
SQL注入是什么?

  许多网站程序在编写时,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码(一般是在浏览器地址栏进行,通过正常的www端口访问),根据程序返回的结果,获得某些想得知的数据,这就是所谓的SQL Injection,即SQL注入。
网站的恶梦——SQL注入

  SQL注入通过网页对网站数据库进行修改。它能够直接在数据库中添加具有管理员权限的用户,从而最终获得系统管理员权限。黑客可以利用获得的管理员权限任意获得网站上的文件或者在网页上加挂木马和各种恶意程序,对网站和访问该网站的网友都带来巨大危害。

防御SQL注入有妙法

  第一步:很多新手从网上下载SQL通用防注入系统的程序,在需要防范注入的页面头部用 来防止别人进行手动注入测试(。

  可是如果通过SQL注入分析器就可轻松跳过防注入系统并自动分析其注入点。然后只需要几分钟,你的管理员账号及密码就会被分析出来。


第二步:对于注入分析器的防范,笔者通过实验,发现了一种简单有效的防范方法。首先我们要知道SQL注入分析器是如何工作的。在操作过程中,发现软件并不是冲着“admin”管理员账号去的,而是冲着权限(如flag=1)去的。这样一来,无论你的管理员账号怎么变都无法逃过检测。

  第三步:既然无法逃过检测,那我们就做两个账号,一个是普通的管理员账号,一个是防止注入的账号,为什么这么说呢?笔者想,如果找一个权限最大的账号制造假象,吸引软件的检测,而这个账号里的内容是大于千字以上的中文字符,就会迫使软件对这个账号进行分析的时候进入全负荷状态甚至资源耗尽而死机。下面我们就来修改数据库吧。

  1.对表结构进行修改。将管理员的账号字段的数据类型进行修改,文本型改成最大字段255(其实也够了,如果还想做得再大点,可以选择备注型),密码的字段也进行相同设置。

  2.对表进行修改。设置管理员权限的账号放在ID1,并输入大量中文字符(最好大于100个字)。

  3.把真正的管理员密码放在ID2后的任何一个位置(如放在ID549上)。

  我们通过上面的三步完成了对数据库的修改。

  这时是不是修改结束了呢?其实不然,要明白你做的ID1账号其实也是真正有权限的账号,现在计算机处理速度那么快,要是遇上个一定要将它算出来的软件,这也是不安全的。我想这时大多数人已经想到了办法,对,只要在管理员登录的页面文件中写入字符限制就行了!就算对方使用这个有上千字符的账号密码也会被挡住的,而真正的密码则可以不受限制。

推荐日志 新手看招:网络服务器安全维护技巧

[ 2007-03-25 03:30:21 | 作者: sun ]

这篇文章是本人对平时对服务器网络安全的一些接触而总结下来的一些心得,是一些基本的常识,适合入门级的服务器管护人员阅读,希望不会在老资历的技术员面前见笑。


首先,我们可以分析一下,对网络服务器的恶意网络行为包括两个方面:一是恶意的攻击行为,如拒绝服务攻击,网络病毒等等,这些行为旨在消耗服务器资源,影响服务器的正常运作,甚至服务器所在网络的瘫痪;另外一个就是恶意的入侵行为,这种行为更是会导致服务器敏感信息泄露,入侵者更是可以为所欲为,肆意破坏服务器。所以我们要保证网络服务器的安全可以说就是尽量减少网络服务器受这两种行为的影响。


基于windows做操作系统的服务器在中国市场的份额以及国人对该操作系统的了解程度,我在这里谈谈个人对维护windows网络服务器安全的一些个人意见。


如何避免网络服务器受网上那些恶意的攻击行为。


(一) 构建好你的硬件安全防御系统


选用一套好的安全系统模型。一套完善的安全模型应该包括以下一些必要的组件:防火墙、入侵检测系统、路由系统等。


防火墙在安全系统中扮演一个保安的角色,可以很大程度上保证来自网络的非法访问以及数据流量攻击,如拒绝服务攻击等;入侵检测系统则是扮演一个监视器的角色,监视你的服务器出入口,非常智能地过滤掉那些带有入侵和攻击性质的访问。


(二) 选用英文的操作系统


要知道,windows毕竟美国微软的东西,而微软的东西一向都是以Bug 和 Patch多而著称,中文版的Bug远远要比英文版多,而中文版的补丁向来是比英文版出的晚,也就是说,如果你的服务器上装的是中文版的windows系统,微软漏洞公布之后你还需要等上一段时间才能打好补丁,也许黑客、病毒就利用这段时间入侵了你的系统。

如何防止网络服务器不被黑客入侵:


首先,作为一个黑客崇拜者,我想说一句,世界上没有绝对安全的系统。我们只可以尽量避免被入侵,最大的程度上减少伤亡。


(一) 采用NTFS文件系统格式


大家都知道,我们通常采用的文件系统是FAT或者FAT32,NTFS是微软Windows NT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。NTFS文件系统里你可以为任何一个磁盘分区单独设置访问权限。把你自己的敏感信息和服务信息分别放在不同的磁盘分区。这样即使黑客通过某些方法获得你的服务文件所在磁盘分区的访问权限,还需要想方设法突破系统的安全设置才能进一步访问到保存在其他磁盘上的敏感信息。


(二)做好系统备份


常言道,“有备无患”,虽然谁都不希望系统突然遭到破坏,但是不怕一万,就怕万一,作好服务器系统备份,万一遭破坏的时候也可以及时恢复。


(三)关闭不必要的服务,只开该开的端口


关闭那些不必要开的服务,做好本地管理和组管理。Windows系统有很多默认的服务其实没必要开的,甚至可以说是危险的,比如:默认的共享远程注册表访问(Remote Registry Service),系统很多敏感的信息都是写在注册表里的,如pcanywhere的加密密码等。


关闭那些不必要的端口。一些看似不必要的端口,确可以向黑客透露许多操作系统的敏感信息,如windows 2000 server默认开启的IIS服务就告诉对方你的操作系统是windows 2000。69端口告诉黑客你的操作系统极有可能是linux或者unix系统,因为69是这些操作系统下默认的tftp服务使用的端口。对端口的进一步访问,还可以返回该服务器上软件及其版本的一些信息,这些对黑客的入侵都提供了很大的帮助。此外,开启的端口更有可能成为黑客进入服务器的门户。


总之,做好TCP/IP端口过滤不但有助于防止黑客入侵,而且对防止病毒也有一定的帮助。


(四)软件防火墙、杀毒软件


虽然我们已经有了一套硬件的防御系统,但是“保镖”多几个也不是坏事。



(五)开启你的事件日志


虽然开启日志服务虽然说对阻止黑客的入侵并没有直接的作用,但是通过他记录黑客的行踪,我们可以分析入侵者在我们的系统上到底做过什么手脚,给我们的系统到底造成了哪些破坏及隐患,黑客到底在我们的系统上留了什么样的后门,我们的服务器到底还存在哪些安全漏洞等等。如果你是高手的话,你还可以设置密罐,等待黑客来入侵,在他入侵的时候把他逮个正着。
在Internet大众化及Web技术飞速演变的今天,在线安全所面临的挑战日益严峻。伴随着在线信息和服务的可用性的提升,以及基子Web的攻击和破坏的增长,安全风险达到了前所未有的高度。由于众多安全工作集中在网络本身上面,Web应用程序几乎被遗忘了。也许这是因为应用程序过去常常是在一台计算机上运行的独立程序,如果这台计算机安全的话,那么应用程序就是安全的。如今,情况大不一样了,Web应用程序在多种不同的机器上运行:客户端、Web服务器、数据库服务器和应用服务器。而且,因为他们一般可以让所有的人使用,所以这些应用程序成为了众多攻击活动的后台旁路。

由于Web服务器提供了几种不同的方式将请求转发给应用服务器,并将修改过的或新的网页发回给最终用户,这使得非法闯入网络变得更加容易。

而且,许多程序员不知道如何开发安全的应用程序。他们的经验也许是开发独立应用程序或Intranet Web应用程序,这些应用程序没有考虑到在安全缺陷被利用时可能会出现灾难性后果。

其次,许多Web应用程序容易受到通过服务器、应用程序和内部已开发的代码进行的攻击。这些攻击行动直接通过了周边防火墙安全措施,因为端口80或443(SSL,安全套接字协议层)必须开放,以便让应用程序正常运行。Web应用程序攻击包括对应用程序本身的DoS(拒绝服务)攻击、改变网页内容以及盗走企业的关键信息或用户信息等。

总之,Web应用攻击之所以与其他攻击不同,是因为它们很难被发现,而且可能来自任何在线用户,甚至是经过验证的用户。迄今为止,该方面尚未受到重视,因为企业用户主要使用防火墙和入侵检测解决方案来保护其网络的安全,而防火墙和入侵检测解决方案发现不了Web攻击行动。

常见的Web应用安全漏洞

下面将列出一系列通常会出现的安全漏洞,并且简单解释一下这些漏洞是如何产生的。

已知弱点和错误配置

已知弱点包括Web应用使用的操作系统和第三方应用程序中的所有程序错误或者可以被利用的漏洞。这个问题也涉及到错误配置,包含有不安全的默认设置或管理员没有进行安全配置的应用程序。一个很好的例子就是你的Web服务器被配置成可以让任何用户从系统上的任何目录路径通过,这样可能会导致泄露存储在Web服务器上的一些敏感信息,如口令、源代码或客户信息等。

隐藏字段

在许多应用中,隐藏的HTML格式字段被用来保存系统口令或商品价格。尽管其名称如此,但这些字段并不是很隐蔽的,任何在网页上执行“查看源代码”的人都能看见。许多Web应用允许恶意的用户修改HTML源文件中的这些字段,为他们提供了以极小成本或无需成本购买商品的机会。这些攻击行动之所以成功,是因为大多数应用没有对返回网页进行验证;相反,它们认为输入数据和输出数据是一样的。

后门和调试漏洞

开发人员常常建立一些后门并依靠调试来排除应用程序的故障。在开发过程中这样做可以,但这些安全漏洞经常被留在一些放在Internet上的最终应用中。一些常见的后门使用户不用口令就可以登录或者访问允许直接进行应用配置的特殊URL。

跨站点脚本编写

一般来说,跨站点编写脚本是将代码插入由另一个源发送的网页之中的过程。利用跨站点编写脚本的一种方式是通过HTML格式,将信息帖到公告牌上就是跨站点脚本编写的一个很好范例。恶意的用户会在公告牌上帖上包含有恶意的JavaScript代码的信息。当用户查看这个公告牌时,服务器就会发送HTML与这个恶意的用户代码一起显示。客户端的浏览器会执行该代码,因为它认为这是来自Web服务器的有效代码。

参数篡改

参数篡改包括操纵URL字符串,以检索用户以其他方式得不到的信息。访问Web应用的后端数据库是通过常常包含在URL中的SQL调用来进行的。恶意的用户可以操纵SQL代码,以便将来有可能检索一份包含所有用户、口令、信用卡号的清单或者储存在数据库中的任何其他数据。

推荐日志 解决IE被恶意修改方法总结

[ 2007-03-25 03:29:56 | 作者: sun ]
经常听到别人说自己电脑的IE被恶意修改了,我也曾经经常遇到过,做事做的好好,突然蹦出个网页实在是郁闷到极点啊。后来我就在网上乱搜一通,简单总结了下他们的方法特在此版块发给新手门,尤其是玩黑的!

大概有下面几种解决方法吧。

一、修改IE工具栏

在一般情况下,IE首页的修改可以通过IE工具栏里的“工具”-“Internet选项”-“常规”-“主页”功能模块来实现。

在弹出的窗口里,用户只要在“可更改主页”的地址栏中输入自己经常使用的网址然后再点击下面的“使用当前页”按钮就可以将其设为自己的IE首页了;如果是点击了“使用默认页”则一般会使IE首页调整为微软中国公司的主页;至于“使用空白页”选项则是让IE首页显示为“about:blank”字样的空白页,这样便于输入网址。

二、修改注册表

很多情况下,由于受了恶意程序的控制,或中了木马病毒,上面的方法根本不奏效,甚至有时候,“可更改主页”的地址栏都变成了灰色,无法再进行调整;有时候,即使你把网址改回来了,再开启IE浏览器,那个恶意网址又跑回来了。 实在是头大~~如果这样的话,最通常的办法就是修改注册表文件。

我们首先启动Windows的注册表编辑器,具体方法是点击Windows界面左下角的“开始”按钮,再选择“运行”,在弹出的对话框中输入“regedit”就可以进入注册表编辑器了。

IE首页的注册表文件是放在:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page下的,而这个子键的键值就是IE首页的网址。以笔者的电脑为例,键值是http://www.hao123.com,它是可以修改的,用户可以改为自己常用的网址,或是改为“about: blank”,即空白页。这样,你重启IE就可以看到效果了。

如果这种方法也不能奏效,那就是因为一些病毒或是流氓软件在你的电脑里面安装了一个自运行程序,就算你通过修改注册表恢复了IE首页,但是你一重新启动电脑,这个程序就会自动运行再次篡改。

这时候,我们需要对注册表文件进行更多的修改,运行“regedit”,然后依次展开HKEY_LOCAL_
MACHINE\Software\Microsoft\Windows\Current Version\Run主键,然后将其下的不知明的启动子键值删除,然后对应删除其不知明的自运行程序文件,最后从IE选项中重新设置起始页就好了。

除了上面的情况外,有些IE被改了首页后,即使设置了“使用默认页”仍然无效,这是因为IE起始页的默认页也被篡改啦。对于这种情况,我们同样可以通过修改注册表来解决,运行“regedit”展开:HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\
Default_Page_URL子键,然后将“Default_Page_UR”子键的键值中的那些篡改网站的网址改掉就好了,或者设置为IE的默认值。

三、使用IE修复软件

虽然修改注册表的方法十分有效,但是对于一般的电脑用户来说较为专业,而且编辑过程中也涉及到了比较多的英语。因此,我们在这里介绍大家使用一些专门的修复工具。

一般来说,IE修复工具有两大类。一是商业机构提供的辅助性工具,如瑞星注册表修复工具、3721的上网助手中附带的IE修复专家、超级兔子中的IE修复工具等等,这些软件大多捆绑在商业软件或是工具软件中,有些还需要付费才能够使用。其特点是,功能强大,建议经济实力较强的用户使用。

其中瑞星的注册表修复工具是可以免费单独下载的,具体的使用办法可以参考这些软件的帮助文件。

还有一点就是看系统启动项在运行里输入msconfig 查看启动项,你在这里可以查到每次开机时访问的网站URL地址,还有一种是在启动栏中有一个连接到本机的连接,该连接有可能是连接到一个*.js的文件,查找时要细心,左边的选勾去掉后,再按照路径把*.JS文件删除,然后重新启动系统就可以了。

推荐日志 老话新说:iexplore.exe是进程还是病毒

[ 2007-03-25 03:29:45 | 作者: sun ]

iexplore.exe是Microsoft Internet Explorer的主程序。这个微软Windows应用程序让你在网上冲浪,和访问本地Interanet网络。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。iexplore.exe同时也是Avant网络浏览器的一部分,这是一个免费的基于Internet Explorer的浏览器。注意iexplore.exe也有可能是Trojan.KillAV.B病毒,该病毒会终止你的反病毒软件,和一些Windows系统工具,该进程的安全等级是建议删除。


这个东西可以说是病毒,也可以说不是病毒。


因为微软的浏览器就是IEXPLORE.EXE,但是它一般情况随系统被安装在C:\Program Files\Internet Explorer下面。那么,如果发现这个文件是在这个目录下面的,一般情况不是病毒,当然,不包括已经被感染了的情况;还有一种情况,就是IEXPLORE.EXE在C:\WINDOWS\system32\下面,那么这个十有八九都是病毒。


系统进程--伪装的病毒 iexplore.exe


Trojan.PowerSpider.ac 破坏方法:密码解霸V8.10。又称“密码结巴”。偷用户各种密码,包含:游戏密码、局域网密码、腾讯QQ账号和密码、POP3 密码、Win9x缓存密码及拨号账号等等。这个木马所偷密码的范围很广,对广大互联网用户的潜在威胁也巨大。


现象:


1、系统进程中有iexplore.exe运行,注意,是小写字母;


2、搜索该程序iexplore.exe,不是位于C盘下的PROGRAMME文件夹,而是WINDOWS32文件夹。


解决办法:


1、到C:\\WINDOWS\\system32下找到ixplore.exe 和 psinthk.dll 完全删除之。


2、到注册表中,找到HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion \\Run “mssysint”= iexplore.exe,删除其键值。

推荐日志 安全防范 防止黑客入侵ADSL的一些技巧

[ 2007-03-25 03:29:34 | 作者: sun ]

随着各地ADSL网络的蓬勃发展,实现永久连接、随时在线已不再是遥远的梦,但是,我们必须明白,永久连入Internet同样也意味着遭受入侵的可能性大大增加。知己知彼,方能百战不殆,让我们了解一下黑客入侵ADSL用户的方法和防范手段吧。 

黑客入侵ADSL用户的方法

在很多地方都是包月制的,这样的话,黑客就可以用更长的时间进行端口以及漏洞的扫描,甚至采用在线暴力破解的方法盗取密码,或者使用嗅探工具守株待兔般等待对方自动把用户名和密码送上门。

要完成一次成功的网络攻击,一般有以下几步。第一步就是要收集目标的各种信息,为了对目标进行彻底分析,必须尽可能收集攻击目标的大量有效信息,以便最后分析得到目标的漏洞列表。分析结果包括:操作系统类型,操作系统的版本,打开的服务,打开服务的版本,网络拓扑结构,网络设备,防火墙。 

黑客扫描使用的主要是TCP/IP堆栈指纹的方法。实现的手段主要是三种:  

1.TCP ISN采样:寻找初始化序列规定长度与特定的OS是否匹配。  

2.FIN探测:发送一个FIN包(或者是任何没有ACK或SYN标记的包)到目标的一个开放的端口,然后等待回应。许多系统会返回一个RESET(复位标记)。  

3.利用BOGUS标记:通过发送一个SYN包,它含有没有定义的TCP标记的TCP头,利用系统对标记的不同反应,可以区分一些操作系统。  

4.利用TCP的初始化窗口:只是简单地检查返回包里包含的窗口长度,根据大小来唯一确认各个操作系统。 

扫描技术虽然很多,原理却很简单。这里简单介绍一下扫描工具Nmap(Network mapper)。这号称是目前最好的扫描工具,功能强大,用途多样,支持多种平台,灵活机动,方便易用,携带性强,留迹极少;不但能扫描出TCP/UDP端口,还能用于扫描/侦测大型网络。  

注意这里使用了一些真实的域名,这样可以让扫描行为看起来更具体。你可以用自己网络里的名称代替其中的addresses/names。你最好在取得允许后再进行扫描,否则后果可要你自己承担哦。  


nmap -v target.example.com  


这个命令对target.example.com上所有的保留TCP端口做了一次扫描,-v表示用详细模式。  


nmap -sS -O target.example.com/24  


这个命令将开始一次SYN的半开扫描,针对的目标是target.example.com所在的C类子网,它还试图确定在目标上运行的是什么操作系统。这个命令需要管理员权限,因为用到了半开扫描以及系统侦测。

发动攻击的第二步就是与对方建立连接,查找登录信息。现在假设通过扫描发现对方的机器建立有IPC$。IPC$是共享“命名管道”的资源,它对于程序间的通讯很重要,在远程管理计算机和查看计算机的共享资源时都会用到。利用IPC$,黑客可以与对方建立一个空连接(无需用户名和密码),而利用这个空连接,就可以获得对方的用户列表。  

第三步,使用合适的工具软件登录。打开命令行窗口,键入命令:net use 222.222.222.222ipc$ “administrator” /user:123456

这里我们假设administrator的密码是123456。如果你不知道管理员密码,还需要找其他密码破解工具帮忙。登录进去之后,所有的东西就都在黑客的控制之下了。 

防范方法

因为ADSL用户一般在线时间比较长,所以安全防护意识一定要加强。每天上网十几个小时,甚至通宵开机的人不在少数吧,而且还有人把自己的机器做成Web或者ftp服务器供其他人访问。日常的防范工作一般可分为下面的几个步骤来作。  

步骤一,一定要把Guest帐号禁用。有很多入侵都是通过这个帐号进一步获得管理员密码或者权限的。如果不想把自己的计算机给别人当玩具,那还是禁止的好。打开控制面板,双击“用户和密码”,选择“高级”选项卡。单击“高级”按钮,弹出本地用户和组窗口。在Guest帐号上面点击右键,选择属性,在“常规”页中选中“帐户已停用”。  


步骤二,停止共享。Windows 2000安装好之后,系统会创建一些隐藏的共享。点击开始→运行→cmd,然后在命令行方式下键入命令“net share”就可以查看它们。网上有很多关于IPC入侵的文章,都利用了默认共享连接。要禁止这些共享,打开管理工具→计算机管理→共享文件夹→共享,在相应的共享文件夹上按右键,点“停止共享”就行了。  

步骤三,尽量关闭不必要的服务,如Terminal Services、IIS(如果你没有用自己的机器作Web服务器的话)、RAS(远程访问服务)等。还有一个挺烦人的Messenger服务也要关掉,否则总有人用消息服务发来网络广告。打开管理工具→计算机管理→服务和应用程序→服务,看见没用的就关掉。  

步骤四,禁止建立空连接。在默认的情况下,任何用户都可以通过空连接连上服务器,枚举帐号并猜测密码。我们必须禁止建立空连接,方法有以下两种:  

(1)修改注册表:  


HKEY_Local_MachineSystemCurrent-ControlSetControlLSA  



下,将DWORD值RestrictAnonymous的键值改成1。

(2)修改Windows 2000的本地安全策略:  

设置“本地安全策略→本地策略→选项”中的RestrictAnonymous(匿名连接的额外限制)为“不容许枚举SAM账号和共享”。  

步骤五,如果开放了Web服务,还需要对IIS服务进行安全配置:  

(1) 更改Web服务主目录。右键单击“默认Web站点→属性→主目录→本地路径”,将“本地路径”指向其他目录。  

(2) 删除原默认安装的Inetpub目录。  

(3) 删除以下虚拟目录: _vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。   

(4) 删除不必要的IIS扩展名映射。方法是:右键单击“默认Web站点→属性→主目录→配置”,打开应用程序窗口,去掉不必要的应用程序映射。如不用到其他映射,只保留.asp、.asa即可。  

(5) 备份IIS配置。可使用IIS的备份功能,将设定好的IIS配置全部备份下来,这样就可以随时恢复IIS的安全配置。

不要以为这样就万事大吉,微软的操作系统我们又不是不知道,bug何其多,所以一定要把微软的补丁打全。  

最后,建议大家选择一款实用的防火墙。比如Network ICE Corporation公司出品的Black ICE。它的安装和运行十分简单,就算对网络安全不太熟悉也没有关系,使用缺省的配置就能检测绝大多数类型的黑客攻击。对于有经验的用户,还可以选择“Tools”中的“Advanced Firewall Settings”,来针对特定的IP地址或者UDP的特定端口进行接受或拒绝配置,以达到特定的防御效果。

推荐日志 教你防黑之小心防范RM,WMV木马的方法

[ 2007-03-25 03:29:23 | 作者: sun ]

(一)RM、RMVB文件中加入木马的方式

Helix Producer Plus是一款图形化的专业流媒体文件制作工具,这款软件把其他格式的文件转换成RM或RMVB格式,也可以对已存在的RM文件进行重新编辑,在编辑的同时,我们可以把事先准备好的网页木马插入其中。这样只要一打开这个编辑好的媒体文件,插入在其中的网页木马也会随之打开,甚至还能控制网页木马打开的时间,让网页木马更隐蔽。

(二)WMV、WMA文件中加入木马的方式

对于WMA、WMV文件,是利用其默认的播放器Windows Media Player的“Microsoft Windows媒体播放器数字权限管理加载任意网页漏洞”来插入木马。当播放已经插入木马的恶意文件时,播放器首先会弹出一个提示窗口,说明此文件经过DRM加密需要通过URL验证证书,而这个URL就是事先设置好的网页木马地址,当用户点击“是”进行验证时,种马便成功了。和RM文件种马一样,在WMV文件中插入木马我们还需要一样工具――WMDRM打包加密器,这是一款可以对WMA、WMV进行DRM加密的文件,软件本身是为了保护媒体文件的版权,但在攻击者手中,便成了黑客的帮凶。

(三)防御方法

1.看影片之前,用Helix Producer Plus 9的rmevents.exe清空了影片的剪辑信息,这样就不会出现指定时间打开指定窗口的事件了。(适合RM木马)

2.升级所有的IE补丁,毕竟RM木马实际上也是靠IE漏洞执行的。(适合RM木马)

3.用网络防火墙屏蔽RealPlayer对网络的访问权限。(适合RM木马)

4.换其他播放器,如:梦幻鼎点播放器、暴风影音、Mplayer等。(适合两款木马)

5.及时升级杀毒软件的病毒库,升级两个媒体播放软件的补丁。(适合两款木马)

推荐日志 ARP协议的缺陷及ARP欺骗的防范

[ 2007-03-25 03:29:12 | 作者: sun ]
一、ARP协议工作原理

在TCP/IP协议中,每一个网络结点是用IP地址标识的,IP地址是一个逻辑地址。而在以太网中数据包是靠48位MAC地址(物理地址)寻址的。因此,必须建立IP地址与MAC地址之间的对应(映射)关系,ARP协议就是为完成这个工作而设计的。

TCP/IP协议栈维护着一个ARP cache表,在构造网络数据包时,首先从ARP表中找目标IP对应的MAC地址,如果找不到,就发一个ARP request广播包,请求具有该IP地址的主机报告它的MAC地址,当收到目标IP所有者的ARP reply后,更新ARP cache。ARP cache有老化机制。

二、ARP协议的缺陷
ARP协议是建立在信任局域网内所有结点的基础上的,它很高效,但却不安全。它是无状态的协议,不会检查自己是否发过请求包,也不管(其实也不知道)是否是合法的应答,只要收到目标MAC是自己的ARP reply包或arp广播包(包括ARP request和ARP reply),都会接受并缓存。这就为ARP欺骗提供了可能,恶意节点可以发布虚假的ARP报文从而影响网内结点的通信,甚至可以做“中间人”。

三、常见ARP欺骗形式
1、假冒ARP reply包(单播)
XXX,I have IP YYY and my MAC is ZZZ!
2、假冒ARP reply包(广播)
Hello everyone! I have IP YYY and my MAC is ZZZ!
向所有人散布虚假的IP/MAC
3、假冒ARP request(广播)
I have IP XXX and my MAC is YYY.
Who has IP ZZZ? tell me please!
表面为找IP ZZZ的MAC,实际是广播虚假的IP、MAC映射(XXX,YYY)
4、假冒ARP request(单播)
已知IP ZZZ的MAC
Hello IP ZZZ! I have IP XXX and my MAC is YYY.
5、假冒中间人
欺骗主机(MAC为MMM)上启用包转发
向主机AAA发假冒ARP Reply:
AAA,I have IP BBB and my MAC is MMM,
向主机BBB发假冒ARP Reply:
BBB,I have IP AAA and my MAC is MMM
由于ARP Cache的老化机制,有时还需要做周期性连续欺骗。

四、ARP欺骗的防范

1、运营商可采用Super VLAN或PVLAN技术
所谓Super VLAN也叫VLAN聚合,这种技术在同一个子网中化出多个Sub VLAN,而将整个IP子网指定为一个VLAN聚合(Super VLAN),所有的Sub VLAN都使用Super VLAN的默认网关IP地址,不同的Sub VLAN仍保留各自独立的广播域。子网中的所有主机只能与自己的默认网关通信。如果将交换机或IP DSLAM设备的每个端口化为一个Sub VLAN,则实现了所有端口的隔离,也就避免了ARP欺骗。Super VLAN的例子参见:
http://publish.it168.com/2004/0316/200403160005101.shtml

PVLAN即私有VLAN(Private VLAN) ,PVLAN采用两层VLAN隔离技术,只有上层VLAN全局可见,下层VLAN相互隔离。如果将交换机或IP DSLAM设备的每个端口化为一个(下层)VLAN,则实现了所有端口的隔离。
PVLAN的例子参见:
http://network.51cto.com/art/200509/3644.htm
PVLAN和SuperVLAN技术都可以实现端口隔离,但实现方式、出发点不同。PVLAN是为了节省VLAN,而SuperVlan的初衷是节省IP地址。

2、单位局域网可采用IP与MAC绑定
在PC上IP+MAC绑,网络设备上IP+MAC+端口绑。但不幸的是Win 98/me、未打arp补丁的win 2000/xp sp1(现在大多都已经打过了)等系统 使用arp -s所设置的静态ARP项还是会被ARP欺骗所改变。
如果网络设备上只做IP+MAC绑定,其实也是不安全的,假如同一二层下的某台机器发伪造的arp reply(源ip和源mac都填欲攻击的那台机子的)给网关,还是会造成网关把流量送到欺骗者所连的那个(物理)端口从而造成网络不通。

对于采用了大量傻瓜交换机的局域网,用户自己可以采取支持arp过滤的防火墙等方法。推荐Look ‘n’Stop防火墙,支持arp协议规则自定义。

最后就是使用ARPGuard啦(才拉到正题上),但它只是保护主机和网关间的通讯。

五、ARPGuard的原理

ARPGuard可以保护主机和网关的通讯不受ARP欺骗的影响。
1、第一次运行(或检测到网关IP改变)时获取网关对应的MAC地址,将网卡信息、网关IP、网关MAC等信息保存到配置文件中,其他时候直接使用配置文件。
2、移去原默认路由(当前网卡的)
3、产生一个随机IP,将它添加成默认网关。
4、默认网关IP 和网关的MAC绑定(使用DeleteIpNetEntry和CreateIpNetEntry修改ARP Cache表项)
5、周期性检测ARP Cache中原默认网关(不是随机IP那个) 网关的MAC在ARP Cache的值是否被改写,若被改写就报警。
6、针对有些攻击程序只给网关设备(如路由器或三层交换机)发欺骗包的情况。由于此时本机ARP Cache中网关MAC并未被改变,因此只有主动防护,即默认每秒发10个ARP reply包来维持网关设备的ARP Cache(可选)
7、程序结束时恢复默认网关和路由。

值得说明的是程序中限定了发包间隔不低于100ms,主要是怕过量的包对网络设备造成负担。如果你遭受的攻击太猛烈,你也可以去掉这个限制,设定一个更小的数值,保证你的通讯正常。

附ARPGuard 源码:http://allyesno.gbaopan.com/files/580c66c8b1fa438285f20a5c2d208b6e.gbp