像“偷窃者”一样思考网站的安全策略
[ 2007-03-25 03:26:36 | 作者: sun ]
当人们上网浏览时,他们会通过网页上的信息获取一些机密信息么?IT安全专家提醒公司在网站上发布信息时需要慎重,否则将可能给黑客或商业间谍以可乘之机。针对企业网站安全性问题,专家们提供了一些建议。
周密考虑
Natick公司负责数据安全系统的总裁Sandy Sherizen建议说,负责公司网站内容的管理员应该学习"像偷窃者一样进行思考",这里所指的偷窃者,是指试图窃取公司信息或搜集商业机密的黑客或商业间谍。公司网站上一些看上去并不重要的信息片段,一旦被偷窃者汇集并归纳,其后果可能导致公司内部机构设置、战略合作伙伴关系、核心客户等重要信息被泄露。
Sherizen指出:维护公司网站的安全不仅仅只是网站管理员和公共关系部门的责任。在网站贴出任何信息之前,公司的IT安全人员应该从安全性角度对信息内容进行审核。毕竟,他们的职责正是检查存在哪些技术弱点,并采用适当方式防止破坏产生。换句话说,专业的IT安全人员已经被训练成"像偷窃者一样思考问题"了。
具备责任意识
随着新的责任法律的实施(例如:萨班斯-奥克斯利法案(Sarbanes-Oxley Act),金融服务现代化法案(Gramm-Leach Bliley Act)等),Sherizen提醒说:网站上被疏忽的安全问题可能导致公司必须承担相应的法律责任。尤其是安全问题涉及到与公司密切联系的供应链和商业合作伙伴,或者涉及到公司网站收集的客户信息时。
Sherizen引用了一个法律个案进行说明。当某人登录A公司网站后,由于该网站缺乏充分的安全防护,使他能够利用A公司网站入侵到B公司的信息系统,并可能采取更进一步的破坏活动。B公司以受到损害为由起诉A公司并取得胜诉,尽管具体实施入侵活动的是作为第三者的黑客。
"最小特权原则"
互联网安全企业RedSiren负责产品策略的副总裁Nick Brigman建议:公司网站应该积极采用"最小特权原则"(rule of least-privilege)。一方面必须确保赋予使用者"必不可少"的功能操作,另一方面需要警惕IT安全管理的执行。他指出:首先应该为公司网站确定目标和使用权限。如果公司设立网站的目标仅仅在于吸引更多的客户关注,把他们导向销售团队,那么不需要将公司的内部信息公布在网站上。 Brigman进一步解释说,过多的信息可能会泄露公司的商业机密。
RedSiren公司为客户提供了一项名为"公开信息侦察"(public information reconnaissance)的服务,它能够在互联网上搜索任何找得到的、与客户有关的公开讯息。Brigman说:"通常说来,只要多花费一些时间,就能够获取到想要的信息。甚至一些仅供内部参考的网页也可能被搜获,因为这些网页被不经意的上载。即便是公司网站并未提供这些网页链接的情况下,只需利用Google或其他搜索引擎强大的索引功能,便能进行相关的信息查找和利用"。
Brigman强调说某些信息决不应该张贴在全球信息网上,即便公司认为已经采取了充分的安全防范,并将使用者的访问权限制在极小的特权范围内。诸如战略计划、未来销售策略、以及与合作伙伴谈判的相关信息,都应该受到严格的安全保护。
信息技术和工程服务公司Anteon负责Fairfax本地安全的主管Ray Donahue认为,公司对自己的网站内容进行审查的同时,需要留意其主要供货商的网站,了解他们是如何对你的公司进行描述。站在你的商业伙伴角度上考虑,他们或许认为通过网站宣布其新的战略合作,可能造成极好的广告宣传效应;然而,如果商业伙伴的网站缺乏充分的安全防范,那些通过互联网传播的信息很可能被黑客利用。一旦黑客了解到你的公司正在使用哪种软件系统或网络设备,他们将试图利用系统或网络的安全漏洞对该公司发起攻击。
Caesar, Rivise,Bernstein,Cohen & Pokotilow律师事务所的合伙人兼知识产权法律师Barry Stein指出,如果公司的网站内容缺乏严格审核,公司将面临法律后果和潜在的财产损失。因此,需要尽可能小心的避免公司商业机密的泄露,并考虑专利权问题。他强调,由于互联网具有全球性,可申请发明专利的方案其详细内容如果泄漏;如果此前没有申请专利,那么该方案有可能失去获得国外专利权的机会。
避免电子邮件地址泄露重要信息
公司在网站上张贴信息时,最普遍也是最危险的情况是使用"详情请与某人联系"的电子邮件地址。Nick Brigman提醒说:不法者可以通过直接使用网站上公开的电子邮件名称,轻易获取到他们想要的信息。通常,恶意垃圾邮件制造者正是利用这些网站上公布的邮件地址和掩码地址进行垃圾邮件散布。这些地址和名称信息也可能被心存恶意的黑客利用,通过伪造电子邮件进行蠕虫或其他病毒的传播。
Brigman同时建议:避开这种潜在危险的一个方法是利用Web表单(Web form),取代用户与公司内部电子邮件系统的直接联系方式。
Ray Donahue建议:公司需要对他们网站上公布的其他联系方式进行测试。例如:如果公司在网站上公布了一个用于解答用户问题的电话号码,那么需要确定的是,负责回答该电话线路的工作人员应该清楚哪些信息是用于共享的。警惕那些心怀恶意的询问者,期望借此机会窃取公司内部重要信息和客户资料,或者从事其他破坏活动。
避免泄露基础设施的相关信息
IT技术顾问公司Razorfish的技术负责人Ray Velez指出:一些公司错误地将URL公布在网站上,这可能导致与之相关的应用服务器类型或主机信息被泄露。例如:旧版Sun One应用服务器的URL里包含一个标准的目录,在URL中命名为NASAPP。 Velez建议应该移除这个目录。
此外,Nick Brigman还指出Web制作者一个经常性的错误操作,即直接从公司网络上撷取一个图标或文档,将它们放置在网页中。"这种错误的操作方法,使文件名、系统名、甚至文件结构等重要信息都可能通过数据被泄露。一旦不法者捕获到认为有用的信息,他们将利用工具和网状功能,实施更进一步的入侵并获取更多的信息。"
从html/asp/jsp/php原始文件中删除技术评论
Ray Velez解释这一做法是考虑到程序开发者的相关技术评论可能泄露某些重要信息,如你正在运行的技术类型,及其破解之道。这些技术评论可能会出现在终端用户的浏览器中。Velez提醒说,黑客通常喜欢浏览讯息留言板或相关的贴文,因此他们很清楚最新发布的安全补丁用于修复何种漏洞。这种隐患的存在,无论对未进行最新补丁升级的公司或者个人来说,都意味着将面临被攻击的可能。因此,必须警惕黑客试图利用这些"开发者"的技术评论作为破解网站安全防护的指南。
此外,那些看上去仿佛只是由于技术故障而出现的错误消息应该避免被暴露。因为这些错误消息将显示代码中存在的弱点,并会泄露技术基础的相关信息。针对这个问题,Velez建议替换404状态码和其他40x错误讯息,采用能够让用户更容易了解,并且不会透露基础技术信息的错误提示页。
在网站上使用非编辑模式的文档和图标
SwiftView公司产品部经理Glenn Widener指出,网站上不妥当的信息公布方式也可能受到攻击。这是由于以原格式(如:Word、Visio、AutoCAD)存储的文档或图标不受数据篡改验证(tamper-proof)的保护;此外,Adobe Acrobat writing软件的任何使用者都可以对PDF文件进行篡改或编辑。考虑到防止数据篡改的安全措施可能错综复杂并且耗废大量时间,Glenn Widener建议网站上公布的文档或图标尽可能使用PCL、HPGL、TIFF、JPG等通用格式,从而避免受到恶意篡改或编辑。
针对PCL格式,Widener建议:公司允许业务合作伙伴能够对一份业务计划的文本进行抽取,但不能对信息进行任何形式的编辑。业务合作伙伴能够使用任何形式的阅读器(如:SwiftView's)对文本进行查看,选择和打印。
由于PCL格式具备良好的安全性,因此它在金融领域得到广泛运用,如:抵押银行通常采取PCL格式进行机密文档的传送。
树立安全意识
"这是我们从客户那里听到的一个观念,如今我们把它运用到自己的市场策略中,"Nick Brigman说。911事件之后,人们逐渐树立起更强的安全意识。需要紧记的是,对网站上可能被利用的信息应严格审查。有些重要信息没有直接出现在网站上,但并不表明这些信息不会被窃取。网站可能正是重要信息被泄露的一个漏洞。因此,对网站内容进行审查至关重要。如果公司的IT部门不能对网站内容提供专业的安全保护,那么就有必要聘请专业的第三方来履行这个安全责任。
ASP木马Webshell的安全防范解决办法
[ 2007-03-25 03:26:24 | 作者: sun ]
注意:本文所讲述之设置方法与环境:适用于Microsoft Windows 2000 Server/Win2003 SERVER | IIS5.0/IIS6.0
1、首先我们来看看一般ASP木马、Webshell所利用的ASP组件有那些?我们以海洋木马为列:
<object runat="server" id="ws" scope="page" classid="clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8">
</object>
<object runat="server" id="ws" scope="page" classid="clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B">
</object>
<object runat="server" id="net" scope="page" classid="clsid:093FF999-1EA0-4079-9525-9614C3504B74">
</object>
<object runat="server" id="net" scope="page" classid="clsid:F935DC26-1CF0-11D0-ADB9-00C04FD58A0B">
</object>
<object runat="server" id="fso" scope="page" classid="clsid:0D43FE01-F093-11CF-8940-00A0C9054228">
</object>
shellStr="Shell"
applicationStr="Application"
if cmdPath="wscriptShell"
set sa=server.createObject(shellStr&"."&applicationStr)
set streamT=server.createObject("adodb.stream")
set domainObject = GetObject("WinNT://.")
以上是海洋中的相关代码,从上面的代码我们不难看出一般ASP木马、Webshell主要利用了以下几类ASP组件:
① WScript.Shell (classid:72C24DD5-D70A-438B-8A42-98424B88AFB8)
② WScript.Shell.1 (classid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B)
③ WScript.Network (classid:093FF999-1EA0-4079-9525-9614C3504B74)
④ WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
⑤ FileSystem Object (classid:0D43FE01-F093-11CF-8940-00A0C9054228)
⑥ Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
⑦ Shell.applicaiton....
hehe,这下我们清楚了危害我们WEB SERVER IIS的最罪魁祸首是谁了!!开始操刀,come on...
2:解决办法:
① 删除或更名以下危险的ASP组件:
WScript.Shell、WScript.Shell.1、Wscript.Network、Wscript.Network.1、adodb.stream、Shell.application
开始------->运行--------->Regedit,打开注册表编辑器,按Ctrl+F查找,依次输入以上Wscript.Shell等组件名称以及相应的ClassID,然后进行删除或者更改名称(这里建议大家更名,如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直
接删除心中踏实一些^_^,按常规一般来说是不会做到以上这些组件的。删除或更名后,iisreset重启IIS后即可升效。)
[注意:由于Adodb.Stream这个组件有很多网页中将用到,所以如果你的服务器是开虚拟主机的话,建议酢情处理。]
② 关于 File System Object (classid:0D43FE01-F093-11CF-8940-00A0C9054228)即常说的FSO的安全问题,如果您的服务器必需要用到FSO的话,(部分虚拟主机服务器一般需开FSO功能)可以参照本人的另一篇关于FSO安全解决办法的文章:Microsoft Windows 2000 Server FSO 安全隐患解决办法。如果您确信不要用到的话,可以直接反注册此组件即可。
③ 直接反注册、卸载这些危险组件的方法:(实用于不想用①及②类此类烦琐的方法)
卸载wscript.shell对象,在cmd下或直接运行:regsvr32 /u %windir%\system32\WSHom.Ocx
卸载FSO对象,在cmd下或直接运行:regsvr32.exe /u %windir%\system32\scrrun.dll
卸载stream对象,在cmd下或直接运行: regsvr32 /s /u "C:\Program Files\Common Files\System\ado\msado15.dll"
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件例如:regsvr32.exe %windir%\system32\scrrun.dll
④ 关于Webshell中利用set domainObject = GetObject("WinNT://.")来获取服务器的进程、服务以及用户等信息的防范,大家可以将服务中的Workstation[提供网络链结和通讯]即Lanmanworkstation服务停止并禁用即可。此处理后,Webshell显示进程处将为空白。
3 按照上1、2方法对ASP类危险组件进行处理后,用阿江的asp探针测试了一下,"服务器CPU详情"和"服务器操作系统"根本查不到,内容为空白的。再用海洋测试Wsript.Shell来运行cmd命令也是提示Active无法创建对像。大家就都可以再也不要为ASP木马危害到服务器系统的安全而担扰了。
当然服务器安全远远不至这些,这里为大家介绍的仅仅是本人在处理ASP木马、Webshell上的一些心得体会。在下一篇中将为大家介绍如何简简单单的防止别人在服务器上执行如net user之类的命令,防溢出类攻击得到cmdshell,以及执行添加用户、改NTFS设置权限到终端登录等等的最简单有效的防范方法。
本文作者:李泊林/LeeBolin 资深系统工程师、专业网络安全顾问。 已成功为国内多家大中型企业,ISP服务商提供了完整的网络安全解决方案。尤其擅长于整体网络安全方案的设计、大型网络工程的策划、以及提供完整的各种服务器系列安全整体解决方案。
计算机病毒传染的一般过程
[ 2007-03-25 03:26:12 | 作者: sun ]
在系统运行时, 病毒通过病毒载体即系统的外存储器进入系统的内存储器, 常驻内存。该病毒在系统内存中监视系统的运行, 当它发现有攻击的目标存在并满足条件时,便从内存中将自身存入被攻击的目标, 从而将病毒进行传播。 而病毒利用系统INT 13H读写磁盘的中断又将其写入系统的外存储器软盘或硬盘中, 再感染其他系统。
可执行文件感染病毒后又怎样感染新的可执行文件?
可执行文件.COM或.EXE感染上了病毒, 例如黑色星期五病毒, 它驻入内存的条件是在执行被传染的文件时进入内存的。
一旦进入内存,便开始监视系统的运行。当它发现被传染的目标时, 进行如下操作:
(1)首先对运行的可执行文件特定地址的标识位信息进行判断是否已感染了病毒;
(2)当条件满足, 利用INT 13H将病毒链接到可执行文件的首部或尾部或中间, 并存大磁盘中;
(3)完成传染后, 继续监视系统的运行, 试图寻找新的攻击目标。
操作系统型病毒是怎样进行传染的?
正常的PC DOS启动过程是:
(1)加电开机后进入系统的检测程序并执行该程序对系统的基本设备进行检测;
(2)检测正常后从系统盘0面0道1扇区即逻辑0扇区读入Boot引导程序到内存的0000: 7C00处;
(3)转入Boot执行之;
(4)Boot判断是否为系统盘, 如果不是系统盘则提示;
non-system disk or disk error
Replace and strike any key when ready
否则, 读入IBM BIO.COM和IBM DOS.COM两个隐含文件;
(5)执行IBM BIO.COM和IBM DOS.COM两个隐含文件, 将COMMAND.COM装入内存;
(6)系统正常运行, DOS启动成功。
如果系统盘已感染了病毒, PC DOS的启动将是另一番景象, 其过程为:
(1)将Boot区中病毒代码首先读入内存的0000: 7C00处;
(2)病毒将自身全部代码读入内存的某一安全地区、常驻内存, 监视系统的运行;
(3)修改INT 13H中断服务处理程序的入口地址, 使之指向病毒控制模块并执行之。因为任何一种病毒要感染软盘或者硬盘,都离不开对磁盘的读写操作, 修改INT13H中断服务程序的入口地址是一项少不了的操作;
(4)病毒程序全部被读入内存后才读入正常的Boot内容到内存的0000: 7C00处, 进行正常的启动过程;
(5)病毒程序伺机等待随时准备感染新的系统盘或非系统盘。
如果发现有可攻击的对象, 病毒要进行下列的工作:
(1)将目标盘的引导扇区读入内存, 对该盘进行判别是否传染了病毒;
(2)当满足传染条件时, 则将病毒的全部或者一部分写入Boot区, 把正常的磁盘的引导区程序写入磁盘特写位置;
(3)返回正常的INT 13H中断服务处理程序, 完成了对目标盘的传染。
可执行文件感染病毒后又怎样感染新的可执行文件?
可执行文件.COM或.EXE感染上了病毒, 例如黑色星期五病毒, 它驻入内存的条件是在执行被传染的文件时进入内存的。
一旦进入内存,便开始监视系统的运行。当它发现被传染的目标时, 进行如下操作:
(1)首先对运行的可执行文件特定地址的标识位信息进行判断是否已感染了病毒;
(2)当条件满足, 利用INT 13H将病毒链接到可执行文件的首部或尾部或中间, 并存大磁盘中;
(3)完成传染后, 继续监视系统的运行, 试图寻找新的攻击目标。
操作系统型病毒是怎样进行传染的?
正常的PC DOS启动过程是:
(1)加电开机后进入系统的检测程序并执行该程序对系统的基本设备进行检测;
(2)检测正常后从系统盘0面0道1扇区即逻辑0扇区读入Boot引导程序到内存的0000: 7C00处;
(3)转入Boot执行之;
(4)Boot判断是否为系统盘, 如果不是系统盘则提示;
non-system disk or disk error
Replace and strike any key when ready
否则, 读入IBM BIO.COM和IBM DOS.COM两个隐含文件;
(5)执行IBM BIO.COM和IBM DOS.COM两个隐含文件, 将COMMAND.COM装入内存;
(6)系统正常运行, DOS启动成功。
如果系统盘已感染了病毒, PC DOS的启动将是另一番景象, 其过程为:
(1)将Boot区中病毒代码首先读入内存的0000: 7C00处;
(2)病毒将自身全部代码读入内存的某一安全地区、常驻内存, 监视系统的运行;
(3)修改INT 13H中断服务处理程序的入口地址, 使之指向病毒控制模块并执行之。因为任何一种病毒要感染软盘或者硬盘,都离不开对磁盘的读写操作, 修改INT13H中断服务程序的入口地址是一项少不了的操作;
(4)病毒程序全部被读入内存后才读入正常的Boot内容到内存的0000: 7C00处, 进行正常的启动过程;
(5)病毒程序伺机等待随时准备感染新的系统盘或非系统盘。
如果发现有可攻击的对象, 病毒要进行下列的工作:
(1)将目标盘的引导扇区读入内存, 对该盘进行判别是否传染了病毒;
(2)当满足传染条件时, 则将病毒的全部或者一部分写入Boot区, 把正常的磁盘的引导区程序写入磁盘特写位置;
(3)返回正常的INT 13H中断服务处理程序, 完成了对目标盘的传染。
防范内网遭受DoS攻击的策略
[ 2007-03-25 03:25:46 | 作者: sun ]
尽管网络安全专家都在着力开发抗DoS攻击的办法,但收效不大,因为DoS攻击利用了TCP协议本身的弱点。在交换机上进行设置,并安装专门的DoS识别和预防工具,能最大限度地减少DoS攻击造成的损失。
利用三层交换建立全面的网络安全体系,其基础必须是以三层交换和路由为核心的智能型网络,有完善的三层以上的安全策略管理工具。
局域网层
在局域网层上,可采取很多预防措施。例如,尽管完全消除IP分组假冒现象几乎不可能,但网管可构建过滤器,如果数据带有内部网的信源地址,则通过限制数据输入流量,有效降低内部假冒IP攻击。过滤器还可限制外部IP分组流,防止假冒IP的DoS攻击被当作中间系统。
其他方法还有:关闭或限制特定服务,如限定UDP服务只允许于内部网中用于网络诊断目的。
但是,这些限制措施可能给合法应用(如采用UDP作为传输机制的RealAudio)带来负面影响。
网络传输层
以下对网络传输层的控制可对以上不足进行补充。
独立于层的线速服务质量(QoS)和访问控制
带有可配置智能软件、独立于层的QoS和访问控制功能的线速多层交换机的出现,改善了网络传输设备保护数据流完整性的能力。
在传统路由器中,认证机制(如滤除带有内部地址的假冒分组)要求流量到达路由器边缘,并与特定访问控制列表中的标准相符。但维护访问控制列表不仅耗时,而且极大增加了路由器开销。
相比之下,线速多层交换机可灵活实现各种基于策略的访问控制。
这种独立于层的访问控制能力把安全决策与网络结构决策完全分开,使网管员在有效部署了DoS预防措施的同时,不必采用次优的路由或交换拓扑。结果,网管员和服务供应商能把整个城域网、数据中心或企业网环境中基于策略的控制标准无缝地集成起来,而不管它采用的是复杂的基于路由器的核心服务,还是相对简单的第二层交换。此外,线速处理数据认证可在后台执行,基本没有性能延迟。
可定制的过滤和“信任邻居”机制
智能多层访问控制的另一优点是,能简便地实现定制过滤操作,如根据特定标准定制对系统响应的控制粒度。多层交换可把分组推送到指定的最大带宽限制的特定QoS配置文件上,而不是对可能是DoS攻击的组制订简单的“通过”或“丢弃”决策。这种方式,既可防止DoS攻击,也可降低丢弃合法数据包的危险。
另一个优点是能定制路由访问策略,支持具体系统之间的“信任邻居”关系,防止未经授权使用内部路由。
定制网络登录配置
网络登录采用惟一的用户名和口令,在用户获准进入前认证身份。网络登录由用户的浏览器把动态主机配置协议(DHCP)递交到交换机上,交换机捕获用户身份,向RADIUS服务器发送请求,进行身份认证,只有在认证之后,交换机才允许该用户发出的分组流量流经网络。
利用三层交换建立全面的网络安全体系,其基础必须是以三层交换和路由为核心的智能型网络,有完善的三层以上的安全策略管理工具。
局域网层
在局域网层上,可采取很多预防措施。例如,尽管完全消除IP分组假冒现象几乎不可能,但网管可构建过滤器,如果数据带有内部网的信源地址,则通过限制数据输入流量,有效降低内部假冒IP攻击。过滤器还可限制外部IP分组流,防止假冒IP的DoS攻击被当作中间系统。
其他方法还有:关闭或限制特定服务,如限定UDP服务只允许于内部网中用于网络诊断目的。
但是,这些限制措施可能给合法应用(如采用UDP作为传输机制的RealAudio)带来负面影响。
网络传输层
以下对网络传输层的控制可对以上不足进行补充。
独立于层的线速服务质量(QoS)和访问控制
带有可配置智能软件、独立于层的QoS和访问控制功能的线速多层交换机的出现,改善了网络传输设备保护数据流完整性的能力。
在传统路由器中,认证机制(如滤除带有内部地址的假冒分组)要求流量到达路由器边缘,并与特定访问控制列表中的标准相符。但维护访问控制列表不仅耗时,而且极大增加了路由器开销。
相比之下,线速多层交换机可灵活实现各种基于策略的访问控制。
这种独立于层的访问控制能力把安全决策与网络结构决策完全分开,使网管员在有效部署了DoS预防措施的同时,不必采用次优的路由或交换拓扑。结果,网管员和服务供应商能把整个城域网、数据中心或企业网环境中基于策略的控制标准无缝地集成起来,而不管它采用的是复杂的基于路由器的核心服务,还是相对简单的第二层交换。此外,线速处理数据认证可在后台执行,基本没有性能延迟。
可定制的过滤和“信任邻居”机制
智能多层访问控制的另一优点是,能简便地实现定制过滤操作,如根据特定标准定制对系统响应的控制粒度。多层交换可把分组推送到指定的最大带宽限制的特定QoS配置文件上,而不是对可能是DoS攻击的组制订简单的“通过”或“丢弃”决策。这种方式,既可防止DoS攻击,也可降低丢弃合法数据包的危险。
另一个优点是能定制路由访问策略,支持具体系统之间的“信任邻居”关系,防止未经授权使用内部路由。
定制网络登录配置
网络登录采用惟一的用户名和口令,在用户获准进入前认证身份。网络登录由用户的浏览器把动态主机配置协议(DHCP)递交到交换机上,交换机捕获用户身份,向RADIUS服务器发送请求,进行身份认证,只有在认证之后,交换机才允许该用户发出的分组流量流经网络。
Windows2000Server系统共享安全知识
[ 2007-03-25 03:25:36 | 作者: sun ]
彻底删除缺省共享
WINDOWS 2000 默认共享有:
C$、D$ 、 E$ 、F$ 、Admin$ 、ipc$
处理方法
一、批处理
在记事本中输入如下面内容:
net share C$ /delete
net share d$ /delete
net share e$ /delete
net share f$ /delete
net share admin$ /delete
net share ipc$ /delete
以 .bat为后缀名保存,如noshare.bat,将其放到“开始”——“启动”文件中。重起即可。
二、修改注册表键值
禁止C$、D$ 、 E$ 、F$之类共享,修改如下:
HKEY_OCAL_MACHINE\SYSTEM\Currentcontrolset\services\lanman server\
parameters.Autoshare server.REG_dword.0X0
(注:0为零)
禁止ADMIN$共享,修改如下:
HKEY_OCAL_MACHINE\SYSTEM\Currentcontrolset\services\lanman server\
parameters.Autoshare WKS.REG_dword.0X0
(注:0为零)
禁止ipc$之类共享,修改如下:
HKEY_OCAL_MACHINE\SYSTEM\Currentcontrolset\control\lsarestrictanonymous_
REG_dword.0X0
(注:0为零)
总结
0X1 匿名用户无法理举本机用户列表。
0X2 匿名用户无法连接本机IPC$共享。
一般不设为2,因为这可能会造成服务器里一些服务无法启动,例如;SQL SERVER等。
看看电脑病毒有哪些破坏方式
[ 2007-03-25 03:25:23 | 作者: sun ]
电脑病毒激发后,就可能进行破坏活动,轻者干扰屏幕显示,降低电脑运行速度,重者使电脑软硬盘文件、数据被肆意篡改或全部丢失,甚至使整个电脑系统瘫痪。
常见的破坏方式有
(1)删除磁盘上特定的可执行文件或数据文件。 如“黑色星期五”、“新世纪”病毒。
(2)修改或破坏文件中的数据。如DBASE病毒。
(3)在系统中产生无用的新文件。如APOLLO病毒。
(4)对系统中用户储存的文件进行加密或解密。 如“Frethem/index.htm" target="_blank"
style='text-decoration: underline;color: #0000FF'>密码”病毒。
(5)毁坏文件分配表。如SRI848病毒。
(6)改变磁盘上目标信息的存储状态。如DIR病毒。
(7)更改或重新写入磁盘的卷标。如Brain病毒。
(8)在磁盘上产生“坏”的扇区,减少盘空间, 达到破坏有关程序或数据文件的目的。如“雪球”病毒。
(9)改变磁盘分配,使数据写入错误的盘区。
(10)对整个磁盘或磁盘的特定磁道进行格式化。如“磁盘杀手”。
(11)系统空挂,造成显示屏幕或键盘的封锁状态。 如1701病毒。
(12)影响内存常驻程序的正常运行。
(13)改变系统的正常运行过程。
(14)盗取有关用户的重要数据。
总之,病毒是程序,它能够做程序所能做的一切事情。
然而,电脑病毒的本质是程序,它也只能做程序所能做的事,并不是无所不能的,它不可能侵入未开机的RAM,也不可能传染一个贴上“写保护”的软盘(除非软盘驱动器物理故障),也不能破坏主机板、烧毁电源,病毒并不是硬件故障和软件问题的“替罪羊”。
常见的破坏方式有
(1)删除磁盘上特定的可执行文件或数据文件。 如“黑色星期五”、“新世纪”病毒。
(2)修改或破坏文件中的数据。如DBASE病毒。
(3)在系统中产生无用的新文件。如APOLLO病毒。
(4)对系统中用户储存的文件进行加密或解密。 如“Frethem/index.htm" target="_blank"
style='text-decoration: underline;color: #0000FF'>密码”病毒。
(5)毁坏文件分配表。如SRI848病毒。
(6)改变磁盘上目标信息的存储状态。如DIR病毒。
(7)更改或重新写入磁盘的卷标。如Brain病毒。
(8)在磁盘上产生“坏”的扇区,减少盘空间, 达到破坏有关程序或数据文件的目的。如“雪球”病毒。
(9)改变磁盘分配,使数据写入错误的盘区。
(10)对整个磁盘或磁盘的特定磁道进行格式化。如“磁盘杀手”。
(11)系统空挂,造成显示屏幕或键盘的封锁状态。 如1701病毒。
(12)影响内存常驻程序的正常运行。
(13)改变系统的正常运行过程。
(14)盗取有关用户的重要数据。
总之,病毒是程序,它能够做程序所能做的一切事情。
然而,电脑病毒的本质是程序,它也只能做程序所能做的事,并不是无所不能的,它不可能侵入未开机的RAM,也不可能传染一个贴上“写保护”的软盘(除非软盘驱动器物理故障),也不能破坏主机板、烧毁电源,病毒并不是硬件故障和软件问题的“替罪羊”。
推荐:为你支招 预防“熊猫烧香”系列病毒
[ 2007-03-25 03:25:12 | 作者: sun ]
最近,一个叫“熊猫烧香”的病毒把电脑用户折腾得苦不堪言,在人们心目中,“熊猫”这个国宝似乎不再可爱,而成了人人喊打的过街老鼠。
“熊猫烧香”蠕虫不但可以对用户系统进行破坏,导致大量应用软件无法使用,而且还可删除扩展名为gho的所有文件,造成用户的系统备份文件丢失,从而无法进行系统恢复;同时该病毒还能终止大量反病毒软件进程,大大降低用户系统的安全性。
这几天“熊猫烧香”的变种更是表象异常活跃,近半数的网民深受其害。用户除了可以从http://tool.duba.net/zhuansha/253.shtml下载金山毒霸的“熊猫烧香”专杀来对付该病毒外,金山毒霸技术专家还总结的以下预防措施,帮你远离“熊猫烧香”病毒的骚扰。
【专家总结】
1、立即检查本机administrator组成员口令,一定放弃简单口令甚至空口令,安全的口令是字母数字特殊字符的组合,自己记得住,别让病毒猜到就行。
修改方法:右键单击我的电脑,选择管理,浏览到本地用户和组,在右边的窗中,选择具备管理员权限的用户名,单击右键,选择设置密码,输入新密码就行。
2、利用组策略,关闭所有驱动器的自动播放功能。
步骤:单击开始,运行,输入gpedit.msc,打开组策略编辑器,浏览到计算机配置,管理模板,系统,在右边的窗格中选择关闭自动播放,该配置缺省是未配置,在下拉框中选择所有驱动器,再选取已启用,确定后关闭。最后,在开始,运行中输入gpupdate,确定后,该策略就生效了。
3、修改文件夹选项,以查看不明文件的真实属性,避免无意双击骗子程序中毒。
步骤:打开资源管理器(按windows徽标键+E),点工具菜单下文件夹选项,再点查看,在高级设置中,选择查看所有文件,取消隐藏受保护的操作系统文件,取消隐藏文件扩展名。
4、时刻保持操作系统获得最新的安全更新,建议用毒霸的漏洞扫描功能。
5、启用windows防火墙保护本地计算机。
对于未感染的用户,专家建议,不要登陆不良网站,及时下载微软公布的最新补丁,来避免病毒利用漏洞袭击用户的电脑,同时上网时应采用“杀毒软件+防火墙”的立体防御体系。
“熊猫烧香”蠕虫不但可以对用户系统进行破坏,导致大量应用软件无法使用,而且还可删除扩展名为gho的所有文件,造成用户的系统备份文件丢失,从而无法进行系统恢复;同时该病毒还能终止大量反病毒软件进程,大大降低用户系统的安全性。
这几天“熊猫烧香”的变种更是表象异常活跃,近半数的网民深受其害。用户除了可以从http://tool.duba.net/zhuansha/253.shtml下载金山毒霸的“熊猫烧香”专杀来对付该病毒外,金山毒霸技术专家还总结的以下预防措施,帮你远离“熊猫烧香”病毒的骚扰。
【专家总结】
1、立即检查本机administrator组成员口令,一定放弃简单口令甚至空口令,安全的口令是字母数字特殊字符的组合,自己记得住,别让病毒猜到就行。
修改方法:右键单击我的电脑,选择管理,浏览到本地用户和组,在右边的窗中,选择具备管理员权限的用户名,单击右键,选择设置密码,输入新密码就行。
2、利用组策略,关闭所有驱动器的自动播放功能。
步骤:单击开始,运行,输入gpedit.msc,打开组策略编辑器,浏览到计算机配置,管理模板,系统,在右边的窗格中选择关闭自动播放,该配置缺省是未配置,在下拉框中选择所有驱动器,再选取已启用,确定后关闭。最后,在开始,运行中输入gpupdate,确定后,该策略就生效了。
3、修改文件夹选项,以查看不明文件的真实属性,避免无意双击骗子程序中毒。
步骤:打开资源管理器(按windows徽标键+E),点工具菜单下文件夹选项,再点查看,在高级设置中,选择查看所有文件,取消隐藏受保护的操作系统文件,取消隐藏文件扩展名。
4、时刻保持操作系统获得最新的安全更新,建议用毒霸的漏洞扫描功能。
5、启用windows防火墙保护本地计算机。
对于未感染的用户,专家建议,不要登陆不良网站,及时下载微软公布的最新补丁,来避免病毒利用漏洞袭击用户的电脑,同时上网时应采用“杀毒软件+防火墙”的立体防御体系。
许多人或工具在监测分布式拒绝服务攻击时常犯的错误是只搜索那些DDoS工具的缺省特征字符串、缺省端口、缺省口令等。要建立网络入侵监测系统(NIDS)对这些工具的监测规则,人们必须着重观察分析DDoS网络通讯的普遍特征,不管是明显的,还是模糊的。
DDoS工具产生的网络通讯信息有两种:控制信息通讯(在DDoS客户端与服务器端之间)和攻击时的网络通讯(在DDoS服务器端与目标主机之间)。
根据以下异常现象在网络入侵监测系统建立相应规则,能够较准确地监测出DDoS攻击。
异常现象0:虽然这不是真正的"DDoS"通讯,但却能够用来确定DDoS攻击的来源。根据分析,攻击者在进行DDoS攻击前总要解析目标的主机名。BIND域名服务器能够记录这些请求。由于每台攻击服务器在进行一个攻击前会发出PTR反向查询请求,也就是说在DDoS攻击前域名服务器会接收到大量的反向解析目标IP主机名的PTR查询请求。
异常现象1:当DDoS攻击一个站点时,会出现明显超出该网络正常工作时的极限通讯流量的现象。现在的技术能够分别对不同的源地址计算出对应的极限值。当明显超出此极限值时就表明存在DDoS攻击的通讯。因此可以在主干路由器端建立ACL访问控制规则以监测和过滤这些通讯。
异常现象2:特大型的ICP和UDP数据包。正常的UDP会话一般都使用小的UDP包,通常有效数据内容不超过10字节。正常的ICMP消息也不会超过64到128字节。那些大小明显大得多的数据包很有可能就是控制信息通讯用的,主要含有加密后的目标地址和一些命令选项。一旦捕获到(没有经过伪造的)控制信息通讯,DDoS服务器的位置就无所遁形了,因为控制信息通讯数据包的目标地址是没有伪造的。
异常现象3:不属于正常连接通讯的TCP和UDP数据包。最隐蔽的DDoS工具随机使用多种通讯协议(包括基于连接的协议)通过基于无连接通道发送数据。优秀的防火墙和路由规则能够发现这些数据包。另外,那些连接到高于1024而且不属于常用网络服务的目标端口的数据包也是非常值得怀疑的。
异常现象4:数据段内容只包含文字和数字字符(例如,没有空格、标点和控制字符)的数据包。这往往是数据经过BASE64编码后而只会含有base64字符集字符的特征。TFN2K发送的控制信息数据包就是这种类型的数据包。TFN2K(及其变种)的特征模式是在数据段中有一串A字符(AAA……),这是经过调整数据段大小和加密算法后的结果。如果没有使用BASE64编码,对于使用了加密算法数据包,这个连续的字符就是“\0”。
异常现象5:数据段内容只包含二进制和high-bit字符的数据包。虽然此时可能在传输二进制文件,但如果这些数据包不属于正常有效的通讯时,可以怀疑正在传输的是没有被BASE64编码但经过加密的控制信息通讯数据包。(如果实施这种规则,必须将20、21、80等端口上的传输排除在外。)
DDoS工具产生的网络通讯信息有两种:控制信息通讯(在DDoS客户端与服务器端之间)和攻击时的网络通讯(在DDoS服务器端与目标主机之间)。
根据以下异常现象在网络入侵监测系统建立相应规则,能够较准确地监测出DDoS攻击。
异常现象0:虽然这不是真正的"DDoS"通讯,但却能够用来确定DDoS攻击的来源。根据分析,攻击者在进行DDoS攻击前总要解析目标的主机名。BIND域名服务器能够记录这些请求。由于每台攻击服务器在进行一个攻击前会发出PTR反向查询请求,也就是说在DDoS攻击前域名服务器会接收到大量的反向解析目标IP主机名的PTR查询请求。
异常现象1:当DDoS攻击一个站点时,会出现明显超出该网络正常工作时的极限通讯流量的现象。现在的技术能够分别对不同的源地址计算出对应的极限值。当明显超出此极限值时就表明存在DDoS攻击的通讯。因此可以在主干路由器端建立ACL访问控制规则以监测和过滤这些通讯。
异常现象2:特大型的ICP和UDP数据包。正常的UDP会话一般都使用小的UDP包,通常有效数据内容不超过10字节。正常的ICMP消息也不会超过64到128字节。那些大小明显大得多的数据包很有可能就是控制信息通讯用的,主要含有加密后的目标地址和一些命令选项。一旦捕获到(没有经过伪造的)控制信息通讯,DDoS服务器的位置就无所遁形了,因为控制信息通讯数据包的目标地址是没有伪造的。
异常现象3:不属于正常连接通讯的TCP和UDP数据包。最隐蔽的DDoS工具随机使用多种通讯协议(包括基于连接的协议)通过基于无连接通道发送数据。优秀的防火墙和路由规则能够发现这些数据包。另外,那些连接到高于1024而且不属于常用网络服务的目标端口的数据包也是非常值得怀疑的。
异常现象4:数据段内容只包含文字和数字字符(例如,没有空格、标点和控制字符)的数据包。这往往是数据经过BASE64编码后而只会含有base64字符集字符的特征。TFN2K发送的控制信息数据包就是这种类型的数据包。TFN2K(及其变种)的特征模式是在数据段中有一串A字符(AAA……),这是经过调整数据段大小和加密算法后的结果。如果没有使用BASE64编码,对于使用了加密算法数据包,这个连续的字符就是“\0”。
异常现象5:数据段内容只包含二进制和high-bit字符的数据包。虽然此时可能在传输二进制文件,但如果这些数据包不属于正常有效的通讯时,可以怀疑正在传输的是没有被BASE64编码但经过加密的控制信息通讯数据包。(如果实施这种规则,必须将20、21、80等端口上的传输排除在外。)
告诉你木马生成器不能随便碰
[ 2007-03-25 03:24:49 | 作者: sun ]
前一阵子,在论坛里看到一人,介绍他的盗QQ、游戏密码的木马,只要设置好E-mail的用户名及该E-mail的密码,就可以盗号了。是否知道这个木马是包含后门的?在你用它来帮你盗号的同时,盗取的用户名及密码也都会发送给木马作者一份,而我们就是要利用嗅探工具来得到这个木马作者所用E-mail的用户名及密码。然后,来个“为民除害”。最后希望大家不要使用木马,不然害人的同时还会害己(有些木马还会盗取你的账号及密码)。
下面就以一款针对某网络游戏的木马来做分析,来看看如何得到木马中的一些“隐藏”信息。首先要准备的一些必要的工具:
①下载我们所需要的嗅探工具,解压后得到xsniff.exe;
②一个传奇木马软件,网络上有很多。
下面就来开始抓获这个木马中的谍中谍。
第一步:点击“开始→运行”,输入“CMD”(不含引号),打开“命令提示符窗口”。
第二步:进入嗅探工具所在目录,输入“xsniff.exe -pass -hide -log pass.log”(不含引号),这样局域网里的明文密码(包括本机)都会被记录到pass.log中。
第三步:下面打开该网游的木马,输入你的邮箱地址,点击发送测试邮件的按钮,显示发送成功后,再打开生成的pass.log文件(括号内的文字为注释,并不包含在pass.log文件中):
TCP [04/08/04 19:14:10]
61.187.***.160->202.102.***.114 Port: 1140->25
(前面的IP是发信人的IP地址,后面的IP是接收方的IP地址,PORT是指端口)
USER: ZXhlY3V0YW50[admin]
(USER是信箱用户名,前面的ZXhlY3V0YW50为加密的数据,后面[]内的为用户ID)
TCP [04/08/04 19:14:10]
61.187.***.160->202.102.***.114 Port: 1140->25
PASS: YWRtaW5zdXA=[adminsup]
(PASS是邮箱的密码,YWRtaW5zdXA=为加密数据,后面[]内的为密码)
TCP [04/08/04 19:14:10]
61.187.***.160->202.102.***.114 Port: 1140->25
MAIL FROM:
(类似于发邮件时的信息,指信息发送的目的邮箱)
TCP [04/08/04 19:14:10]
61.187.***.160->202.102.***.114 Port: 1140->25
RCPT T <1@1.***>
(测试信箱的地址)
第四步:现在我们已经知道了这个木马是使用admin@1234.***邮箱来发信的,用户名是admin,密码是adminsup。于是,进入这个邮箱,删掉那些信吧。
第五步:不要以为这就结束了,木马是狡猾的,很多木马还包含一个隐藏后门。执行刚刚生成的木马服务器端(没有手动清理病毒能力的读者请勿轻易尝试,并对系统进行备份,以便还原)。
第六步:使用前面的命令,让xsniff开始嗅探,进入该游戏,随便申请一个ID,接着退出,再去看看pass.log文件。
TCP [04/08/04 19:20:39]
61.187.***.160->61.135.***.125 Port: 1157->25
PASS: YWRtaW5zdXA=[admin]
TCP [04/08/04 19:20:40]
61.187.***.160->61.135.***.125 Port: 1157->25
MAIL FROM:
看到了吗?木马终于漏出了狐狸尾巴,用户名为admin,密码为admin,邮箱是为admin@12345.***,这个邮箱才是作者的后门程序,木马真正的后门。
第七步:最后,将该邮箱里的盗号邮件清除,然后恢复系统。
以绝招应对损招 封杀木马病毒全攻略
[ 2007-03-25 03:24:37 | 作者: sun ]
木马是一种基于远程控制的病毒程序,该程序具有很强的隐蔽性和危害性,它可以在人不知鬼不觉的状态下控制你或者监视你。有人说,既然木马这么厉害,那我离它远一点不就可以了!然而这个木马实在是“淘气”,它可不管你是否欢迎,只要它高兴,它就会想法设法地闯到你“家”中来的!哎呀,那还了得,赶快看看自己的电脑中有没有木马,说不定正在“家”中兴风作浪呢!那我怎么知道木马在哪里呢,相信不熟悉木马的菜鸟们肯定想知道这样的问题。下面就是木马潜伏的诡招,看了以后不要忘记采取绝招来对付这些损招哟!
1、集成到程序中
其实木马也是一个服务器-客户端程序,它为了不让用户能轻易地把它删除,就常常集成到程序里,一旦用户激活木马程序,那么木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启动均会启动木马。
2、隐藏在配置文件中
木马实在是太狡猾,知道菜鸟们平时使用的是图形化界面的操作系统,对于那些已经不太重要的配置文件大多数是不闻不问了,这正好给木马提供了一个藏身之处。而且利用配置文件的特殊作用,木马很容易就能在大家的计算机中运行、发作,从而偷窥或者监视大家。不过,现在这种方式不是很隐蔽,容易被发现,所以在Autoexec.bat和Config.sys中加载木马程序的并不多见,但也不能因此而掉以轻心哦。
3、潜伏在Win.ini中
木马要想达到控制或者监视计算机的目的,必须要运行,然而没有人会傻到自己在自己的计算机中运行这个该死的木马。当然,木马也早有心理准备,知道人类是高智商的动物,不会帮助它工作的,因此它必须找一个既安全又能在系统启动时自动运行的地方,于是潜伏在Win.ini中是木马感觉比较惬意的地方。大家不妨打开Win.ini来看看,在它的[windows]字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果有后跟程序,比方说是这个样子:run=c:\windows\file.exe load=c:\windows\file.exe 这时你就要小心了,这个file.exe很可能是木马哦。
4、伪装在普通文件中
这个方法出现的比较晚,不过现在很流行,对于不熟练的windows操作者,很容易上当。具体方法是把可执行文件伪装成图片或文本----在程序中把图标改成Windows的默认图片图标,再把文件名改为*.jpg.exe,由于Win98默认设置是"不显示已知的文件后缀名",文件将会显示为*.jpg,不注意的人一点这个图标就中木马了(如果你在程序中嵌一张图片就更完美了)。
5、内置到注册表中
上面的方法让木马着实舒服了一阵,既没有人能找到它,又能自动运行,真是快哉!然而好景不长,人类很快就把它的马脚揪了出来,并对它进行了严厉的惩罚!但是它还心有不甘,总结了失败教训后,认为上面的藏身之处很容易找,现在必须躲在不容易被人发现的地方,于是它想到了注册表!的确注册表由于比较复杂,木马常常喜欢藏在这里快活,赶快检查一下,有什么程序在其下,睁大眼睛仔细看了,别放过木马哦:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值。
6、在System.ini中藏身
木马真是无处不在呀!什么地方有空子,它就往哪里钻!这不,Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。还是小心点,打开这个文件看看,它与正常文件有什么不同,在该文件的[boot]字段中,是不是有这样的内容,那就是shell=Explorer.exe file.exe,如果确实有这样的内容,那你就不幸了,因为这里的file.exe就是木马服务端程序!另外,在System.ini中的[386Enh]字段,要注意检查在此段内的“driver=路径\程序名”,这里也有可能被木马所利用。再有,在System.ini中的[mic]、[drivers]、[drivers32]这三个字段,这些段也是起到加载驱动程序的作用,但也是增添木马程序的好场所,现在你该知道也要注意这里喽。
7、隐形于启动组中
有时木马并不在乎自己的行踪,它更注意的是能否自动加载到系统中,因为一旦木马加载到系统中,任你用什么方法你都无法将它赶跑(哎,这木马脸皮也真是太厚),因此按照这个逻辑,启动组也是木马可以藏身的好地方,因为这里的确是自动加载运行的好场所。动组对应的文件夹为:C:\windows\start menu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders Startup="C:\windows\start menu\programs\startup"。要注意经常检查启动组哦!
8、隐蔽在Winstart.bat中
按照上面的逻辑理论,凡是利于木马能自动加载的地方,木马都喜欢呆。这不,Winstart.bat也是一个能自动被Windows加载运行的文件,它多数情况下为应用程序及Windows自动生成,在执行了Win.com并加载了多数驱动程序之后开始执行(这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。由于Autoexec.bat的功能可以由Winstart.bat代替完成,因此木马完全可以像在Autoexec.bat中那样被加载运行,危险由此而来。
9、捆绑在启动文件中
即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目的了。
10、设置在超级连接中
木马的主人在网页上放置恶意代码,引诱用户点击,用户点击的结果不言而喻:开门揖盗!奉劝不要随便点击网页上的链接,除非你了解它,信任它,为它死了也愿意等等。