網(wǎng)站服務(wù)器通用和專用保護(hù)方法分析比較
[ 2007-03-25 03:38:38 | 作者: sun ]
一:網(wǎng)站的通用保護(hù)方法
針對(duì)黑客威脅,網(wǎng)絡(luò)安全管理員采取各種手段增強(qiáng)服務(wù)器的安全,確保WWW服務(wù)的正常運(yùn)行。象在Internet上的Email、ftp等服務(wù)器一樣,可以用如下的方法來對(duì)WWW服務(wù)器進(jìn)行保護(hù):
安全配置
關(guān)閉不必要的服務(wù),最好是只提供WWW服務(wù),安裝操作系統(tǒng)的最新補(bǔ)丁,將WWW服務(wù)升級(jí)到最新版本并安裝所有補(bǔ)丁,對(duì)根據(jù)WWW服務(wù)提供者的安全建議進(jìn)行配置等,這些措施將極大提供WWW服務(wù)器本身的安全。
防火墻
安裝必要的防火墻,阻止各種掃描工具的試探和信息收集,甚至可以根據(jù)一些安全報(bào)告來阻止來自某些特定IP地址范圍的機(jī)器連接,給WWW服務(wù)器增加一個(gè)防護(hù)層,同時(shí)需要對(duì)防火墻內(nèi)的網(wǎng)絡(luò)環(huán)境進(jìn)行調(diào)整,消除內(nèi)部網(wǎng)絡(luò)的安全隱患。
漏洞掃描
使用商用或免費(fèi)的漏洞掃描和風(fēng)險(xiǎn)評(píng)估工具定期對(duì)服務(wù)器進(jìn)行掃描,來發(fā)現(xiàn)潛在的安全問題,并確保由于升級(jí)或修改配置等正常的維護(hù)工作不會(huì)帶來安全問題。
入侵檢測(cè)系統(tǒng)
利用入侵檢測(cè)系統(tǒng)(IDS)的實(shí)時(shí)監(jiān)控能力,發(fā)現(xiàn)正在進(jìn)行的攻擊行為及攻擊前的試探行為,記錄黑客的來源及攻擊步驟和方法。
這些安全措施都將極大提供WWW服務(wù)器的安全,減少被攻擊的可能性。
二:網(wǎng)站的專用保護(hù)方法
盡管采用的各種安全措施能防止很多黑客的攻擊,然而由于各種操作系統(tǒng)和服務(wù)器軟件漏洞的不斷發(fā)現(xiàn),攻擊方法層出不窮,技術(shù)高明的黑客還是能突破層層保護(hù),獲得系統(tǒng)的控制權(quán)限,從而達(dá)到破壞主頁的目的。這種情況下,一些網(wǎng)絡(luò)安全公司推出了專門針對(duì)網(wǎng)站的保護(hù)軟件,只保護(hù)網(wǎng)站最重要的內(nèi)容--網(wǎng)頁。一旦檢測(cè)到被保護(hù)的文件發(fā)生了{(lán)非正常的}改變,就進(jìn)行恢復(fù)。一般情況下,系統(tǒng)首先需要對(duì)正常的頁面文件進(jìn)行備份,然后啟動(dòng)檢測(cè)機(jī)制,檢查文件是否被修改,如果被修改就需要進(jìn)行恢復(fù)。我們對(duì)以下幾個(gè)方面的技術(shù)進(jìn)行分析比較:
監(jiān)測(cè)方式
本地和遠(yuǎn)程:檢測(cè)可以是在本地運(yùn)行一個(gè)監(jiān)測(cè)端,也可以在網(wǎng)絡(luò)上的另一臺(tái)主機(jī)。如果是本地的話,監(jiān)測(cè)端進(jìn)程需要足夠的權(quán)限讀取被保護(hù)目錄或文件。監(jiān)測(cè)端如果在遠(yuǎn)端的話,WWW服務(wù)器需要開放一些服務(wù)并給監(jiān)測(cè)端相應(yīng)的權(quán)限,較常見的方式是直接利用服務(wù)器的開放的WWW服務(wù),使用HTTP協(xié)議來監(jiān)測(cè)被保護(hù)的文件和目錄。也可利用其它常用協(xié)議來檢測(cè)保護(hù)文件和目錄,如FTP等。采用本地方式檢測(cè)的優(yōu)點(diǎn)是效率高,而遠(yuǎn)程方式則具有平臺(tái)無關(guān)性,但會(huì)增加網(wǎng)絡(luò)流量等負(fù)擔(dān)。
定時(shí)和觸發(fā):絕大部分保護(hù)軟件是使用的定時(shí)檢測(cè)的方式,不論在本地還是遠(yuǎn)程檢測(cè)都是根據(jù)系統(tǒng)設(shè)定的時(shí)間定時(shí)檢測(cè),還可將被保護(hù)的網(wǎng)頁分為不同等級(jí),等級(jí)高的檢測(cè)時(shí)間間隔可以設(shè)得較短,以獲得較好的實(shí)時(shí)性,而將保護(hù)等級(jí)較低的網(wǎng)頁文件檢測(cè)時(shí)間間隔設(shè)得較長,以減輕系統(tǒng)的負(fù)擔(dān)。觸發(fā)方式則是利用操作系統(tǒng)提供的一些功能,在文件被創(chuàng)建、修改或刪除時(shí)得到通知,這種方法的優(yōu)點(diǎn)是效率高,但無法實(shí)現(xiàn)遠(yuǎn)程檢測(cè)。
比較方法
在判斷文件是否被修改時(shí),往往采用被保護(hù)目錄和備份庫中的文件進(jìn)行比較,比較最常見的方式全文比較。使用全文比較能直接、準(zhǔn)確地判斷出該文件是否被修改。然而全文比較在文件較大較多時(shí)效率十分低下,一些保護(hù)軟件就采用文件的屬性如文件大小、創(chuàng)建修改時(shí)間等進(jìn)行比較,這種方法雖然簡單高效,但也有嚴(yán)重的缺陷:{惡意入侵者}可以通過精心構(gòu)造,把替換文件的屬性設(shè)置得和原文件完全相同,{從而使被惡意更改的文件無法被檢測(cè)出來}。另一種方案就是比較文件的數(shù)字簽名,最常見的是MD5簽名算法,由于數(shù)字簽名的不可偽造性,數(shù)字簽名能確保文件的相同。
恢復(fù)方式
恢復(fù)方式與備份庫存放的位置直接相關(guān)。如果備份庫存放在本地的話,恢復(fù)進(jìn)程必須有寫被保護(hù)目錄或文件的權(quán)限。如果在遠(yuǎn)程則需要通過文件共享或FTP的方式來進(jìn)行,那么需要文件共享或FTP的帳號(hào),并且該帳號(hào)擁有對(duì)被保護(hù)目錄或文件的寫權(quán)限。
備份庫的安全
當(dāng)黑客發(fā)現(xiàn)其更換的主頁很快被恢復(fù)時(shí),往往會(huì)激發(fā)起進(jìn)一步破壞的欲望,此時(shí)備份庫的安全尤為重要。網(wǎng)頁文件的安全就轉(zhuǎn)變?yōu)閭浞輲斓陌踩?duì)備份庫的保護(hù)一種是通過文件隱藏來實(shí)現(xiàn),讓黑客無法找到備份目錄。另一種方法是對(duì)備份庫進(jìn)行數(shù)字簽名,如果黑客修改了備份庫的內(nèi)容,保護(hù)軟件可以通過簽名發(fā)現(xiàn),就可停止WWW服務(wù)或使用一個(gè)默認(rèn)的頁面。
通過以上分析比較我們發(fā)現(xiàn)各種技術(shù)都有其優(yōu)缺點(diǎn),需要結(jié)合實(shí)際的網(wǎng)絡(luò)環(huán)境來選擇最適合的技術(shù)方案。
三:網(wǎng)站保護(hù)的缺陷
盡管網(wǎng)站保護(hù)軟件能進(jìn)一步提高系統(tǒng)的安全,仍然存在一些缺陷。首先這些保護(hù)軟件都是針對(duì)靜態(tài)頁面而設(shè)計(jì),而現(xiàn)在動(dòng)態(tài)頁面占據(jù)的范圍越來越大,盡管本地監(jiān)測(cè)方式可以檢測(cè)腳本文件,但對(duì)腳本文件使用的數(shù)據(jù)庫卻無能為力。
另外,有些攻擊并不是針對(duì)頁面文件進(jìn)行的,前不久泛濫成災(zāi)的"Red Code"就是使用修改IIS服務(wù)的一個(gè)動(dòng)態(tài)庫來達(dá)到攻擊頁面的目的。另一個(gè)方面,網(wǎng)站保護(hù)軟件本身會(huì)增加WWW服務(wù)器的負(fù)載,在WWW服務(wù)器負(fù)載本身已經(jīng)很重的情況下,一定好仔細(xì)規(guī)劃好使用方案。
四:結(jié)論
本文討論了網(wǎng)站常用的保護(hù)方法,詳細(xì)地分析比較了專用網(wǎng)站保護(hù)軟件采用的各種技術(shù)實(shí)現(xiàn)和優(yōu)缺點(diǎn),并指出了其缺陷。安全雖不是使用某個(gè)工具或某些工具就可以解決的,但使用這些工具能幫助提高安全性,減少安全風(fēng)險(xiǎn)。
針對(duì)黑客威脅,網(wǎng)絡(luò)安全管理員采取各種手段增強(qiáng)服務(wù)器的安全,確保WWW服務(wù)的正常運(yùn)行。象在Internet上的Email、ftp等服務(wù)器一樣,可以用如下的方法來對(duì)WWW服務(wù)器進(jìn)行保護(hù):
安全配置
關(guān)閉不必要的服務(wù),最好是只提供WWW服務(wù),安裝操作系統(tǒng)的最新補(bǔ)丁,將WWW服務(wù)升級(jí)到最新版本并安裝所有補(bǔ)丁,對(duì)根據(jù)WWW服務(wù)提供者的安全建議進(jìn)行配置等,這些措施將極大提供WWW服務(wù)器本身的安全。
防火墻
安裝必要的防火墻,阻止各種掃描工具的試探和信息收集,甚至可以根據(jù)一些安全報(bào)告來阻止來自某些特定IP地址范圍的機(jī)器連接,給WWW服務(wù)器增加一個(gè)防護(hù)層,同時(shí)需要對(duì)防火墻內(nèi)的網(wǎng)絡(luò)環(huán)境進(jìn)行調(diào)整,消除內(nèi)部網(wǎng)絡(luò)的安全隱患。
漏洞掃描
使用商用或免費(fèi)的漏洞掃描和風(fēng)險(xiǎn)評(píng)估工具定期對(duì)服務(wù)器進(jìn)行掃描,來發(fā)現(xiàn)潛在的安全問題,并確保由于升級(jí)或修改配置等正常的維護(hù)工作不會(huì)帶來安全問題。
入侵檢測(cè)系統(tǒng)
利用入侵檢測(cè)系統(tǒng)(IDS)的實(shí)時(shí)監(jiān)控能力,發(fā)現(xiàn)正在進(jìn)行的攻擊行為及攻擊前的試探行為,記錄黑客的來源及攻擊步驟和方法。
這些安全措施都將極大提供WWW服務(wù)器的安全,減少被攻擊的可能性。
二:網(wǎng)站的專用保護(hù)方法
盡管采用的各種安全措施能防止很多黑客的攻擊,然而由于各種操作系統(tǒng)和服務(wù)器軟件漏洞的不斷發(fā)現(xiàn),攻擊方法層出不窮,技術(shù)高明的黑客還是能突破層層保護(hù),獲得系統(tǒng)的控制權(quán)限,從而達(dá)到破壞主頁的目的。這種情況下,一些網(wǎng)絡(luò)安全公司推出了專門針對(duì)網(wǎng)站的保護(hù)軟件,只保護(hù)網(wǎng)站最重要的內(nèi)容--網(wǎng)頁。一旦檢測(cè)到被保護(hù)的文件發(fā)生了{(lán)非正常的}改變,就進(jìn)行恢復(fù)。一般情況下,系統(tǒng)首先需要對(duì)正常的頁面文件進(jìn)行備份,然后啟動(dòng)檢測(cè)機(jī)制,檢查文件是否被修改,如果被修改就需要進(jìn)行恢復(fù)。我們對(duì)以下幾個(gè)方面的技術(shù)進(jìn)行分析比較:
監(jiān)測(cè)方式
本地和遠(yuǎn)程:檢測(cè)可以是在本地運(yùn)行一個(gè)監(jiān)測(cè)端,也可以在網(wǎng)絡(luò)上的另一臺(tái)主機(jī)。如果是本地的話,監(jiān)測(cè)端進(jìn)程需要足夠的權(quán)限讀取被保護(hù)目錄或文件。監(jiān)測(cè)端如果在遠(yuǎn)端的話,WWW服務(wù)器需要開放一些服務(wù)并給監(jiān)測(cè)端相應(yīng)的權(quán)限,較常見的方式是直接利用服務(wù)器的開放的WWW服務(wù),使用HTTP協(xié)議來監(jiān)測(cè)被保護(hù)的文件和目錄。也可利用其它常用協(xié)議來檢測(cè)保護(hù)文件和目錄,如FTP等。采用本地方式檢測(cè)的優(yōu)點(diǎn)是效率高,而遠(yuǎn)程方式則具有平臺(tái)無關(guān)性,但會(huì)增加網(wǎng)絡(luò)流量等負(fù)擔(dān)。
定時(shí)和觸發(fā):絕大部分保護(hù)軟件是使用的定時(shí)檢測(cè)的方式,不論在本地還是遠(yuǎn)程檢測(cè)都是根據(jù)系統(tǒng)設(shè)定的時(shí)間定時(shí)檢測(cè),還可將被保護(hù)的網(wǎng)頁分為不同等級(jí),等級(jí)高的檢測(cè)時(shí)間間隔可以設(shè)得較短,以獲得較好的實(shí)時(shí)性,而將保護(hù)等級(jí)較低的網(wǎng)頁文件檢測(cè)時(shí)間間隔設(shè)得較長,以減輕系統(tǒng)的負(fù)擔(dān)。觸發(fā)方式則是利用操作系統(tǒng)提供的一些功能,在文件被創(chuàng)建、修改或刪除時(shí)得到通知,這種方法的優(yōu)點(diǎn)是效率高,但無法實(shí)現(xiàn)遠(yuǎn)程檢測(cè)。
比較方法
在判斷文件是否被修改時(shí),往往采用被保護(hù)目錄和備份庫中的文件進(jìn)行比較,比較最常見的方式全文比較。使用全文比較能直接、準(zhǔn)確地判斷出該文件是否被修改。然而全文比較在文件較大較多時(shí)效率十分低下,一些保護(hù)軟件就采用文件的屬性如文件大小、創(chuàng)建修改時(shí)間等進(jìn)行比較,這種方法雖然簡單高效,但也有嚴(yán)重的缺陷:{惡意入侵者}可以通過精心構(gòu)造,把替換文件的屬性設(shè)置得和原文件完全相同,{從而使被惡意更改的文件無法被檢測(cè)出來}。另一種方案就是比較文件的數(shù)字簽名,最常見的是MD5簽名算法,由于數(shù)字簽名的不可偽造性,數(shù)字簽名能確保文件的相同。
恢復(fù)方式
恢復(fù)方式與備份庫存放的位置直接相關(guān)。如果備份庫存放在本地的話,恢復(fù)進(jìn)程必須有寫被保護(hù)目錄或文件的權(quán)限。如果在遠(yuǎn)程則需要通過文件共享或FTP的方式來進(jìn)行,那么需要文件共享或FTP的帳號(hào),并且該帳號(hào)擁有對(duì)被保護(hù)目錄或文件的寫權(quán)限。
備份庫的安全
當(dāng)黑客發(fā)現(xiàn)其更換的主頁很快被恢復(fù)時(shí),往往會(huì)激發(fā)起進(jìn)一步破壞的欲望,此時(shí)備份庫的安全尤為重要。網(wǎng)頁文件的安全就轉(zhuǎn)變?yōu)閭浞輲斓陌踩?duì)備份庫的保護(hù)一種是通過文件隱藏來實(shí)現(xiàn),讓黑客無法找到備份目錄。另一種方法是對(duì)備份庫進(jìn)行數(shù)字簽名,如果黑客修改了備份庫的內(nèi)容,保護(hù)軟件可以通過簽名發(fā)現(xiàn),就可停止WWW服務(wù)或使用一個(gè)默認(rèn)的頁面。
通過以上分析比較我們發(fā)現(xiàn)各種技術(shù)都有其優(yōu)缺點(diǎn),需要結(jié)合實(shí)際的網(wǎng)絡(luò)環(huán)境來選擇最適合的技術(shù)方案。
三:網(wǎng)站保護(hù)的缺陷
盡管網(wǎng)站保護(hù)軟件能進(jìn)一步提高系統(tǒng)的安全,仍然存在一些缺陷。首先這些保護(hù)軟件都是針對(duì)靜態(tài)頁面而設(shè)計(jì),而現(xiàn)在動(dòng)態(tài)頁面占據(jù)的范圍越來越大,盡管本地監(jiān)測(cè)方式可以檢測(cè)腳本文件,但對(duì)腳本文件使用的數(shù)據(jù)庫卻無能為力。
另外,有些攻擊并不是針對(duì)頁面文件進(jìn)行的,前不久泛濫成災(zāi)的"Red Code"就是使用修改IIS服務(wù)的一個(gè)動(dòng)態(tài)庫來達(dá)到攻擊頁面的目的。另一個(gè)方面,網(wǎng)站保護(hù)軟件本身會(huì)增加WWW服務(wù)器的負(fù)載,在WWW服務(wù)器負(fù)載本身已經(jīng)很重的情況下,一定好仔細(xì)規(guī)劃好使用方案。
四:結(jié)論
本文討論了網(wǎng)站常用的保護(hù)方法,詳細(xì)地分析比較了專用網(wǎng)站保護(hù)軟件采用的各種技術(shù)實(shí)現(xiàn)和優(yōu)缺點(diǎn),并指出了其缺陷。安全雖不是使用某個(gè)工具或某些工具就可以解決的,但使用這些工具能幫助提高安全性,減少安全風(fēng)險(xiǎn)。
連根拔起 破解惡意網(wǎng)頁的十大奇妙招術(shù)
[ 2007-03-25 03:38:25 | 作者: sun ]
1、修改IE的起始主頁
IE的起始主頁就是每次打開IE時(shí)最先進(jìn)入的頁面,隨時(shí)點(diǎn)擊IE工具欄中的“主頁”按鈕也能進(jìn)入起始主頁,它一般是我們需要頻繁查看的頁面,但有些惡意網(wǎng)頁會(huì)將起始主頁改為某些烏七八糟的網(wǎng)址,以達(dá)到其不可告人的目的。
要修復(fù)IE起始主頁方法很簡單,在IE“工具”菜單中單擊“Internet選項(xiàng)”(以IE5為例,下同),選擇“常規(guī)”選項(xiàng)卡,在“主頁”文本框中輸入起始頁的網(wǎng)址即可。
如果進(jìn)行上述設(shè)置后不起作用,那肯定是在Windows的“啟動(dòng)”組中加載了惡意程序,使每次啟動(dòng)電腦時(shí)自動(dòng)運(yùn)行程序來對(duì)IE進(jìn)行非法設(shè)置。可通過注冊(cè)表編輯器,將此類程序從“啟動(dòng)”組清除。
方法是:點(diǎn)擊“開始→運(yùn)行”,輸入“Regedit”后回車,在注冊(cè)表編輯器中依次展開[HKEY_LOCAL_MACHINE\Software\Wicrosoft\Windows\Current Version\Run]主鍵,右部窗口中顯示的是所有啟動(dòng)時(shí)加載的程序項(xiàng),將包含可疑程序的鍵值名刪除。
除了起始主頁,還有默認(rèn)主頁被修改的情況。我們還是通過注冊(cè)表編輯器來修復(fù)默認(rèn)主頁。展開[HKEY_LOCAL_MACHINE\Software\Wicrosoft\Internet Explorer\Main]主鍵,右部窗口中的鍵值名“Default-Page-URL”決定IE的默認(rèn)主頁,雙擊該鍵值名,在“鍵值”文本框中輸入網(wǎng)址,該網(wǎng)址將成為新的IE默認(rèn)主頁。
2、修改IE工具欄
IE的工具欄包括工具按鈕、地址欄、鏈接等幾個(gè)項(xiàng)目,惡意網(wǎng)頁可能會(huì)自作主張的在工具欄上添加按鈕,或者在地址欄的下拉列表中加入一些并未訪問過的網(wǎng)址,甚至?xí)ㄟ^篡改鏈接欄的標(biāo)題顯示一些惡心的文字。
要去掉不需要的按鈕,方法很簡單,對(duì)工具欄按鈕點(diǎn)右鍵選“自定義”,在“當(dāng)前工具欄按鈕”下拉框中選定不需要的按鈕后點(diǎn)擊“刪除”即可。
要去掉多余的地址列表,可通過注冊(cè)表編輯器展開[HKEY_CURRENT_USER\Software\Wicrosoft\Internet Explorer\TypeURLs]主鍵,將右部窗口中“url1”、“url2”等鍵值名全部刪除即可。
要修復(fù)鏈接欄標(biāo)題,首先展開[HKEY_CURRENT_USER\Software\Wicrosoft\Internet Explorer\Toolbar]主鍵,在右部窗口中對(duì)鍵值名“LinksFolderName”雙擊,修改其鍵值為欲顯示的信息,或直接將該鍵值名刪除,鏈接欄的標(biāo)題將恢復(fù)為默認(rèn)的“鏈接”字樣。
3、修改默認(rèn)的搜索引擎
在IE的工具欄中有一個(gè)“搜索”按鈕,它鏈接到一個(gè)指定的搜索引擎,可實(shí)現(xiàn)網(wǎng)絡(luò)搜索。被惡意網(wǎng)頁修改后的該按鈕并不能進(jìn)行搜索工作,而是鏈接到由惡意網(wǎng)頁指定的網(wǎng)頁上去了。
要修復(fù)搜索引擎,首先展開[HKEY_CURRENT_USER\Software\Wicrosoft\Internet Explorer\Search]主鍵,在右部窗口中將“CustomizeSearch”、“SearchAssistant”這兩個(gè)鍵值名對(duì)應(yīng)的網(wǎng)址改為某個(gè)搜索引擎的網(wǎng)址即可。
4、修改IE標(biāo)題欄
我們?yōu)g覽網(wǎng)頁時(shí),IE標(biāo)題欄顯示的是由當(dāng)前網(wǎng)頁決定的標(biāo)題信息。但某些惡意網(wǎng)頁通過修改注冊(cè)表,使IE無論瀏覽什么網(wǎng)頁都要在標(biāo)題后附加一段信息,要么是某個(gè)網(wǎng)站的名稱,要么是一些垃圾廣告,甚至是一些政治反動(dòng)或不堪入目的信息。
要修復(fù)IE標(biāo)題欄,在注冊(cè)表編輯器中展開[HKEY_LOCAL_MACHINE\Software\Wicrosoft\Internet Explorer\Main]主鍵,將右部窗口中的“Window Title”鍵值名直接刪除即可。
5、修改或禁止IE右鍵
有些惡意網(wǎng)頁對(duì)IE右鍵快捷菜單進(jìn)行修改,加入一些無聊信息,或是加入指向其網(wǎng)站的鏈接,以為這樣人們就會(huì)經(jīng)常光顧他們的網(wǎng)站,真是很可笑。
要?jiǎng)h除右鍵菜單中的垃圾內(nèi)容,可通過注冊(cè)表編輯器展開[HKEY_CURRENT_USER\Software\Wicrosoft\Internet Explorer\MenuExt]主鍵,將下面的垃圾內(nèi)容全部刪除即可,也可直接把“MenuExt”子鍵刪除掉,因?yàn)椤癕enuExt”子鍵下是右鍵菜單的擴(kuò)展內(nèi)容,把它刪除,右鍵菜單便恢復(fù)為默認(rèn)樣式。
有些惡意網(wǎng)頁為禁止下載,竟然禁止使用右鍵,簡直太可惡了。展開[HKEY_CURRENT_USER\Software\Policies\Wicrosoft\Internet Explorer\Restrictions]主鍵(注意這里是Policies分支下的Internet Explorer),在右部窗口中將鍵值名“NoBrowserContextMenu”的Dword鍵值改為“0”即可,或者將該鍵值名刪除,甚至可將“Restrictions”子鍵刪除,“Restrictions”子鍵下是一些限制IE功能的設(shè)置。
有些惡意網(wǎng)頁更狡猾,當(dāng)使用鼠標(biāo)右鍵時(shí)不會(huì)顯示菜單,而是彈出對(duì)話框警告你不要“侵權(quán)”,或是強(qiáng)迫你閱讀他們的垃圾廣告,這種情況并未修改注冊(cè)表,所以退出這個(gè)網(wǎng)頁就不會(huì)有事了。如果非要在這個(gè)網(wǎng)頁中使用右鍵,可采取變通的方法:當(dāng)彈出對(duì)話框后,先按下鍵盤上的“屬性”鍵(右側(cè)Ctrl鍵左邊的一個(gè)鍵)不放,再按回車鍵,彈出幾次對(duì)話框就按幾次回車鍵,最后放開“屬性”鍵,右鍵快捷菜單便出來了文字。
6、系統(tǒng)啟動(dòng)時(shí)彈出網(wǎng)頁或?qū)υ捒?
若出現(xiàn)啟動(dòng)Windows時(shí)彈出網(wǎng)頁,這是惡意網(wǎng)頁對(duì)Windows的“啟動(dòng)”組動(dòng)了手腳的緣故。我們?cè)谧?cè)表中將“啟動(dòng)”組內(nèi)相應(yīng)項(xiàng)目刪除即可解決。
方法是:展開[HKEY_LOCAL_MACHINE\Software\Wicrosoft\Windows\Current Version\Run]主鍵,在右部窗口中將包含有url、htm、html、asp、php等網(wǎng)址屬性的鍵值名全部刪除。
惡意網(wǎng)頁還有一種類似的伎倆是,啟動(dòng)Windows時(shí)會(huì)彈出對(duì)話框,以顯示它們的廣告信息。解決辦法是:展開[HKEY_LOCAL_MACHINE\Software\Wicrosoft\Windows\Current Version]主鍵,該主鍵下的子鍵“Winlogon”可以使Windows啟動(dòng)時(shí)顯示信息提示框,直接將該子鍵刪除即可避免啟動(dòng)時(shí)出現(xiàn)垃圾信息了。
7、定時(shí)彈出IE新窗口
IE瀏覽器中每隔一段時(shí)間就會(huì)彈出新的窗口去訪問別的網(wǎng)頁,這種情況也是典型的惡意網(wǎng)頁中毒癥狀。惡意網(wǎng)頁是通過在Windows的“啟動(dòng)”組添加hta文件來達(dá)到目的的。同樣,我們利用第6條中的方法,將啟動(dòng)組內(nèi)包含hta文件的項(xiàng)目全部刪除即可。
8、禁止修改注冊(cè)表
這是惡意網(wǎng)頁最無恥的行徑了,惡意網(wǎng)頁修改了我們的系統(tǒng),當(dāng)我們使用注冊(cè)表編輯器Regedit.exe時(shí)去修復(fù)注冊(cè)表時(shí),系統(tǒng)提示“注冊(cè)表編輯器被管理員所禁止”。惡意網(wǎng)頁試圖通過禁止Regedit.exe的使用,來阻止我們修復(fù)注冊(cè)表,可謂用心險(xiǎn)惡。
但注冊(cè)表編輯工具除了Regedit.exe外還有很多種,隨便從網(wǎng)上下載一個(gè)注冊(cè)表編輯器,展開[HKEY_CURRENT_USER\Software\Wicrosoft\Windows\Current Version\Policies\System]主鍵,將鍵值名“DisableRegistryTools”的鍵值改為“0”,或?qū)⒃撴I值名刪除,這樣便可使用Windows自帶的注冊(cè)表編輯器了。
如果找不到其它編輯器,利用記事本編寫以下三行內(nèi)容:
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"disableregistrytools"=dword:0
將以上內(nèi)容保存為aaa.reg,文件名可任取,但擴(kuò)展名一定要為reg,然后雙擊這個(gè)文件,提示信息成功輸入注冊(cè)表之后,你便又可使用Regedit.exe了。
9、下載運(yùn)行木馬程序
惡意網(wǎng)頁最陰險(xiǎn)的一招就是下載并運(yùn)行木馬程序,從而控制訪問者的電腦。這利用的是IE5.0的一個(gè)漏洞,惡意網(wǎng)頁通過一段惡代碼鏈接一個(gè)嵌入了exe文件(木馬)的eml文件(E-mail文件),當(dāng)訪問者瀏覽這類網(wǎng)頁并點(diǎn)擊經(jīng)過偽裝的鏈接時(shí),便會(huì)自動(dòng)下載eml文件并運(yùn)行其中的exe文件(木馬),并且不會(huì)有任何提示信息,一切在悄無聲息中進(jìn)行。
如此罪惡的行徑,我們卻沒有什么好的對(duì)付辦法。唯有升級(jí)IE版本了,因?yàn)檫@個(gè)漏洞在IE5.0以上版本中都不復(fù)存在。
10、格式化硬盤
惡意網(wǎng)頁能把你的硬盤格式化!?你沒看錯(cuò),這可是惡意網(wǎng)頁最狠毒的一招了,后果不堪設(shè)想,簡直太恐怖了。惡意網(wǎng)頁是利用IE執(zhí)行ActiveX功能,調(diào)用Windows下的Format.com程序?qū)τ脖P進(jìn)行格式化,由于使用了一個(gè)微軟未曾公開的運(yùn)行參數(shù),F(xiàn)ormat.com格式化硬盤時(shí)無需經(jīng)過你的確認(rèn)而自動(dòng)進(jìn)行,同時(shí)窗口處于最小化狀態(tài),很可能你還沒反應(yīng)過來,你的系統(tǒng)就已經(jīng)完蛋了。此招真是太卑鄙了。
但險(xiǎn)招有險(xiǎn)象,當(dāng)你訪問此類惡意網(wǎng)頁時(shí),由于要使用ActiveX功能,IE會(huì)提示當(dāng)前頁面含有不安全的ActivcX,可能會(huì)對(duì)系統(tǒng)造成危害,并詢問是否執(zhí)行,這時(shí)你就要提高警惕了,千萬不要隨便選擇“是”,而且這種提示信息還可能經(jīng)過偽裝,例如:“瀏覽器將使用防毒功能,避免你受到惡意攻擊,是否繼續(xù)?”真是顛倒是非,讓你霧里看花,你得小心再小心,否則沒有后悔藥給你吃。
其實(shí)最安全的辦法是,將你電腦中的Format.com程序改名,使惡意網(wǎng)頁調(diào)用程序無門、行惡不成。在Windows中還有一個(gè)危險(xiǎn)命令Deltree.exe,它的作用是刪除整個(gè)目錄,也可帶參數(shù)自動(dòng)運(yùn)行,為了不讓惡意網(wǎng)頁有機(jī)可乘,你不妨也把它改名大吉。
以上揭露的只是惡意網(wǎng)頁最普遍的十種罪行,除此之外,還有一些五花八門的小伎倆,也給我們上網(wǎng)帶來不少麻煩。另外,以上提出的解決辦法,都是在受到惡意網(wǎng)頁危害后的解救措施,并不保證以后就太平無事了。若要避免或減輕危害,還得從預(yù)防做起。
最簡單的預(yù)防措施是升級(jí)IE版本和使用殺毒軟件的病毒防火墻:
a、升級(jí)IE版本
很多惡意網(wǎng)頁只對(duì)IE5.0及以下版本有效。高版本軟件一般都修復(fù)了低版本中的Bug,我們使用高版本IE就相對(duì)安全得多。
b、啟用病毒防火墻
現(xiàn)在的殺毒軟件大都有病毒防火墻功能,例如瑞星。病毒防火墻可以智能的識(shí)別、查殺、隔離惡意網(wǎng)頁,除此之外,殺毒軟件還是各種木馬程序的“克星”。殺毒軟件總是站在與電腦界的各種惡魔抗?fàn)幍淖钋熬€,讓反毒戰(zhàn)士來保護(hù)我們,準(zhǔn)沒錯(cuò)!
安全帳號(hào)管理器SAM文件基礎(chǔ)知識(shí)
[ 2007-03-25 03:38:12 | 作者: sun ]
Windows NT及Windows2000中對(duì)用戶帳戶的安全管理使用了安全帳號(hào)管理器(security account manager)的機(jī)制,安全帳號(hào)管理器對(duì)帳號(hào)的管理是通過安全標(biāo)識(shí)進(jìn)行的,安全標(biāo)識(shí)在帳號(hào)創(chuàng)建時(shí)就同時(shí)創(chuàng)建,一旦帳號(hào)被刪除,安全標(biāo)識(shí)也同時(shí)被刪除。安全標(biāo)識(shí)是唯一的,即使是相同的用戶名,在每次創(chuàng)建時(shí)獲得的安全標(biāo)識(shí)都時(shí)完全不同的。因此,一旦某個(gè)帳號(hào)被刪除,它的安全標(biāo)識(shí)就不再存在了,即使用相同的用戶名重建帳號(hào),也會(huì)被賦予不同的安全標(biāo)識(shí),不會(huì)保留原來的權(quán)限。
安全賬號(hào)管理器的具體表現(xiàn)就是%SystemRoot%\\system32\\config\\sam文件。SAM文件是Windows NT的用戶帳戶數(shù)據(jù)庫,所有NT用戶的登錄名及口令等相關(guān)信息都會(huì)保存在這個(gè)文件中。SAM文件可以認(rèn)為類似于Unix系統(tǒng)中的Passwd文件,不過沒有這么直觀明了。Passwd使用的是存文本的格式保存信息,這是一個(gè)Linux Passwd文件內(nèi)容的例子:
0: root:8L7v6:0:0:root:/root:/bin/bash
1: bin:*:1:1:bin:/bin:
2: daemon:*:2:2:daemon:/sbin:
3: adm:*:3:4:adm:/var/adm:
4: lp:*:4:7:lp:/var/spool/lpd:
5: sync:*:5:0:sync:/sbin:/bin/sync
6: shutdown:*:6:0:shutdown:/sbin:/sbin/shutdown
7: halt:*:7:0:halt:/sbin:/sbin/halt
8: mail:*:8:12:mail:/var/spool/mail:
9: news:*:9:13:news:/var/spool/news:
10: uucp:*:10:14:uucp:/var/spool/uucp:
11: operator:*:11:0perator:/root:
12: games:*:12:100:games:/usr/games:
13: gopher:*:13:30:gopher:/usr/lib/gopher-data:
14: ftp:*:14:50:FTP User:/home/ftp:
15: nobody:I0iJ.:99:99:Nobody:/home/httpd:/bin/bash
16: david:c6CuzM:500:500::/home/david:/bin/bash
17: dummy:fIVTl4IgU:501:503::/home/dummy:/bin/bash
18: msql:!!:502:504::/home/msql:/bin/bash
Unix中的Passwd文件中每一行都代表一個(gè)用戶資料,每一個(gè)賬號(hào)都有七部分資料,不同資料中使用“:”分割格式如下,
賬號(hào)名稱:密碼:uid:gid:個(gè)人資料:用戶目錄:shell
除了密碼是加密的以外(這里的密碼部分已經(jīng)Shadow了)其他項(xiàng)目非常清楚明了。
而NT中就不是這樣,雖然他也是用文件保存賬號(hào)信息,不過如果我們用編輯器打開這些NT的SAM文件,除了亂碼什么也看不到。因?yàn)镹T系統(tǒng)中將這些資料全部進(jìn)行了加密處理,一般的編輯器是無法直接讀取這些信息的。注冊(cè)表中的
HKEY_LOCAL_MACHINE\\SAM\\SAM
HKEY_LOCAL_MACHINE\\SECURITY\\SAM
保存的就是SAM文件的內(nèi)容,在正常設(shè)置下僅對(duì)System是可讀寫的。
NT的帳號(hào)信息在SAM文件中是如何存儲(chǔ)的呢?
在SAM文件中保存了兩個(gè)不同的口令信息:LanManager(LM)口令散列算法和更加強(qiáng)大的加密NT版,LM就是NT口令文件的弱點(diǎn)。我們來看看LM口令算法是如何加密口令的,考慮這樣一個(gè)口令:Ba01cK28tr,這樣的口令已經(jīng)可以稱的上是一個(gè)安全的口令了,雖然沒有!#等特殊字符,但是已經(jīng)包含大寫字母,小寫字母和數(shù)字,并且具有無規(guī)律性。可以認(rèn)為是符合安全的要求的一個(gè)口令。
LM對(duì)口令的處理方法是:如果口令不足14位,就用0把口令補(bǔ)足14位,并把所有的字母轉(zhuǎn)稱大寫字母。之后將處理后的口令分成兩組數(shù)字,每組是7位。剛才我們所提到的口令經(jīng)處理后就變成BA01CK2和8TR0000部分。然后由這兩個(gè)7位的數(shù)字分別生成8位的DES KEY,每一個(gè)8位的DES KEY都使用一個(gè)魔法數(shù)字(將0x4B47532140232425用全是1的一個(gè)KEY進(jìn)行加密獲得的)再進(jìn)行一次加密,將兩組加密完后的字符串連在一起,這就是最終的口令散列。這個(gè)字符傳看起來是個(gè)整體,但是象L0phtcrack這樣的破解軟件,他能將口令字符串的兩部分獨(dú)立的破解。因此,破解上面所提到口令(10位),由于口令已經(jīng)被分解為兩部分破解,而后面的那部分口令由于只有3位,破解難度可想而知并不困難。實(shí)際的難度就在前面的七位口令上了。因此就NT而言,一個(gè)10位的口令與一個(gè)7位的口令相比并沒有太高的安全意義。由此還可以了解:1234567*$#這樣的口令可能還不如SHic6這樣的口令安全。(關(guān)于如何設(shè)置安全口令的問題不是本文的范圍,有興趣的可以參考相關(guān)文章)
而正式的口令(加密NT版)是將用戶的口令轉(zhuǎn)換成unicode編碼,然后使用MD4算法將口令加密。
NT之所以保留兩種不同版本的口令是由于歷史原因造成的,在一個(gè)純NT的環(huán)境中應(yīng)該將LAN manager口令關(guān)閉。因?yàn)長AN manager口令使用了較弱的DES密鑰和算法,比較容易破解。相比較之下,使用較強(qiáng)加密算法的NT正式口令要安全些。
但是這兩種口令的加密方法從總體上來說強(qiáng)度還是不足,因此,微軟在Win NT4的SP3之和以后的補(bǔ)丁中,提供了一個(gè)Syskey.exe的小工具來進(jìn)一步加強(qiáng)NT的口令。這個(gè)軟件是可以選擇使用的,管理員只要運(yùn)行一下這個(gè)程序并回答一些設(shè)置問題就可以添加這項(xiàng)增強(qiáng)功能。(Windows2000已經(jīng)作為缺省安裝設(shè)置了)
Syskey被設(shè)計(jì)用來防止輕易獲得SAM口令,它是如何工作的呢?
當(dāng)Syskey被激活,口令信息在存入注冊(cè)表之前還進(jìn)行了一次加密處理。然而,在機(jī)器啟動(dòng)后,一個(gè)舊的格式的信息還是會(huì)保存在內(nèi)存中。因?yàn)椋@個(gè)舊格式的口令信息是進(jìn)行網(wǎng)絡(luò)驗(yàn)證的所需要的。
可以這樣認(rèn)為:Syskey使用了一種方法將口令信息搞亂。或者說使用了一個(gè)密鑰,這個(gè)密鑰是激活Syskey由用戶選擇保存位置的。這個(gè)密鑰可以保存在軟盤,或者在啟動(dòng)時(shí)由用戶生成(通過用戶輸入的口令生成),又或者直接保存在注冊(cè)表中。由于沒有官方的正式技術(shù)說明如何關(guān)閉Syskey,所以Syskey一旦啟用就無非關(guān)閉,除非用啟用Syskey之前的注冊(cè)表備份恢復(fù)注冊(cè)表。
將Syskey激活后系統(tǒng)有什么發(fā)生了什么,如何關(guān)掉Syskey呢?
-1-
將Syskey激活后,在注冊(cè)表HKLM\\System\\CurrentControlSet\\Control\\Lsa下被添加了新的鍵值\'SecureBoot\'中保存了Syskey的設(shè)置:
1 - KEY保存在注冊(cè)表中
2 - KEY由用戶登錄時(shí)輸入的口令生成
3 - KEY保存在軟盤中
但是把主鍵刪除或者把值設(shè)成0并沒能將Syskey關(guān)閉,看來還有其他的地方。
-2-
HKLM\\SAM\\Domains\\Account\\F 是一個(gè)二進(jìn)制的結(jié)構(gòu),通常保存著計(jì)算機(jī)的SID和其他的描述信息。當(dāng)syskey被激活后,其中的內(nèi)容就變大了(大小大約是原來的兩倍) 增加的部分估計(jì)是加密的KEY+一些標(biāo)記和其他的數(shù)值,這些標(biāo)記和數(shù)值中一定有一部分包括 SecureBoot 相同的內(nèi)容。所以,在NT4(已安裝SP6補(bǔ)丁包)將這些標(biāo)記位設(shè)為0可能就可以關(guān)閉Syskey了。在改變這些設(shè)置時(shí)系統(tǒng)給出了一個(gè)錯(cuò)誤提示說明SAM和系統(tǒng)設(shè)置相互沖突,但是在重新啟動(dòng)計(jì)算機(jī)后,系統(tǒng)已經(jīng)不再使用Syskey了。
-3-
再Windows2000中還有另一個(gè)地方還存儲(chǔ)著關(guān)于syskey的信息
HKLM\\security\\Policy\\PolSecretEncryptionKey\\
這也是一個(gè)二進(jìn)制的結(jié)構(gòu),也是使用同樣的存儲(chǔ)方式,將這里相應(yīng)部分同樣設(shè)為0,syskey就已經(jīng)從Windows2000中移除了。(如果這三部分修改出現(xiàn)錯(cuò)誤(不一致),系統(tǒng)會(huì)在下次啟動(dòng)是自動(dòng)恢復(fù)為默認(rèn)值)
-4-
然后就是口令信息部分。舊的口令信息是長度是16字節(jié),但使用Syskey后長度全部被增加到20字節(jié)。其中頭四個(gè)字節(jié)看起來想是某種計(jì)數(shù)器,可能是歷史使用記錄計(jì)數(shù)器。奇怪的是,當(dāng)Syskey被激活時(shí),他并不立即記錄,而是在系統(tǒng)下次啟動(dòng)時(shí)才記錄。而且,當(dāng)密鑰被改變時(shí),口令信息似乎并沒有相應(yīng)更新。
別殺錯(cuò)了:一步一步教你來識(shí)別病毒
[ 2007-03-25 03:37:50 | 作者: sun ]
很多時(shí)候大家已經(jīng)用殺毒軟件查出了自己的機(jī)子中了例如Backdoor. RmtBomb.12 、Trojan.Win32.SendIP.15 等等這些一串英文還帶數(shù)字的病毒名,這時(shí)有些人就懵了,那么長一串的名字,我怎么知道是什么病毒啊?
其實(shí)只要我們掌握一些病毒的命名規(guī)則,我們就能通過殺毒軟件的報(bào)告中出現(xiàn)的病毒名來判斷該病毒的一些公有的特性了。
世界上那么多的病毒,反病毒公司為了方便管理,他們會(huì)按照病毒的特性,將病毒進(jìn)行分類命名。雖然每個(gè)反病毒公司的命名規(guī)則都不太一樣,但大體都是采用一個(gè)統(tǒng)一的命名方法來命名的。
一般格式為:<病毒前綴>.<病毒名>.<病毒后綴>。
病毒前綴是指一個(gè)病毒的種類,他是用來區(qū)別病毒的種族分類的。不同的種類的病毒,其前綴也是不同的。比如我們常見的木馬病毒的前綴Trojan,蠕蟲病毒的前綴是Worm等等還有其他的。
病毒名是指一個(gè)病毒的家族特征,是用來區(qū)別和標(biāo)識(shí)病毒家族的,如以前著名的CIH病毒的家族名都是統(tǒng)一的“CIH”,還有近期鬧得正歡的振蕩波蠕蟲病毒的家族名是“Sasser”。
病毒后綴是指一個(gè)病毒的變種特征,是用來區(qū)別具體某個(gè)家族病毒的某個(gè)變種的。一般都采用英文中的26個(gè)字母來表示,如Worm.Sasser.b就是指振蕩波蠕蟲病毒的變種B,因此一般稱為 “振蕩波B變種”或者“振蕩波變種B”。如果該病毒變種非常多(也表明該病毒生命力頑強(qiáng)),可以采用數(shù)字與字母混合表示變種標(biāo)識(shí)。
綜上所述,一個(gè)病毒的前綴對(duì)我們快速的判斷該病毒屬于哪種類型的病毒是有非常大的幫助的。通過判斷病毒的類型,就可以對(duì)這個(gè)病毒有個(gè)大概的評(píng)估(當(dāng)然這需要積累一些常見病毒類型的相關(guān)知識(shí),這不在本文討論范圍)。而通過病毒名我們可以利用查找資料等方式進(jìn)一步了解該病毒的詳細(xì)特征。病毒后綴能讓我們知道現(xiàn)在在你機(jī)子里呆著的病毒是哪個(gè)變種。
下面附帶一些常見的病毒前綴的解釋(針對(duì)我們用得最多的Windows操作系統(tǒng)):
1、系統(tǒng)病毒
系統(tǒng)病毒的前綴為:Win32、PE、Win95、W32、W95等。這些病毒的一般公有的特性是可以感染W(wǎng)indows操作系統(tǒng)的 *.exe 和 *.dll 文件,并通過這些文件進(jìn)行傳播。如CIH病毒。
2、蠕蟲病毒
蠕蟲病毒的前綴是:Worm。這種病毒的公有特性是通過網(wǎng)絡(luò)或者系統(tǒng)漏洞進(jìn)行傳播,很大部分的蠕蟲病毒都有向外發(fā)送帶毒郵件,阻塞網(wǎng)絡(luò)的特性。比如沖擊波(阻塞網(wǎng)絡(luò)),小郵差(發(fā)帶毒郵件)等。
3、木馬病毒、黑客病毒
木馬病毒其前綴是:Trojan,黑客病毒前綴名一般為Hack.木馬病毒的公有特性是通過網(wǎng)絡(luò)或者系統(tǒng)漏洞進(jìn)入用戶的系統(tǒng)并隱藏,然后向外界泄露用戶的信息。而黑客病毒則有一個(gè)可視的界面,能對(duì)用戶的電腦進(jìn)行遠(yuǎn)程控制。木馬、黑客病毒往往是成對(duì)出現(xiàn)的,即木馬病毒負(fù)責(zé)侵入用戶的電腦,而黑客病毒則會(huì)通過該木馬病毒來進(jìn)行控制。現(xiàn)在這兩種類型都越來越趨向于整合了。一般的木馬如QQ消息尾巴木馬Trojan.QQ3344,還有大家可能遇見比較多的針對(duì)網(wǎng)絡(luò)游戲的木馬病毒如Trojan.LMir.PSW.60。這里補(bǔ)充一點(diǎn),病毒名中有PSW或者什么PWD之類的一般都表示這個(gè)病毒有盜取密碼的功能(這些字母一般都為“密碼”的英文“password”的縮寫)一些黑客程序如:網(wǎng)絡(luò)梟雄(Hack.Nether.Client)等。
4、腳本病毒
腳本病毒的前綴是:腳本病毒的公有特性是使用腳本語言編寫,通過網(wǎng)頁進(jìn)行的傳播的病毒,如紅色代碼(.Redlof)。腳本病毒還會(huì)有如下前綴:VBS、JS(表明是何種腳本編寫的),如歡樂時(shí)光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。
5、宏病毒
其實(shí)宏病毒是也是腳本病毒的一種,由于它的特殊性,因此在這里單獨(dú)算成一類。宏病毒的前綴是:Macro,第二前綴是:Word、Word97、Excel、Excel97(也許還有別的)其中之一。凡是只感染W(wǎng)ORD97及以前版本W(wǎng)ORD文檔的病毒采用Word97做為第二前綴,格式是:Macro.Word97;凡是只感染W(wǎng)ORD97以后版本W(wǎng)ORD文檔的病毒采用Word做為第二前綴,格式是:Macro.Word;凡是只感染EXCEL97及以前版本EXCEL文檔的病毒采用Excel97做為第二前綴,格式是:Macro.Excel97;凡是只感染EXCEL97以后版本EXCEL文檔的病毒采用Excel做為第二前綴,格式是:Macro.Excel,依此類推。該類病毒的公有特性是能感染OFFICE系列文檔,然后通過OFFICE通用模板進(jìn)行傳播,如:著名的美麗莎(Macro.Melissa)。
6、后門病毒
后門病毒的前綴是:Backdoor.該類病毒的公有特性是通過網(wǎng)絡(luò)傳播,給系統(tǒng)開后門,給用戶電腦帶來安全隱患。如54很多朋友遇到過的IRC后門Backdoor.IRCBot。
7、病毒種植程序病毒
這類病毒的公有特性是運(yùn)行時(shí)會(huì)從體內(nèi)釋放出一個(gè)或幾個(gè)新的病毒到系統(tǒng)目錄下,由釋放出來的新病毒產(chǎn)生破壞。如:冰河播種者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。
8.破壞性程序病毒
破壞性程序病毒的前綴是:Harm。這類病毒的公有特性是本身具有好看的圖標(biāo)來誘惑用戶點(diǎn)擊,當(dāng)用戶點(diǎn)擊這類病毒時(shí),病毒便會(huì)直接對(duì)用戶計(jì)算機(jī)產(chǎn)生破壞。如:格式化C盤(Harm.formatC.f)、殺手命令(Harm.Command.Killer)等。
9.玩笑病毒
玩笑病毒的前綴是:Joke.也稱惡作劇病毒。這類病毒的公有特性是本身具有好看的圖標(biāo)來誘惑用戶點(diǎn)擊,當(dāng)用戶點(diǎn)擊這類病毒時(shí),病毒會(huì)做出各種破壞操作來嚇唬用戶,其實(shí)病毒并沒有對(duì)用戶電腦進(jìn)行任何破壞。如:女鬼(Joke.Girlghost)病毒。
10.捆綁機(jī)病毒
捆綁機(jī)病毒的前綴是:Binder.這類病毒的公有特性是病毒作者會(huì)使用特定的捆綁程序?qū)⒉《九c一些應(yīng)用程序如QQ、IE捆綁起來,表面上看是一個(gè)正常的文件,當(dāng)用戶運(yùn)行這些捆綁病毒時(shí),會(huì)表面上運(yùn)行這些應(yīng)用程序,然后隱藏運(yùn)行捆綁在一起的病毒,從而給用戶造成危害。如:捆綁QQ(Binder.QQPass.QQBin)、系統(tǒng)殺手(Binder.killsys)等。以上為比較常見的病毒前綴,有時(shí)候我們還會(huì)看到一些其他的,但比較少見,這里簡單提一下:
DoS:會(huì)針對(duì)某臺(tái)主機(jī)或者服務(wù)器進(jìn)行DoS攻擊;
Exploit:會(huì)自動(dòng)通過溢出對(duì)方或者自己的系統(tǒng)漏洞來傳播自身,或者他本身就是一個(gè)用于Hacking的溢出工具;
HackTool:黑客工具,也許本身并不破壞你的機(jī)子,但是會(huì)被別人加以利用來用你做替身去破壞別人。
你可以在查出某個(gè)病毒以后通過以上所說的方法來初步判斷所中病毒的基本情況,達(dá)到知己知彼的效果。在殺毒無法自動(dòng)查殺,打算采用手工方式的時(shí)候這些信息會(huì)給你很大的幫助。
決不做“肉雞” 從零開始自檢系統(tǒng)漏洞
[ 2007-03-25 03:37:37 | 作者: sun ]
近來黑客攻擊事件頻頻發(fā)生,我們身邊的朋友也不斷有QQ、E-mail和游戲賬號(hào)被盜事件發(fā)生。現(xiàn)在的黑客技術(shù)有朝著大眾化方向發(fā)展的趨勢(shì),能夠掌握攻擊他人系統(tǒng)技術(shù)的人越來越多了,只要你的電腦稍微有點(diǎn)系統(tǒng)Bug或者安裝了有問題的應(yīng)用程序,就有可能成為他人的肉雞。如何給一臺(tái)上網(wǎng)的機(jī)器查漏洞并做出相應(yīng)的處理呢?
一、要命的端口
計(jì)算機(jī)要與外界進(jìn)行通信,必須通過一些端口。別人要想入侵和控制我們的電腦,也要從某些端口連接進(jìn)來。某日筆者查看了一位朋友的系統(tǒng),吃驚地發(fā)現(xiàn)開放了139、445、3389、4899等重要端口,要知道這些端口都可以為黑客入侵提供便利,尤其是4899,可能是入侵者安裝的后門工具Radmin打開的,他可以通過這個(gè)端口取得系統(tǒng)的完全控制權(quán)。
在Windows 98下,通過“開始”選取“運(yùn)行”,然后輸入“command”(Windows 2000/XP/2003下在“運(yùn)行”中輸入“cmd”),進(jìn)入命令提示窗口,然后輸入netstat/an,就可以看到本機(jī)端口開放和網(wǎng)絡(luò)連接情況。
那怎么關(guān)閉這些端口呢?因?yàn)橛?jì)算機(jī)的每個(gè)端口都對(duì)應(yīng)著某個(gè)服務(wù)或者應(yīng)用程序,因此只要我們停止該服務(wù)或者卸載該程序,這些端口就自動(dòng)關(guān)閉了。例如可以在“我的電腦 →控制面板→計(jì)算機(jī)管理→服務(wù)”中停止Radmin服務(wù),就可以關(guān)閉4899端口了。
如果暫時(shí)沒有找到打開某端口的服務(wù)或者停止該項(xiàng)服務(wù)可能會(huì)影響計(jì)算機(jī)的正常使用,我們也可以利用防火墻來屏蔽端口。以天網(wǎng)個(gè)人防火墻關(guān)閉4899端口為例。打開天網(wǎng)“自定義IP規(guī)則”界面,點(diǎn)擊“增加規(guī)則”添加一條新的規(guī)則,在“數(shù)據(jù)包方向”中選擇“接受”,在“對(duì)方IP地址”中選擇“任何地址”,在TCP選項(xiàng)卡的本地端口中填寫從4899到0,對(duì)方端口填寫從0到0,在“當(dāng)滿足上面條件時(shí)”中選擇“攔截”,這樣就可以關(guān)閉4899端口了。其他的端口關(guān)閉方法可以此類推。
二、敵人的“進(jìn)程”
在Windows 2000下,可以通過同時(shí)按下“Ctrl+Alt+Del”鍵調(diào)出任務(wù)管理器來查看和關(guān)閉進(jìn)程;但在Windows 98下按“Ctrl+Alt+del”鍵只能看到部分應(yīng)用程序,有些服務(wù)級(jí)的進(jìn)程卻被隱藏因而無法看到了,不過通過系統(tǒng)自帶的工具msinfo32還是可以看到的。在“開始→運(yùn)行”里輸入msinfo32,打開“Microsoft 系統(tǒng)信息”界面,在“軟件環(huán)境”的“正在運(yùn)行任務(wù)”下可以看到本機(jī)的進(jìn)程。但是在Windows 98下要想終止進(jìn)程,還是得通過第三方的工具。很多系統(tǒng)優(yōu)化軟件都帶有查看和關(guān)閉進(jìn)程的工具,如春光系統(tǒng)修改器等。
但目前很多木馬進(jìn)程都會(huì)偽裝系統(tǒng)進(jìn)程,新手朋友很難分辨其真?zhèn)危赃@里推薦一款強(qiáng)大的殺木馬工具──“木馬克星”,它可以查殺8000多種國際木馬,1000多種密碼偷竊木馬,功能十分強(qiáng)大,實(shí)在是安全上網(wǎng)的必備工具!
三、小心,遠(yuǎn)程管理軟件有大麻煩
現(xiàn)在很多人都喜歡在自己的機(jī)器上安裝遠(yuǎn)程管理軟件,如Pcanywhere、Radmin、VNC或者Windows自帶的遠(yuǎn)程桌面,這確實(shí)方便了遠(yuǎn)程管理維護(hù)和辦公,但同時(shí)遠(yuǎn)程管理軟件也給我們帶來了很多安全隱患。例如Pcanywhere 10.0版本及更早的版本存在著口令文件*.CIF容易被解密(解碼而非爆破)的問題,一旦入侵者通過某種途徑得到了*.CIF文件,他就可以用一款叫做Pcanywherepwd的工具破解出管理員賬號(hào)和密碼。
而Radmin則主要是空口令問題,因?yàn)镽admin默認(rèn)為空口令,所以大多數(shù)人安裝了Radmin之后,都忽略了口令安全設(shè)置,因此,任何一個(gè)攻擊者都可以用Radmin客戶端連接上安裝了Radmin的機(jī)器,并做一切他想做的事情。
Windows系統(tǒng)自帶的遠(yuǎn)程桌面也會(huì)給黑客入侵提供方便的大門,當(dāng)然是在他通過一定的手段拿到了一個(gè)可以訪問的賬號(hào)之后。
可以說幾乎每種遠(yuǎn)程管理軟件都有它的問題,如本報(bào)43期G12版介紹的強(qiáng)大的遠(yuǎn)程管理軟件DameWare NT Utilitie。它工具包中的DameWare Mini Remote Control某些版本也存在著緩沖區(qū)溢出漏洞,黑客可以利用這個(gè)漏洞在系統(tǒng)上執(zhí)行任意指令。所以,要安全地遠(yuǎn)程使用它就要進(jìn)行IP限制。這里以Windows 2000遠(yuǎn)程桌面為例,談?wù)?129端口(DameWare Mini Remote Control使用的端口)的IP限制:打開天網(wǎng)“自定義IP規(guī)則”界面,點(diǎn)擊“增加規(guī)則”添加一條新的規(guī)則。在“數(shù)據(jù)包方向”中選擇“接受”,在“對(duì)方IP地址”中選擇“指定地址”,然后填寫你的IP地址,在TCP選項(xiàng)卡的本地端口中填寫從6129到0,對(duì)方端口填寫從0到0,在“當(dāng)滿足上面條件時(shí)”中選擇“通行”,這樣一來除了你指定的那個(gè)IP(這里假定為192.168.1.70)之外,別人都連接不到你的電腦上了。
安裝最新版的遠(yuǎn)程控制軟件也有利于提高安全性,比如最新版的Pcanywhere的密碼文件采用了較強(qiáng)的加密方案。
四、“專業(yè)人士”幫你免費(fèi)檢測(cè)
很多安全站點(diǎn)都提供了在線檢測(cè),可以幫助我們發(fā)現(xiàn)系統(tǒng)的問題,如天網(wǎng)安全在線推出的在線安全檢測(cè)系統(tǒng)──天網(wǎng)醫(yī)生,它能夠檢測(cè)你的計(jì)算機(jī)存在的一些安全隱患,并且根據(jù)檢測(cè)結(jié)果判斷你系統(tǒng)的級(jí)別,引導(dǎo)你進(jìn)一步解決你系統(tǒng)中可能存在的安全隱患。
天網(wǎng)醫(yī)生(http://pfw.sky.net.cn/news/info/list.php?sessid=&sortid=17)可以提供木馬檢測(cè)、系統(tǒng)安全性檢測(cè)、端口掃描檢測(cè)、信息泄漏檢測(cè)等四個(gè)安全檢測(cè)項(xiàng)目,可能得出四種結(jié)果:極度危險(xiǎn)、中等危險(xiǎn)、相當(dāng)安全和超時(shí)或有防火墻。其他知名的在線安全檢測(cè)站點(diǎn)還有千禧在線(http://www.china-yk.com/tsfw/)以及藍(lán)盾在線檢測(cè)(hhtp://www.bluedon.com/onlinescan/portscan.asp)。另外,IE的安全性也是非常重要的,一不小心就有可能中了惡意代碼、網(wǎng)頁木馬的招兒,http://bcheck.scanit.be/bcheck/就是一個(gè)專門檢測(cè)IE是否存在安全漏洞的站點(diǎn),大家可以根據(jù)提示操作。
五、自己掃描自己
天網(wǎng)醫(yī)生主要針對(duì)網(wǎng)絡(luò)新手,而且是遠(yuǎn)程檢測(cè),速度比不上本地,所以如果你有一定的基礎(chǔ),最好使用安全檢測(cè)工具(漏洞掃描工具)手工檢測(cè)系統(tǒng)漏洞。
我們知道,黑客在入侵他人系統(tǒng)之前,常常用自動(dòng)化工具對(duì)目標(biāo)機(jī)器進(jìn)行掃描,我們也可以借鑒這個(gè)思路,在另一臺(tái)電腦上用漏洞掃描器對(duì)自己的機(jī)子進(jìn)行檢測(cè)。功能強(qiáng)大且容易上手的國產(chǎn)掃描器首推X-Scan,當(dāng)然小蓉流光也很不錯(cuò)。
以X-Scan為例,它有開放端口、CGI漏洞、IIS漏洞、RPC漏洞、SSL漏洞、SQL-SERVER等多個(gè)掃描選項(xiàng),更為重要的是列出系統(tǒng)漏洞之外,它還給出了十分詳盡的解決方案,我們只需要“按方抓藥”即可。
例如,用X-Scan對(duì)隔壁某臺(tái)計(jì)算機(jī)進(jìn)行完全掃描之后,發(fā)現(xiàn)如下漏洞:
[192.168.1.70]: 端口135開放: Location Service
[192.168.1.70]: 端口139開放: NET BIOS Session Service
[192.168.1.70]: 端口445開放: Mi crosoft-DS
[192.168.1.70]: 發(fā)現(xiàn) NT-Server弱口令: user/[空口令]
[192.168.1.70]: 發(fā)現(xiàn) “NetBios信息”
從其中我們可以發(fā)現(xiàn),Windows 2000弱口令的問題,這是個(gè)很嚴(yán)重的漏洞。NetBios信息暴露也給黑客的進(jìn)一步進(jìn)攻提供了方便,解決辦法是給User賬號(hào)設(shè)置一個(gè)復(fù)雜的密碼,并在天網(wǎng)防火墻中關(guān)閉135~139端口。
六、別小瞧Windows Update
微軟通常會(huì)在病毒和攻擊工具泛濫之前開發(fā)出相應(yīng)的補(bǔ)丁工具,只要點(diǎn)擊“開始”菜單中的Windows Update,就到了微軟的Windows Update網(wǎng)站,在這里下載最新的補(bǔ)丁程序。所以每周訪問Windows Update網(wǎng)站及時(shí)更新系統(tǒng)一次,基本上就能把黑客和病毒拒之門外。
一、要命的端口
計(jì)算機(jī)要與外界進(jìn)行通信,必須通過一些端口。別人要想入侵和控制我們的電腦,也要從某些端口連接進(jìn)來。某日筆者查看了一位朋友的系統(tǒng),吃驚地發(fā)現(xiàn)開放了139、445、3389、4899等重要端口,要知道這些端口都可以為黑客入侵提供便利,尤其是4899,可能是入侵者安裝的后門工具Radmin打開的,他可以通過這個(gè)端口取得系統(tǒng)的完全控制權(quán)。
在Windows 98下,通過“開始”選取“運(yùn)行”,然后輸入“command”(Windows 2000/XP/2003下在“運(yùn)行”中輸入“cmd”),進(jìn)入命令提示窗口,然后輸入netstat/an,就可以看到本機(jī)端口開放和網(wǎng)絡(luò)連接情況。
那怎么關(guān)閉這些端口呢?因?yàn)橛?jì)算機(jī)的每個(gè)端口都對(duì)應(yīng)著某個(gè)服務(wù)或者應(yīng)用程序,因此只要我們停止該服務(wù)或者卸載該程序,這些端口就自動(dòng)關(guān)閉了。例如可以在“我的電腦 →控制面板→計(jì)算機(jī)管理→服務(wù)”中停止Radmin服務(wù),就可以關(guān)閉4899端口了。
如果暫時(shí)沒有找到打開某端口的服務(wù)或者停止該項(xiàng)服務(wù)可能會(huì)影響計(jì)算機(jī)的正常使用,我們也可以利用防火墻來屏蔽端口。以天網(wǎng)個(gè)人防火墻關(guān)閉4899端口為例。打開天網(wǎng)“自定義IP規(guī)則”界面,點(diǎn)擊“增加規(guī)則”添加一條新的規(guī)則,在“數(shù)據(jù)包方向”中選擇“接受”,在“對(duì)方IP地址”中選擇“任何地址”,在TCP選項(xiàng)卡的本地端口中填寫從4899到0,對(duì)方端口填寫從0到0,在“當(dāng)滿足上面條件時(shí)”中選擇“攔截”,這樣就可以關(guān)閉4899端口了。其他的端口關(guān)閉方法可以此類推。
二、敵人的“進(jìn)程”
在Windows 2000下,可以通過同時(shí)按下“Ctrl+Alt+Del”鍵調(diào)出任務(wù)管理器來查看和關(guān)閉進(jìn)程;但在Windows 98下按“Ctrl+Alt+del”鍵只能看到部分應(yīng)用程序,有些服務(wù)級(jí)的進(jìn)程卻被隱藏因而無法看到了,不過通過系統(tǒng)自帶的工具msinfo32還是可以看到的。在“開始→運(yùn)行”里輸入msinfo32,打開“Microsoft 系統(tǒng)信息”界面,在“軟件環(huán)境”的“正在運(yùn)行任務(wù)”下可以看到本機(jī)的進(jìn)程。但是在Windows 98下要想終止進(jìn)程,還是得通過第三方的工具。很多系統(tǒng)優(yōu)化軟件都帶有查看和關(guān)閉進(jìn)程的工具,如春光系統(tǒng)修改器等。
但目前很多木馬進(jìn)程都會(huì)偽裝系統(tǒng)進(jìn)程,新手朋友很難分辨其真?zhèn)危赃@里推薦一款強(qiáng)大的殺木馬工具──“木馬克星”,它可以查殺8000多種國際木馬,1000多種密碼偷竊木馬,功能十分強(qiáng)大,實(shí)在是安全上網(wǎng)的必備工具!
三、小心,遠(yuǎn)程管理軟件有大麻煩
現(xiàn)在很多人都喜歡在自己的機(jī)器上安裝遠(yuǎn)程管理軟件,如Pcanywhere、Radmin、VNC或者Windows自帶的遠(yuǎn)程桌面,這確實(shí)方便了遠(yuǎn)程管理維護(hù)和辦公,但同時(shí)遠(yuǎn)程管理軟件也給我們帶來了很多安全隱患。例如Pcanywhere 10.0版本及更早的版本存在著口令文件*.CIF容易被解密(解碼而非爆破)的問題,一旦入侵者通過某種途徑得到了*.CIF文件,他就可以用一款叫做Pcanywherepwd的工具破解出管理員賬號(hào)和密碼。
而Radmin則主要是空口令問題,因?yàn)镽admin默認(rèn)為空口令,所以大多數(shù)人安裝了Radmin之后,都忽略了口令安全設(shè)置,因此,任何一個(gè)攻擊者都可以用Radmin客戶端連接上安裝了Radmin的機(jī)器,并做一切他想做的事情。
Windows系統(tǒng)自帶的遠(yuǎn)程桌面也會(huì)給黑客入侵提供方便的大門,當(dāng)然是在他通過一定的手段拿到了一個(gè)可以訪問的賬號(hào)之后。
可以說幾乎每種遠(yuǎn)程管理軟件都有它的問題,如本報(bào)43期G12版介紹的強(qiáng)大的遠(yuǎn)程管理軟件DameWare NT Utilitie。它工具包中的DameWare Mini Remote Control某些版本也存在著緩沖區(qū)溢出漏洞,黑客可以利用這個(gè)漏洞在系統(tǒng)上執(zhí)行任意指令。所以,要安全地遠(yuǎn)程使用它就要進(jìn)行IP限制。這里以Windows 2000遠(yuǎn)程桌面為例,談?wù)?129端口(DameWare Mini Remote Control使用的端口)的IP限制:打開天網(wǎng)“自定義IP規(guī)則”界面,點(diǎn)擊“增加規(guī)則”添加一條新的規(guī)則。在“數(shù)據(jù)包方向”中選擇“接受”,在“對(duì)方IP地址”中選擇“指定地址”,然后填寫你的IP地址,在TCP選項(xiàng)卡的本地端口中填寫從6129到0,對(duì)方端口填寫從0到0,在“當(dāng)滿足上面條件時(shí)”中選擇“通行”,這樣一來除了你指定的那個(gè)IP(這里假定為192.168.1.70)之外,別人都連接不到你的電腦上了。
安裝最新版的遠(yuǎn)程控制軟件也有利于提高安全性,比如最新版的Pcanywhere的密碼文件采用了較強(qiáng)的加密方案。
四、“專業(yè)人士”幫你免費(fèi)檢測(cè)
很多安全站點(diǎn)都提供了在線檢測(cè),可以幫助我們發(fā)現(xiàn)系統(tǒng)的問題,如天網(wǎng)安全在線推出的在線安全檢測(cè)系統(tǒng)──天網(wǎng)醫(yī)生,它能夠檢測(cè)你的計(jì)算機(jī)存在的一些安全隱患,并且根據(jù)檢測(cè)結(jié)果判斷你系統(tǒng)的級(jí)別,引導(dǎo)你進(jìn)一步解決你系統(tǒng)中可能存在的安全隱患。
天網(wǎng)醫(yī)生(http://pfw.sky.net.cn/news/info/list.php?sessid=&sortid=17)可以提供木馬檢測(cè)、系統(tǒng)安全性檢測(cè)、端口掃描檢測(cè)、信息泄漏檢測(cè)等四個(gè)安全檢測(cè)項(xiàng)目,可能得出四種結(jié)果:極度危險(xiǎn)、中等危險(xiǎn)、相當(dāng)安全和超時(shí)或有防火墻。其他知名的在線安全檢測(cè)站點(diǎn)還有千禧在線(http://www.china-yk.com/tsfw/)以及藍(lán)盾在線檢測(cè)(hhtp://www.bluedon.com/onlinescan/portscan.asp)。另外,IE的安全性也是非常重要的,一不小心就有可能中了惡意代碼、網(wǎng)頁木馬的招兒,http://bcheck.scanit.be/bcheck/就是一個(gè)專門檢測(cè)IE是否存在安全漏洞的站點(diǎn),大家可以根據(jù)提示操作。
五、自己掃描自己
天網(wǎng)醫(yī)生主要針對(duì)網(wǎng)絡(luò)新手,而且是遠(yuǎn)程檢測(cè),速度比不上本地,所以如果你有一定的基礎(chǔ),最好使用安全檢測(cè)工具(漏洞掃描工具)手工檢測(cè)系統(tǒng)漏洞。
我們知道,黑客在入侵他人系統(tǒng)之前,常常用自動(dòng)化工具對(duì)目標(biāo)機(jī)器進(jìn)行掃描,我們也可以借鑒這個(gè)思路,在另一臺(tái)電腦上用漏洞掃描器對(duì)自己的機(jī)子進(jìn)行檢測(cè)。功能強(qiáng)大且容易上手的國產(chǎn)掃描器首推X-Scan,當(dāng)然小蓉流光也很不錯(cuò)。
以X-Scan為例,它有開放端口、CGI漏洞、IIS漏洞、RPC漏洞、SSL漏洞、SQL-SERVER等多個(gè)掃描選項(xiàng),更為重要的是列出系統(tǒng)漏洞之外,它還給出了十分詳盡的解決方案,我們只需要“按方抓藥”即可。
例如,用X-Scan對(duì)隔壁某臺(tái)計(jì)算機(jī)進(jìn)行完全掃描之后,發(fā)現(xiàn)如下漏洞:
[192.168.1.70]: 端口135開放: Location Service
[192.168.1.70]: 端口139開放: NET BIOS Session Service
[192.168.1.70]: 端口445開放: Mi crosoft-DS
[192.168.1.70]: 發(fā)現(xiàn) NT-Server弱口令: user/[空口令]
[192.168.1.70]: 發(fā)現(xiàn) “NetBios信息”
從其中我們可以發(fā)現(xiàn),Windows 2000弱口令的問題,這是個(gè)很嚴(yán)重的漏洞。NetBios信息暴露也給黑客的進(jìn)一步進(jìn)攻提供了方便,解決辦法是給User賬號(hào)設(shè)置一個(gè)復(fù)雜的密碼,并在天網(wǎng)防火墻中關(guān)閉135~139端口。
六、別小瞧Windows Update
微軟通常會(huì)在病毒和攻擊工具泛濫之前開發(fā)出相應(yīng)的補(bǔ)丁工具,只要點(diǎn)擊“開始”菜單中的Windows Update,就到了微軟的Windows Update網(wǎng)站,在這里下載最新的補(bǔ)丁程序。所以每周訪問Windows Update網(wǎng)站及時(shí)更新系統(tǒng)一次,基本上就能把黑客和病毒拒之門外。
安全知識(shí)基礎(chǔ)殺毒軟件跟防火墻的區(qū)別
[ 2007-03-25 03:37:21 | 作者: sun ]
在計(jì)算機(jī)的安全防護(hù)中,我們經(jīng)常要用到殺毒軟件和防火墻,而這兩者在計(jì)算機(jī)安全防護(hù)中所起到的作用也是不同的。
1.防火墻是位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件,安裝了防火墻的計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過此防火墻。使用防火墻是保障網(wǎng)絡(luò)安全的第一步,選擇一款合適的防火墻,是保護(hù)信息安全不可或缺的一道屏障。
2.因?yàn)闅⒍拒浖头阑饓浖旧矶ㄎ徊煌栽诎惭b反病毒軟件之后,還不能阻止黑客攻擊,用戶需要再安裝防火墻類軟件來保護(hù)系統(tǒng)安全。
3.殺毒軟件主要用來防病毒,防火墻軟件用來防黑客攻擊。
4.病毒為可執(zhí)行代碼,黑客攻擊為數(shù)據(jù)包形式。
5.病毒通常自動(dòng)執(zhí)行,黑客攻擊是被動(dòng)的。
6.病毒主要利用系統(tǒng)功能,黑客更注重系統(tǒng)漏洞。
7.當(dāng)遇到黑客攻擊時(shí)反病毒軟件無法對(duì)系統(tǒng)進(jìn)行保護(hù)。
8.對(duì)于初級(jí)用戶,可以選擇使用防火墻軟件配置好的安全級(jí)別。
9.防火墻軟件需要對(duì)具體應(yīng)用進(jìn)行規(guī)格配置。
10.防火墻不處理病毒。
不管是Funlove病毒也好,還是CIH也好,在內(nèi)部網(wǎng)絡(luò)用戶下載外網(wǎng)的帶毒文件的時(shí)候,防火墻是不為所動(dòng)的(這里的防火墻不是指單機(jī)/企業(yè)級(jí)的殺毒軟件中的實(shí)時(shí)監(jiān)控功能,雖然它們不少都叫“病毒防火墻”)。
看到這里,或許您原本心目中的防火墻已經(jīng)被我拉下了神臺(tái)。是的,防火墻是網(wǎng)絡(luò)安全的重要一環(huán),但不代表設(shè)置了防火墻就能一定保證網(wǎng)絡(luò)的安全。“真正的安全是一種意識(shí),而非技術(shù)!”請(qǐng)牢記這句話。
不管怎么樣,防火墻仍然有其積極的一面。在構(gòu)建任何一個(gè)網(wǎng)絡(luò)的防御工事時(shí),除了物理上的隔離和目前新近提出的網(wǎng)閘概念外,首要的選擇絕對(duì)是防火墻。
最后,要說的依然是那句“世界上沒有一種技術(shù)能真正保證絕對(duì)地安全。”安全問題,是從設(shè)備到人,從服務(wù)器上的每個(gè)服務(wù)程序到防火墻、IDS等安全產(chǎn)品的綜合問題;任何一個(gè)環(huán)節(jié)工作,只是邁向安全的步驟。
附錄:
防火墻能夠作到些什么?
1.包過濾
具備包過濾的就是防火墻?對(duì),沒錯(cuò)!根據(jù)對(duì)防火墻的定義,凡是能有效阻止網(wǎng)絡(luò)非法連接的方式,都算防火墻。早期的防火墻一般就是利用設(shè)置的條件,監(jiān)測(cè)通過的包的特征來決定放行或者阻止的,包過濾是很重要的一種特性。雖然防火墻技術(shù)發(fā)展到現(xiàn)在有了很多新的理念提出,但是包過濾依然是非常重要的一環(huán),如同四層交換機(jī)首要的仍是要具備包的快速轉(zhuǎn)發(fā)這樣一個(gè)交換機(jī)的基本功能一樣。通過包過濾,防火墻可以實(shí)現(xiàn)阻擋攻擊,禁止外部/內(nèi)部訪問某些站點(diǎn),限制每個(gè)ip的流量和連接數(shù)。
2.包的透明轉(zhuǎn)發(fā)
事實(shí)上,由于防火墻一般架設(shè)在提供某些服務(wù)的服務(wù)器前。如果用示意圖來表示就是 Server—FireWall—Guest 。用戶對(duì)服務(wù)器的訪問的請(qǐng)求與服務(wù)器反饋給用戶的信息,都需要經(jīng)過防火墻的轉(zhuǎn)發(fā),因此,很多防火墻具備網(wǎng)關(guān)的能力。
3.阻擋外部攻擊
如果用戶發(fā)送的信息是防火墻設(shè)置所不允許的,防火墻會(huì)立即將其阻斷,避免其進(jìn)入防火墻之后的服務(wù)器中。
4.記錄攻擊
如果有必要,其實(shí)防火墻是完全可以將攻擊行為都記錄下來的,但是由于出于效率上的考慮,目前一般記錄攻擊的事情都交給IDS(入侵檢測(cè)系統(tǒng))來完成了。
以上是所有防火墻都具備的基本特性,雖然很簡單,但防火墻技術(shù)就是在此基礎(chǔ)上逐步發(fā)展起來的。
網(wǎng)絡(luò)安全界永恒不變的10大安全法則
[ 2007-03-25 03:37:10 | 作者: sun ]
1.如果攻擊者能夠說服您在自己的計(jì)算機(jī)上運(yùn)行他的程序,那么該計(jì)算機(jī)便不再屬于您了。
2.如果攻擊者能夠在您的計(jì)算機(jī)上更改操作系統(tǒng),那么該計(jì)算機(jī)便不再屬于您了。
3.如果攻擊者能夠不受限制地實(shí)地訪問您地計(jì)算機(jī),那么該計(jì)算機(jī)便不再屬于您了。
4.如果您允許攻擊者上載程序到您地Web站點(diǎn),那么該計(jì)算機(jī)便不再屬于您了。
5.再強(qiáng)大地安全性也會(huì)葬送在脆弱地密碼手里。
6.計(jì)算機(jī)地安全性受制于管理員的可靠性。
7.加密數(shù)據(jù)的安全性受制于解密密鑰的安全性。
8.過時(shí)的病毒掃描程序比沒有病毒掃描程序好不了多少。
9.絕對(duì)的匿名無論在現(xiàn)實(shí)中還是在Web中都不切實(shí)際。
10.技術(shù)不是萬能藥。
安全基礎(chǔ)知識(shí)之全方位了解Mac地址
[ 2007-03-25 03:36:50 | 作者: sun ]
什么是Mac地址?
Mac地址就是在媒體接入層上使用的地址,通俗點(diǎn)說就是網(wǎng)卡的物理地址,現(xiàn)在的Mac地址一般都采用6字節(jié)48bit(在早期還有2字節(jié)16bit的Mac地址)。
前24位由是生產(chǎn)廠家向IEEE申請(qǐng)的廠商地址(這可是要花錢的哦!據(jù)說1000美元才能買一個(gè)地址塊)。后24位就由生產(chǎn)廠家自行定以了(早期的2字節(jié)的卻不用申請(qǐng)) 。
IP地址和Mac地址有什么聯(lián)系和區(qū)別
大家都知道,現(xiàn)在有很多計(jì)算機(jī)都是通過先組建局域網(wǎng),然后通過交換機(jī)和Internet連接的(大學(xué)里的校園網(wǎng)就是這樣)。然后給每個(gè)用戶分配固定的IP地址,由管理中心統(tǒng)一管理,這樣為了管理方便就需要使用Mac地址來標(biāo)志用戶,防止發(fā)生混亂,明確責(zé)任(比如網(wǎng)絡(luò)犯罪)。另外IP地址和Mac地址是有區(qū)別的,雖然他們?cè)诰钟蚓W(wǎng)中是一一對(duì)應(yīng)的關(guān)系。IP地址是跟據(jù)現(xiàn)在的IPv4標(biāo)準(zhǔn)指定的,不受硬件限制比較容易記憶的地址,而Mac地址卻是用網(wǎng)卡的物理地址,多少與硬件有關(guān)系,比較難于記憶。
如何知道自己的Mac地址
方法比較多,也比較得簡單,在這里介紹兩種常用的方法,在Win9x 可用:WinIPcfg獲得,在2000、XP可用IPconfig -all獲得。如果你已經(jīng)給自己的網(wǎng)卡分配了IP還可以用 nbtstat -A 自己的IP ,后者只能在2000/XP下使用。
如何獲得別人的Mac
其實(shí)上面已經(jīng)涉及到了,如果是2000/XP用戶可以用 nbtstat -A IP地址(還可以獲得別的東東啊,可別學(xué)壞啊)。另外同一局域網(wǎng)內(nèi)的,你可以用ping IP 或者ping 主機(jī)名,然后用arp -a 來獲得。
如何修改自己的Mac地址
Mac地址是保存在網(wǎng)卡的EPROM里面,通過網(wǎng)卡生產(chǎn)廠家提供的修改程序可以更改存儲(chǔ)器里的地址,即使網(wǎng)卡沒有這樣的設(shè)置我們也可以通過間接的方法修改,一般網(wǎng)卡發(fā)出的包的源Mac地址并不是網(wǎng)卡本身寫上去的,而是應(yīng)用程序提供的,只是在通常的實(shí)現(xiàn)中,應(yīng)用程序先從網(wǎng)卡上得到Mac地址,每次發(fā)送的時(shí)候都用這個(gè)Mac做為源Mac而已,Windows中,網(wǎng)卡的Mac保存在注冊(cè)表中,實(shí)際使用也是從注冊(cè)表中提取的,所以只要修改注冊(cè)表就可以簡單的改變Mac
Win9x中修改:
打開注冊(cè)表編輯器,在HKEY_LOCAL_MacHINE\SYSTEM\CurrentControlSet\Service\Class\Net\下的0000,0001,0002 Win2000/XP中的修改:同樣打開注冊(cè)表編輯器,HKEY_LOCAL_MACHINE\SYSTEM\
CurrentControlSet\Control\Class\4D36E970-E325-11CE-BFC1-08002BE10318 中的0000,0001,0002中的DriverDesc,如果在0000找到,就在0000下面添加字符串變量,命名為“NetworkAddress”,值為要設(shè)置的Mac地址,例如:000102030405 完成上述操作后重啟就好了。
Linux下的修改:
1.必須關(guān)閉網(wǎng)卡設(shè)備,否則會(huì)報(bào)告系統(tǒng)忙,無法更改。
命令是:“ifconfig eth0 down”。
2.修改Mac地址,這一步較Windows中的修改要簡單。
命令是:“ifconfig eth0 hw ether 00AABBCCDDEE”
3.重新啟用網(wǎng)卡
“ifconfig eth0 up”網(wǎng)卡的Mac地址更改就完成了。
現(xiàn)在還有很多軟件提供了修改Mac地址的功能,如:Mac2001
那么既然IP和Mac地址都可以改,那么怎么防御呢?通過簡單的交換機(jī)端口綁定(端口的Mac表使用靜態(tài)表項(xiàng)),可以在每個(gè)交換機(jī)端口只連接一臺(tái)主機(jī)的情況下防止修改Mac地址的盜用,如果是三層設(shè)備還可以提供:交換機(jī)端口-IP-Mac 三者的綁定,防止修改Mac的IP盜用,這種方法更有效!還有些方法如配置交換機(jī)的VLAN,使用用戶認(rèn)證等,都略顯復(fù)雜,再次不多浪費(fèi)筆墨。
安全知識(shí)之深入了解網(wǎng)絡(luò)中的蠕蟲病毒
[ 2007-03-25 03:36:40 | 作者: sun ]
蠕蟲源起
提到蠕蟲,大家都不會(huì)陌生,這些自然界中的低等生物以農(nóng)作物為食,給人類帶來經(jīng)濟(jì)損失。但是,如果說計(jì)算機(jī)中也有這樣一種名為“蠕蟲”的東西存在,同樣也給人類帶來嚴(yán)重經(jīng)濟(jì)損失,你也許會(huì)覺得這是天方夜譚,蟲子怎么會(huì)爬進(jìn)計(jì)算機(jī)呢?
1988年11月2日,世界上第一個(gè)計(jì)算機(jī)蠕蟲正式誕生。美國康乃爾大學(xué)一年級(jí)研究生莫里斯為了求證計(jì)算機(jī)程序能否在不同的計(jì)算機(jī)之間自我復(fù)制傳播,他寫了一段試驗(yàn)程序,為了程序能順利進(jìn)入另一臺(tái)計(jì)算機(jī),他寫了一段破解用戶口令的代碼。11月2日早上5點(diǎn),這段被稱為“Worm”(蠕蟲)的程序開始了它的旅行,它果然沒有辜負(fù)莫里斯的期望:它爬進(jìn)了幾千臺(tái)電腦,讓它們死機(jī),造成了經(jīng)濟(jì)損失高達(dá)9600萬美元的記錄。從此,“蠕蟲”這個(gè)名詞傳開了,莫里斯也許并不知道:他在證明這個(gè)結(jié)論的同時(shí),也打開了潘多拉魔盒。
自1988年第一個(gè)蠕蟲顯示出它的威力以來,越來越多的人加入了蠕蟲制作陣營,他們用這種途徑來證明自己的能力,或者實(shí)現(xiàn)一些特殊目的,于是多種多樣的蠕蟲誕生了。可是不管蠕蟲的“行為方式”(它們進(jìn)入計(jì)算機(jī)后要做的事情)有多少種,其“傳播方式”卻僅僅有屈指可數(shù)的幾種:電子郵件、網(wǎng)頁代碼、社會(huì)工程學(xué)以及系統(tǒng)漏洞等。
下面,我們就來看看蠕蟲進(jìn)入計(jì)算機(jī)的幾種主要方式。
破郵箱而出:郵件蠕蟲
也許是受遺傳的影響吧,最初的莫里斯蠕蟲是通過郵件系統(tǒng)復(fù)制自身的,發(fā)展到現(xiàn)在,蠕蟲傳播的主流依然是郵件系統(tǒng),不同的是,蠕蟲“前輩”利用的郵件系統(tǒng)能夠自動(dòng)完成協(xié)助復(fù)制工作,而如今的郵件系統(tǒng)只能負(fù)責(zé)傳播,要啟動(dòng)蠕蟲必須由用戶打開郵件才可以。
為什么選擇郵件傳播?因?yàn)檫@是最大的傳播系統(tǒng)。為什么用戶一打開郵件就被蠕蟲撬窗入室?這要從微軟的兩個(gè)古老漏洞說起,它們分別是1999年11月11日的IFrame漏洞和2001年3月29日的MIME漏洞。
IFrame是一段用于往網(wǎng)頁里放入一個(gè)小頁面的HTML語言,它用來實(shí)現(xiàn)“框架”結(jié)構(gòu)。當(dāng)年有好事者測(cè)試出一個(gè)可怕的現(xiàn)象:往一個(gè)頁面里放入多個(gè)IFrame時(shí),框架里請(qǐng)求運(yùn)行程序的代碼就會(huì)被執(zhí)行,如果有人故意做了一個(gè)執(zhí)行破壞程序的頁面,那后果可想而知。由于IFrame的尺寸可以自由設(shè)置,因此破壞者可以在一個(gè)頁面里放入多個(gè)“看不見”的框架,并附帶多個(gè)“看不見”的有害程序,瀏覽了那個(gè)網(wǎng)頁的人自然就成了受害者!
和IFrame漏洞相比,MIME漏洞更加出名,它其實(shí)只是一小段用來描述信息類型的數(shù)據(jù)。瀏覽器通過讀取它來得知接收到的數(shù)據(jù)該怎么處理,如果是文本和圖片就顯示出來,是程序就彈出下載確認(rèn),是音樂就直接播放。請(qǐng)留意最后一個(gè)類型:音樂,瀏覽器對(duì)它采取的動(dòng)作是:播放。
要知道:音樂文件和程序文件都是一樣的二進(jìn)制數(shù)據(jù),都需要解碼還原數(shù)據(jù)到系統(tǒng)臨時(shí)目錄里,然后瀏覽器通過一個(gè)簡單的文件后綴名判斷來決定該用哪種方法處理它。例如用戶收到一個(gè)MP3文件,MIME把它描述成音樂文件,所以瀏覽器解碼保存這個(gè)文件到一個(gè)臨時(shí)目錄,而后查找調(diào)用這個(gè)文件后綴MP3對(duì)應(yīng)的執(zhí)行程序,這就是一次完整的工作過程;但是問題就出在這個(gè)似乎完美的步驟上,如果攻擊者給用戶發(fā)送一個(gè)帶有EXE后綴可執(zhí)行文件的郵件,并把它的MIME描述為音樂文件,這時(shí)候?yàn)g覽器會(huì)把它解到臨時(shí)目錄,然后根據(jù)它的后綴名調(diào)用一個(gè)能打開它的應(yīng)用程序——EXE后綴告訴系統(tǒng),直接運(yùn)行這個(gè)文件!于是這個(gè)文件就被順利執(zhí)行了,用戶的機(jī)器也開始遭到破壞。正因?yàn)檫@樣,郵件蠕蟲才成了如今世界“蟲害”的主要來源。靠郵件傳播的蠕蟲主要有SoBig、MyDoom、求職信等。相對(duì)于郵件蠕蟲,利用網(wǎng)頁傳播的蠕蟲手段無疑更為高明,它分為兩個(gè)“門派”:傳統(tǒng)派和腳本派。傳統(tǒng)派使用的技術(shù)又包括兩種,一種是用一個(gè)IFrame插入一個(gè)Mail框架,同樣利用MIME漏洞執(zhí)行蠕蟲,這是直接沿用郵件蠕蟲的方法;另一種是用IFrame漏洞和瀏覽器下載文件的漏洞來運(yùn)作的,首先由一個(gè)包含特殊代碼的頁面去下載放在另一個(gè)網(wǎng)站的病毒文件,然后運(yùn)行它,完成蠕蟲傳播。
“腳本派”蠕蟲就更復(fù)雜了,它們不是可執(zhí)行程序,而是一段具有破壞和自動(dòng)尋找載體能力進(jìn)行傳播的代碼。湊巧的是,Windows系統(tǒng)自身文件夾模板也是通過腳本運(yùn)作的(由此可見腳本的強(qiáng)大!),于是有人把它們的用途放到了入侵方面,通過一段精心編制的腳本,這只“沒有身體”(沒有獨(dú)立執(zhí)行的程序體)的蟲子就很輕松地爬進(jìn)了千家萬戶。當(dāng)然,這類蠕蟲實(shí)現(xiàn)的功能往往比完整的蠕蟲要少,因此編寫者讓它完成的任務(wù)一般也很簡單:破壞文件。曾經(jīng)大面積爆發(fā)的歡樂時(shí)光就是這樣做才令人“談蟲色變”的,雖然它只是一段很簡單的文件操作代碼集合
細(xì)心的讀者應(yīng)該會(huì)有個(gè)疑問:既然網(wǎng)頁蠕蟲是通過網(wǎng)頁傳播的,而看網(wǎng)頁的人那么多,它應(yīng)該成為主流才對(duì)啊,為什么卻是郵件蠕蟲?
其實(shí)原因很簡單:大部分蠕蟲作者不可能在公共熱門網(wǎng)站里放入自己的蠕蟲框架代碼。要知道,往頁面里加入代碼是要取得服務(wù)器管理權(quán)限的,這并不是所有人都能做得到的,這就增加了傳播的局限性,因此網(wǎng)頁蠕蟲始終成不了主流。
不記得是誰第一個(gè)把網(wǎng)頁蠕蟲和社會(huì)學(xué)結(jié)合在一起了,但是當(dāng)QQ第一次被迫自動(dòng)發(fā)出“http://sckiss.yeah.net,你快去看看”的消息時(shí),這一領(lǐng)域的大門被撞開了,“愛情森林”蠕蟲的實(shí)體是躲在網(wǎng)頁背后的EXE木馬,又利用QQ把自身網(wǎng)址宣布出去,把這兩個(gè)看似不相關(guān)的方面結(jié)合得天衣無縫!這種蠕蟲的實(shí)現(xiàn)原理很簡單:當(dāng)蠕蟲爬進(jìn)你的機(jī)器后,它就會(huì)查找QQ進(jìn)程,截獲發(fā)送消息事件并且在QQ的信息里自動(dòng)加入一段誘惑你的話,讓你去瀏覽它藏身的網(wǎng)頁而被它爬入電腦,同時(shí)成為它的又一個(gè)宣傳者。顯然,這種“宣傳”方法成功與否,全在于蠕蟲編寫者的社會(huì)學(xué)和心理學(xué),否則稍有經(jīng)驗(yàn)的人都會(huì)知道這是大名鼎鼎的“QQ尾巴”了(圖4),例如“想看XX明星緋聞去http://www.xxxxx.com”這種弱智的語言功力,如今已經(jīng)不能拿來騙人了。
2003年1月,很多人特別是從事信息安全的IT人都記住了這個(gè)月,因?yàn)樵谶@個(gè)月里,全世界的網(wǎng)絡(luò)被大小僅為376個(gè)字節(jié)的“小蟲子”打敗了,直接經(jīng)濟(jì)損失超過數(shù)百億美元,更重要的是:這個(gè)小蠕蟲又開創(chuàng)了一個(gè)蠕蟲里程碑,它就是“SQL蠕蟲王Slammer”,世界上第一個(gè)打破常規(guī)的蠕蟲。它不再像前面那些蠕蟲一樣安靜等待別人來觸發(fā)了,它要自己闖天下,它把運(yùn)行的關(guān)鍵指向了SQL溢出漏洞,結(jié)果,它成功了:它收拾了全球13臺(tái)根域名服務(wù)器中的8臺(tái),導(dǎo)致全球主干網(wǎng)絡(luò)癱瘓!
“SQL蠕蟲王Slammer”所做的一切似乎只為了宣布一件事情:蠕蟲也可以這樣寫!于是這一新領(lǐng)域的蠕蟲便迅速發(fā)展起來了,利用RPC溢出漏洞的沖擊波、沖擊波殺手,倉促把玩LSASS溢出漏洞的震蕩波、震蕩波殺手……這些反客為主的蠕蟲在每一次新漏洞被公布之時(shí)迅速出現(xiàn),趁火打劫地加入破壞行列,其間又有些號(hào)稱“殺手”的“除害蠕蟲”,幫人家把前一個(gè)蠕蟲殺了,然后自己也賴著不走了,成為受害者機(jī)器里的又一條蠕蟲——拔刀相助,爾后強(qiáng)駐?這似乎不是英雄所為。
系統(tǒng)漏洞蠕蟲一般具備一個(gè)小型的溢出系統(tǒng),它隨機(jī)產(chǎn)生IP并嘗試溢出,然后將自身復(fù)制過去。它們往往造成被感染系統(tǒng)性能速度迅速降低,甚至系統(tǒng)崩潰,屬于最不受歡迎的一類蟲子。
蠕蟲進(jìn)入電腦后,會(huì)做什么事情呢?現(xiàn)在已經(jīng)很難下定論了,因?yàn)槿湎x的類型已經(jīng)變得非常復(fù)雜,但是它們的最終目的不外乎是:偷密碼資料(比如QQ尾巴)、影響用戶正常使用機(jī)器(比如沖擊波)、擾亂網(wǎng)絡(luò)通訊(比如Nimda)、破壞用戶機(jī)器(比如歡樂時(shí)光)、“借機(jī)殺人”(比如MyDoom、SQL蠕蟲王)、發(fā)email(比如Sobig)等。
蠕蟲的防治
蠕蟲已經(jīng)成了當(dāng)前病毒的主流方式,每年由蠕蟲造成的經(jīng)濟(jì)損失超過數(shù)億美元,不僅如此,它們還在向威脅人類正常使用電腦的方向發(fā)展,如果再不嚴(yán)厲打擊制造蠕蟲的幕后黑手,總有一天世界網(wǎng)絡(luò)會(huì)被這些小蟲子摧毀。
由于蠕蟲發(fā)展越來越壯大,它的進(jìn)程也由單一文件變成多進(jìn)程互相防護(hù)、DLL掛鉤、文件并聯(lián)等方式。普通用戶要想手工清除這些蠕蟲已經(jīng)變得相當(dāng)困難,最好的方法是預(yù)防。其實(shí)大部分蠕蟲都是利用了系統(tǒng)漏洞進(jìn)行傳播的,如果用戶安全意識(shí)較高,那么蠕蟲就會(huì)無門可鉆。專家認(rèn)為:提高用戶的安全防范意識(shí),學(xué)習(xí)一點(diǎn)常備的電腦維護(hù)知識(shí),遠(yuǎn)比一味跟在蠕蟲后面升級(jí)殺毒軟件的方法更加實(shí)際和有效!
WEB專用服務(wù)器的安全設(shè)置的實(shí)戰(zhàn)技巧
[ 2007-03-25 03:36:25 | 作者: sun ]
IIS的相關(guān)設(shè)置:
刪除默認(rèn)建立的站點(diǎn)的虛擬目錄,停止默認(rèn)web站點(diǎn),刪除對(duì)應(yīng)的文件目錄c:inetpub,配置所有站點(diǎn)的公共設(shè)置,設(shè)置好相關(guān)的連接數(shù)限制,帶寬設(shè)置以及性能設(shè)置等其他設(shè)置。配置應(yīng)用程序映射,刪除所有不必要的應(yīng)用程序擴(kuò)展,只保留asp,php,cgi,pl,aspx應(yīng)用程序擴(kuò)展。對(duì)于php和cgi,推薦使用isapi方式解析,用exe解析對(duì)安全和性能有所影響。用戶程序調(diào)試設(shè)置發(fā)送文本錯(cuò)誤信息給戶。對(duì)于數(shù)據(jù)庫,盡量采用mdb后綴,不需要更改為asp,可在IIS中設(shè)置一個(gè)mdb的擴(kuò)展映射,將這個(gè)映射使用一個(gè)無關(guān)的dll文件如C:WINNTsystem32inetsrvssinc.dll來防止數(shù)據(jù)庫被下載。設(shè)置IIS的日志保存目錄,調(diào)整日志記錄信息。設(shè)置為發(fā)送文本錯(cuò)誤信息。修改403錯(cuò)誤頁面,將其轉(zhuǎn)向到其他頁,可防止一些掃描器的探測(cè)。另外為隱藏系統(tǒng)信息,防止telnet到80端口所泄露的系統(tǒng)版本信息可修改IIS的banner信息,可以使用winhex手工修改或者使用相關(guān)軟件如banneredit修改。
對(duì)于用戶站點(diǎn)所在的目錄,在此說明一下,用戶的FTP根目錄下對(duì)應(yīng)三個(gè)文件佳,wwwroot,database,logfiles,分別存放站點(diǎn)文件,數(shù)據(jù)庫備份和該站點(diǎn)的日志。如果一旦發(fā)生入侵事件可對(duì)該用戶站點(diǎn)所在目錄設(shè)置具體的權(quán)限,圖片所在的目錄只給予列目錄的權(quán)限,程序所在目錄如果不需要生成文件(如生成html的程序)不給予寫入權(quán)限。因?yàn)槭翘摂M主機(jī)平常對(duì)腳本安全沒辦法做到細(xì)致入微的地步,更多的只能在方法用戶從腳本提升權(quán)限:
ASP的安全設(shè)置:
設(shè)置過權(quán)限和服務(wù)之后,防范asp木馬還需要做以下工作,在cmd窗口運(yùn)行以下命令:
regsvr32/u C:\WINNT\System32\wshom.ocx
del C:\WINNT\System32\wshom.ocx
regsvr32/u C:\WINNT\system32\shell32.dll
del C:\WINNT\system32\shell32.dll
即可將WScript.Shell, Shell.application, WScript.Network組件卸載,可有效防止asp木馬通過wscript或shell.application執(zhí)行命令以及使用木馬查看一些系統(tǒng)敏感信息。另法:可取消以上文件的users用戶的權(quán)限,重新啟動(dòng)IIS即可生效。但不推薦該方法。
另外,對(duì)于FSO由于用戶程序需要使用,服務(wù)器上可以不注銷掉該組件,這里只提一下FSO的防范,但并不需要在自動(dòng)開通空間的虛擬商服務(wù)器上使用,只適合于手工開通的站點(diǎn)。可以針對(duì)需要FSO和不需要FSO的站點(diǎn)設(shè)置兩個(gè)組,對(duì)于需要FSO的用戶組給予c:winntsystem32scrrun.dll文件的執(zhí)行權(quán)限,不需要的不給權(quán)限。重新啟動(dòng)服務(wù)器即可生效。
對(duì)于這樣的設(shè)置結(jié)合上面的權(quán)限設(shè)置,你會(huì)發(fā)現(xiàn)海陽木馬已經(jīng)在這里失去了作用!
PHP的安全設(shè)置:
默認(rèn)安裝的php需要有以下幾個(gè)注意的問題:
C:\winnt\php.ini只給予users讀權(quán)限即可。在php.ini里需要做如下設(shè)置:
Safe_mode=on
register_globals = Off
allow_url_fopen = Off
display_errors = Off
magic_quotes_gpc = On [默認(rèn)是on,但需檢查一遍]
open_basedir =web目錄
disable_functions =passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod
默認(rèn)設(shè)置com.allow_dcom = true修改為false[修改前要取消掉前面的;]
MySQL安全設(shè)置:
如果服務(wù)器上啟用MySQL數(shù)據(jù)庫,MySQL數(shù)據(jù)庫需要注意的安全設(shè)置為:
刪除mysql中的所有默認(rèn)用戶,只保留本地root帳戶,為root用戶加上一個(gè)復(fù)雜的密碼。賦予普通用戶updatedeletealertcreatedrop權(quán)限的時(shí)候,并限定到特定的數(shù)據(jù)庫,尤其要避免普通客戶擁有對(duì)mysql數(shù)據(jù)庫操作的權(quán)限。檢查mysql.user表,取消不必要用戶的shutdown_priv,relo
ad_priv,process_priv和File_priv權(quán)限,這些權(quán)限可能泄漏更多的服務(wù)器信息包括非mysql的其它信息出去。可以為mysql設(shè)置一個(gè)啟動(dòng)用戶,該用戶只對(duì)mysql目錄有權(quán)限。設(shè)置安裝目錄的data數(shù)據(jù)庫的權(quán)限(此目錄存放了mysql數(shù)據(jù)庫的數(shù)據(jù)信息)。對(duì)于mysql安裝目錄給users加上讀取、列目錄和執(zhí)行權(quán)限。
Serv-u安全問題:
安裝程序盡量采用最新版本,避免采用默認(rèn)安裝目錄,設(shè)置好serv-u目錄所在的權(quán)限,設(shè)置一個(gè)復(fù)雜的管理員密碼。修改serv-u的banner信息,設(shè)置被動(dòng)模式端口范圍(4001—4003)在本地服務(wù)器中設(shè)置中做好相關(guān)安全設(shè)置:包括檢查匿名密碼,禁用反超時(shí)調(diào)度,攔截“FTP bounce”攻擊和FXP,對(duì)于在30秒內(nèi)連接超過3次的用戶攔截10分鐘。域中的設(shè)置為:要求復(fù)雜密碼,目錄只使用小寫字母,高級(jí)中設(shè)置取消允許使用MDTM命令更改文件的日期。
更改serv-u的啟動(dòng)用戶:在系統(tǒng)中新建一個(gè)用戶,設(shè)置一個(gè)復(fù)雜點(diǎn)的密碼,不屬于任何組。將servu的安裝目錄給予該用戶完全控制權(quán)限。建立一個(gè)FTP根目錄,需要給予這個(gè)用戶該目錄完全控制權(quán)限,因?yàn)樗械膄tp用戶上傳,刪除,更改文件都是繼承了該用戶的權(quán)限,否則無法操作文件。另外需要給該目錄以上的上級(jí)目錄給該用戶的讀取權(quán)限,否則會(huì)在連接的時(shí)候出現(xiàn)530 Not logged in, home directory does not exist。比如在測(cè)試的時(shí)候ftp根目錄為d:soft,必須給d盤該用戶的讀取權(quán)限,為了安全取消d盤其他文件夾的繼承權(quán)限。而一般的使用默認(rèn)的system啟動(dòng)就沒有這些問題,因?yàn)閟ystem一般都擁有這些權(quán)限的。
數(shù)據(jù)庫服務(wù)器的安全設(shè)置
對(duì)于專用的MSSQL數(shù)據(jù)庫服務(wù)器,按照上文所講的設(shè)置TCP/IP篩選和IP策略,對(duì)外只開放1433和5631端口。對(duì)于MSSQL首先需要為sa設(shè)置一個(gè)強(qiáng)壯的密碼,使用混合身份驗(yàn)證,加強(qiáng)數(shù)據(jù)庫日志的記錄,審核數(shù)據(jù)庫登陸事件的”成功和失敗”.刪除一些不需要的和危險(xiǎn)的OLE自動(dòng)存儲(chǔ)過程(會(huì)造成企業(yè)管理器中部分功能不能使用),這些過程包括如下:
Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty
Sp_OAMethod Sp_OASetProperty Sp_OAStop
去掉不需要的注冊(cè)表訪問過程,包括有:
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue
Xp_regenumvalues Xp_regread Xp_regremovemultistring
Xp_regwrite
去掉其他系統(tǒng)存儲(chǔ)過程,如果認(rèn)為還有威脅,當(dāng)然要小心Drop這些過程,可以在測(cè)試機(jī)器上測(cè)試,保證正常的系統(tǒng)能完成工作,這些過程包括:
xp_cmdshell xp_dirtree xp_dropwebtask sp_addsrvrolemember
xp_makewebtask xp_runwebtask xp_subdirs sp_addlogin
sp_addextendedproc
在實(shí)例屬性中選擇TCP/IP協(xié)議的屬性。選擇隱藏 SQL Server 實(shí)例可防止對(duì)1434端口的探測(cè),可修改默認(rèn)使用的1433端口。除去數(shù)據(jù)庫的guest賬戶把未經(jīng)認(rèn)可的使用者據(jù)之在外。 例外情況是master和 tempdb 數(shù)據(jù)庫,因?yàn)閷?duì)他們guest帳戶是必需的。另外注意設(shè)置好各個(gè)數(shù)據(jù)庫用戶的權(quán)限,對(duì)于這些用戶只給予所在數(shù)據(jù)庫的一些權(quán)限。在程序中不要用sa用戶去連接任何數(shù)據(jù)庫。網(wǎng)絡(luò)上有建議大家使用協(xié)議加密的,千萬不要這么做,否則你只能重裝MSSQL了。
入侵檢測(cè)和數(shù)據(jù)備份
入侵檢測(cè)工作
作為服務(wù)器的日常管理,入侵檢測(cè)是一項(xiàng)非常重要的工作,在平常的檢測(cè)過程中,主要包含日常的服務(wù)器安全例行檢查和遭到入侵時(shí)的入侵檢查,也就是分為在入侵進(jìn)行時(shí)的安全檢查和在入侵前后的安全檢查。系統(tǒng)的安全性遵循木桶原理,木桶原理指的是:一個(gè)木桶由許多塊木板組成,如果組成木桶的這些木板長短不一,那么這個(gè)木桶的最大容量不取決于長的木板,而取決于最短的那塊木板。應(yīng)用到安全方面也就是說系統(tǒng)的安全性取決于系統(tǒng)中最脆弱的地方,這些地方是日常的安全檢測(cè)的重點(diǎn)所在。
日常的安全檢測(cè)
日常安全檢測(cè)主要針對(duì)系統(tǒng)的安全性,工作主要按照以下步驟進(jìn)行:
1.查看服務(wù)器狀態(tài):
打開進(jìn)程管理器,查看服務(wù)器性能,觀察CPU和內(nèi)存使用狀況。查看是否有CPU和內(nèi)存占用過高等異常情況。
2.檢查當(dāng)前進(jìn)程情況
切換“任務(wù)管理器”到進(jìn)程,查找有無可疑的應(yīng)用程序或后臺(tái)進(jìn)程在運(yùn)行。用進(jìn)程管理器查看進(jìn)程時(shí)里面會(huì)有一項(xiàng)taskmgr,這個(gè)是進(jìn)程管理器自身的進(jìn)程。如果正在運(yùn)行windows更新會(huì)有一項(xiàng)wuauclt.exe進(jìn)程。對(duì)于拿不準(zhǔn)的進(jìn)程或者說不知道是服務(wù)器上哪個(gè)應(yīng)用程序開啟的進(jìn)程,可以在網(wǎng)絡(luò)上搜索一下該進(jìn)程名加以確定[進(jìn)程知識(shí)庫:http://www.dofile.com/]。通常的后門如果有進(jìn)程的話,一般會(huì)取一個(gè)與系統(tǒng)進(jìn)程類似的名稱,如svch0st.exe,此時(shí)要仔細(xì)辨別[通常迷惑手段是變字母o為數(shù)字0,變字母l為數(shù)字1]
3.檢查系統(tǒng)帳號(hào)
打開計(jì)算機(jī)管理,展開本地用戶和組選項(xiàng),查看組選項(xiàng),查看administrators組是否添加有新帳號(hào),檢查是否有克隆帳號(hào)。
4.查看當(dāng)前端口開放情況
使用activeport,查看當(dāng)前的端口連接情況,尤其是注意與外部連接著的端口情況,看是否有未經(jīng)允許的端口與外界在通信。如有,立即關(guān)閉該端口并記錄下該端口對(duì)應(yīng)的程序并記錄,將該程序轉(zhuǎn)移到其他目錄下存放以便后來分析。打開計(jì)算機(jī)管理==》軟件環(huán)境==》正在運(yùn)行任務(wù)[在此處可以查看進(jìn)程管理器中看不到的隱藏進(jìn)程],查看當(dāng)前運(yùn)行的程序,如果有不明程序,記錄下該程序的位置,打開任務(wù)管理器結(jié)束該進(jìn)程,對(duì)于采用了守護(hù)進(jìn)程的后門等程序可嘗試結(jié)束進(jìn)程樹,如仍然無法結(jié)束,在注冊(cè)表中搜索該程序名,刪除掉相關(guān)鍵值,切換到安全模式下刪除掉相關(guān)的程序文件。
5.檢查系統(tǒng)服務(wù)
運(yùn)行services.msc,檢查處于已啟動(dòng)狀態(tài)的服務(wù),查看是否有新加的未知服務(wù)并確定服務(wù)的用途。對(duì)于不清楚的服務(wù)打開該服務(wù)的屬性,查看該服務(wù)所對(duì)應(yīng)的可執(zhí)行文件是什么,如果確定該文件是系統(tǒng)內(nèi)的正常使用的文件,可粗略放過。查看是否有其他正常開放服務(wù)依存在該服務(wù)上,如果有,可以粗略的放過。如果無法確定該執(zhí)行文件是否是系統(tǒng)內(nèi)正常文件并且沒有其他正常開放服務(wù)依存在該服務(wù)上,可暫時(shí)停止掉該服務(wù),然后測(cè)試下各種應(yīng)用是否正常。對(duì)于一些后門由于采用了hook系統(tǒng)API技術(shù),添加的服務(wù)項(xiàng)目在服務(wù)管理器中是無法看到的,這時(shí)需要打開注冊(cè)表中的HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices項(xiàng)進(jìn)行查找,通過查看各服務(wù)的名稱、對(duì)應(yīng)的執(zhí)行文件來確定是否是后門、木馬程序等。
6.查看相關(guān)日志
運(yùn)行eventvwr.msc,粗略檢查系統(tǒng)中的相關(guān)日志記錄。在查看時(shí)在對(duì)應(yīng)的日志記錄上點(diǎn)右鍵選“屬性”,在“篩選器”中設(shè)置一個(gè)日志篩選器,只選擇錯(cuò)誤、警告,查看日志的來源和具體描述信息。對(duì)于出現(xiàn)的錯(cuò)誤如能在服務(wù)器常見故障排除中找到解決辦法則依照該辦法處理該問題,如果無解決辦法則記錄下該問題,詳細(xì)記錄下事件來源、ID號(hào)和具體描述信息,以便找到問題解決的辦法。
7.檢查系統(tǒng)文件
主要檢查系統(tǒng)盤的exe和dll文件,建議系統(tǒng)安裝完畢之后用dir *.exe /s >1.txt將C盤所有的exe文件列表保存下來,然后每次檢查的時(shí)候再用該命令生成一份當(dāng)時(shí)的列表,用fc比較兩個(gè)文件,同樣如此針對(duì)dll文件做相關(guān)檢查。需要注意的是打補(bǔ)丁或者安裝軟件后重新生成一次原始列表。檢查相關(guān)系統(tǒng)文件是否被替換或系統(tǒng)中是否被安裝了木馬后門等惡意程序。必要時(shí)可運(yùn)行一次殺毒程序?qū)ο到y(tǒng)盤進(jìn)行一次掃描處理。
8.檢查安全策略是否更改
打開本地連接的屬性,查看“常規(guī)”中是否只勾選了“TCP/IP協(xié)議”,打開“TCP/IP”協(xié)議設(shè)置,點(diǎn)“高級(jí)”==》“選項(xiàng)”,查看“IP安全機(jī)制”是否是設(shè)定的IP策略,查看“TCP/IP”篩選允許的端口有沒有被更改。打開“管理工具”=》“本地安全策略”,查看目前使用的IP安全策略是否發(fā)生更改。
9.檢查目錄權(quán)限
重點(diǎn)查看系統(tǒng)目錄和重要的應(yīng)用程序權(quán)限是否被更改。需要查看的目錄有c:;c:winnt;
C:winntsystem32;c:winntsystem32inetsrv;c:winntsystem32inetsrvdata;c:documents and
Settings;然后再檢查serv-u安裝目錄,查看這些目錄的權(quán)限是否做過變動(dòng)。檢查system32下的一些重要文件是否更改過權(quán)限,包括:cmd,net,ftp,tftp,cacls等文件。
10.檢查啟動(dòng)項(xiàng)
主要檢查當(dāng)前的開機(jī)自啟動(dòng)程序。可以使用AReporter來檢查開機(jī)自啟動(dòng)的程序。
發(fā)現(xiàn)入侵時(shí)的應(yīng)對(duì)措施
對(duì)于即時(shí)發(fā)現(xiàn)的入侵事件,以下情況針對(duì)系統(tǒng)已遭受到破壞情況下的處理,系統(tǒng)未遭受到破壞或暫時(shí)無法察覺到破壞先按照上述的檢查步驟檢查一遍后再酌情考慮以下措施。系統(tǒng)遭受到破壞后應(yīng)立即采取以下措施:
視情況嚴(yán)重決定處理的方式,是通過遠(yuǎn)程處理還是通過實(shí)地處理。如情況嚴(yán)重建議采用實(shí)地處理。如采用實(shí)地處理,在發(fā)現(xiàn)入侵的第一時(shí)間通知機(jī)房關(guān)閉服務(wù)器,待處理人員趕到機(jī)房時(shí)斷開網(wǎng)線,再進(jìn)入系統(tǒng)進(jìn)行檢查。如采用遠(yuǎn)程處理,如情況嚴(yán)重第一時(shí)間停止所有應(yīng)用服務(wù),更改IP策略為只允許遠(yuǎn)程管理端口進(jìn)行連接然后重新啟動(dòng)服務(wù)器,重新啟動(dòng)之后再遠(yuǎn)程連接上去進(jìn)行處理,重啟前先用AReporter檢查開機(jī)自啟動(dòng)的程序。然后再進(jìn)行安全檢查。
以下處理措施針對(duì)用戶站點(diǎn)被入侵但未危及系統(tǒng)的情況,如果用戶要求加強(qiáng)自己站點(diǎn)的安全性,可按如下方式加固用戶站點(diǎn)的安全:
站點(diǎn)根目錄----只給administrator讀取權(quán)限,權(quán)限繼承下去。
wwwroot ------給web用戶讀取、寫入權(quán)限。高級(jí)里面有刪除子文件夾和文件權(quán)限
logfiles------給system寫入權(quán)限。
database------給web用戶讀取、寫入權(quán)限。高級(jí)里面沒有刪除子文件夾和文件權(quán)限
如需要進(jìn)一步修改,可針對(duì)用戶站點(diǎn)的特性對(duì)于普通文件存放目錄如html、js、圖片文件夾只給讀取權(quán)限,對(duì)asp等腳本文件給予上表中的權(quán)限。另外查看該用戶站點(diǎn)對(duì)應(yīng)的安全日志,找出漏洞原因,協(xié)助用戶修補(bǔ)程序漏洞。
數(shù)據(jù)備份和數(shù)據(jù)恢復(fù)
數(shù)據(jù)備份工作大致如下:
1. 每月備份一次系統(tǒng)數(shù)據(jù)。
2. 備份系統(tǒng)后的兩周單獨(dú)備份一次應(yīng)用程序數(shù)據(jù),主要包括IIS、serv-u、數(shù)據(jù)庫等數(shù)據(jù)。
3. 確保備份數(shù)據(jù)的安全,并分類放置這些數(shù)據(jù)備份。因基本上采用的都是全備份方法,對(duì)于數(shù)據(jù)的保留周期可以只保留該次備份和上次備份數(shù)據(jù)兩份即可。
數(shù)據(jù)恢復(fù)工作:
1.系統(tǒng)崩潰或遇到其他不可恢復(fù)系統(tǒng)正常狀態(tài)情況時(shí),先對(duì)上次系統(tǒng)備份后發(fā)生的一些更改事件如應(yīng)用程序、安全策略等的設(shè)置做好備份,恢復(fù)完系統(tǒng)后再恢復(fù)這些更改。
2.應(yīng)用程序等出錯(cuò)采用最近一次的備份數(shù)據(jù)恢復(fù)相關(guān)內(nèi)容。
服務(wù)器性能優(yōu)化
1 服務(wù)器性能優(yōu)化
系統(tǒng)性能優(yōu)化
整理系統(tǒng)空間:
刪除系統(tǒng)備份文件,刪除驅(qū)動(dòng)備份,刪除不用的輸入法,刪除系統(tǒng)的幫助文件,卸載不常用的組件。最小化C盤文件。
性能優(yōu)化:
刪除多余的開機(jī)自動(dòng)運(yùn)行程序;減少預(yù)讀取,減少進(jìn)度條等待時(shí)間;讓系統(tǒng)自動(dòng)關(guān)閉停止響應(yīng)的程序;禁用錯(cuò)誤報(bào)告,但在發(fā)生嚴(yán)重錯(cuò)誤時(shí)通知;關(guān)閉自動(dòng)更新,改為手動(dòng)更新計(jì)算機(jī);啟用硬件和DirectX加速;禁用關(guān)機(jī)事件跟蹤;禁用配置服務(wù)器向?qū)В?減少開機(jī)磁盤掃描等待時(shí)間;將處理器計(jì)劃和內(nèi)存使用都調(diào)到應(yīng)用程序上;調(diào)整虛擬內(nèi)存;內(nèi)存優(yōu)化;修改cpu的二級(jí)緩存;修改磁盤緩存。
IIS性能優(yōu)化
1、調(diào)整IIS高速緩存
HKEY_LOCAL_MACHINE\ System\CurrentControlSet\Services\InetInfoParametersMemoryCacheSize
MemoryCacheSize的范圍是從0道4GB,缺省值為3072000(3MB)。一般來說此值最小應(yīng)設(shè)為服務(wù)器內(nèi)存的10%。IIS通過高速緩存系統(tǒng)句柄、目錄列表以及其他常用數(shù)據(jù)的值來提高系統(tǒng)的性能。這個(gè)參數(shù)指明了分配給高速緩存的內(nèi)存大小。如果該值為0,那就意味著“不進(jìn)行任何高速緩存”。在這種情況下系統(tǒng)的性能可能會(huì)降低。如果你的服務(wù)器網(wǎng)絡(luò)通訊繁忙,并且有足夠的內(nèi)存空間,可以考慮增大該值。必須注意的是修改注冊(cè)表后,需要重新啟動(dòng)才能使新值生效。
2.不要關(guān)閉系統(tǒng)服務(wù): “Protected Storage”
3.對(duì)訪問流量進(jìn)行限制
A.對(duì)站點(diǎn)訪問人數(shù)進(jìn)行限制
B.站點(diǎn)帶寬限制。保持HTTP連接。
C.進(jìn)程限制, 輸入CPU的耗用百分比
4.提高IIS的處理效率
應(yīng)用程序設(shè)置”處的“應(yīng)用程序保護(hù)”下拉按鈕,從彈出的下拉列表中,選中“低(IIS進(jìn)程)”選項(xiàng),IIS服務(wù)器處理程序的效率可以提高20%左右。但此設(shè)置會(huì)帶來嚴(yán)重的安全問題,不值得推薦。
5.將IIS服務(wù)器設(shè)置為獨(dú)立的服務(wù)器
A.提高硬件配置來優(yōu)化IIS性能硬盤:硬盤空間被NT和IIS服務(wù)以如下兩種方式使用:一種是簡單地存儲(chǔ)數(shù)據(jù);另一種是作為虛擬內(nèi)存使用。如果使用Ultra2的SCSI硬盤,可以顯著提高IIS的性能。
B.可以把NT服務(wù)器的頁交換文件分布到多個(gè)物理磁盤上,注意是多個(gè)“物理磁盤”,分布在多個(gè)分區(qū)上是無效的。另外,不要將頁交換文件放在與WIndows NT引導(dǎo)區(qū)相同的分區(qū)中。
C.使用磁盤鏡像或磁盤帶區(qū)集可以提高磁盤的讀取性能。
D.最好把所有的數(shù)據(jù)都儲(chǔ)存在一個(gè)單獨(dú)的分區(qū)里。然后定期運(yùn)行磁盤碎片整理程序以保證在存儲(chǔ)Web服務(wù)器數(shù)據(jù)的分區(qū)中沒有碎片。使用NTFS有助于減少碎片。推薦使用Norton的Speeddisk,可以很快的整理NTFS分區(qū)。
6.起用HTTP壓縮
HTTP壓縮是在Web服務(wù)器和瀏覽器間傳輸壓縮文本內(nèi)容的方法。HTTP壓縮采用通用的壓縮算法如gzip等壓縮HTML、JavaScript或CSS文件。可使用pipeboost進(jìn)行設(shè)置。
7.起用資源回收
使用IIS5Recycle定時(shí)回收進(jìn)程資源。
服務(wù)器常見故障排除
1. ASP“請(qǐng)求的資源正在使用中”的解決辦法:
該問題一般與殺毒軟件有關(guān),在服務(wù)器上安裝個(gè)人版殺毒軟件所致。出現(xiàn)這種錯(cuò)誤可以通過卸載殺毒軟件解決,也可嘗試重新注冊(cè)vbscript.dll和jscript.dll來解決,在命令行下運(yùn)行:regsvr32 vbscript.dll 和regsvr32 jscript.dll即可。
2.ASP500錯(cuò)誤解決辦法:
首先確定該問題是否是單一站點(diǎn)存在還是所有站點(diǎn)存在,如果是單一站點(diǎn)存在該問題,則是網(wǎng)站程序的問題,可打開該站點(diǎn)的錯(cuò)誤提示,把IE的“顯示友好HTTP錯(cuò)誤”信息取消,查看具體錯(cuò)誤信息,然后對(duì)應(yīng)修改相關(guān)程序。如是所有站點(diǎn)存在該問題,并且HTML頁面沒有出現(xiàn)該問題,相關(guān)日志出現(xiàn)“服務(wù)器無法加載應(yīng)用程序‘/LM/W3SVC/1/ROOT‘。錯(cuò)誤是 ‘不支持此接口‘”。那十有八九是服務(wù)器系統(tǒng)中的ASP相關(guān)組件出現(xiàn)了問題,重新啟動(dòng)IIS服務(wù),嘗試是否可以解決該問題,無法解決重新啟動(dòng)系統(tǒng)嘗試是否可解決該問題,如無法解決可重新修復(fù)一下ASP組件:
首先刪除com組件中的關(guān)于IIS的三個(gè)東西,需要先將屬性里的高級(jí)中“禁止刪除”的勾選取消。
命令行中,輸入“cd winnt\system32\inetsrv”字符串命令,單擊回車鍵后,再執(zhí)行“rundll32 wamreg.dll,CreateIISPackage”命令,接著再依次執(zhí)行“regsvr32 asptxn.dll”命令、“iisreset”命令,最后重新啟動(dòng)一下計(jì)算機(jī)操作系統(tǒng),這樣IIS服務(wù)器就能重新正確響應(yīng)ASP腳本頁面了。
3. IIS出現(xiàn)105錯(cuò)誤:
在系統(tǒng)日志中“服務(wù)器無法注冊(cè)管理工具發(fā)現(xiàn)信息。管理工具可能無法看到此服務(wù)器” 來源:w3svc ID:105解決辦法:
在網(wǎng)絡(luò)連接中重新安裝netbios協(xié)議即可,安裝完成之后取消掉勾選。
4.MySQL服務(wù)無法啟動(dòng)【錯(cuò)誤代碼1067】的解決方法
啟動(dòng)MySQL服務(wù)時(shí)都會(huì)在中途報(bào)錯(cuò)!內(nèi)容為:在 本地計(jì)算機(jī) 無法啟動(dòng)MySQL服務(wù) 錯(cuò)誤1067:進(jìn)程意外中止。
解決方法:查找Windows目錄下的my.ini文件,編輯內(nèi)容(如果沒有該文件,則新建一個(gè)),至少包含
basedir,datadir這兩個(gè)基本的配置。
[mysqld]
# set basedir to installation path, e.g., c:/mysql
# 設(shè)置為MYSQL的安裝目錄
basedir=D:/www/WebServer/MySQL
# set datadir to location of data directory,
# e.g., c:/mysql/data or d:/mydata/data
# 設(shè)置為MYSQL的數(shù)據(jù)目錄
datadir=D:/www/WebServer/MySQL/data
注意,我在更改系統(tǒng)的temp目錄之后沒有對(duì)更改后的目錄給予system用戶的權(quán)限也出現(xiàn)過該問題。
5.DllHotst進(jìn)程消耗cpu 100%的問題
服務(wù)器正常CPU消耗應(yīng)該在75%以下,而且CPU消耗應(yīng)該是上下起伏的,出現(xiàn)這種問題的服務(wù)器,CPU會(huì)突然一直處100%的水平,而且不會(huì)下降。
查看任務(wù)管理器,可以發(fā)現(xiàn)是DLLHOST.EXE消耗了所有的CPU空閑時(shí)間,管理員在這種情況下,只好重新啟動(dòng)IIS服務(wù),奇怪的是,重新啟動(dòng)IIS服務(wù)后一切正常,但可能過了一段時(shí)間后,問題又再次出現(xiàn)了。
直接原因:
有一個(gè)或多個(gè)ACCESS數(shù)據(jù)庫在多次讀寫過程中損壞, MDAC系統(tǒng)在寫入這個(gè)損壞的ACCESS文件時(shí),ASP線程處于BLOCK狀態(tài),結(jié)果其他線程只能等待,IIS被死鎖了,全部的CPU時(shí)間都消耗在DLLHOST中。
解決辦法:
把數(shù)據(jù)庫下載到本地,然后用ACCESS打開,進(jìn)行修復(fù)操作。再上傳到網(wǎng)站。如果還不行,只有新建一個(gè)ACCESS數(shù)據(jù)庫,再從原來的數(shù)據(jù)庫中導(dǎo)入所有表和記錄。然后把新數(shù)據(jù)庫上傳到服務(wù)器上。
6.Windows installer出錯(cuò):
在安裝軟件的時(shí)候出現(xiàn)“不能訪問windows installer 服務(wù)。可能你在安全模式下運(yùn)行 windows ,或者windows installer 沒有正確的安裝。請(qǐng)和你的支持人員聯(lián)系以獲得幫助” 如果試圖重新安裝InstMsiW.exe,提示:“指定的服務(wù)已存在”。
解決辦法:
關(guān)于installer的錯(cuò)誤,可能還有其他錯(cuò)誤提示,可嘗試以下解決辦法:
首先確認(rèn)是否是權(quán)限方面的問題,提示信息會(huì)提供相關(guān)信息,如果是權(quán)限問題,給予winnt目錄everyone權(quán)限即可[安裝完把權(quán)限改回來即可]。如果提示的是上述信息,可以嘗試以下解決方法:運(yùn)行“msiexec /unregserver”卸載Windows Installer服務(wù),如果無法卸載可使用SRVINSTW進(jìn)行卸載,然后下載windows installer的安裝程序[地址:http://www.newhua.com/cfan/200410/instmsiw.exe],用winrar解壓該文件,在解壓縮出來的文件夾里面找到msi.inf文件,右鍵單擊選擇“安裝”,重新啟動(dòng)系統(tǒng)后運(yùn)行“msiexec /regserver”重新注冊(cè)Windows Installer服務(wù)。
服務(wù)器管理
服務(wù)器日常管理安排
服務(wù)器管理工作必須規(guī)范嚴(yán)謹(jǐn),尤其在不是只有一位管理員的時(shí)候,日常管理工作包括:
1.服務(wù)器的定時(shí)重啟。每臺(tái)服務(wù)器保證每周重新啟動(dòng)一次。重新啟動(dòng)之后要進(jìn)行復(fù)查,確認(rèn)服務(wù)器已經(jīng)啟動(dòng)了,確認(rèn)服務(wù)器上的各項(xiàng)服務(wù)均恢復(fù)正常。對(duì)于沒有啟動(dòng)起來或服務(wù)未能及時(shí)恢復(fù)的情況要采取相應(yīng)措施。前者可請(qǐng)求托管商的相關(guān)工作人員幫忙手工重新啟動(dòng),必要時(shí)可要求讓連接上顯示器確認(rèn)是否已啟動(dòng)起來;后者需要遠(yuǎn)程登陸上服務(wù)器進(jìn)行原因查找并根據(jù)原因嘗試恢復(fù)服務(wù)。
2.服務(wù)器的安全、性能檢查,每服務(wù)器至少保證每周登陸兩次粗略檢查兩次。每次檢查的結(jié)果要求進(jìn)行登記在冊(cè)。如需要使用一些工具進(jìn)行檢查,可直接在e:tools中查找到相關(guān)工具。對(duì)于臨時(shí)需要從網(wǎng)絡(luò)上找的工具,首先將IE的安全級(jí)別調(diào)整到高,然后在網(wǎng)絡(luò)上進(jìn)行查找,不要去任何不明站點(diǎn)下載,盡量選擇如華軍、天空等大型網(wǎng)站進(jìn)行下載,下載后確保當(dāng)前殺毒軟件已升級(jí)到最新版本,升級(jí)完畢后對(duì)下載的軟件進(jìn)行一次殺毒,確認(rèn)正常后方能使用。對(duì)于下載的新工具對(duì)以后維護(hù)需要使用的話,將該工具保存到e:tools下,并在該目錄中的readme.txt文件中做好相應(yīng)記錄,記錄該工具的名稱,功能,使用方法。并且在該文件夾中的rar文件夾中保留一份該工具的winrar壓縮文件備份,設(shè)置解壓密碼。
3.服務(wù)器的數(shù)據(jù)備份工作,每服務(wù)器至少保證每月備份一次系統(tǒng)數(shù)據(jù),系統(tǒng)備份采用ghost方式,對(duì)于ghost文件固定存放在e:ghost文件目錄下,文件名以備份的日期命名,如0824.gho,每服務(wù)器至少保證每兩周備份一次應(yīng)用程序數(shù)據(jù),每服務(wù)器至少保證每月備份一次用戶數(shù)據(jù),備份的數(shù)據(jù)固定存放在e:databak文件夾,針對(duì)各種數(shù)據(jù)再建立對(duì)應(yīng)的子文件夾,如serv-u用戶數(shù)據(jù)放在該文件夾下的servu文件夾下,iis站點(diǎn)數(shù)據(jù)存放在該文件夾下的iis文件夾下。
4.服務(wù)器的監(jiān)控工作,每天正常工作期間必須保證監(jiān)視所有服務(wù)器狀態(tài),一旦發(fā)現(xiàn)服務(wù)停止要及時(shí)采取相應(yīng)措施。對(duì)于發(fā)現(xiàn)服務(wù)停止,首先檢查該服務(wù)器上同類型的服務(wù)是否中斷,如所有同類型的服務(wù)都已中斷及時(shí)登陸服務(wù)器查看相關(guān)原因并針對(duì)該原因嘗試重新開啟對(duì)應(yīng)服務(wù)。
5.服務(wù)器的相關(guān)日志操作,每服務(wù)器保證每月對(duì)相關(guān)日志進(jìn)行一次清理,清理前對(duì)應(yīng)的各項(xiàng)日志如應(yīng)用程序日志、安全日志、系統(tǒng)日志等都應(yīng)選擇“保存日志”。所有的日志文件統(tǒng)一保存在e:logs下,應(yīng)用程序日志保存在e:logsapp中,系統(tǒng)程序日志保存在e:logssys中,安全日志保存在e:logssec中。對(duì)于另外其他一些應(yīng)用程序的日志,也按照這個(gè)方式進(jìn)行處理,如ftp的日志保存在e:logsftp中。所有的備份日志文件都以備份的日期命名,如20050824.evt。對(duì)于不是單文件形式的日志,在對(duì)應(yīng)的記錄位置下建立一個(gè)以日期命名的文件夾,將這些文件存放在該文件夾中。
6.服務(wù)器的補(bǔ)丁修補(bǔ)、應(yīng)用程序更新工作,對(duì)于新出的漏洞補(bǔ)丁,應(yīng)用程序方面的安全更新一定要在發(fā)現(xiàn)的第一時(shí)間給每服務(wù)器打上應(yīng)用程序的補(bǔ)丁。
7.服務(wù)器的隱患檢查工作,主要包括安全隱患、性能等方面。每服務(wù)器必須保證每月重點(diǎn)的單獨(dú)檢查一次。每次的檢查結(jié)果必須做好記錄。
8.不定時(shí)的相關(guān)工作,每服務(wù)器由于應(yīng)用軟件更改或其他某原因需要安裝新的應(yīng)用程序或卸載應(yīng)用程序等操作必須知會(huì)所有管理員。
9.定期的管理密碼更改工作,每服務(wù)器保證至少每兩個(gè)月更改一次密碼,對(duì)于SQL服務(wù)器由于如果SQL采用混合驗(yàn)證更改系統(tǒng)管理員密碼會(huì)影響數(shù)據(jù)庫的使用則不予修改。
相關(guān)建議:對(duì)每服務(wù)器設(shè)立一個(gè)服務(wù)器管理記載,管理員每次登陸系統(tǒng)都應(yīng)該在此中進(jìn)行詳細(xì)的記錄,共需要記錄以下幾項(xiàng):登入時(shí)間,退出時(shí)間,登入時(shí)服務(wù)器狀態(tài)[包含不明進(jìn)程記錄,端口連接狀態(tài),系統(tǒng)帳號(hào)狀態(tài),內(nèi)存/CPU狀態(tài)],詳細(xì)操作情況記錄[詳細(xì)記錄下管理員登陸系統(tǒng)后的每一步操作]。無論是遠(yuǎn)程登陸操作還是物理接觸操作都要進(jìn)行記錄,然后將這些記錄按照各服務(wù)器歸檔,按時(shí)間順序整理好文檔。
對(duì)于數(shù)據(jù)備份、服務(wù)器定時(shí)重啟等操作建議將服務(wù)器分組,例如分成四組,每月的周六晚備份一組服務(wù)器的數(shù)據(jù),每周的某一天定時(shí)去重啟一組的服務(wù)器,這樣對(duì)于工作的開展比較方便,這些屬于固定性的工作。另外有些工作可以同步進(jìn)行,如每月一次的數(shù)據(jù)備份、安全檢查和管理員密碼修改工作,先進(jìn)行數(shù)據(jù)備份,然后進(jìn)行安全檢查,再修改密碼。對(duì)于需要的即時(shí)操作如服務(wù)器補(bǔ)丁程序的安裝、服務(wù)器不定時(shí)的故障維護(hù)等工作,這些屬于即時(shí)性的工作,但是原則上即時(shí)性的工作不能影響固定工作的安排。
管理員日常注意事項(xiàng)
在服務(wù)器管理過程中,管理員需要注意以下事項(xiàng):
1.對(duì)自己的每一次操作應(yīng)做好詳細(xì)記錄,具體見上述建議,以便于后來檢查。
2.努力提高自身水平,加強(qiáng)學(xué)習(xí)。
