原创作品-安全之门第八期内容回顾
作者: 苏樱 发布日期: 2005-12-04 查看数: 12 出自: http://www.neteasy.cn
1、业界新闻
亚足联官网遭黑客侵袭
信息来源:搜狐体育讯
亚足联的官方网站(www.the-afc.com)在本周五早些时候突然遭到黑客侵袭,载有很多数据和信息的网页都打不开。不过,幸亏亚足联采取了及时的措施,通过网络技术进行补救,在下午的时候,网站又恢复了正常。事情过后,亚足联马上在内部进行了细致的调查和研究以确定破坏网站的病毒的来源。据工作人员介绍,下一步,亚足联将要采取更深入和专业的措施来保护网站,特别防止其他犯罪分子借机进行其他违法活动。
在互联网上,网站遭遇黑客侵袭是时有发生的,但像亚足联这样贵为洲一级的行政组织遭到破坏是极少见的。这里面,亚足联对网络系统安全的准备工作不足是重要原因,甚至是他们的工作作风,这特别让人联想到亚足联在前面评选年度足球先生的时候存在很多的不足。如提名的并不是亚洲全年表现最突出的球员,获奖的球员必须要到现场领奖,否则,就不能获殊荣。当然,最重要的原因是亚足联针对中国球员郑智的“减刑”是引起黑客们特别活动。具体情况是,中国的鲁能俱乐部因为对亚足联重罚图拔郑智巴辛三人结果不服,向亚足联上诉委员会提出申诉,最终,郑智的处罚范围缩小到了亚冠联赛。据分析人士猜测,亚足联对全亚洲的比赛中出现裁判问题以及相关的其他处罚有很多是值得商榷的,但像鲁能这样幸运的却不多,此次,亚足联的官方网站遭到黑客的破坏,很大程度上就是对亚足联处罚问题的抗议,这也给亚足联及其他相关权力单位提了醒,在以后的工作中,必须认真负责。
(搜狐体育 法磊)
全国首例网络攻击案一审宣判 8848告百度败诉
出处:pconline
因为庭审中向法官成功证明所谓的攻击行为有可能是其他人所为,百度网站终于洗去“黑客”臭名。昨日上午,北京市第一中级人民法院对8848网站告百度网站发动DDOS攻击其网站官司进行了公开宣判,一审驳回8848的诉讼请求。
百度员工非常满意
这起被称为全国首例网络攻击案的官司一向备受关注,但是昨天的宣判现场比较清静,原告8848网站没有派人出庭,被告席上也只有一位女代理人出庭。法院进行了缺席判决。据悉官司胜诉后,前来旁听此案的百度公司工作人员表示对判决非常满意。
千万索赔打水漂
8848网站是一家专门从事电子商务的网站,2005年1月21日下午约18点20分,至次日晚21时许,8848网站称发现百度网站采用分布式拒绝服务攻击(DDOS攻击)的手段,借助几千家百度搜索联盟网站的巨大访问量集中攻击8848的服务器,使8848网站无法被正常访问至少长达26小时,导致网上商城的商户无法正常销售、支付和结算收款。
因此,8848将百度告上法庭并索赔1500万元。官司败诉,8848千万索赔也被驳回。
百度用技术获胜
百度能够打赢此官司的关键,是在技术上成功证明,攻击行为不一定就是百度的行为。
庭审中,由法院主持并在双方当事人共同参与的情况下,对涉案的有关事实进行了网络在线勘验,百度采用模拟插件模拟涉案攻击行为,证明涉案攻击行为不具有特定性、排他性、唯一性。即在传输过程中,他人亦可以修改百度搜索框的源代码,实施攻击8848网站的行为。
鉴于此,一中院作出驳回原告北京珠穆朗玛网络技术有限公司(8848)诉讼请求的一审判决。
陷入窘境的马化腾
信息来源:天极网
日前,雅虎的雅虎通与微软的MSN之间的互联互通正在如火如荼地进行,原先仅限于两家之间的合作,影响面正在日渐扩大,有消息称,两家正在国内火速结盟IM厂商,据北京娱乐信报报道,10月26日,雅虎中国通讯产品事业部总经理毛新透露,雅虎通与微软MSN的互联互通将会在明年第二季度正式实施,届时,加盟的绝不止雅虎和微软两家。
由于雅虎通与MSN背靠两大国际巨头,一个互联互通的庞大阵营正在迅速浮出水面。
联想到此前雅虎与微软曾向腾讯伸出橄榄枝遭拒,雅虎与微软的合纵连横策略显然意在迫使一家独大的QQ就范。
通,还是不通,这确实是一个问题。
从最初类似传呼系统的小玩意甚至一度成了烫手的山芋到现在创造了一个庞大的即时通讯、门户网站、品牌授权业务,马化腾从短短不到六年的时间就创造出了一个令人难以置信的神话。
但是,在QQ创立以来的一半时间里,马化腾心中有一个深深的“痛”,即使在QQ最风光的时候,这个“痛”也没有缓解过。
这个“痛”就是QQ的客户群价值长期偏低,一直局限于低年龄、低收入、低消费的“三低”群体,凭借这样一个用户群体,是很难吸引高含金量的广告主。正是由于这个原因,腾讯所取得的广告收入一直与庞大的用户数量不成比例。
与QQ形成鲜明对比的是,无论雅虎通还是MSN,二者的表现都远胜于QQ,这两大IM巨头的用户群中,白领用户占据了相当大的比重,创造收入的能力显然也就远远强于QQ。
在国内,由于成功的市场推广,MSN在用户的心目中形成了良好的定位,越来越多的人认为,MSN适用于商务场合,适合联系同事、朋友和亲人,而QQ则适合休闲娱乐,主要用来结交陌生人。
为了弥补这个不足,马化腾作了种种努力。
一方面,腾讯大举进军企业市场。2003年9月,马化腾隆重推出企业级实时通信产品“腾讯通”(RTX),竭力跻身企业市场;
另一方面,仿照MSN Messenger,当年12月,腾讯开发出了一款Tencent Messenger即TM,通过引入一系列的商务功能,试图吸引白领用户的青睐。
但是,这些努力始终没有取得预期效果。
2、技术介绍
黑客惯用手法揭秘
电脑网络就像一个潘多拉魔盒,光怪陆离、无所不有。但它在给人们的生活增添无穷乐趣的同时,也充斥着太多的骗局和陷阱,不时地令冲浪者防不胜防,这个无法回避的事实告诫人们在网上要时刻保持足够的警惕,那么,如何做呢?
网络上的诈骗大都来自于“黑客”。其实,“黑客”也并不是什么不食人间烟火的怪物,而是像你我一样活生生的普通人,许多被发现的“黑客”只不过是十几岁的中小学生。如果你掌握一些必要的网络知识,那么只要你愿意,完全也可以“黑”人家一把。当然,我并不是鼓励你这么去做,而是想说明:“黑客”并不神秘,所以,只要有心,我们完全能对付!
最“笨”的“黑客”采取的手段看起来很拙劣,他们的策略完全是“姜太公式的”,这类“黑客”往往在自己的主页上制造种种借口,或以大奖作诱饵,要求访问者留下自己的Internet用户名、账号、密码、信用卡密码等个人敏感信息,碰到这种情况,你千万千万要记住:不要一时冲动,将自己的资料和盘托出!不管对方吹得如何天花乱坠,只要做到心明眼亮,对方就只能徒呼奈何。
当然,“黑客”不都是如此“弱智”的,他们总是会绞尽脑汁地不断变换“作案”手法,千方百计地要攻破别人的城池。典型的做法是:“黑客”通过电子邮件,或在你下载软件的时候,神不知鬼不觉地将一些“神秘”的小程序悄悄地移植到你的机器上,这些小程序会潜伏下来,自动地修改操作系统的核心、开辟数据通道,留下一个危险的后门,当你的机器再一次联上网络时,它们就像“特洛伊木马”一样,将你的账号口令等信息传送给坐享其成的“黑客”。
因为这种“间谍”程序像正常软件一样,也在不断“升级”,所以要防范它们难免有挂一漏万的情况。但原则的做法是不变的,那就是:对电子邮件中的附件或邮件列表保持警觉,不要一收到信箱中就马上打开,只有待杀毒软件对它们验明正身后才可以放行;下载软件时尽量不要光顾那些不知底细的个人网站,而应去专业的下载站点,主要是为了安全,而且速度也有保证。另外,经常性地变换自己的账号口令也是必要的和明智的做法。
以上涉及的都是个人如何防备“黑客”的问题,与个人比较起来,企业网络的安全无疑要重要得多,无论是学校的机房,还是银行、商业机构甚至ISP,它们组建的网络一旦被侵犯,后果往往是不堪设想的。所以对于他们来说,“扎紧篱笆”、堵住“后门”就格外显得紧迫,而“专业”的“黑客”也往往以这类目标作为攻击对象。下面从黑客常用的攻击手段中撷取几种,让大家见识一下。
1真假李逵
在登录一些站点特别是那些提供个人服务(比如股票、银行)的站点时,站点往往会首先要访问者填写一些密码之类的个人信息后才能进入。一些“高明”的“黑客”正是利用了这个过程,精心伪造一个登录页面,抢在真正的登录页面之前出现,待你“认真”地写下登录信息并发送后,真正的登录页面才姗姗来迟,而这时你的秘密已被窃取了。今年9月份台湾发生的一宗网络银行诈骗案,狡猾的犯罪分子用的就是这种伎俩。对付此种“黑客”,最佳的解决之道就是防患于未然,经常查看服务器的运作日志,若发现疑点要坚决及早处理,将隐患消灭在萌芽状态之中。
2声东击西
一些“黑客”利用某些防火墙的漏洞,巧妙地将自己的IP请求设置成指向防火墙的路径,而不是受防火墙保护的主机,所以他们可以畅通无阻地接近防火墙,这时“黑客”已经达到了目的。因为此时他们完全可以虚晃一枪,利用防火墙作跳板,轻松地长驱直入,直捣主机!如果有这种情况发生,那就得考虑是否要更换防火墙了,或者升级原来的防火墙,为它打上补丁。
3一针见血
能够“修炼”到这种境界的一般都是“黑客”中的高手。他们凭借自己高超的技术,通过分析DNS(域名管理系统)而直接获取Web服务器等主机的IP地址,从而为打入“敌阵”彻底扫除障碍。对付这种“黑客”,几乎没有更好的办法,也许尽量不要接受免费域名服务是一个有点儿价值的措施,因为正规的注册域名服务一般都会有有效的安全手段,可以保证少受攻击或不受攻击。
4旁敲侧击
电子邮件其实是一种很脆弱的通讯手段,一方面,它的安全性很差,传送的资料很有可能丢失或被中途拦截;另一方面,“特洛伊木马”等“黑客程序”大都通过电子邮件这个途径进驻用户的机器。而电子邮件恰恰是网络上用得最多的东西,许多公众网站和大公司局域网,出于吸引访问者或工作的需要,提供免费邮件或内部邮件的服务,而邮件服务器就成了“黑客”们攻击的对象。大名鼎鼎的微软甚至也深受“黑客”之害,而被迫将邮件服务器关闭了一天。当然,防范这些“黑客”,可采用以下措施:如邮件服务器专设专用,不与内部局域网发生关系;开启防火墙的邮件中转功能,让中转站过滤所有出入邮件等等。
以上所述的只不过是有关网络安全的一小部分,还有许多现象没有谈及。其实,谈得再多也不能使我们完全看清网络上的所有“猫腻”,因为网络的开放性决定了它的复杂性和多样性。随着技术的不断进步,各种各样高明的“黑客”会不断诞生,同时,他们使用的手段也会越来越先进,要斩断他们的黑手是不可能的。我们唯有不断加强防火墙等的研究力度,加上平时必要的警惕,相信“黑客”们的舞台将会越来越小。
防范三绝技-谈木马“查、堵、杀”
木马程序是一种程序,它能提供一些有用的,或是仅仅令人感兴趣的功能。但是它还有用户所不知道的其他功能,例如在你不了解的情况下拷贝文件或窃取你的密码。
RFC1244(Request for Comments:1244)中是这样描述木马的:“木马程序是一种程序,它能提供一些有用的,或是仅仅令人感兴趣的功能。但是它还有用户所不知道的其他功能,例如在你不了解的情况下拷贝文件或窃取你的密码。”随着互联网的迅速发展,木马的攻击、危害性越来越大。木马实质上是一个程序,必须运行后才能工作,所以会在进程表、注册表中留下蛛丝马迹,我们可以通过“查、堵、杀”将它“缉拿归案”。
查
1.检查系统进程
大部分木马运行后会显示在进程管理器中,所以对系统进程列表进行分析和过滤,可以发现可疑程序。特别是利用与正常进程的CPU资源占用率和句柄数的比较,发现异常现象。
2.检查注册表、ini文件和服务
木马为了能够在开机后自动运行,往往在注册表如下选项中添加注册表项:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
木马亦可在Win.ini和System.ini的“run=”、“load=”、“shell=”后面加载,如果在这些选项后面加载程序是你不认识的,就有可能是木马。木马最惯用的伎俩就是把“Explorer”变成自己的程序名,只需稍稍改“Explorer”的字母“l”改为数字“1”,或者把其中的“o”改为数字“0”,这些改变如果不仔细观察是很难被发现。
在Windwos NT/2000中,木马会将自己作为服务添加到系统中,甚至随机替换系统没有启动的服务程序来实现自动加载,检测时要对操作系统的常规服务有所了解。
3.检查开放端口
远程控制型木马以及输出Shell型的木马,大都会在系统中监听某个端口,接收从控制端发来的命令,并执行。通过检查系统上开启的一些“奇怪”的端口,从而发现木马的踪迹。在命令行中输入Netstat na,可以清楚地看到系统打开的端口和连接。也可从www.foundstone.com下载Fport软件,运行该软件后,可以知道打开端口的进程名,进程号和程序的路径,这样为查找“木马”提供了方便之门。
4.监视网络通讯
对于一些利用ICMP数据通讯的木马,被控端没有打开任何监听端口,无需反向连接,不会建立连接,采用第三种方法检查开放端口的方法就行不通。可以关闭所有网络行为的进程,然后打开Sniffer软件进行监听,如此时仍有大量的数据,则基本可以确定后台正运行着木马。
堵
1.堵住控制通路
如果你的网络连接处于禁用状态后或取消拨号连接,反复启动、打开窗口等不正常现象消失,那么可以判断你的电脑中了木马。通过禁用网络连接或拔掉网线,就可以完全避免远端计算机通过网络对你的控制。当然,亦可以通过防火墙关闭或过滤UDP、TCP、ICMP端口。
2.杀掉可疑进程
如通过Pslist查看可疑进程,用Pskill杀掉可疑进程后,如果计算机正常,说明这个可疑进程通过网络被远端控制,从而使计算机不正常。
杀
1.手工删除
对于一些可疑文件,不能立即删除,有可能由于误删系统文件而使计算机不能正常工作。首先备份可疑文件和注册表,接着用Ultraedit32编辑器查看文件首部信息,通过可疑文件里面的明文字符对木马有一个大致了解。当然高手们还可以通过W32Dasm等专用反编译软件对可疑文件进行静态分析,查看文件的导入函数列表和数据段部分,初步了解程序的主要功能。最后,删除木马文件及注册表中的键值。
2.软件杀毒
由于木马编写技术的不断进步,很多木马有了自我保护机制。普通用户最好通过专业的杀毒软件如瑞星、金山毒霸等软件进行杀毒,对于杀毒软件,一定要及时更新,并通过病毒公告及时了解新木马的预防和查杀绝技,或者通过下载专用的杀毒软件进行杀毒(如近期的冲击波病毒各大公司都开发了查杀工具)。
3、good推荐
特征码定位器CCL v2.7.3
特征码定位器,定位PE文件中特征码位置。
