• :
  • 标签 - 计算机 金山毒霸杀毒软件论坛,中国知名杀毒软件
    用户
     找回密码

        找回密码

    QQ登录

    只需一步,快速开始

    搜索

    tag 标签: 计算机

    相关帖子

    版块 作者 回复/查看 最后发表
    QQ农牧偷匪 attach_img 样本上报&网址上报 那年_ 2012-5-12 6 2549 sl515026 2013-1-12 11:40
    有高手可以帮我看看我的电脑有问题吗???联想E46L型号·····麻烦高手帮我看看 attachment 电脑疑难问题求助 シ恛憶シ 2013-1-25 0 1 シ恛憶シ 2013-1-25 17:33
    这是什么意思 电脑疑难问题求助 fzdr 2013-2-4 0 1218 fzdr 2013-2-4 21:54
    桌面出现两个“计算机”图标 病毒救援 干掉病毒 2013-2-8 4 2245 ⑤⑤⑤ 2013-2-19 15:54
    帮我看看这个是不是误报,ASP大马会对计算机有威胁吗? attach_img 样本上报&网址上报 ㄣ.装Ъ 2013-2-24 3 1414 隐身对其可见′ 2013-2-25 14:08
    是否误报? 样本上报&网址上报 嗳牵伱de佐手 2013-3-4 7 1616 嗳牵伱de佐手 2013-3-4 17:13
    我的发现 attach_img Windows 讨论 Decos 2013-3-16 5 1981 岁月使者 2014-5-3 18:25
    如何在计算机中找到IE搜索栏里的内容? attach_img 电脑疑难问题求助 冒冒失失 2013-3-19 1 1835 ZHUGEGE 2013-3-19 16:52
    求教IP地址问题 attach_img 金山企业安全 李铭良 2013-3-20 2 1626 李铭良 2013-3-20 17:11
    流量监控功能已经更新,需要重新启动计算机后才可生效 产品建议及反馈 bestboy7 2013-3-20 1 517 cheer 2013-3-21 09:40
    非法骗子网站 attach_img 样本上报&网址上报 被记忆放逐 2013-5-29 2 1265 Mercury 2013-5-29 17:15
    如果没有键盘计算机是否无法启动?请各路英雄好汉帮帮! 电脑疑难问题求助 hytx_2012 2013-5-30 5 1597 山水阿锐 2013-6-21 19:06
    怀疑为U盘病毒 attachment 样本上报&网址上报 理想之翼 2013-6-1 3 1158 理想之翼 2013-6-6 12:52
    谁能告诉我该不该删kb2839229 产品建议及反馈 la1998610 2013-6-12 1 690 小涛591 2013-6-12 22:38
    每个盘符都有sysdata3.db和sysdata.db这是什么啊? attach_img 病毒救援 妖孽只在家里宅 2013-7-15 10 5473 妖孽只在家里宅 2013-8-5 20:01

    相关日志

    分享 谁动了我的计算机
    FHX 2013-9-14 10:39
    谁动了我的计算机 作者:小金 一. 可怕的“45分钟定律” 早些时候,网络上公布了一份专家报告称:在当前这个病毒、蠕虫和黑客出没的网络上,一台刚安装好Win2000/XP等主流操作系统的计算机从连接网络到被感染病毒或被入侵的最长时间为45分钟,而实际上,如果考虑到所处网段和黑客扫描的活跃状态,这个时间也许会更短。 许多网民都看过这份报告,依靠网络获得经济收入的美术设计师小江也不例外,他是属于SOHO一族的,为一些公司制作LOGO、效果图,所有的交互都在网络上进行,久而久之,小江开始变得非常依赖网络,他的所有工具都从网络上获得,除非真的无处可寻,否则他绝对不会去软件市场购买光盘,如果操作系统的安装可以通过网络进行,他恨不得抽屉里一张光盘都没有。他始终认为,既然网络这么便利,又何必把资金浪费在软件版本更新不及时的用光盘做载体的软件上呢? 这天小江比较烦,因为他的电脑昨天被表弟玩出问题了,小江虽然在电脑美术方面有过人之处,但是系统维护方面却一窍不通,在他的胡乱摆弄后,系统彻底罢工,这下只能重装系统了。 因为这次小江已经知道了“45分钟定律”,所以安装好驱动程序后,他立即连接上网络,来到Windows Update网站下载补丁,可是补丁还没打完,机器就出现异常了:突然间的一次蓝屏重启后,每次进系统都在1分钟倒计时后重启,很明显是被感染XX波蠕虫了。小江欲哭无泪,他还没来得及打补丁呢,怎么预防网络上的漏洞蠕虫?不上网就不会被感染,可是那样怎么打补丁?(图1.先补丁还是先连网?) 网络在给人们提供便利的时候,还带来了严重的危机。也许,面对这个高科技时代里“先补丁还是先连网”的问题,困惑的不仅仅是小江…… 我们都知道,就目前的网络环境而言,能避免被“黑”一下的方法只有用多个防御措施把自己武装起来,而刚安装好的系统之所以会被轻易入侵,是因为这样的系统什么防御措施都没有,完全是对外界开放的,无怪乎病毒和入侵者能轻易进来。45分钟,已经属于很长的时间了。 既然刚安装的系统如此不堪一击,那么岂不是所有新装的系统都不能轻易上网?其实这个问题比“先有蛋还是先有鸡”更好解决。首先要清楚,无论是什么样的病毒和黑客,他们能入侵的途径只有一个,就是系统与网络之间的窗口——网络端口。每个网络端口都是由特定的应用程序控制的,系统漏洞往往都是因为这些程序代码出了疏忽的地方,例如无法正确处理带有恶意指令的网络数据包,当系统接收处理这些数据后,就会出现例外错误,如果被影响的程序属于系统运行必备组件,那么计算机轻则死机,重则被黑客入侵,这就是远程入侵的实质,它们必须通过端口进行。 既然端口是个敏感地带,那么,如果我们在安装系统后设法阻止端口的外部访问,让外部数据包无法顺利连接计算机,这样不就可以免疫最初的网络攻击了吗?而网络防火墙就是一种能阻止端口访问的程序。(图2.设置防火墙规则) 所以,打破“45分钟定律”的方法就是: 1. 在不连接网络的情况下安装好系统和驱动程序; //文章出处:网络技术论坛(http://bbs.nettf.net)作者:小金 2. 安装网络防火墙,记得配置规则为“禁止任何人连接端口”或与之类似的规则; 3. 连接网络,去Windows Update打完所有补丁; 4. 安装防病毒软件; 5. 视用户个人能力,设置系统服务和管理规则等加强措施。 经过这5步最初设置,计算机防御病毒和入侵的能力将会大大提高。毕竟,这样已经是一个好的开头,只要以后再多加防范,病毒和黑客就没那么容易动你的计算机了。 二. “傀儡网络”离你有多远? 现在才开始上网的用户是幸福的,因为他们不必经历几年前那些用户必须经历的慢如蜗牛的拨号网络,我至今都还记得当初在2001年时听闻一个在上海的网友可以直接在线聆听MP3后,口水淌了一地的情景,这在当今网络环境的人听来简直不可思议,可是经历那个时代的人都清楚,当时的下载速度能达到9KB/s是件多么自豪的事情——可是放到现在来看待呢?不会抱怨网络慢的都不属于正常人。 正因为现在的个人网络速度越来越快了,于是一种新的攻击体系也开始浮出水面,这就是“傀儡网络”(Zombie Net,或称“僵尸网络”),这种入侵早期仅用于服务器,入侵者们也是千方百计要在受害者的计算机里“下马”,即种植一个木马服务端。看到这里你也许会说,这不就是现在最滥用的木马手段吗,何必旧事重提?如果你有此想法,那你一定没有理解“Zombie”的含义。在“傀儡网络”的领域里,入侵者并不是对你机器上的数据感兴趣,而是为了方便它们能够以你的身份去完成某些事情罢了。在这种情况下,植入你机器的后门不会做出破坏你机器的事情,因为正如寄生虫和宿主的关系一样,如果宿主死亡,寄生虫还靠什么活下去?“傀儡网络”正是依赖被害人计算机的寄生虫,因此它不会随便做出破坏行为让宿主发现异常,否则幕后黑手还凭什么来控制整个“傀儡网络”的运作? 细心的读者会从我的描述中看出一个很熟悉的攻击体系结构,那就是拒绝服务攻击DDoS的控制模型:攻击者控制网络上大量被种植了DDoS服务端的计算机对目标发起垃圾数据攻击。实际上,早期的“傀儡网络”就是为了实现这个任务而运作的,它需要大量高带宽高数据吞吐量的网络节点设备才能发动高流量的数据洪水(图3.早期的傀儡网络模型),在以前大家普遍使用Win98系统来拨号上网的时候,这点数据吞吐量和系统的稳定性并不能满足“傀儡网络”的需求,于是当时这种体系仅仅限于在服务器系统之间感染传播,因此没有造成大规模危害。 时过境迁,如今个人计算机的网络速度最少都能达到512kbps的流量,于是新的一轮“傀儡网络”攻击拉开了序幕,要知道入侵个人计算机往往要比入侵服务器容易得多!虽然个人计算机网络速度相对于服务器而言还是太慢了点,可是黑客如果入侵控制数十台1Mbps的个人计算机形成一个“傀儡网络”,其攻击强度不会低于他拼了老命才得手的一台10Mbps的网络服务器。衡量一下两边的利弊,你认为他会选择入侵谁?于是在这个高带宽的网络时代里,个人用户也会被“傀儡网络”的黑手触到了。(图4.现在的傀儡网络模型)而且由于个人用户的系统环境相对于服务器系统环境所带的防御检测工具更少,于是这个攻击体系的寿命将会相对的延长。如果要追寻利用个人计算机做“傀儡网络”的不足,可能仅仅因为个人计算机相对服务器而言的不稳定性质致使它不能24小时待命而已,但是别忘记网络服务器和个人计算机之间的比例差异。设想一下,如果当初搞瘫整个世界网络的并不是专门针对SQL服务器的SQL蠕虫,而是RPC DCOM或者LSASS蠕虫,恐怕没有一台根域名服务器能幸免了吧,这种由上亿台个人计算机组成的“傀儡网络”将会比服务器形成的“傀儡网络”攻击遭受的损失更大。 而且“傀儡网络”能实现的攻击还不仅仅限于DDoS,入侵者能通过更改傀儡服务器端来实现其他功能,例如“跳板攻击”、“多级代理”等,前者可以借刀杀人,后者可以隐藏真正的入侵者。 要检测计算机是否感染了“傀儡网络”是一件需要耐心的事,因为它们通常不会让你的系统看起来有什么不妥,除了在“傀儡网络”发动DDoS攻击时由于带宽和性能消耗而表现出的系统响应缓慢、网络速度突降以外再没任何不良反应,没有网络攻防经验的一般用户根本不会想到自己的计算机正在被别人用来做破坏工具(图5.傀儡网络服务端不易被察觉),而且因为无法预知“傀儡网络”什么时候发动攻击,更增加了检测难度。但是由于木马也需要和控制端进行数据交互,因此需要开放端口**连接,除非感染的是反弹类型的木马,否则通常可以用端口检测程序配合进程名称判断程序是否值得怀疑,但是有一些傀儡木马被设定为在指定时间自动对固定目标发动攻击,这样的木马由于不需要控制,根本连端口都不用开,例如当时攻击微软网站的SCO蠕虫,遇到这样的木马,平时是无害的,可是过了爆发那一天以后,如果“傀儡网络”的作者加入了逻辑炸弹,让木马连同宿主一起销毁,那就不是闹着玩的了,所以这类木马隐藏的危机要比随时能控制的木马更大,若清除不及时,可能会带来恶性后果。 通常,如果用户不是那么粗心的使用者,那么要发现“傀儡网络”也不算难事,因为一般的“傀儡网络”也属于木马类型,无论隐藏得多深,都要有数据通讯的,用端口查看工具就能发现本地**的端口,直接清理掉即可;如果是反弹型的“傀儡网络”,虽然表面上不开端口,可是别忘了它也要接收控制端指令的,而一般作者的习惯都是让木马在启动或者检测到网络可用后马上自动连接事先设定的IP读取指令,因此它更容易暴露自己,对于一般用户来说,最简单的检测方法是在开机后打开嗅探工具,然后再连接网络,记录此时的数据连接,如果重复几次连接都发现本机自动发出对某个固定地址的连接请求的数据,就要怀疑是否感染反弹木马了,再配合防火墙的“应用程序网络状态”功能,很快就能把“傀儡网络”揪出来。 三. 来自内核的欺骗——Rootkit木马 老宏是一家大公司的资深网管之一,常年负责维护整个公司的网络运作和安全设置,几年下来平安无事,可是最近公司网络频频出问题,职员电脑里的资料也遭遇**,公司管理阶层很注重这事情,怀疑网络已经被入侵,老宏和其他网管从天亮就开始在机房里忙着检查系统,由于公司内部网络复杂,十几台承担各种网络功能的服务器系统也不尽相同,客户机更是多不胜数,连续几天下来,检测工作一无进展,负责系统检测的老宏更是想不通,所有系统看起来都没有被入侵的痕迹,也查找不到可疑文件和进程,那究竟是什么东西在折腾?无奈之下,公司暂时切断了内部网络,老宏在一台被独立出来的基于Linux系统的网络服务器旁看着显示器发呆。屏幕上进程监视程序里都是熟悉的进程,也没有任何数据传输,因为连接内部的网线已经拔掉了,网络服务也已经停止了。老宏点了支烟,望着不远处的交换机出神,在烟雾缭绕中,他仿佛看到交换机面板上代表这台网络服务器的数据指示灯在闪烁,公司网络没出问题的时候,这里有多么繁忙的数据传输啊,它代表着公司业务的……老宏突然吓得差点把烟甩掉,因为他突然清醒过来了:交换机的数据指示灯真的一直在闪烁!他转头看看显示器上的流量统计,它们却一直没变化!显示器表达的信息与交换机表达的信息不能同步,老宏只觉得整个机房变得诡异起来…… //文章出处:网络技术论坛(http://bbs.nettf.net)作者:小金 这样的事情并不一定会发生在所有个人计算机用户的身上,因为它们并非主流的群体,然而一旦不幸发生,却会给你带来远比以前遭受的一切病毒袭击更恐惧的感受,你会惊恐的发现系统有点异常行为、敏感数据遭遇**、甚至有明显的木马感染的表现,但是杀毒软件报告你的系统完好,你用流行的进程查看工具也没有发现可疑程序,但是你的机器却一直表现异常…… 正如自然界的规则一样,最流行的病毒,对生物的伤害却是最小的,例如一般的感冒,但是最不流行的病毒,却是最夺命的。Rootkit木马就是信息世界里的AIDS,一旦感染,就难以用一般手段消灭了,因为它和自然界里的同类做的事情一样,破坏了系统自身检测的完整性——抛开术语的描述也许难以理解,但是可以配合AIDS的图片想象一下,由于AIDS破坏了人体免疫系统,导致白细胞对它无能为力,只能眼睁睁看着人体机能被慢慢破坏。计算机系统没有免疫功能,但是它提供了对自身环境的相关检测功能——枚举进程、文件列表、级别权限保护等,大部分杀毒软件和进程工具都依赖于系统自带的检测功能才得以运作,而Rootkit木马要破坏的,正是这些功能。 要了解Rootkit木马的原理,就必须从系统原理说起,我们知道,操作系统是由内核(Kernel)和外壳(Shell)两部分组成的,内核负责一切实际的工作,包括CPU任务调度、内存分配管理、设备管理、文件操作等,外壳是基于内核提供的交互功能而存在的界面,它负责指令传递和解释。由于内核和外壳负责的任务不同,它们的处理环境也不同,因此处理器提供了多个不同的处理环境,把它们称为运行级别(Ring),Ring让程序指令能访问的计算机资源依次逐级递减,目的在于保护计算机遭受意外损害——内核运行于Ring 0级别,拥有最完全最底层的管理功能,而到了外壳部分,它只能拥有Ring 3级别,这个级别能操作的功能极少,几乎所有指令都需要传递给内核来决定能否执行,一旦发现有可能对系统造成破坏的指令传递(例如超越指定范围的内存读写),内核便返回一个“非法越权”标志,发送这个指令的程序就有可能被终止运行,这就是大部分常见的“非法操作”的由来,这样做的目的是为了保护计算机免遭破坏,如果外壳和内核的运行级别一样,用户一个不经意的点击都有可能破坏整个系统。 由于Ring的存在,除了由系统内核加载的程序以外,由外壳调用执行的一般程序都只能运行在Ring 3级别,也就是说,它们的操作指令全部依赖于内核授权的功能,一般的进程查看工具和杀毒软件也不例外,由于这层机制的存在,我们能看到的进程其实是内核“看到”并通过相关接口指令(还记得API吗?)反馈到应用程序的,这样就不可避免的存在一条数据通道,虽然在一般情况下它是难以被篡改的,但是不能避免意外的发生,Rootkit正是“制造”这种意外的程序。简单的说,Rootkit实质是一种“越权执行”的应用程序,它设法让自己达到和内核一样的运行级别,甚至进入内核空间,这样它就拥有了和内核一样的访问权限,因而可以对内核指令进行修改,最常见的是修改内核枚举进程的API,让它们返回的数据始终“遗漏”Rootkit自身进程的信息,一般的进程工具自然就“看”不到Rootkit了。更高级的Rootkit还篡改更多API,这样,用户就看不到进程(进程API被拦截),看不到文件(文件读写API被拦截),看不到被打开的端口(网络组件Sock API被拦截),更拦截不到相关的网络数据包(网络组件NDIS API被拦截)了,幸好网络设备的数据指示不受内核控制,否则恐怕Rootkit要让它也不会亮了才好!我们使用的系统是在内核功能支持下运作的,如果内核变得不可信任了,依赖它运行的程序还能信任吗?(图6.普通应用级别的木马后门和Rootkit木马的对比) 但即使是Rootkit这一类恐怖的寄生虫,它们也并非所向无敌的,要知道,既然Rootkit是利用内核和Ring 0配合的欺骗,那么我们同样也能使用可以“越权”的检查程序,绕过API提供的数据,直接从内核领域里读取进程列表,因为所有进程在这里都不可能把自己隐藏,除非它已经不想运行了。也就是说,内核始终拥有最真实的进程列表和主宰权,只要能读取这个原始的进程列表,再和进程API枚举的进程列表对比,便能发现Rootkit进程,由于这类工具也“越权”了,因而对Rootkit进行查杀也就不再是难事,而Rootkit进程一旦被清除,它隐藏自身的措施也就不复存在,内核就能把它“供”出来了,用户会突然发现那个一直“找不到”的Rootkit程序文件已经老实的呆在文件管理器的视图里了。这类工具现在已经很多,例如IceSword、Patchfinder、gdb等。(图7.IceSword界面) 四. 谁动了我的计算机 在这个不安全的网络时代,入侵防范变得越来越复杂,然而很多人还依赖着多年前的Process Viewer和传统防病毒软件的保护里,因此,在高级木马到来时,所有的防护措施都成了“马奇诺防线”;由于一般的“受害思维”影响,人们总是认为任何木马都是为了害自己的,却忽略了“傀儡网络”的存在;而大部分群体,则让自己计算机裸露于网络上,使得“45分钟定律”屡屡成为现实……要知道,在现在的网络环境里,差不多每分钟都会有一次网络流行漏洞扫描经过你的计算机,每天可能就有一次针对性的全面扫描,如果我们自己不做足够的防范,那么,也许在某天,你只能无助的看着自己的爱机,说一句:“Who moved my computer?”
    个人分类: 网络安全|0 个评论
    分享   详解windows下的权限设置【部分原创】
    为爱存在 2013-7-15 16:02
    本帖最后由 为爱存在 于 2013-7-2 16:51 编辑 要打造一台安全的WEB服务器,那么这台服务器就一定要使用NTFS和Windows NT/2000/2003。众所周知,Windows是一个支持多用户、多任务的操作系统,这是权限设置的基础,一切权限设置都是基于用户和进程而言的,不同的用户在访问这台计算机时,将会有不同的权限。DOS是个单任务、单用户的操作系统。但是我们能说DOS没有权限吗?不能!当我们打开一台装有DOS操作系统的计算机的时候,我们就拥有了这个操作系统的管理员权限,而且,这个权限无处不在。所以,我们只能说DOS不支持权限的设置,不能说它没有权限。随着人们安全意识的提高,权限设置随着NTFS的发布诞生了。   Windows NT里,用户被分成许多组,组和组之间都有不同的权限,当然,一个组的用户和用户之间也可以有不同的权限。下面我们来谈谈NT中常见的用户组。   Administrators:管理员组,默认情况下,Administrators中的用户对计算机/域有不受限制的完全访问权。分配给该组的默认权限允许对整个系统进行完全控制。所以,只有受信任的人员才可成为该组的成员。   Power Users:高级用户组,Power Users 可以执行除了为 Administrators 组保留的任务外的其他任何操作系统任务。分配给 Power Users 组的默认权限允许 Power Users 组的成员修改整个计算机的设置。但Power Users 不具有将自己添加到 Administrators 组的权限。在权限设置中,这个组的权限是仅次于Administrators的。   Users:普通用户组,这个组的用户无法进行有意或无意的改动。因此,用户可以运行经过验证的应用程序,但不可以运行大多数旧版应用程序。Users 组是最安全的组,因为分配给该组的默认权限不允许成员修改操作系统的设置或用户资料。Users 组提供了一个最安全的程序运行环境。在经过 NTFS 格式化的卷上,默认安全设置旨在禁止该组的成员危及操作系统和已安装程序的完整性。用户不能修改系统注册表设置、操作系统文件或程序文件。Users 可以关闭工作站,但不能关闭服务器。Users 可以创建本地组,但只能修改自己创建的本地组。 Guests:来宾组,按默认值,来宾跟普通Users的成员有同等访问权,但来宾帐户的限制更多。 Everyone:顾名思义,所有的用户,这个计算机上的所有用户都属于这个组。   其实还有一个组也很常见,它拥有和Administrators一样、甚至比其还高的权限,但是这个组不允许任何用户的加入,在察看用户组的时候,它也不会被显示出来,它就是SYSTEM组。系统和系统级的服务正常运行所需要的权限都是靠它赋予的。由于该组只有这一个用户SYSTEM,也许把该组归为用户的行列更为贴切。   权限是有高低之分的,有高权限的用户可以对低权限的用户进行操作,但除了Administrators之外,其他组的用户不能访问 NTFS 卷上的其他用户资料,除非他们获得了这些用户的授权。而低权限的用户无法对高权限的用户进行任何操作。    我们平常使用计算机的过程当中不会感觉到有权限在阻挠你去做某件事情,这是因为我们在使用计算机的时候都用的是Administrators中的用户登陆的。这样有利也有弊,利当然是你能去做你想做的任何一件事情而不会遇到权限的限制。弊就是以 Administrators 组成员的身份运行计算机将使系统容易受到特洛伊木马、病毒及其他安全风险的威胁。访问 Internet 站点或打开电子邮件附件的简单行动都可能破坏系统。不熟悉的 Internet 站点或电子邮件附件可能有特洛伊木马代码,这些代码可以下载到系统并被执行。如果以本地计算机的管理员身份登录,特洛伊木马可能使用管理访问权重新格式化您的硬盘,造成不可估量的损失,所以在没有必要的情况下,最好不用Administrators中的用户登陆。Administrators中有一个在系统安装时就创建的默认用户——Administrator,Administrator 帐户具有对服务器的完全控制权限,并可以根据需要向用户指派用户权利和访问控制权限。因此强烈建议将此帐户设置为使用强密码。永远也不可以从 Administrators 组删除 Administrator 帐户,但可以重命名或禁用该帐户。由于大家都知道“管理员”存在于许多版本的 Windows 上,所以重命名或禁用此帐户将使恶意用户尝试并访问该帐户变得更为困难。对于一个好的服务器管理员来说,他们通常都会重命名或禁用此帐户。Guests用户组下,也有一个默认用户——Guest,但是在默认情况下,它是被禁用的。如果没有特别必要,无须启用此账户。我们可以通过“控制面板”——“管理工具”——“计算机管理”——“用户和用户组”来查看用户组及该组下的用户。   我们用鼠标右键单击一个NTFS卷或NTFS卷下的一个目录,选择“属性”——“安全”就可以对一个卷,或者一个卷下面的目录进行权限设置,此时我们会看到以下七种权限:完全控制、修改、读取和运行、列出文件夹目录、读取、写入、和特别的权限。“完全控制”就是对此卷或目录拥有不受限制的完全访问。地位就像Administrators在所有组中的地位一样。选中了“完全控制”,下面的五项属性将被自动被选中。“修改”则像Power users,选中了“修改”,下面的四项属性将被自动被选中。下面的任何一项没有被选中时,“修改”条件将不再成立。“读取和运行”就是允许读取和运行在这个卷或目录下的任何文件,“列出文件夹目录”和“读取”是“读取和运行”的必要条件。“列出文件夹目录”是指只能浏览该卷或目录下的子目录,不能读取,也不能运行。“读取”是能够读取该卷或目录下的数据。“写入”就是能往该卷或目录下写入数据。而“特别”则是对以上的六种权限进行了细分。读者可以自行对“特别”进行更深的研究,鄙人在此就不过多赘述了。   下面我们对一台刚刚安装好操作系统和服务软件的WEB服务器系统和其权限进行全面的刨析。服务器采用Windows 2000 Server版,安装好了SP4及各种补丁。WEB服务软件则是用了Windows 2000自带的IIS 5.0,删除了一切不必要的映射。整个硬盘分为四个NTFS卷,C盘为系统卷,只安装了系统和驱动程序;D盘为软件卷,该服务器上所有安装的软件都在D盘中;E盘是WEB程序卷,网站程序都在该卷下的WWW目录中;F盘是网站数据卷,网站系统调用的所有数据都存放在该卷的WWWDATABASE目录下。这样的分类还算是比较符合一台安全服务器的标准了。希望各个新手管理员能合理给你的服务器数据进行分类,这样不光是查找起来方便,更重要的是这样大大的增强了服务器的安全性,因为我们可以根据需要给每个卷或者每个目录都设置不同的权限,一旦发生了网络安全事故,也可以把损失降到最低。当然,也可以把网站的数据分布在不同的服务器上,使之成为一个服务器群,每个服务器都拥有不同的用户名和密码并提供不同的服务,这样做的安全性更高。不过愿意这样做的人都有一个特点——有钱。好了,言归正传,该服务器的数据库为MS-SQL,MS-SQL的服务软件SQL2000安装在d:\ms-sqlserver2K目录下,给SA账户设置好了足够强度的密码,安装好了SP3补丁。为了方便网页制作员对网页进行管理,该网站还开通了FTP服务,FTP服务软件使用的是SERV-U 5.1.0.0,安装在d:\ftpservice\serv-u目录下。杀毒软件和防火墙用的分别是Norton Antivirus和BlackICE,路径分别为d:\nortonAV和d:\firewall\blackice,病毒库已经升级到最新,防火墙规则库定义只有80端口和21端口对外开放。网站的内容是采用动网7.0的论坛,网站程序在e:\www\bbs下。细心的读者可能已经注意到了,安装这些服务软件的路径我都没有采用默认的路径或者是仅仅更改盘符的默认路径,这也是安全上的需要,因为一个黑客如果通过某些途径进入了你的服务器,但并没有获得管理员权限,他首先做的事情将是查看你开放了哪些服务以及安装了哪些软件,因为他需要通过这些来提升他的权限。一个难以猜解的路径加上好的权限设置将把他阻挡在外。相信经过这样配置的WEB服务器已经足够抵挡大部分学艺不精的黑客了。读者可能又会问了:“这根本没用到权限设置嘛!我把其他都安全工作都做好了,权限设置还有必要吗?”当然有!智者千虑还必有一失呢,就算你现在已经把系统安全做的完美无缺,你也要知道新的安全漏洞总是在被不断的发现。权限将是你的最后一道防线!那我们现在就来对这台没有经过任何权限设置,全部采用Windows默认权限的服务器进行一次模拟攻击,看看其是否真的固若金汤。   假设服务器外网域名为 http://www.webserver.com ,用扫描软件对其进行扫描后发现开放WWW和FTP服务,并发现其服务软件使用的是IIS 5.0和Serv-u 5.1,用一些针对他们的溢出工具后发现无效,遂放弃直接远程溢出的想法。打开网站页面,发现使用的是动网的论坛系统,于是在其域名后面加个/upfile.asp,发现有文件上传漏洞,便抓包,把修改过的ASP木马用NC提交,提示上传成功,成功得到WEBSHELL,打开刚刚上传的ASP木马,发现有MS-SQL、Norton Antivirus和BlackICE在运行,判断是防火墙上做了限制,把SQL服务端口屏蔽了。通过ASP木马查看到了Norton Antivirus和BlackICE的PID,又通过ASP木马上传了一个能杀掉进程的文件,运行后杀掉了Norton Antivirus和BlackICE。再扫描,发现1433端口开放了,到此,便有很多种途径获得管理员权限了,可以查看网站目录下的conn.asp得到SQL的用户名密码,再登陆进SQL执行添加用户,提管理员权限。也可以抓SERV-U下的ServUDaemon.ini修改后上传,得到系统管理员权限。还可以传本地溢出SERV-U的工具直接添加用户到Administrators等等。大家可以看到,一旦黑客找到了切入点,在没有权限限制的情况下,黑客将一帆风顺的取得管理员权限   那我们现在就来看看Windows 2000的默认权限设置到底是怎样的。对于各个卷的根目录,默认给了Everyone组完全控制权。这意味着任何进入电脑的用户将不受限制的在这些根目录中为所欲为。系统卷下有三个目录比较特殊,系统默认给了他们有限制的权限,这三个目录是Documents and settings、Program files和Winnt。对于Documents and settings,默认的权限是这样分配的:Administrators拥有完全控制权;Everyone拥有读运,列和读权限;Power users拥有读运,列和读权限;SYSTEM同Administrators;Users拥有读运,列和读权限。对于Program files,Administrators拥有完全控制权;Creator owner拥有特殊权限;Power users有完全控制权;SYSTEM同Administrators;Terminal server users拥有完全控制权,Users有读运,列和读权限。对于Winnt,Administrators拥有完全控制权;Creator owner拥有特殊权限;Power users有完全控制权;SYSTEM同Administrators;Users有读运,列和读权限。而非系统卷下的所有目录都将继承其父目录的权限,也就是Everyone组完全控制权! 现在大家知道为什么我们刚刚在测试的时候能一帆风顺的取得管理员权限了吧?权限设置的太低了!一个人在访问网站的时候,将被自动赋予IUSR用户,它是隶属于Guest组的。本来权限不高,但是系统默认给的Everyone组完全控制权却让它“身价倍增”,到最后能得到Administrators了。那么,怎样设置权限给这台WEB服务器才算是安全的呢?大家要牢记一句话:“最少的服务+最小的权限=最大的安全”对于服务,不必要的话一定不要装,要知道服务的运行是SYSTEM级的哦,对于权限,本着够用就好的原则分配就是了。对于WEB服务器,就拿刚刚那台服务器来说,我是这样设置权限的,大家可以参考一下:各个卷的根目录、Documents and settings以及Program files,只给Administrator完全控制权,或者干脆直接把Program files给删除掉;给系统卷的根目录多加一个Everyone的读、写权;给e:\www目录,也就是网站目录读、写权。最后,还要把cmd.exe这个文件给挖出来,只给Administrator完全控制权。经过这样的设置后,再想通过我刚刚的方法入侵这台服务器就是不可能完成的任务了。可能这时候又有读者会问:“为什么要给系统卷的根目录一个Everyone的读、写权?网站中的ASP文件运行不需要运行权限吗?”问的好,有深度。是这样的,系统卷如果不给Everyone的读、写权的话,启动计算机的时候,计算机会报错,而且会提示虚拟内存不足。当然这也有个前提——虚拟内存是分配在系统盘的,如果把虚拟内存分配在其他卷上,那你就要给那个卷Everyone的读、写权。ASP文件的运行方式是在服务器上执行,只把执行的结果传回最终用户的浏览器,这没错,但ASP文件不是系统意义上的可执行文件,它是由WEB服务的提供者——IIS来解释执行的,所以它的执行并不需要运行的权限。   经过上面的讲解以后,你一定对权限有了一个初步了了解了吧?想更深入的了解权限,那么权限的一些特性你就不能不知道了,权限是具有继承性、累加性 、优先性、交叉性的。   继承性是说下级的目录在没有经过重新设置之前,是拥有上一级目录权限设置的。这里还有一种情况要说明一下,在分区内复制目录或文件的时候,复制过去的目录和文件将拥有它现在所处位置的上一级目录权限设置。但在分区内移动目录或文件的时候,移动过去的目录和文件将拥有它原先的权限设置。   累加是说如一个组GROUP1中有两个用户USER1、USER2,他们同时对某文件或目录的访问权限分别为“读取”和“写入”,那么组GROUP1对该文件或目录的访问权限就为USER1和USER2的访问权限之和,实际上是取其最大的那个,即“读取”+“写入”=“写入”。 又如一个用户USER1同属于组GROUP1和GROUP2,而GROUP1对某一文件或目录的访问权限为“只读”型的,而GROUP2对这一文件或文件夹的访问权限为“完全控制”型的,则用户USER1对该文件或文件夹的访问权限为两个组权限累加所得,即:“只读”+“完全控制”=“完全控制”。   优先性,权限的这一特性又包含两种子特性,其一是文件的访问权限优先目录的权限,也就是说文件权限可以越过目录的权限,不顾上一级文件夹的设置。另一特性就是“拒绝”权限优先其它权限,也就是说“拒绝”权限可以越过其它所有其它权限,一旦选择了“拒绝”权限,则其它权限也就不能取任何作用,相当于没有设置。   交叉性是指当同一文件夹在为某一用户设置了共享权限的同时又为用户设置了该文件夹的访问权限,且所设权限不一致时,它的取舍原则是取两个权限的交集,也即最严格、最小的那种权限。如目录A为用户USER1设置的共享权限为“只读”,同时目录A为用户USER1设置的访问权限为“完全控制”,那用户USER1的最终访问权限为“只读”。   权限设置的问题我就说到这了,在最后我还想给各位读者提醒一下,权限的设置必须在NTFS分区中才能实现的,FAT32是不支持权限设置的。同时还想给各位管理员们一些建议: 1.养成良好的习惯,给服务器硬盘分区的时候分类明确些,在不使用服务器的时候将服务器锁定,经常更新各种补丁和升级杀毒软件。 2.设置足够强度的密码,这是老生常谈了,但总有管理员设置弱密码甚至空密码。 3.把分区格式改为NTFS格式。最少的服务+最小的权限=最大的安全。 4.在英文水平不是问题的情况下,尽量安装英文版操作系统。 5.切忌在服务器上乱装软件或不必要的服务。 6.牢记:没有永远安全的系统,经常更新你的知识。 新发现: authenticated users:包括在计算机上或活动目录中的所有通过身份验证的账户。 其身份已得到计算机验证的所有用户。身份验证的用户不包括来宾,即使来宾帐户有密码。 所有经过Windows XP验证程序登录的用户均属于此组。      Authenticated Users(经过身份验证的用户)用户组具有向 Active Directory 域中添加10个计算机账户的能力。这些新计算机账户在计算机容器中创建。   用该组代替everyone组可以防止匿名访问。           我把everyone组去掉了。用authenticated users该组代替everyone组可以防止匿名访问。    一 清除黑账户 :“开始”-“运行”-“cmd”,然后在命令行下输入net user,查看计算机上有些什么用户,然后再使用“net user 用户名”查看这个用户是属于什么权限的,,除了自己设置的管理员【administrator】账户,其他都不应该属于administrators组,如果你发现一个系统内置的用户是属于administrators组的,那几乎可以肯定你被入侵了。快使用“net user用户名/del”来删掉这个黑账户吧! 二、在使用电脑的过程中,人们有时会建立多个系统管理员账户,但这些新建的系统管理员账户真的是“请神容易送神难”,主要原因是在“控制面板”的“用户账户”窗口里边根本找不到删除账户的菜单(图1)。 难道这些多余的系统管理员账户真的就无法删除了吗?非也,笔者经过一番研究,终于找到了送走这些“瘟神”的方法。好的经验当然不能独享,下边笔者就给大家介绍一下如何实现。    图1  第一步:以安装XP操作系统时,系统自动创建的管理员账户“Administrator”登录系统,然后单击“开始→运行”,在“运行”对话框中输入“gpedit.msc”,回车之后打开“组策略”工具。  第二步:在“组策略”窗口中,依次展开左边的目录树“计算机配置→Windows设置→安全设置→本地策略→安全选项”,然后在右边的窗口中双击“账户:重命名系统管理员账户”,打开“账户:重命名系统管理员账户属性”窗口,在这个窗口的文本框中输入其他字符以更改系统管理员账户的名称(图2),最后单击“确定”。   三、 我的系统中有两个帐户,怎样删除系统中Administrator以外的帐户? 回答:如果以管理员的身份登陆还是没法删除guest等帐户的原因就是权限不够!! 如何拿权限呢? 开始-运行-regedit-HKEY_LOCAL_MACHINE下有个子项SAM. 右键-权限-设置当前的管理员完全控制权限 然后F5刷新. 接着往下展开SAM-SAM-Domains-account-user 保留子项000001F4,其余子项删除。 在names子项下,保留子项Administrator,其余全部删除. 问:XP系统,安全模式下,登录计算机管理员账户,却无法输入密码.登录不了. 答;运行:MMC进入控制台,添加【本地用户和组】,保存后退出。   然后,把安全模式下的计算机管理员的密码重新设置。设置为空密码。也就是取消密码。    设置新的计算机管理员账户和密码。账户建议设置成中文昵称。密码应该设置为:英文字母+数字+特殊符号。 然后在组策略——本地安全策略——全局对象访问审核里面,设置审核的账户:系统system和计算机管理员【两个组,三用户】。 见图: 2012-7-16 18:09 上传 下载附件 (89.33 KB) 本地安全策略 这样电脑中的文件才是私有的!
    个人分类: 安全须知|0 个评论
    分享 ARP攻击是什么意思?
    为爱存在 2013-6-27 18:01
    英文原义:Address Resolution Protocol 中文释义:(RFC-826)地址解析协议 局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址以保证通信的顺利进行。 注解:简单地说,ARP协议主要负责将局域网中的32为IP地址转换为对应的48位物理地址,即网卡的MAC地址,比如IP地址为192.168.0.1网卡MAC地址为00-03-0F-FD-1D-2B。整个转换过程是一台主机先向目标主机发送包含IP地址信息的广播数据包,即ARP请求,然后目标主机向该主机发送一个含有IP地址和MAC地址数据包,通过MAC地址两个主机就可以实现数据传输了。 应用:在安装了以太网网络适配器的计算机中都有专门的ARP缓存,包含一个或多个表,用于保存IP地址以及经过解析的MAC地址。在Windows中要查看或者修改ARP缓存中的信息,可以使用arp命令来完成,比如在Windows XP的命令提示符窗口中键入“arp -a”或“arp -g”可以查看ARP缓存中的内容;键入“arp -d IPaddress”表示删除指定的IP地址项(IPaddress表示IP地址)。arp命令的其他用法可以键入我们首先要知道以太网内主机通信是靠MAC地址来确定目标的.arp协议又称"地址解析协议",它负责通知电脑要连接的目标的地址,这里说的地址在以太网中就是MAC地址,简单说来就是通过IP地址来查询目标主机的MAC地址.一旦这个环节出错,我们就不能正常和目标主机进行通信,甚至使整个网络瘫痪. ARP的攻击主要有以下几种方式 一.简单的欺骗攻击 这是比较常见的攻击,通过发送伪造的ARP包来欺骗路由和目标主机,让目标主机认为这是一个合法的主机.便完成了欺骗.这种欺骗多发生在同一网段内,因为路由不会把本网段的包向外转发,当然实现不同网段的攻击也有方法,便要通过ICMP协议来告诉路由器重新选择路由. 二.交换环境的嗅探 在最初的小型局域网中我们使用HUB来进行互连,这是一种广播的方式,每个包都会经过网内的每台主机,通过使用软件,就可以嗅谈到整个局域网的数据.现在的网络多是交换环境,网络内数据的传输被锁定的特定目标.既已确定的目标通信主机.在ARP欺骗的基础之上,可以把自己的主机伪造成一个中间转发站来**两台主机之间的通信. 三.MAC Flooding 这是一个比较危险的攻击,可以溢出交换机的ARP表,使整个网络不能正常通信 四.基于ARP的DOS 这是新出现的一种攻击方式,D.O.S又称拒绝服务攻击,当大量的连接请求被发送到一台主机时,由于主机的处理能力有限,不能为正常用户提供服务,便出现拒绝服务.这个过程中如果使用ARP来隐藏自己,在被攻击主机的日志上就不会出现真实的IP.攻击的同时,也不会影响到本机. 防护方法: 1.IP+MAC访问控制. 单纯依靠IP或MAC来建立信任关系是不安全,理想的安全关系建立在IP+MAC的基础上.这也是我们校园网上网必须绑定IP和MAC的原因之一. 2.静态ARP缓存表. 每台主机都有一个临时存放IP-MAC的对应表ARP攻击就通过更改这个缓存来达到欺骗的目的,使用静态的ARP来绑定正确的MAC是一个有效的方法.在命令行下使用arp -a可以查看当前的ARP缓存表.以下是本机的ARP表 C:\Documents and Settings\cnqingarp -a Interface: 210.31.197.81 on Interface 0x1000003 Internet Address Physical Address Type 210.31.197.94 00-03-6b-7f-ed-02 dynamic 其中"dynamic" 代表动态缓存,即收到一个相关ARP包就会修改这项.如果是个非法的含有不正确的网关的ARP包,这个表就会自动更改.这样我们就不能找到正确的网关MAC,就不能正常和其他主机通信.静态表的建立用ARP -S IP MAC. 执行"arp -s 210.31.197.94 00-03-6b-7f-ed-02"后,我们再次查看ARP缓存表. C:\Documents and Settings\cnqingarp -a Interface: 210.31.197.81 on Interface 0x1000003 Internet Address Physical Address Type 210.31.197.94 00-03-6b-7f-ed-02 static 此时"TYPE"项变成了"static",静态类型.这个状态下,是不会在接受到ARP包时改变本地缓存的.从而有效的防止ARP攻击.静态的ARP条目在每次重启后都要消失需要重新设置. 3.ARP 高速缓存超时设置 在ARP高速缓存中的表项一般都要设置超时值,缩短这个这个超时值可以有效的防止ARP表的溢出. 4.主动查询 在某个正常的时刻,做一个IP和MAC对应的数据库,以后定期检查当前的IP和MAC对应关系是否正常.定期检测交换机的流量列表,查看丢包率. 总结:ARP本省不能造成多大的危害,一旦被结合利用,其危险性就不可估量了.由于ARP本身的问题.使得防范ARP的攻击很棘手,经常查看当前的网络状态,监控流量对一个网管员来说是个很好的习惯. “arp /?”查看到。
    个人分类: 安全须知|0 个评论
    分享 国家计算机病毒中心:春节长假需防范网络攻击事件
    SecDr网络安全 2013-2-11 14:10
    新华网天津频道2月10日电(记者张建新)春节长假有可能是一些 网络安全 事件频发的时期。国家计算机病毒应急处理中心建议计算机用户要特别对近期比较流行的病毒加强防范措施,防范这期间出现的一些病毒和网络攻击事件。 专家说,春节长假期间是网上购物的高峰期,各种各样的网络钓鱼网站此时开始蠢蠢欲动,通过各种论坛、贴吧以及即时聊天工具发送虚假打折、赠送信息,诱惑电脑用户点击,用户一旦点击该链接就可能感染病毒,使得网上银行帐号、密码随时可能面临被盗的危险。 国家计算机病毒应急处理中心建议各重点企、事业单位和个人用户采取以下措施来抵御病毒的侵入。 1、各单位要建立网络安全及病毒事件出现后的应急机制和处置方案,有专人负责事件处理工作,确保本单位在网络安全及病毒事件发生时能作好及时有效的进行处理,防止病毒感染,遏制病毒扩散,最大程度降低病毒发作带来的损失。 2、关闭不必要的服务和端口。对不是必须开放并且可能对系统安全形成威胁的端口关闭或使用相应的工具进行实时监测及时发现可疑入侵。 3、遇到可疑的邮件应立即删除,提高对病毒邮件的敏感性。 4、利用MSN、OICQ等软件进行聊天的过程中,对发来的文件(网页地址链接、图片等)谨慎处理,不要随意接受陌生人发来的文件。(完)
    780 次阅读|0 个评论
    精品国产免费第一区二区三区