有业界技术人士分析,此次资料泄露很可能是支付宝的“向陌生卖家付款”功能所致,当用户通过支付宝在向陌生卖家付款时,填入对方的账户邮箱,以及付款信息之后,就可以查看到对方的资料。而“红客”很可能是利用了这个漏洞。

  据了解,第三方支付平台支付宝日前宣布,截至2008年8月底,支付宝的注册用户已突破1亿大关,日交易量达到4.5亿人民币,日交易笔数达到200万笔。这样支付宝成为国内最大的第三方支付平台,专家担心用户数量庞大的支付宝一旦用户资料被泄露,后果不堪设想。

  今年2月份,阿里巴巴旗下的雅虎中国邮箱也发生泄露用户资料的事件。用户使用搜狗搜索引擎时,无意中发现其雅虎邮箱的个人注册信息可在搜狗的搜索结果中找到。搜狗抓取雅虎邮箱的个人信息包括YahooID、雅虎邮箱、出生日期、密保问题和答案。根据搜索结果的信息,只需知道被泄露者所填邮编,就可以轻易******************该用户的邮箱。

  互联网各项应用在中国越发普及,用户隐私目前成为大家关注的焦点。在今年南京举办的互联网大会上,多个官员谈到互联网应用要兼顾用户隐私保护问题。

九月 28th, 2008

Posted In: 未分类

世界比你的家大,世界比你的学校大,世界比你居住的城市大。有很多大城市,大地方,名山古刹在你家之际外,你应该到家之际外的世界看一看,看看世界上还有些什么人,他们在做些什么事,他们和你有那些不同?古人也教暖风机我们,读万卷书,行万里路,他们在强调阅历的重要,没有丰富切实的人生感受,读再多的书也没有用,也不可能真正参透其中的道理,看破事物的玄录。中国古代大史学家司马迁,年轻时就游历甚广,这为他后来的《史记》创作既提供了很多第一手的资料,又为他真切地感知人生具备了深厚的基础。大诗人李白,更是终生漂流,满世界闯荡,上至商王将相,下至黎民黔首,所以他的诗才能像想宏大,洞穿幽微,感人至深。这都在介导你走出家门,到更大的世界去闯荡。
你走出家门之后,你一下子就会发现,世界确实很大很精彩,很好,很富有,可是他们都是别人的,在家中,你是妈妈的宝贝,掌上的明珠,在这个世界里,你是什么,谁也不会把你当回事,当你对世界初次接触的那种新奇感水消失后,你会发现很多让你很沮丧的事情,你完全处在一个十份沮丧的位置上,离开了你熟悉的环境,你一下子变的孤单,陌生,无助,找一个吃饭,睡觉的地方也很不容易,又费钱,又不舒服,完全不符何你的习惯,甚至连买一张车票这种很琐碎的事情,你也无能为力,需要大费周折。至于那些偶发事件,更是让你恼火,车匪路霸,小偷无赖,你对他们既愤怒又无奈,身处在这个世界中,你实实在在感到你是一个外地人,口音不同,长相不同,你没有朋友,没有亲人,连一个熟人也没有。古人说:“在家千日好,出门一时难。”此时你最有体会,父母对你平日的操心,现在你才意识到,但是这个世界也并百全坏,虽然它弃满了隐险,但也弃满了机遇,男人们似乎都很有身份,女人们似乎都很漂亮,而对这个世界,你大长了见识,如果说一两周岁时,你是在妈妈的怀中断的奶,那么,此时,你才在世界的“教育中”完成了“青春断奶”。
到大世界转了一圈又回到家中,你发现你真正长大了,眼界开阔了,心胸更大了,对他人或事物的理解有些接近人情了。只是你的心思多了,戾上的担子开始重了。回想起在外面的见闻,那些磨难,那些沮丧,那些繁琐的事情,以及那些不以你的意志为转移的事物,他们让你明白了世事的繁复和人生的艰辛。自己独立面对世界,你才有了独立做人的体会,那些“风雨”和“世面”磨砺了你的人生经验,你生命中最宝贵的独产品性出现了。
知道了大世界的存在,有了大世界的感觉,在大世界在生存,这才是你人生的真正开始,你没有能力时,你只是世界的一个旁观者,你得到的只是冷遇,挫折和被牺牲,当你有了足够铁能力后,你将是世界的支配者,世界将献给你鲜花,微笑和更大的自由。这时,对你已不仅仅只是一个看世界的问题,而是如何分享世界的博大,丰富,资源,文明和机会,你现在走出家门,俟俟只是开始,而不是结束。

九月 27th, 2008

Posted In: 未分类

中国像棋是一个充满人生智慧的游戏,于人掌握自己命运有着深的启示。
一个棋盘就是一个小小的规范社会,在棋盘上,每个棋子都遵循自己的行为规范:车行线,马走日,像飞田,炮打隔山子,小卒子一去不复返……..
正是因为大家都按规矩办事,才使这个浓缩战场有条有理,妙趣横生,使下棋的人百下不调度员,其乐无穷。
棋子有一定的规距,这是获得棋趣的前提,假如马也可走日,也可走田,像,炮,卒也可走日,也可横打,棋局就乱了套,因止,规则是像棋的根本。
但同时,在遵循规则的前提下,下棋的人又可以运用自己的智能,灵活地调兵遣将,一招一式都显示着自己的谋略和思考,因而在小小象棋盘中,在规则的基础上,任人想像,任人发挥,变化莫测。
为了大局的胜利,有时必须做出选择:保留那个棋子,放弁那个棋子,要保住所有的棋子是不可能的,每个棋子都可能放弁和牺牲,危急关头甚至要“弃车保帅:。一场棋局的胜抻,既有”保留棋子:的功劳。也有”牺牲棋子的“功劳,两者都是决定胜局的因素,不可偏废。
从这一意义上讲,规则的不变于招数的多变,棋子的保留于放弃,其中的人生哈义,是不是可以这样理解:不变的规则是我们做人的原则,是方向盘而招数的千变万化,则是我们处世的技茂,是圆,
规则于招数的融合,方于圆的对立统一,演化出一生命运大棋局的得于失,成于败,生于死。
要想在激烈的况争中出人头地,必须练得人于人之间虚虚实实的进退应对技巧。自己该如何出牌,对方会如何应对,这可是比下围棋,像棋更具趣味的事情。

九月 27th, 2008

Posted In: 未分类

一直欣赏这样一种爱情:没有太多的轰轰烈烈惊天动地,有的是像流水一样绵延不断的感觉;没有太多的海誓山盟花前月下,有的是相对无言眼波如流的默契……这该是一种“执子之手,与子偕老”的感觉吧,在陌生的人群中,在迷失和彷徨间,你却始终安详而从容,因为你知道,冥冥之中,自有一双属于你的双手,它们紧紧地握住你,陪你走过所有的阴天和所有的艳阳天,直到一生一世。

在我们平凡的生命里,本来就没有那么多琼瑶式的一见钟情,没有那么多甜蜜得催人泪下、痛苦得山崩地裂的爱情故事。在百丈红尘中,我们扮演的是自己,一些平平凡凡地生生死死的普通人。于是我们珍惜爱情,珍惜迎面而来的、并不惊心动魄的感情。

在这种爱情故事里,男主人公和女主人公不一定要一见钟情,最初他们可能会像陌生人一样擦身而过,像最平常的朋友一样,见面只打一声招呼,笑一笑,然后远去。之后有一天,在暮色里,你忽然发现她的背影竟是如此的让你心动;一种让你心疼的怜惜就这样不经意地撞中了你,你这才发觉,不知不觉地,习惯了擦身而过的她已经走入了你的生命,于是你们就开始了一段美丽的爱情。

爱情都是美丽的,虽然你们的爱情或者并不动人;恋爱中的人们都是美丽的,虽然你们或者都很平凡。舒婷描绘过这样一道风景:大街上,一个安详的老妇人和一个从容的老人微笑着,从不同的方向面对面地走近,走近;然后是微笑着,鼻尖顶着鼻尖地站着,双手紧紧地系在一起,身后西下的阳光把他们的头发和笑容染成一片暖暖的黄,身旁的人们被他们的幸福染成一片温暖。

起初你们还在怀疑这种爱情,因为它毕竟不像当初设想的那样完美、那样精致、那样浪漫。那只是淡淡的一种感觉,没有大喜没有大悲,没有九百九十九朵玫瑰也没有魂断蓝桥——只是一种手牵着手、并肩漫步的感觉。他们说婚姻是一座围城,进去了的想出来;而你们就这样手牵着手,坦坦然然地一起走入围城里,互相扶持着,把许许多多毫不动人的日子走成一串风景。这么多年了,回忆起来,所有平凡的片断,所有曾抱怨过、曾怀疑过的时光其实是生命中最温馨的篇章;所有淡淡的日子,其实都是像“空山灵雨”一样,淡得韵味绵长。

执子之手,与子偕老。这该是一种并肩站立,共同凝望太阳的升起、太阳的落下的感觉;该是一种天变地变情不变的感觉,是见证岁月、见证感情的感觉。

他们说时间可以冲淡一切,可总有些东西是地久天长海枯石烂的。天上比翼,地上连理,总有一种爱情,是像山一样执着,像海一样深沉,像天空一样广阔。在下雨的时候,你在车站孤伶伶地望着纷飞的雨线,你的心情是无可奈何的沉郁。这时从旁边伸过一把伞来,为你遮住了纷飞的雨丝和阴暗的天空;你不用回头,便知道是如山如海如蓝天的他正站在你的旁边,便有一种极温暖极踏实的感觉涌上心头:雨丝就让它纷飞吧,天就让它阴暗吧,此时你已有了一把伞,而你的心情也因此而阳光灿烂。

他们说时间可以让一切蒙上灰尘,可总有些东西是历久长新的。牵在你的手中,所有的人生、所有灿烂或不灿烂的日子都变得崭新而明媚。时光它总是在不停地走,回首之时不觉已是满身尘垢;你却仍然愿意蒙上眼睛,毫无保留地把双手都交给这生生世世的恋人……

执子之手,与子偕老。当你哭泣的时候,有人陪你伤心,倾听你诉说,为你抚平凌乱的发和憔悴的颜容,告诉你明天依旧阳光灿烂;当你笑容明媚的时候,整个世界都和你一起明媚,而他静静地站在一旁,微笑着看着你和阳光一般地灿烂……

执子之手,与子偕老。这该是一幅两个人同撑起一方天空的风景。像两棵独立的大树,你们共同撑起一方天空,枝叶在蓝天下盛放,树根在地底下相互扶持。风也罢霜也罢,雨也罢雪也罢,执子之手,每一刻都是如此的美好,每一刻都是一首动人的情诗,每一刻都值得用所有的时光去回味……

相对无言眼波如流的默契……也许也不回味,只是紧紧地握住你的手,什么话也不说,慢慢地陪你走过今生今世,来生来世!

九月 26th, 2008

Posted In: 未分类

工具:Nessus(最好的开放源代码风险评估工具)
  
  网址:http://www.nessus.org/
  
  类别:开放源码
  
  平台:Linux/BSD/Unix
  
  简介:Nessus是一款可以运行在Linux、BSD、Solaris以及其他一些系统上的远程安全扫描软件。它是多线程、基于插入式的软件,拥有很好的GTK界面,能够完成超过1200项的远程安全检查,具有强大的报告输出能力,可以产生HTML、XML、LaTeX和ASCII文本等格式的安全报告,并且会为每一个发现的安全问题提出解决建议。
  
  工具:Ethereal(网络协议检测工具)
  
  网址:http://www.ethereal.com/
  
  类别:开放源码
  
  平台:Linux/BSD/Unix/Windows
  
  简介:Ethereal是一款免费的网络协议分析程序,支持Unix、Windows。借助这个程序,你既可以直接从网络上抓取数据进行分析,也可以对由其他嗅探器抓取后保存在硬盘上的数据进行分析。你能交互式地浏览抓取到的数据包,查看每一个数据包的摘要和详细信息。Ethereal有多种强大的特征,如支持几乎所有的协议、丰富的过滤语言、易于查看TCP会话经重构后的数据流等。
  
  工具:Snort(免费的入侵检测系统)
  
  网址:http://www.snort.org/
  
  类别:开放源码
  
  平台:Linux/BSD/Unix/Windows
  
  简介:Snort是一款轻量级的网络入侵检测系统,能够在IP网络上进行实时的流量分析和数据包记录。它不仅能进行协议分析、内容检索、内容匹配,而且能用于侦测诸如缓冲溢出、隐秘端口扫描、CGI攻击、SMB探测、操作系统指纹识别等大量的攻击或非法探测。Snort使用灵活的规则去描述哪些流量应该被收集或被忽略,并且提供一个模块化的探测引擎。
  
  工具:Netcat(网络瑞士军刀)
  
  网址:http://www.atstake.com/research/tools/network_utilities/
  
  类别:开放源码
  
  平台:Linux/BSD/Unix/Windows
  
  简介:一个简单而有用的工具,透过使用TCP或UDP协议的网络连接去读写数据。它被设计成一个稳定的后门工具,能够直接由其它程序和脚本轻松驱动。同时,它也是一个功能强大的网络调试和探测工具,能够建立你需要的几乎所有类型的网络连接,还有几个很有意思的内置功能。
  
  工具:TCPDump/WinDump(用于网络监测和数据收集的优秀嗅探器)
  
  网址:http://www.tcpdump.org/,http://windump.polito.it/
  
  类别:开放源码
  
  平台:Linux/BSD/Unix/Windows
  
  简介:Tcpdump是一款众人皆知和受人喜欢的基于命令行的网络数据包分析和嗅探工具。它能把匹配规则的数据包的包头给显示出来。你能使用这个工具去查找网络问题或者去监视网络上的状况。WinDump是Tcpdump在Windows平台上的移植版。
  
  工具:Hping2(类似ping的网络探测工具)
  
  网址:http://www.hping.org/
  
  类别:开放源码
  
  平台:Linux/BSD/Unix
  
  简介:hping2能发送自定义的ICMP/UDP/TCP包到目标地址并且显示包的响应情况。它有一个方便的traceroute模式,并且支持IP分片。这个工具在traceroute、ping和探测_blank">防火墙后的主机时特别有用。
  
  工具:DSniff(一流的网络审计和渗透测试工具)
  
  网址:http://naughty.monkey.org/~dugsong/dsniff/
  
  类别:开放源码
  
  平台:Linux/BSD/Unix/Windows
  
  简介:DSniff是由Dug Song开发的一套包含多个工具的软件套件。其中,dsniff、filesnarf、mailsnarf、msgsnarf、rlsnarf和 webspy可以用于监视网络上我们感兴趣的数据(如口令、e-mail、文件等),arpspoof、dnsspoof和macof能很容易地载取到攻击者通常难以获取的网络信息(如二层交换数据),sshmitm和webmitm则能用于实现重写SSH和HTTPS会话达到monkey-in-the -middle攻击。在http://www.datanerds.net/~mike/dsniff.html可以找到Windows平台上的移植版。
  
  工具:GFI LANguard(商业化的网络安全扫描软件)
  
  网址:http://www.gfi.com/lannetscan/
  
  类别:商业
  
  平台:Windows
  
  简介:LANguard扫描网络并且得出诸如每台机器的服务包等级、缺少的安全补盯打开的共享、开放的端口、正在运行的服务和应用程序、注册表键值、弱口令、用户和组等扫描信息的报告。扫描结果输出为一个HTML格式的报告,报告能够自定义。
  
  工具:Ettercap(为你的交换环境提供更多的安全)
  
  网址:http://ettercap.sourceforge.net/
  
  类别:开放源码
  
  平台:Linux/BSD/Unix/Windows
  
  简介:Ettercap是一款以太网环境下的网络监视、拦载和记录工具,支持多种主动或被动的协议分析(甚至跟加密相关的SSH、HTTPS等),有数据插入、过滤、保持连接同步等多种功能,也有一个能支持多种嗅探模式的、强大而完整的嗅探套件,支持插件,能够检查网络环境是否是交换局域网,并且能使用主动或被动的操作系统指纹识别技术让你了解当前局域网的情况。
  
  工具:Whisker/Libwhisker(CGI缺陷扫描软件和库)
  
  网址:http://www.wiretrip.net/rfp/p/doc.asp/d21.htm
  
  类别:开放源码
  
  平台:Linux/BSD/Unix/Windows
  
  简介:Whisker是一款非常好的HTTP服务器缺陷扫描软件,能扫描出大量的已知安全漏洞,特别是些危险的CGI漏洞。Libwhisker是一个用perl编写的由Whiskerr使用的程序库,通过它你可以创建自己HTTP扫描器。
  
  工具:John the Ripper(格外强大、灵活、快速的多平台哈希口令破解器)
  
  网址:http://www.openwall.com/john/
  
  类别:开放源码
  
  平台:Linux/BSD/Unix/Windows
  
  简介:John the Ripper是一个快速的口令破解器,支持多种操作系统,如Unix、DOS、Win32、BeOS和OpenVMS等。它设计的主要目的是用于检查 Unix系统的弱口令,支持几乎所有Unix平台上经crypt函数加密后的口令哈希类型,也支持Kerberos AFS和Windows NT/2000/XP LM哈希等。
  
  工具:OpenSSH/SSH(访问远程计算机的一种安全方法)
  
  网址:http://www.openssh.com/,http://www.ssh.com/commerce/index.html
  
  类别:开放源码/商业
  
  平台:Linux/BSD/Unix/Windows
  
  简介:SSH(Secure Shell)是一款用来登录远程服务器并在远程服务器上执行命令的程序,在缺少安全防护的网络上它能给两台互不信任的主机间提供安全可靠的加密通讯。 X11连接和其他任意的TCP/IP端口连接都可以通过SSH进行数据封装转发到一个安全的通道里。SSH开发的本意是用于代替rlogin、rsh和 rcp这些不安全的程序,以及为rdist和rsync提供安全通道。需要注意的是,OpenSSH是SSH的替代软件,SSH对于某些用途是要收费的,但OpenSSH总是免费。
  
  工具:Sam Spade(Windows平台上的免费网络查询工具)
  
  网址:http://www.samspade.org/ssw/
  
  类别:免费软件
  
  平台:Windows
  
  简介:SamSpade提供了一个友好的GUI界面,能方便地完成多种网络查询任务,它开发的本意是用于追查垃圾邮件制造者,但也能用于其它大量的网络探测、网络管理和与安全有关的任务,包括ping、nslookup、whois、dig、traceroute、finger、raw HTTP web browser、DNS zone transfer、SMTP relay check、website search等工具,在它的网站还有大多数查询工具的一个在线版本(http://www.samspade.org/t/)。
  
  工具:ISS Internet Scanner(应用层风险评估工具)
  
  网址:http://www.iss.net/products_services/enterprise_protection/
vulnerability_assessment/scanner_internet.php
  
  类别:商业
  
  平台:Windows
  
  简介:互联网扫描器(Internet Scanner)始于1992年一个小小的开放源代码扫描器,它是相当不错的,但价格昂贵,使用开源软件Nessus来代替它也是一个不错的选择。
  
  工具:Tripwire(功能强大的数据完整性检查工具)
  
  网址:http://www.tripwire.com/
  
  类别:商业
  
  平台:Linux/BSD/Unix/Windows
  
  简介:Tripwire是一款文件和目录完整性检查工具,它能帮助系统管理员和用户监视一些重要文件和目录发生的任何变化。通过制定一些基本的系统策略,在文件遭到破坏或篡改时由Tripwire通知系统管理员,从而能及时地做出处理。Tripwire的商业版本非常昂贵,在Tripwire.Org 网站有一个免费的开放源代码的Linux版本,UNIX用户也可能需要考虑AIDE(http://www.cs.tut.fi/~rammer/aide.html),它是Tripwire的免费替代品。
  
  工具:Nikto(一款非常全面的web扫描器)
  
  网址:http://www.cirt.net/code/nikto.shtml
  
  类别:开放源码
  
  平台:Linux/BSD/Unix/Windows
  
  简介:Nikto是一款能对web服务器多种安全项目进行测试的扫描软件,能在200多种服务器上扫描出2000多种有潜在危险的文件、CGI及其他问题。它也使用LibWhiske库,但通常比Whisker更新的更为频繁。
  
  工具:Kismet(强大的无线嗅探器)
  
  网址:http://www.kismetwireless.net/
  
  类别:开放源码
  
  平台:Linux/BSD/Unix/Windows
  
  简介:Kismet是一款802.11b网络嗅探和分析程序,功能有:支持大多数无线网卡,能通过UDP、ARP、DHCP数据包自动实现网络IP阻塞检测,能通过Cisco Discovery协议列出Cisco设备,弱加密数据包记录,和Ethereal、tcpdump兼容的数据包dump文件,绘制探测到的网络图和估计网络范围。
  
  工具:SuperScan(Windows平台上的TCP端口扫描器)
  
  网址:http://www.foundstone.com/index.htm?subnav=resources/
avigation.htm&subcontent=/resources/proddesc/superscan.htm
  
  类别:免费
  
  平台:Windows
  
  简介:SuperScan是一款具有TCP connect端口扫描、Ping和域名解析等功能的工具,能较容易地做到对指定范围内的IP地址进行ping和端口扫描。源代码不公开。
  
  工具:L0phtCrack 4(Windows口令审计和恢复程序)
  
  网址:http://www.atstake.com/research/lc/
  
  类别:商业
  
  平台:Linux/BSD/Unix/Windows
  
  简介:L0phtCrack试图根据从独立的Windows NT/2000工作站、网络服务器、主域控制器或Active Directory上正当获取或者从线路上嗅探到的加密哈希值里破解出Windows口令,含有词典攻击、组合攻击、强行攻击等多种口令猜解方法。
  
  工具:Retina(eEye公司的风险评估扫描工具)
  
  网址:http://www.eeye.com/html/Products/Retina/index.html
  
  类别:商业
  
  平台:Windows
  
  简介:像上面提到的Nessus和ISS Internet Scanner一样,Retina的功能也是用于扫描网络内所有的主机并且报告发现的每一个缺陷。
  
  工具:Netfilter(当前Linux内核采用的包过滤_blank">防火墙)
  
  网址:http://www.netfilter.org/
  
  类别:开放源码
  
  平台:Linux
  
  简介:Netfilter是一款功能强大的包过滤_blank">防火墙,在标准的Linux内核内得到实现,iptables是 _blank">防火墙配置工具。它现在支持有状态或无状态检测的包过滤,支持所有种类的NAT和包分片。相应的,对于非Linux平台上的 _blank">防火墙,OpenBSD平台上有pf,UNIX平台上有ipfilter,Windows平台上有Zone Alarm个人_blank">防火墙。
  
  工具:traceroute/ping/telnet/whois(基本命令)
  
  类别:免费
  
  平台:Linux/BSD/Unix/Windows
  
  简介:当我们使用大量的高水平的工具来辅助安全审计工作时,别忘了这几个最基本的工具。我们每个人都应非常熟悉这几个工具的用法,几乎所有的操作系统上都附带有这几个工具,不过Windows平台上没有whois工具,并且traceroute改名为tracert。
  
  工具:Fport(增强的netstat)
  
  网址:http://www.foundstone.com/index.htm?subnav=resources/
navigation.htm&subcontent=/resources/proddesc/fport.htm
  
  类别:免费
  
  平台:Windows
  
  简介:Fport能显示主机上当前所有打开的TCP/IP、UDP端口和端口所属的进程,因此通过使用它能即刻发现未知的开放端口和该端口所属的应用程序,是一款查找木马的好工具。不过,Fport仅支持Windows系统,在许多UNIX系统上有一个netstat命令实现类似功能,Linux系统上用“netstat -pan”命令。源代码不公开。
  
  工具:SAINT(安全管理员的综合网络工具)
  
  网址:http://www.saintcorporation.com/saint/
  
  类别:商业
  
  平台:Linux/BSD/Unix
  
  简介:Saint是一款商业化的风险评估工具,但与那些仅支持Windows平台的工具不同,SAINT运行在UNIX类平台上,过去它是免费并且开放源代码的,但现在是一个商业化的产品。
  
  工具:Network Stumbler(免费的Windows平台802.11嗅探器)
  
  网址:http://www.stumbler.net/
  
  类别:免费
  
  平台:Windows
  
  简介:Netstumbler是最有名的寻找无线接入点的工具,另一个支持PDA的WinCE平台版本叫Ministumbler。这个工具现在是免费的,仅仅支持Windows系统,并且源代码不公开,而且该软件的开发者还保留在适当的情况下对授权协议的修改权。UNIX系统上的用户可以使用 Kismet来代替。
  
  工具:SARA(安全管理员的辅助工具)
  
  网址:http://www-arc.com/sara/
  
  类别:开放源码
  
  平台:Linux/BSD/Unix
  
  简介:SARA是一款基于SATAN安全扫描工具开发而来的风险评估工具,每月更新两次。
  
  工具:N-Stealth(web服务器扫描工具)
  
  网址:http://www.nstalker.com/nstealth/
  
  类别:商业
  
  平台:Windows
  
  简介:N-Stealth是一款商业化的Web服务器安全扫描软件,通常它比whisker、nikto等免费的web扫描器升级的更为频繁。N- Stealth开发商宣称的“超过20,000条的缺陷和 exploit数据”和“每天新增大量的缺陷检查”是非常可疑的。我们也要注意到,在nessus、ISS、Retina、SAINT和SARA等所有常见的风险评估工具里已含有web扫描组件,不过它们可能没有N-Stealth这样灵活易用和更新频繁。n-stealth不公开源代码。
  
  工具:AirSnort(802.11 WEP密码破解工具)
  
  网址:http://airsnort.shmoo.com/
  
  类别:开放源码
  
  平台:Linux/BSD/Unix/Windows
  
  简介:AirSnort是一款无线局域网密钥恢复工具,由Shmoo小组开发。它监视无线网络中的传输数据,当收集到足够多的数据包时就能计算出密钥。
  
  工具:NBTScan(从Windows网络上收集NetBIOS信息)
  
  网址:http://www.inetcat.org/software/nbtscan.html
  
  类别:开放源码
  
  平台:Linux/BSD/Unix/Windows
  
  简介:NBTscan是一个用于扫描网络上NetBIOS名字信息的程序。这个程序对给出范围内的每一个地址发送NetBIOS状态查询,并且以易读的表格列出接收到的信息,对于每个响应的主机,它列出它的IP地址、NetBIOS计算机名、登录用户名和MAC地址。
  
  工具:GnuPG/PGP(保护你的文件和通信数据的先进加密程序)
  
  网址:http://www.gnupg.org/,http://www.pgp.com/
  
  类别:开放源码/商业
  
  平台:Linux/BSD/Unix/Windows
  
  简介:PGP是由Phil Zimmerman开发的著名加密程序,它使用公钥加密算法和常规的加密技术相结合,能将加密后的文件安全地从一地传递到另一地,从而保护用户的数据免于窃听或其他的安全风险。GnuPG是遵照PGP标准开发的开源程序,不同的是,GnuPG是永远免费的,而PGP对于某些用途要收费。
  
  工具:Firewalk(高级的traceroute)
  
  网址:http://www.packetfactory.net/projects/firewalk/
  
  类别:开放源码
  
  平台:Linux/BSD/Unix
  
  简介:Firewalk使用类似traceroute的技术来分析IP包的响应,从而测定网关的访问控制列表和绘制网络图。2002年10月,这个一流的工具在原来的基础上进行了重新开发。需要注意到的是,Firewalk里面的大多数功能也能由Hping2的traceroute选项来实现。
  
  工具:Cain & Abel(穷人的L0phtcrack)
  
  网址:http://www.oxid.it/cain.html
  
  类别:免费
  
  平台:Windows
  
  简介:Cain & Abel是一个针对Microsoft操作系统的免费口令恢复工具。它通过如下多种方式轻松地实现口令恢复:网络嗅探、破解加密口令(使用字典或强行攻击)、解码被打乱的口令、显示口令框、显示缓存口令和分析路由协议等。源代码不公开。
  
  工具:XProbe2(主动操作系统指纹识别工具)
  
  网址:http://www.sys-security.com/html/projects/X.html
  
  类别:开放源码
  
  平台:Linux/BSD/Unix
  
  简介:XProbe是一款测定远程主机操作系统类型的工具。它依靠与一个签名数据库的模糊匹配以及合理的推测来确定远程操作系统的类型,利用ICMP协议进行操作系统指纹识别是它的独到之处。
  
  
  工具:SolarWinds Toolsets(大量的网络发现、监视、攻击工具)
  
  网址:http://www.solarwinds.net/
  
  类别:商业
  
  平台:Windows
  
  简介:SolarWinds包含大量适合系统管理员做特殊用途的工具,与安全相关的工具包括许多的网络发现扫描器(network discovery scanner)和一个SNMP强力破解器。
  
  工具:NGrep(方便的包匹配和显示工具)
  
  网址:http://www.packetfactory.net/projects/ngrep/
  
  类别:开放源码
  
  平台:Linux/BSD/Unix/Windows
  
  简介:NGrep在网络层实现了GNU grep的大多数功能,基于pcap,可以使你通过指定扩展的正则表达式或十六进制表达式去匹配网络上的数据流量。它当前能够识别流经以太网、PPP、 SLIP、FDDI、令牌网和回环设备上的TCP、UDP和ICMP数据包,并且和其他常见的嗅探工具(如tcpdump和snoop)一样,理解bpf 过滤机制。
  
  工具:Perl/Python(脚本语言)
  
  网址:http://www.perl.org,http://www.python.org/
  
  类别:开放源码
  
  平台:Linux/BSD/Unix/Windows
  
  简介:当我们使用那些已经开发好的安全工具来处理任务时,别忘了能自己写出(或修改)安全程序也是一件非常重要的事情。利用Perl和Python能非常容易地写出用于系统测试、exploit和修补的脚本程序,使用包含Net::RawIP和协议实现等模块的CPAN(Comprehensive Perl Archive Network:http://www.cpan.org/)或类似的档案能帮助我们比较容易地进行相关的开发。
  
  工具:THC-Amap(应用程序指纹识别扫描器)
  
  网址:http://www.thc.org/releases.php
  
  类别:开放源码
  
  平台:Linux/BSD/Unix
  
  简介:由THC开发的Amap是一个功能强大的扫描器,它通过探测端口响应的应用程序指纹数据来识别应用程序和服务,远甚于通过缺省端口号来判断应用程序和服务的方法。
  
  工具:OpenSSL(最为重要的SSL/TLS加密库)
  
  网址:http://www.openssl.org/
  
  类别:开放源码
  
  平台:Linux/BSD/Unix/Windows
  
  简介:OpenSSL项目是共同努力开发出来的一个健全的、商业级的、全开放的和开放源代码的工具包,用于实现安全套接层协议(SSL v2/v3)和传输层安全协议(TLS v1)以及形成一个功效完整的通用加密库。该项目由全世界范围内志愿者组成的团体一起管理,他们使用Internet去交流、设计和开发这个 OpenSSL工具和相关的文档。
  
  工具:NTop(网络使用状况监测软件)
  
  网址:http://www.ntop.org/
  
  类别:开放源码
  
  平台:Linux/BSD/Unix/Windows
  
  简介:Ntop是一款显示网络使用状况的流量监测软件,类似于UNIX平台上监视系统进程的top命令。在交互模式下,ntop会将网络的使用状况显示在用户的终端上;在Web模式下,ntop会做为一个web服务器,创建包含网络状况的HTML网页返回给用户。
  
  工具:Nemesis(命令行式的UNIX网络信息包插入套件)
  
  网址:http://www.packetfactory.net/projects/nemesis/
  
  类别:开放源码
  
  平台:Linux/BSD/Unix
  
  简介:Nemesis项目是为了开发一个UNIX/Linux系统上基于命令行的、方便人们使用的IP栈,它可以自定义数据包、插入数据包、进行协议攻击等,是一个很好的测试_blank">防火墙、入侵检测系统、路由器和其他网络设备的工具。如果你对Nemesis感兴趣,那么你也可能需要看看 hping2,这两者补相互之不足。
  
  工具:LSOF(列出打开的文件)
  
  网址:ftp://vic.cc.purdue.edu/pub/tools/unix/lsof/
  
  类别:开放源码
  
  平台:Linux/BSD/Unix
  
  简介:LSOF是针对Unix的诊断和分析工具,它能显示出由系统里正在运行的进程所打开的文件,也能显示出每一个进程的通讯socket。
  
  工具:Hunt(Linux平台上高级的包嗅探和会话劫持工具)
  
  网址:http://lin.fsid.cvut.cz/~kra/index.html#HUNT
  
  类别:开放源码
  
  平台:Linux
  
  简介:Hunt能监视、劫持、重设网络上的TCP连接,在以太网上使用才有作用,并且含有监视交换连接的主动机制,以及包括可选的ARP转播和劫持成功后的连接同步等高级特征。
  
  工具:Honeyd(你个人的honeynet,http://www.honeynet.org/)
  
  网址:http://www.citi.umich.edu/u/provos/honeyd/
  
  类别:开放源码
  
  平台:Linux/BSD/Unix/Windows
  
  简介:Honeyd是一个能在网络上创建虚拟主机的小小后台程序,虚拟主机能被配置成运行任意的服务,并且洽当的服务TCP特性以致他们看起来就像是运行在某个特定版本的操作系统上。Honeyd能在一个模拟的局域网环境里让一台主机配有多个地址,并且可以对虚似主机进行 ping、traceroute。虚拟主机上任何类型的服务都可以依照一个简单的配置文件进行模拟。Honeyd也可以对一台主机做代理服务,而不是模拟它。
  
  工具:Achilles(可以修改http会话包的代理程序)
  
  网址:http://packetstormsecurity.nl/filedesc/achilles-0-27.zip.html
  
  类别:开放源码
  
  平台:Windows
  
  简介:Achilles是一个设计用来测试web应用程序安全性的工具。它是一个代理服务器,在一个HTTP会话中扮演着“中间人”(man-in- the-middle)的角色。一个典型的HTTP代理服务器将在客户浏览器和web服务器间转发数据包,但Achilles却载取发向任一方的HTTP 会话数据,并且在转发数据前可以让用户修改这些数据。
  
  工具:Brutus(网络认证的强行破解工具)
  
  网址:http://www.hoobie.net/brutus/
  
  类别:免费
  
  平台:Windows
  
  简介:Brutus是一款对远程服务器的网络服务进行口令猜解的工具,支持字典攻击和组合攻击,支持的网络应用包括HTTP、POP3、FTP、SMB、TELNET、IMAP、NTP等。源代码不公开。UNIX系统上的THC-Hydra有类似的功能。
  
  工具:Stunnel(一个多种用途的SSL加密外壳)
  
  网址:http://www.stunnel.org/
  
  类别:开放源码
  
  平台:Linux/BSD/Unix/Windows
  
  简介:Stunnel程序被设计用来做为本地客户端和远程服务器间的SSL加密外壳。它能在POP2、POP3、IMAP等使用inetd后台进程的服务器上增加SSL功能,并且不会影响到程序源代码。它使用OpenSSL或SSLeay库建立SSL会话连接。
  
  工具:Paketto Keiretsu(极端的TCP/IP)
  
  网址:http://www.doxpara.com/paketto
  
  类别:开放源码
  
  平台:Linux/BSD/Unix
  
  简介:Paketto Keiretsu是一组使用新式的不常见的策略去操作TCP/IP网络的工具集合,开发的最初本意是为了在现有TCP/IP架构里去实现一些功能,但现在已经远远超出了最初的本意。包含的工具有:Scanrand,一个罕见的快速的网络服务和拓朴发现系统;Minewt,一个NAT/MAT路由器; linkcat,把以太网链路做为标准的输入输出;Paratrace,不产生新的连接就能追踪网络路径;Phentropy,使用OpenQVIS在三维拓朴空间里能绘制出任意总量的数据源图形。
  
  工具:Fragroute(破坏入侵检测系统最强大的工具)
  
  网址:http://www.monkey.org/~dugsong/fragroute/
  
  类别:开放源码
  
  平台:Linux/BSD/Unix/Windows
  
  简介:Fragroute能够截娶修改和重写向外发送的报文,实现了大部分的IDS攻击功能。Fragroute起重要作用的是一个简单的规则设置语言,以它去实现延迟、复制、丢弃、碎片、重叠、打英重排、分割、源路由或其他一些向目标主机发送数据包的攻击。这个工具开发的本意是去测试入侵检测系统、 _blank">防火墙、基本的TCP/IP栈的行为。像Dsniff、Libdnet一样,这个优秀的工具也是由Dug Song开发的。
  
  工具:SPIKE Proxy
  
  网址:http://www.immunitysec.com/spikeproxy.html
  
  类别:开放源码
  
  平台:Linux/BSD/Unix/Windows
  
  简介:Spike Proxy是一个开放源代码的HTTP代理程序,用于发现web站点的安全缺陷。它是Spike应用程序测试套件(http://www.immunitysec.com/spike.html)的一部份,支持SQL插入检测、web站点检测、登录表单暴力破解、溢出检测和字典穷举攻击检测等。
  
  工具:THC-Hydra(网络认证的破解工具)
  
  网址:http://www.thc.org/releases.php
  
  类别:开放源码
  
  平台:Linux/BSD/Unix

  简介:这个工具能对需要网络登录的系统进行快速的字典攻击,包括FTP、POP3、IMAP、Netbios、Telnet、HTTP Auth、LDAP NNTP、VNC、ICQ、Socks5、PCNFS等,支持SSL,并且现在是Nessus风险评估工具的一部份

九月 24th, 2008

Posted In: 未分类

这段时间一直都在赶项目,跟着学东西调试程序,然后改模板,总算在结前给更新完成,我也可以借这个机会好好的放松一下,真的好累好累,每天下午就一种感觉“头好晕,好痛”,晚上回家同学总是看我精神不好,其实都是没有休息好的原因,这下好了,可以好好的休息几天,然后在赶上十一一个长假,呵,又是七天假,期待ing……
其实在过几天就是她生日了,想起去年的这个时候,为了能让我们见一面,可是一大帮的人在组织,我亲自设计的蛋糕,然后让蛋糕师按我设计的图来给我做,不过还不错,记得那天一天都在等车,连出租车都拦不到,哎~~~,现在好了,只能想像一下那种感觉,就写到这吧,在写也不知道写什么,嘿,来看的就帮我顶下。咖啡先在这里谢了………..

九月 12th, 2008

Posted In: 未分类

一天在公交车上,由于拥挤一男一女发生了碰撞。
  时髦女郎回头飞眼道:“你有病啊?”
  男子觉得莫名其妙回道:“你有药吗?”
  车上人窃笑!
  女子觉得生气回道:“你有精神病啊?”
  男子冷面对道:“你能治啊?”
  全车人爆笑!
  公交司机停车,趴在方向盘上大笑!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~  

公交车上超挤,有一女人站在门口,
  从车后面挤过来一个GG要下车,
  跟那女的说了一句“让一下,下车”,那个女滴木有动。
  GG挤过去时就踩到她了。
  结果那女人好厉害的,不停的骂“神经病啊你!神经病啊你!~~”,还超大声,搞得全车都看呀。
  GG一直木有说话,下车时忍不了了,回头对那女人说,“复读机呀你!”
  全车人暴笑~!
  后边有几个搞笑的小孩,不停的伴演刚才的一幕,
  甲说“你神经病呀你!。。。。。乙说“你复读机呀你”。。。。。。
  全车人暴笑~!
  后来,有个小MM也要下车,挤过去怯怯滴说“偶~偶~偶想下去,偶不是神经病~!”
  全车人再次暴笑~!
  那个女人木有说话,可是从边上飘来一句话“你是不是没电了”
  全车人暴笑不止~!

九月 8th, 2008

Posted In: 未分类

丁铃!门上的铃当响了起来,一个三十多岁,穿著笔挺西服的男人,走进了这家飘 散着 浓浓咖啡香的小小咖啡厅。 “午安!欢迎光临!”年轻的老板娘亲切地招呼着。 男人一面客气地微微点了点头,一面走到吧台前的位子坐了下来,开口对老板娘说: “麻烦给我一杯摩卡,谢谢。” “好的,请稍候。”老板娘微笑着说。 接着她便开始熟练地磨碎咖啡豆,煮起咖啡来。男人一直带着笑容看着老板娘煮咖啡的动作,一副很享受的样子。 过了没多久,老板娘便将一杯香醇的咖啡端到男人的面前。“请慢用!” “谢谢。”男人将杯子拿到嘴边,浅浅地尝了一口。 “第一次来吗??”老板娘问。 “是啊!!”男人答。 “觉得我们这家店怎么样?” “很不错!气氛很好!” “我自己也是很喜欢,所以虽然生意 不好,我和我先生却还是舍不得把它关掉。” “嗯……”男人好像有所同感地点了点头,又喝了一口咖啡。 两人沉默了一会,一时间空荡的店里只余悠扬爵士音乐。男人忽然开口,打破了这短暂的宁静。
“呃……不好意思,可以请教你一个问题吗??” “什么问题呢?”老板娘好奇地问。 “嗯…这…这该怎么说好呢?”男人抓着头,一副不知所措的样子。“或者你可以先听 我说个故事吗?“ 老板娘点了点头,示意男人继续说下去。 “我以前有个很要好的女朋友,已经到了要论及婚嫁的地步。我和她之间的感情发展得相当平凡,并不是什么经过大风大浪、轰轰烈烈般的爱情。但我想从我第一眼看到她的时候,就彷佛有一股魔力,有一个声音,在推动着我,告诉着我,就是她了!她就是我一直期待着的女孩。更令我高兴的是她也响应了我的 示爱,接受了我。这一切的顺让 我整个人陶醉于幸褔的喜悦之中,只不过……”“只不过!!发生了什么事了吗??” 老板娘显然给故事吸引住了,她打断了男人的话。
“嗯……”男人脸色沉了下来,略微停顿了一下,继续说下去。 “只不过我忘了幸褔的背后,往往藏匿着最可怕的恶魔。就在我们订婚前一个月的一个晚上,她……她遭到了歹徒的**”啊!“老板娘惊讶地啊的一声叫了出来”都怪我!要是我那天坚持送她回去就好了!“男人用力地捶打着桌面,杯子中的咖啡因剧烈震动的关系洒了出来。 “你要问我的该不会就是这个吧!”老板娘一面擦拭着洒出来的咖啡一面说。 “不!不是的!我对她的感情不会因为这样而有所动摇,我决定仍旧如期订婚,可惜就 在我们订婚的那一天,她……上吊自杀了!“ 男人的语调异常平缓,从他的表情 上看得出,当时的他是多么的难过与震惊。 “自杀!那她有没有怎么样?”老板娘为突转而下的剧情睁大了眼睛,紧张地看着男人。 “幸运的是我们发现得早,送到医院时还有气,只是脑部因为长时间缺氧,呈现昏迷状态,当时医生说她一度有成为植物人的危险。” 老板娘松下一口气,“那她后来有醒过来吗?” “有的,她醒了!” “但……但当我得知她醒了的消息,高兴地要去看她时,却被她父母给拦在门外。” “为什么?她父母为什么不让你去看她?” “她父母跪在地上求我,原来她失去了记忆,失去了认识我以后的记忆,医生说这是选择性失忆症,当人在遭遇极大的打击时,会逃避性地藏起一些记忆。她父母求我暂时不要再出现在她面前,他们认为让她就这样忘了之前的一切对她比较好,怕我要是去见她或许会让她回想起来,到时她可能又会陷 入昏迷,甚至又跑去自杀。” “她父母这么说也是有道理,反正只是暂时嘛!等她情绪和**都稳定了,你就又可以见她啦!”老板娘听了男人的话后这样说着。
男人勉力挤出一丝笑意,样子无限苍凉,“你知道他们的暂时指的是多久吗?是十年啊!也就是这十年里我得要**这样没有她的日子,就算偶尔在路上碰面,也得要装作陌生人一般地和她擦肩而过。”男人快要咆哮起来似的,“你知道这样的日子有多难熬,这样想爱却又不能爱的心情有多痛苦!” “虽然会很痛苦,但你还是选择了这条路吧!”老板娘看着男人的眼神变得非常温柔。 老板娘的眼神让男人冷静了下来,点头说:“嗯!到今天就满十年了!” “哦!真的吗!?那真是恭喜了,你努力撑了十年,到今天终于可以去见她了!”老板娘开心地说。 “是这样没错!但是愈到这一天,我反倒愈 害怕。十年了,我的心意是没有改变,但是她呢?如果我跟 她说了以前的事,她还是想不起我那怎样办?,或者是她已经有男朋友,甚至于结婚了呢?” “这才是我想请教你的问题!”男人似乎略带紧张的看着眼前年轻的女店主,静静地等待着她的答复。 “嗯……”老板娘用手托着头,脸色凝重地想着男人所提的问题。 “我想既然你这么爱那个女孩,她记不记得你其实并不重要,最多是重新开始而已,再重新追求她一次,再重新谈一次恋爱,其实也很不错吧!!而且就算有男朋友了也没关系啊!把她从他手中抢过来不就行了!”老板娘笑着说。 “但是!”她忽然将表情严肃了起来,“但是如果她已经结婚了的话,那你就放弃吧! 我们结了婚的人啊!是最痛恨有人破坏人家家庭的了!“ “是吗?”男人低着头冷寞地说。 “没错!!所以你可千万 别做个破坏别人家庭的人哦!” 丁铃!挂在门上铃铛又响了起来,走进来几个刚下课的大学生,老板娘走出吧台,忙着招呼这几位新来的客人。
“对了!”老板娘好象忽然想到了什么,转过头来看着男人。 “你为什么会想问我这些啊!我和你不过是第一次见面而已啊!”她好奇地问。 “嗯……为什么呢……大概是因为那个女孩曾说过,结婚以后要和我一起开一家像这样的咖啡厅吧!” “哦!!原来是这样子啊!”老板娘说。 “嗯!只是这样而已!只是这样而已!只是这样而已!只是……”男人不停地重复着同样一句话,好像藉此告诉自己什么似的。爵士乐停了下来,整个屋子里只听得大学生清脆的谈笑声。男人低着头偷偷地瞄着老板娘手上的结婚戒指,一滴温暖的眼泪,悄悄地滑进了那杯早已冷却的咖啡里 !

经历了无数磨难,我成熟了,想通了很多。有些事过去了就不要拿出来让自己伤心,往事是让人回忆的。所以我现在学会了一个人生活,学会了掩藏自己,遮掩自己,那样我想没有人能够了解我,我不希望自己内心收拾干净的悲伤被再倒出来让自己痛苦无赖:)

九月 4th, 2008

Posted In: 未分类

最近,某校校园网管理员接到国外用户投诉,说该校园网中的一台视频服务器正在对外进行非法的TCP 443端口扫描。该视频服务器的地址是192.168.1.10,操作系统为redhat7.3,对外开放端口为TCP 22、80、443。
然而,管理员在机器上经过重重仔细检查,未观察到任何异常。在此情况下,我们接受请求帮助他们检查机器。

初步检测
我们首先在交换机上对该服务器的网络流量进行了镜像,发现该主机确实存在对外443端口的扫描流量,但是登录到系统上使用netstat -an命令却看不到任何与443端口相关的网络连接,使用psef命令也没有看到系统中有任何可疑的进程。因此,我们怀疑系统中可能被安装了 rootkit(注1)。
为了证实这一点,我们将系统中的ps命令拷贝到另外一台可信的操作系统版本相同的机器上(当然如果你在系统安装初始就维护了一张系统命令md5值表的话, 那么你现在只需从别的地方拷一个md5sum程序过来就可以),使用md5sum命令对两个ps进行比对发现192.168.1.10上的ps已经被人修 改过,因此可以断定系统确实是被入侵并安装了rootkit级的后门程序。

脱机分析
既然系统命令已经被替换,那么在该系统上所做的任何操作都是不可信的,因此接下来我们将被入侵服务器关闭并取下硬盘挂到另外一台主机上面进行分析。
我们首先查找系统中可疑的登录记录,使用如下命令:
more /var/log/secure |grep Accepted (注2)
我们对系统的登录日志进行了查看,在排除了管理员自己的登录记录后,下面这条记录引起了我们怀疑:
Jul 3 14:01:01 vsp-thu sshd[14042]: Accepted password for news from 82.77.188.56 port 1143 ssh2
这条记录显示在7月3号的下午14:01:01秒,有人使用news账号从82.77.188.56成功登录了系统,经查,82.77.188.56是一 个罗马尼亚的地址。根据对方直接使用news账号登录这一点来看,对方攻击成功的时间应该早于7月3号14点,因为系统默认情况下news账号是内置账号 没有密码并无法登录,但是我们查看/etc/shadow文件却发现如下记录:
news:$1$ChmaBoHa$ha.JnyJkIryk5wc5DeWzR1:12967:0:99999:7:::
这说明news账号被入侵者加设了密码,并改成了可以远程登录的账号,之所以做这样的修改,一般是入侵者想留下一个隐藏的登录账号,方便日后登录。我们继续检查系统的其他日志却再没发现任何可疑的纪录,很显然入侵者已经对系统的日志文件进行了修改。

继续深入
线索到这里似乎中断。而我们所知道的仅仅是入侵者可能来自罗马尼亚,他修改了系统的news账号权限,并篡改了系统日志。这些已知信息看起来对整个事件的 处理并没有太大的帮助。但是我们有一个很有用的信息,就是攻击发生的大概时间可以定位在7月3号下午2点左右,有了这个时间我们就可以使用find命令来 查找出这个时间段里面系统中被修改的文件有哪些?命令格式如下:

Find / -ctime +nprint 〉find.log (注3)
在输出的结果中我们发现入侵者在/var/opt下建了一个名为. (点后面是一个空格字符)(注4)的目录,而该目录下包含表1中所显示子目录和文件。

对这些程序进行分析后,知道其功能如下:

表1 入侵者在/var/opt下建立的名为.的目录

1、z程序是用来清除系统日志中相关信息的,例如:
./z 82.77.188.56这条命令执行后,系统中所有与82.77.188.56这个地址有关的日志信息全部会被清除掉;

2、cata目录下是一个IRC的后门程序,运行后系统会自动连接到以下4个IRC服务器,然后入侵者只要登录相应的IRC聊天室就能向这台机器发送控制指令,4个IRC聊天室服务器地址为:
server 194.134.7.195 6662
server 195.197.175.21 7000
server 161.53.178.240 6667
server 66.198.160.2 8080;

3、login程序是用来替换系统登录进程的木马程序,可以记录登录账号和密码;
4、kaka目录里放置的是用来替换系统命令的相应程序,就是这个目录里的程序使得我们在系统上看不出有任何异常;
5、atp 目录下放置的是专门用来扫描https服务和攻击openssl的程序,国外发过来的443端口的扫描投诉就是因为这个目录里的openssl-too程 序引起的。这个攻击程序是2005年4月19号被公布出来的,利用的是编号为CAN-2002-0656的openssl程序的漏洞;

另外,在7月3号被入侵者修改的文件还包括以下两个:

/etc/httpd/conf/httpd.conf(注5)
/etc/httpd/logs/ssl_request_log(注6)

由此可见:
1、入侵者修改了httpd.conf文件,注销了httpd.conf的443端口(跟管理员确认了不是他们自己注销的),大概是不想漏洞被其他人利用;
2、入侵者删除了ssl_request_log日志中的7月3号中午12点到14点的所有纪录(因为ssl_request_log并不算系统日志,所以不能用z程序直接清除,入侵者只能手动删除相应时间段的日志记录)。
继续检查相应日志我们又发现在root目录下的.bash_history(注7)文件中有如下一条命令纪录:./z 82.77.188.240

揭开谜团
有了上面这些信息,我们就可以对本次入侵事件做出如下分析:
1、入侵时间:从目录生成时间和入侵者删除ssl_request_log日志中相应时间段记录的情况来看入侵的大概时间应该在7月3号中午13点左右;
2、利用的漏洞:利用漏洞扫描程序对系统进行扫描发现系统中存在多个可被利用的漏洞,但是从入侵者关闭apache的443端口服务和修改 ssl_request_log日志文件来看,他利用的是apache的mod_ssl模块的漏洞(CAN-2002-0656)入侵系统的;
3、攻击地址来源:攻击地址来源有两个为82.77.188.56和82.77.188.240(但是这两个地址很有可能也是被入侵者控制的机器);
4、入侵者进入系统后做了以下这些操作:
在系统中安装了通过IRC聊天服务器控制的后门程序修改了系统中news账号的权限和密码;
替换系统中一系列的系统命令;
替换了系统本身的login程序,并获得root的密码(注8);
利用攻击程序对外进行443端口的扫描与攻击;
使用清除程序清除了系统日志中的相关记录。

解决办法
由于系统内核级的程序已经被替换,我们建议用户备份所需数据后重新安装系统,并执行以下操作:
1、安装更高版本的操作系统;
2、安装相应的系统补丁程序;
3、修改系统管理员的密码,并检查同网段内其他使用相同密码的主机。(因为入侵者已经通过木马程序获得了管理员的口令);
4、安装更高版本的apache程序,并关闭不必要服务端口;
5、使用防火墙限制ssh 22端口的登录来源地址。
(作者单位为CERNET应急响应组)

注释

注1:简单点说rootkit就是一种黑客的工具包,它里面通常包括:修改过的系统命令程序、后门程序、攻击程序、日志清除程序等,黑客使用rootkit程序就是为了在被入侵的主机上隐藏自己的攻击行为。
注2:/var/log/secure 记录了系统账号的登录信息,而grep Accepted可以有效地过滤掉那些不成功的登录记录。
注3:这个命令的意思就是查找“/”目录下的所有n天前被修改过的文件,使用>管道符是为了将查询结果输出到find.log文件中,便于后面的分析。
注4:linux系统中以“.”开头的文件和目录都隐藏文件,需要使用ls -al命令才能查看到,而点后面加空格的目录名字很容易在ls -al显示结果中被我们忽略过去)
注5:httpd.conf是apche程序的主配置文件,在这个文件里注释掉443端口,将导致apche无法正常提供443端口的https服务。
注6:ssl_request_log文件是apache的一个日志文件,它记录着用户基于https协议的访问信息。
注7:默认情况下各相应用户主目录下的.bash_history文件记录保存着500条该用户在系统中曾经执行过的操作命令。
注8:既然入侵者已经使用了清除程序清除了系统日志,为什么还在root的.bash_history中留下了./z 82.77.188.240命令的记录呢?这就要从.bash_history的记录机制说起了,用户每次登录系统后所做的任何操作并不会直接就存储到 了.bash_history文件中,而是保存在一个变量中,只有当用户退出登录以后,这个变量的值才会被写入到.bash_history文件中。这就 说明入侵者最后一次是通过82.77.188.240这个地址使用root账号登录系统的,他在运行./z 82.77.188.240这个命令时./bash_history中还没有这条记录,所以也没有被清除,当他退出系统后,变量中的./z 82.77.188.240就被写入到.bash_history中了。因此我们可以断定入侵者已经通过假冒的login程序获得了root的密码。

九月 3rd, 2008

Posted In: 未分类

无觅相关文章插件,快速提升流量