标签 网络安全 下的文章

鬼影病毒侵袭微软XP 重装系统也没用


刚看到的来自人民网的消息“鬼影病毒侵袭微软XP 重装系统也没用”。

关于鬼影技术信息:
----------------------
鬼影”病毒是近年来极为罕见的技术型病毒,病毒作者具有高超的编程技巧。因WinXP系统的限制,一般手法改写MBR会被系统判定为非法,这也是引导区病毒接近消亡的重要因素。这种绕过Winxp的安全限制,直接改写MBR的技术一般称之为MBR-rootkit,主要在国外技术论坛传播,在 “鬼影”病毒之前,这一技术少有被黑客利用的案例。
-----------------------

其中最重要一条病毒特征信息惹人注意:
8.该病毒只针对Winxp系统,尚不能破坏Vista和Win7系统。

难道MS要给Xp亲自举行葬礼了?


系统安全之端口防范


一.端口含义
端口分为源端口和目的端口,源端口是本机打开的,目的端口是正在和本机通信的另一台计算机的端口。
在Internet中,你访问一个网站时就是在本机开个端口去连网站服务器的一个端口,别人访问你时也是如此。也就是说计算机的通讯就像我们互相串门一样,从这个门走进哪个门。

二.端口的查看方法:
开始----运行----CMD----输入 netstat -an
当你上网时就是本机和其它机器传递数据的过程,要传递数据必须要用到端口,即使是有些非常高明的木马利用正常的端口传送数据也不是了无痕迹的,数据在开始传输、正在传输和结束传输的不同阶段都有各自的状态。

三.服务端口的状态变化:
1.LISTENING状态:处于侦听状态,就是说该端口是开放的,等待连接,但还没有被连接。
2.ESTABLISHED状态:建立连接。表示两台机器正在通信。
3.TIME_WAIT状态:结束了这次连接

四.客户端口的状态变化:
1.SYN_SENT状态:
SYN_SENT状态表示请求连接,当你要访问其它的计算机的服务时首先要发个同步信号给该端口,此时状态为SYN_SENT。
2.ESTABLISHED状态: 正在连接通信中。
3.TIME_WAIT状态:

五.常用端口:
21 ----FTP服务 上传下载
23----终端仿真协议telnet 命令 远程登陆
25----简单邮件发送协议
80 ----WEB服务器 浏览网站
110---- POP3用于客户端访问服务器端的邮件服务
1433 ---mssql服务 数据库
3899 ----远程登录
4899 -----radmin远程控制软件
8000--灰鸽子默认端口

二.木马基础知识
木马----远程控制你的电脑
1.有服务端口木马:
常见的一些后门程序,这类木马都要开个服务端口的后门,这个端口可以是固定也可以变化的。
2.反弹型木马:
反弹型木马是从内向外的连接,它可以有效的穿透防火墙,而且即使你使用的是内网IP,他一样也能访问你的计算机.是目前最流行的远程控制软件。
目前流行的灰鸽子,上兴远程控制软件,都是反弹型木马。

三.简单安全知识
关闭危害性端口:
1.关闭139端口:右击网上邻居--属性--右击本地连接--属性--internet协议/(TCP/IP)--属性--高级--WINS--禁用TCP/IP上的NETBIOS--确定。
2.右击-网上邻居-属性/本地连接-属性,在microsoft网络客户端前的小勾去掉。接着也把microsoft网络的文件和打印机共享的小勾也去掉。
3.关闭445端口:打开注册表编辑器,在[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters]下增加一个dword键项,命名为"SmbDeviceEnabled"(不包含引号),将值设为0。
4.关闭3389端口:右击我的电脑,点属性--远程,把允许从这台计算机发送远程协助邀请前的勾去掉。
5.关闭135端口:

如何关闭135端口:
Windows XP系统
运行dcomcnfg,展开“组件服务”→“计算机”,在“我的电脑”上点右键选“属性”,切换到“默认属性”,取消“启用分布式COM”;然后切换到“默认协议”,删除“面向连接的TCP/IP”。
以上选项有对应的注册表键值,因此也可通过注册表来修改:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftOleEnableDCOM的值改为“N”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftRpcDCOM Protocols 中删除“ncacn_ip_tcp”
此外,还需要停用“Distributed Transaction Coordinator”服务。 重启之后, 135端口就没有了。

关闭不必须用的服务:
在控制面板中,找到管理工具,在其下面打开服务。将下列的项目开闭:
Server(先禁用,然后再停止掉。)
Telnet(先禁用,然后再停止掉。)
为了您的系统安全,最好将以上两个危险服务给关闭掉。

方法:右键我的电脑---属性-- 硬件-> 设备管理器-> 查看-> 显示隐藏的设备-> 非即插即用驱动程序-> Netbios over Tcpip。禁用该设备重新启动后即可。


常用的端口入侵


21端口:
21端口是默认的FTP端口,利用方式:弱口令探测/溢出
目前我还没看到远程溢出的,SERU的本地溢出漏洞风靡一时,曾经很多服务器就在沦丧于这个漏洞。

22端口
22端口是SSH远程登录协议,利用方式:弱口令探测

23端口
23端口是TLENET的默认端口,利用方式:弱口令探测/溢出
一般大家用弱口令探测得比较多,但是成功率比较低,还是溢出来得快,毕竟权限高,想做什么都可以!

25端口
25端口是SMTP协议的默认端口,邮件接收服务器。利用方式:溢出

53端口
53端口是DNS服务的默认端口,提供域名服务器,
利用方式:溢出。这个今年很火,我试了一下,一晚上差不多可以溢出10W台 开几抬肉鸡的话

79端口
79端口Finger服务的默认端口(查询远程主机在线用户等信息),可以在辅助入侵中获取更多的主机信息。利用FINGER服务可以查询到主机很多敏感的信息,在入侵的时候常常可以起到意想不到的作用。

80端口
80端口是IIS的默认端口,全球信息网超文本传输协议(www)。利用方式:IIS溢出/SQL注入/旁注/跨站。不过一部分路由器的远程管理端口也是80。SQL注入大家已经很熟悉了吧,IIS溢出也只存在那些很老的机器上,看运气了。

110端口
110端口提供 Pop3 服务。邮件发送服务器。利用方式:溢出。

135端口
135端口提供查询服务。利用方式:IPC$(Internet Process Connection)入侵。
网上教程非常多,不多说了。

137端口
137端口统共NetBIOS 数据报(UDP)服务。

139端口
139端口提供共享资源服务(NetBios-SSN),用在IPC$入侵中。上面这三个端口可以综合利用。

161端口
161端口是远程管理设备(SNMP)的默认端口。这个很多小菜不知道怎么利用,那么重点来说说这个。
SNMP是简单网络管理协议,不清楚百度一下,很多小菜扫描出来了SNMP的弱口令,比如private,public等等,但是不知道怎么利用,这里介绍两款工具:IP NetWork browse 和 LANguard NetWork Scnaner,这两个工具都可以扫描SNMP,而且可以扫描到,磁盘,服务,进程,用户,端口等等, 功能强大,大家自己发挥。

445端口
445端口是NT的共享资源新端口(139)和139的用法一样。共享入侵,不多说了。

1433端口
1433端口是MSSQL的默认端口。利用方式:溢出/弱口令扫描。
弱口令的也很多,这里同时利用这两中方式。

2969端口
2969端口是诺顿杀毒软件开放的端口,利用方式:溢出。

3306端口
3306端口是MYSQL的默认端口,利用方式:弱口令扫描。

3389端口
3389端口是Telminal Servcie的默认端口,利用方式:弱口令探测/溢出。以前有个输入法漏洞,现在都没得了,但是有个溢出的工具,是溢出2000的,我没用过。
也有教程是说用new这个用户的

4899端口
4899端口是R-admin的默认端口,利用方式:弱口令扫描。这个就用空口令过滤器了


SSM新手教程


以下内容援引自卡饭论坛:http://bbs.kafan.cn/thread-108890-1-1.html
如何设置SSM?
一、安装好SSM后,打开新手模式
二、重启电脑(这个重要),再把常用的程序都运行一遍。SSM会通过新手模式自动为程序创建AD规则,然后把新手模式关掉
三、设置以下进程的“默认操作”:
svchost.exe - 子级,父级都询问
cmd.exe - 子级,父级都询问
iexplore.exe(或你所使用的浏览器)- 子级,父级都询问
wscript.exe - 子级,父级都询问
explorer.exe - 子级允许,父级询问
rundll32.exe - 子级允许,父级询问
ntvdm.exe - 子级允许,父级询问
services.exe - 子级允许,父级询问
winlogon.exe - 子级允许,父级询问
msiexec.exe - 子级允许,父级询问

补充:SSM如何处理父进程,子进程?
先说说什么是进程。打个比方说,我们有个文件名叫做a.exe的程序。执行这个程序后,就可以在任务管理器里看见一个a.exe,这个东西就是进程。进程是磁盘上的程序执行后被加载入内存的一些数据。 每一个可以执行的程序都可以产生自己的进程。
如果一个进程a.exe执行了另一个进程b.exe,那a.exe就是b.exe的父进程,b.exe是a.exe的子进程,父亲和儿子的关系。这是使用任何款式HIPS的AD模块的核心概念,SSM也不例外。在SSM 里的“规则”篇里双击任何一个应用程序规则后,便会出现如图的窗口。
这是显示explorer.exe进程的高级属性窗口,“子级”选项代表该进程是否能当explorer.exe的子进程,“父级”则代表是否能当explorer.exe的父进程。
换句话来说,SSM的高级属性让用户控制哪些进程有权限来执行哪些进程。如果IEXPLORE.EXE的“父级”是个空格子,如果IEXPLORE.EXE试图执行cmd.exe的话,会被SSM阻止;explorer.exe的“父级”是个打钩,如果explorer.exe试图执行cmd.exe的话,SSM会允许。

(图为新手模式下的情况)


四、设置以下进程的高级属性:
IEXPLORE.EXE - 禁止ntvdm.exe,cmd.exe,wscript.exe子级,允许explorer.exe父级
rundll32.exe - 允许svchost.exe,services.exe,explorer.exe父级
cmd.exe - 允许explorer.exe父级
msiexec.exe - 允许msiexec.exe,explorer.exe父级,允许msiexec.exe子级

五、如果运用程序规则里找不到一些以上的程序,例如msiexec.exe,那再打开新手模式,运行那些找不到的程序,关掉新手模式。SSM自动创建规则后,根据第3,4步骤动手设置。

至此SSM基本设置完毕,仅供参考。


HIPS简介


以下内容援引百度百科——http://baike.baidu.com/view/481057.htm
HIPS(Host-based Intrusion Prevention System ,基于主机的入侵防御系统)是一种能监控你电脑中文件的运行和文件运用了其他的文件以及文件对注册表的修改,并向你报告请求允许的的软件。如果你阻止了,那么它将无法运行或者更改。比如你双击了一个病毒程序,HIPS软件跳出来报告而你阻止了,那么病毒还是没有运行的。引用一句话:”病毒天天变种天天出新,使得杀软可能跟不上病毒的脚步,而HIPS能解决这些问题。”。 HIPS是以后系统安全发展的一种趋势,只要你有足够的专业水平,你可以只用HIPS而不需杀毒软件。但是HIPS并不能称为防火墙,最多只能叫做系统防火墙,它不能阻止网络上其他计算机对你计算机的攻击行为。   
一、HIPS的3D:
  AD(Application Defend)应用程序防御体系
  RD(Registry Defend)注册表防御体系
  FD(File Defend)文件防御体系
  它通过可定制的规则对本地的运行程序、注册表的读写操作、以及文件读写操作进行判断并允许或禁止。
二、常用的HIPS软件有:
  SNS(Safe'n'Sec Personal)--AD+FD+RD,
  SSM(System Safety Monitor),--免费版AD+RD,商业注册版AD+FD+RD
  PG(ProcessGuard和Port Explorer)--AD+RD,
  GSS(Ghost Security Suite)--AD+RD,
  SS(SafeSystem 2006)--FD.
  EQSecure(国产的E盾)--AD+FD+RD
三、HIPS分类 
    (一)经典HIPS
  经典HIPS指需要手工制定完整的防御策略(规则)才能对系统实施保护的一类HIPS,较早出现的HIPS基本上都为这一类型。    CA HIPS & Tiny Firewall Pro(CA、Tiny)
   Comodo Firewall Pro V3(CFP、毛豆)
  CORE FORCE(CF)
  DriveSentry
  魔法盾EQSecure(E盾、EQ)
  Ghost Security Suite(GSS)
  Malware Defender(MD)
  ProSecurity(PS)
   Safe'n'Sec(犀牛、SNS)
  System Safety Monitor(SSM)
  中网S3
  (二)智能HIPS
  智能HIPS指不需要或者较少需要使用者手工制定的防御策略(规则)即可对系统实施保护的一类HIPS,通常这类HIPS内置了一定的判断方法和处理规则,因此能够根据程序行为的危险程度进行自动判断和处理,对于少量难以判断的程序行为才会提示使用者并由使用者判断处理。体现出一定的智能性。
  Dynamic Security Agent(DSA)
  GKR内核加固免疫系统
  Mamutu(马马屠)
  Norton AntiBot(NAB)
  Prevx
  Threatfire(TF)
  (三)沙盘HIPS
  沙盘:也叫沙箱,顾名思义可以看做是一种容器,里面所做的一切都可以推倒重来,军事上常用沙盘来进行一些战争区域的地形模拟,这个你见过吧?不用了可以把沙子推平重来。
  我们所说的沙盘是一种安全软件,可以将一个程序放入沙盘运行,这样它所创建修改删除的所有文件和注册表都会被虚拟化重定向,也就是说所有操作都是虚拟的,真实的文件和注册表不会被改动,这样可以确保病毒无法对系统关键部位进行改动破坏系统。另外现在沙盘一般都有部分或完整的类似HIPS的程序控制功能,程序的一些高危活动会被禁止,如安装驱动,底层磁盘操作等。目前沙盘主要有两大类,一是采用虚拟技术的传统沙盘,另一个就是采用策略限制的沙盘。
  BufferZone、Defensewall、Geswall、SafeSpace、Sandboxie、Software Virtualization Solution、VElite、WindowZones


SSM的永久密钥


当时为了给自己的老爷机装个安全软件费了不少周折,从无意间了解到HIPS(Host-based Intrusion Prevention System,基于主机的入侵防御系统),并接触了SSM(System Safety Monitor)已经快两年了。当时在卡饭(http://bbs.kafan.cn)HIPS是热门话题,还曾有人预言“HIPS是杀软的终结”。今天偶然心血来潮整理硬盘里的文件发现了SSM,遂想看看有没有新版本,结果听到了SSM作者放出永久密钥后“关门”的消息,很是惋惜。

下面是SSM2.4.622的永久注册密钥,下载后用记事本打开,直接复制内容即可。
ssmvaluedcustomer.rar(请右击该链接,选择“目标另存为”下载)


网络管理中的常用命令


1.最基本,最常用的,测试物理网络的
ping 192.168.0.8 -t ,参数t为整数,表示次数。

2.查看DNS、IP、MAC等
Win98:winipcfg
Win2000以上:Ipconfig/all

3.网络信使 (经常有人问的~)
Net send 计算机名/IP (广播) 传送内容,注意不能跨网段
net stop messenger 停止信使服务,也可以在面板-服务修改
net start messenger 开始信使服务

4.探测对方对方计算机名,所在的组、域及当前用户名 (追捕的工作原理)
ping -a IP -t ,只显示NetBios名
nbtstat -a 192.168.10.146 比较全的

5.netstat -a 显示出你的计算机当前所开放的所有端口
netstat -s -e 比较详细的显示你的网络资料,包括TCP、UDP、ICMP 和 IP的统计等

6.探测arp绑定(动态和静态)列表,显示所有连接了我的计算机,显示对方IP和MAC地址
arp -a

7.在代理服务器端
捆绑IP和MAC地址,解决局域网内盗用IP!:
ARP -s 192.168.10.59 00 -50-ff-6c-08-75
解除网卡的IP与MAC地址的绑定:
arp -d 网卡IP

8.在网络邻居上隐藏你的计算机 (让人家看不见你!)
net config server /hidden:yes
net config server /hidden:no 则为开启

9.几个net命令
A.显示当前工作组服务器列表 net view,当不带选项使用本命令时,它就会显示当前域或网络上的计算机上的列表。
比如:查看这个IP上的共享资源,就可以
C:>net view 192.168.10.8
在 192.168.10.8 的共享资源
资源共享名 类型 用途 注释
--------------------------------------
网站服务 Disk
命令成功完成。

B.查看计算机上的用户帐号列表 net user
C.查看网络链接 net use
例如:net use z: 192.168.10.8movie 将这个IP的movie共享目录映射为本地的Z盘

D.记录链接 net session
例如:
C:>net session
计算机 用户名 客户类型 打开空闲时间
-------------------------------------------------------------------------------
192.168.10.110 ROME Windows 2000 2195 0 00:03:12

192.168.10.51 ROME Windows 2000 2195 0 00:00:39
命令成功完成。

10.路由跟踪命令
A.tracert pop.pcpop.com
B.pathping pop.pcpop.com 除了显示路由外,还提供325S的分析,计算丢失包的%

11.关于共享安全的几个命令
A.查看你机器的共享资源 net share
B.手工删除共享(可以编个bat文件,开机自运行,把共享都删了!)
net share c$ /d
net share d$ /d
net share ipc$ /d
net share admin$ /d
注意$后有空格。
C.增加一个共享:
c:net share mymovie=e:downloadsmovie /users:1
mymovie 共享成功。
同时限制链接用户数为1人