Browsed by
分类:网络安全

McAfee误杀svchost.exe

McAfee误杀svchost.exe

这两天,杀毒软件又出事了。还记得2007年5月,那次是Norton把简体中文Windows下的netapi32.dll 和 lsasrv.dll。最近的一次是,2008年11月,AVG把user32.dll给干掉了。

这次是McAfee的5958版病毒库,导致McAfee误杀了Windows XP SP3下的svchost.exe,这最终导致了Windows不断地重复启动,据说有数十万PC成了小白鼠。简单地到Twitter和各国外技术社区看看,真是受灾严重啊。

下面是出错信息:

The file C:WINDOWS\system32\svchost.exe contains the W32/Wecorl.a Virus.
Undetermined clean error, OAS denied access and continued.
Detected using Scan engine version 5400.1158 DAT version 5958.0000.

其实,可能大家都误解了,McAfee把svchost.exe识别为一个恶意程序,我觉得这是一种“实事求是”的态度啊,svchost.exe难道不是Windows下的万恶之源吗?多少年来,svchost.exe成为了多少病毒,木马和流氓程序的温床,这么多年过去了,Windows用户们默默地承受着svchost.exe所带来的痛苦,经过这么长的时间,只有McAfee不惧M$的淫威第一个站出来把svchost.exe揪出来办了,这是一种什么样的精神啊……

好烂啊有点差凑合看看还不错很精彩 (17 人打了分,平均分: 4.59 )
Loading...
微软的安全补丁分析

微软的安全补丁分析

截止至2009年底,大约有90%的微软安全补丁是把管理员权限给disable了。根据 BeyondTrust的报告,到今年3月分,Windows 7 有57%的安全补丁是以移除管理员权限作为解决方法的,相比较而言,Windows 2000 是 53%,Windows XP 是 62%,Windows Server 2003 是 55%,Windows Vista 是 54% 以及 Windows Server 2008 是 53%,而最牛的要算是 —— 100% 的 Microsoft Office 和 94%  Internet Explorer (其中100% 的 IE8 )的安全补丁是移除管理员权限。

这对于某些公司的IT部门来说是个好消息,因为这些公司的IT部门通常是不会让公司的员工有本机的管理员权限的,根据微软大量的安全补丁是移除某些管理员权限的这一特性,这意味着对于本机只有一般用户权限IT管理,将会防住很大一部份的恶意攻击。

Paul Cooke, Windows Client Enterprise Security主管说:“我们相信,如果你只是用一般用户来操作Windows的话,这会是一种很好的方式”。而这一提法,相对于Unix的尽可能的不用root用户操作系统这一观点,整整落后了几十年,Windows的用户很习惯于在Administrator下操作系统,这样,一旦中招,任何程序都以系统管理员的权限运行,所以结果也是毁灭性的。这样操作电脑的方式对于Unix的用户来说简直是不可想像的,因为在Unix下,99%的情况下,操作者都不会使用管理员的账号。

还记得以前和朋友的一段对话:

阅读全文 Read More

好烂啊有点差凑合看看还不错很精彩 (10 人打了分,平均分: 4.70 )
Loading...
如何防范密码被破解

如何防范密码被破解

你会用什么样的算法来为你的用户保存密码?如果你还在用明码的话,那么一旦你的网站被hack了,那么你所有的用户口令都会被泄露了,这意味着,你的系统或是网站就此完蛋了。所以,我们需要通过一些不可逆的算法来保存用户的密码。比如:MD5, SHA1, SHA256, SHA512, SHA-3,等Hash算法。这些算法都是不可逆的。系统在验证用户的口令时,需要把Hash加密过后的口令与后面存放口令的数据库中的口令做比较,如果一致才算验证通过。

但你觉得这些算法好吗?我说的是:MD5, SHA1, SHA256, SHA512, SHA-3。如果你使用的是MD5算法来加密你的口令,如果你的口令长度只有小写字母再加上数字,假设口令的长度是6位,那么在目前一台比较新一点的PC机上,穷举所有的口令只需要40秒钟。而据我们了解,几乎有90%以上的用户只用小写字母和数字来组织其口令。对于6位长度的密码只需要最多40秒就可以破解了,这可能会吓到你。

如果你愿意花2000美金和一周的时间来构建一个CUDA,那么,你可以在你组建的这个集群中使用进行密码穷举运算,其速度是,1秒钟可以计算7亿个口令。对于目前实际当中使用的比较复杂的口令,其破解率也可以高达每秒一个。当然,这里说的算法是MD5,SHA之类的算法。

那么,对于这样的一种情况来说,我们怎么办?我们还是有办法的。

阅读全文 Read More

好烂啊有点差凑合看看还不错很精彩 (14 人打了分,平均分: 4.29 )
Loading...
IE6/IE7 0day 漏洞

IE6/IE7 0day 漏洞

昨天(2009年11月21日),Symantec发布了IE的一个0day安全漏洞的消息。关于这个消息,截止本文发布时,在中文社区里还没有报导。这是一个关于IE6/IE7处理CSS时的一个漏洞(关于IE和CSS的BUG)。如果你目前还在使用IE6/IE7,那你现在可能是你升级的时候了,当然,有很多人说IE8是没有问题的,但我个人还是建议在补丁出来之前先使用Firefox或Chrome。

根据Symantec的的报告,他们在第一时间内测试了那个“Exploit Code”(攻击代码),根据测试结果表时,那个JavaScript的攻击代码并不是100%的可靠,而且很不可靠,但安全专家相信,100%完全可靠的“攻击代码”将会马上出现。这意味着,这段攻击代码会马上如潮水一样地放在各个有恶意的网站上,然后,所有的IE6/IE7的,打开JavaScript的用户都会被危及。

目前,这段攻击代码,虽然很不可靠,但已经被证明在IE6/IE7的 Windows XP SP3上是可靠的,目前还没有相关报告说明有多少台电脑中招了,但我相信,在过去的这个周末,一定有一些人在拼命地在改善这段攻击代码,他们要赶在相关的补丁出来之前。而Microsoft,相信他还是和以前一样,一定要等到攻击很广泛的时候才会开始真正把补丁提上日程。

最后,说一下攻击代码,这个代码是在Bugtraq邮件组中,这段攻击代码如下所示,这段代码攻击性并不可靠。

阅读全文 Read More

好烂啊有点差凑合看看还不错很精彩 (4 人打了分,平均分: 4.75 )
Loading...
ldd 的一个安全问题

ldd 的一个安全问题

我们知道“ldd”这个命令主要是被程序员或是管理员用来查看可执行文件所依赖的动态链接库的。是的,这就是这个命令的用处。可是,这个命令比你想像的要危险得多,也许很多黑客通过ldd的安全问题来攻击你的服务器。其实,ldd的安全问题存在很长的时间了,但居然没有被官方文档所记录来下,这听上去更加难以理解了。怎么?是不是听起来有点不可思议?下面,让我为你细细道来。

首先,我们先来了解一下,我们怎么来使用ldd的,请你看一下下面的几个命令:

(1) $ ldd /bin/grep
        linux-gate.so.1 =>  (0xffffe000)
        libc.so.6 => /lib/libc.so.6 (0xb7eca000)
        /lib/ld-linux.so.2 (0xb801e000)

(2) $ LD_TRACE_LOADED_OBJECTS=1 /bin/grep
        linux-gate.so.1 =>  (0xffffe000)
        libc.so.6 => /lib/libc.so.6 (0xb7e30000)
        /lib/ld-linux.so.2 (0xb7f84000)

(3) $ LD_TRACE_LOADED_OBJECTS=1 /lib/ld-linux.so.2 /bin/grep
        linux-gate.so.1 =>  (0xffffe000)
        libc.so.6 => /lib/libc.so.6 (0xb7f7c000)
        /lib/ld-linux.so.2 (0xb80d0000)

第(1)个命令,我们运行了 `ldd` 于 `/bin/grep`。我们可以看到命令的输出是我们想要的,那就是 `/bin/grep` 所依赖的动态链接库。

第(2)个命令设置了一个叫 LD_TRACE_LOADED_OBJECTS 的环境变量,然后就好像在运行命令 `/bin/grep` (但其实并不是)。 其运行结果和ldd的输出是一样的!

第(3)个命令也是设置了环境变量 LD_TRACE_LOADED_OBJECTS ,然后调用了动态链接库 `ld-linux.so` 并把 `/bin/grep` 作为参数传给它。我们发现,其输出结果还是和前面两个一样的。

阅读全文 Read More

好烂啊有点差凑合看看还不错很精彩 (7 人打了分,平均分: 4.29 )
Loading...
TCP网络关闭的状态变换时序图

TCP网络关闭的状态变换时序图

TCP共有11个网路状态,其中涉及到关闭的状态有5个。

在我们编写网络相关程序的时候,这5个状态经常出现。因为这5个状态相互关联,相互纠缠,而且状态变化触发都是由应用触发,但是又涉及操作系统和网络,所以正确的理解TCP 在关闭时网络状态变化情况,为我们诊断网络中各种问题,快速定位故障有着非常重要的作用和意义。

下是是根据W.Richard Stevens的《TCP/IP详解》一书的TCP状态转换图。

阅读全文 Read More

好烂啊有点差凑合看看还不错很精彩 (7 人打了分,平均分: 4.14 )
Loading...
RFC1 40岁生日

RFC1 40岁生日

昨天(2009年4月7日)是RFC 1的40岁生日。注意,这不是KFC,而是RFC。;-)

1969年的今天,我们有一第一个RFC(http://www.faqs.org/rfcs/rfc1.html)。这成为了以后整个Internet的基础。

所谓RFC,全称为Request For Comments ,是一系列以编号排定的文件。文件收集了有关互联网相关资讯,以及UNIX和互联网社群的软件文件。目前RFC文件是由Internet Society(ISOC)所赞助发行。

RFC包含了关于Internet的几乎所有重要的文字资料。如果你想成为网络方面的专家,那么RFC无疑是最重要也是最经常需要用到的资料之一,所以RFC享有网络知识圣经之美誉。通常,当某家机构或团体开发出了一套标准或提出对某种标准的设想,想要征询外界的意见时,就会在Internet上发放一份RFC,对这一问题感兴趣的人可以阅读该RFC并提出自己的意见;绝大部分网络标准的制定都是以RFC的形式开始,经过大量的论证和修改过程,由主要的标准化组织所制定的,但在RFC中所收录的文件并不都是正在使用或为大家所公认的,也有很大一部分只在某个局部领域被使用或并没有被采用,一份RFC具体处于什么状态都在文件中作了明确的标识。

阅读全文 Read More

好烂啊有点差凑合看看还不错很精彩 (2 人打了分,平均分: 5.00 )
Loading...
如何上网觅无踪

如何上网觅无踪

Tor是一个是开源项目,网址http://www.torproject.org(很遗憾,这个网站因为GFW,在中国大陆你无法访问,),TOR这个项目,旨在把这个世界上所有的代理服务器或是使用Tor的这各个客户端串在一起,形成一个虚似的网络。

这是一个分布式的,通过一种P2P技术构建的网络。这个技术很像是BT或是电驴所使用的技术。不过,Tor 的目标是抵御流量分析,流量分析是一种对网络的监视行为,这种行为会威胁个人的匿名与隐私,商业活动与业务关系的保密和国家的安全,打破网络屏蔽。

阅读全文 Read More

好烂啊有点差凑合看看还不错很精彩 (2 人打了分,平均分: 5.00 )
Loading...