公司服务器准备换机房,先是把几台服务器数据转到一台服务器上,以便搬迁期间能正常访问。还好,几台服务器在一个交换机下,数据转的还算挺快,两个小时就搞定了!
服务器放到新机房后,几天更新的数据,又需要转了,将原机房的转到新机房服务器上,这个从昨天晚上开始到现在,还没搞定,不知道怎么回事,新机房最快下载速度不大于300k,好像跟tnnd我们用的ADSL一样。
但是不巧的是,刚搬到新机房的服务器一块磁盘出了问题,明天还需要到机房转数据,转到备用服务器上去,tnnd!比较郁闷了,这几天天天转数据,设置权限,再转数据,再设置权限! 烦死!
Archive for 五月, 2007
一、事件分析: DSW Lab AVERT小组监测到一个高度危险讯雷漏洞被曝光,该漏洞发生在Web迅雷的一个控件上,当安装了Web迅雷的用户在浏览黑客精心构造的包含恶意代码的网页后,会下载任意程序在用户系统上以当前用户上下文权限运行。 Web迅雷1.7.3.109版之前的版本均受影响。
根据BCT组织分析,该漏洞产生细节如下: WEB讯雷组件的名称:ThunderServer.webThunder.1,可以采用JS代码ActiveXObject("ThunderServer.webThunder.1");来激活讯雷的组件。其中的关键函数包括: SetBrowserWindowData:新建浏览器窗口。 SetConfig:设置WEB讯雷。 HideBrowserWindow:隐藏浏览器。 AddTask:添加下载任务。 SearchTask:搜索任务,得到任务ID,文件下载状态等详情。 OpenFile:根据任务ID,打开文件。
攻击者利用这一系列的函数,已经能完成从下载到运行木马程序的完整过程,实现了一个完整的网页木马功能。
构造的漏洞利用网页截图:
二、解决方案: 1、SetBrowserWindowData 函数验证URL参数是否为本地地址,或者为讯雷官方的地址,避免用户浏览除了本地到官方的URL地址,从而一定程度上防御外来恶意数据。2、在漏洞曝光后,迅雷官方反应迅速,第一时间推出升级版,请将Web迅雷升级到最新版。 版本号:1.7.3.109 下载地址:http://my.xunlei.com/setup.htm3、推荐安装超级巡警防范恶意木马。 …
文章作者:blueph4nt0m (blueph4nt0m_at_sogou.com)
首先声明,这个漏洞是朋友zf在调试程序的时候发现的,非常鄙视某人以其自己名义将此漏洞包括zf的利用程序代码投稿国内某杂志的行为! 下面来说说这个漏洞,最初发现这个漏洞是由一个ActiveX控件引起的:位于Kaspersky Anti-Virus安装目录下的AxKLProd60.dll。这个控件调用了一个函数:DeleteFile(),获取到这个ActiveX控件的classid即可以在网页中利用这个控件执行DeleteFile的操作。至于该控件的classid获取方法很简单,用UltraEdit打开就能找到了。zf告诉我的时候就同时给我了利用代码:<SCRIPT language=javascript>function test(){bug.DeleteFile("D:\\1.txt");}</script><object classid="clsid:D9EC22E7-1A86-4F7C-8940-0303AE5D6756" name="bug">//这是卡巴斯基组件的注册标识</object><script>javascript:test(); //调用测试函数</script> 以上代码存为html文件,在D盘根目录下新建一个1.txt,访问一下这个页面,之前新建的1.txt被删除就说明成功了。上面的D:\\1.txt可以改为任意路径。 之后我针对此代码进行了一些测试,发现并不是通用的。bug.DeleteFile("D:\\1.txt");这样的写法对多数版本有效,但某些版本必须写成:bug.DeleteFile("D:\1.txt");。而且此代码在IE7上执行会被拦截。我想看看有没有多一些的可利用函数,zf给了我一张他反编译得到的表:
看起来有搞头,本准备直接试试列表里的函数,结果一个都用不了,我以为我的用法有问题。于是我拿去和同是try2.org的cfx研究研究。 …
来源:安全焦点
文章作者:wofeiwo (wofeiwo_at_gmail.com)
目录
1)前言2)优缺点3)设计4)功能实现5)参考文档6)一些说明
1)前言
PHP是一个非常流行的web server端的script语言.目前很多web应用程序都基于php语言实现.由于php是个开源软件并易于扩展,所以我们可以通过编写一个PHP模块(module 或者叫扩展 extension)来实现一个Backdoor.而且php支持使用dl函数动态加载模块的技术,这种类似linux等系统上的LKM机制让我们的Backdoor可以更轻松的加载.本文就简单介绍下修改PHP内核的Backdoor的实现.
2)优缺点
优点:
1. 众所周知,PHP是一个跨平台的脚本语言,所以php Backdoor也可以很方便得跨平台.当然这必须要求你尽量使用C库或者使用php内核中提供的API来编写代码.而尽量少用系统API.不过这总比ring0下的Backdoor什么都要自己实现要好.2. 由于PHP与客户端的通讯是通过http协议实现的.所以也不用担心端口隐藏,进程隐藏等问题.3. 加载方便.你可以通过设置php.ini或者使用dl函数来加载你的Backdoor.或者,如果你愿意的话你可以把Backdoor编译到php里去.4. 配合webshell使用,用Backdoor配置php环境,让webshell突破disable fuction,safe_mode,open_basedir等限制.
缺点:
1. 权限低.Backdoor的权限完全取决于web server程序的权限.必须与其他工具配合使用以得到高权限.2. 基于php,只是一个ring3下的Backdoor,所以不能太底层,很多功能都受到限制.
3)设计:
我们这里做为一个例子,设计了个简单的php Backdoor,它主要实现了几个功能:
1. 通过过滤用户提交的特定变量来启动Backdoor.2. 修改php环境变量.为webshell提供宽松的执行环境.3. 直接执行用户提交的php代码.4. 隐藏自身.
4)功能实现
前置知识:要编写php Backdoor,必须先了解php…
来源:安全焦点 www.xfocus.net
文章作者:icelord (icelord_at_sohu.com)
Award BIOS Rootkit,universal test
[author ]:icelord[date ]:2007/05/25[contact ]:icelord@sohu.com
[申明]
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
本文所涉及到的资料,均来自internet… …
从卡巴斯基公司获悉,其官方24小时技术支持热线:400-611-6633将于2007年6月1日正式开通。 卡巴斯基此举旨在不断为国内用户提供更好的服务,加快了其逐步完善的“本土化”进程。卡巴斯基在中国经过了检验产品反病毒能力的“青铜时代”到追求在线更新实效性的“白银时代”后,将向着全方位为客户服务的“黄金时代”进发。 卡巴斯基反病毒软件自进入中国市场后,本着“一切以用户安全”的发展理念,不断地出台贴心政策。在台湾海峡地震期间,卡巴斯基率先实行免费政策,为全国网民提供“地震专用key”,保障所有网民可正常激活卡巴斯基反病毒软件。同时,卡巴斯基及时向所有用户提供离线升级包,满足国内用户的升级需求。同年1月 24日,卡巴斯基宣布在全中国架设多点升级服务器,此举是继成功解决因地震带来的不利影响后,卡巴斯基在国内市场又一个强力举措。 卡巴斯基不仅为用户提供主动性的防御,更致力于为用户提供“零距离”的本地化服务。此次在中国开通24小时400技术支持电话,是其“零距离”服务的一部分,卡巴斯基还将继续为国内用户提供更多基于全球水准的本地化服务。from:cnbeta
【计世网 消息】据江民反病毒中心称,他们监测到,一种通过U盘传播的新病毒“U盘寄生虫”(Checker/Autorun)正在加速传播,短短一周时间,该病毒已经感染5565台计算机,位列 江民每日病毒排行榜首位。此外,“熊猫烧香”病毒变种疫情也呈上升趋势,位居病毒排行第三。 江民反病毒专家介绍,“U盘寄生虫”是一个利用U盘等移动设备进行传播,并利用autorun.inf自动播放文件触发的蠕虫病毒。autorun.inf文件一般存在于U盘、MP3、移动硬盘和硬盘各个分区的根目录下,当用户双击U盘等设备的时候,该文件就会利用Windows系统的自动播放功能,优先执行所要加载的病毒程序,从而破坏用户计算机,使用户计算机遭受损失。 而名列病毒排行榜第三的则是大名鼎鼎的“熊猫烧香”变种ahj(Worm/Viking.ahj),该病毒能终止大量的反病毒软件和防火墙软件进程。病毒运行后,在系统目录下创建病毒文件。修改注册表,实现开机自启。在每个文件夹下生成desktop_.ini文件,文件里标记着病毒发作日期。删除扩展名为 gho的文件,使用户无法使用ghost软件恢复操作系统。感染系统的*.exe、*.com、*.pif、*.src、*.html、*.asp文件,添加病毒网址,导致用户一打开这些网页文件,IE就会自动连接到指定的病毒网址中下载病毒。在硬盘各个分区下生成文件autorun.inf和setup.exe,以此通过U盘和移动硬盘等方式进行传播,并且利用Windows系统的自动播放功能来运行。 另据江民反病毒中心监测统计,上周该中心共截获病毒17931种,全国共有465790台计算机感染了病毒,较此前有明显上升趋势。其中,后门以及漏洞攻击类病毒居多,占总数的12.36%,蠕虫病毒亦呈多发趋势,占病毒总数的5.02%,而在病毒疫情的地域分布上,则以江苏、山东、北京感染情况最为严重。 对此,反病毒专家建议,电脑用户应及时升级杀毒软件,开启杀毒软件“实时监控”和“系统监测”功能,防范已知和未知病毒。针对越来越多的病毒通过U盘传播特征,专家建议用户在使用U盘前,务必先使用杀毒软件进行扫描,确认无毒后再打开。此外,用户应养成良好的安全习惯,不随意点击不明链接和运行不明文件,及时为操作系统打好补丁,关闭系统共享以及为系统设置复杂的口令,都可有效减少病毒侵害。
昨日(5月29日),据一反病毒中心监测,一种通过U盘传播的新病毒”U盘寄生虫“正在加速传播,短短一周时间,该病毒已经感染5565台计算机,位列江民每日病毒排行榜首位。此外,此前疯狂作案的”熊猫烧香“病 毒变种疫情也呈上升趋势,位居病毒排行第三。 威胁一:U盘寄生虫 据反病毒专家介绍,“U盘寄生虫”是一个利用U盘等移动设备进行传播,并利用autorun.inf自动播放文件触发的蠕虫病毒。autorun.inf文件一般存在于U盘、MP3、移动硬盘和硬盘各个分区的根目录下,当用户双击U盘等设备的时候,该文件就会利用Windows系统的自动播放功能,优先执行所要加载的病毒程序,从而破坏用户计算机,使用户计算机遭受损失。 威胁二:“熊猫烧香”变种 而此前疯狂作案的“熊猫烧香”变种近日也有加快传播迹象。据悉,该病毒能终止大量的反病毒软件和防火墙软件进程。病毒运行后,在系统目录下创建病毒文件。修改注册表,实现开机自启。在每个文件夹下生成desktop_.ini文件,文件里标记着病毒发作日期。删除扩展名为gho的文件,使用户无法使用 ghost软件恢复操作系统。感染系统的*.exe、*.com、*.pif、*.src、*.html、*.asp文件,添加病毒网址,导致用户一打开这些网页文件,IE就会自动连接到指定的病毒网址中下载病毒。在硬盘各个分区下生成文件autorun.inf和setup.exe,以此通过U盘和移动硬盘等方式进行传播,并且利用Windows系统的自动播放功能来运行。 反病毒专家建议,电脑用户应及时升级杀毒软件,开启杀毒软件“实时监控”和“系统监测”功能,防范已知和未知病毒。专家建议用户在使用U盘前,务必先使用杀毒软件进行扫描,确认无毒后再打开。此外,用户应养成良好的安全习惯,不随意点击不明链接和运行不明文件,及时为操作系统打好补丁,关闭系统共享以及为系统设置复杂的口令,都可有效减少病毒侵害。 威胁三:后门及漏洞攻击类病毒 另据该反病毒中心监测统计,上周该中心共截获病毒17931种,全国共有465790台计算机感染了病毒,有明显上升趋势。其中,后门以及漏洞攻击类病毒居多,占总数的12.36%,蠕虫病毒亦呈多发趋势,占病毒总数的5.02%,而在病毒疫情的地域分布上,则以江苏、山东、北京情况最为严重。(文/广州日报)
XSS <P><STRONG> <STYLE>@im\port'\ja\vasc\ript:alert("XSS")';</STYLE> </STRONG></P> 此处脚本漏洞存在有一定的风险,可能导致挂马,威胁到用户,密码,COOKIE等敏感信息,已通知官方处理等待更新程序. PS:转的时候写上原作者 茄子宝 ,不然木JJ还测不成功
大家都是圈内人,都应该知道马王—–DLL病毒的牛X之处.其运行时不显示界面\进程还不占用过多的内存且任何一款不管正盗版杀毒软件都杀不了,现在我门就来分析他的原理: 在分析DLL病毒之前我们先来了解几条鲜为人知的命令regsvr32和taskill.他门就是构成DLL(动态数据库)文件牛X的根本下面我来说说他的作用: (1)regsvr32[/s][/n]{[/i[:cmdline]]} dllname (/u – 解除服务器注册; /s – 无声,不显示消息框;/i – 调用 DllInstall,给其传递一个可选[cmdline],跟/u 一起使用时,卸载 DLL;/n – 不要调用 DllRegisterServer,这个选项必须跟/i 一起使用) regsvr32 /u zipfldr.dll——取消ZIP支持 (2)taskill /参数…