http://www.zyadmin.com.cn/blog/default.asp/ zh-cn PBlog2 v2.4 http://www.zyadmin.com.cn/blog/default.asp/images/logos.gif http://www.zyadmin.com.cn/blog/default.asp/ 旋转-木马's Blog http://www.zyadmin.com.cn/blog/default.asp/article.asp?id=47 359363006@qq.com(admin) Fri,02 Jan 2009 12:16:54 +0800 http://www.zyadmin.com.cn/blog/default.asp/default.asp?id=47

]]> http://www.zyadmin.com.cn/blog/default.asp/article.asp?id=46 359363006@qq.com(admin) Thu,01 Jan 2009 00:51:54 +0800 http://www.zyadmin.com.cn/blog/default.asp/default.asp?id=46
   祝大家在新的一年里 “牛气冲天”吧.....]]> http://www.zyadmin.com.cn/blog/default.asp/article.asp?id=45 359363006@qq.com(admin) Fri,26 Dec 2008 18:29:48 +0800 http://www.zyadmin.com.cn/blog/default.asp/default.asp?id=45 　　12月24日，靖国神社官方网站的主页被抹去，并写上英语“网页被小饭、海滩、里奇曼、s4t4n攻击”（HackedBy小飯，Beach，RichMan，s4t4n），最后落款日期“2008年12月24日”。报道称，一段时间网页上还画有中国国旗，后又消失，可能是国外黑客的“不法袭击”。

　　24日晚，靖国神社网站的工作人员接到报告说从外部网站上无法登录其官方网站，遂开始紧急检查。靖国神社位于东京千代田区，供奉有大量二战战犯。
]]> http://www.zyadmin.com.cn/blog/default.asp/article.asp?id=44 359363006@qq.com(admin) Sat,20 Dec 2008 20:06:13 +0800 http://www.zyadmin.com.cn/blog/default.asp/default.asp?id=44
Example:
http://XX.XX.XX.XX/..%2F..%2F..%2F..%2F..%2Fwindows/repair/sam
http://XX.XX.XX.XX/..%2F..%2F..%2F..%2F..%2Fboot.ini

#zyadmin.com.cn


]]> http://www.zyadmin.com.cn/blog/default.asp/article.asp?id=43 359363006@qq.com(admin) Sat,20 Dec 2008 08:46:57 +0800 http://www.zyadmin.com.cn/blog/default.asp/default.asp?id=43 　　从12月8日开始，IE XML 0day漏洞被黑客用于网页挂马，传播计算机病毒。10天来，此漏洞被滥用的情况迅速恶化，江民反病毒中心已经截获了数百个利用此漏洞的恶意网页，它们分布在165个黑客网站上。根据微软官方提供的技术信息，IE XML 0day漏洞存在于目前几乎全部的主流Windows系统当中，包括Windows 2000、Windows XP、Windows 2003、Windows Vista和Windows 2008(涉及各种Service Pack的32位和64位系统)。该漏洞在所有受影响平台上的评级都是最高的“严重”等级。
]]> http://www.zyadmin.com.cn/blog/default.asp/article.asp?id=42 359363006@qq.com(admin) Sat,13 Dec 2008 14:17:26 +0800 http://www.zyadmin.com.cn/blog/default.asp/default.asp?id=42

2.路由器个数和交换机个数都选择1
3.选择Cisco-ios配置文件
4.计算idle-pc的值
5.进入路由用户模式

6.进入特权模式

7.进入全局配置模式

8.退出全局配置模式

9.退出特权模式

]]> http://www.zyadmin.com.cn/blog/default.asp/article.asp?id=41 359363006@qq.com(admin) Sat,13 Dec 2008 10:15:16 +0800 http://www.zyadmin.com.cn/blog/default.asp/default.asp?id=41 　　而在黑客利用网页疯狂传播的木马中，超过82%为盗号木马。360安全中心提醒广大网民，该中心已在全球范围独家发布了针对该漏洞的安全补丁，请尽快访问360安全中心(360.cn)下载安装补丁。
　　据360安全专家石晓虹博士介绍，自12月9日微软曝出IE XML漏洞以来，黑客开始利用该漏洞大肆传播木马。截至目前，360安全中心已截获针对该漏洞的挂马网页共计3571个。根据360产品超过60%的用户普及率计算，两日来国内网民对这些挂马网页的访问量超过240万人次，其中近百万次用户访问是在缺乏360安全防护的情况下进行的，因此这些用户电脑中很多可能已感染木马。石晓虹博士警告称，如果木马传播按照这一趋势蔓延下去，近期有可能引发木马的再次大面积爆发。
　　据了解，这些挂马网页上传播的都是那些曾经非常流行的顽固木马下载器，包括“机器狗”系列、“AV终结者”、“ghost软件”、“僵尸网络下载者”等等。网友一旦访问这些页面，就会自动下载并运行上述木马，从而打开电脑防御系统的缺口，进一步下载各种盗号木马，在所有盘符释放autorun.inf 以及替换系统文件，并屏蔽安全软件，甚至下载ARP木马主动攻击局域网其他用户。
　　360安全专家石晓虹博士表示，由于360安全卫士已经为用户独家提供了针对该XML的漏洞补丁，用户下载安装完补丁后，就能避免在访问挂马网页时受到木马的侵袭。同时，360安全浏览器也由网页防漏模块进行了特殊保护，因此，用户在使用360安全浏览器浏览网页时，也能避免遭受针对该漏洞开发的恶意代码的攻击。他呼吁所有尚未修复漏洞的网友尽快下载安装补丁，避免受到木马的侵袭]]> http://www.zyadmin.com.cn/blog/default.asp/article.asp?id=40 359363006@qq.com(admin) Wed,10 Dec 2008 19:11:27 +0800 http://www.zyadmin.com.cn/blog/default.asp/default.asp?id=40
　　IE7的XML里存在可以导致内存越界的漏洞，通过编写畸形XML代码并且使用JavaScript脚本操作SHELLCODE去执行任意代码。

　　在2008年下半年开始有流传IE7的漏洞，并于10月份左右开始流出私人买卖，于11月份流入黑市买卖，开始有人面谈出售。

　　最终出现在网络的具体时间为12月份，大量二手三手漏洞在黑产运作层流通，并且于12月份初开始有大量的人购买二手代码去开发生成器，在9号开始出现在挂马利用上。

　　影响版本：

　　系统：

　　WINDOWS XP

　　WINDOWS 2003

　　浏览器：

　　IE7

　　描述：

　　由于SDHTML里处理对象存在在错误导致内存紊乱。

　　构造某种条件可以使得SDHTML检测到错误释放已被分配的对象，但是释放已被分配的对象后SDHTML并未返回而是继续使用被释放的对象的内存执行，如果这些内存又被分配给其他用途，将导致SDHTML把这些内存当作一个对象来操作。0DAY挂马里使用了XML的SRC字符串对象占用了这些释放对象的空间，而对象指针里包含函数例程指针，最终导致代码执行 。

　　由于该漏洞尚未被修补，具体细节请等待微软官方发布补丁的详细参考。

　　防御：

　　1.请关注微软官方网站及时下载补丁。

　　2. 开启DEP保护：

　　系统属性——高级——性能——数据执行保护

　　可以防止恶意攻击。

　　3.将wwwwyyyyy.cn以及sllwrnm5.cn加入HOSTS进行屏蔽。

　　复制一下代码进入HOSTS即可：

　　127.0.0.1 wwwwyyyyy.cn

　　127.0.0.1 sllwrnm5.cn

]]> http://www.zyadmin.com.cn/blog/default.asp/article.asp?id=39 359363006@qq.com(admin) Sat,06 Dec 2008 20:27:05 +0800 http://www.zyadmin.com.cn/blog/default.asp/default.asp?id=39
    根据攻击者的真实性，ARP 攻击可以分为三类：

    1.  攻击者的 IP 和 MAC 都是真实的；
    2.  攻击者的 IP 更改，MAC 是真实的；
    3.  攻击者的 IP 和 MAC 均更改，甚至伪造。

    对于前两种情况，我们知道借助科来网络分析系统的智能诊断功能，可以轻松地定位攻击源。但第 3 种情况，这种方法则不能有效定位攻击源，而这种情况的 ARP 攻击，正日渐增多，所以对这种同时更改 IP 和 MAC 的 ARP 攻击的排查，成为了目前 ARP 攻击排查工作的重中之重。

    下面我们对同时更改 IP和 MAC 的 ARP 攻击进行讨论（第 1 种和第 2 种 ARP 攻击不此讨论范围之内），并给出这种情况下的解决方案。

    我们以一个实例的方式进行分析，首先请看图 1 所示的网络拓扑。

     图 1 所示的网络非常简单，A、B、C、D 四台机器同时连接到一个交换机，再通过一个路由器连接到 Internet，同时将安装科来的分析用笔记本，接在交换机的镜像端口。

    在图 1 所示的网络中，假设 A发起 ARP 攻击，但却将攻击数据包的源 MAC 和源 IP 均改为机器 D 的。在这种情况下，如果我们直接使用图 1 的方式进行抓包，那么我们分析后，将会认为机器 D 存在 ARP 攻击，而这样的结果将会使用D 蒙冤而 A却逍遥法外。接下来，我们就来看，如何查找到元凶 A？

这种情况下，我们的解决方案是：科来网络分析系统＋分路器。

    在这种解决方案中，科来网络分析系统用于捕获数据，分路器（TAP）用于物理单向镜像数据。二者结合使用，可实现物理单向的数据捕获。针对前面的网络拓扑，以单端口分路器为例，部署后的拓扑如图 2 所示。

  从图 2 可知，我们将 4 台机器分成了两部分，其中两台（这里是 A 和 B）首先通过一个二层交换机到分路器，然后再连接到中心交换机，同时将安装科来的笔记本接到分路器上进行数据捕获。

    我们再来分析刚才所举的例子，即 A发起 ARP 攻击，但却将攻击数据包的源 MAC 和源 IP 均改为机器 D 的。在部署分路器后，我们在科来网络分析系统中，只捕获并分析 A和B两台机器发出的数据包，这时，我们将抓到源 MAC 和源 IP 都是 D 的数据。抓到这些数据后，我们即可确定，真正的罪魁祸首在 A和 B两台机器之间，然后再单独对 A和 B进行单向抓包，即可确定最终的元凶。相对应的，如果我们在这种情况下抓到的数据包全是正常的（源 IP 和源 MAC 都是 A或 B），则表示罪魁祸首不是 A和 B，那么需要使用相同的方法对 C 和D 进行检测分析。

    同样，当攻击者将 IP 和 MAC 都改为不存在的假地址时，我们也可采用上述方法找到真凶。此方法不仅适用于上述例子中几台机器的小型网络，在大规模的网络中一样可行，排查的故障也不仅仅是例子所说的 ARP 攻击，而是伪造 IP和 MAC 的任意攻击行为。
现将此方法的步骤归纳如下：

    1.  将所有客户端分为两部分，一部分接入位置保持不变，另一部份接入分路器；
    2.  将安装科来的笔记本接入到分路器中，仅捕获发出的数据包；
    3.  如果捕获到的数据包中，出现源 MAC 或 IP 不是这部分的正确 IP或 MAC 的数据，则表示这部分机器中存在伪造地址攻击；如果捕获到的数据包没有出现这种数据，则表示攻击者在另一部分机器中；
    4.  将认定有问题的那部分机器再细分成两部份，使用和上面相同的方法进行捕获分析，进而将攻击者定位在更小的范围内；
    5.  采用上述的方法逐渐缩小范围，直至最终找出攻击者（具体的步骤数与网络相关）。

    在网络安全日益重要的今天，通过该方法查找网络中的恶意攻击者，虽然步骤显得有些繁琐，但个人认为，却不失为一种行之有效的手段。

]]> http://www.zyadmin.com.cn/blog/default.asp/article.asp?id=38 359363006@qq.com(admin) Tue,02 Dec 2008 17:31:54 +0800 http://www.zyadmin.com.cn/blog/default.asp/default.asp?id=38 ]]>