• IIS防黑优化的方法
  • Server2003 IIS6的安全优化指南

    很多用户对于IIS并不陌生,但是大部分人对IIS的认知都停留在表层,IIS安全防患非常薄弱,这就很容易导致一些黑客通过IIS入侵情况的发生。可以通过以下步骤加强IIS防黑

     

    第一步:删除IIS默认网站,删除C:\Inetpub目录,(该目录是IIS安装的时候默认创建在系统盘的,建议把网站目录放到DE等盘符), 本地用户:删除IUSR来宾账户,IWAM进程账户;如果你的网站不带ASP环境,建议把ASPNET账户也删除 




    接下来就要手动创建一个系统的低权限帐户给IIS用:打开计算机管理-用户-右击新建用户-命名IIS、密码自己设置;

    右击这个帐户属性-常规-勾选 密码永不过期,隶属于-Users 删除,然后点确定






    设置网站目录盘符的权限;例如网站目录是放在D盘的,右击-本地D-属性-安全, 保留administrators权限 删除其他多余帐户权限,然后再手动添加之前手动创建的IIS权限,点添加-高级-立即查找-找到自建IIS的帐户,点确定





    添加好后设置IIS的权限为读取,然后点确定




    设置好上面步骤后 还有最后一步 设置IIS目录安全性

    步骤:打开IIS,右击网站-属性-目录安全性-编辑-浏览-高级-立即查找-找到IIS帐户,点确定,然后输入自建IIS的密码,输两次, 继承覆盖-点全选-最后点确定



    到此 IIS的优化完成了,为了增强防黑效果,还要停止win系统的共享服务,操作步骤:控制面板-管理工具-服务-server-禁用并停止。




  • 2019-1-14查看详情>>
  • 什么是服务器
  • 1. 什么是服务器   就像他的名字一样,服务器在网络上为不同用户提供不同内容的信息、资料和文件。可以说服务器就是Internet网络上的资源仓库,正是因为有着种类繁多数量庞大内容丰富的服务器的存在,才使得Internet如此的绚丽多彩。 2. 服务器的种类和功能 (1) WWW服务器(WWW Server)   WWW服务器也称为Web服务器(Web Server)或HTTP服务器(HTTP Server),它是Internet上最常见也是使用最频繁的服务器之一,WWW服务器能够为用户提供网页浏览、论坛访问等等服务。比如:我们在使用浏览器访问 http://www.discuz.NET的时候,实际上就是在访问Discuz!的WWW服务器,从该WWW服务器获取需要的论坛资料和网页。 (2) FTP服务器(FTP Server)   FTP服务器是专门为用户提供各种文件(File)的服务器,FTP服务器上往往存储大量的文件,例如:软件、MP3、电影、程序等等。用户只要使用FTP客户端软件登录到FTP服务器上就可以从FTP服务器下载所需文件和资源到自己的电脑上,同时, 你也可以把自己电话上的文件上传到FTP上供其他用户下载,以实现文件资源的共享。 (3) 邮件服务器(Mail Server)   e-mail是Internet上应用最频繁的服务之一,而Internet上每天数亿百亿计的电子邮件的收发都是通过邮件服务器实现的。邮件服务器就像邮局一样,可以为用户提供电子邮件的接收存储和发送服务。   除了以上介绍的3种主要服务器之外,还有很多其他类型的网络服务器,例如:数据库服务器(DatabaseServer)、代理服务器(Proxy Server)、域名服务器(Domain Name Server)等等…… 3. 服务器的操作系统 目前服务器中使用的操作系统主要有两类:Windows和Unix。 (1) Windows   Windows是美国微软公司(Microsoft)开发的操作系统,在服务器领域,主要有Windows2000Server/Advanced Server/Data Center与Windows2003 Standard Edition/EnterpriseEdition操作系统,Windows的优点是操作简 单,由于Windows使用图形界面进行操作,因而对各种服务器软件功能配置简便。但它的缺点也不可忽视,例如:Windows操 作系统成本较高;安全性相对较低;能承受的访问量较低等等。 (2) Unix   Unix的历史很久远,其种类和分支错综复杂。就目前来说应用最广泛的Unix系统是Linux,Linux并非由哪家公司发行,Linux由世界各个角落的热爱程序与网络人共同开发、维护。Linux完全免费,与Windows相比,Linux的成本为0。 Linux除了成本上的优点之外,还具备很多非常优秀的特点,例如:性能极高、稳定性很好、安全等等。目前,大多数大中型 企业(包括电信企业和Google、百度、新浪、搜狐等等)的服务器都运行在Unix/Linux系统之上。 4. Apache与IIS Apache与IIS都属于WWW服务器,是世界上使用最多的两种WWW服务器。 (1) IIS IIS的全称是:InternetInformation Server,由微软(Microsoft)公司开发,是Windows操作系统的一部分。IIS是允许在Internet上发布信息的Web服务器。IIS通过使用超文本传输协议(HTTP)传输信息。还可配置IIS 以提供文件传输 协议(FTP)服务。FTP服务允许用户从Web节点或到Web节点传送文件。   IIS的特点是配置简单,配置界面很友,功能较强,同时提供对ASP/ASP.Net的支持。但IIS的性能和安全性相对较差,并且IIS只能在Windows中使用,无法在UNIX中运行。 (2) Apache   Apache是世界排名第一的WWW服务器, 根据Netcraft(www.netcraft.com)所作的调查,世界上百分之六十以上的Web服务器在使用Apache。   1995年4月, 最早的Apache(0.6.2版)由Apache Group公布发行. Apache Group 是一个完全通过Internet进行运作的非盈利机构, 由它来决定Apache Web服务器的标准发行版中应该包含哪些内容。 Apache 的特性: 1) 几乎可以运行在所有的计算机平台上(包括Windows) 2) 强大的功能配置; 3) 支持通用网关接口(CGI); 4) 支持虚拟主机; 5) 支持HTTP认证; 6) 内部集成了代理服务器; 7) 具有用户会话过程的跟踪能力; 8) 支持FASTCGI; 9) 支持Java SERVLETS; 什么是服务器?   服务器是网络上一种为客户站点提供各种服务的计算机,它在网络 操作系统的控制下,将与其相连的硬盘、磁带、打印机、Modem及昂贵的专用通讯设备提供给网络上的客户站点共享,也能为网络用户提供集中计算、数据库管理等服务。 ● 网络服务器的作用:   A. 运行网络操作系统。通过网络操作系统控制和协调网络各工作站的运行,处理和响应各工作站同时发来的各种网络操作请求。   B. 存储和管理网络中的软硬件共享资源,如数据库、文件、应用程序、打印机等资源。   C. 网络管理员在网络服务器上对各工作站的活动进行监视控制及调整。   从结构来说,目前服务器正从RISC服务器向IA服务器发展,在中小型网络中尤其如此。 ● 热插拔技术 ○ Hot Swap,又称为热交换技术、热插拔技术。允许服务器在不关机状态下更换故障硬盘等热插拔设备。 ○ 热切换技术与RAID技术配合起来,可以使服务器在不关机状态下更换故障硬盘,并且自动恢复原盘上的数据,极大地提高了服务器系统的容错能力。 ○ 硬盘热插拔有两种方式:  A. 采用热插拔硬盘盒配以普通SCSI硬盘,多用于磁盘阵列中。  B. 采用具有热插拔能力的专用硬盘,是高性能服务器的标准配置。 ○ 热插拔技术今后将向热插拔电源、热插拔PCI插卡等方向发展。 ● 硬盘接口技术   IDE: (Intergraded drive electronics) 现在PC机使用的主流硬盘接口。   SCSI:(Small Computer System Interface) 小型计算机系统接口。SCSI技术源于小型机,目前已移植到PC服务器及高档PC机上。相对于IDE接口,SCSI接口具备如下的性能优势:   a. 独立于硬件设备的智能化接口:减轻了CPU的负担。   b. 多个I/O并行操作:因此SCSI设备传输速度快。   c. 可联接的外设数量多:可扩展多个外设(如硬盘、磁带机等)。   当同时访问到服务器的网络用户数量较多时,使用SCSI硬盘的系统I/O性能明显强于使用IDE硬盘的系统。   SCSI总线支持数据的快速传输。不同的SCSI设备通常有8位或16位的SCSI传输总线。在多任务操作系统,如Windows NT下,在同一时刻可以启动多个SCSI设备。SCSI适配器通常使用主机的DMA(直接内存存取)通道把数据传送到内存。这意味着不需要主机CPU的帮助,SCSI适配器就可以把数据传送到内存。为了管理数据流,每一个SCSI设备(包括适配卡)都有一个身份号码。通常,把SCSI适配器的身份号码设置为7,其余设备的身份号码编号为0到6。   大部分基于PC的SCSI总线使用单端接的收发器发送和接受信号。但是,随着传送速率的增大和线缆的加长,信号会失真。为了最大限度的增加总线长度并保证信号不失真,可以把差分收发器加到SCSI设备中。差分收发器使用两条线来传送信号。第二条线为信号脉冲的反拷贝。一旦信号到达目的地,电路比较两条线的脉冲,并生成原始信号的正确拷贝。   一种新的差分收发器 - LVD(低压差分收发器),能够增加总线长度并且能够提供更高的可靠性和传输速率。LVD能连接15个设备,最大总线长度可达12米。 目前常用的SCSI系列: Narrow Wide Wide 接口 传输速率 接口 传输速率 Fast Fast SCSI 10 MB/S Fast Wide SCSI 20MB/S Ultra Ultra SCSI 20MB/S Ultra Wide SCSI 40MB/S Ultra2 Ultra2 SCSI 40MB/S Ultra2 Wide SCSI 80MB/S / Ultra 3 160MB/S SCSI与IDE的区别   ○ IDE的工作方式需要CPU的全程参与;这种情况在Windows95/NT的多任务操作系统中,自然就会导致系统反应的大大减慢。而SCSI接口,则完全通过独立的高速的SCSI卡来控制数据的读写操作,CPU就不必浪费时间进行等待,显然可以提高系统的整体性能。   ○ SCSI的扩充性比IDE大,一般每个IDE系统可有2个IDE通道,总共连4个IDE设备,而SCSI接口可连接7~15个设备,比IDE要多很多,而且连接的电缆也远长于IDE。   虽然SCSI设备价格高些,但与IDE相比,SCSI的性能更稳定、耐用,可靠性也更好 ● RAID技术 ○ RAID:(Redundant Array of Inexpensive Disk)廉价冗余磁盘阵列。由于磁盘存取速度跟不上CPU处理速度的发展,从而成为提高服务器I/O能力的一个瓶颈。RAID技术利用磁盘分段、磁盘镜像、数据冗余技术来提高磁盘存取速度,同时提供磁盘数据备份、提高了系统可靠性。 ○ 磁盘分段(Disk Striping):数据以"段"为单位依次读写多个磁盘,多磁盘相当于同时操作,存取速度极大地提高。 ○ 磁盘镜像(Disk Mirroring):用一个控制器控制两个磁盘,同时读写相同的数据,数据100%备份。 ○ 数据冗余技术:数据读写时做校验,校验数据以紧凑格式存于磁盘上,可用于纠错及恢复数据。 ○ RAID技术目前常用的有几个系列: RAID 级别 描述 技术 速度  容错能力 RAID 0 磁盘分段 没有校验数据 磁盘并行I/O,存取速度提高最大 数据无备份 RAID 1 磁盘镜像 没有校验数据 读数据速度有提高 数据100%备份(浪费) RAID 2 磁盘分段+汉明码数据纠错 / 没有提高 允许单个磁盘错 RAID 3 磁盘分段+奇偶校验 专用校验数据盘 磁盘并行I/O,速度提高较大 允许单个磁盘错,校验盘除外 RAID 4 磁盘分段+奇偶校验 异步专用校验数据盘 磁盘并行I/O,速度提高较大 允许单个磁盘错,校验盘除外 RAID 5 磁盘分段+奇偶校验 校验数据分布存放于多盘 磁盘并行I/O,速度提高较大,比RAID 0稍慢 允许单个磁盘错,无论哪个盘   磁盘系统作好RAID 5后,任一块磁盘出现故障后,系统仍可运行,故障盘上的数据可通过其它盘上的校验数据计算出来(此时速度要慢一些)。如果磁盘系统中有备份盘,则数据自动恢复到备份盘中。如果具备热插拔硬盘,则在开机状态下即可换下故障硬盘,数据将自动恢复到新硬盘上。在这些过程中,系统并没有停止运行。 ● SMP技术简介  ○ SMP:Symmetric Multiprocessing . 即对称多处理。指在一个计算机上汇集了一组处理器(多个CPU)。多处理是指一台计算机中的多个处理器通过共享同一存储区来协调工作。真正意义上的多处理要求系统中的每个CPU能访问同一物理内存。这意味着多CPU必须能使用同一系统总线或系统交换方式。   操作系统对多处理体系结构的支持是与其核心紧密相连的,这将涉及两个用于支持多处理的基本序列算法:对称和非对称处理。非对称处理中,CPU各有各的任务;对称处理中,每个CPU可执行任何任务。SMP系统通过将处理负载分布到各个空闲的CPU上来增强性能。处理分布或执行线程中,各CPU的功能是相同的。它们共享内存及总线结构,系统将处理任务队列对称地分布于多个CPU上,从而极大地提高了系统的数据处理能力。  ○ 对称多处理首先在网管方面表现出高性能,这应归因于SMP系统强大的处理能力和SMP操作系统的兴起。支持SMP的网络操作系统:Novel Netware、SCO UNIX、Microsoft Windows NT等。  ○ SMP技术特别适合于需要集中使用处理器的服务,如应用服务器、通信服务器。很多应用程序升级到SMP平台后并不需要重写。  ○ SMP技术是今后PC服务器的发展方向。 ● 机箱技术 ○ 立式机箱   立式机箱是高度大于宽度的计算机机箱(也称为侧立式计算机)。与卧式计算机相比,立式机箱的优势在于其"占地面积"(所占用的桌面空间)更小。立式机箱的高度通常为 18到 27英寸。微型立式机箱大约有14英寸高,而中型立式机箱通常是16英寸左右。 ○ 基座式   基座式机箱通常比立式机箱更宽、更高。与立式机箱相比,基座式机箱能够提供更灵活的配置选择和扩充能力,并且通常可以提供热插拔和磁盘阵列功能。 ○ 机架安装式   机架安装系统允许用户在一个金属架上安装多个节点或机箱,并利用轨道来回滑动。典型的机架是77英寸高、24英寸宽、40英寸深。机架是以垂直方向的度量单位来衡量的,以字母"U"来表示。    l U=l.75英寸或4.445厘米。77英寸的垂直机架是40U。    机架系统可由显示器、磁盘驱动器、不间断电源 (UPS)、网络组件和服务器节点组成。机架机箱的扩展概念是将服务器节点分成若干个独立的部分,它们通过一个服务器域网络进行通信,可能有独立的处理节点、内存节点、扩展总线节点和磁盘阵列。 ● 内存技术   内存的家族也很庞大,有许多不同的类别。按照存储信息的功能,内存可分为RAM(Random Access Memory,随机存取存储器)和ROM(Read Only Memory,只读存储器)。ROM是非易失性的元件,可靠性很高,存储在ROM里的数据可以永久的保存,而不受电源关闭的影响,所以,ROM一般用来存储不需修改或经常修改的系统程序,像主板上的BIOS程序。根据信息的可修改性难易,ROM也可分为MASK ROM,PROM,Flash Memory等,其中,MASK ROM,PROM属于早期的产品,ROM这一族经过一连串的演化,从使用只能写一次的PROM,利用紫外线清除的EPROM,利用电气方式清除的EEPROM,一直到现在主板上经常使用的一般电压就可清除的Flash Memory。现在计算机的发展速度相当快,主板厂商也需经常升级BIOS,所以用Flash Memory存储BIOS程序就成为首选,RAM既是我们通常所说的内存,也是我们需关注的主要方面,现做一下介绍。 ○ RAM的分类   RAM主要用来存放各种现场的输入、输出数据,中间计算结果,以及与外部存储器交换信息和作堆栈用。它的存储单元根据具体需要可以读出,也可以写入或改写。由于RAM由电子器件组成,所以只能用于暂时存放程序和数据,一旦关闭电源或发生断电,其中的数据就会丢失,故属于易失性元件。现在的RAM多为MOS型半导体电路,它分为动态和静态两种。动态RAM(DRAM)是靠MOS电路中的栅极电容来记忆信息的。由于电容上的电荷会泄漏,需要定时给与补充,所以动态RAM需要设置刷新电路(Refresh),如此一来,需要花费额外的时间;而静态RAM(SRAM)是靠双稳态触发器来记忆信息的,不须重复的做刷新的动作即可保存数据,所以存取速度要比DRAM快上许多。但动态RAM比静态RAM集成度高、功耗低,从而成本也低,适于作大容量存储器。所以高速缓冲存储器(Cache)使用SRAM,而主内存通常采用DRAM。我们平常所接触的内存条就是由DRAM芯片构成的。 ○ DRAM的种类   FPM DRAM(Fast Page Mode DRAM),即快速页面模式的DRAM。是一种改良过的DRAM,一般为30线或72线(SIMM)的内存。工作原理大致是,如果系统中想要存取的数据刚好是在同一列地址或是同一页(Page)内,则内存控制器就不会重复的送出列地址,而只需指定下一个行地址就可以了。   EDO DRAM(Extended Data Out DRAM),即扩展数据输出DRAM。速度比FPM DRAM快15%~30%。它和FPM DRAM的构架和运作方式相同,只是缩短了两个数据传送周期之间等待的时间,使在本周期的数据还未完成时即可进行下一周期的传送,以加快CPU数据的处理。EDO DRAM目前广泛应用于计算机主板上,几乎完全取代了FPM DRAM,工作电压一般为5V,接口方式为72线(SIMM),也有168线(DIMM)。   BEDO DRAM(Burst EDO DRAM),即突发式EDO DRAM。是一种改良式EDO DRAM。它和EDO DRAM不同之处是EDO DRAM一次只传输一组数据,而BEDO DRAM则采用了"突发"方式运作,一次可以传输"一批"数据,一般BEDO DRAM能够将EDO DRAM的性能提高40%左右。由于SDRAM的出现和流行,使BEDO DRAM的社会需求量降低。   SDRAM(Synchronous DRAM)即同步DRAM。目前十分流行的一种内存。工作电压一般为3.3V,其接口多为168线的DIMM类型。它最大的特色就是可以与CPU的外部工作时钟同步,和我们的CPU、主板使用相同的工作时钟,如果CPU的外部工作时钟是100MHZ,则送至内存上的频率也是100MHZ。这样一来将去掉时间上的延迟,可提高内存存取的效率。 ○ REGISTERED 内存   Register IC 内存条底部较小的集成电路芯片(2-3片), 起提高驱动能力的作用。服务器产品需要支持大容量的内存,单靠主板信号线的电流无法驱动如此大容量的内存,而使用带Register的内存条,通过Register IC提高驱动能力,使服务器可支持高达32GB的内存。 ○ ECC内存   错误检查与校正内存(ECC)提供了一个强有力的数据纠正系统。ECC内存不仅能检测一位错,而且它能定位错误和在传输到CPU 之前纠正错误,将正确的数据传输给CPU。允许系统进行不间断的正常的工作,ECC内存能检测到多位错(而奇偶校验内存就不能达到这一点)并能在检测到多位错时产生报警信息,但它不能同时更正多位错。   ECC的工作过程是这样的:当数据写到内存中时,ECC将数据的一个附加位加识别码,当数据被回写时,存储的代码和原始的代码相比较,如果代码不一致,数据就被标记为"坏码",然后坏码会被纠正,并传输到CPU中,如果检测到多位错时,系统就会发出报警信息。 ● 常见操作系统  ○ MicrosoftWindows NT Server 4.0 中/英文  ○ MicrosoftWindows 2000/2003 中/英文  ○ SCO OpenServer5.0.5  ○ SCO UnixWare7.1.1  ○ Red Hat 6.2/7.0  ○ TurboLinuxServer 6.1  ○ SUN Solaris 7/8中/英文 ○ Windows NT / Windows 2K/2003  · 与windows客户机集成较好  · 提供一定的文档和应用服务器兼容能力  · 简化安装和管理工作,操作系统易于使用,用户界面好  · 提供更多的开发工具,第三方厂商应用支持较多  · 目前在中小用户中的增长势头较快  · 大型环境中目录不易管理  · 与其他操作系统相比,可靠性较差  · 改变配置后,系统需重新启动 ○ SCO UNIX  · 在高性能的RISC机器中扩展性较好  · 可轻松改变网络配置  · 安全性、可靠性高  · 提供内置的多用户能力  · 最早,最广泛地支持Internet标准  · 该平台上的应用极为丰富  · 在国内金融等重要行业中用户较多  · 用户界面较差,维护、管理、使用复杂  · 没有可靠的开发工具 ○ NetWare  · 单CPU的文件服务器性能优异  · 高性能的目录服务可轻松管理大型环境  · 在国内早期中小用户中使用较多  · 关键服务与SMP无关  · 缺乏第三方厂商支持  · 没有可靠的开发工具 ○ LINUX  · 免费的多任务多用户的操作系统  · 性能稳定,占用空间小  · 可运行在Intel、SPARC、Alpha平台  · 没有专门的技术支持部门  · 对一些设备的驱动能力还不是很完善 ○ Solaris  · 安装方式多样,自动化程度高  · 处理数据的能力很高  · 可与各种平台实现互操作  · 软件价格昂贵  · 对基于Intel的服务器技术支持较弱    

  • 2018-12-17查看详情>>
  • 神狐互联 2019 重磅推出全新高防机型 118.184.159.1
  • 神狐互联 2019 重磅推出全新高防机型

    防御媲美安全通,郑重承诺【SYN小包满抗防御值】

    最低防御240G起步,封UDP,封海外,封SYN大包。无视CC。

    32核心 32G内存 100M带宽 240G硬盘 240G防御 2800/月

    32核心 32G内存 100M带宽 240G硬盘 300G防御 3800/月

    32核心 32G内存 100M带宽 240G硬盘 400G防御 5000/月

    32核心 32G内存 100M带宽 240G硬盘 500G防御 8000/月

    32核心 32G内存 100M带宽 240G硬盘 600G防御 10000/月

    32核心 32G内存 100M带宽 240G硬盘 700G防御 22000/月

    32核心 32G内存 100M带宽 240G硬盘 800G防御 30000/月

    现有IP段如下:

    118.184.159.1-255

    118.184.158.1-255

    118.184.157.1-255

    118.184.156.1-255

    118.184.155.1-255

    118.184.154.1-255

    118.184.153.1-255

    118.184.152.1-255

    118.184.151.1-255

    118.184.150.1-255


    联系客服QQ 85343822


    神狐互联 www.sfoxidc.com


  • 2018-12-16查看详情>>
  • 如何破解win2008终端服务器授权120天
  • 平时在使用远程桌面过程,我们经常会遇到这样的两个问题。

    问题一、远程桌面的连接数限制

    Server 2008 R2默认远程桌面连接数是2个用户,如果多余两个用户进行远程桌面连接时,系统就会提示超过连接数。如下图示:

    clip_image001

    问题二、远程桌面连接时,同一个用户不能同时开启两个桌面连接

    如下图示:

    clip_image002

    为了解决这个问题,我们只需要开启Server 2008 R2的远程桌面授权服务。以下是该次实验所要使用到的三个用户:用户administrator、用户1、用户2,如下图示:

    clip_image003

    而且这个三个用户已经加入到远程桌面用户组中,如下图示:

    clip_image004

    此次实验的前提条件:

    1) 本机已经开启远程桌面

    2) 本机可以连接互联网

    第一步、开启本机的远程桌面授权服务

    打开“服务器管理器”—“角色”—“添加角色”—“远程桌面服务”,如下图示:

    clip_image005

    我们可以在上图中,看到Server 2008R2的远程桌面服务其实就是以前的终端服务,在右边有相关的解释。点击“下一步”,如下图示:

    clip_image006

    “角色服务”中我们只需要选择“远程桌面会话主机”和“远程桌面授权”,如下图示:

    clip_image007

    “身份验证方法”建议选择第二个“不需要使用网络级别身份验证”,因为如果选择第一项的话。如果是XP系统连接Server 2008,那么系统就会提示你无法连接。

    clip_image008

    “授权模式”中建议选择“每用户”,其他的默认。如下图示:

    clip_image009

    “用户组”建议选择“Remote Desktop User”用户组,如下图示:

    clip_image010

    “客户端体验”可以选择也可以不选择,这个随你。如下图示:

    clip_image011

    “RD授权配置”选择“为此工作组”,因为我们现在没有使用AD,所以就不必选择“此域”。如果你的服务器已经加入域的话,建议选择“此域”。“选择RD授权数据库的位置”建议默认即可,如下图示:

    clip_image012

    clip_image013

    以上配置如果没有问题的话,就可以安装远程桌面服务。注意此安装过程,需要重启服务器才能进行完全安装。

    第二步、远程桌面服务授权

    安装完毕后,点击“开始”—“所有程序”—“管理工具”—“远程桌面服务”—“远程桌面会话主机配置”,如下图示:

    clip_image014

    clip_image015

    在弹出的窗口中,我们可以有关远程桌面相关的信息。找到“授权”选项,然后双击“远程桌面授权服务器”,如下图示:

    clip_image016

    在弹出的窗口中,系统会提示你“没有相关的证书服务器”,如下图示:

    clip_image017

    这个我们先不管,点击“关闭”。在“授权”选项下选择“每用户”,点击添加,然后把本机添加进去即可。如下图示:

    clip_image018

    clip_image019

    clip_image020

    添加完毕“远程桌面授权服务器”后,我们就要激活该服务器。

    第三步、远程桌面授权服务激活

    一定要激活该服务,如果不激活的话。该远程桌面连接最多使用120天。点击“授权诊断”,“摘要名称”中可以看到我们添加的“授权服务器”,点击右边的“启动RD授权管理器”,如下图:

    clip_image021

    我们可以看到目前该授权服务器是未被激活的,如下图示:

    clip_image022

    双击“所有服务器”—“ USER-ILANNI”,右键“激活服务器”,如下图示:

    clip_image023

    clip_image024

    这一步一定要选择“Web浏览器”,如下图:

    clip_image025

    这个页面非常重要,它提供了两个很重要的信息:

    1)、微软的远程桌面授权网站:

    https://activate.microsoft.com

    2)、该系统的产品ID信息:00486-001-5676416-84479

    clip_image026

    复制或者双击上图中的远程桌面授权链接在本机上,记住一定要在本机上,如果你复制到其他机器上该连接你是无法打开的。

    clip_image027

    把刚刚那产品ID的序列号复制到,web 页面中去。其他的信息你随便填写,如下图示:

    clip_image028

    在这个界面,我们可以看到微软分配给我们这个台服务器一个许可证ID。我们需要把这个ID信息复制下来,等会我们在后边还要使用到,如下图示:

    clip_image029

    在“许可证程序”中建议选择“企业协议”,如下图示:

    clip_image030

    在这个地方一定要注意“产品类型”,在此一定要选择“Windows Server 2003终端服务器“每用户”客户端访问许可证”,而“协议号码”,我们可以填写6565792,4954438,6879321或者5296992。数量可以填写任意,如下图示:

    clip_image031

    这个界面的信息就是我们所需要的,一个是许可证服务器ID,一个是该远程桌面激活的ID。复制这两个ID,如下图示:

    clip_image032

    现在我们回到许可证服务器激活向导的界面,输入刚刚复制的相关ID,然后按照提示一步一步的操作。如下图示:

    clip_image033

    clip_image034

    clip_image035clip_image036

    clip_image037

    clip_image038

    到此我们的授权服务器已经完全激活。

    第四步、解决问题

    远程桌面服务器已经完全激活,现在我们就可以解决问题一及问题二。

    问题一、远程桌面的连接数限制

    我们现在在另外一台机器上同时使用用户administrator、用户1、用户2,远程桌面该服务器,如下图示:

    clip_image039

    可以很明显的看到现在用户1、用户2以及用户administrator都可以远程桌面该服务器,这已经超过了我们实验开始时的数目。

    问题二、远程桌面连接时,同一个用户不能同时开启两个桌面连接

    要解决这个问题,我们需要在远程桌面服务器上进行设置。点击“开始”—“所有程序”—“管理工具”—“远程桌面服务”—“远程桌面会话主机配置”—“授权诊断”,在“编辑设置”中我们可以看到“限制每个用户只能进行一个会话”,显示是“是”,如下图示:

    clip_image040

    双击该选项,然后把“限制每个用户只能进行一个会话”对勾去掉,如下图示:

    clip_image041

    clip_image042

    然后我们在使用用户2进行连接看看实际的效果,如下图示:

    clip_image043

    可以很明显的看到,现在用户2可以同有多个界面远程桌面连接该服务器。


  • 2018-11-4查看详情>>
  • Windows任务计划零日漏洞及PoC
  • Windows零日漏洞就在那里,CERT确知尚无实际解决方案,微软周二补丁雷打不动。

    上周,推特用户“SandboxEscaper(沙箱逃逸者)”因厌烦IT安全工作,愤而披露本地提权漏洞及其概念验证代码(PoC),并称:

    微软是个蠢货,我等不及卖出他们软件里的漏洞了。

    该漏洞是微软Windows任务计划所用“高级本地程序调用(ALPC)”接口中的本地提权漏洞。在推特上披露该漏洞并链向GitHub上的PoC之后,SandboxEscaper宣称自己将消失一段时间。

    分析师证实Windows零日漏洞利用

    美国计算机应急响应小组(CERT/CC)漏洞分析师 Will Dormann 测试了该漏洞利用程序,并确认对打全补丁的64位 Windows 10 系统有效。

    Dormann随即在CERT发布了漏洞说明:“微软Windows任务计划在高级本地程序调用(ALPC)接口中含有一个本地提权漏洞,可致本地用户获取系统(SYSTEM)权限。”

    微软Windows任务计划在ALPC的处理上存在漏洞,能令本地用户获得系统(SYSTEM)权限。我们已经证实该公开漏洞利用代码对64位 Windows 10 和 Windows Server 2016 系统有效。该公开可用的漏洞利用程序源代码经修改后也可能适用于其他Windows版本。

    从该漏洞说明来看,CERT目前并未发现实际解决方案。

    安全研究员 Kevin Beaumont 在DoublePulsar上解释了该漏洞利用程序的局限性,并描述了利用该漏洞的其他方法。他还在GitHub上贴出了漏洞代码以方便分析。

    如何在自身系统上检测该漏洞利用

    如果使用微软Sysmon工具,查找spoolsv.exe产出异常进程的情况,这是该漏洞利用(或另一个Spooler漏洞利用)正在执行的确切迹象。同样是用Sysmon,查找connhost.exe(任务计划)产生异常进程(例如后台打印程序)的情况。

    切实修复应出自微软。微软发言人已表示“将尽快主动更新受影响系统。”PoC代码就在网上挂着,而下一次周二补丁日还有两周才到来,攻击者有相当长的窗口期可以对目标的Windows主机下手。

    随着这一最新Windows操作系统漏洞的披露,IT人员需特别注意其网络用户的行为。SandboxEscaper“研究员”在推特上发布的PoC,给了恶意攻击者入侵公司企业盗取有价值信息的有利条件。

    应持续应用网络流量分析来检测进出网络的异常流量,并标记用户异于往常的行为表现。此类异常行为就是有人正利用该漏洞提升自身权限的显著指标。我们不得不等待微软的响应,但如果直到既定的9月11号周二补丁日之前都没有任何缓解措施发布,黑客将有2周之久的窗口期可供利用该漏洞。

    漏洞的利用方法原文链接:

    https://doublepulsar.com/task-scheduler-alpc-exploit-high-level-analysis-ff08cda6ad4f


  • 2018-9-12查看详情>>
  • DDoS二十年:Arbor Networks 发布DDoS攻击简史
  • 20年来,分布式拒绝服务攻击从好奇之作,演变成讨厌之物,再最终成为网站、在线服务和应用的严重威胁。到了今天,廉价易用的工具令任何居心不良且能上网的人,都可以轻易地发动这种攻击。DDoS已经十分普遍并前所未有的危险,而且没有任何消退的迹象。

    6

    1996年

    9月19日,CERT/CC发布公告,使用源IP地址欺骗的 TCP SYN 洪水攻击处于增长趋势。

    9月19日至21日,互联网服务提供商PANIX一连三天遭到持续的DDoS攻击,影响到大量使用PANIX作电子服务平台的用户。

    1997年

    早期的DDoS工具从地下浮现,Trinoo、Tribe Flood、TFN2K、Shaft等工具进入人们的视野。当时使用的攻击资源为IRC、Eggdrop或是中了Sub7木马的肉鸡。

    1998年

    1月,通过反欺骗防护DDoS攻击的工具 RFC 2267 发布,并很快成为众多网络厂商采用的最佳实践。

    2月7日至20日,名为“黑手党男孩”的黑客对多个电子商务网站发动持续性DDoS攻击,据加拿大皇家警察和美国FBI的调查,黑手党男孩通过IRC吹嘘他的“战绩”。2001年,黑手党男孩被判处8个月的“公开监禁”,一年的假释期,限制使用互联网,并处于少量罚金。

    4

    8月15日,Smurf Amplifier Registry 发布,帮助发现和禁用在DDoS中被滥用的“Smurf Amplifier”。这种攻击使用假冒的广播地址发送ICMP,让受害者接收反馈的流量。到2012年,超过19.3万个网络得到修复。

    5

    2002年

    10月19日至21日,大规模Smurf攻击根DNS服务器,并造成一些网站的瘫痪。最终攻击被击退,当时的攻击总流量达到900Mbps。

    2003年

    9月,美国国会推动网络安全立法,要求私人企业及上市公司上报他们的网络安全工作。

    2007年

    4月7日至5月10日,爱沙尼亚由于与俄罗斯的政治紧张关系,遭受了持续一个多月的DDoS攻击。

    3

    2008年

    1月21日,匿名者首次高调发动DDoS攻击,反动教会逼迫网站删除汤姆·克鲁斯的采访视频。

    2010年

    12月3日至5日,由于阻止了维基解密的支付功能,在线支付及金融服务公司的网站被攻击。

    2011年

    4月20日至26日,索尼遭受DDoS攻击,目的是为了掩盖盗取索尼PS的用户数据。

    6月9日,美国中央情报局局长 Leon Panetta 表示:“下一次珍珠港事件,很可能是网络攻击致使美国的电网、安全和金融系统的瘫痪。”

    2012年

    3月24日,加拿大新民主党的竞选投票系统被攻击,投票时间和投票人数均受影响。

    9月4日,匿名者为抗议对阿桑奇的行为,攻击了美国和两国政府的网站,包括英国情报机构M15和M16。

    9月18日,伊斯兰教组织 Izz Ad-Din 为抗议美国博客写手发布的穆斯林视频,攻击美国网站,该行动命名为“Ababil”。

    2013年

    3月16日,国际反垃圾邮件组织(Spamhaus)因为其列出了网络犯罪者托管企业的阻断名单,而遭到了垃圾信息和僵尸网络高达300Gbps的攻击。

    5月13日,FBI表示,和银行展开更多的合作是探测网络攻击的关键。

    2014年

    7月28日,急剧下降的DDoS攻击与以色列和伊斯兰抵抗运动(Hamas)之间最终未达成停火协商相关。

    11月24日,在一名仅持有BB弹仿真手枪的12岁小男孩,Tamir Rice,在克利夫兰公园被当地警员击毙后,匿名者封闭了其在克利夫兰市的网站并上传了一段视频。

    12月25日,黑客组织“蜥蜴部队”(Lizard Squad)宣布对其在SONY的PlayStation Network和微软的Xbox live上发动的DDoS攻击负责。

    2

    2015年

    12月15日,在土耳其发生击落俄罗斯军用飞机事件之后,土耳其遭到大规模DDoS攻击。

    2016年

    3月15日,匿名者宣布发动 #OpTrump 行动。

    1

    8月,里约奥运官方网站遭受大规模、复杂的DDoS网络攻击,攻击峰会流量达到500Gbps。


  • 2018-9-12查看详情>>
  • 网络安全工具普及——Web 漏洞扫描类
  • 1. Burp Suite (免费)

    Burp Suite 其实是一个平台,包含不同类型的工具,相互间有许多接口,连接便利,能加快渗透应用程序的进程。不同的工具共享相同的框架,用于显示和处理 HTTP 消息、身份验证、耐久性、日志记录、警报、代理和可扩展性。

    Burp Suite 需要付费,但也有免费试用版可以使用,适用于 Linux、MAC OS X 和 Windows 操作系统。

    网络安全工具普及——Web 漏洞扫描类

    2. Nikto (免费)

    Nikto 是一个开放源代码的 Web 服务器扫描程序,可以在 Web 服务器上执行超过 6700 个潜在危险文件和程序的测试。也可在超过 2700 台服务器上检查 1250 多个旧服务器的版本和特定的版本问题。此外,Nikto 还可检查服务器配置项目(如多个索引文件、HTTP 服务器选项等),还能尝试识别已安装的软件和 Web 服务器。其插件和扫描项目经常可以自动更新。

    其具体功能包括 SSL 支持;完整的 HTTP 代理支持;检查过时的服务器组件;以XML、HTML、CSV 或 NBE 等各种格式保存报告;通过使用模板引擎轻松自定义报告;通过输入文件在服务器或多服务器上扫描多个端口;识别通过头文件、文件和图标识别安装的软件;使用 NTLM 和 Basic 进行主机验证;检查常见的“parking”站点;在特定时间自动暂停等等。

    网络安全工具普及——Web 漏洞扫描类

    虽然 Nikto 并不可隐藏踪迹,却可以在尽可能快的时间内测试网络服务器,还能支持 LibWhisker 的反 IDS方法。

    其实,并非所有的检查都是为了查找安全问题。但是安全工程师和网站管理员有时不知道他们的服务器上存在“仅检查信息”类型的检查。而通过使用 Nikto,这些“信息类型”的检查会在打印出的信息中标记出来,还能扫描到另一些针对日志文件中未知项目的检查。

    Nikto 可免费使用。由于 Nikto 基于 perl,因此只在大多数安装了 Perl 翻译器的系统上运行。

    3. Acunetix Web Vulnerability Scanner(简称AWVS)

    是一款知名的网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞,如交叉站点脚本,sql 注入等。在被黑客攻击前扫描购物车,表格、安全区域和其他Web应用程序。75% 的互联网攻击目标是基于Web的应用程序。因为他们时常接触机密数据并且被放置在防火墙之前。

    WVS如何工作

    WVS拥有大量的自动化特性和手动工具,总体而言,它以下面的方式工作:

    1.它将会扫描整个网站,它通过跟踪站点上的所有链接和robots.txt(如果有的话)而实现扫描。然后WVS就会映射出站点的结构并显示每个文件的细节信息。

    2.在上述的发现阶段或扫描过程之后,WVS就会自动地对所发现的每一个页面发动一系列的漏洞攻击,这实质上是模拟一个黑客的攻击过程。WVS分析每一个页面中可以输入数据的地方,进而尝试所有的输入组合。这是一个自动扫描阶段。

    3.在它发现漏洞之后,WVS就会在“Alerts Node(警告节点)”中报告这些漏洞。每一个警告都包含着漏洞信息和如何修复漏洞的建议。

    4.在一次扫描完成之后,它会将结果保存为文件以备日后分析以及与以前的扫描相比较。使用报告工具,就可以创建一个专业的报告来总结这次扫描。

    网络安全工具普及——Web 漏洞扫描类


  • 2018-9-12查看详情>>
  • 超强剧透!2018年国家网络安全宣传周9月17日开幕!
  • 开幕式规模最大、博览会展区面积最广、高峰论坛体量最大!

    1场开幕式,6项重大活动,6个专项主题日活动展示全球网络安全尖端成果。

    2018年国家安全宣传周活动来了!

    9月17日-23日,我们在成都高新区等你。

    超强“剧透”抢先GET!

    举办网络安全博览会

    2018年网络安全博览会将于9月17日至21日在成都市世纪城新国际会展中心1、2号馆举行。

    与往年相比,今年的博览会融合了网络安全人才培养、技术创新、产业发展等多项内容。博览会设置了一流网络安全学院建设示范项目成果展区,对西安电子科技大学、东南大学等七所示范高校一年来的建设进展和阶段性成果进行集中展示;设置了优秀网络安全解决方案和网络安全创新产品展,展示网络安全领域新技术新理念新方案;设置了成都专题展区,展示成都市网络安全和信息化建设成果。

    此外,博览会还配置了智能语音导览,设有现场答题闯关、知识大讲堂等系列环节,让广大观众在参观博览会过程中更好地了解网络安全、参与网络安全。届时,将有近百家企业机构将参展。

    举办网络安全技术高峰论坛

    论坛将邀请国内知名院士专家、大型互联网和网络安全企业的高管,及来自俄罗斯、英国、德国等国家的企业高管和专家,围绕关键信息基础设施保护、大数据安全、个人信息保护、网络安全标准、网络安全技术产业发展、网络安全人才培养等热点问题展开讨论。

    论坛包括一场主论坛和“大数据安全和个人信息保护分论坛”、“网民网络素养教育分论坛”等9场分论坛。

    举办主题日活动

    9月18日至23日,教育部、工信部、公安部、人民银行、共青团中央、全国总工会将分别组织开展校园日、电信日、法治日、金融日、青少年日、个人信息保护日等主题日活动。

    表彰网络安全先进典型

    为加快网络安全人才培养,中央网信办、教育部指导中国互联网发展基金会网络安全专项基金组织开展了网络安全优秀人才、优秀教师等评选活动。经过相关部门和院士推荐、专家评审、公示等环节,评选出网络安全优秀人才10名,网络安全优秀教师10名。获奖名单将在宣传周开幕式上宣布。

    四大创新亮点

    顶级企业和国内外专家汇聚蓉城,展示全球网络安全的尖端成果。本次活动将邀请国内外顶尖的网络安全研究机构和组织、行业权威专家以及知名网络企业代表齐聚蓉城,参加人数预计创历届新高。本次网络安全博览会的举办规模为历届之最。

    “巅峰极客”赛事永久落户,打造吸纳顶级网络安全人才集聚地。首次打造网络安全大赛活动——“巅峰极客”网络安全技能挑战赛,推出国内首个城市网络安全仿真靶场,为顶级人才提供自由交流平台。大赛作为独立IP,将永久落户成都。

    地方特色活动丰富,凸显网络安全重镇地位。2018年网络安全博览会特别设置成都主题展区,展区共计2000平米,分成都形象展区、成都网络安全展区、互动区三大部分,充分展示成都作为国家中心城市和全国网络安全重镇,带头落实和坚定服务国家战略的担当和成果。

    更加突出开放互动,激发维护网络安全的群众力量。网络安全微课活动覆盖全国,分为线上征集、线上投票和线下颁奖。线上征集已于7月20日面向全社会公开征集,作品形式涵盖动画、短视频、音乐、脱口秀、漫画、短篇小说、诗歌、游戏、VR、AR等类型;线上投票将于9月3日开始,对由专家评选出的百部精品作品开启投票通道;线下颁奖将于9月22日上午在成都市广播电视台演播厅举行,并进行网络视频直播,根据网络投票前三名评选出最终的金银铜三奖。

    参展企业

    国内外知名企业:阿里巴巴、腾讯、百度、奇虎360、浪潮、思科、中国电科集团、国家电网、航天科技集团公司等

    研究机构:第五研究院、国家工业信息安全发展研究中心等

    网络安全公司:卡巴斯基、启明星辰、安恒等

    电信运营商:中国移动、中国联通、中国电信等

    金融机构:中国银联、中国建设银行、中国邮政储蓄银行等

    据悉,国家网络安全宣传周已经连续举办4届,通过论坛、讲座、宣传片、互动等丰富多样的形式,“网络安全”观念越来越被广大网民所接受和认可,网民的防护技能也在逐步提升。“网络安全为人民,网络安全靠人民”,这场全民参与的网络安全盛会,已经让网络安全意识成为了一种文化。


  • 2018-9-12查看详情>>
  • Apache Struts 2 远程代码执行漏洞(cve-2018-1
  • 一.  漏洞概述

    北京时间8月22日,Struts官方公开了漏洞S2-057(CVE-2018-11776)。该漏洞可能在两种情况下被触发,第一,当没有为底层xml配置中定义的结果设置namespace值,并且其上部操作配置没有namespace或通配namespace时,可能构成RCE攻击。第二,当使用没有value和action集的url标签时,并且其上层操作配置没有或通配namespace时,也可能构成RCE攻击。


    参考链接:

    https://cwiki.apache.org/confluence/display/WW/S2-057



    二.  影响范围


    受影响版本

    l Struts2.3 – 2.3.34

    l Struts2.5 – 2.5.16


    不受影响版本

    l Struts 2.3.35

    l Struts 2.5.17



    三.  漏洞排查


    3.1  版本检测

    3.1.1  通过配置文件检测 

    此漏洞产生于低版本的Struts组件,当应用系统引入相关组件时,将存在被攻击者远程攻击的风险。建议由应用开发人员排查引入组件的版本是否处于受影响范围之内。

    查看Maven配置文件pom.xml中关于组件的版本。如:


    <dependency>

        <groupId>org.apache.struts</groupId>

        <artifactId>struts2-core</artifactId>

        <version>2.5.13</version>

    </dependency>


    3.1.2  通过组件名检测

    若红字所示版本在受影响范围内,则请用户尽快升级Struts2至最新版本,以保证长期有效的防护。

    Linux系统下可使用以下命令查找当前使用的struts2-core包,通过查看其文件名,判断当前版本。


    find / -name struts2-core-*.jar



    若红框处版本号在受影响范围内,则请用户尽快升级至最新版本。



    四.  漏洞防护


    4.1  官方升级

    官方已在最新版本中修复了此漏洞,请用户尽快将Struts升级至官方修复版本,2.3.*的用户需升级至2.3.35;2.5.*的用户需升级至2.5.17。开发人员可通过配置Maven或Gradle的方式对应用升级并编译发布,也可手动下载最新Struts框架进行替换。

    Maven配置


    <!-- https://mvnrepository.com/artifact/org.apache.struts/struts2-core -->

    <dependency>

        <groupId>org.apache.struts</groupId>

        <artifactId>struts2-core</artifactId>

        <version>2.5.17</version>

    </dependency>


    Gradle配置

    // https://mvnrepository.com/artifact/org.apache.struts/struts2-core

    compile group: 'org.apache.struts' name: 'struts2-core' version:'2.5.17'





    官方下载链接:


    Struts2.3.35

    http://mirrors.hust.edu.cn/apache/struts/2.3.35/struts-2.3.35-all.zip

    Struts2.5.17

    http://mirrors.hust.edu.cn/apache/struts/2.5.17/struts-2.5.17-all.zip



    4.2  临时解决建议

    排查所有Struts 2的配置文件,如struts.xml,为没有定义namespace命名空间的package节点添加命名空间配置,示例如下:


    <package name="user" namespace="/user" extends="struts-default">

        <action name="login">

        </action>

    </package>





    声明


    本安全公告仅用来描述可能存在的安全问题,神狐互联不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,神狐互联以及安全公告作者不为此承担任何责任。


  • 2018-8-25查看详情>>
  • 在线 DDoS 平台剧增,中国已经黑客化?
  • 在过去几个月中,思科 Talos 团队观察到提供在线 DDoS 服务的中国网站数量在激增,而且其中许多网站的站内布局和设计都一模一样,比如都提供了一个用户选择目标主机,端口,攻击方法和攻击持续时间的简单界面。此外,大多数网站都是在过去六个月内注册的。但是,这些网站是以不同的组名运营的,并且注册人也不同,Talo 还观察到这些网站的管理员竟然还相互发动攻击。  

    在本文中,Talos 团队试图找到中国的 DDoS 行业兴起的原因,并对未来的发展趋势做个估计。Talos 团队将会对最近创建的 DDoS 平台类型进行统计和监测,并分析它们的相似之处和差异。最后,再对几乎相同的 DDoS 网站的源代码进行深入研究。

    DDoS 即服务在中国

    目前,DDoS 工具和服务仍然是中国地下黑市中最受欢迎的产品之一。根据 Talos 团队的统计,目前<a href="http://iphone.myzaker.com/zaker/l.php?u=http%3A%2F%2Fwww.dute360.com%2F&target=_new" textvalue="" 独特="" "="" 社区="" target="_blank" style="background-image: initial; background-position: 0px 0px; background-size: initial; background-repeat: initial; background-attachment: initial; background-origin: initial; background-clip: initial; text-decoration-line: none;">" 独特 " 社区是中国最受欢迎的黑客论坛及交易平台之一,该平台会介绍各种 DDoS 相关工具,包括实际的攻击工具,以及相关的工具,例如用于不同攻击向量(包括 SSH 和 RDP)的暴力破解器。

    另外,中国的社交媒体应用如 WeChat,QQ 等都有数百个 DDoS 群聊组,专门用于介绍和销售各种相关的工具、恶意软件和攻击目标。这些群聊组的人可以分为三大类:黑客群体、意向购买客户以及各种攻击工具的代理商和广告商。

    以前,群聊中的主要产品都是一些让用户进行下载并安装的工具,否则无法进行操,比如,天罚 DDOS 压力测试系统

    这些工具管理和提供有关客户所需的僵尸网络的信息,然后允许用户自定义攻击事件,选择目标并选择攻击方法。用户可以购买该工具,下载副本,并使用自己的服务器和僵尸网络。偶尔,黑客团体还会为客户捆绑一些服务器或一定数量的木马或包括强制性的工具来帮助用户增长自己的僵尸网络,但工具的维护最终还是得靠用户自己。

    在线 DDoS 平台在中国的兴起

    最近,Talos 已经注意到小组聊天中正在逐渐发生变化。在线 DDoS 平台的广告已经开始出现且出现的频率较高,下图就是 " 杀神 " 在线 DDoS 网站的宣传广告:

    在监控了其中几个网站后,Talos 注意到许多网站具有相同的登录和注册页面,同样的背景图片:

    此外,Talos 还观察到,这些网站中有许多网站设计和布局几乎相同,显示了在线活动用户和服务器的数量以及已执行的攻击总数(尽管这些数字在不同组之间有所不同)。此外,这些站点还包含组管理员关于该工具的最新更新,比如功能或使用限制的通知。用户只需要注册一个帐户,购买激活码即可开始发起攻击,然后通过网站上设置的界面或通过相同的命令行调用来攻击目标,方法如下:

    http://website_name/api.php?username=&password=&host=&port=&time=&method=

    从以上两幅图可以看出," 杀神 " 在线 DDoS 网站和王者 DDoS 的网站布局几乎一模一样。除了设计和功能方面的惊人相似之外,大多数网站在其域名中都有 "ddos",即 "shashenddos.club" 或 "87ddos.cc"。由于这些网站都是最近才注册的,除了通过智能搜索在中国社交媒体来发现这些 ddos 域名外,Talos 团队通过使用 Cisco Umbrella 对新注册网站但还未公开的网站进行了检测,检测方法是通过包含有 "ddos" 字串的正则表达式对最近注册的域名进行搜索。使用这些搜索方法,Talos 已经识别了 32 个几乎完全相同的中文在线 DDoS 网站(可能还有更多的网站),因为并不是所有的域名都有 "ddos" 字串。

    由于页面的相似之处,以及一些个人为同一个群体注册了许多站点,Talos 团队最初怀疑所有网站都是由一位开发者运营的,只不过用的域名不一样而已。为了验证这个猜测,Talos 团队在每个站点注册了一个帐户,并且还使用 Cisco Umbrella 的调查工具来检查每个站点的注册信息。

    不过事实推翻了研究人员的最初猜测,在各个网站注册账号后,研究人员注意到有许多用户可以通过不同的第三方中文支付网站购买激活码(价格从 20 元左右到 400 元左右)。此外,这些网站页面上的公告也显示了不同的工具功能(一些工具的攻击强度为 30-80gbps,而有一些则高达 300gbps),以及不同的联系人信息,包括用于客户服务的各种 QQ 帐户以及客服联系方式。另外,还有一个网站的页面 www.dk.ps88.Org,它列出了 44538 位用户,而另外一个网站的页面 www.pc4.Tw 则列出了 13 个用户发起的 24 次攻击。

    此外,网站的注册信息也揭示了其中最主要的差异。大多数网站有不同的注册人姓名和电子邮件,以及不同的注册商。但也有一些相似之处,几乎所有人都是中国注册商,其中大多数是在过去 3 个月内注册的,且几乎全部都是在过去一年里登记的。另外,一半以上的注册商都是在 Cloudflare IP 上托管的。

    所以经过各方面对比,Talos 团队最后确认,这些相似的网站背后的运营者是不同的,当研究人员在监视王者在线 DDoS 平台的 QQ 群聊聊天时,观察到一个小组成员要求对抗竞争对手的在线 DDoS 组—— 87 DDoS。

    Talos 研究人员也加入了一些与在线 DDoS 平台相关的群聊,并发现有多个运营者正在讨论着对对手发起 DDoS 攻击的计划。事实上,看看这些在线 DDoS 网站的一些流量,就表明他们可能经历了 DDoS 攻击,下图显示了 2017 年 7 月 1 日,有 87 个 DDoS 网站流量大幅上升

    未来发展的趋势分析

    有很强的迹象表明,多个运行商正在建立几乎一模一样的在线 DDoS 平台,但至于为什么这些网站的布局相同,且都是最近才开始出现的,还有待进一步研究。

    于是 Talos 团队开始深入了解这些问题的背后原因,下图是一位中国黑客组织的团队运营者所提供的一张在线 DDoS 平台管理页面的屏幕截图:

    上图显示了一个设置页面,其中开发者可以选择站点的名称,编写描述,并提供服务条款和 URL 的链接。

    首先,研究人员在右上角注意到 " 双子座 " 一词。

    其次,研究人员注意到 "/yolo/admin/settings" 的唯一 URL。

    最后,研究人员注意到屏幕底部有一个按钮,管理员可以选择 "Cloudflare 模式 ",这就意味着有很多网站被托管到相同的云端 IP。

    查找和分析源代码

    可以肯定,这些几乎同时兴起的类似网站,肯定具有某种共享的源代码,这可能是由中国地下黑客论坛和市场提供的。于是,研究人员去了几个论坛,并搜索屏幕截图中显示的 "/yolo /admin/settings"URL。调查发现,有几个论坛都有一个在线 DDoS 平台销售源代码的帖子,且都是已被翻译成中文的外国 DDoS 平台。

    许多帖子是在 2017 年初或 2016 年底完成的,这与 DDoS 平台兴起的时间正好呼应,广告中的图片看起来就是实际看到的网站:

    以上是 DDoS 平台源代码的广告示例,不过要注意的是,这是一个国外的 DDoS 平台源代码,不过已经被汉化了,该设计和设置面板和一个 QQ 频道差不多,并在右上角包括 " 双子座 " 的字眼。

    Talos 获得了该 DDoS 网站源代码的副本并进行了分析。很明显,观察到的所有 DDoS 网站使用的就是这套源代码,例如文件夹中包含的 PHP 文件以及相同的网站图标。此外,这些网站中大多数使用的背景也可以在图像文件夹中找到:

    源代码显示,该平台依赖于 Bootstrap 前端设计和 ajax 来加载内容。在 CSS 文件中,研究人员发现一个名为 Pixelcave 的开发者。通过对 Pixelcave 的研究,我们发现他们提供了基于 Bootstrap 的网站设计,看起来类似于检测过的在线中文 DDoS 网站。我们还注意到,Pixelcave 的标志存在于发现的许多 DDoS 网站的右上角,并且还作为图标包含在源代码中。

    根据源代码的分析,该平台具有从 mysql 数据库提取信息并根据用户的支付来评估用户的身份(即攻击次数,攻击持续时间,以及允许用户的并发攻击次数)的功能。然后,它允许用户输入主机,选择攻击方法(即 NTP,L7)和持续时间。如果该方法由开发者支持,并且目标未被列入黑名单,则会调用服务器开始执行攻击。

    有趣的是,源代码为不能受到攻击的站点提供了所谓的 " 黑名单 ",比如包含 ".gov" 和 ".edu" 站点。此外,源代码还附带了一个预先加载的中文服务条款,这样可以免除网站管理员对 " 非法 " 行为的任何牵连责任,并声称其服务仅用于测试目的。

    该代码还允许管理员监控付款是否成功,登录和攻击的总数,以及有关攻击的详细信息,如主机,攻击持续时间以及哪个服务器正在执行攻击。此外,管理员还可以设置激活码系统。

    很明显,这些源代码最初都是用英文写的,但是被汉化了。源代码还为管理员提供了通过 PayPal 和 Bitcoin 设置支付系统的选项。不过,中国的运营商很可能已将其转换成了中国支付系统,如第三方支付网站或支付宝等。因为,调查人员发现一个图像文件夹中的 Paypal 图标被更改为类似于支付宝的图标。

    关于原始源代码,本文并不做具体分析。但是,有几个提供在线 DDoS 服务的英文网站,例如 DataBooter。这些网站与中国 DDoS 平台有一些相似之处。例如,它们都具有基于引导的设计,托管在 Cloudflare 上,并具有类似的显示攻击次数,用户数和服务器数量的提示。

    上图就是 databooter [ . ] com 的布局,布局与中国在线 DDoS 网站有些相似。过去几年中,Talos 已经观察到在黑客论坛上已经有人在销售英文版的 DDoS 平台源代码。中国的开发者可能就是通过这个渠道获得的源代码(目前还没有找到直接的证据),并将其进行了汉化。

    总结

    近期中国在线 DDoS 平台的兴起似乎与中国黑客论坛的出售代码相关,而这些代码似乎都是都是由英文汉化过的。

    在线 DDoS 平台由于易于使用的界面,并且已经为用户提前提供了所有必要的基础操作功能,因此不需要用户再去构建僵尸网络或购买额外的服务。用户只要通过支付购买激活码,然后简单地输入其目标就可以发动攻击了,这样即使是没有任何经验的攻击者也能够发起强大的攻击。

    Talos 将继续监控中国黑客论坛和相关的群聊,为新建的在线中文 DDoS 平台以及中国 DDoS 行业带来更多趋势分析。


  • 2018-8-22查看详情>>
  • 2018网络安全生态峰会召开 政府企业共建网络防线
  •  2018网络安全生态峰会今天在北京举行。主题是“共建网络防线,共治安全环境,共享安全生态”。

      网络安全正受到各方面的重视,而这也注定是一项系统工程。正如工业和信息化部网络安全管理局副局长梁斌在会上所说:“网络安全生态覆盖政府部门、制造厂商、网络运营者、用户等各主体,涉及设备、网络、平台、数据等各环节,构建良好网络生态环境,需要各方共同努力。”

      据其介绍,工信部作为工业电信和互联网行业的主管部门,深入开展了网络安全环境治理,开展典型病毒、木马、漏洞等网络安全治理,强化网络数据安全,围绕数据安全和个人信息保护,对电信和互联网企业业务系统持续深入开展监测,针对大规模用户个人信息泄露等安全事件开展执法检查,依法处置违法违规行为,为数字化生态提供有力保障。推动发展网络安全产业,大力培育网络安全产业发展,引导企业加大网络安全核心技术研发和应用。

      “我关心如何更好地支持和促进互联网企业,如何更好保护个人信息,这里涉及对黑色产业链、内鬼的打击。”公安部网络安全保卫局副局长钟忠介绍说,2018年公安部组织的净网专项行动,打击了一批典型的案例,其中涉及打击黑卡案、打击网络色情图片案、打击传播淫秽物品案等典型案例。

      “公安机关将在净网行动中进一步加大治理,支持企业更好地承担起主体责任;严打网络犯罪,惩治法律黑产;加大对个人信息的保护,坚决打击侵犯公民个人信息的犯罪。”钟忠说。

      企业在网络安全中的作用不可小觑。阿里巴巴集团首席风险官郑俊芳在会议上提到一个案例:阿里安全刚用技术手段协助浙江绍兴越城区警方破获“史上最大规模数据盗窃案”。

      北京一个新三板挂牌公司,从十余省市多家运营商处窃取96家互联网公司近30亿条用户数据。你的账号莫名关注了一堆陌生营销账号,抖音、微博“自动”成为某网红的“粉丝”,可能就是这类网络黑灰产团伙所为。

      “这个案例告诉我们,所有的人、所有互联网公司,包括运营商在内的网络基础设施建设者、参与者,如果不联合铲除这些网络黑灰产,让它们恣意运作在互联网中,我们都可能是受害者。”郑俊芳说。


  • 2018-8-22查看详情>>
  • 深入了解DDoS攻击类型,有助于我们更好地部署防御
  • 目前,DDOS攻击已经不在网络安全界的新客,但作为老客的它已经变的越来越复杂。黑客不断提出新的攻击方案以便于绕过安全部门所制定的防御计划,进而对企业造成利益的损害。但安全提供商在防御技术上的研究也并没有就此停止脚步,反而更加积极的推出新的解决方案来组织黑客攻击。

    为了能够确保防御最新和最强的DDOS攻击,企业必须确定其安全提供商可以提供应对威胁的最新技术和最佳工具。因此,企业应该对这三大与之相关的攻击有深入的了解:

    1. 应用层ddos攻击

    应该层的ddos攻击已经尝过了网络层的攻击,成为了最广泛的攻击矢量。据相关的报告,有64%的企业都在面临着应用层攻击,相比之下,面临网络层攻击的企业仅为51%。但其实爱所有的攻击类型当中,HTTP洪水是排名第一的攻击矢量。此外,SSL、DNS和SMTP攻击也是常见的应用层攻击类型。

    所以现在的网络安全服务商已经开始渐渐的通过WAF实现L7层ddos防护,但这还需要在拥有ddos攻击防护机制的基础上在附加昂贵的WAF服务。这也就意味着现在能够提供ddos攻击防护的网络安全平台不仅仅具有网络层攻击的防御能力,还得具备可防御应用层攻击的能力。

    2. SSL ddos洪水攻击

    目前,加密流量占了互联网流量的一大部分,正是因为这越来越多的流量都是经过加密的,SSL ddos洪水成为了黑客越来越常用的攻击矢量。根据相关的报告显示,在过去的一年中,30%的企业都声称遭受了SSL的攻击。

    鉴于基于SSL的ddos攻击的威力,对希望得到充分保护的企业而言,可以防御SSL ddos洪水的高水平防护措施是必不可少的。

    3. 零日攻击

    攻击者在一直不断寻找新的方法,绕过传统的安全机制,并利用前所未见的攻击方法攻击企业。即使对攻击特征码做一些微小修改,黑客也能创造出手动特征码无法识别的攻击。这类攻击通常被称为“零日”攻击。

    零日攻击分为两种,一种事脉冲式ddos攻击,一种是放大攻击。这两种有很大的不同,第一种会结合许多不同矢量,依赖需要手动优化的传统安全解决方案的企业在面对在这些打了就跑的战术时往往会陷入困境。而第二种是直接将目标击垮。

    据相关报告显示,42%的企业都遭受了脉冲式攻击,40%的企业声称遭受了放大ddos攻击。这些趋势说明了零日攻击防护功能在现代ddos防护机制中的必要性。

    上述的三攻击类型都与ddos攻击有着千丝万缕的联系,或者说可能都是由ddos攻击逐渐演变而来,对它们的深入了解有助于我们更好的部署防御措施。


  • 2018-8-20查看详情>>
  • 2018年上半年中国网络安全报告
  • 近日,瑞星安全团队发布了《2018年上半年中国网络安全报告》,报告中为大家介绍了2018年上半年病毒情况、网络安全事件、移动互联网安全和互联网安全等内容。

    网络安全报告

    前言

    2018年上半年中国网络安全报告新鲜出炉,瑞星安全团队为您解读~

    一、恶意软件与恶意网址

    A. 恶意软件

    1. 2018年上半年病毒概述

    (1) 病毒疫情总体概述

    2018年上半年瑞星“云安全”系统共截获病毒样本总量2,587万个,病毒感染次数7.82亿次。新增木马病毒占总体数量的62.83%,依然是第一大种类病毒。灰色软件病毒(垃圾软件、广告软件、黑客工具、恶意软件)为第二大种类病毒,占总体数量的17.72%,第三大种类病毒为病毒释放器,占总体数量的9.55%。

    2018年上半年病毒概述

    报告期内,CVE-2018-4878漏洞利用占比52.85%,位列第一位。该漏洞影响Flash Player所有版本,攻击者可以诱导用户打开包含恶意Flash代码文件的Microsoft Office文档、网页、垃圾电子邮件等。

    2018年上半年病毒概述

    (2) 病毒感染地域分析

    报告期内,北京市病毒感染1.93亿人次,位列全国第一,其次为广东省0.57亿人次及山东省0.44亿人次。

    2. 2018年上半年病毒Top10

    根据病毒感染人数、变种数量和代表性进行综合评估,瑞星评选出了2018年上半年1至6月病毒Top10:

    3. 2018年上半年中国勒索软件感染现状

    报告期内,瑞星“云安全”系统共截获勒索软件样本31.44万个,感染共计456万次,其中广东省感染116万次,位列全国第一,其次为上海市62万次,北京市34万次及江苏省22万次。

    2018年上半年中国勒索软件感染现状

    2018年上半年中国勒索软件感染现状

    通过对瑞星捕获的勒索样本按家族分析发现,LockScreen家族占比43%,位列第一,其次为WannaCrypt占比27%,以及GandCrab占比20%。

    2018年上半年中国勒索软件感染现状

    B. 恶意网址

    1. 2018年上半年全球恶意网址总体概述

    2018年上半年瑞星“云安全”系统在全球范围内共截获恶意网址(URL)总量4,785万个,其中挂马网站2,900万个,诈骗网站1,885万个。美国恶意URL总量为1,643万个,位列全球第一,其次是中国226万个,德国72万个,分别为二、三位。

    2018年上半年全球恶意网址总体概述

    2. 2018年上半年中国恶意网址总体概述

    报告期内,甘肃省恶意网址(URL)总量为72万个,位列全国第一,其次是浙江省36万个,以及香港29万个,分别为二、三位。

    注:上述恶意URL地址为恶意URL服务器的物理地址。

    2018年上半年中国恶意网址总体概述

    3. 2018年上半年中国诈骗网站概述

    2018年上半年瑞星“云安全”系统共拦截诈骗网站攻击182万余次,广东受诈骗网站攻击32万次,位列第一位,其次是北京市受诈骗网站攻击30万次,第三名是上海市受诈骗网站攻击13万次。

    2018年上半年中国诈骗网站概述

    报告期内,情色类诈骗网站占39%,位列第一位,其次是广告联盟类诈骗网站占33%,赌博类诈骗网站占12%,分别为二、三位。

    2018年上半年中国诈骗网站概述

    4. 2018年上半年中国主要省市访问诈骗网站类型

    报告期内,北京、辽宁、浙江等地区访问的诈骗网站类型以情色网站为主,广东、山东、广西等地区则以在线赌博为主,其余地区访问恶意推广诈骗网站居多。

    2018年上半年中国主要省市访问诈骗网站类型

    5. 诈骗网站趋势分析

    2018年上半年情色、赌博类诈骗网站占比较多,这些恶意网站大多通过非法手段进行传播,赌博类诈骗网站利用高利润的方式吸引用户,前期平台方会在后台操作让用户少输多赢,当用户产生一定的兴趣后,再进行后台操作赢取用户钱财。诈骗网站的传播途径:

    • 利用微信朋友圈以软文方式进行诱导传播。

    • 利用QQ群发方式进行范围传播。

    • 利用短信群发平台以中奖方式进行传播。

    • 利用游戏辅助软件进行传播。

    • 利用大型互联网平台发布信息进行传播。

    6. 2018年上半年中国挂马网站概述

    2018年上半年瑞星“云安全”系统共拦截挂马网站攻击38万余次,北京市受挂马攻击12万次,位列第一位,其次是浙江省受挂马攻击10万次。

     2018年上半年中国挂马网站概述

    7. 挂马网站趋势分析

    2018年上半年挂马攻击相对减少,攻击者一般自建一些导航类或色情类网站,吸引用户主动访问。有些网站会锁定用户浏览器主页,当用户访问会自动跳转到指定的恶意网站,大部分恶意网站会挂载木马程序诱导用户下载,进而窃取用户的账户信息,非法分子利用窃取的信息进行诈骗或资金盗刷。挂马防护手段主要为:

    更新到最新的浏览器版本。 禁止浏览陌生邮件或手机短信发送的链接网址。 禁止浏览不正规或非法网站。 禁止在非正规网站下载软件程序。 安装杀毒防护软件。

    二、移动互联网安全

    A. 手机安全

    1. 2018年上半年手机病毒概述

    2018年上半年瑞星“云安全”系统共截获手机病毒样本345万个,新增病毒类型以信息窃取、资费消耗四类为主,其中信息窃取类病毒占比28%,位居第一。其次是资费消耗类病毒占比27%,第三名是流氓行为类病毒,占比17%。

    2018年上半年手机病毒概述

    2. 2018年上半年手机病毒Top5

    2018年上半年手机病毒Top5

    3. 2018年上半年Android手机漏洞Top5

    2018年上半年Android手机漏洞Top5

    B. 2018年上半年移动安全事件

    1. “旅行青蛙”游戏外挂藏风险

    2018年1月,一款名为“旅行青蛙”的手游在朋友圈中刷屏。因为操作简单、节奏缓慢,这款游戏也被网友戏称为“佛系养蛙”。部分商家瞅准商机,针对iOS手机用户,推出“花费20元即可购买21亿无限三叶草”服务,通过“外挂”操作,让玩家轻易获得大量三叶草。记者调查发现,购买“无限三叶草”服务后,需要在电脑上按照教程操作或允许商家远程操作,但其间存在不少风险,或会造成手机中数据丢失,甚至泄露个人隐私。

    “旅行青蛙”游戏外挂藏风险

    2. 恶意软件伪装“系统Wi-Fi服务”感染近五百万台安卓手机

    2018年3月,安全研究人员发现一个大规模持续增长的恶意软件活动,已经感染了全球近500万台移动设备。一款名为“Rottensys”的恶意软件伪装成“系统Wi-Fi服务”,该程序包含风险代码,可在后台私自下载恶意插件并静默安装,进行远程控制命令以及对用户手机进行root,从而频繁推送广告并进行应用分发,消耗用户流量资费,影响用户体验。受影响的品牌包括荣耀、华为、小米、OPPO、Vivo、三星和金力等。

    3. 二手手机信息泄露乱象:10元可买通讯录,几十元可恢复已经删除的数据

    2018年6月,有记者调查发现,网上有收售二手手机、电脑的贩子以一毛钱一条的价格打包出售机主信息。而在二手手机交易和手机维修市场中,很多维修商称只需花几十元就能恢复手机通讯录、照片、微信聊天记录等,哪怕手机被恢复到出厂设置,也可以将删除的信息复原。专家表示,要想手机信息不被泄露,通常需要从硬件安全和软件安全两方面去解决。“硬件安全就是外界所说的用水泡或者将手机砸烂。但这种方式无论从环保性还是经济性而言,成本太高。”软件安全,则是用户为了规避隐私风险,在出售手机前可以通过第三方粉碎软件将所有个人信息删除粉碎,同时需要解除手机上涉及网络支付的所有软件绑定。

    三、互联网安全

    A. 2018年上半年全球网络安全事件解读

    1. 英特尔处理器曝“Meltdown”和“Spectre漏洞”

    2018年1月,英特尔处理器中曝“Meltdown”(熔断)和“Spectre” (幽灵)两大新型漏洞,包括AMD、ARM、英特尔系统和处理器在内,几乎近20年发售的所有设备都受到影响,受影响的设备包括手机、电脑、服务器以及云计算产品。这些漏洞允许恶意程序从其它程序的内存空间中窃取信息,这意味着包括密码、帐户信息、加密密钥乃至其它一切在理论上可存储于内存中的信息均可能因此外泄。

    2. 湖北某医院内网遭到挖矿病毒疯狂攻击

    2018年3月,湖北某医院内网遭到挖矿病毒疯狂攻击,导致该医院大量的自助挂号、缴费、报告查询打印等设备无法正常工作。由于这些终端为自助设备,只提供特定的功能,安全性没有得到重视,系统中没有安装防病毒产品,系统补丁没有及时更新,同时该医院中各个科室的网段没有很好的隔离,导致挖矿病毒集中爆发。

    3. 中国某军工企业被美、俄两国黑客攻击

    2018年3月,安全研究人员表示,中国某军工企业被美、俄两国黑客攻击。美国黑客和俄罗斯黑客在2017年冬天入侵了中国一家航空航天军事企业的服务器,并且留下了网络间谍工具。研究人员认为这种情况比较罕见,以前从未发现俄罗斯黑客组织 APT28 与美国 CIA 的黑客组织 Lamberts (又被称为“长角牛”Longhorn)攻击同一个系统。

    4. Facebook用户数据泄露

    2018年3月,Facebook八千七百多万用户数据泄露,这些数据被“剑桥分析”公司非法利用以发送政治广告。此次事件被视为 Facebook 有史以来遭遇的最大型数据泄露事件。剑桥分析公司与Facebook进行了合作。前者开发了一个让用户进行“个性人格测试”的 Facebook App(类似国内微信的小程序),每个用户做完这个测试,就可以得到5美元。剑桥分析公司不仅收集了用户的测试结果,顺便收集了用户在Facebook上的个人信息。剑桥分析公司以此访问并获得了8700万活跃用户数据,然后建立起用户画像,依靠算法,根据每个用户的日常喜好、性格特点、行为特征,预测他们的政治倾向,然后定向向用户推送新闻,借助Facebook的广告投放系统,影响用户的投票行为。

    5. GitHub遭受有史以来最严重DDoS攻击

    2018年3月,知名代码托管网站GitHub遭遇了有史以来最严重的DDoS网络攻击,峰值流量达到了1.35Tbps。尽管此类攻击的特点就是利用如潮水般的流量同时涌入网站,不过本次攻击不同之处在于采用了更先进的放大技术,目的是针对主机服务器产生更严重的影响。这项新技术并非依赖于传统的僵尸网络,而是使用了memcached服务器。该服务器的设计初衷是提升内部网络的访问速度,而且应该是不暴露在互联网中的。不过根据DDoS防御服务提供商Akamai的调查,至少有超过5万台此类服务器连接到互联网上,因此非常容易受到攻击。

    6. A站受黑客攻击 近千万条用户数据外泄

    2018年6月,弹幕视频网AcFun公告称,因网站受黑客攻击,已有近千万条用户数据外泄,目前已报警处理,希望用户及时修改密码。公告称,用户数据泄露的数量达近千万条,原因是遭到黑客攻击。泄露的数据主要包括用户ID、昵称、加密储存的密码等。A站表示,本次事件的根本原因在于公司没有把AcFun做得足够安全,为此,官方向用户道歉,并将马上提升用户数据安全保障能力。目前,A站已联合内部和外部的技术专家成立了安全专项组,排查问题并升级了系统安全等级。此后,公司将对AcFun服务做全面系统加固,实现技术架构和安全体系的升级。

    B. 2018年上半年流行病毒分析

    1. MsraMiner挖矿病毒

    2018年最大的变化是病毒制造者将目标投向了挖矿领域,大量的挖矿病毒层出不穷,其中影响最大的是一个构造精密被称为 “MsraMiner”的挖矿僵尸网络。此病毒利用永恒之蓝漏洞攻击局域网中的机器,中毒机器会继续使用永恒之蓝漏洞攻击其它机器,并作为web服务器供其它机器下载,导致大量局域网主机被植入挖矿病毒,同时病毒持续升级对抗查杀。导致此病毒爆发的主要原因是:

    • 企业存在大量机器没有安装永恒之蓝漏洞补丁。

    • 企业内外网混用,并没有做到真正的隔离,连接互联网的一台机器中毒后,导致公司内网机器大量中毒。

    • 企业没有安装杀毒软件,没有及时更新病毒库,为病毒传播制造了有利条件。

    2. 蠕虫化的勒索病毒

    从WannaCry勒索病毒爆发以来,勒索病毒层出不穷,并且勒索病毒蠕虫化变得更加流行起来。2018年2月份,两家省级医院感染勒索病毒,导致服务中断。感染原因被怀疑是系统存在漏洞和弱口令,导致攻击者植入勒索病毒,并快速传播。

    其中影响较大的Satan勒索病毒,不仅使用了永恒之蓝漏洞传播,还内置了多种web漏洞的攻击功能。相比传统的勒索病毒传播速度更快。虽然已经被解密,但是此病毒利用的传播手法却非常危险。

    3. VPNFilter物联网病毒

    VPNFilter恶意软件是一个多阶段、模块化的平台,具有多种功能,可支持情报收集和破坏性网络攻击操作,可感染71款甚至更多物联网设备,这些设备包括路由器、摄像头、机顶盒等。物联网设备中毒后较难发现,漏洞难以及时修补,甚至有的设备已经找不到生产厂商。这些感染物联网病毒的僵尸设备,会对全球网络安全造成很大的隐患。

    4. 网页挖矿病毒新变化

    全球将近5万家网站被攻击者植入挖矿脚本,其中很大一部分是Coinhive 脚本。Coinhive专门提供一个用来挖矿的JS引擎,当用户访问含有Coinhive代码的网页时,Coinhive的JS代码库就会在用户的浏览器上运行,挖矿程序就会开始工作,挖掘门罗币,消耗用户计算机的CPU资源。使用Coinhive默认的方式挖矿,已经很容易被发现。2018年上半年,网页挖矿病毒又出现新变化,出现了两种新的攻击方式,一种是做一个中转再访问Coinhive挖矿脚本的链接,另一种是自建平台不使用Coinhive,这种方式更加隐蔽,并且避免了Coinhive平台的手续费。

    四、趋势展望

    A. 犯罪团伙转向挖矿与勒索

    近年来,挖矿和勒索病毒持续上升,传统DDOS和刷流量的病毒仍然存在,但有一定的下降,一方面DDOS和刷流量的病毒过于显眼,另一方面相关部门加大了打击力度。虚拟货币的钱包地址比较隐蔽,一般情况下很难通过钱包地址定位到攻击者的身份。无论是加密货币挖矿的钱包地址,还是勒索病毒索要赎金的钱包地址都是虚拟货币钱包,因此催生了加密货币挖矿病毒和勒索病毒的爆发。

    B. 漏洞利用越来越广泛

    以前漏洞大部分都是APT团伙在使用,但随着经济利益的驱使,挖矿和勒索病毒也开始使用漏洞,而且使用漏洞的种类开始增加,这就导致很多受害者,并没有下载运行可疑程序也有可能中毒。尤其是服务器,运行了很多web服务、数据库服务、开源CMS等服务,这些服务经常会出现漏洞,如果服务器没有及时更新补丁,就会被攻击者通过漏洞植入病毒,而且很多公司的外网服务器和内网是连通的,一旦服务器中毒,就可能导致局域网很多机器中毒。

    C. 物联网病毒更加精密

    物联网病毒最知名的是“Mirai”,它被用来发动DDOS攻击,后续基于“Mirai”修改而来的变种大多也是为了DDOS攻击。然而随着物联网设备的增多,物联网病毒也会有更多的功能,比如路由器中了病毒,就可能导致网络通信中的帐号密码等隐私信息被窃取。如果摄像头中了病毒,就可能导致一举一动都在攻击者的监控之中。如果中病毒的是工控设备,就可能导致工厂停产、城市停电等严重问题。

    未来一段时间,利用漏洞攻击的挖矿和勒索病毒仍会持续增加,物联网病毒的数量和功能仍将持续增长。因此用户需要及时更新补丁,升级系统固件,安装防病毒产品,降低中毒的风险。



  • 2018-8-20查看详情>>
  • 113.113.92.x 神狐令云堤清洗
  • 单机100-350G防御,电信上层封UDP协议。无视UDP,无视CC
    云堤清洗段,超高防御,为您的业务保驾护航
    我们正在寻找饱受攻击的你,如果你的业务经常被攻击,请联系我们。
    省口防御,无视CC,高防DDOS。
    傲盾+金盾+绿盟,三层防火墙保证业务稳定。
    多种配置,超大带宽,机房入口2T带宽。
    任意机型,免费测试!
    绝地求生,DNF,CF,棋牌,博 彩,时 时 彩,私服,专用机器。
    www.2011721.com
    欲知详情,请咨询销售
    可选IP:
    113.113.92.1-113.113.92.255

  • 2018-4-20查看详情>>
  • 183.57.149.111 【神狐令】单线段
  • 单机100-350G防御,电信上层封UDP协议。无视UDP,无视CC
    我们正在寻找饱受攻击的你,如果你的业务经常被攻击,请联系我们。
    省口防御,无视CC,高防DDOS。
    傲盾+金盾+绿盟,三层防火墙保证业务稳定。
    多种配置,超大带宽,机房入口2T带宽。
    任意机型,免费测试!
    绝地求生,DNF,CF,棋牌,博 彩,时 时 彩,私服,专用机器。
    www.2011721.com
    欲知详情,请咨询--神狐云联  
    可选IP:
    183.57.149.1-183.57.149.255

  • 2018-4-20查看详情>>
16 条 首页 上一页 下一页 尾页 页次:1/1页  20条/页 转到: