微软更新安全报告,指出已发现针对Internet Information Services(iis)FTP服务安全漏洞的攻击。而且微软原本以为该漏洞仅影响IIS 5.0、IIS 5.1及IIS 6.0,但最新的报告则显示IIS 7.0亦无法幸免。这是一个FTP服务堆栈溢出漏洞,若FTP服务器允许未被授权的使用者登入而且可建立一个很长且特制的目录,就可能触发该漏洞,让黑客可以执行程序或进行阻断式服务攻击。
早在一周前专门搜集攻击程序的Milw0rm网站就出现针对该漏洞的攻击程序,首只攻击程序主要锁定Windows 2000服务器上所执行的IIS 5.0。而上周Milw0rm站上再度出现锁定其他平台进行阻断式服务攻击的概念性验证程序,包括Windows XP上的IIS 5.1、Windows 2003所使用的IIS 6.0,以及Windows Vista及Windows Server 2008平台上的IIS 7.0都受到波及。 微软安全响应中心Alan Wallace上周证实已发现针对IIS FTP漏洞的有限攻击。 不过,微软IIS团队成员Wade Hilmo则表示,上周新出现的概念性验证程序是锁定另一个IIS FTP服务漏洞,只是它与首个出现的漏洞有相同的影响,而解决方法亦类似。 Hilmo指出,两个概念性验证程序皆是由同一个研究人员所揭露,而且该研究人员都是选择直接向大众发表,而未先知会微软。 IIS与FTP的版本别有些不一致而混淆了不少人。通常IIS与FTP版本是相对应的,但IIS 6.0及IIS 7.0则例外皆采用FTP 6.0版本,而且微软额外针对Vista及Windows Server 2008平台供应FTP 7.0扩充组件,Hilmo说明,目前的调查显示FTP 7.0及Windows 7与Windows 2008 R2所采用的FTP 7.5是不受影响的。 该版本别的设计也导致微软安全响应中心初期宣布IIS 7.0并未受到影响。 在更新程序尚未出炉前,微软建议用户可以关闭FTP服务,或是避免利用NTFS ACLs建立新的目录,而且也不要让不明的用户透过IIS设计写入数据。 微软即将于本周二(9/8)进行例行性更新,但外界认为微软应该来不及于此次更新修补该漏洞。
安全技术
2010, April 8, 11:30 PM
[置顶] 浙江桐庐山水涧-徒步穿越
网络已出现针对IIS漏洞攻击
No Comments | 安全技术 | by bigsea | 1529 Views. | 2009, September 7, 10:39 PMcisco路由1600和2600系列flash恢复方法
No Comments | 安全技术 | by bigsea | 2089 Views. | 2009, July 27, 4:53 PM不小心把IOS删掉或者升级IOS失败,重起后进入ROMMON(ROMMON状态是ROM MONITOR的缩写)状态,是比较常见的事,对一个新手而言,前者的可能要大些。两者都可能使路由器进入ROMMON状态,不能进行正常的路由转发功能和软件配置,在这种模式下,原IOS中的大部分命令都无法使用。那怎么办呢?根据cisco网站的资料,我翻译整理了两种常用的方法:1.使用TFTP恢复IOS;2.使用Xmodem恢复IOS。不同的路由器的命令有些不一样,这里以2600和3600系列路由为例,但是思路应该是差不多的,下面分开讲一下这两种方法:
在进行恢复之前,可以先看一下路由器的flash里文件,用命令:dir flash:;注意命令中flash后面跟冒号(:),执行命令后会显示flash现存的IOS大小和文件名,如下面:
1. rommon 1 > dir flash:
File size Checksum File name
2179331 bytes (0x214103) 0x7b95 c1600-nsy-mz_112-15a_p
如果File name和File size的两项都是符合你的要求的,正确无误,那么你就不必要进行升级。这样也许是你的config-register的设置有问题,正常的一般 config-register应该是0x2102的。注意0x2102中的最后一位值2, 最后一位值在2到F都是正常的。注意config-register的值控制着路由器的启动!如果最后一位数值不是在这个范围内,可以使用confreg 命令来改变它的值。关于config-register的16bit的每bit的含意,可以看一下cisco的技术资料,这里就不多说了。如果File name和File size的两项有一项是错的,那就进行下面的升级步骤:
一、 使用TFTP恢复IOS
使用交叉的网线连接你的路由器以太口和装有TFTP Server软件的PC机,在PC机上启动TFTP Server软件,并把新的IOS文件放在TFTP server所在目录的根目录下,如:你的TFTP Server软件在机器装的是Cisco TFTP Server目录,那么就把新的IOS文件放在Cisco TFTP Server目录下就可以了。用控制线将调试机器与路由器连接起来。(一定要与第一个以太口)
接下来的事就是在路由器进行操作了,在路由器上首先要设置一下ROMMON状态的环境变量,注意所有的环境变量都是大小写敏感的,一定要注意了!往往出错就是因为这个原因。具体下面设置如下:
打开机器的超级终端工具,连接上ROUTER,此时窗口中出现
的命令行提示符为: ROMMON 1 > (其中"1"代表命令行的行数)。在提示符后输入命令:
ROMMON 1 >IP_ADDRESS= ROUTER的IP地址(要和TFTP软件所在的机器在同一网段内)
ROMMON 2 >IP_SUBNET_MASK= ROUTER的子网掩码
ROMMON 3 >DEFAUT_GATEWAY= 默认网关地址 (可以没有,也可以是TFTP服务器)
ROMMON 4 >TFTP_SERVER= TFTP 服务器IP地址
ROMMON 5 >TFTP_FILE= IOS文件名(只给出文件名,不需要路径)
ROMMON 6 >tftpdnld 回车
注意:前面的几条命令必须使用大写,而最后的tftpdnld则要用小写。 设置完后要用sync命令保存环境变量到NVRAM,用set命令进行察看设置。
在tftpdnld命令执行后,只要根据提示选择,就可完成文件的传输。当文件传输完后,将自动回到命令行下,输入reset重启ROUTER,重启后就又回到了熟悉的IOS模式下 甚至连以前配置的信息都不会丢失。
下面是具体的例子:
Example
rommon 16 > IP_ADDRESS=172.16.0.1
rommon 17 > IP_SUBNET_MASK=255.255.255.0
rommon 18 > DEFAULT_GATEWAY=172.16.0.2
rommon 19 > TFTP_SERVER=172.16.0.2
rommon 20 > TFTP_FILE=c2600-is-mz.113-2.0.3.Q
rommon 21 > tftpdnld
IP_ADDRESS: 172.16.0.1
IP_SUBNET_MASK: 255.255.255.0
DEFAULT_GATEWAY: 172.16.0.2
TFTP_SERVER: 172.16.0.2
TFTP_FILE: c2600-is-mz.113-2.0.3.Q
Invoke this command for disaster recovery only.
WARNING: all existing data in all partitions on flash will be lost!
Do you wish to continue? y/n: [n]: y
Receiving c2600-is-mz.113-2.0.3.Q from 172.16.0.2 !!!!!.!!!!!!!!!!!!!!!!!!!.!!
File reception completed.
Copying file c2600-is-mz.113-2.0.3.Q to flash.
Erasing flash at 0x607c0000
program flash location 0x60440000
rommon 22 >
二、 使用Xmodem恢复IOS
使用Xmodem和TFTP的主要区别就在于传输的途径不一样,TFTP的IOS传输必须经过以太网线,而Xmodem则是通过控制线来传输的,所以使用 Xmodem恢复IOS就不必进行PC机和路由器的网线连接,也不需要IP地址方面的设置,省了不少事。但是Xmodem是通过控制线(console)来进行传输的,一般和cisco路由器相连的控制线波特率是9600,就是9.6k/s,速度很慢传输一个几M大小的文件需要比较长的时间,需要耐心的等待。等待总是让人很焦虑,我就是一个不喜欢等待的人。幸好,还可以在路由器上更改波特率,最大是115200,即115.2K/S,虽然相对100M/s 的快速以太网相差甚远,但是比9.6k/S的蜗牛速度爽多了吧,所以先进行默认波特率的修改,可以用confreg命令来修改,如下:
rommon 2 > confreg
Configuration Summary
enabled are:
load rom after netboot fails
console baud: 9600
boot: image specified by the boot system commands
or default to: cisco2-C3600
do you wish to change the configuration? y/n [n]: y
enable "diagnostic mode"? y/n [n]: !--- pressing "Enter" accepts the
!--- default (value between the brackets)
enable "use net in IP bcast address"? y/n [n]:
disable "load rom after netboot fails"? y/n [n]:
enable "use all zero broadcast"? y/n [n]:
enable "break/abort has effect"? y/n [n]:
enable "ignore system config info"? y/n [n]:
change console baud rate? y/n [n]: y
enter rate: 0 = 9600, 1 = 4800, 2 = 1200, 3 = 2400
4 = 19200, 5 = 38400, 6 = 57600, 7 = 115200 [7]: 7
change the boot characteristics? y/n [n]:
Configuration Summary
enabled are:
load rom after netboot fails
console baud: 115200
boot: image specified by the boot system commands
or default to: cisco2-C3600
do you wish to change the configuration? y/n [n]:
You must reset or power cycle for new config to take effect
改完了,你需要重起一下,让配置生效,注意,你的调试机器上的超级终端的连接波特率也要改为115200,不然你重起后你可能看见的就是一堆乱码#^¥&%×^×^,呵呵。
接下就是用xmodem命令来做了,xmodem的使用方法如下:
rommon 1 > xmodem [-cyrx] <destination filename>
选项
功能
-c
传输过程中使用 CRC-16 检查. 缺省的是 8-bit CRC.
-y
ymodem-batch 协议使用CRC-16错误检查
-r
让软件传到DRAM中,缺省的是Flash中。
注意: 不推荐!重起后,DRAM的文件会丢失,你还要进行一次恢复IOS.
-x
让软件传到DRAM中,但是不执行,除非使用launch 命令。
注意: 不推荐!同上一个参数-r
-f
擦除Flash里全部的文件
这个选项是1600系列路由器指定的;在其他平台上是缺省项
Examples:
rommon 1 > xmodem -cf c1600-nsy-mz_112-15a_P
rommon 1 > xmodem -y c2500-js-mz_120-14
让我们step by step来试试:
1. 来执行xmodem命令:rommon 1 > xmodem c1600-nsy-mz_112-15a_P
c1600-nsy-mz_112-15a_P是我们打算在路由器中保存的文件名,你可以起自己想要的名字,不过最好是按原文件的名字来。
2.等待ROMmon 提示信息,类似下面:
Ready to receive file c1600-nsy-mz_112-15a_P ...
3.ok,可以进行文件传输了,在超级终端界面,点击鼠标右键,选择发送文件,弹出的对话框,上面选择你要传送到路由器内的新的IOS,下面选择Xmodem协议。然后点击发送,就可以了。
4.接下来就是文件传输的界面了,耐心些等待吧......:)
5.当显示:Download Complete!信息时,就差不多万事大吉了,不过做为列行的检查还是必要的,用命令:dir flash: 看看文件是不是已经正确无误的传过去了。
rommon 1 > dir flash:
File size Checksum File name
2179331 bytes (0x214103) 0x7b95 c1600-nsy-mz_112-15a_p
6.哈哈,到了最后了:使用 reset或者 bootflash:[filename] 命令,如下显示:
rommon 1 > reset或者rommon 1 > boot flash:c1600-nsy-mz_112-15a_P
重起路由器,ok了吗?如果已经进入正常的界面了,那就恭喜你了,IOS恢复就成功了,你可以检查一些看看:show version;show flash等。但是别忘了,刚才你把默认的控制线波特率9600改为115200了,现在要做就是改回来,命令:config t;config-register 0x2102;end。
McaFee发布社会工程报告--推荐阅读
No Comments | 安全技术 | by bigsea | 2090 Views. | 2009, March 25, 10:56 AMUbuntu下轻松安装拼音输入法
1 Comment | 安全技术 | by bigsea | 8270 Views. | 2009, March 3, 12:53 AM1.安装好的ubuntu是英文的,因此最好安装中文语言支持,可在系统管理里面选择“LANGUAGE”,选择“简体中文”;
2.确认SCIM被删除,如果之前安装过,可通过SCIM输入法设置中将SCIM中文输入法删除,也可输入“sudo apt-get remove scim”;
3.下载fcitx,可以上FCITX官方网站下载,也可在终端下输入“sudo apt-get install fcitx ”获取FCITX;
4.如果是在官方网站下载的安装包,那么解压缩后,进行安装,输入“ sudo ./fcitx.install”即可;
5.难点就是配置小企鹅输入法了,首先需要在etc/X11/Xsession.d/目录下,建立“95fcitx_start”这样一个文件,然后对其进行编辑,“sudo vi /etc/X11/Xsession.d/95fcitx_start”,内容输入:
export LC_CTYPE=zh_CN.UTF-8
export XMODIFIERS=@im=fcitx
export XIM=fcitx
export XIM_PROGRAM=fcitx
fcitx
6.保存退出后,要记得给该文件添加可执行权限,输入“sudo chmod +x /etc/X11/Xsession.d/95fcitx_start”
重启电脑,小企鹅就会开机自动启动了,通过CTRL+SPACE就可以使用小企鹅中文输入法。
后记:经过测试后发现fcitx输入法并不是很好用,跟万能五笔似的的,搞得很花哨,不喜欢的肯定也不再少数,在这里我给大家推荐ubuntu下另一个好用的输入法ibus,因属于第三方软件所以需要使用第三方软件源
1,安装Ubuntu Tweak,现在的版本应该是0.46正式版,安装好后再第三方软件源中添加ooo以及ibus等中文软件的软件源;
2,在终端下输入sudo apt-get install ibus ibus-pinyin ibus-table命令完成安装即可
使用了一段时间ibus输入法非常好用,感觉ubuntu这个系统非常棒,已经可以满足正常的办公需求,如果有用户也是dell用户,可以访问linux.dell.com下载ubuntu的dell官方的oem版本,基本集成了dell的驱动,大小在1.8G左右;希望更多的人能加入到linux阵营中(:
黑客社会工程学攻击的八种常用伎俩
2 Comments | 安全技术 | by bigsea | 18115 Views. | 2009, February 23, 6:00 PM著名黑客Kevin Mitnick在上世纪90年代让“黑客社会工程学”这个术语流行了起来,不过这个简单的概念本身(引诱某人去做某事,或者泄露敏感信息)却早有年头了. 专家们认为,如今的黑客仍在继续采用黑客社会工程学的新老伎俩盗窃密码、安装恶意软件或者攫取利益.此处所列的是一些最流行的利用电话、email和网络的社会工程学攻击伎俩.
1. 十度分隔法
利用电话进行欺诈的一位社会工程学黑客的首要任务,就是要让他的攻击对象相信,他要么是1)一位同事,要么是2)一位可信赖的专家(比如执法人员或者审核人员).但如果他的目标是要从员工X处获取信息的话,那么他的第一个电话或者第一封邮件并不会直接打给或发给X.
在社会心理学中,六度分隔的古老游戏是由很多分隔层的.纽约市警察局的一位老资格探员Sal Lifrieri,如今正定期举办一个叫做“防范性运营”的企业培训课程,教授如何识别黑客穿透某个组织的社会工程学攻击手段.他说,黑客在一个组织中开始接触的人可能会与他所瞄准的目标或人隔着十层之远.
“我讲课时不断地在告诫人们,多少得具备一些放人之心,因为你不知道某人到底想从你这儿获得什么,”Lifrieri说.渗透进入组织的起点“可能是前台或门卫.所以企业必须培训员工彼此相识.而作为犯罪起点的秘书或者前台距离犯罪分子真正想接近的目标有可能隔着十层之远.”
Lifrieri说,犯罪分子所用的方法很简单,就是奉承某个组织里更多可以接近的人,以便从职务更高的人那里获得他们所需的信息.
“他们常用的技巧就是伪装友好,”Lifrieri说.“其言辞有曰:'我很想跟您认识一下.我很想知道在您的生活中哪些东西是最有用的.'然后他们很快就会从你那里获得很多你原本根本不会透露的信息.”
2. 学会说行话
每个行业都有自己的缩写术语.而社会工程学黑客就会研究你所在行业的术语,以便能够在与你接触时卖弄这些术语,以博得好感.
“这其实就是一种环境提示,”Lifrieri说,“假如我跟你讲话,用你熟悉的话语来讲,你当然就会信任我.要是我还能用你经常在使用的缩写词汇和术语的话,那你就会更愿意向我透露更多的我想要的信息.”
3. 借用目标企业的“等待音乐”
Lifrieri说,成功的骗子需要的是时间、坚持不懈和耐心.攻击常常是缓慢而讲究方法地进行的.这不仅需要收集目标对象的各种轶事,还要收集其他的“社交线索”以建立信任感,他甚至可能会哄骗得你以为他是你还未到这家企业之前的一位同事.
另外一种成功的技巧是记录某家公司所播放的“等待音乐”,也就是接电话的人尚未接通时播放的等待乐曲.
“犯罪分子会有意拨通电话,录下你的等待音乐,然后加以利用.比如当他打给某个目标对象时,他会跟你谈上一分钟然后说:'抱歉,我的另一部电话响了,请别挂断,'这时,受害人就会听到很熟悉的公司定制的等待音乐,然后会想:'哦.此人肯定就在本公司工作.这是我们的音乐.'这不过是又一种心理暗示而已.”
4. 电话号码欺诈
但最分子常常会利用电话号码欺诈术,也就是在目标被叫者的来电显示屏上显示一个和主叫号码不一样的号码.
“犯罪分子可能是从某个公寓给你打的电话,但是显示在你的电话上的来电号码却可能会让你觉得好像是来自同一家公司的号码,”Lifrieri说.
于是,你就有可能轻而易举地上当,把一些私人信息,比如口令等告诉对方.而且,犯罪分子还不容易被发现,因为如果你回拨过去,可能拨的是企业自己的一个号码.
5. 利用坏消息作案
“只要报纸上已刊登什么坏消息,坏分子们就会利用其来发送社会工程学式的垃圾邮件、网络钓鱼或其它类型的邮件,”McAfee Avert实验室的安全研究主任Dave Marcus说.
Marcus说,他们的实验室在这次的美国总统大选和经济危机中看到了此类活动的增多趋势.
“有大量的网络钓鱼攻击是和银行间的并购有关的,”Marcus说.“钓鱼邮件会告诉你说,'你的存款银行已被他们的银行并购了.请你点击此处以确保能够在该银行关张之前修改你的信息.'这是诱骗你泄露自己的信息,他们便能够进入你的账户窃取钱财,或者倒卖储户的信息.”
6. 滥用网民对社交网站的信任
Facebook、MySpace和LinkedIn都是非常受欢迎的社交网站.很多人对这些网站十分信任.而最近的一次钓鱼欺诈事件就瞄上了 LinkedIn的用户,这次攻击让很多人感到震惊.Marcus说,已经有越来越多的社交网站迷们收到了自称是Facebook网站的假冒邮件,结果上了当.
“用户们会收到一封邮件称:'本站正在进行维护,请在此输入信息以便升级之用.'只要你点进去,就会被链接到钓鱼网站上去.”Marcus因此建议人恩最好手工输入网址以避免被恶意链接.并应该记住,很少有某个网站会寄发要求输入更改口令或进行账户升级的邮件.
7. 输入错误捕获法
犯罪分子还常常会利用人们在输入网址时的错误来作案,Marcus说.比如当你输入一个网址时,常常会敲错一两个字母,结果转眼间你就会被链接到其他网站上去,产生了意想不到的结果.
“坏分子们早就研究透了各种常见的拼写错误,而他们的网站地址就常常使用这些可能拼错的字母来做域名.”
8. 利用FUD操纵股市
一些产品的安全漏洞,甚至整个企业的一些漏洞都会被利用来影响股市.根据Avert的最新研究报告,例如微软产品的一些关键性漏洞就会对其股价产生影响,每一次有重要的漏洞信息被公布,微软的股价就会出现反复的波动.
“公开披露信息肯定会对股价产生影响,”Marcus说.“另有一个例子表明,还有人故意传播斯蒂夫·乔布斯的死讯,结果导致苹果的股价大跌.这是一个利用了FUD(恐慌、不确定、怀疑),从而对股价产生作用的明显事例.”
当然,反向操纵的手法也会发生,这很像以前的所谓“哄抬股价”的伎俩.垃圾邮件的发送者会购买大量的垃圾股,然后伪装成投资顾问疯狂发送邮件,兜售所谓的 “潜力股”.如果有足够多的邮件接收者相信了这一骗局并购买了这种垃圾股,其股价就会被哄抬起来.而始作俑者便会迅速卖空获利.