精通黑客攻防与病毒防御
=====================================================================
Discuz:防御CC攻击说明
CC 攻击的前身是 DDOS 攻击(分布式拒绝攻击)。 DDOS 攻击的原理针对 TCP/IP 协议的缺陷,也不能算是缺陷,只是当时设计该 协议时是在几十年前,设计者假定大家都是遵守游戏规则的良好公民,现在 互联网环境比当时要复杂得多,但是仍在使用以前的 协议,所以才会带来某些问题。两台机器通信要进行一个所谓的三次握手,首先是客户机发出一个请求 (SYN) , 服务器收到该请求后,填写会话信息表 (TCB,保存在内存中),并且向客户机反馈一个回应包 (SYN-ACK) ,此时连接处于 TIME_WAIT 状态,如果最终没有收到客户机的 ACK 信息包,会尝试隔一段时间再发送一次回应包 SYN-ACK,这样经过多次重试后,客户机还没有回应的话, 服务器才会关闭会话,并从 TCB 中删除掉该会话。这个等待过程大约为 30 秒。当攻击者同时发起十万计的请求时 (SYN) 到服务器开放的端口,并且本身拒绝发送 SYN-ACK 回应时,服务器的的 TCB 将会很快超过负荷,并且攻击者可以伪造包中的源 IP 地址,这样攻击者还不会被服务器返回的包堵住。可以看出这是 TCP/IP 协议中一个相当严重的问题。通过 防火墙策略审核过滤数据包,可以从一定程度上防止 DDOS 攻击。
CC 攻击跟 DDOS 攻击本质上是一样的,都是以消耗服务器资源为目的,目前看来,它主要针对 WEB 应用程序比较消耗资源的地方进行疯狂请求,比如,论坛中的搜索功能,如果不加以限制,任由人搜索,普通配置的服务器在几百个并发请求下,MYSQL 服务就挂掉了。
CC攻击的种类有三种,直接攻击,代理攻击,僵尸网络攻击,直接攻击主要针对有重要缺陷的 WEB 应用程序,一般说来是程序写的有问题的时候才会出现这种情况,比较少见。僵尸网络攻击有点类似于 DDOS 攻击了,从 WEB 应用程序层面上已经无法防御,所以这两种情况我们不进行深入的探讨,这里要主要讨论第二种,代理攻击,CC 攻击者一般会操作一批代理服务器,比方说 100 个代理,然后每个代理同时发出 10 个请求,这样 WEB 服务器同时收到 1000 个并发请求的,并且在发出请求后,立刻断掉与代理的连接,避免代理返回的数据将本身的带宽堵死,而不能发动再次请求,这时 WEB 服务器会将响应这些请求的进程进行队列,数据库服务器也同样如此,这样一来,正常请求将会被排在很后被处理,就象本来你去食堂吃饭时,一般只有不到十个人在排队,今天前面却插了一千个人,那么轮到你的机会就很小很小了,这时就出现页面打开极其缓慢或者白屏。
防御 CC 攻击
Discuz!5.5 在以往抗 CC 的基础上又加了两种方法,可以根据实际遭受攻击的情况,通过配置组合出适合的抵抗方法。限于篇幅,不详细阐述对抗原理,现将配置方法做下简要说明。
配置文件 config.inc.php
$attackevasive = 0; // 论坛防御级别,可防止大量的非正常请求造成的拒绝服务攻击 |
正常情况下设置为 0,在遭到攻击时,分析其攻击手法和规律,组合使用。可以尝试先设置为 2, 2|4, 1|2|4|, 1|2|4|8, 如果 1|2|4|8 还不行,我们认为应用程序层面上已经抵挡不住,可能主机遭受的攻击来自于僵尸网络的 DDOS 攻击了,我们建议您从 防火墙策略上入手。
===================================================================================
美国FBI防御网络攻击的12项建议
黑客利用微软SQL Server各种漏洞发动网络攻击,其中又以SQL Injection最为常见。为了遏止相关网络攻击再恶化,美国网络犯罪申诉中心提出12点网络攻击预防措施。
美国FBI网络犯罪中心(IC3)日前指出,利用微软SQL Server的漏洞,植入各种后门程序以取得有效使用者存取数据库权限,是目前黑客最常使用的攻击手法之一。对此,FBI IC3提出12种基本的预防之道。
首先,对于常见SQL Injection或微软SQL Server漏洞,FBI IC3认为,数据库管理人员应该关闭有伤害性的SQL Stored Procedure呼叫,例如最常见的xp_cmdshell可允许存取本地端的程序,就是一种 安全性的隐忧。FBI IC3提醒,要关闭这类有害的Stored Procedure,除了关闭呼叫功能,更需移除相关dll�n.
其次,FBI IC3建议,网站 服务器(例如微软的IIS)应该过滤掉过长的网址。IT人员可以找出网络服务所使用的最长网址长度,藉由限制过长网址可避免黑客在网址中隐含恶意网址或参数字符串。再者,对于目前许多动态网页内容 安全性的保护,FBI IC3认为网络管理员应该要做到过滤字符串和只传参数,把程序的控制指令替代成字符串,不会对SQL指令造成影响,但又能在浏览器正确显示。
许多IT人员习惯以最高管理者权限执行安装各种服务,这也意味着一旦这个最高管理者权限被窃,整个 服务器和数据库的安全性将岌岌可危。所以,FBI IC3建议不要使用最高权限安装微软的SQL Server和IIS网站服务器,只安装所需的程序,例如AD服务器就不需要安装Microsoft Office,对网络和数据库使用者,只提供最小权限。
提供密码保护是保护管理者账号的基本作为,但FBI IC3发现,有很多企业IT管理人员经常采用SQL Server预设SA管理者账号和预设空白密码,这些都是安全上的一大隐忧。此外,对于主机登入密码多次输入错误,应暂时封锁并做检查,FBI IC3认为这是对黑客入侵的初次检验。
FBI IC3认为,所有企业内的服务器都应该禁止直接连网,所有的连网都应该透过代理服务器(Proxy)对外联机,才能够检查联机内容和联机埠。FBI IC3也提醒,对于一些会产生验证密钥(例如PIN码)的HSM(硬件加密模块),应该限制其它指令不可以产生这种加密的PIN码,避免让黑客可以取得足够的样本,藉此反推加密算法以保护加密算法。
FBI IC3建议,企业IT人员对于数据库的管理往往较为松散,不论是存取数据库的黑白名单,或制定更谨慎的信息安全管理规则,都是让数据库更安全的手法之一。最后,FBI IC3也提醒,企业内IT人员应该要在 防火墙定期更新已知的恶意网址或IP地址,检验企业内是否有连结这些恶意网络地址的记录,实时掌握企业内资安动态。
美国FBI IC3的12条预防网络攻击的方法:
1. 关闭微软SQL Server有害的StoredProcedure呼叫,并移除相关。dll文件。
2. 限制过长的网址,降低过长网址隐藏恶意网址或参数字符串。
3. 以过滤字符串和只传参数方式,确保动态网页内容的安全。
4. 不要用最高权限安装微软SQL Server和IIS网络服务器。
5. 对所有SQL数据库的访问者,提供最小的访问权限。
6. 避免使用SQL Server预设的SA管理员账号和空白密码,实施密码管制。
7. 主机登入密码多次输入错误时,应该暂时封锁该账号并进行检查。
8. 需要什么样的服务,只要安装服务所需要的程序即可。
9. 企业内的服务器都应该通过代理服务器与外界进行联系。
10. 管理企业内部的数据库访问,设置相关的数据安全访问策略。
11. 防火墙应该定期 各种已知恶意IP地址和。
12. 避免HSM等会生成验证密钥的设备。若能以其他程序轻易产生密钥,就会让黑客有机会回推演算方法。
===================================================================================
如何熟悉和做好Linux系统病毒的防护工程
对于普通用户来说linux接触都很少,更别说是
linux病毒了!面对日益壮大的病毒团体,linux不在是安全的栖息地。当用户遇到这些
linux病毒该怎么做了?
本文讲述了如何做好Linux系统病毒防御工程,并熟悉Linux系统病毒防御工程。
一、首先我们来看看linux病毒设计之初,和做好Linux病毒的心里准备!
在Linux出现之初,由于其最初的优秀设计,似乎具有先天病毒免疫能力,所以当时有许多人相信不会有针对Linux的病毒出现,但是Linux终于也不能例外。1996年秋,澳大利亚一个叫VLAD的组织用汇编语言编写了据称是Linux系统下的第一个病毒的Staog,它专门感染二进制文件,并通过三种方式去尝试得到root权限。当然,设计Staog病毒只是为了演示和证明Linux有被病毒感染的潜在危险,它并没有对感染的系统进行任何损坏行动。
2001年,一个名为Ramen的Linux蠕虫病毒出现了。Ramen病毒可以自动传播,无需人工干预,虽然它没有对服务器进行任何破坏,但是它在传播时的扫描行为会消耗大量的网络带宽。Ramen病毒是利用了Linux某些版本(Redhat6.2和 7.0)的rpc.statd和wu-ftp这两个安全漏洞进行传播的。
同年的另一个针对Linux的蠕虫病毒Lion则造成了实际的危害,当时Lion通过互联网迅速蔓延,并给部分用户的电脑系统造成了严重破坏。Lion病毒能通过电子邮件把一些密码和配置文件发送到互联网上的某个邮箱中,攻击者在收集到这些文件后就可能通过第一次突破时的缺口再次进入整个系统,进行更进一步的破坏活动,比如获机密信息、安装后门等。当用户的Linux系统感染了这个病毒,很有可能因为不能判断入侵者如何改动了系统而选择重新格式化硬盘。而且,一台Linux主机在感染了Lion病毒后就会自动开始在互联网上搜寻别的受害者。事后的反馈表明Lion病毒给许多Linux用户造成了的严重的损失。
其它Linux平台下病毒还有OSF.8759、Slapper、Scalper、Unux.Svat和BoxPoison等,当然,大多数普通的Linux用户几乎没有遇到过它们。这是因为直到目前,Linux上的病毒还非常少,影响的范围也很小。但随着Linux用户的增加,越来越多的Linux系统连接到局域网和广域网上,自然增加了受攻击的可能,可以预见到会有越来越多的Linux病毒出现,因此如何防范Linux病毒就成为每个Linux用户现在就应该开始注意的事情了。
二、抓住弱点,个个击破
Linux的用户也许听说甚至遇到过一些Linux病毒,这些Linux病毒的原理和发作症状各不相同,所以采取的防范方法也各不相同。为了更好地防范Linux病毒,我们先对已知的一些Linux病毒进行分类。
从目前出现的Linux病毒来看,可以归纳到以下几个病毒类型中去:
1、感染ELF格式文件的病毒
这类病毒以ELF格式的文件为主要感染目标,通过汇编或者C可以写出能感染ELF文件的病毒。Lindose病毒就是一能感染ELF文件的病毒,当它发现一个ELF文件时,将检查被感染的机器类型是否为Intel80386。如果是,则查找该文件中是否有一部分的大小大于2784字节(或十六进制AEO),如果有,病毒就会用自身代码覆盖它并添加宿主文件的相应部分的代码,同时将宿主文件的入口点指向病毒代码部分。
防范:由于Linux下有良好的权限控制机制,所以这类病毒要有足够的权限才能进行传播。在防范此类病毒时,我们要注意管理好自己Linux系统中的各种文件的权限,特别要注意的是在做日常操作时不要使用root账号,最好不要以root身份运行来历不明的可执行文件,以免无意中触发了含病毒的文件从而传染到整个系统中。
2、脚本病毒
脚本病毒是指使用shell等脚本语言编写的病毒。此类病毒编写较为简单,不需要具有很高深的知识,很容易就实现对系统进行破坏,比如删除文件、破坏系统正常运行、甚至下载安装木马等。但它传播性不强,通常是在本机上造成破坏。
防范:防范此类病毒也是要注意不要随便运行来源不明的脚本,同时,要严格控制对root权限的使用。
3、蠕虫病毒
Linux下的蠕虫病毒与Windows下的蠕虫病毒类似,可以独立运行,并将自身传播到另外的计算机上去。
在Linux平台下的蠕虫病毒通常利用一些Linux系统和服务的漏洞来进行传播,比如,Ramen病毒就是利用了Linux某些版本(Redhat6.2和7.0)的rpc.statd和wu-ftp这两个安全漏洞进行传播的。
防范:防范此类病毒要堵住蠕虫病毒发作的源头,从已经出现的几个Linux病毒爆发事件来看,它们都是利用了Linux已经公布了的几个安全漏洞,如果用户及时采取了对应的安全措施就不会受到它们的影响。不过遗憾的是,许多Linux的管理员并没有紧密跟踪与自己系统和服务相关的最新信息,所以还是给病毒有可乘之机。
用户要做好本机的安全工作,特别要关心Linux的安全漏洞信息,一旦有新的Linux安全漏洞出现,就要及时采取安全措施。此外,还可以配合防火墙规则来限制蠕虫病毒的传播。
4、后门程序
后门程序也可以被看成广义的病毒,在Linux平台上也非常活跃。Linux后门利用系统服务加载、共享库文件注射、rootkit工具包、甚至可装载内核模块(LKM)等技术来实现,许多Linux平台下的后门技术与入侵技术相结合,非常隐蔽,难以清除。
防范:防范此类病毒可以借助一些软件来进行,有一些软件可以帮助用户找出系统中的各种后门程序。
5、其它病毒
在Linux平台除了面对针对Linux的病毒之外,还要注意到许多Windows病毒会存在于Linux的文件系统中,当然,这类windows病毒是不会在Linux中发作的,但它们有机会传递到Windows系统中。
比如,Linux的Samba服务器可以作为整个网络中的文件服务器,当有用户将含有Windows病毒的文件上传到Samba服务器后,Samba服务器就成为一个病毒携带者,虽然它不会感染这种Windows病毒,但是其它访问过Samba服务的人就有可能从中感染到病毒。
防范:为了整体的安全,在Linux系统中也需要能查找和杀除Windows病毒。这就需要使用一些专门的反病毒软件。
三、多方入手,剿杀Linux病毒
与Windows的病毒相比,从数量上看,Linux的病毒几乎可以忽略不计,但是Linux病毒的制造者们并不会停止,他们多是一些精通编写代码的黑客,Linux自身不可避免地存在的脆弱点很有可能会被他们利用从而编写出各式各样的新Linux病毒来。虽然,Linux病毒还没有开始泛滥,但如果用户毫无防范概念的话,一旦某个Linux病毒暴发,就很可能造成严重的后果。所以Linux用户应该及早重视起Linux病毒这个问题。
最后,对Linux平台下病毒的防范总结出以下几条建议,仅供参考:
(1)做好系统加固工作。
(2)留心安全公告,及时修正漏洞。
(3)日常操作不要使用root权限进行。
(4)不要随便安装来历不明的各种设备驱动程序。
(5)不要在重要的服务器上运行一些来历不明的可执行程序或脚本。
(6)尽量安装防毒软件,并定期升级病毒代码库。
(7)对于连接到Internet的Linux服务器,要定期检测Linux病毒。蠕虫和木马是否存在。
(8)对于提供文件服务的Linux服务器,最好部署一款可以同时查杀Windows和Linux病毒的软件。
(9)对于提供邮件服务的Linux服务器,最好配合使用一个E-mail病毒扫描器。
总而言之,对于Linux平台病毒的防范要采取多种手段,决不可因为现在Linux病毒很少就掉以轻心。
==========================================================================