在这个技巧中,你将学到:一个简单的网页毁损会显示出一个详尽的突发事件响应计划多么的有价值!
被黑掉的经验类似于得到了一个少的可怜的收入,至少,这是最近我从自己的一个网页被人涂改破坏后学习到的感受。
果真,我们的调查发现被毁损的服务器上运行着一个没有打补丁的PHP论坛程序,黑客使用PHP exploit留下了一条短的、友好的信息标明他曾经占领过这个领地。虽然这是一个相对较小的事件,但它强调了有一个有准备的、明智的突发事件响应计划是多么的重要。
有个谚语说的很对:不到危急时刻,没有人会看到一项策略的价值。
信息响应(IR)计划给出了我们的立即响应、调查分析和恢复的过程,它们就像在我们手中互相交叉的三环,为了保证其成功,我们必须做到以下几个方面:
服务器隔离
这是一台相当重要的服务器,因此我们必须保证其安装性,并将其从网络中隔离。我们在服务器和外部网络之间通过防火墙规则来拦截攻击行为,然后我们就可以关闭响应的交换机端口,将服务器隔离。一旦隔离完成,我们就可以暂停记录发现的时间,这将发现黑客以及黑客所进行的行为,这也是为法庭分析和可能的诉讼行为提供证据的重要步骤。
黑客跟踪
黑客没有删除日志,因此我们花很短的时间就发现黑客多次使用一个固定的脚本尝试攻击PHP。我们真正想知道的是黑客是否得到了root用户的权限,或者他使用此服务器作为垫脚石对其它系统进行攻击。对重要文件的CRC校验告诉我们,它们并没有被更改和损坏,在内存中也没有可疑的进程运行。我们检查了论坛程序供应商的站点,的确,在攻击发生前的一周,供应商已经发表了有关此漏洞的声明,并且已经推出了补丁程序。这就没有问题了――一个星期的时间对黑客来说已经足够了。
我们震惊于在我们的IDS日志中没有发现PHP攻击的证据,我们的IDS供应商告诉我们,在下一次计划中的签名更新之前,签名将有大约两星期的使用时间。也就使说,在漏洞和攻击被发现,和IDS签名变得可用之前,有三个星期的缺口。
响应和恢复
我们的事件响应策略是,不管事件的严重性如何(不留下冒险的机会),任何被破坏的机器都要重新再建。系统根据一般可接受的指南进行安全方面的设置和巩固,我们还通过漏洞扫描器扫描机器的弱点以检查我们的工作。当然,我们还通过攻击软件检测相似的机器。
总结教训
我们从此次事件中总结出了经验教训:确信你的系统管理员跟上了最新的补丁(每个月一次是不够的),并且经常查看日志(一周一次也远远不够)。安全管理员必须知道各台机器都安装了什么软件,以便他们能够提防相关的漏洞和弱点。不要依靠任何唯一的IDS供应商,因为签名对第一防御范围来说可能到达的太晚。考虑在面向公众的服务器上实施Tripwire(一个入侵检测系统),监视重要文件属性的改变。
最后,保持你的突发事件响应策略的实时性,以适应当前系统的要求。让大家知道在紧急状态下应该做什么,这样才能保证补救措施的顺利实行。
预防黑客十绝招
一、使用防病毒软件并且经常将其升级更新,从而使有破坏性的程序远离你的计算机。
二、不允许网上的商家为了便于你以后购物储存你的信用卡资料。
三、使用由数字和字母混排而成、难以被破译的口令密码,并且经常更换。
四、对不同的网站和程序,要使用不同口令,以防止被黑客破译。
五、使用最新版本的万维网浏览器软件、电子邮件软件以及其他程序。
六、只向有安全保证的网站发送信用卡号码,留意寻找浏览器底部显示的挂锁图示或钥匙形图标。
七、确认你要打交道的网站地址,留意你输入的地址,比如不要把ana-zon.com写成amozon.com。
八、使用有对cookie程序控制权的安全程序,cookie程序会把信息传送回网站。
九、如果你使用数字用户专线或是电缆调制解调器连接英特网,那就要安装防火墙软件,监视数据流动。
十、不要打开电子邮件的附件,除非你知道信息的来源。
上网电脑防范黑客基本法则
目前,上网的电脑越来越多,特别是宽带用户在线时间长、速度快,因此容易成
为黑客们的攻击目标。现在网上出现了各种越来越详细的“IP地址库”,要知道
一些用户的IP是非常容易的事情。要怎么保卫自己的网络安全呢?不妨看看以下
方法。
一、取消文件夹隐藏共享
如果你使用了Windows 2000/XP系统,右键单击C盘或者其他盘,选择"共享"
,你会惊奇地发现它已经被设置为“共享该文件夹”,而在“网上邻居”中却看
不到庑┠谌荩�馐窃趺椿厥履兀?
原来,在默认状态下,Windows 2000/XP会开启所有分区的隐藏共享,从“控
制面板/管理工具/计算机管理”窗口下选择“系统工具/共享文件夹/共享”,就
可以看到硬盘上的每个分区名后面都加了一个“$”。但是只要键入“\计算机名
或者IP\C$”,系统就会询问用户名和密码,遗憾的是,大多数个人用户系统
Administrator的密码都为空,入侵者可以轻易看到C盘的内容,这就给网络安全
带来了极大的隐患。
怎么来消除默认共享呢?方法很简单,打开注册表编辑器,进入
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Sevices\Lanmanworkstation
\parameters”,新建一个名为“AutoShareWKs”的双字节值,并将其值设为“0
”,然后重新启动电脑,这样共享就取消了。
二、拒绝恶意代码
恶意网页成了宽带的最大威胁之一。以前使用Modem,因为打开网页的速度慢
,在完全打开前关闭恶意网页还有避免中招的可能性。现在宽带的速度这么快,
所以很容易就被恶意网页攻击。
一般恶意网页都是因为加入了用编写的恶意代码才有破坏力的。这些恶意代
码就相当于一些小程序,只要打开该网页就会被运行。所以要避免恶意网页的攻
击只要禁止这些恶意代码的运行就可以了。
运行IE浏览器,点击“工具/Internet选项/安全/自定义级别”,将安全级别
定义为“安全级-高”,对“ActiveX控件和插件”中第2、3项设置为“禁用”,
其它项设置为“提示”,之后点击“确定”。这样设置后,当你使用IE浏览网页
时,就能有效避免恶意网页中恶意代码的攻击。
三、封死黑客的“后门”
俗话说“无风不起浪”,既然黑客能进入,那说明系统一定存在为他们打开
的“后门”,只要堵死这个后门,让黑客无处下手,便无后顾之忧!
1.删掉不必要的协议
对于服务器和主机来说,一般只安装TCP/IP协议就够了。鼠标右击“网络邻
居”,选择“属性”,再鼠标右击“本地连接”,选择“属性”,卸载不必要的
协议。其中NETBIOS是很多安全缺陷的根源,对于不需要提供文件和打印共享的主
机,还可以将绑定在TCP/IP协议的NETBIOS关闭,避免针对NETBIOS的攻击。选择
“TCP/IP协议/属性/高级”,进入“高级TCP/IP设置”对话框,选择“WINS”标
签,勾选“禁用TCP/IP上的NETBIOS”一项,关闭NETBIOS。
2.关闭“文件和打印共享”
文件和打印共享应该是一个非常有用的功能,但在不需要它的时候,也是黑
客入侵的很好的安全漏洞。所以在没有必要“文件和打印共享”的情况下,我们
可以将它关闭。用鼠标右击“网络邻居”,选择“属性”,然后单击“文件和打
印共享”按钮,将弹出的“文件和打印共享”对话框中的两个复选框中的钩去掉
即可。
虽然“文件和打印共享”关闭了,但是还不能确保安全,还要修改注册表,
禁止它人更改“文件和打印共享”。打开注册表编辑器,选择
“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
NetWork”主键,在该主键下新建DWORD类型的键值,键值名为
“NoFileSharingControl”,键值设为“1”表示禁止这项功能,从而达到禁止更
改“文件和打印共享”的目的;键值为“0”表示允许这项功能。这样在“网络邻
居”的“属性”对话框中“文件和打印共享”就不复存在了。
3.把Guest账号禁用
有很多入侵都是通过这个账号进一步获得管理员密码或者权限的。如果不想
把自己的计算机给别人当玩具,那还是禁止的好。打开控制面板,双击“用户和
密码”,单击“高级”选项卡,再单击“高级”按钮,弹出本地用户和组窗口。
在Guest账号上面点击右键,选择属性,在“常规”页中选中“账户已停用”。另
外,将Administrator账号改名可以防止黑客知道自己的管理员账号,这会在很大
程度上保证计算机安全。
4.禁止建立空连接
在默认的情况下,任何用户都可以通过空连接连上服务器,枚举账号并猜测
密码。因此,我们必须禁止建立空连接。方法有以下两种:
方法一是修改注册表:打开注册表
“HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA”,将DWORD值
“RestrictAnonymous”的键值改为“1”即可。
最后建议大家给自己的系统打上补丁,微软那些没完没了的补丁还是很有用
的
四、隐藏IP地址
黑客经常利用一些网络探测技术来查看我们的主机信息,主要目的就是得到
网络中主机的IP地址。IP地址在网络安全上是一个很重要的概念,如果攻击者知
道了你的IP地址,等于为他的攻击准备好了目标,他可以向这个IP发动各种进攻
,如DoS(拒绝服务)攻击、Floop溢出攻击等。隐藏IP地址的主要方法是使用代理
服务器。
与直接连接到Internet相比,使用代理服务器能保护上网用户的IP地址,从
而保障上网安全。代理服务器的原理是在客户机(用户上网的计算机)和远程服
务器(如用户想访问远端WWW服务器)之间架设一个“中转站”,当客户机向远程
服务器提出服务要求后,代理服务器首先截取用户的请求,然后代理服务器将服
务请求转交远程服务器,从而实现客户机和远程服务器之间的联系。很显然,使
用代理服务器后,其它用户只能探测到代理服务器的IP地址而不是用户的IP地址
,这就实现了隐藏用户IP地址的目的,保障了用户上网安全。提供免费代理服务
器的网站有很多,你也可以自己用代理猎手等工具来查找。
五、关闭不必要的端口
黑客在入侵时常常会扫描你的计算机端口,如果安装了端口监视程序(比如
Netwatch),该监视程序则会有警告提示。如果遇到这种入侵,可用工具软件关
闭用不到的端口,比如,用“Norton Internet Security”关闭用来提供网页服
务的80和443端口,其他一些不常用的端口也可关闭。
六、更换管理员帐户
Administrator帐户拥有最高的系统权限,一旦该帐户被人利用,后果不堪设
想。黑客入侵的常用手段之一就是试图获得Administrator帐户的密码,所以我们
要重新配置Administrator帐号。
首先是为Administrator帐户设置一个强大复杂的密码,然后我们重命名
Administrator帐户,再创建一个没有管理员权限的Administrator帐户欺骗入侵
者。这样一来,入侵者就很难搞清哪个帐户真正拥有管理员权限,也就在一定程
度上减少了危险性。
七、杜绝Guest帐户的入侵
Guest帐户即所谓的来宾帐户,它可以访问计算机,但受到限制。不幸的是,
Guest也为黑客入侵打开了方便之门!网上有很多文章中都介绍过如何利用Guest
用户得到管理员权限的方法,所以要杜绝基于Guest帐户的系统入侵。
禁用或彻底删除Guest帐户是最好的办法,但在某些必须使用到Guest帐户的
情况下,就需要通过其它途径来做好防御工作了。首先要给Guest设一个强壮的密
码,然后详细设置Guest帐户对物理路径的访问权限。举例来说,如果你要防止
Guest用户可以访问tool文件夹,可以右击该文件夹,在弹出菜单中选择“安全”
标签,从中可看到可以访问此文件夹的所有用户。删除管理员之外的所有用户即
可。或者在权限中为相应的用户设定权限,比方说只能“列出文件夹目录”和“
读取”等,这样就安全多了。
八、安装必要的安全软件
我们还应在电脑中安装并使用必要的防黑软件,杀毒软件和防火墙都是必备
的。在上网时打开它们,这样即便有黑客进攻我们的安全也是有保证的。
九、防范木马程序
木马程序会窃取所植入电脑中的有用信息,因此我们也要防止被黑客植入木
马程序,常用的办法有:
● 在下载文件时先放到自己新建的文件夹里,再用杀毒软件来检测,起到提
前预防的作用。
● 在“开始”→“程序”→“启动”或“开始”→“程序”→“Startup”
选项里看是否有不明的运行项目,如果有,删除即可。
● 将注册表下的所有以“Run”为前缀的可疑程序全部删除即可。
十、不要回陌生人的邮件
有些黑客可能会冒充某些正规网站的名义,然后编个冠冕堂皇的理由寄一封
信给你要求你输入上网的用户名称与密码,如果按下“确定”,你的帐号和密码
就进了黑客的邮箱。所以不要随便回陌生人的邮件,即使他说得再动听再诱人也
不上当。
做好IE的安全设置
ActiveX控件和 Applets有较强的功能,但也存在被人利用的隐患,网页中的
恶意代码往往就是利用这些控件编写的小程序,只要打开网页就会被运行。所以
要避免恶意网页的攻击只有禁止这些恶意代码的运行。IE对此提供了多种选择,
具体设置步骤是:“工具”→“Internet选项”→“安全”→“自定义级别”,
建议您将ActiveX控件与相关选项禁用。谨慎些总没有错!
另外,在IE的安全性设定中我们只能设定Internet、本地Intranet、受信任
的站点、受限制的站点。不过,微软在这里隐藏了“我的电脑”的安全性设定,
通过修改注册表把该选项打开,可以使我们在对待ActiveX控件和 Applets时有更
多的选择,并对本地电脑安全产生更大的影响。
下面是具体的方法:打开“开始”菜单中的“运行”,在弹出的“运行”对
话框中输入Regedit.exe,打开注册表编辑器,点击前面的“+”号顺次展开到:
HKEY_CURRE-
NT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zone
s\0,在右边窗口中找到DWORD值“Flags”,默认键值为十六进制的21(十进制33)
,双击“Flags”,在弹出的对话框中将它的键值改为“1”即可,关闭注册表编
辑器。无需重新启动电脑,重新打开IE,再次点击“工具→Internet选项→安全
”标签,你就会看到多了一个“我的电脑”图标,在这里你可以设定它的安全等
级。将它的安全等级设定高些,这样的防范更严密。
1、屏蔽可以IP地址:
这种方式见效最快,一旦网络管理员发现了可疑的IP地址申请,可以通过防火墙屏蔽相对应的IP地址,这样黑客就无法在连接到服务器上了。但是这种方法有很多缺点,例如很多黑客都使用的动态IP,也就是说他们的IP地址会变化,一个地址被屏蔽,只要更换其他IP仍然可以进攻服务器,而且高级黑客有可能会伪造IP地址,屏蔽的也许是正常用户的地址。
2、过滤信息包:
通过编写防火墙规则,可以让系统知道什么样的信息包可以进入、什么样的应该放弃,如此一来,当黑客发送有攻击性信息包的时候,在经过防火墙时,信息就会被丢弃掉,从而防止了黑客的进攻。但是这种做法仍然有它不足的地方,例如黑客可以改变攻击性代码的形态,让防火墙分辨不出信息包的真假;或者黑客干脆无休止的、大量的发送信息包,知道服务器不堪重负而造成系统崩溃。
3、修改系统协议:
对于漏洞扫描,系统管理员可以修改服务器的相应协议,例如漏洞扫描是根据对文件的申请返回值对文件存在进行判断的,这个数值如果是200则表示文件存在于服务器上,如果是404则表明服务器没有找到相应的文件,但是管理员如果修改了返回数值、或者屏蔽404数值,那么漏洞扫描器就毫无用处了。
4、经常升级系统版本:
任何一个版本的系统发布之后,在短时间内都不会受到攻击,一旦其中的问题暴露出来,黑客就会蜂拥而致。因此管理员在维护系统的时候,可以经常浏览著名的安全站点,找到系统的新版本或者补丁程序进行安装,这样就可以保证系统中的漏洞在没有被黑客发现之前,就已经修补上了,从而保证了服务器的安全。
5、及时备份重要数据:
亡羊补牢,如果数据备份及时,即便系统遭到黑客进攻,也可以在短时间内修复,挽回不必要的经济损失。想国外很多商务网站,都会在每天晚上对系统数据进行备份,在第二天清晨,无论系统是否收到攻击,都会重新恢复数据,保证每天系统中的数据库都不会出现损坏。数据的备份最好放在其他电脑或者驱动器上,这样黑客进入服务器之后,破坏的数据只是一部分,因为无法找到数据的备份,对于服务器的损失也不会太严重。
然而一旦受到黑客攻击,管理员不要只设法恢复损坏的数据,还要及时分析黑客的来源和攻击方法,尽快修补被黑客利用的漏洞,然后检查系统中是否被黑客安装了木马、蠕虫或者被黑客开放了某些管理员账号,尽量将黑客留下的各种蛛丝马迹和后门分析清除、清除干净,防止黑客的下一次攻击。
6、使用加密机制传输数据:
对于个人信用卡、密码等重要数据,在客户端与服务器之间的传送,应该仙经过加密处理在进行发送,这样做的目的是防止黑客监听、截获。对于现在网络上流行的各种加密机制,都已经出现了不同的破解方法,因此在加密的选择上应该寻找破解困难的,例如DES加密方法,这是一套没有逆向破解的加密算法,因此黑客的到了这种加密处理后的文件时,只能采取暴力破解法。个人用户只要选择了一个优秀的密码,那么黑客的破解工作将会在无休止的尝试后终止。
八 曲播货物 招商!免坑位费享年夜 促流质克日 起至 二0 二 二年 三月 九日 二 三: 五 九: 五 九,胜利 进选商野会于一周内钉钉接洽 。运动 坑位有限,且曲播间得手 价没有计进汗青 最高价,迎接 商野同伙 们积极报名!【运动 范围 】葡语曲播的流质预计双场曲播不雅 看 五w~ 二0w,...
剧情吧工夫 : 二0 一 四- 一0- 二 三 一 五: 二 四: 二 四 闪电侠第一季第 一散剧情先容 被闪电击外的超才能 者。 Barry Allen是一个很心爱的小男孩,已经的他也领有一个幸祸完善 的野庭。但是 正在他十一岁的时刻 ,从天而降的劫难 让他的野庭分崩离析 ,她的母...
Creation Date: 二0 一 九-0 五- 一 六T0 七: 一 二: 三0Z 二正在裂缝 的触领过程 ,flash外Metadata的真例化目的 天址,以下图所示。邪如下面的望频说的这样,其真所谓的ldquo;智能机械 人rdquo;就是 ldquo;复读机rdquo;,他们会按照 l...
后台真体类代码以下: 一 二 三 四 五 六 七 八 九 一0 一 一 一 二 一 三 一 四 一 五 一 六 一 七 一 八 一 九 二0 二 一 二 二 二 三 二 四 二 五 二 六 二 七 二 八 二 九 三0 三 一 三 二 三 三 三 四 三 五/*** @author 直健磊* @da...
收集 二0 二0- 一0- 二 七 0 二:0 九: 五 一 五 二年夜 野皆 晓得,事宜 营销正在各年夜 品牌脚上皆玩患上特殊 六。尤为是互联网私司,正在事宜 营销上的弄法 否谓是层见叠出让人目眩 纷乱 。而房天产那个止业便十分特殊,岂论 是由于 止业配景 ,照样 业内的规矩 限定 ,房天产的...
跟着 互联网正在外国快要 二0年的成长 ,内容范畴 也从本去傻年夜 乌精的拼流质,入进了垂曲范畴 的粗根细做时期 。尔信任 许多 作过互联网经营的小同伴 ,必然 打仗 过内容经营,或者者博职作内容经营。然则 ,许多 自以为作了良久 内容经营的小同伴 ,其真仅仅一个“文字编纂 ”罢了 ,为何必修 ...