2008-01-15

Windows系統防護進階工具: SREng & EQSecure

本來是想針對這兩個工具寫個說明的,不過因為這兩個的功能都很強大,而且屬於進階使用者運用的,一不小心沒寫好反而會變成誤導,加上他們都有很清楚的使用/說明文件,在這就做個推薦就好,有興趣研究的朋友可以到他們的官方網站上找到相關資料.

實際使用下來的心得是對於系統防護上的幫助很大..
而且都是中文(都有繁體介面),免費使用.在這強力推薦..

System Repair Engineer (SREng)




SREng屬於系統偵測/基礎修復的工具,基本上讓他掃一下可以比較稍微安心點,
在處裡開機執行/加載的程式/驅動上比Autoruns清楚多了.
不過在掃描結果報告的部份需要比較有經驗的人員來進行判斷.

System Repair Engineer 2.5 版用户手册

======================

EQSecue E盾



引述網站上的說明

EQSecure E盾 是系统安全防火墙,可以保护计算机操作系统,拦截危险操作,避免类似病毒和间谍软件的安全威胁.包括进程,注册表以及文件.

這玩意就更強了,前面的SREng屬於檢查/修復工具,

而EQSecure屬於主動防禦,可以針對系統上的Process/Registry/File進行監控,也可以自訂各種規則來進行系統保護,不過這玩意也屬於進階使用者的層級.
建議初次使用者可以花點時間讓他學習一些日常使用電腦的行為模式,同時也能在過程中知道你的作業系統平常都做了些什麼事情

他有官方討論區,可以在那找到不少使用經驗的交流.
=============

這兩個軟體開發者都是無償免費釋出的,
各位如果在使用上覺得好的話也希望能夠給予開發者一些實質的鼓勵.

2008-01-10

續:從GOOGLE挖出一堆被破台的台灣網站

1/29 補充.
現在從GOOGLE上雖然用該關鍵字還是能找出一堆紀錄,
不過看起來這些WEB SHELL是都移除掉了..
老天保佑..
=====================
相關資料1:從GOOGLE挖出一堆被破台的台灣網站
相關資料2:資訊鐵胃...再多木馬都塞的下? - roamer - Yahoo!奇摩部落格

今天閑著沒事繼續用關鍵字找那個asp webshell,結果有了個意外的發現



居然有一個站點直接show asp原始碼出來..

先看一下他的架構..是apache的server..

居然把asp丟到apache上,難怪原始碼整個show出來.


再來就研究這隻asp的原始碼了.

雖然有用VBScript.Encode加密,不過這可難不倒google大神

先找出登入相關的部份的原碼

請google大神找出VBScript.Encode解碼器.
把那段加密代碼貼進去

解出來就發現裡面有帳號密碼資訊..



帳號密碼我這把它蓋掉了,以免有無聊人士亂try.
不過有點概念的人照這個思路去找自己也找的出來
接下來就用找出來的帳號密碼來找個被他破台站點登入試試看

....這樣就給他進去了.....

一開始看到的就是檔案管理介面.不過權限被限制住了.

這帳號進去只能看幹不了什麼..
我也不想花時間去玩它.. 到時候被惡質公司賴上就糟了

再來就是瞧瞧這些被破台的機器是誰的..
把他們host name放進whois去查查


第一位苦主 knrglass.com IP是61.66.28.117(SPARQ的IP)
來的DNS反解是w17.12.com.tw

w17.12.com.tw是戰XX的虛擬主機在用的

另一位苦主 chungshih.com

IP反解出來也是戰XX的虛擬主機.





看來這間戰XX的虛擬主機淪陷了不只一台..

這幾支ASPSHELL程式GOOGLE大神都幫他們找出來了.



裡面提到的最近戰XX放出的新聞..
只能說這是最大的諷刺....
單靠GOOGLE幫忙就能從別人留下來的後門進去逛,到底在混啥啊.....

2008-01-09

從GOOGLE挖出一堆被破台的台灣網站

在GOOGLE上輸入

PS:沒事不要亂點進去..除非做好必要的防護工作
沒把握的就看看圖算了.

台灣地區的網站出現47筆

都是屬於被入侵後埋入WEBSHELL管理介面的機器..

當然這些被侵入的網站有絕大部分的正常首頁都被埋進了惡意連結.

像是這裡..


該網站首頁原始碼最下面被埋了一段SCRIPT


還有這裡





有些首頁沒被植入或是被管理員發現清掉了,不過只要WEBSHELL的ASP存在,基本上那台機器就等於是完全淪陷了.



其實那些放WEBSHELL的傢伙都有個習慣,會把ASP程式放在一般人比較不太會注意的地方,像是image圖片目錄或是JS目錄底下.


而這堆中標的網站中有些站瀏覽量超少,少到就算在首頁植入木馬放個一年可能也沒幾個人能被感染,所以他們通常也會順便在系統內植入跳板或反向通道,作為其他攻擊/入侵的中繼站.


之前也在管的機器上抓到過一隻webshell,分析ASP原始碼後發現介面功能很齊,經過提升權限後可以開檔讀檔寫檔,執行cmd,存取資料庫.同時還能更改檔案時間,所以單純用檔案最後修改時間來搜尋近期異動檔案不見得找的到那些有問題的東西.



通常他們第一個目標就是打開web.config看看,有些人習慣把DB存取設定寫在那.只要一被打開DB就算是淪陷了



至於WEBSHELL的原理&防範方法,GOOGLE上找WEBSHELL就可以找到一堆了,在這就不囉唆了.


各位系統工程師/MIS們,記得沒事要關心一下你們的SERVER啊.. :P



PS:其實用這關鍵字找出來的受害者只是九牛一毛,對岸發展出來的WEBSHELL種類繁多,而且有各種變種,WebMaster只要一個疏忽不小心就可能被埋這玩意進去.而且不見得每套防毒/防木馬的軟體都擋的住,各位在網上瞎晃時還敢掉以輕心嗎.=_=""


TW 網站淪陷資料庫 這也有列出不少的受害者.


God Bless Us.

2008-01-07

FunP 自推自灌水也麻煩稍微專業點好嗎

要灌推文數也麻煩專業點吧..
這應該算是老梗了吧.






一堆推文帳號後面要馬是725520,不然就是900767
這也太明顯了點吧..=_=""
==2008-1-13補充==
所有相關證據已被清除破壞..XD
相關帳號已有加上照片且逐漸增加其他正常互動.
僅以此文留作紀念以供警惕....
此事就到此為止.我也懶得再盯了.您慢玩啊..

基礎概念..有了防火牆就真的安全嗎?

目前很多有一些網路基礎概念的END USER或是中小企業的MIS會很單純的認為有了防火牆+NAT檔在前面,把外到內的Port全檔掉,外面就無法入侵到內部網路的電腦了,但是事實真是如此嗎?

其實現在很多入侵的第一步已經不是單純利用網路掃瞄找漏洞了,而是轉而使用社交工程(Social Engineering)進行第一步的滲透,最常見的就是先透過E-Mail/IM(MSN/Yahoo Messenger...etc)/惡意Web...等由內到外所發起的連線方式,誘使使用者被感染/植入惡意程式(木馬),像是發送內含木馬的E-Mail或是MSN傳檔,或是誘使USER訪問具有惡意程式植入的網站。

而這些惡意程式並不是像過去那樣單純打開一個對外的連接Port供外部連結進入
因為若只是單純開洞的方式在防火牆+NAT的環境內是無法生效的,因為內網的機器沒有實體IP對應,在防火牆上也不會無故做Mapping的動作,所以內網的機器就算中標了被開個洞,從Internet也是連不到的,就像是在一個被城牆保護的據點內,就算把城內房子的門鎖全撬壞,外人還是過不了外頭那道城牆一樣


現在常見的方式是由被感染的電腦主動向遠端發起連線建立反向通道連結,
簡單說就像是一個城外有城牆保護著,硬打是打不進來的,但是如果裡面有人從城內向外扔一根繩索出去,外頭的人就可以順著這根繩索爬進來了。

就曾經實際發現到的兩個案例來說:

第一隻木馬是利用UDP 53 (DNS Service)進行反向通道的資料傳輸,運作方式為受感染的電腦會持續針對某個特定的DNS進行Query,而這個被查詢的HOST是DDNS(Dynamic DNS Server),也就是目的地是沒有固定IP的,當遠端主控的HOST電腦開機手動或是自動執行特定程式update過DNS record後,這個DNS Query才會返回正確的IP值,接下來受感染電腦就會以UDP 53連結先前Query到的IP以此連線建立反向通道,後續的入侵便無視防火牆的存在了。

另一隻木馬則是走HTTP所使用的TCP 80,
受感染的電腦會先去某個特定網址(通常也是個被入侵的魁儡)查詢當前主控HOST的IP/PORT,

而這個特定網址也是會由遠端主控的HOST電腦手動或是自動執行特定程式update最新的IP/PORT紀錄,接下來受感染的電腦便以得到的IP/PORT作為目的進行連接,一但連接成功也就建立起了反向通道了。

而這兩隻木馬所發起的對外主動連線一個是UDP 53,另一個是TCP 80,一般來說在防火牆上面內到外的Policy中都是不會特別去檔的。
同時由於網管或是內網的USER通常會認為前面有防火牆擋著而放鬆警惕,有的電腦甚至可說是完全不設防的狀態,網芳/內部資料庫的密碼沒設或是AD權限亂開等...造成的結果就是對方只要能穿牆滲透,接下來就等於是如入無人之境一般。


所以在防火牆後面真的安全嗎?
針對上面兩個案例,除非把內向外的Policy設的很變態,加上強制通過Transparent proxy,否則是難以抵擋有心人士的滲透入侵的。
同時內網的機器也切忌為了使用方便而疏於防範。

PS:第二支木馬在經過追查分析後發現原始程式是對岸放出來的
有興趣的人可以從線上說明了解到他的基本運作原理
http://www.xdoors.net/help/x-door-help1.htm
http://www.xdoors.net/help/x-door-help2.htm

2008-01-05

Remark BIOS 沒見過吧

REMARK CPU大家應該不陌生.
不過REMARK BIOS來造假應該就沒看過了吧.
2004年在上海時找朋友弄了套電腦.
CPU是焊在主機板上的.

開機時BIOS顯示PIII 1.4G




BIOS顯示 PIII 1.4G

進了系統以後用CPU測試軟體測的結果如下
時脈是100 x 5=500MHz



一看傻眼了....
把主機板卸下來看

CPU是焊死的..



右邊中間那塊黑色方形中間有一團白色的就是CPU


CPU 近照..

型號是 SL4JX KP 600/256
網上可以查到資料
http://www.cpu-world.com/sspec/Mobile%20Pentium%20III.html
http://www.cpu-world.com/sspec/SL/SL4JX.html
sSpec: SL4JX

Processor type Intel Mobile Pentium III
Part number KP80526GY600256
Package type Micro-PGA2
Processor speed (MHz) 600/500
Bus speed (MHz) 100
L2 cache size (KB) 256
Core voltage (V) 1.6/1.35
Product stepping PC0
CPUID 0686h

真他媽扯

實際運作只有PIII 500的CPU可以在BIOS中改成開機顯示1.4G..完全被擊敗

2008-01-01

2008元旦 台北101大火.

2007~2008的跨年.
挖出許久未用的DV&三腳架跑去福和橋頭拍101煙火.
SONY的DV 20倍光學變焦果然不是蓋的.
只可惜點沒選好,旁邊有根高壓電塔,加上風向不對.
只有頭兩發還OK.
後面全都被煙霧給蓋掉了..一整個就是火燒101的感覺
殘念..