TRock's Space Network

Apache服务器漏洞引发小流量DoS攻击

Tue, 23 Jun 2009 01:15:49 +0000

【IT168 资讯】安全专家罗伯特·汉森(Robert Hansen)近日表示，Apache和其它Web服务器存在一个重大安全漏洞，可被黑客利用发起一种新拒绝服务(DoS)攻击。

　　汉森将这种攻击称为“Slowloris”。传统的DoS攻击往往是通过发送大量的数据来达到使网站宕机的目的，而Slowloris只需通过少数数据包就能实现同样的效果。

　　一个典型的DoS攻击可能需要1000台计算机来让某个Web服务器宕机，因为攻击者需要它们发送大量数据来占满该网站线路的带宽，从而让别人无法再访问该服务器。而Slowloris不用如此，攻击者只需要在攻击开始的时候发送1000个左右数据包，然后每分钟继续发送200-300个数据包即可。

　　Slowloris并不是通过大流量数据来轰炸一个网站，而是通过发送局部http请求来占据一个Web服务器的可用连接。汉森表示，“你发送了一个请求，但你从没有实际完成这个请求，如果你发送数百个局部请求，Apache将等待很长时间来等每一个连接告诉它需要执行的内容。”

　　Apache服务器一般会限制同时打开的线程的数量，如果它未加限制，攻击者则可以使用内存耗尽或其他形式的手法来对其攻击。

　　目前存在该漏洞的Web服务器包括Apache 1.x、Apache 2.x、dhttpd、GoAhead WebServer和Squid，但这种攻击对IIS 6.0、IIS 7.0或lighttpd无效。IIS等服务器使用“工作池”，可以打开其资源支持的任意多连接。

　　该攻击不会影响使用负载均衡技术的大型网站。

Tags - apache , 服务器漏洞 , dos攻击 , slowloris

计算机病毒的表现现象

Wed, 17 Jun 2009 01:22:37 +0000

1、提示一些不相干的话。
最常见的是提示一些不相干的话，比如打开感染了宏病毒的Word文档，如果满足了发作条件的话，它就会弹出对话框显示"这个世界太黑暗了！"，并且要求你输入"太正确了"后按确定按钮。

2、发出一段的音乐。恶作剧式的计算机病毒，最著名的是外国的"杨基"计算机病毒（Yangkee）和中国的"浏阳河"计算机病毒。"杨基"计算机病毒发作是利用计算机内置的扬声器演奏《杨基》音乐，而"浏阳河"计算机病毒更绝，当系统时钟为9月9日时演奏歌曲《浏阳河》，而当系统时钟为12月26日时则演奏《东方红》的旋律。这类计算机病毒大多属于"良性"计算机病毒，只是在发作时发出音乐和占用处理器资源。

3、产生特定的图象。另一类恶作剧式的计算机病毒，比如小球计算机病毒，发作时会从屏幕上方不断掉落下来小球图形。单纯地产生图象的计算机病毒大多也是"良性"计算机病毒，只是在发作时破坏用户的显示界面，干扰用户的正常工作。

4、硬盘灯不断闪烁。硬盘灯闪烁说明有硬盘读写操作。当对硬盘有持续大量的操作时，硬盘的灯就会不断闪烁，比如格式化或者写入很大很大的文件。有时候对某个硬盘扇区或文件反复读取的情况下也会造成硬盘灯不断闪烁。有的计算机病毒会在发作的时候对硬盘进行格式化，或者写入许多垃圾文件，或反复读取某个文件，致使硬盘上的数据遭到损失。具有这类发作现象的计算机病毒大多是"恶性"计算机病毒。

5、进行游戏算法。有些恶作剧式的计算机病毒发作时采取某些算法简单的游戏来中断用户的工作，一定要玩嬴了才让用户继续他的工作。比如曾经流行一时的"台湾一号"宏病毒，在系统日期为13日时发作，弹出对话框，要求用户做算术题。这类计算机病毒一般是属于"良性"计算机病毒，但也有那种用户输了后进行破坏的"恶性"计算机病毒。

6、 Windows桌面图标发生变化。这一般也是恶作剧式的计算机病毒发作时的表现现象。把Windows缺省的图标改成其他样式的图标，或者将其他应用程序、快捷方式的图标改成Windows缺省图标样式，起到迷惑用户的作用。

7、计算机突然死机或重启。有些计算机病毒程序兼容性上存在问题，代码没有严格测试，在发作时会造成意想不到情况；或者是计算机病毒在Autoexec.bat文件中添加了一句：Format c：之类的语句，需要系统重启后才能实施破坏的。

8、自动发送电子函件。大多数电子函件计算机病毒都采用自动发送电子函件的方法作为传播的手段，也有的电子函件计算机病毒在某一特定时刻向同一个邮件服务器发送大量无用的信件，以达到阻塞该邮件服务器的正常服务功能。

9、鼠标自己在动。没有对计算机进行任何操作，也没有运行任何演示程序、屏幕保护程序等，而屏幕上的鼠标自己在动，应用程序自己在运行，有受遥控的现象。大多数情况下是计算机系统受到了黑客程序的控制，从广义上说这也是计算机病毒发作的一种现象。需要指出的是，有些是计算机病毒发作的明显现象，比如提示一些不相干的话、播放音乐或者显示特定的图象等。有些现象则很难直接判定是计算机病毒的表现现象，比如硬盘灯不断闪烁，当同时运行多个内存占用大的应用程序，比如3D MAX，Adobe Premiere等，而计算机本身性能又相对较弱的情况下，在启动和切换应用程序的时候也会使硬盘不停地工作，硬盘灯不断闪烁。

大多数计算机病毒都是属于“恶性”计算机病毒。“恶性”计算机病毒发作后往往会带来很大的损失，以下列举了一些恶性计算机病毒发作后所造成的后果

1、硬盘无法启动，数据丢失计算机病毒破坏了硬盘的引导扇区后，就无法从硬盘启动计算机系统了。有些计算机病毒修改了硬盘的关键内容（如文件分配表，根目录区等），使得原先保存在硬盘上的数据几乎完全丢失。

2、系统文件丢失或被破坏通常系统文件是不会被删除或修改的，除非对计算机操作系统进行了升级。但是某些计算机病毒发作时删除了系统文件，或者破坏了系统文件，使得以后无法法正常启动计算机系统.通常容易受攻击的系统文件Command.com，Emm386.exe，Win.com，Kernel.exe，User.exe等等。

3、文件目录发生混乱目录发生混乱有两种情况。一种就是确实将目录结构破坏，将目录扇区作为普通扇区，填写一些无意义的数据，再也无法恢复。另一种情况将真正的目录区转移到硬盘的其他扇区中，只要内存中存在有该计算机病毒，它能够将正确的目录扇区读出，并在应用程序需要访问该目录的时候提供正确的目录项，使得从表面上看来与正常情况没有两样。但是一旦内存中没有该计算机病毒，那么通常的目录访问方式将无法访问到原先的目录扇区。这种破坏还是能够被恢复的。

4、部分文档丢失或被破坏类似系统文件的丢失或被破坏，有些计算机病毒在发作时会删除或破坏硬盘上的文档，造成数据丢失。

5、部分文档自动加密码还有些计算机病毒利用加密算法，将加密密钥保存在计算机病毒程序体内或其他隐蔽的地方，而被感染的文件被加密，如果内存中驻留有这种计算机病毒，那么在系统访问被感染的文件时它自动将文档解密，使得用户察觉不到。一旦这种计算机病毒被清除，那么被加密的文档就很难被恢复了。

6、修改Autoexec.bat文件，增加Format C：一项，导致计算机重新启动时格式化硬盘。在计算机系统稳定工作后，一般很少会有用户去注意Autoexec.bat文件的变化，但是这个文件在每次系统重新启动的时候都会被自动运行，计算机病毒修改这个文件从而达到破坏系统的目的。

7、使部分可软件升级主板的BIOS程序混乱，主板被破坏。类似CIH计算机病毒发作后的现象，系统主板上的BIOS被计算机病毒改写、破坏，使得系统主板无法正常工作，从而使计算机系统报废。

8、网络瘫痪，无法提供正常的服务。由上所述，我们可以了解到防杀计算机病毒软件必须要实时化，在计算机病毒进入系统时要立即报警并清除，这样才能确保系统安全，待计算机病毒发作后再去杀毒，实际上已经为时已晚。
Tags - 计算机病毒表现

微软发布IIS Web服务器安全警告

Fri, 22 May 2009 01:00:50 +0000

         微软周一发布了一个安全咨询，解决了在其Internet信息服务(IIS)Web服务器软件中的一个潜在漏洞。

      Redmond说，这一漏洞涉及到IIS 5.0、5.1和6.0版本。微软表示，他们目前还未发现有针对IIS的任何“已知攻击”，但他们正在调查此事。IIS是继Apache HTTP服务器之后世界上最常用的Web服务器。

     独立安全研究人员是于上周晚些时候首先发现该漏洞的。本周一，美国计算机安全紧急响应小组(US-CERT)证实，确实有IIS被非法入侵的威胁。

     在其安全咨询中，微软认定这些漏洞只是三个“中介因素”，直到他们公布调查结论并发布一个新的补丁。

     首先，微软建议系统管理员通过维护文件系统访问控制列表(ACL)的固件和可执行性。以取缔访问控制安全，提高访问权限，减轻安全问题。微软解释说，在这种情况下 “此漏洞不能以匿名用户帐户的形式通过文件系统ACL使用超过级别授予的访问。”

     第二种方法涉及配置孤立文件，采用匿名或管理用户帐户则拒绝执行，更改或删除权限的默认。这样，一个如“ SECADMIN ”或“SYSADMIN”的匿名名单的用户配置文件就不在具有访问权限。

     最后缓解技巧涉及禁用基于Web的分布式创作和版本控制(WebDAV)。微软的顾问说，这方法特别适用于Windows Server 2003系统运行IIS 6.0。该咨询顾问补充说，在IIS 6.0中“ WebDAV并未启用。”并缺省配置，除非由管理员启用，否则该系统仍是相对暴露状态。

     Shavlik Technologies公司首席技术官Eric Schultze提供一个值得IT专业人员研究的漏洞警示。

    “这个漏洞可以使攻击者在Web服务器上阅读网页代码，而这些网页可能包括网络服务器所控制的用户名或密码等应用程序或数据库。” Schultze在一份声明中指出。“我建议人们运行IIS 5或IIS 6时运行微软的IIS锁定功能和URLscan工具。这两种工具禁用WebDAV，以便保护您的系统。”

     一些漏洞之前已经出现过，并在IIS之前安装了修补程序。2008年2月，微软发布了两项补丁来解决中的IIS特权提升和远程代码执行漏洞。当时，有人说，攻击者可以通过控制工作进程标识的应用程序控制IIS服务器，这是网络管理员帐户权限默认预设的。

Tags - iis6.0 , iis5.1 , iis5.0 , 漏洞

IE 7新漏洞被黑客利用

Wed, 25 Feb 2009 13:03:27 +0000

微软IE7的最新漏洞MS09-002已被很多黑客利用，挂马网址量激增。据瑞星公司统计，一天之内就有866万用户浏览过挂马网站。用户一旦中毒会被安装病毒下载器，其中“下载器蠕虫变种NV （Worm.Win32.DownLoad.nv）”病毒是比较活跃的代表。该病毒运行后，设置自身属性为系统隐藏，复制到系统目录并运行，发送窗口消息使一些安全软件关闭，并结束相关进程，当发现安全软件的主动防御提示消息时，自动选择下一步，以躲避对其查杀。它通过修改注册表使系统无法显示隐藏文件，通过映像劫持使安全软件无法加载;添加多处自启动项，使病毒在开机时加载;连接到黑客指定的网址下载病毒并运行。此病毒易反复感染，彻底清除困难。专家提醒用户及时进行漏洞修复。
Tags - ms09-002 , 漏洞

Adobe Reader及Acrobat曝严重漏洞

Sun, 22 Feb 2009 00:20:48 +0000

据国外媒体报道，多家安全公司日前提醒用户警惕Adobe Reader 9和8.x版本及Acrobat中存在安全漏洞，该漏洞可能引发黑客攻击，不过攻击行动并没有大范围展开。

　　Adobe公司表示，上诉漏洞可能导致软件崩溃，并允许黑客控制受影响的电脑。Adobe将这一漏洞称为严重问题，并建议用户升级病毒库，并谨慎打开不明来源的文件。Adobe表示，预计在3月11日前发布Adobe Reader 9和Acrobat 9升级版，以解决相关安全问题。

　　Adobe表示，正在与McAfee和诺顿等杀毒厂商就此进行联系。网络安全监测组织Shadowserve基金会透露，针对Adobe软件的攻击出现了多个变种，其中零日攻击(zero-day attack，指的是在软件生产厂商发布针对漏洞的更新补丁之前，就抢先利用该漏洞发动网络攻击的攻击方式)是黑客攻击的优选方式，因为相对而言，被攻击对象更不容易反击黑客的进攻。在得手后，黑客会在被攻击电脑安装一个用于远程控制的后台程序，并对电脑进行监控。

Tags - adobe , reader , 9 , 漏洞

搜索引擎免费登陆入口

Thu, 12 Feb 2009 15:21:43 +0000

Tags - 搜索引擎 , 入口