树树在调查中发现,打开恶意页面http://7y7.us/1.htm后杀毒软件报告发现病毒。深入分析后发现在网站Sign目录中存有大量木马下载者,名称分别为csrss.exe、smss.exe、IEXPLORE.EXE、svchost32.exe、ctfmon.exe、mms.exe等,企图仿冒系统进程混淆视听。
这与前段时间曝光的4255.biz一样都是利用了微软MS06-014和MS07-017漏洞下载木马,并实施ARP欺骗攻击,同时还会通过闪存、MP3等移动存储工具传播。由于此恶意网站服务器托管于美国,目前依然在频繁更新病毒以逃避杀毒软件查杀。
解决方法:大家应尽快安装上述系统补丁,建议网管及普通用户将此域名和IP地址添加到路由器或IE受限地址栏中予以屏蔽,受感染的用户请进入安全模式删除硬盘(移动存储设备)根目录中的Autorun.inf及Ghost.pif文件,然后用杀毒软件全盘扫描。
本周其他流氓网站
12rr.com
恶意链接: http://12rr.com/1.htm
投诉人数:320
危害程度 ★★★★
IP:61.152.157.106
虚假空壳网站,页面挂有恶意程序窜改用户系统,并利用网页统计器调查受感染人数及地域分布,根据其统计数据预测感染网民已达数万人。wWw.iTcoMPUter.cOM.Cn
解决方法:在IE受限访问地址中屏蔽此域名及IP,360安全卫士已可将其清除,请先删除IE临时文件夹,进入安全模式清理。
YCDY另类娱乐
恶意链接:http://www.ycdy.com
举报人数:169
危害程度 ★★★☆
IP:61.172.249.215
利用系统漏洞,首页挂有数个木马及脚本病毒,窜改系统。在K1目录中更隐藏着大量病毒。
解决方法:先安装MS07-017补丁,删除IE临时文件夹,进入安全模式用杀毒软件查杀,注意禁用未知启动项。
造爱网络
恶意链接:http://www.zqqa.com
举报人数:43
危害程度 :★★★
IP:125.65.110.169
页面挂有病毒名为Script.HttpDownloader.i的木马下载器及恶意广告程序,其提供的QQ空间代码具有潜在危险性。
解决方法:在IE受限地址栏中屏蔽此域名及IP,QQ空间用户注意如链接有此站提供的代码应尽早删除以免中招。
如何利用dns漏洞入侵
DNS 是域名系统 (Domain Name System) 的缩写。大家在上网输入网址时,只有通过域名解析系统解析找到相对应的IP地址才能访问到网站。但是最近微软的Windows 2000和Windows 2003的DNS服务出现了一个级别极高的安全漏洞,如果被黑客成功利用的话,那么我们的上网操作将遇到巨大的麻烦。
黑客姓名:张均诚
黑客特长:Windows系统漏洞研究
使用工具:DNS服务器漏洞利用工具
黑客自白:最近Windows系统的DNS出现了0day漏洞,自从这个安全漏洞的代码被披露,攻击这个漏洞的Nirbot蠕虫已经出现了各种变体。如果这个漏洞被黑客利用,那么系统就会被黑客完全控制。
DNS漏洞打开系统防线
Windows DNS如果存在这个漏洞,那么它在工作时,RPC接口如果处理到有非常规的畸形连接请求,就会向外释放管理员权限,让黑客可以利用这种漏洞完全控制系统。黑客可以通过向有这个漏洞的系统发送一个经过特别设计的RPC数据包,就能够获得该系统的管理员权限,远程执行任何指令。
小知识:什么是RPC
远程过程调用 (RPC) 是一种协议,程序可使用这种协议向网络中的另一台计算机上的程序请求服务。由于使用 RPC 的程序不必了解支持通信的网络协议的情况,因此 RPC 提高了程序的互操作性。
此前,RPC中也出现过数个漏洞,其中包括导致Blaster蠕虫大爆发的那个漏洞。这一最新的漏洞是一个堆栈溢出漏洞,给微软和Windows用户带来了很大麻烦。
根据微软发布的消息,Windows XP和Windows Vista不会受到这一DNS漏洞的影响,Windows 2000 Server SP4、Windows Server 2003 SP1、Windows Server 2003 SP2则存在这一漏洞。
轻松利用DNS漏洞
打开系统的命令提示符,接着跳转到DNS服务器漏洞利用工具所在的命令,然后执行该漏洞利用工具(图1)。
在该漏洞的利用程序中执行命令:dns.exe -h 127.0.0.1 -t 1 -p 445,因为我是在本地计算机上进行测试的,所以其中的IP地址为127.0.0.1,而且需要根据服务器版的语言设置参数。当利用工具提示溢出成功以后,就可以利用telnet命令或程序nc连接存在漏洞的服务器中的4444端口,比如telnet 127.0.0.1 4444(图2)。需要说明的是,该工具的成功率并不是特别的高,所以在测试的时候需要多进行几次。
当我们成功利用漏洞进行溢出以后,就可以在命令行输入:net user pcw 1234 /add,回车确定后如果显示命令成功,就说明已经成功添加了一个用户名为pcw、密码为1234的用户。
然后我们再在命令行输入:net localgroup administrators pcw /add,如果成功执行的话,就表示将该用户已经添加到管理员组(图3)。
现在只要利用Windows系统自带的远程桌面功能,接着连接到该DNS服务器的IP地址,然后利用我们刚刚创建的用户名进行登录,就可以进行适时远程管理操作了(图4)。
如果远程服务器没有开通终端服务功能,也可以通过溢出得到的命令提示符窗口,用FTP或Tftp命令上传我们的木马程序,这样也可以进行有效的远程管理操作。
漏洞危害大,不可不防
由于这个安全漏洞影响到Windows 2000 Server和Windows Server 2003服务器软件,而且每一种语言版本的Windows服务器都要有一个补丁。微软提供的补丁地址为:http://www.microsoft.com/china/technet/security/bulletin/ms07-029.mspx,请根据自己的情况选择对应的补丁。
同时,建议管理员采取如下措施以降低威胁程度。首先打开注册表编辑器,找到以下注册表位置HKEY_LOCAL_MACH INE\SYSTEM\CurrentControlSet\Services\ DNS\Parameters,通过右键菜单新建一个名为“RpcProtocol”的DWORD项目,然后双击新建的值并将该值的数据更改为4,最后重启DNS服务更改生效即可。
破解第20期《轻松拿下OBlog博客系统》攻击招数
本周,一共有200位读者发来了破解第20期《轻松拿下OBlog博客系统》的招数。我们根据大家的破招描述和效果,最后评出来自广州的李国森为最佳防御者,他将获得50元的奖励,同时,还可再参加年度最佳防御者的评选。
别碰我的博客
1. 根据OBlog系统提示安装漏洞补丁,注意事项查看http://www.oblog.cn/oblog/Oblogshow.htm。
2. 更改js.asp的文件名,但其他页面的相应连接也会变成新文件名,还可以备份一个假的js.asp和数据库。
3. 更换管理员页面的名字与位置。这是一个基本方法,但很管用。当然,网站不能设置成支持目录浏览。
4. 把管理密码设得尽量复杂,位数也更长一点,且没什么意义最好,这样MD5破解网站的数据库时就不可能组合出你的密码。
如何入侵OBlog系统
OBlog博客程序(一套Windows NT服务环境下的多用户博客建站程序)形成的注入漏洞主要还是变量没有经过过滤引起的,该漏洞存在于文件js.asp之中。通过对js.asp文件的查看,我们就能很明显地看到TID(Thread ID线程标识符)没有经过过滤就直接递交给函数TEAMID,而函数TEAMID只过滤了“|” 就直接进SQL语句了,因此对攻击者的注入操作没多大的影响。
注入成功后即可进行数据库管理员表的猜解,但是后面发现可以直接用SQL语言中的UNION命令暴露管理员的账号密码,被暴露的账号密码就藏在网页源文件里。通过查看网页源文件,在源文件的代码gid后面的就是管理员账号,而 pid后面的就是管理员的MD5密码了。
漏洞利用
打开搜索引擎,在关键词输入框中输入“Copyright by OBlog.cn”,然后按回车键开始进行搜索。或者直接运行“OBlog4.X漏洞暴管理员密码工具菜鸟智能版”,接着在程序界面中点击“搜索OBlog”按钮,搜索受影响的OBlog博客系统(图1)。
从工具窗口中的搜索结果中任意选择一个链接,然后将该博客的网页地址复制到利用程序的“目标网址”选项中,接着点击工具中的“暴管理密码”按钮。浏览器页显示完毕并提示成功后,点击鼠标右键中的“查看源文件”命令,即可获取管理员的用户名以及MD5密码(图2)。
点击漏洞利用工具中的“XMD5密码破解”或“CMD5密码破解”按钮,这时利用工具将主动利用系统浏览器登录这两个MD5密码破解网站。将前面获取的管理员MD5密码复制到密码破解框中,点击“MD5加密或解密”按钮进行密码破解。如果运气好的话,就可以在该网站数据库中找到合适的相关数据,那么很快就可以得到破解的密码信息(图3)。
如果通过网站不能破解MD5码,就要通过在本地计算机进行解码。MD5Crack是MD5破解中最常用的工具。它最大的特点是速度方面比很多同类工具都快,不过这种方法要牺牲大量内存来换取速度。
最后我们通过浏览器登录该博客网站,在登录窗口输入管理员的用户名以及破解的密码。成功登录以后可以对博客网站进行管理操作,比如数据库管理、上传文件、网页挂马等(图4)。
From:http://www.itcomputer.com.cn/Article/Network/201309/435.html