提到网站入侵,大家肯定会不由自主地想起脚本注入。没错,它是黑客最常用且成功率最高的网站攻击方式。尽管不少站长在防注入方面作了不少努力,但是黑客仍可以轻松突破。为了防止网站后台被攻破,我们可以聘请后台狗狗(下载地址:http://download.cpcw.com),来守住网站最后的安全防线。
本文以常见的动网论坛为例,在默认情况下它的后台设置为不隐蔽状态,并且后台文件名称为admin_login.asp,这是路人皆知的事情。如果不加以更改或者保护,就会很容易让黑客寻找到后台页面的管理位置,其后果会怎么样大家可想而知。
运行“后台狗狗”客户端,在弹出的软件操作界面内,在左侧你会清楚地看到,以红色字体书写的安全提示“请确保在网络连接正常的情况下使用,本程序未加入报错系统”的醒目文字(图1)。
我们可以利用Ping命令或者直接打开网站浏览网页等操作,来对自己当前网络的连接进行测试。当测试网络一切正常后,单击“安装/卸载”按钮,在出现的“安装假后台”窗口内,按照相关标签提示,将FTP、后台一类的相关信息填入(图2)。
要注意的是,如果是使用的网络空间,后台目录一定要填写准确,否则将不会起到任何作用。操作完毕后,单击“安装”按钮,会弹出“安装完毕”的对话框提示,接下来单击“确定”按钮,自动回到软件操作界面。WwW.ItCoMputeR.COM.CN
单击“解密”按钮,紧接着单击“加密”按钮,这时黑客按照以前的地址打开网站后台,就会被我们制作的假后台拒绝。要想恢复对后台的正常浏览,再单击一下“解密”按钮即可。
其实这个后台狗狗工具,是通过FTP通道将网站后台首页更名,然后再利用制作出的假后台来迷惑入侵者,让入侵者认为管理员对此已加以了限制,从而打消黑客的入侵意图。
如何清除autorun病毒 你的闪存、硬盘是否双击打不开,单击右键是否有Autorun选项?如果是,那么很遗憾你中招了。Autorun病毒近来十分猖獗,各种变种层出不穷,中了它一切都变得不爽,别急,看完这篇文章,Autorun将不再可怕。www.sq120.com推荐文章
Autorun病毒是通过Autorun.inf这个合法的系统文件自动运行特定的病毒,以硬盘为例,在你双击打开含有Autorun病毒的硬盘时,你就等于对自己的爱机发出了运行这个病毒的指令。
好在一般Autorun指定运行的病毒都不是很可怕,只要把杀毒软件更新到最新都可以轻松杀掉,但是一般都会留下后遗症,由于Autorun.inf是一个合法系统文件,杀毒软件并不会将它清除。
当你再双击打开这个硬盘时系统还会被要求运行特定的病毒,但是病毒已经被清除无法运行,所以就会出现“请选择打开方式”而无法正常打开,给我们的使用带来很大的麻烦。怎样才能把顽固的Autorun病毒彻底清除呢?
方法一:在开始菜单上,单击右键选择“资源管理器”,进入感染病毒的硬盘,依次点击“工具→文件夹选项→查看”,去掉“隐藏受保护的操作系统文件”前面的对钩,在“隐藏文件和文件夹”选项中选择“显示所有文件和文件夹”。
现在看看中毒的硬盘是否显示出一个名为Autorun.inf的文件,如果出现了,将它双击打开会出现如下内容:
[AutoRun]
open=tel.xls.exe
shellexecute=tel.xls.exe
shell\Auto\command=tel.xls.exe
shell=Auto
其中tel.xls.exe就是病毒,找到这个病毒然后彻底删除(用“Shift+Delete”组合键)。用同样的方法将其他盘中的Autorun.inf及可疑的可执行文件都彻底删除,然后重启,大功告成。如果并没有显示隐藏文件怎么办呢?
方法二:在试过上述方法以后无法找到病毒,杀毒软件也没有查杀到病毒怎么办呢?别急,有些高手喜欢用另外一个合法的系统文件隐藏病毒,它就是回收站。
在你打开“显示到所有隐藏文件”后,你会发现盘里有两个RECYCLER文件夹,或者回收站图标,其中一个就是病毒所在地,将两个全部选定彻底删除,并将Autorun.inf彻底删除,这样重启机器后,Autorun再也无法危害到你的爱机了。
如何狙击迷你木马下载者
以前黑客认为木马下载者程序只是起到一个过渡的作用,所以并没有对它进行很好的伪装,但是随着安全软件功能的不断提升,黑客也认识到下载者程序伪装的重要性。最近有一款名为Amalgam Lite下载者程序,不但程序体积非常“迷你”,而且其穿越防火墙的能力也十分了得。
IE进程常被调用
五一节后,是病毒大量繁衍的时期。今天在病毒诊所值班的徐阳医生一大早就接待了一位病人,这位病人称自己的电脑运行速度很慢,而且不时还弹出一个IE浏览器的进程要求访问网络。在升级了杀毒软件的病毒库,对系统进行了全方位的扫描检测后还是一无所获。
听了病人的叙述后,首先徐阳医生怀疑可能是流氓软件,但是他很快否定了自己的想法,因为很多流氓软件在调用IE浏览器无效后,会接着调用其他的系统进程。最后进行一系列的比对后,徐阳医生认为患者受到最近网络上大肆作案的木马下载者——Amalgam Lite攻击。
Amalgam Lite档案
Amalgam Lite下载者程序是一款体积只有2KB大小,同时拥有反向连接穿越防火墙等功能的远程控制程序。程序代码采用最精简化设置,使用CAsyncSelectEx框架,以及完全利用Windows32 SDK进行编写。程序还可以屏蔽用户的连接,定时检测被控端是否非正常断开连接。
IE进程没被插入
徐阳医生首先运行IceSword,点击工具栏中的“进程”按钮后,很快发现一个IE浏览器进程的进程(图1),徐阳医生明白这个IE进程一定是被该恶意程序利用了。
为了更好地分析是什么恶意程序利用了IE进程,他在这个IE进程上单击鼠标右键,再选择菜单中的“模块信息”命令。经过在弹出的“进程模块信息”窗口认真查找,徐阳医生并没有发现任何恶意程序模块信息。
看来这个恶意程序并不是利用流行的线程插入方法来进行伪装,而是利用IE进程来启动运行服务端程序本身,这种方法和灰鸽子木马的启动方法是一样的。
木马利用插件启动
虽然知道了恶意程序的利用进程,但是并没有查询到任何该恶意程序的相关信息,于是徐阳医生觉得还是应该通过启动项来进行检测。结果徐阳医生通过对注册表启动项,以及系统服务等常见的启动方式进行检测以后,均没有发现任何可疑的启动项目信息。
接着他又运行AutoRuns来查看系统启动项。点击程序操作界面中的“全部”标签,经过一系列认真检查,终于发现一个可疑的启动项。该启动项所指向的程序路径为Windows的系统目录,可是它所对应的应用程序winlogo.exe却没有任何“说明”和“发行商”信息(图2)。
这个应用程序的名称和系统进程Winlogon非常相似,通过这个黑客惯用的伎俩也可以断定这个程序就是恶意程序的主文件。
那么这个恶意程序到底是通过什么方式随机启动的呢?徐阳医生点击开始菜单中的“运行”命令,然后在弹出的窗口执行regedit命令打开注册表编辑器。点击“编辑”菜单中的“查找”命令,在弹出的窗口搜索“winlogo.exe”这个关键词,果然经过搜索找到一处(图3)。 从图中我们可以看到,其中的{4A202188-F04D-11cf-64CD-31FFAFEECF20}即为该恶意程序的启动键值,由此我们也知道了该恶意程序是利用ActiveX插件进行随机启动的,怪不得我们利用常见的方法检测不到它的启动项。
轻松清除木马下载者
运行安全工具IceSword,在“进程”列表中选择IE浏览器的进程,点击右键菜单中的“终止进程”命令。点击IceSword工具栏中的“文件”按钮,通过资源列表进入木马服务端程序安装的System32目录,找到winlogo.exe这个主程序,通过右键菜单中的“删除”命令将它删除(图4)。
接下来运行安全工具AutoRuns,在窗口中找到该木马的启动项,同样点击鼠标右键中的“删除”命令即可删除该启动项。重新启动系统后发现系统运行正常,由此可以证明木马程序已经被彻底清除干净。
From:http://www.itcomputer.com.cn/Article/Network/201309/441.html