在我们的计算机系统中,账号和密码可以说是作为很重要的一道安全屏障,但在实际使用电脑的过程中,账号和密码往往也是最脆弱的部分。
在Windows 2000及后续版本的系统中都会自动创建一个名为“Administrator”的系统管理员账号,若不更改该账号名称,就可能导致被他人“暴力破解”账号密码,因此设置一个比较复杂和安全的账号和密码也是必需的。如果设置账号时包含某些非法字符,如“@”,能较大程度地提高账号的安全性。默认情况下,系统会认为“@”是非法字符。那怎样才能使它为我们“服务”呢?
单击“开始→运行”,在运行对话框中键入“gpedit.msc”回车打开组策略窗口,依次双击展开“计算机配置→Windows设置→安全设置→本地策略→安全选项”,在右侧双击“账户:重命名系统管理员账户”,然后在输入框中输入“@Administrator”,单击“确定”按钮。系统就不会再提示账号非法了。现在注销看看,这个“非法”的账号一样可以正常登录。
为更进一步地提高系统安全性,在系统的登录窗口中不应提示上次登录过的账号。运行“regedit”命令打开注册表编辑器,依次展开[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system,在右侧窗口中双击“dontdisplaylastusername”,将其值设置为“1”,退出注册表编辑器即可。wWW.ITCOmputer.Com.CN再设置账号的密码,最好将大小写和特殊字符混合且位数至少应在6位以上,这样就能为系统安全加上又一道墙。
如何暴库 暴库,就是通过一些技术手段或者程序漏洞得到数据库的地址,并将数据非法下载到本地。黑客非常乐意于这种工作,为什么呢?因为黑客在得到网站数据库后,就能得到网站管理账号,对网站进行破坏与管理,黑客也能通过数据库得到网站用户的隐私信息,甚至得到服务器的最高权限。www.sq120.com推荐文章
曾经案例:黑客暴库的方法有很多,如果站长没有修改默认数据库地址,那黑客就能直接下载到数据库对网站进行控制。当然稍有安全意识的站长都会修改默认数据库地址的,通常是由于程序的漏洞导致数据库被黑客非法下载到。
在暴库的漏洞历史中,要数单引号过滤不严漏洞最为经典,入侵者只要加单引号就能暴库。这个漏洞危害非常大,曾经导致无数网站受害。还有较早版本的《动力文章系统》(一种网站系统)的%5c替换漏洞,也是非常简单,只要加%5c就能测试出漏洞。暴库漏洞出现时都导致无数网站受害。
简单的防范方法:很多人认为在数据库前面加个“#”就能够防止数据库被非法下载,但是经过研究,这是错误的。因为在IE中,每个字符都对应着一个编码,编码符%23就可以替代“#”。这样对于一个只是修改了后缀并加上了“#”的数据库文件我们依然可以下载。
比如#data.mdb为我们要下载的文件,我们只要在浏览器中输入%23data.mdb就可以利用IE下载该数据库文件,这样一来,“#”防御手段就形同虚设一般,还有一些人把数据库扩展名改成ASP,其实这也是一种致命的错误,黑客下载后把扩展名修改回来就行了。
防范暴库首先必须修改默认地址,对于有自己的服务器的朋友还有一种更为保险的办法,就是将数据库放在Web目录外,如你的Web目录是e:\webroot,可以把数据库放到e:\data这个文件夹里,在e:\webroot里的数据库连接页中修改数据库连接地址为“./data/数据库名”的形式,这样数据库可以正常调用,但是无法下载,因为它不在Web目录里。还有就是经常更新程序,也可以使用Access数据库防下载的插件,例如:“数据库防下载.asp”之类的插件。
如何清除Radmin木马
网络安全不可忽视,一不小心就让你中招。最近Radmin木马就在网络上疯狂流窜作案。如果大家通过清理注册表启动项的方法去对付它的话,是不能够成功清除的。因为Radmin通过服务项启动,并且极具隐蔽性。大家要是对系统服务不熟悉,还真拿它没有办法。但是再狡猾的狐狸也逃不脱猎人的眼睛。下面我们就来看看来自湖南的扫黑尖兵小舟是如何清除狡猾的Radmin木马的。www.sq120.com推荐文章
情况描述
电脑的鼠标指针无故滑动,像是被别人在操作。并且电脑里多了一些软件程序,其中居然还有宽带账号查看器。电脑也有时自动重启或则关闭。月底去电信营业厅缴上网费,发现莫名多出了使用互联星空进行网上消费的账单,可是我并没有通过电信的互联星空购买任何东西呀。
揪出幕后黑手
根据这些情况,我第一感觉就是中了灰鸽子木马。谁叫灰鸽子 “臭名远扬”呢?于是马上升级杀毒软件,对系统进行全面扫描。但是在漫长的查杀过程中一无所获。于是我又按照《电脑报》扫黑尖兵所介绍的方法来手工绞杀灰鸽子,但是发现并没有中灰鸽子木马。
真不甘心,我难道还搞不定一个小“马”?我不气馁,仔细地排查系统进程,发现了一个可疑进程r_server.exe,发现该进程占用的内存不大,但是电脑在出现我所描述的故障时,便一下子增大了,可见是一个后门程序。马上结束它,并且打开注册表在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run的位置寻找可疑的加载值。
但是让我失望的是并没有r_server.exe加载的值,难道它使用什么最新的高技术?一下子我的思路全断了。于是我又打开“命令提示符”输入“netstat –an”来查看计算机的所有连接与端口使用的情况,我查到一个被非法占用的4899端口,并且看到了远程控制我的IP地址。这下露出马脚了。
扫除Radmin害人“马”
根据种种迹象,在网上查看,我猜测我中的是Radmin木马。Radmin木马的默认端口就是4899,并且Radmin不同于普通的木马使用run加载值,而且该木马以前被杀毒软件认为是“良民”的,因为它的原始作用是帮助网管进行远程操作的。但是被黑客滥用于非法对别人入侵后,杀毒软件也不得不对它“痛下杀手”了。
我打开注册表编辑器,用木马进程名r_server.exe作为关键字进行扫描,很快便搜索到相关的键值,我在无意中的点击中打开了“Display Name”键值的修改项,发现数值数据为“Remote Administrator Service”,这应该就是Radmin启动的服务名称了,因为Display Name的作用是在服务列表中显示的名称。
到这里我已经清楚Radmin木马的工作方式了,它并不是通过run键值来加载的,而是通过“服务”来加载的。知道工作方式就好处理了。我打开服务项,依次进入“控制面板→管理工具→服务”,将Remote Administrator Service服务禁用掉,这时我又发现Radmin键值下的Image Path值下有木马程序的目录,通过目录将木马主程序及一些DLL文件删除掉,再将Radmin主键值删除,Radmin就这样被驱除了。
从这个事例,我们可以看到入侵者在小舟的电脑上种上木马后,盗取小舟的宽带账号并通过互联星空进行消费,这是相当卑鄙的,同时这也是犯罪!阿良在这里提醒大家,如果没有使用互联星空服务的需求,最好去营业厅关闭网上购物的功能,以防有所损失。
Radmin木马采用大家都容易忽视的服务方式启动木马,增加了大家扫黑的困难。不过还是那句话,再狡猾的狐狸也逃不过猎人的眼睛。只要是木马,一般都会占用系统的端口,只要我们发现了被非法占用端口,然后顺藤摸瓜,就能找到清除木马的方法。
最后提示大家,关闭不需要的服务不但可以让系统性能提高,也可以在一定程度上增加系统的安全系数。如果大家对系统需要的服务不熟悉,可以借助超级兔子优化软件,在它的启动优化中可以对系统启动的服务进行设置。千万不可自己随意关闭服务,不然有可能导致系统崩溃。
From:http://www.itcomputer.com.cn/Article/Network/201309/522.html