跟刀客一起追寻昨日的足迹
作者:admin 日期:2010-02-08
已近年终,城里的白领、乡下的阿姨都开始开始忙年货,在网上有那么一群人也开始忙活起来,为他们的年终奖金而“奋斗”,那就是职业“黑客”,他们窃取数据为自己谋一个温饱或者寻找更大的幸福,乃至奔驰、宝马。在这样的环境下,我管理的服务器收到大量的日志。注入拦截日志,批量扫描拦截日志,敏感文件拦截日志等等呈几何式增长,IIS的日志不断刷新着记录,100m,200m,1G,2G......有些网站仅日志一项都拿去了他们自身数据10倍乃至100倍的容量,当然这个日志主要与网络流量有关。
作为一个服务器维护者,我的工作就是检查日志。今天我想和大家分享的不是上面的任何一个日志,而是系统的管理日志。在windows 2003系统中,在“开始”菜单“运行”中输入“eventvwr”就可以打开事件查看器,不过一般我们是打开计算机管理,他包含了这个时间查看器,方便管理,在运行中输入“compmgmt.msc”或者右击我的电脑选择“管理”就可以打开计算机管理。事件查看器 一般可以查看四类日志,他们分别是“应用程序”,“internet explorer”,“安全性”和“系统”。如图
对于“登陆/注销”来说我们重点关注 “应用程序”和“系统”这2类,“登陆/注销”这种行为一般发生在系统用户和数据库用户,下面以一个例子来具体说明。
作为一个服务器维护者,我的工作就是检查日志。今天我想和大家分享的不是上面的任何一个日志,而是系统的管理日志。在windows 2003系统中,在“开始”菜单“运行”中输入“eventvwr”就可以打开事件查看器,不过一般我们是打开计算机管理,他包含了这个时间查看器,方便管理,在运行中输入“compmgmt.msc”或者右击我的电脑选择“管理”就可以打开计算机管理。事件查看器 一般可以查看四类日志,他们分别是“应用程序”,“internet explorer”,“安全性”和“系统”。如图
对于“登陆/注销”来说我们重点关注 “应用程序”和“系统”这2类,“登陆/注销”这种行为一般发生在系统用户和数据库用户,下面以一个例子来具体说明。
Tags: 原创文章
FCKeditor风云
作者:admin 日期:2010-02-05
前段时间,IIS解析漏洞被披露出来。IIS解析漏洞就是把shell文件命名为test.asp;z.jpg,test.asp;_gif之类格式的文件,会被当做asp,php,aspx等动态文件解析的问题。对于FCK来讲,这个漏洞应当是起到了助纣为虐的作用。fckeditor可能是当今各大站长使用的最为广泛的一款网页编辑器,其兼容性和易用性广为人知,但同时众所周知的是他的安全性也被人广为诟病。IIS解析漏洞和FCK上传文件问题这两者的结合铸就了江湖太多太多的血雨腥风。前段时间安全中国,NOD32网站等网站被入侵,听说都是因FCK所累,真不知有多少大站倒在fck的石榴裙下,网络安全有点触目惊心的味道。
FCK的问题与IIS的解析漏洞有着密切的关系,自IIS解析漏洞披露后,fck就遭受了新一轮冲击。由于fck对上传文件的扩展名检查不严格,导致了一些畸形文件名文件的上传,比如上面说道的test.asp;z.jpg,而由于IIS解析漏洞的原因,IIS会把这种格式的文件当做动态文件解析。FCK修正了一次之后,又出现了二次上传漏洞,就是第一次会把扩展名中多余的”.“替换成”-“,但是如果再传一次同样的文件,则不替换。对上传文件过滤似乎有所加强,出现invalid file弹窗的几率大为增加,但是还是有办法突破,这都归责于fck的致命问题:上传文件没有重命名!对于突破上传,网上有个朋友介绍了一个相当好的办法,那就是利用edjpgcom插入一句话到图片,这个图片还可以游览,fck根本无法检测出,非常好的一个伪装办法,edjpgcom.exe这个程序刀城有朋友传上来了,在cmd下使用,直接拉图片到程序也是可以的。
前几天遇到一个fck的一个新情况,是什么呢?重命名了,我不是很确认这是官方的版本还是自己修改的版本,FCK把所有的文件都重命名存放,截图看下
FCK的问题与IIS的解析漏洞有着密切的关系,自IIS解析漏洞披露后,fck就遭受了新一轮冲击。由于fck对上传文件的扩展名检查不严格,导致了一些畸形文件名文件的上传,比如上面说道的test.asp;z.jpg,而由于IIS解析漏洞的原因,IIS会把这种格式的文件当做动态文件解析。FCK修正了一次之后,又出现了二次上传漏洞,就是第一次会把扩展名中多余的”.“替换成”-“,但是如果再传一次同样的文件,则不替换。对上传文件过滤似乎有所加强,出现invalid file弹窗的几率大为增加,但是还是有办法突破,这都归责于fck的致命问题:上传文件没有重命名!对于突破上传,网上有个朋友介绍了一个相当好的办法,那就是利用edjpgcom插入一句话到图片,这个图片还可以游览,fck根本无法检测出,非常好的一个伪装办法,edjpgcom.exe这个程序刀城有朋友传上来了,在cmd下使用,直接拉图片到程序也是可以的。
前几天遇到一个fck的一个新情况,是什么呢?重命名了,我不是很确认这是官方的版本还是自己修改的版本,FCK把所有的文件都重命名存放,截图看下
Tags: 原创文章
点击快速连接打开谷歌出现错误中止操作的解决办法
作者:admin 日期:2010-01-28
刀客城-致力于原创性氛围的技术交流平台
作者:admin 日期:2010-01-19
告诉大家一个消息,刀客城开坛了,并已上架差不多9天,在这期间得到很多朋友的支持,深感欣慰。开一个坛子,品出了朋友真情;开一个坛子,品出了人情冷暖。说实话,颇多感慨,特别是今天在QQ的群里触动了我的一些情绪,哎,秋风扫落叶,伤感多多愁。不说这些了,随他去吧,还是回俺的火星,火星最快乐......
一直有个梦想就是弄一个平台,和臭味相投的朋友一起来交流学习,这次终于得逞,呵呵,老多朋友支持,认识的,不认识的,都很感谢你,特别是有些朋友为了刀城付出了相当大的劳动,在此致谢了。相聚到一起其实是一件蛮有缘分的事情,希望到刀城能够学到东西,不仅仅是技术上的进步,也希望在做人方面学到经验。多学点知识,少走弯路,就算没有成为优秀的技术员,那也是很大的欣慰了。
刀城的目标是想做一个原创性较强的坛子,准备在网络攻防,汉化破解,加密解密,服务器安全及病毒分析这些方面展开讨论,有兴趣的朋友就一起来玩玩吧,http://forum.daokers.com 我在刀城等着您......
一直有个梦想就是弄一个平台,和臭味相投的朋友一起来交流学习,这次终于得逞,呵呵,老多朋友支持,认识的,不认识的,都很感谢你,特别是有些朋友为了刀城付出了相当大的劳动,在此致谢了。相聚到一起其实是一件蛮有缘分的事情,希望到刀城能够学到东西,不仅仅是技术上的进步,也希望在做人方面学到经验。多学点知识,少走弯路,就算没有成为优秀的技术员,那也是很大的欣慰了。
刀城的目标是想做一个原创性较强的坛子,准备在网络攻防,汉化破解,加密解密,服务器安全及病毒分析这些方面展开讨论,有兴趣的朋友就一起来玩玩吧,http://forum.daokers.com 我在刀城等着您......
Tags: 杂碎
军情播报-百度DNS被入侵
作者:金刀客 日期:2010-01-12
雷驰加解密工具
作者:金刀客 日期:2010-01-07
又一经典免费VPN软件-Free VPN by WSC
作者:金刀客 日期:2010-01-06
想当年,由于穷人家的身份和“小绿盾”免费快速的特性臭味相投,自然很快一拍即合,拿着“小绿盾”闯荡大江南北,翻墙入院,所向披靡,和其结下深厚的友谊。没曾想,离别三五日,曾经辉煌一时的小绿盾已经”寿终就寝“。没办法,扬起鼠标,重新开始寻找......
找到的这款宝贝就是Free VPN by WSC,和小绿盾相比,有过之而无不及。体积小,速度快,并且我发现虽然说去除广告需要付费,但是我使用时它并没有在页面中插入广告,但是他修改了IE的首页,这个我想大家都有办法去掉。
必须下载最新版本才能使用,所以请到官方网站下载最新版,他们的官方网站是http://www.thefreevpn.com,软件下载地址http://thefreevpn.com/ifreevpn.exe
下载下来后安装就是,记得在有这个提示时选择"yes“才能安装VPN适配器驱动
找到的这款宝贝就是Free VPN by WSC,和小绿盾相比,有过之而无不及。体积小,速度快,并且我发现虽然说去除广告需要付费,但是我使用时它并没有在页面中插入广告,但是他修改了IE的首页,这个我想大家都有办法去掉。
必须下载最新版本才能使用,所以请到官方网站下载最新版,他们的官方网站是http://www.thefreevpn.com,软件下载地址http://thefreevpn.com/ifreevpn.exe
下载下来后安装就是,记得在有这个提示时选择"yes“才能安装VPN适配器驱动
Tags: 精品软件
添加系统用户VBS加密脚本生成工具
作者:金刀客 日期:2010-01-02
pangolin_3.0.0.1016特别版
作者:金刀客 日期:2010-01-01
“宝木金刀”系列无后门webshell安全处理更新发布
作者:金刀客 日期:2009-12-29
URLEnDecoder.exe-url转换加解密小工具
作者:金刀客 日期:2009-12-29
醉里挑灯看剑,梦回吹角连营
作者:金刀客 日期:2009-12-28
因为一些原因终于对博客的很多功能无法忍受,决定再次DIY我的PJblog。决定重造pj的起因是前几天朋友们告诉我在中文名昵称登陆的情况下如果发表评论,昵称显示一团乱码。于是决定首先解决这个问题,第一步我想确定出问题的文件夹,然后确定文件,最后确定代码,那么首先找结局要了他的博客系统,然后一个文件夹一个文件夹的覆盖尝试,终于覆盖了common文件加后问题解决,那么问题就出在这里,之后继续一个文件一个文件的覆盖,发现是cache.asp这个文件出了问题,依次注释我曾经修改的代码,终于找到问题所在,原来是我加载简繁转换的js文件导致了这个问题,那么这个js文件就不能放到这个文件了,经过多次尝试,终于找到了它的正确位置,原来它必须在日志初始化之后才能加载,只要加载到前面就出错,既然是静态,那么当然找Template/static.htm,放在最后面,恢复正常,
程序代码<script type="text/javascript">
//初始化日志页面
initAccessKey();
//初始化日志页面
initAccessKey();
Tags: 杂碎
