第一次与病毒亲密接触——江民倒下了,瑞星能坚挺
【标题】第一次与病毒亲密接触——江民倒下了,瑞星能坚挺
【内容】
1、序
前段时间写过一篇有关网页木马的文章,网页木马还未平息,一波又起,最近又感染了
Hack.SuspiciousAni病毒(瑞星命的名),网站被闹的差点...
2、亲密接触病毒 Hack.SuspiciousAni
先说说 Hack.SuspiciousAni:
什么是Hack.SuspiciousAni?
它是利用微软MS07-017中的动态光标处理漏洞的畸形ANI文件,通过挂马的网页下载恶意代码。该漏洞补丁MS 4月4日已经发布,没有打补丁的朋友快去 http://www.microsoft.com/china/technet/security/bulletin/MS07-017.mspx 下载安装一下。
病毒侵入过程:
MS07-017 漏洞存在于系统关键文件user32.dll中。当用户进入带有相关恶意代码的网页时,浏览器将会把这种畸形ANI文件下载到本机临时文件夹中,(我电脑中的是w.js,查找方面: 打开IE->Internet选项->点击常规Internet 临时文件中设置->点击查看文件),并依照网页脚本执行,将其设置为浏览此页面时鼠标的光标图案。
如果这整个过程完成,则对于没有打上MS07-017补丁的电脑,此漏洞将被触发,黑客将可远程执行任意代码(一般是下载木马)。
亲密接触:
在Google上搜索关键词时,搜索结果中第一页第三条,就是我网站的,嘿嘿...啊!...惊诧...
"该网站可能会损害您的计算机。"令我惊慌了,后果很严重。本人是GG 的fans,相信这是真的...
知道我的网站被挂,存在恶意代码,怎么办? 山上有老虎也要上啊!?先武装一下,升级江民杀毒软件,上山...
在浏览器中输入网址,页面还没有加载完电脑蓝屏了。重启,仍旧蓝屏。
这下认识到了问题的严重性,诺顿与XP系统文件冲突事件给我的直觉认为是不是江民病毒库与系统文件冲突?! 赶快,进入安全模式。先杀毒,消灭了4个病毒。重启,系统正常了。万幸,还是乖一点了,做好系统的安全备份,再次上山...
同样,死的很惨。再次,进入安全模式,杀毒,结果没有查到,但重启电脑还是蓝屏,有新的情况...
打开"系统配置实用程序"(命令行msconfig),勾掉有关江民的启动项和服务。重启,系统正常。要“裸奔”吗?! 不行,还是需要江民的。几经试验,有江民就不行,江民就这样倒下了。
这个世界太肮脏,别说“裸奔”,穿上战甲都不好使!我一向支持民族产业,最后选择了瑞星。
继续上山...
瑞星警告有“Hack.SuspiciousAni”病毒,下面是截图:
采用什么战术?怎么解决?
战斗打响:
a、只是浏览我的网站时瑞星警告有毒,GG,Baidu,Sina没有问题。说明,不是我机的问题,IE没有被劫持。
问题在服务器上。随便说一下,使用火狐浏览器没有问题。
b、火力指向服务器。我发现浏览网站其它页面时,瑞星并没有警告,只是主页有问题。
c、全力突击主页。把网页下载到本地,先查查看是否有网页木马。iframe,JS脚本,CSS样式等等,代码没发现问题。
下面是前段时间的嵌入的网马URL:
http://google.171738.org/ani.js http://bb.code686.com/udminn/index.htm?id=666
d、本地浏览该页面,瑞星也警告了。啊?!发现形势不妙...
e、对主页采用各个歼灭的战术。把主页的代码分成了4部分,头,尾,内容左,内容右。
f、先斩去头,网页仍旧有问题。再斩去尾,网页正常了...
g、追击尾文件。该文件很简单,在代码上没有发现任何问题。是不是,感染病毒...
h、快刀斩乱麻,下载页尾杀毒,病毒被斩获了。很遗憾,一兴奋忘记录病毒特征了。
j、上传页尾文件。网站正常了,瑞星仍坚挺。
3、服务器的安全
上面的过程中,并没有提到服务器的安全。因为工作分配的原因,这块由网管在做。
各位大哥,在这里请教一下服务器及其它安全方面的问题:
服务器及网站的信息:win2003(已经打上一些补丁),II6.0,MS SQL 2000,杀毒软件与防火墙,网站使用ASP开发
存在的安全问题:
1、我们发现攻击者可以上传asp文件。已经查过代码,没有漏洞。网管说,攻击者盗用ftp帐号?
请高手,讨论一下如何避免asp的上传漏洞。
2、发现攻击者在数据库中可以创建表。如何跟踪该问题?这是利用的什么漏洞?
攻击者通过木马,获得服务器的默认帐号,然后再升级该帐号。如果成功,服务器就没有任何安全可言了,
这些问题如何克服,请各位大侠赐教?!
3、MS SQL 2000中的一些扩展存储过程存在安全漏洞?
比如,xp_cmdshell。
一般可以删除该储过过程: exec sp_dropextendedproc 'xp_cmdshell'
若使用可以恢复:EXEC sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
请大家,讨论一下如何做好服务器的安全?让大家不要在肮脏的互联网上冲浪...
【关键词】ani 漏洞 ani 漏洞补丁 Hack.SuspiciousAni 病毒 网页木马 如何做服务器的安全
转载于:https://www.cnblogs.com/ttbaojian/archive/2007/05/26/760695.html
第一次与病毒亲密接触——江民倒下了,瑞星能坚挺相关推荐
- 第一次亲密接触(1)
原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 .作者信息和本声明.否则将追究法律责任. http://blog.csdn.net/zhangjie875 有一对儿异地的恋人,他们每 ...
- 《民富论》之读后感--与创业的第一次亲密接触
<民富论>之读后感 ――与创业的第一次亲密接触 前一段时间读了一本<穷爸爸,富爸爸>的书,开始对理财有了兴趣,同时也是因为具备了理财的条件――资产已经由负转正,可 ...
- 与chatGPT的第一次亲密接触
最近,chatGPT火了,不管传统媒体,还是各种自媒体平台都在说它.今天我突然也想注册一个玩玩,注册前2步还行,但是等点开邮箱校验时,打开网页显示: 上网查了一下,没向中国开放服务:如要注册除了要邮箱 ...
- day01 与MySQL的第一次亲密接触基础查询条件查询
<尚硅谷>MySQL系统课程一共6天,下面介绍第1天的学习内容,主要涉及MySQL的内容介绍.进阶1基础查询和进阶2条件查询.干货满满,跟着课程的进度来的,可能篇幅略长,但是看完一定会有收 ...
- 小甲鱼python 第001讲:我和Python的第一次亲密接触
文章目录 第000讲:愉快的开始 第001讲:我和Python的第一次亲密接触 讲课思尻 思尻题 1.python是脚本类型的语言 2.IDLE是什么 3.print()的作用 4.为什么 >& ...
- 1、第一次亲密接触Linux
1.第一次亲密接触Linux (1)学会使用快捷键 Ctrl+C:表示终止当前命令 Tab:自动补全功能 Ctrl+D:退出当前终端 Ctrl+Z:表示暂停当前进程 Ctrl+L:表示清屏 (2)学会 ...
- 001我和Python的第一次亲密接触
001我和Python的第一次亲密接触 一.测试题 二.动动手 总结 一.测试题 Python 是什么类型的语言? A:脚本语言 IDLE 是什么? A:IDLE是一个Python Shell,就是一 ...
- 第一次亲密接触IT技术(第一天)
第一次亲密接触IT技术(第一天) 心得体会 本人在IT培训行业打拼16年,一直从事市场岗位,第一次亲密接触IT技术,了解计算机的基础原理,通过对于第一个任务的学习.思考.解决过程,主要学习了计算机进制 ...
- 我和python的第一次亲密接触
我和python的第一次亲密接触 测试题: 0. Python 是什么类型的语言? Python是一种脚本语言,写好了就可以直接运行 Python是一种面向对象.解释型.动态类型计算机程序设计语言 ...
最新文章
- bat脚本登陆ftp服务器
- 给Jquery添加alert,prompt方法,类似系统的Alert,Prompt,可以响应键盘,支持拖动...
- Silverlight Image Source URI 加反斜杠引和不加的区别
- 【征稿进行时】计算机与智能控制主题征稿,ICCEIC 2020持续征稿中!
- 设计模式21:State 状态模式(行为型模式)
- MySQL笔记——JDBC入门
- VBA类之一(初识类)
- js优化工具:ECMAScript Cruncher
- Linux Polkit 中的pkexec 组件存在的本地权限提升漏洞(CVE-2021-4034)修复方法及centos6和centos7的安装包
- [postgresql]postgresql的锁介绍
- python : 读取csv最快的Datatable的用法
- 海康威视摄像机SDK二次开发-JavaDemo环境搭建详解
- 大麦无线虚拟服务器,解答大麦盒子无线设置的问题
- js中获取浏览器和屏幕高度
- 马化腾教你做产品:改掉这七点,让产品自己说话
- Java去除空格符号
- 万字综述智能驾驶车载激光雷达关键技术与应用算法
- 从零开始制作一个基于SOPC方法的DDS正弦信号发生器
- BT3amp;spoonwep无线破解与Q3amp;spoonwep无线破解哪个容易
- springcloud + oauth2