1到任务管理器的进程中结束相关进程,然后就可删除
2进入安全模式删除
3用WINRAR软件压缩,同时选中选项"压缩完后删除原文件"
4用软件删除,如“冰刃”(很方便、好用,但存在一定风险,使用前好好学学吧)
2008年10月18日星期六
2008年10月16日星期四
PDF解密软件&&&PDF转word软件,总有一款你会用到!
1、当你面对英文版PDF格式的培训教材时,是否正在为金山词霸取不了词而烦恼呢?
那么请用PDF转word软件吧,在word文档中鼠标取词就能用了
2、如果该PDF为加密文件,请先用PDF解密软件解密
有需要的联系我,发给你!
那么请用PDF转word软件吧,在word文档中鼠标取词就能用了
2、如果该PDF为加密文件,请先用PDF解密软件解密
有需要的联系我,发给你!
三招手动清除机器狗病毒
三招手动清除机器狗病毒
【简 介】
机器狗病毒采用hook系统的磁盘设备栈来达到穿透目的的,危害极大,可穿透目前技术条件下的任何软件硬件还原!基本无法靠还原抵挡。目前已知的所有还原产品,都无法防止这种病毒的穿透感染和传播。
机器狗病毒采用hook系统的磁盘设备栈来达到穿透目的的,危害极大,可穿透目前技术条件下的任何软件硬件!基本无法靠还原抵挡。目前已知的所有还原产品,都无法防止这种病毒的穿透感染和传播。
机器狗是一个木马下载器,感染后会自动从网络上下载木马、病毒,危及用户帐号的安全。机器狗运行后会释放一个名为PCIHDD.SYS的驱动文件,与原系统中还原软件驱动进行硬盘控制权的争夺,并通过替换userinit.exe文件,实现开机启动。如何手动清除呢?
方案1
解决方案是将system32/drivers目录单独分配给一个用户,而不赋予administror修改的权限。虽然这样能解决,但以后安装驱动就是一件头疼的事了。
彻底清除该病毒,处理后重启一下电脑就可以了,之前要打上补丁!
或者这样:
1 注册表,组策略中禁止运行userinit.exe 进程
2 在启动项目中加入批处理
A : 强制结束userinit.exe进程 Taskkill /f /IM userinit.exe (其中“/IM”参数后面为进程的图像名,这命令只对XP用户有效)
B : 强制删除userinit.exe文件 DEL /F /A /Q %SystemRoot%system32userinit.exe
C : 创建userinit.exe免疫文件到%SystemRoot%system32
命令:md %SystemRoot%system32userinit.exe >nul 2>nul
或者 md %SystemRoot%system32userinit.exe
attrib +s +r +h +a %SystemRoot%system32userinit.exe
D : reg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsuserinit.exe" /v debugger /t reg_sz /d debugfile.exe /f
userinit1.exe是正常文件改了名字,多加了一个1,你也可以自己修改,不过要手动修改这4个注册表,并导出,这个批处理才能正常使用。
方案2
1、首先在系统system32下复制个无毒的userinit.exe,文件名为FUCKIGM.exe(文件名可以任意取),这就是下面批处理要指向执行的文件!也就是开机启动userinit.exe的替代品!而原来的userinit.exe保留!其实多复制份的目的只是为了多重保险!可能对防止以后变种起到一定的作用。
2、创建个文件名为userinit.bat的批处理(文件名也可任意取,但要和下面说到的注册表键值保持一致即可),内容如下:
start FUCKIGM.exe (呵呵,够简单吧?)
3、修改注册表键值,将userinit.exe改为userinit.bat。内容如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
"Userinit"="C:WINDOWSsystem32userinit.bat,"
就这3步,让这条狗再也凶不起来!这是在windows 2003测试的,双击机器狗后,没什么反应,对比批处理也是正常,即这狗根本没改动它!开关机游戏均无异常!但唯一美中不足的是,采用经典模式开机的启动时会出现个一闪而过的黑框!
如果嫌麻烦,也不要紧。上面三条批处理网友已搞好了,直接复制下面的这个存为批处理执行就OK了。三步合二为一
@echo off
:::直接复制系统system32下的无毒userinit.exe为FUCKIGM.exe
cd /d %SystemRoot%system32
copy /y userinit.exe FUCKIGM.exe >nul
:::创建userinit.bat
echo @echo off >>userinit.bat
echo start FUCKIGM.exe >>userinit.bat
:::注册表操作
reg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon" /v Userinit / t REG_SZ /d "C:WINDOWSsystem32userinit.bat," /f >nul
:::删掉自身(提倡环保)
del /f /q %0
当然,如果实在不行,下载程序killigm。然后直接解压运行里面的程序:机器狗免疫补丁.bat 执行就可以了.
网上流传的另一种新的变种的防止方法 :
开始菜单运行.输入CMD
cd ……到drivers
md pcihdd.sys
【简 介】
机器狗病毒采用hook系统的磁盘设备栈来达到穿透目的的,危害极大,可穿透目前技术条件下的任何软件硬件还原!基本无法靠还原抵挡。目前已知的所有还原产品,都无法防止这种病毒的穿透感染和传播。
机器狗病毒采用hook系统的磁盘设备栈来达到穿透目的的,危害极大,可穿透目前技术条件下的任何软件硬件!基本无法靠还原抵挡。目前已知的所有还原产品,都无法防止这种病毒的穿透感染和传播。
机器狗是一个木马下载器,感染后会自动从网络上下载木马、病毒,危及用户帐号的安全。机器狗运行后会释放一个名为PCIHDD.SYS的驱动文件,与原系统中还原软件驱动进行硬盘控制权的争夺,并通过替换userinit.exe文件,实现开机启动。如何手动清除呢?
方案1
解决方案是将system32/drivers目录单独分配给一个用户,而不赋予administror修改的权限。虽然这样能解决,但以后安装驱动就是一件头疼的事了。
彻底清除该病毒,处理后重启一下电脑就可以了,之前要打上补丁!
或者这样:
1 注册表,组策略中禁止运行userinit.exe 进程
2 在启动项目中加入批处理
A : 强制结束userinit.exe进程 Taskkill /f /IM userinit.exe (其中“/IM”参数后面为进程的图像名,这命令只对XP用户有效)
B : 强制删除userinit.exe文件 DEL /F /A /Q %SystemRoot%system32userinit.exe
C : 创建userinit.exe免疫文件到%SystemRoot%system32
命令:md %SystemRoot%system32userinit.exe >nul 2>nul
或者 md %SystemRoot%system32userinit.exe
attrib +s +r +h +a %SystemRoot%system32userinit.exe
D : reg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsuserinit.exe" /v debugger /t reg_sz /d debugfile.exe /f
userinit1.exe是正常文件改了名字,多加了一个1,你也可以自己修改,不过要手动修改这4个注册表,并导出,这个批处理才能正常使用。
方案2
1、首先在系统system32下复制个无毒的userinit.exe,文件名为FUCKIGM.exe(文件名可以任意取),这就是下面批处理要指向执行的文件!也就是开机启动userinit.exe的替代品!而原来的userinit.exe保留!其实多复制份的目的只是为了多重保险!可能对防止以后变种起到一定的作用。
2、创建个文件名为userinit.bat的批处理(文件名也可任意取,但要和下面说到的注册表键值保持一致即可),内容如下:
start FUCKIGM.exe (呵呵,够简单吧?)
3、修改注册表键值,将userinit.exe改为userinit.bat。内容如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
"Userinit"="C:WINDOWSsystem32userinit.bat,"
就这3步,让这条狗再也凶不起来!这是在windows 2003测试的,双击机器狗后,没什么反应,对比批处理也是正常,即这狗根本没改动它!开关机游戏均无异常!但唯一美中不足的是,采用经典模式开机的启动时会出现个一闪而过的黑框!
如果嫌麻烦,也不要紧。上面三条批处理网友已搞好了,直接复制下面的这个存为批处理执行就OK了。三步合二为一
@echo off
:::直接复制系统system32下的无毒userinit.exe为FUCKIGM.exe
cd /d %SystemRoot%system32
copy /y userinit.exe FUCKIGM.exe >nul
:::创建userinit.bat
echo @echo off >>userinit.bat
echo start FUCKIGM.exe >>userinit.bat
:::注册表操作
reg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon" /v Userinit / t REG_SZ /d "C:WINDOWSsystem32userinit.bat," /f >nul
:::删掉自身(提倡环保)
del /f /q %0
当然,如果实在不行,下载程序killigm。然后直接解压运行里面的程序:机器狗免疫补丁.bat 执行就可以了.
网上流传的另一种新的变种的防止方法 :
开始菜单运行.输入CMD
cd ……到drivers
md pcihdd.sys
IE浏览器首页不让修改的小技巧
IE浏览器首页不让修改的小技巧
众所周知,修改IE默认主页地址是恶意网页常用的一招。IE被修改后,会自动连接到恶意网页的地址。大家常用的方法是修改注册表,其实,只要简单给IE加个参数,就再也不害怕IE主页地址被修改了。下面是具体的方法和步骤。
首先,打开“我的电脑”,找到IE的安装目录,这里假设你的IE安装在C:Program FilesInternet Explorer下。进入该文件夹,找到Iexplore.exe文件,对着它点击鼠标右键,在弹出的快捷菜单中选择“发送到→桌面快捷方式”,这样就在桌面上建立了一个Iexplore.exe文件的快捷方式。如果你够仔细的话,你会发现你建立的这个快捷方式名字为“Iexplore.exe”,而桌面上原来的IE快捷方式名字为“Internet Explorer”,两者不仅名字不相同,而且“内涵”也不尽相同。
继续我们的工作,用鼠标右键单击该快捷方式,选择“属性”,会弹出“Iexplore.exe 属性”对话框,选择其中的“快捷方式”标签,然后在“目标”框里填入:"C:Program FilesInternet ExplorerIEXPLORE.EXE" -nohome,给Iexplore.exe加上参数“-nohome”,输入时请大家注意在参数“-nohome”前面有一个空格,不要忘了。点击“确定”退出即可。
这样即使主页被修改也没有关系,打开IE就是一片空白,就连about:blank也不显示。而且这样能够加快启动速度,一点IE窗口马上就出蹦来了。
对于IE在安装时自己建立的快捷方式,我们无法为它加上上述参数。如果不信可以试试,用鼠标右键点击桌面上原来IE自建的快捷方式,选“属性”,会发现“目标”栏、“起始位置”栏、“快捷键”栏和“运行方式”栏都是灰色不可选取状态。这就是它们之间最大的不同!也是本文的关键所在。
众所周知,修改IE默认主页地址是恶意网页常用的一招。IE被修改后,会自动连接到恶意网页的地址。大家常用的方法是修改注册表,其实,只要简单给IE加个参数,就再也不害怕IE主页地址被修改了。下面是具体的方法和步骤。
首先,打开“我的电脑”,找到IE的安装目录,这里假设你的IE安装在C:Program FilesInternet Explorer下。进入该文件夹,找到Iexplore.exe文件,对着它点击鼠标右键,在弹出的快捷菜单中选择“发送到→桌面快捷方式”,这样就在桌面上建立了一个Iexplore.exe文件的快捷方式。如果你够仔细的话,你会发现你建立的这个快捷方式名字为“Iexplore.exe”,而桌面上原来的IE快捷方式名字为“Internet Explorer”,两者不仅名字不相同,而且“内涵”也不尽相同。
继续我们的工作,用鼠标右键单击该快捷方式,选择“属性”,会弹出“Iexplore.exe 属性”对话框,选择其中的“快捷方式”标签,然后在“目标”框里填入:"C:Program FilesInternet ExplorerIEXPLORE.EXE" -nohome,给Iexplore.exe加上参数“-nohome”,输入时请大家注意在参数“-nohome”前面有一个空格,不要忘了。点击“确定”退出即可。
这样即使主页被修改也没有关系,打开IE就是一片空白,就连about:blank也不显示。而且这样能够加快启动速度,一点IE窗口马上就出蹦来了。
对于IE在安装时自己建立的快捷方式,我们无法为它加上上述参数。如果不信可以试试,用鼠标右键点击桌面上原来IE自建的快捷方式,选“属性”,会发现“目标”栏、“起始位置”栏、“快捷键”栏和“运行方式”栏都是灰色不可选取状态。这就是它们之间最大的不同!也是本文的关键所在。
Flash曝严重安全漏洞 黑客可强启网民摄像头
Flash曝严重安全漏洞 黑客可强启网民摄像头
中华网科技讯 10月13日消息,360安全中心昨日发出网络安全警报称,一项名为“Clickjacking”的安全问题被曝出,涉及几乎所有的网络应用。其中最严重的就是“Flash强制启动视频”漏洞。利用这一漏洞,黑客可强制启动并完全控制受害网民的摄像头和麦克风,从而对网民个人隐私形成极大的威胁。 据360安全专家介绍,黑客可以利用“Flash强制启动视频”漏洞,设计一个恶意网页。当网民不慎访问该网页时,就会触发这一漏洞。黑客可以在受害者毫不知情的情况下,强制启动并完全控制其摄像头和麦克风,大肆偷窥他人的个人隐私。黑客甚至还可能将通过受害者摄像头和麦克风捕捉到的视、音频资料制作成视频作品在网上进行传播。
据悉,由于Adobe Flash Player软件在互联网上应用极其广泛,而该“Flash强制启动视频”漏洞会影响到Flash软件的绝大多数版本,因而该漏洞已经成为广大网民电脑中非常严重的安全隐患。但截至目前,Adobe官方尚未对此漏洞推出任何安全补丁。
中华网科技讯 10月13日消息,360安全中心昨日发出网络安全警报称,一项名为“Clickjacking”的安全问题被曝出,涉及几乎所有的网络应用。其中最严重的就是“Flash强制启动视频”漏洞。利用这一漏洞,黑客可强制启动并完全控制受害网民的摄像头和麦克风,从而对网民个人隐私形成极大的威胁。 据360安全专家介绍,黑客可以利用“Flash强制启动视频”漏洞,设计一个恶意网页。当网民不慎访问该网页时,就会触发这一漏洞。黑客可以在受害者毫不知情的情况下,强制启动并完全控制其摄像头和麦克风,大肆偷窥他人的个人隐私。黑客甚至还可能将通过受害者摄像头和麦克风捕捉到的视、音频资料制作成视频作品在网上进行传播。
据悉,由于Adobe Flash Player软件在互联网上应用极其广泛,而该“Flash强制启动视频”漏洞会影响到Flash软件的绝大多数版本,因而该漏洞已经成为广大网民电脑中非常严重的安全隐患。但截至目前,Adobe官方尚未对此漏洞推出任何安全补丁。
假冒YouTube网站现身 传播恶意程序
据国外媒体报道,一个网上传播的程序帮助黑客建立假冒网页传播其恶意程序,而且现在已经出现了假冒的YouTube。 如果用户按照电子邮件的指引来到假冒网站,首先会出现一个错误信息,说需要安装软件才能播放视频,错误信息中包含一个指向恶意程序的链接。 更为狡猾的是,一旦计算机被感染,黑客就能悄悄地将用户引导到正确的YouTube页面观看视频,从而隐蔽犯罪过程。趋势科技安全软件研究经理Jamz Yaneza表示:“这非常精确,很少见,如果我喜欢成天去YouTube看视频,很可能会点击这个链接。” 这一花招并不新鲜。罪犯在不断提高假冒网站的可信度,以便让网民上钩,下载恶意软件,但是这一事件表明罪犯不仅建立了更好的网站,而且采用了“社会工程”方法愚弄网民。幸运的是,警惕的网民还是能够发现蛛丝马迹,例如,浏览器网址不是YouTube的真正网址,要去恶意页面就要点击电子邮件中的链接,用户可以判断其真伪。
DNS漏洞 迫使互联网核心协议升级
DNS(Domain Name System,域名解析系统)的一些漏洞细节在Black Hat 2008大会发布之前已经泄露,让本身就不够安全的互联网更增添了恐慌和猜测。
正是基于目前互联网上曝出的DNS漏洞问题,ICANN(国际域名与IP地址管理机构)迫不得已在最近批准了一项符合公众利益的重要决定——.org域名将率先转移为使用DNS安全扩展(DNSSEC)协议的顶级域名。开发周期长达11年的DNSSEC协议,其创建目的就是为了解决原DNS协议中的漏洞问题,使之不再容易遭受攻击。
互联网的核心漏洞
DNS服务在互联网中扮演着极为重要的角色。简单地说,DNS就是互联网的核心,它作为可以将域名和IP地址相互映射的一个分布式数据库,能够使用户方便地访问互联网,而不用去记住能被机器直接读取的IP数串。比如,用户只需要在浏览器中输入www.abc.com,而不需要记住长长的IP地址。不只浏览网页需要DNS,E-mail和SSL证书同样需要DNS。
DNS的安全漏洞可能会导致“钓鱼”诈骗攻击。诈骗分子可以把人们引诱到假冒的银行和信用卡公司等商业网页,欺骗用户泄漏自己的账户号码、口令和其他信息。黑客还能利用这个安全漏洞把用户引导到其想让用户访问的网页,无论用户在网络浏览器上输入什么地址。
正因如此,DNS就像一块磁铁,吸引着那些试图对某个网站进行破坏性攻击的黑客。一旦DNS受到威胁,他们就可以随意改变互联网信息的流动方向,可以让一个合法的网站瞬间变成黑客手中的傀儡,对用户进行金融欺诈。
甚至有业内人士担忧地说:“该漏洞的危害性不容忽视,它涉及到整个互联网域名框架如何运行的问题。如果不及时修复这一漏洞,虽然互联网仍将存在,但那已不再是你想要的互联网了——届时,控制权将掌握在黑客手中。”
DNS自身的缺陷最早被发现于1990年,但一直没有相应的解决方法。而最新的“Cache投毒”方法则据称可以有效伪造DNS信息,利用DNS缓存服务器来达到劫持网站的目的。
虽然获取交易ID猜测和转介记录这两种DNS漏洞早已被业界熟知,尽管获取交易ID的可能性在1/65535,但仍然给攻击者很大的几率让攻击成为可能。转介记录的安全问题与DNS服务器的性能也息息相关,比如某个站点的主域不仅仅有abc.com的IP地址,而且还包括一些额外信息,因此只要攻击者在所谓的abc.com站点上拥有DNS服务器,就可以对请求做出响应。
这两种漏洞在很早以前就得到了解决,而且已经被网络运营商竭力修补。他们的解决方案就是抛弃任何与请求地址不相关的一切信息,比如输入搜狐的DNS地址http://61.135.179.166时,并不会访问搜狐的主页,而是出现报错页面,在策略上已经形成了范围保护。
Dan Kaminsky,曾在思科工作,现在就职于IOActive网络安全公司。10年来,他9次站在Black Hat大会上发言。现年29岁的Dan Kaminsky自称为DNS Geek(DNS极客),在今年年初时曾发现了DNS系统的一个严重漏洞,为了不让互联网遭受重创,他一直不肯透露漏洞细节。
还包括一些额外信息,因此只要攻击者在所谓的abc.com站点上拥有DNS服务器,就可以对请求做出响应。
这两种漏洞在很早以前就得到了解决,而且已经被网络运营商竭力修补。他们的解决方案就是抛弃任何与请求地址不相关的一切信息,比如输入搜狐的DNS地址http://61.135.179.166时,并不会访问搜狐的主页,而是出现报错页面,在策略上已经形成了范围保护。
为DNS打补丁
那么,Dan Kaminsky的新发现何以让安全业内人士恐慌呢?在2008年的Black Hat大会上,资深安全专家Dan Kaminsky向公众展示了DNS更为脆弱的一面。新发现的DNS漏洞引人注意之处就在于,它将交易ID猜测和转介记录以一种新方式进行了结合。当服务器提出DNS请求时,它使用一个独特的交易ID来确定请求。这个特殊的交易ID使服务器可以验证响应,并且确保它们来自正确的搜索请求。
Dan Kaminsky表示:“这基本上就是黑客和合法服务器之间的一场竞赛,攻击者可以发送100个错误的响应,那么,1/65535的机率就可以提高到一个更有利的水平——1/655。”
幸运的是,Dan Kaminsky在过去几个月中,一直孜孜不倦地试图说服DNS服务器运营商,并在运营商的圈子中尽力传播这一消息。Dan Kaminsky说,他向运营商建议随机选择使用DNS源端口,这样可以消除现有DNS源端口的可预见性,并且用随机选择技术替代该性质。现在,攻击者不仅仅需要猜测正确的交易ID,也需要猜测正确的充满答复的UDP端口。这将会带来一个更难于操作的成功率——1/163840000,使该攻击变得无效。
为了测试服务器中的漏洞,Dan Kaminsky还提供了一种简易的DNS检验工具(可以访问http://www.doxpara.com,用户可以检查各自的电脑是否存在该DNS漏洞),发送大量查询到DNS检验服务器,然后对查询进行分析。据统计,世界上80%以上的DNS服务器都已经经过修补了,包括许多主要供应商使用的服务器。
一些大型ISP,诸如澳洲电信、Optus(新加坡电信旗下子公司)、Internode(澳大利亚宽带运营商)和iiNet(澳大利亚的互联网服务提供商)都表示,已经对DNS服务器安装了补丁。不过,还是有消息人士指出,尽管众多安全机构再三叮嘱要及时修复该漏洞,但是还是有不少DNS管理员并没有真正修复这一漏洞。
iiNet网络工程师Mark Newton 说,由于那些小的ISP需要做大量工作来保障DNS服务器的正常运行,因而他们在修补DNS漏洞方面可能会比较滞后。另外,他们为了降低成本,还缺乏独立分隔开的DNS服务器,所有的数据运行都整合在一台服务器当中,更容易遭受巨大风险。
拯救受困的DNS
虽然一些企业已经修补了其DNS服务器,但这并没有结束,仍然有很多工作需要完成。当用户在企业基础结构的使用范围内进行操作时,用户是受到保护的。但是,这并不是用户惟一访问互联网的途径,用户还可能会出现在不同的商业ISP、酒店、咖啡馆、飞机场、火车站等具备Wi-Fi的场所,通过他们提供的DNS服务,访问互联网,同样存在遭受DNS攻击的可能。
Dan Kaminsky建议,目前看上去用户还处于一种不设防的状态,最好的策略是确保员工使用VPN连接返回到企业基础设施,确保这种联网方式不使用分离的信道,同时保证用户通过VPN获得DNS的正确配置,这样可以确保远程用户可以使用他们的企业DNS服务器,而不是依赖访问站点提供的那些服务器。
Dan Kaminsky揭露了DNS新漏洞,DNS服务器的缓存会被随意修改,即便是在防火墙后的主机也不能幸免,因此在更彻底的解决方案出台以前需要一些临时措施来修补由此造成的各类Bug。著名的信息安全博客Chaos提供了一些解决方案:
1.针对终端桌面用户,最好的办法是等待公司或ISP的工作人员修正问题,通过安装适当的补丁,消除DNS的这两种漏洞。
2.对于FreeBSD 用户,减轻这类问题影响的办法是在/etc/rc.conf中加入named_enable="YES",执行/etc/rc.d/named restart并在/etc/resolv.conf中将127.0.0.1配置为域名服务器。这样一来,黑客对缓存服务器的单点攻击,就变成了对所有桌面系统的攻击行为,从而大大提高黑客的攻击成本。但缺点是,这样做意味着无法有效利用上游DNS的缓存。
3.如果是缓存DNS服务器的管理员,那么除了需要打补丁之外(如果你的系统中存在这个漏洞),还需要考虑部署DNSSEC。DNS协议的漏洞通过随机化查询端口和TXID只能部分缓解,而DNSSEC才是解决问题的根本。
4.如果是权威DNS服务器的管理员,那么事实上什么都做不了,因为缓存DNS服务器并不受DNS服务器管理员控制。唯一可以做的事情就只剩下为自己的权威域名配置DNSSEC了。遗憾的是,目前并不是所有的顶级域名以及域名注册服务提供商都支持DNSSEC。
正是基于目前互联网上曝出的DNS漏洞问题,ICANN(国际域名与IP地址管理机构)迫不得已在最近批准了一项符合公众利益的重要决定——.org域名将率先转移为使用DNS安全扩展(DNSSEC)协议的顶级域名。开发周期长达11年的DNSSEC协议,其创建目的就是为了解决原DNS协议中的漏洞问题,使之不再容易遭受攻击。
互联网的核心漏洞
DNS服务在互联网中扮演着极为重要的角色。简单地说,DNS就是互联网的核心,它作为可以将域名和IP地址相互映射的一个分布式数据库,能够使用户方便地访问互联网,而不用去记住能被机器直接读取的IP数串。比如,用户只需要在浏览器中输入www.abc.com,而不需要记住长长的IP地址。不只浏览网页需要DNS,E-mail和SSL证书同样需要DNS。
DNS的安全漏洞可能会导致“钓鱼”诈骗攻击。诈骗分子可以把人们引诱到假冒的银行和信用卡公司等商业网页,欺骗用户泄漏自己的账户号码、口令和其他信息。黑客还能利用这个安全漏洞把用户引导到其想让用户访问的网页,无论用户在网络浏览器上输入什么地址。
正因如此,DNS就像一块磁铁,吸引着那些试图对某个网站进行破坏性攻击的黑客。一旦DNS受到威胁,他们就可以随意改变互联网信息的流动方向,可以让一个合法的网站瞬间变成黑客手中的傀儡,对用户进行金融欺诈。
甚至有业内人士担忧地说:“该漏洞的危害性不容忽视,它涉及到整个互联网域名框架如何运行的问题。如果不及时修复这一漏洞,虽然互联网仍将存在,但那已不再是你想要的互联网了——届时,控制权将掌握在黑客手中。”
DNS自身的缺陷最早被发现于1990年,但一直没有相应的解决方法。而最新的“Cache投毒”方法则据称可以有效伪造DNS信息,利用DNS缓存服务器来达到劫持网站的目的。
虽然获取交易ID猜测和转介记录这两种DNS漏洞早已被业界熟知,尽管获取交易ID的可能性在1/65535,但仍然给攻击者很大的几率让攻击成为可能。转介记录的安全问题与DNS服务器的性能也息息相关,比如某个站点的主域不仅仅有abc.com的IP地址,而且还包括一些额外信息,因此只要攻击者在所谓的abc.com站点上拥有DNS服务器,就可以对请求做出响应。
这两种漏洞在很早以前就得到了解决,而且已经被网络运营商竭力修补。他们的解决方案就是抛弃任何与请求地址不相关的一切信息,比如输入搜狐的DNS地址http://61.135.179.166时,并不会访问搜狐的主页,而是出现报错页面,在策略上已经形成了范围保护。
Dan Kaminsky,曾在思科工作,现在就职于IOActive网络安全公司。10年来,他9次站在Black Hat大会上发言。现年29岁的Dan Kaminsky自称为DNS Geek(DNS极客),在今年年初时曾发现了DNS系统的一个严重漏洞,为了不让互联网遭受重创,他一直不肯透露漏洞细节。
还包括一些额外信息,因此只要攻击者在所谓的abc.com站点上拥有DNS服务器,就可以对请求做出响应。
这两种漏洞在很早以前就得到了解决,而且已经被网络运营商竭力修补。他们的解决方案就是抛弃任何与请求地址不相关的一切信息,比如输入搜狐的DNS地址http://61.135.179.166时,并不会访问搜狐的主页,而是出现报错页面,在策略上已经形成了范围保护。
为DNS打补丁
那么,Dan Kaminsky的新发现何以让安全业内人士恐慌呢?在2008年的Black Hat大会上,资深安全专家Dan Kaminsky向公众展示了DNS更为脆弱的一面。新发现的DNS漏洞引人注意之处就在于,它将交易ID猜测和转介记录以一种新方式进行了结合。当服务器提出DNS请求时,它使用一个独特的交易ID来确定请求。这个特殊的交易ID使服务器可以验证响应,并且确保它们来自正确的搜索请求。
Dan Kaminsky表示:“这基本上就是黑客和合法服务器之间的一场竞赛,攻击者可以发送100个错误的响应,那么,1/65535的机率就可以提高到一个更有利的水平——1/655。”
幸运的是,Dan Kaminsky在过去几个月中,一直孜孜不倦地试图说服DNS服务器运营商,并在运营商的圈子中尽力传播这一消息。Dan Kaminsky说,他向运营商建议随机选择使用DNS源端口,这样可以消除现有DNS源端口的可预见性,并且用随机选择技术替代该性质。现在,攻击者不仅仅需要猜测正确的交易ID,也需要猜测正确的充满答复的UDP端口。这将会带来一个更难于操作的成功率——1/163840000,使该攻击变得无效。
为了测试服务器中的漏洞,Dan Kaminsky还提供了一种简易的DNS检验工具(可以访问http://www.doxpara.com,用户可以检查各自的电脑是否存在该DNS漏洞),发送大量查询到DNS检验服务器,然后对查询进行分析。据统计,世界上80%以上的DNS服务器都已经经过修补了,包括许多主要供应商使用的服务器。
一些大型ISP,诸如澳洲电信、Optus(新加坡电信旗下子公司)、Internode(澳大利亚宽带运营商)和iiNet(澳大利亚的互联网服务提供商)都表示,已经对DNS服务器安装了补丁。不过,还是有消息人士指出,尽管众多安全机构再三叮嘱要及时修复该漏洞,但是还是有不少DNS管理员并没有真正修复这一漏洞。
iiNet网络工程师Mark Newton 说,由于那些小的ISP需要做大量工作来保障DNS服务器的正常运行,因而他们在修补DNS漏洞方面可能会比较滞后。另外,他们为了降低成本,还缺乏独立分隔开的DNS服务器,所有的数据运行都整合在一台服务器当中,更容易遭受巨大风险。
拯救受困的DNS
虽然一些企业已经修补了其DNS服务器,但这并没有结束,仍然有很多工作需要完成。当用户在企业基础结构的使用范围内进行操作时,用户是受到保护的。但是,这并不是用户惟一访问互联网的途径,用户还可能会出现在不同的商业ISP、酒店、咖啡馆、飞机场、火车站等具备Wi-Fi的场所,通过他们提供的DNS服务,访问互联网,同样存在遭受DNS攻击的可能。
Dan Kaminsky建议,目前看上去用户还处于一种不设防的状态,最好的策略是确保员工使用VPN连接返回到企业基础设施,确保这种联网方式不使用分离的信道,同时保证用户通过VPN获得DNS的正确配置,这样可以确保远程用户可以使用他们的企业DNS服务器,而不是依赖访问站点提供的那些服务器。
Dan Kaminsky揭露了DNS新漏洞,DNS服务器的缓存会被随意修改,即便是在防火墙后的主机也不能幸免,因此在更彻底的解决方案出台以前需要一些临时措施来修补由此造成的各类Bug。著名的信息安全博客Chaos提供了一些解决方案:
1.针对终端桌面用户,最好的办法是等待公司或ISP的工作人员修正问题,通过安装适当的补丁,消除DNS的这两种漏洞。
2.对于FreeBSD 用户,减轻这类问题影响的办法是在/etc/rc.conf中加入named_enable="YES",执行/etc/rc.d/named restart并在/etc/resolv.conf中将127.0.0.1配置为域名服务器。这样一来,黑客对缓存服务器的单点攻击,就变成了对所有桌面系统的攻击行为,从而大大提高黑客的攻击成本。但缺点是,这样做意味着无法有效利用上游DNS的缓存。
3.如果是缓存DNS服务器的管理员,那么除了需要打补丁之外(如果你的系统中存在这个漏洞),还需要考虑部署DNSSEC。DNS协议的漏洞通过随机化查询端口和TXID只能部分缓解,而DNSSEC才是解决问题的根本。
4.如果是权威DNS服务器的管理员,那么事实上什么都做不了,因为缓存DNS服务器并不受DNS服务器管理员控制。唯一可以做的事情就只剩下为自己的权威域名配置DNSSEC了。遗憾的是,目前并不是所有的顶级域名以及域名注册服务提供商都支持DNSSEC。
订阅:
博文 (Atom)
