加糖苦咖啡_博客_系统网络安全

文章列表

您正在查看 "系统网络安全" 分类下的文章

2009-02-25 17:07

和SourceFire的那个补丁相比：
1，补丁代码完全剽窃（或者说借鉴），呵呵；
2，走修补路线，不是文件替换，因此补丁程序只有几十KB，小了100倍；
3，适用于Acrobat Reader 8.0 和 9.0各版本。

在以下环境中测试过：
Acrobat Reader 8.1.2 简体中文版
Acrobat Reader 8.1.3 简体中文版
Acrobat Reader 9.0.0 英文版

下载地址：http://filedown.jiangmin.com/download/AdobeReaderPatch.exe

欢迎试用。

相关链接：Adobe PDF文件格式惊现零日漏洞江民紧急施援

类别：系统网络安全 | 评论(15) | 浏览()

注意防范Acrobat PDF 0day

2009-02-24 14:34

    这个PDF 0day的分析和利用代码已经公布，并且广为转载了，利用这个漏洞传播病毒已经变得相当容易。
    根据已公布的资料，Adobe Acrobat和Acrobat Reader 8 / 9 存在该漏洞。Adobe计划在3月11日发布补丁。暂时的解决方案有：

1，禁用Acrobat Javascript
    如果你用的是Acrobat Reader 9.0，可以从这里下载批处理程序，运行后即搞定。
    或者手工在首选项里面把启用JavaScript选项禁用，如下图：

2，安装山寨补丁
目前有一个仅供Acrobat Reader 9使用的第三方补丁，下载zip包，解压出AcroRd32.dll覆盖原文件（一般在C:\Program Files\Adobe\Reader 9.0\Reader\）

相关链接：
Acrobat 0-day used in targeted attacks
Homebrew patch for Adobe AcroReader 9
Have a nice weekend!(PDF love)
Multiple PDF Readers JBIG2 Local Buffer Overflow PoC
Adobe Acrobat Reader JBIG2 Local Buffer Overflow PoC #2 0day

Updated 2009-2-25
禁用JavaScript能够阻止绝大多数的恶意PDF攻击，但不是100%。利用这个0day，无需JavaScript也能制作出稳定运行的恶意PDF。所以，要么安装山寨补丁，要么等2周后发布的官方补丁。
http://secunia.com/blog/44/

Updated 2009-2-26
改进了那个山寨补丁，江民PDF补丁只有几十KB，且适用Acrobat Reader 8 & 9。详见这里。

类别：系统网络安全 | 评论(5) | 浏览()

整治MS09-002挂马第一批曝光网址名单

2009-02-23 10:44

谨以此标题向“整治互联网低俗之风”运动致敬。第二、三……N批不准备公布了，会没完没了的。
目前这个漏洞的利用率已经升至40%左右，增长趋势还是比较强的。

hxxp://www.hynno8744.cn/17/02.htm	hxxp://www.hynno8744.cn/31/02.htm
hxxp://www.slllj4.cn/a1/ss.htm	hxxp://fffddd11.cn/new10/02.htm
hxxp://www.yqwt5efe56w56e.cn/06014.htm	hxxp://fffddd11.cn/new3/02.htm
hxxp://www.hynno8744.cn/23/02.htm	hxxp://cccbbbb.cn/1/02.htm
hxxp://www.hynno8744.cn/18/02.htm	hxxp://cccbbbb.cn/new3/02.htm
hxxp://www.166pp.com/w/ss.htm	hxxp://onewedhost.com/qdring1/themes/902.htm
hxxp://w.7u8f.cn/01/7.htm	hxxp://fffddd11.cn/new12/02.htm
hxxp://8.bluesky02.cn/02.htm	hxxp://cccbbbb.cn/new1/02.htm
hxxp://1.114central.com/17/02.htm	hxxp://cccbbbb.cn/new8/02.htm
hxxp://w.7u8f.cn/01/5.htm	hxxp://www.xiaoyx8.cn/js/sd1/ytxxz.htm
hxxp://www.poloi999.cn/2/02.htm	hxxp://fffddd11.cn/new8/02.htm
hxxp://baidusib.cn/01/ytxxz.htm	hxxp://www.hynno8744.cn/21/02.htm
hxxp://www.poloi999.cn/10/02.htm	hxxp://www.hynno8744.cn/13/02.htm
hxxp://1.114central.com/4/02.htm	hxxp://ddddsss12.cn/new3/02.htm
hxxp://www.auctlva.com/02.htm	hxxp://baidusib.cn/05/ytxxz.htm
hxxp://www.xiaoyx8.cn/js/td1/ytxxz.htm	hxxp://www.sll4362.cn/a1/ss.htm
hxxp://www.hynno8744.cn/20/02.htm	hxxp://baidusib.cn/06/ytxxz.htm
hxxp://www.hynno8744.cn/22/02.htm	hxxp://product4.cn/tcoun/ss.htm
hxxp://51momo.woy3.cn/root/uc.htm	hxxp://www.eryfghfdc.cn/xOiii.htm
hxxp://ghost.adf3.cn/root/uc.htm	hxxp://www.poloi999.cn//13/02.htm
hxxp://www.luckffxi.com/02.htm	hxxp://wm.mnvk8.cn/cx.htm
hxxp://www.slll4j.cn/a1/ss.htm	hxxp://www.ok8uuer5.cn/2/02.htm
hxxp://www.poloi999.cn/14/02.htm	hxxp://w.6tg7.cn/01/7.htm
hxxp://www.hynno8744.cn/26/02.htm	hxxp://bb.2015wyt.net/newer/nod32.htm
hxxp://www.eretukyig.cn/xOiii.htm	hxxp://ddddsss12.cn/new2/02.htm
hxxp://www.hynno8744.cn/29/02.htm	hxxp://www.al1pay9.com.cn/love/ss.htm
hxxp://alan.p9555.cn/images/web/2/ie7_new.html	hxxp://www.lkjdlfior.cn/xOiii.htm

类别：系统网络安全 | 评论(4) | 浏览()

MS09-002没有瑞星说的那么火，至少现在没有

2009-02-21 15:10

    昨天瑞星发表了IE7新漏洞导致木马病毒暴增瑞星一天截获866万次挂马攻击。文章说，利用MS09-002漏洞的新木马病毒大量出现。由于该类木马病毒的暴增，2月19日截获的挂马网站攻击人次比前一天增加了一倍。瑞星为此发布了红色安全警报。
    其实MS09-002没有文章说得那么火，也许过段时间会火起来，但现在还差得远。
    MS09-002和IE XML 0day（MS08-078）对比的话，略逊一筹，原因很简单：
    其一，IE XML 0day在MS08-078补丁发布之前就已经很泛滥了(当时70%以上的挂马网站已利用了该漏洞)，MS09-002不是0day，微软补丁出现一周后才陆续有人利用，危害显然低了一个档次；
    其二，看看微软的bulletin就知道，MS09-002影响的软件平台范围没有MS08-078广泛，各平台上的危害等级都小于或等于MS08-078；
    考虑到二者在Windows XP + IE7和Windows Vista + IE7的主流环境上危害程度一致，所以用了“略逊”这个词。
    现在，MS09-002的漏洞代码刚刚被milw0rm公布了不到2天，的确拦截到了十来个利用实例，比如：
hxxp://www.lkjdlfior.cn/xOiii.htm，hxxp://www.slllj4.cn/a1/ss.htm，但整体利用率尚不足10%，也许我们应该多等些时间，毕竟当初MS08-078一个堂堂0day也花了一周时间才成为最火的挂马漏洞。
    参考瑞星前几次红色警报——磁碟机、诺顿误杀、Flash漏洞(CVE-2007-0071)的情形，似乎IE XML 0day那次忘拉了，而这次警报的风格似乎更加未雨绸缪。
    当然，警报早拉两天也不算什么坏事，但文章中所说的瑞星截获挂马攻击翻番的事情，要么是截获能力提高了，要么是用户群扩大了，要么是算错了，要么是别的什么原因，总之，那不关MS09-002什么事。

类别：系统网络安全 | 评论(3) | 浏览()

MS09-002漏洞利用代码公开

2009-02-19 12:33

milw0rm上终于公开了MS09-002的利用代码，这下大家都不用费劲找了。
从交换来的样本看，似乎2月11日就有了的说。
上次IE XML 0DAY曝光后一周，利用率就达到了70%以上。这个MS09-002，虽然不是0DAY，但也不用“估计”，马上就会被用来大范围挂马。如果还没有打过补丁，赶快行动吧。

类别：系统网络安全 | 评论(3) | 浏览()

Discuz!论坛集体被黑

2009-01-08 16:49

下午，突然在GoogleReader上看到这么一篇：Discuz程序出现严重漏洞众多论坛今天被黑，到Discuz!官方论坛上一看，果然是哀鸿遍野，一片求救帖子：

紧接着，又看到Ph4nt0m上的PHPWIND & DISCUZ! CSRF WORM!，公布了源代码。看了代码，正在纳闷RFI是如何发生的，又看到了Discuz!的官方说明，原来是借用了域名劫持完成攻击。要说是Discuz!程序的漏洞吧，确实是有点冤。
根据ring04h公布的代码包里的log看，有超过800个论坛可能已经受到攻击。好在这次他只是"just for fun"了一把。

类别：系统网络安全 | 评论(6) | 浏览()

Twitter被黑缘于管理帐号密码被暴力破解

2009-01-08 12:59

    3天前，Twitter被黑导致若干名人帐号被劫持的原因终于水落石出了。
    一名18岁的美国黑客GMZ通过字典式暴力破解了Twitter管理帐号的密码（密码是“happiness”)，获得了使用管理工具的特权，可以对其他帐号进行修改。
    去年11月，GMZ曾使用同样的“暴破”手段，获得了一些美国名人在Youtube上的密码。
    几乎所有的Web登录页面都应用了登录失败次数限制或CAPTCHA技术，有效抵制了暴力破解。但从Twitter、Youtube的例子看，它们的Web API设计者显然彻底忘记了还有这种最原始最低效的攻击手段。国内存在类似问题的网站应该也不少，比如饭否的API据说就啥限制都没有。
    在Web系统不能有效保护我们的帐号密码的这个过渡期，还是尽快给自己换个强密码吧。

类别：系统网络安全 | 评论(4) | 浏览()

新破天一剑官网也在养马？

2009-01-07 10:42

证据如下，一批网马，呵呵。下载的木马程序还就是针对新破天的。

不管是监守自盗还是被黑，办交易平台的事还是缓缓再说吧。

UPDATED 2009-1-8
时隔1天，又发现一个克隆版本——魔兽精灵网站(http://www.wowshell.com)也有类似含毒文件，下载魔兽木马：
hxxp://dkp.wowshell.com/lib/Rss.htm
hxxp://dkp.wowshell.com/lib/css.htm
hxxp://dkp.wowshell.com/lib/live.htm
针对性如此之强，应该是人为放上去的。监守自盗还是被黑，仍不明确。

类别：系统网络安全 | 评论(5) | 浏览()

Twitter被黑，名人帐号被冒用

2009-01-06 10:35

昨天，奥巴马、布兰妮等33位名人的Twitter帐号被人劫持冒用，发布了一些虚假消息，最倒霉的当属小甜甜了（见下图）。

昨晚看到消息时，还以为是前两天Twitter钓鱼事件导致的，今早Twitter官方却证实系统遭到入侵：
These accounts were compromised by an individual who hacked into some of the tools our support team uses to help people do things like edit the email address associated with their Twitter account when they can’t remember or get stuck. We considered this a very serious breach of security and immediately took the support tools offline. We’ll put them back only when they’re safe and secure.

被黑和钓鱼显然是本质上不同的安全问题，这次风波也许会让如火如荼的Twitter冷却一些吧。

UPDATED 2009-1-8
被黑原因已经公布：并非服务器入侵，而是管理帐号的密码被暴破，详见 这里。

类别：系统网络安全 | 评论(2) | 浏览()

寂静的诅咒 - Nokia S60手机短信攻击视频

2009-01-01 17:57

25C3会议上公布了Nokia S60系列手机存在的一个短信拒绝服务漏洞。只需发送特殊格式的文字短信到S60系列手机上，即可使该手机无法再接收任何短信和彩信，只有恢复出厂设置后才能正常运行。这个漏洞被称作“寂静的诅咒”(Curse of Silence)，被“诅咒”的名单很长，附在文后。有兴趣的可以看看这个漏洞的文档或演示视频：