本文目录一览:
看门狗2被感染的字节第三个手机找不到
寻找方法:在一片区域内用无人机搜寻并骇入三名中了僵尸二代病毒的手机。
被感染的字节支线任务过法:剧情概览:hadock的“僵尸二代”病毒正通过ctOS的移动设备更新档繁殖增生。如果dedsec能够找出被感染的手机,并从app更新一路追踪回去,就有可能找到传奇黑客组织hadock。
完成方法:1、首先在一片区域内用无人机搜寻并骇入三名中了僵尸二代病毒的手机手机。2、僵尸二代病毒不断感染附近没有受保护的手机,然后伪装成无线基地台来吸引更多人连上去。当中大部分关键词与葛雷斯通与军事防御科技有关。来到一处难民营,骇入乞丐的手机。马可仕发现这是第一支被感染的手机,而且当中有hadock的警告留言。乔许已经研发了清除程序,虽然对hadock造成了些少阻碍,不过马可仕也希望hadock能够成为dedsec的合作伙伴。
如龙7黑客在哪
在饭店小路区域。
《如龙7》中增加了一个恶搞宝可梦的江湖宝贝图鉴,只要打败敌人之后就可以将其作为江湖宝贝记录在图鉴之中。在游戏中共有252个江湖宝贝,和《精灵宝可梦金银》的成都图鉴数量一样。
如何阻止黑客进入我个人电脑。查询其ip地区
我来告诉你怎样减少受到网络攻击!!!
现在,使用ADSL的用户越来越多,由于ADSL用户在线时间长、速度快,因此成为黑客们的攻击目标。现在网上出现了各种越来越详细的“IP地址库”,要知道一些ADSL用户的IP是非常容易的事情。要怎么保卫自己的网络安全呢?不妨看看以下方法。
一、取消文件夹隐藏共享
如果你使用了Windows 2000/XP系统,右键单击C盘或者其他盘,选择共享,你会惊奇地发现它已经被设置为“共享该文件夹”,而在“网上邻居”中却看不到这些内容,这是怎么回事呢?
原来,在默认状态下,Windows 2000/XP会开启所有分区的隐藏共享,从“控制面板/管理工具/计算机管理”窗口下选择“系统工具/共享文件夹/共享”,就可以看到硬盘上的每个分区名后面都加了一个“$”。但是只要键入“计算机名或者IPC$”,系统就会询问用户名和密码,遗憾的是,大多数个人用户系统Administrator的密码都为空,入侵者可以轻易看到C盘的内容,这就给网络安全带来了极大的隐患。
怎么来消除默认共享呢?方法很简单,打开注册表编辑器,进入“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetSevicesLanmanworkstationparameters”,新建一个名为“AutoShareWKs”的双字节值,并将其值设为“0”,然后重新启动电脑,这样共享就取消了。
二、拒绝恶意代码
恶意网页成了宽带的最大威胁之一。以前使用Modem,因为打开网页的速度慢,在完全打开前关闭恶意网页还有避免中招的可能性。现在宽带的速度这么快,所以很容易就被恶意网页攻击。
一般恶意网页都是因为加入了用编写的恶意代码才有破坏力的。这些恶意代码就相当于一些小程序,只要打开该网页就会被运行。所以要避免恶意网页的攻击只要禁止这些恶意代码的运行就可以了。
运行IE浏览器,点击“工具/Internet选项/安全/自定义级别”,将安全级别定义为“安全级-高”,对“ActiveX控件和插件”中第2、3项设置为“禁用”,其它项设置为“提示”,之后点击“确定”。这样设置后,当你使用IE浏览网页时,就能有效避免恶意网页中恶意代码的攻击。
三、封死黑客的“后门”
俗话说“无风不起浪”,既然黑客能进入,那说明系统一定存在为他们打开的“后门”,只要堵死这个后门,让黑客无处下手,便无后顾之忧!
1.删掉不必要的协议
对于服务器和主机来说,一般只安装TCP/IP协议就够了。鼠标右击“网络邻居”,选择“属性”,再鼠标右击“本地连接”,选择“属性”,卸载不必要的协议。其中NETBIOS是很多安全缺陷的根源,对于不需要提供文件和打印共享的主机,还可以将绑定在TCP/IP协议的NETBIOS关闭,避免针对NETBIOS的攻击。选择“TCP/IP协议/属性/高级”,进入“高级TCP/IP设置”对话框,选择“WINS”标签,勾选“禁用TCP/IP上的NETBIOS”一项,关闭NETBIOS。
2.关闭“文件和打印共享”
文件和打印共享应该是一个非常有用的功能,但在不需要它的时候,也是黑客入侵的很好的安全漏洞。所以在没有必要“文件和打印共享”的情况下,我们可以将它关闭。用鼠标右击“网络邻居”,选择“属性”,然后单击“文件和打印共享”按钮,将弹出的“文件和打印共享”对话框中的两个复选框中的钩去掉即可。
虽然“文件和打印共享”关闭了,但是还不能确保安全,还要修改注册表,禁止它人更改“文件和打印共享”。打开注册表编辑器,选择“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesNetWork”主键,在该主键下新建DWORD类型的键值,键值名为“NoFileSharingControl”,键值设为“1”表示禁止这项功能,从而达到禁止更改“文件和打印共享”的目的;键值为“0”表示允许这项功能。这样在“网络邻居”的“属性”对话框中“文件和打印共享”就不复存在了。
3.把Guest账号禁用
有很多入侵都是通过这个账号进一步获得管理员密码或者权限的。如果不想把自己的计算机给别人当玩具,那还是禁止的好。打开控制面板,双击“用户和密码”,单击“高级”选项卡,再单击“高级”按钮,弹出本地用户和组窗口。在Guest账号上面点击右键,选择属性,在“常规”页中选中“账户已停用”。另外,将Administrator账号改名可以防止黑客知道自己的管理员账号,这会在很大程度上保证计算机安全。
4.禁止建立空连接
在默认的情况下,任何用户都可以通过空连接连上服务器,枚举账号并猜测密码。因此,我们必须禁止建立空连接。方法有以下两种:
方法一是修改注册表:打开注册表“HKEY_LOCAL_MACHINESystemCurrentControlSetControlLSA”,将DWORD值“RestrictAnonymous”的键值改为“1”即可。
最后建议大家给自己的系统打上补丁,微软那些没完没了的补丁还是很有用的!
四、隐藏IP地址
黑客经常利用一些网络探测技术来查看我们的主机信息,主要目的就是得到网络中主机的IP地址。IP地址在网络安全上是一个很重要的概念,如果攻击者知道了你的IP地址,等于为他的攻击准备好了目标,他可以向这个IP发动各种进攻,如DoS(拒绝服务)攻击、Floop溢出攻击等。隐藏IP地址的主要方法是使用代理服务器。
与直接连接到Internet相比,使用代理服务器能保护上网用户的IP地址,从而保障上网安全。代理服务器的原理是在客户机(用户上网的计算机)和远程服务器(如用户想访问远端WWW服务器)之间架设一个“中转站”,当客户机向远程服务器提出服务要求后,代理服务器首先截取用户的请求,然后代理服务器将服务请求转交远程服务器,从而实现客户机和远程服务器之间的联系。很显然,使用代理服务器后,其它用户只能探测到代理服务器的IP地址而不是用户的IP地址,这就实现了隐藏用户IP地址的目的,保障了用户上网安全。提供免费代理服务器的网站有很多,你也可以自己用代理猎手等工具来查找。
五、关闭不必要的端口
黑客在入侵时常常会扫描你的计算机端口,如果安装了端口监视程序(比如Netwatch),该监视程序则会有警告提示。如果遇到这种入侵,可用工具软件关闭用不到的端口,比如,用“Norton Internet Security”关闭用来提供网页服务的80和443端口,其他一些不常用的端口也可关闭。
六、更换管理员帐户
Administrator帐户拥有最高的系统权限,一旦该帐户被人利用,后果不堪设想。黑客入侵的常用手段之一就是试图获得Administrator帐户的密码,所以我们要重新配置Administrator帐号。
首先是为Administrator帐户设置一个强大复杂的密码,然后我们重命名Administrator帐户,再创建一个没有管理员权限的Administrator帐户欺骗入侵者。这样一来,入侵者就很难搞清哪个帐户真正拥有管理员权限,也就在一定程度上减少了危险性。
七、杜绝Guest帐户的入侵
Guest帐户即所谓的来宾帐户,它可以访问计算机,但受到限制。不幸的是,Guest也为黑客入侵打开了方便之门!网上有很多文章中都介绍过如何利用Guest用户得到管理员权限的方法,所以要杜绝基于Guest帐户的系统入侵。
禁用或彻底删除Guest帐户是最好的办法,但在某些必须使用到Guest帐户的情况下,就需要通过其它途径来做好防御工作了。首先要给Guest设一个强壮的密码,然后详细设置Guest帐户对物理路径的访问权限。举例来说,如果你要防止Guest用户可以访问tool文件夹,可以右击该文件夹,在弹出菜单中选择“安全”标签,从中可看到可以访问此文件夹的所有用户。删除管理员之外的所有用户即可。或者在权限中为相应的用户设定权限,比方说只能“列出文件夹目录”和“读取”等,这样就安全多了。
八、安装必要的安全软件
我们还应在电脑中安装并使用必要的防黑软件,杀毒软件和防火墙都是必备的。在上网时打开它们,这样即便有黑客进攻我们的安全也是有保证的。
九、防范木马程序
木马程序会窃取所植入电脑中的有用信息,因此我们也要防止被黑客植入木马程序,常用的办法有:
● 在下载文件时先放到自己新建的文件夹里,再用杀毒软件来检测,起到提前预防的作用。
● 在“开始”→“程序”→“启动”或“开始”→“程序”→“Startup”选项里看是否有不明的运行项目,如果有,删除即可。
● 将注册表里 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的所有以“Run”为前缀的可疑程序全部删除即可。
十、不要回陌生人的邮件
有些黑客可能会冒充某些正规网站的名义,然后编个冠冕堂皇的理由寄一封信给你要求你输入上网的用户名称与密码,如果按下“确定”,你的帐号和密码就进了黑客的邮箱。所以不要随便回陌生人的邮件,即使他说得再动听再诱人也不上当。
做好IE的安全设置
ActiveX控件和 Applets有较强的功能,但也存在被人利用的隐患,网页中的恶意代码往往就是利用这些控件编写的小程序,只要打开网页就会被运行。所以要避免恶意网页的攻击只有禁止这些恶意代码的运行。IE对此提供了多种选择,具体设置步骤是:“工具”→“Internet选项”→“安全”→“自定义级别”,建议您将ActiveX控件与相关选项禁用。谨慎些总没有错!
另外,在IE的安全性设定中我们只能设定Internet、本地Intranet、受信任的站点、受限制的站点。不过,微软在这里隐藏了“我的电脑”的安全性设定,通过修改注册表把该选项打开,可以使我们在对待ActiveX控件和 Applets时有更多的选择,并对本地电脑安全产生更大的影响。
下面是具体的方法:打开“开始”菜单中的“运行”,在弹出的“运行”对话框中输入Regedit.exe,打开注册表编辑器,点击前面的“+”号顺次展开到:HKEY_CURRE-NT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\0,在右边窗口中找到DWORD值“Flags”,默认键值为十六进制的21(十进制33),双击“Flags”,在弹出的对话框中将它的键值改为“1”即可,关闭注册表编辑器。无需重新启动电脑,重新打开IE,再次点击“工具→Internet选项→安全”标签,你就会看到多了一个“我的电脑”图标,在这里你可以设定它的安全等级。将它的安全等级设定高些,这样的防范更严密。
黑客入侵、程序的混乱如何调整
您检查了一下,发现服务器和网络真的都慢得出奇。您检查了防火墙的通信量情况,注意到有非常大的Internet通信量。您在服务器上运行Netstat命令,发现服务器上有几个未经授权的连接,并且这些连接看起来都来自Internet。您检查服务器的注册表,注意到有几个陌生的程序被设置为自动加载。那么,现在取消您的旅行计划吧,您这个周末会有一大堆工作要做。您被黑客攻击了。 根据攻击性质的不同,有时并不容易判断出是否已受到黑客攻击。了解该检查哪些方面以及检查什么内容,能帮助您发现黑客的攻击,并且在这些攻击造成进一步破坏之前采取恢复措施。我将会告诉您从哪里查找可能会严重破坏您系统的恶意程序,我还会帮助您作出一个攻击恢复计划。我将会用三个案例来告诉您我是如何使用这些策略来帮助这些机构检测网络攻击、从攻击中恢复,并避免将来再受到攻击。
要检查的内容
很显然,您只有发现了黑客的攻击,才能采取措施阻止攻击并使之恢复。那么该从哪里入手呢?每一次的攻击都是独一无二的,但有些地方总是需要您首先检查的。以下是您开始搜索的关键位置。 注册表子项。如果您怀疑某台机器被黑客攻击,请首先检查它的注册表的“Run”子项。查找在这些子项中是否加载了任何陌生的程序。攻击者可以利用 “Run”子项启动恶意程序,入侵者还有可能通过这些子项启动病毒。这些子项适用于以下操作系统:Windows Server 2003、Windows XP、Windows 2000、Windows NT、Windows Me和Windows 9x。这些需要检查的子项包括:
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunOnce
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunServices
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunServicesOnce
• HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Run
• HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\RunOnce
• HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\RunServices
• HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\RunServicesOnce 如果您运行的是Windows 2003、Windows XP、Windows 2000或Windows NT系统,您还需要检查“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Policies\Explorer\Run”子项。 任何您无法识别的程序都有可能是黑客程序。您可以用Google或者类似的搜索引擎在Internet上搜索程序名,以确定程序是否合法。您需要特别留意从“C:”、“C:\Windows”和“C:\Windows\System32”加载的程序。强烈建议您养成定期复查这些注册表项的习惯,这样您会熟悉自动加载到您计算机上的所有程序。 下面的一些子项较少被用来启动黑客程序,但您还是需要检查它们。这些子项适用于所有Windows操作系统。如果缺省的注册表项的值不是"%1" %*,那么这个程序很可能是个黑客程序。
• HKEY_CLASSES_ROOT\batfile\shell\open\command
• HKEY_CLASSES_ROOT\comfile\shell\open\command
• HKEY_CLASSES_ROOT\exefile\shell\open\command
• HKEY_CLASSES_ROOT\htafile\shell\open\command
• HKEY_CLASSES_ROOT\piffile\shell\open\command
• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile
\shell\open\command
• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile
\shell\open\command
• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile
\shell\open\command
• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htafila
\shell\open\command
• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\piffile
\shell\open\command 服务。对于所有的Windows操作系统,检查它们的“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services”注册表子项。这个子项下的项目指定了计算机上所定义的服务。我建议您直接在注册表中查看服务而不是使用Windows的“服务”图形界面来查看,因为一些服务(例如类型为1的服务)并不显示在“服务”图形界面中。同样,还是要检查您无法识别的程序。如果可能的话,请与一台您已知并未受到黑客攻击的机器的Services子项对比它的各项以及对应的值,看是否有任何不同之处。 “启动”文件夹。检查“C:\Documents and Settings\All Users\Start Menu\Programs\Startup”和“C:\Documents and Settings\\Start Menu\Programs\Startup”文件夹看是否有陌生的程序和隐藏的文件。要显示当前文件夹及其子文件夹内的所有隐藏文件,在命令提示符处输入: dir /a h /s 任务计划。检查“C:\Windows\tasks”文件夹看是否有未授权的任务。研究您无法识别的任何任务计划。 Win.ini。恶意的用户能够通过“C:\Windows\Win.ini”自动加载黑客程序。请检查“Win.ini”文件中的这一小节: [Windows] Run= Load= 任何在“Run=”或“Load=”后面列出的程序都会在Windows启动时自动加载。 System.ini。入侵者可以在“C:\Windows\System.ini”中利用shell命令加载程序。请在“System.ini”中搜索: [boot] shell=explorer.exe 任何在“explorer.exe”后面列出的程序都会在Windows启动时自动加载 黑客可以在Windows启动时自动加载程序的其它位置。Sysinternals的免费软件Autoruns可以显示出哪些程序被配置为在 Windows NT(以及之后的系统)启动时加载的。您可以从 下载这个工具 .
开放的端口和未授权的用户
在您对关键位置是否有黑客攻击活动做了初步的检查以后,请查找意外或可疑的开放端口。 Root Kit。Root Kit是运行在操作系统级别上的秘密程序,它能够打开有危险的机器的端口,入侵者用它来进行远程访问。Root Kit在UNIX的世界比较常见,但是越来越多恶意的黑客编写它们并利用在Windows上。要判断一台基于Windows的计算机上的连接和正在监听的端口,请打开命令提示符并运行以下命令: Netstat -a 表1列出了在一台Windows XP计算机上通常打开的端口。如果您在某台工作站或服务器上看到有更多的开放端口,请不要惊慌。端口会根据服务的类型进行动态分配。例如,当您远程管理DHCP和WINS的时候,远程过程调用(RPC)会使用动态端口。要了解更多信息,请参考微软的文章“How To Configure RPC Dynamic Port Allocation to Work with Firewall”( )。当您运行Netstat时,查找以下项目:• 大量已建立的连接(10个或更多,这取决于您的环境),特别是连接到您公司外的IP地址的连接。 • 意外的开放端口,特别是序号较高的端口(例如大于1024的端口号)。黑客程序和Root Kit往往使用高序号的端口建立远程连接。 • 很多待处理的连接尝试。这有可能是SYN Flood Attack的讯号。
• 无法识别的批处理文件。一些Root Kit在下列文件夹中创建批处理文件:“C:\”、“C:\winnt\”、“C:\Windows\”、“C:\winnt\System32”和“C:\Windows\System32”。Root Kit或其它未授权的程序还可以在回收站下创建文件和文件夹,所以请查找回收站文件夹内的隐藏文件夹或未授权的文件夹。缺省情况下,回收站文件位于“C:\recycler”文件夹中。要小心在您清空回收站以后仍残留其中的文件和文件夹。 一些黑客工具能够阻止Netstat显示一台计算机上的开放端口。如果Netstat显示没有可疑的开放端口,但您仍怀疑有,可从另一台计算机运行端口扫描工具来查看目标计算机上有哪些端口是打开的。例如运行源代码开放的实用程序Network Mapper(nmap),您可以从 下载它。
AD中的恶意用户。当入侵者试图危及系统安全时,他或她有时会在Active Directory(AD)中创建一个或多个恶意用户。通常入侵者创建的这些用户账号的说明字段都是空的。为了对付这种情况,建议您按照一定的命名规则,为AD中的每个授权用户都添加一个说明。然后,您就可以按照说明对用户排序,这样所有没有说明的用户都会出现在列表的顶端。
特权组中的未授权用户。黑客攻击的一个主要目标是扩大权力。检查AD中的特权组(例如Administrators、Domain Admins、Enterprise Admins、Server Operators)看是否存在未授权的组成员。您需要确保限制这些组的成员,以便更容易发现未授权的用户。
为系统止血:恢复计划如果您发现有一个系统被黑客攻击了,请不要惊慌。您需要保持冷静,然后有逻辑地进行处理。以下的行动计划能帮助您减少损失。
1.隔离网络。关闭您网络的所有外部接口,包括Internet、WAN、VPN和拨号连接,断开路由器、无线接入点(AP)以及将您的网络与外界连接起来的任何其它设备的所有线路。这样做能立即停止当前正受到的攻击,并阻止入侵者危及其它系统的安全。
2.清理无线设备。使用无线嗅探器(如Airscanner Mobile Sniffer或NetStumbler.com的NetStumbler)在您的区域内查找任何恶意的AP。确保嗅探器安装在支持当前所有无线标准(也就是802.11a、802.11b和802.11g)的卡上。
3.查找其它被攻击了的机器。使用本文所述的技术来查找您是否有其它机器已遭受到黑客攻击。
4.复查防火墙配置。查找是否存在任何未授权的规则、未授权对外界打开的端口和未授权的网络地址转换(NAT)规则。检查防火墙日志中是否记录了可疑的活动。建议您始终将出站的通信限制在必要的出站端口,并确保只有经授权的计算机才能通过防火墙向外发送邮件。
5.检查AD。查找任何未授权的用户账号并禁用它们。
6.更改网络中所有账号的密码。对于有较高权限的账号,建议您设置至少15个字符的密码(或密码短语)。这样长度的密码很难破解,因为LAN管理器(LM)密码HASH不会在服务器上存储超过14个字符的密码。
7.更换被黑客攻击的计算机上的硬盘。更换硬盘可以隔离并保留黑客的攻击行为。您可以复查旧硬盘上的数据以获得有关攻击的有用信息。
8.找出被攻击的弱点。尽量找出黑客是如何访问网络的,但这通常是很难做到的(并且超出了本文的讨论范围)。如果您不能找到漏洞在哪里,请考虑雇用一位安全顾问来帮助您。
9.重装被攻击的机器。彻底清理一个被黑客攻击的计算机几乎是不可能的。如果机器上还残留着一种或多种黑客工具,入侵者将会重新获得访问该机器的能力。确保机器完全清理干净的唯一办法是格式化硬盘,并重装整个机器。这样确保不会保留了任何先前安装的黑客工具。您应该从CD-ROM重新安装所有程序,手工安装所有补丁,只恢复数据文件。绝对不要从磁带恢复注册表、操作系统或任何程序。
10.对所有机器进行全面的病毒扫描。要注意,防病毒程序有时会把黑客工具当作是合法程序。如果扫描结果显示机器是干净的,但您还是怀疑它已被攻击,建议您重装该机器。
11.重新连接WAN线路。重新连接WAN线路,并仔细监测,以确保您关闭了网络的所有漏洞。注意网络的带宽是否会被大量占用,密切监测防火墙日志,并在所有服务器上启用安全审核。
12.仔细调查被黑客攻击的硬盘。把被黑客攻击的机器的硬盘安装在一台独立的计算机上,检查它们以获得有关攻击的更多信息。虽然入侵者往往使用虚假的IP地址,IP地址仍然是追踪攻击来源的很好线索。您可以从Internet Assigned Numbers Authority(IANA)网站( )获得IP地址分配的列表。
13.通知有关当局。如果您在美国,可以向FBI属下的Internet Fraud Complaint Center (IFCC- )报告可疑的Internet活动,并且大部分的 FBI各地区办事处都有Cyber Action Teams(CAT)。没有人愿意承认被黑客攻击,但是通知有关当局可以防止黑客进行更多的破坏。如果要联系您当地的FBI办事处,请访问 。
您可以使用上述步骤设计出一个定制的攻击恢复计划。请根据您机构的情况适当地修改这些步骤,并将它们整合到您公司的灾难恢复计划中。案例学习 在我的顾问实践中,曾经遇到过许多情形,都是一些机构的网络受到攻击。通过学习别人的经验可以帮助您发现您网络的弱点,并帮助您在受到类似攻击时进行恢复。那么,让我们看一下真实生活中的黑客攻击案例。
Exchange服务器的SMTP AUTH攻击
第三个客户的Internet连接由于Internet通信量很大所以运行得很慢。而当我让所有用户与Internet断开后,通信量仍然很大。我查看了Exchange 2000 server上的外出队列,发现有100个以上的队列,每个队列中都有非常大量的消息。我用ESM随机检查了几个队列,发现这些消息的发送人或接收人都不是来自本地域的,这意味着邮件服务器很可能被用作邮件中继了。在缺省情况下,如果消息发送人能够成功通过Exchange 2000(或之后的系统)的验证,那么该邮件服务器是允许进行中继的。
鉴别黑客攻击。黑客可以使用两种不同的方法来获得有效的用户名和密码。他们可以重复地猜测Guest账号或用户的密码,直到发现正确的密码;或者他们也可以发起黑客攻击,以获得有效的用户名和密码。垃圾邮件发送者只需要一个有效的用户名和密码就可以中继邮件,哪怕邮件服务器并没有开放中继。为了确定垃圾邮件发送者正在使用什么账号,我打开了ESM并单击“组织”*“管理组”*“组织单元”*“服务器”,然后用右键单击服务器名,选择“属性”。然后我选择“诊断日志”标签。在“服务”窗口中,单击MSExchangeTransport。然后在“类别”窗口中,我将以下类别的日志的级别增加到最大:路由引擎、分类器、连接管理器、队列引擎、Exchange存储驱动程序、SMTP协议和NTFS存储驱动程序。随后我检查了事件日志,查找来自外部邮件服务器或未知的邮件服务器的验证。失败的登录尝试将会显示在安全日志中,它的事件ID是680。我发现入侵者使用了非本地Exchange服务器账号的用户账号来对邮件服务器进行验证。
修复破坏。当我找出了验证账号之后,我采取了下列步骤来保护Exchange服务器。
1. 我更改了垃圾邮件发送者所使用的账号的密码。在类似的情况下,如果您认为垃圾邮件发送者可能有多个有效的用户ID和密码,那么更改您网络中所有用户的密码。我还禁用了Guest账号,并为启动服务器上的服务设置了专用的账号。不要使用管理员账号启动服务。如果一台机器被黑客攻击了,用来启动服务的账号可能也会不安全。
2. 我禁用了对外的Exchange服务器上的验证。为了禁用它,我打开ESM,选择“组织”*“管理组”*“组织单元”*“服务器”*“”*“协议”*“SMTP”,然后用右键单击缺省SMTP虚拟服务器。我选择了“属性”,单击“访问”标签,然后单击“验证”。我保留了匿名访问的启用,但是清除了“基本验证”和“集成Windows验证”校验框。清除这些校验框从根本上对SMTP服务器禁用了Auth命令。
3. 我在其它的内部Exchange服务器上启用了中继,以确保它们可以向对外的Exchange服务器发送邮件。我打开ESM,用右键单击虚拟SMTP服务器,然后选择“属性”。在“访问”标签中,单击“中继”,选择“只允许以下列表”,并填入允许向对外服务器中继邮件的内部邮件服务器。
4. 完成这些更改后,我彻底测试了一遍这些配置。我测试了发往Internet和从Internet发回邮件,以及发往机构内的所有邮件服务器和从这些服务器发出邮件。这些更改有可能会使服务器之间的邮件流通陷入混乱,因此您可能会希望等到周末才更改。另一个更好的办法是,在将这些更改应用到实际环境中之前,先在实验环境中进行测试。
5. 在这一事件中,我发现一台机器被严重地攻击了,因此我将它完全重装了一遍。在您可能遇到的情况中,您需要找出所有已被攻击的机器,然后将它们修复或者重装。 6. 我检查了ORDB以确定该客户的邮件服务器是否被列入了开放中继的黑名单。很幸运,我在客户的邮件服务器被列入黑名单之前就发现并修复了黑客的攻击。如果一台邮件服务器开放了中继,或者该邮件服务器被认为大量发送垃圾邮件,它可能会被列入黑名单。有许多开放中继的数据库,您可以从 查看到一系列这样的数据库。如果您的邮件服务器被列入黑名单,您可以发送请求来将服务器从黑名单删除,您也可以更改您邮件服务器的外部IP地址。如果您更改了邮件服务器的地址,您还必须更新邮件服务器的Mail Exchanger(MX)记录,否则发进来的邮件会被阻止。
经验教训。要修复对Exchange服务器的SMTP AUTH攻击,并预防未来的攻击,强烈建议您使用我所采取的步骤。如果入侵者获得了有效的用户ID和密码来进行邮件中继,您的邮件服务器将被纳入许多邮件黑名单中。预防这些攻击所要花费的时间,比起排除邮件传递的故障、将服务器从黑名单删除,以及修补漏洞所要花费的时间要少得多。
不要惊慌;随时做好准备 攻击恢复计划是任何合理的IT结构的一个组成部分。它能够帮助您有效地对网络攻击作出反应,而不是惊慌失措。请熟悉恶意入侵者所使用的工具和方法,并提前采取措施来防止他们对您的网络进行攻击。,
无线网络存在巨大安全隐患例如在公共场所黑客提供一个
Wi-Fi钓鱼陷阱
WIFI安全使用建议
第一,谨慎使用公共场合的WIFI热点。官方机构提供的而且有验证机制的WiFi,可以找工作人员确认后连接使用。其他可以直接连接且不需要验证或密码的公共WiFi风险较高,背后有可能是钓鱼陷阱,尽量不使用。
第二,使用公共场合的WIFI热点时,尽量不要进行网络购物和网银的操作,避免重要的个人敏感信息遭到泄露,甚至被黑客银行转账。
第三,养成良好的WIFI使用习惯。手机会把使用过的WIFI热点都记录下来,如果WiFi开关处于打开状态,手机就会不断向周边进行搜寻,一旦遇到同名的热点就会自动进行连接,存在被钓鱼风险。因此当我们进入公共区域后,尽量不要打开WIFI开关,或者把WiFi调成锁屏后不再自动连接,避免在自己不知道的情况下连接上恶意WIFI。
第四,家里路由器管理后台的登录账户、密码,不要使用默认的admin,可改为字母加数字的高强度密码;设置的WIFI密码选择WPA2加密认证方式,相对复杂的密码可大大提高黑客破解的难度。
第五,不管在手机端还是电脑端都应安装安全软件。对于黑客常用的钓鱼网站等攻击手法,安全软件可以及时拦截提醒。日前,腾讯安全携手迈外迪、光音网络、维盟、潮Wi-Fi等商用Wi-Fi服务提供商,成立“腾讯安全Wi-Fi联盟”。为了方便用户上网,装有腾讯手机管家的手机能够自动搜索和连接识别为安全的Wi-Fi热点,实现一键连接。腾讯手机管家还开放安全能力,使得腾讯安全Wi-Fi联盟提供真假热点识别、数据传输加密保护、DNS保护三大专业保障来为用户提供上网安全。