作者:木淼鑫
【赛迪网-IT技术报道】2008年针对网络游戏的盗号木马程序是2007年的3倍,2009年已经步入商业渠道的盗号木马却可能因循商业规律而开始出现递减。
虽然绝大多数网络游戏禁止以真实货币的方式交易虚拟资产,但依然有大量买家为了轻易享受游戏的快乐,不管所购虚拟资产是否合法而支付大量真实货币。正是这类买家的大量出现,刺激了盗号木马产业链的畸形繁荣。
但卡巴斯基实验室的相关人士却表示,2009年针对在线游戏的木马数量将开始下降,这主要是由于网络游戏市场的网络犯罪正在趋于饱和。
卡巴斯基实验室的相关人士认为,盗号木马集团之间的竞争正在日趋激烈化,盗号木马的制作日益傻瓜化,依靠盗取虚拟资产来获取利润的行为也相应缩水。反病毒公司能够设法处理如潮水般涌来的游戏恶意程序,用户也逐渐意识到安全的重要性,并且游戏公司也已采取措施来制止非法行动,保护被盗的账户和虚拟资产。正是这一系列的连锁反应,将使得盗号木马及相关木马产业链逐渐萎缩。
未来,网络诈骗与网络钓鱼将愈发凸显更将强大的威胁,社会工程学会被网络犯罪分子更加频繁与深入的利用。
作为一名站长,如何才能保障网站后台的安全,是一件非常重要的事情。笔者将一些常见的问题整理出来,希望能站长能够得到帮助。
1、后台用户名和密码是否是明文保存的?
建议增加昵称字段,区别后台的用户,同时对用户名和密码进行非规范的md5加密,例如加密以后截取15位字串。
2、管理成员是否有权限的划分
一旦没有划分权限,一个编辑用户的帐户失窃也可能为你带来灾难性的后果
3、是否有管理日志功能
管理日志必须在近几日无法被删除,这是分析入侵者入侵手法的重要依据。
4、后台入口是否隐秘
不要愚蠢地将入口暴露在前台页面中,也不要使用容易被猜测到的后台入口地址。
5、后台页面是否使用了meta robots协议限制搜索引擎抓取
Google工具条,百度工具条,或者不经意间出现的后台链接都可能导致你的后台页面被搜索引擎发现,这时候在meta中写入禁止抓取的语句是个明智的选择,但是,切莫将后台地址写入robots.txt,参照第四点。
6、管理页面是否做了防注入
粗心的程序员往往只考虑了前台页面的注入。
7、access是否有自定义数据库备份功能
这是asp+access系统中最臭名昭著的功能,自定义数据库备份可以让入侵者轻松获得webshell
8、是否有自定义sql语句执行功能
同第7点。
9、是否开启了在线修改模板功能
如果没有必要,建议不要开启,防止对方轻易插入跨站脚本。
10、是否直接显示用户提交的数据
任何时候,用户的输入都是不可信的,设想如果对方输入了一段恶意js,而你在后台没有任何防护的情况下就打开?
11、编辑器的漏洞是否清除,是否已经去除了无意义的功能
最有名的例子就是ewebeditor的数据库漏洞,默认用户名密码漏洞等
对于网站后台的安全问题,任何一个环节的疏忽都可能导致灾难性的后果,大家须时时注意。
作者:木淼鑫
【赛迪网-IT技术报道】“菠萝穴”木马家族新成员Packed.PolyCrypt.kl“菠萝穴”变种kl实为经过特殊处理的“黑防专版”灰鸽子远程控制木马。
Packed.PolyCrypt.kl“菠萝穴”变种kl采用“Borland Delphi 6.0 - 7.0”编写,经过多层加壳保护。
“菠萝穴”变种kl运行后,会自我复制到被感染计算机系统的“%SystemRoot%/”目录下,重新命名为“twunk_31.exe”,设置文件属性为“系统、只读、隐藏”,然后会将原文件进行删除,以此消除痕迹。
“菠萝穴”变种kl运行后会将恶意代码注入到新创建的“IExporer.exe”进程中隐密运行。在被感染计算机后台不断尝试与控制端(IP地址为:125.42.*.243:8000)进行连接,一旦连接成功,则被感染的计算机系统便会沦为骇客的傀儡主机。骇客通过该木马,可以向被感染的计算机发送恶意指令,从而执行任意控制操作,其中包括:文件管理、进程控制、注册表操作、远程命令执行、屏幕监控、键盘监听、鼠标控制、音频监控、视频监控等,会给被感染计算机用户的个人隐私甚至是商业机密造成不同程度的侵害。
骇客还可以向傀儡主机发送大量的病毒、木马、流氓软件等恶意程序,从而给用户构成了更加严重的威胁。
“菠萝穴”变种kl会通过在系统注册表启动项中添加键值“twunk_31.exe”的方式来实现木马的开机自启。
