Month: June 2008

  今日發現2隻新變種病毒，採用好久不見的壓縮檔格式 – arj，   許多防毒軟體或閘道，應可拆解並分析zip或rar； 但不一定能拆解arj。   所以一旦傳到個人用戶，只要有安裝解壓縮程式， 那麼幾乎都可解壓縮arj的格式…   看來DOS時代大名鼎鼎的ARJ壓縮檔， 準備重出江湖了!     樣本畫面1     樣本畫面2     以下防毒軟體已可偵測: Authentium;5.1.0.4;2008.06.16;W32/Onlinegames.gen AVG;7.5.0.516;2008.06.15;PSW.OnlineGames.BR F-Prot;4.4.4.56;2008.06.12;W32/OnlineGames.AE.gen!Eldorado Fortinet;3.14.0.0;2008.06.15;W32/OnLineGames.fam!tr.pws Ikarus;T3.1.1.26.0;2008.06.16;Trojan.Win32.Helpud.A Microsoft;1.3604;2008.06.16;PWS:Win32/OnLineGames.DL!dll Panda;9.0.0.4;2008.06.15;Suspicious file Rising;20.48.62.00;2008.06.15;Packer.Win32.Mian007.a Sophos;4.30.0;2008.06.15;Mal/EncPk-CE Webwasher-Gateway;6.6.2;2008.06.15;Win32.Malware.gen (suspicious)      

最近火熱的資安議題，就是大規模攻台的SQLInjection攻擊。   在五月初時，已可看到一些戰火；而在5/20的前後， 為攻擊的最高峰，並陸續在各大媒體披露；一直到最近才稍稍減緩。   以下是我的一些觀察: 1.無特定對象，且不限系統平台；只要有資料庫的網站，都是攻擊對象 2.時間多在非上班時間，如上班前早上、中午、下班後晚上、午夜凌晨 3.攻擊次數多分散在各日 4.每次(日)攻擊IP皆不同 5.語法特徵混雜16進位碼及大小寫   下面是一些在家中查到的攻擊語法， 大致為權限測試及惡意網址注入。   摘要如下(部分文字以星號取代):   權限測試(原碼): 權限測試(實際語法):   惡意網址注入(原碼): 惡意網址注入(實際語法):   就語法來說，十分精簡，且不易攔截。   <<後語>> SQLInjection攻擊雖然多指向網頁程式問題， 但個人認為，資料庫權限及語法、網站漏洞修補、作業系統權限及漏洞修補等， 也一樣重要。   只是這些工作，都非一人所能完成， 且環環相扣，因此也不容易面面俱到。   以下是一些個人覺得很有幫助的說明:   SQLInjection(資料隱碼)-駭客的SQL填空遊戲(恆逸資訊胡百敬) http://www.microsoft.com/taiwan/sql/sql_injection_G1.htm   LINQ-對付SQLInjection的”免費補洞策略”(微軟技術顧問黃忠成) http://www.microsoft.com/taiwan/msdn/columns/huang_jhong_cheng/LVSS.htm   老掉牙的SQLInjection卻造成你的網站在裸奔(網路攻防戰OpenBlue) http://anti-hacker.blogspot.com/2008/06/sql-injection.html

看膩了 “HTTP 錯誤 404 – 找不到檔案或目錄“?來客製化吧! Customizable, search-enabled web error pages – Web Page Error Toolkit http://www.microsoft.com/downloads/details.aspx?displaylang=zh-tw&FamilyID=deca3e03-4f93-46d1-affc-493c0e02eb63 把不必要的流量，都導到搜尋引擎上面去吧!  

許多人都是用vbscript，在此分享dsget的做法。   Dsget重點是在最後面的參數    範例：Dsget group “CN=群組名稱,OU=OU名稱,DC=網域,DC=com,DC=tw” –members       如果想進一步簡化帳號的欄位，例如只顯示名稱， 那麼可導向並再次執行dsget，加上-display參數。    範例：dsget group ” CN=群組名稱,OU=OU名稱,DC=網域,DC=com,DC=tw” -members | dsget user -display