Archive

文章標籤 ‘資安’

Apache Porxy 代理強化安全性

2011年2月18日 尚無評論

又一案例客戶主機變慢了,經查apache log出現了很多怪log

82.146.62.95 – – [23/Feb/2011:13:58:09 +0800] “GET http://zevsmail1.joinvps.com/test_url/dump.php HTTP/1.0” 404 282
82.146.62.95 – – [23/Feb/2011:13:58:09 +0800] “CONNECT 74.125.232.49:443 HTTP/1.1” 400 378
187.158.158.47 – – [23/Feb/2011:13:58:09 +0800] “GET http://www.larednoticias.com/ HTTP/1.1” 200 335
68.169.86.222 – – [23/Feb/2011:13:58:09 +0800] “POST http://www.navanakorn.co.th/reply.php HTTP/1.1” 404 286

82.146.62.95 – – [23/Feb/2011:13:58:09 +0800] “GET http://zevsmail1.joinvps.com/test_url/dump.php HTTP/1.0” 404 28282.146.62.95 – – [23/Feb/2011:13:58:09 +0800] “CONNECT 74.125.232.49:443 HTTP/1.1” 400 378187.158.158.47 – – [23/Feb/2011:13:58:09 +0800] “GET http://www.larednoticias.com/ HTTP/1.1” 200 33568.169.86.222 – – [23/Feb/2011:13:58:09 +0800] “POST http://www.navanakorn.co.th/reply.php HTTP/1.1” 404 286

看來好像變成了代理伺服器,經瞭解,原來他的apache開了mod_proxy, 上網查了一下~~這個東東可不能亂用~@@,但客戶又有系統上的需求,非開不可,所以只好看看有什麼可以防治,以下是防範的作法,與大家分享:

1.似乎網路上有人建議如果是只需要domain 的網站,那該IP封起來不要給連即可!!  這是不錯的方法~可惜客戶連IP都要用@@

2.在IP那個預設的Directory 裡,將 ProxyRequests Off (不過怪了~似乎其它Virtual Host 有使用好像就關不起來,不過還是加上去保平安)

3.為了增加apache的安全性,所以只限GET POST OPTIONS 才能使用

<Directory “/var/www/html/root”>
AllowOverride none
Options FllowSymLinks
# 先允許能夠進行 GET, POST 與 OPTIONS 啦!
<Limit GET POST OPTIONS>
Order allow,deny
Allow from all
</Limit>

# 再規定除了這三個動作之外,其他的動作通通不允許啦!
<LimitExcept GET POST OPTIONS>
Order deny,allow
Deny from all
</LimitExcept>
</Directory>

經這樣使用後,系統運行後就正常多了,只是原本要找代理的請求都轉變成找不到檔案的error 佔滿了error log,原本是想看能不能將連至本網站但 GET 其它網站連結 都擋掉,想連log都看不到,不過查了一下~看來沒法子!!    只好等這個IP從Free代理主機名單中自行消失。

參考資料:

Apahce強化php安全性防駭客木馬設定

2011年1月21日 尚無評論

最近碰到一個案例,他的網站已運行好年之久但一直都沒有進行安全更新,導致上頭經年累月的被植入不少木馬程式,例如超級PHP木馬帶批量掛馬,及WEBSHELL, 真是有夠給他慘的啦,搞的整個網站像駭客練功的活靶,雖然砍掉重練好,但還是有些因素要救活他,所以首先要先除掉這些東東~可藉由一些工具例如PHPCMS木馬掃瞄器或是php 木馬, 惡意程式查殺工具,然後再將他的apache及php升級並加上mod_limitipconn及mod_bandwidth然後進行PHP的設定,防止php木馬執行webshell,打開safe_mode,並在php.ini中中disable_functions設定

safe_mod=On
disable_functions= passthru,exec,shell_exec,system

也可再增加防止php木馬讀寫文件目錄
在php.ini中disable_functions後面加上php處理文件的函數,如包含剛剛設定的就要變成以下設定

disable_functions= passthru,exec,shell_exec,system,fopen,mkdir,rmdir,chmod,unlink,dir
,fopen,fread,fclose,fwrite,file_exists
,closedir,is_dir,readdir.opendir
,fileperms.copy,unlink,delfile

大功告成,php木馬就無法拿我們執行一些系統程序了

不過還有一點要設定的,網頁程式有時會寫一些上傳程式給會員及非會員使用,如果上傳上去程式碼能再被執行就糟糕了,所以除了上傳上去後更改檔名~如遇到副檔名是PHP就更名外,以下這招也是不錯的選擇

我們可以設定不讓上傳的目錄執行PHP,可在Apache的httpd.conf設定以下參數值:

<Directory “/home/a/upload”>
AllowOverride None
php_flag engine off
Allow from all
</Directory>

如果你只允許你的php在web目錄裡操作,也可以在httpd.conf中加上

php_admin_value open_basedir /home/a

這樣如果有要使用這個之外的檔案時就會有錯誤訊息 Warning: open_basedir restriction in effect. File is in wrong directory in xxxxxxx

這樣基本木馬及WEBSHELL就防止了,但在測試發現,或許已經中太久了,可能已經成為駭客界的教學教材,三不五十的就是有人會丟一些怪網址TRY漏洞,多半都是對岸來的,真是煩呀~!!

發現這種怪連結一多,還蠻佔資源的,所以做了一個小小的rewrite設定,來防止這種怪連結,因為這個網站本身沒有用rewrite,所以在.php後有加上斜線的怪連結就轉到國家資通安全會報技術服務中心,呵~直接轉過去通報

<IfModule mod_rewrite.c>
RewriteEngine On
RedirectMatch /(.*)\.php/(.*) http://www.icst.org.tw/
</IfModule>

OK~經過這樣的設定後,觀察幾天後看來有用~~希望各位駭先生能就此放過它吧!!

參考資料:

Categories: 系統設定 Tags: , ,

釣魚網站新招式,利用拍賣留言,看一下保平安

2009年2月13日 尚無評論

今天收到久久露天拍賣的一封問答Email,還真難得放了那麼久終於有人提問題了
正高興去看著買家提的問題,點了Email後發現,怎麼有怪怪的連結,一點下去看….可惡是釣魚網站,沒想到還有來這招的

這是露天拍賣給的Email

用戶插入圖片

點了那個連結,就到了 超級無敵像的Yahoo 登入頁

用戶插入圖片

還真是給他有像的,不過那個550cc.cn的 url 真的,在輸入後果然就導到對的yahoo登入頁啦,只能說樹大招風嘛!!

用戶插入圖片

原本想上去露天檢舉,不過似乎露天已經有做處理了,把怪怪的url 移掉
不過Email 中沒移掉還是會讓人誤點,當然這位仁兄應該是受害者吧
帳號也被停用了!!

用戶插入圖片

上述事件,告訴我們:

  • 登入前多用點心看一下
  • 不管在哪裡,怪怪的連結要點前最好先看一下是不是ok的(哈~herolin.mine.nu 常被人認為是怪怪的連結)
  • Yahoo樹大招風,這兩年已經看了很多個這種釣魚網站,看來Yahoo還是台灣的NO.1
  • 露天在這次事件,看的出有處理,不過是有Bug的,還有~看來露天人氣也上升啦~因為一些害人精,會選他來釣魚囉

最後,如果中招時該如何是好,如果是馬上就知道,這種叫後知後覺,還有救,請快點登入正確的網站更改自己的密碼,因為一般釣魚網站只是要你的帳號及密碼

如果你後來被告知才知情者,不好意思,你屬於後知後覺的,看來重新再申請一組新的吧!!  最好,如果原帳號密碼還能登入,請進去把個人資料及個人的東西移除吧,最後別忘了再改一組密碼讓這帳號別再害人…(不過這時應該也害不了人了 因為應該被封鎖住了才對,改密碼頂多讓你帶不走的東西,也不會再讓別人用到)

Categories: 新知 Tags: , ,

唬爛太利害之電腦「毒患」 一台電腦一年中毒八十六次 (華視,2008/10/16)

2008年10月18日 尚無評論

    小弟覺得這則新聞,有些數據或說法有點唬爛,例如標題下 一台電腦一年中毒八十六次,這太誇張了吧,如果一年365天,上班天數只有不到二百天,以一天中一次來看,扣掉八十六天,剩約一百天左右是正常的,就等於你上班就天天救電腦就好,直是有點外行騙外行的感覺,我想應該他想表達的是一年遇到病毒八十六次,因為遇到就很有可能,但遇到不代表就會中毒,可能是你的防毒程式幫你擋掉了,或是你一看就覺得怪怪的就沒有執行它,雖然標題下的慫動是可以吸引人的注意,但吸引一些有電腦基本知識的人,應該是討罵而已…..

      再來,新聞內容有提到 「以中小企業來說,一千台電腦中,每一台電腦一年平均要中毒八十六次,光是要維修防護得花費六百三十萬,而家庭用戶則是每一百台電腦中,就有三十八台曾經感染電腦病毒。」 這句不知是怎麼超來的,超級給他不順的,一千台電腦中,每一台電腦一年平均要中毒八十六次,是指中小企業只有一千台電腦?而每台每年都還會中毒86次左右,看來這樣的數據,我想就同先前在說無名那篇的專家建議一樣,個人覺得最好的資安就是不要上網 不要外接隨身碟就好啦 呵!!   不知這些數據原本的出處及寫法為何,依小弟猜測應該是中小企業調整的結果平均每台電腦中均的機率為百分之8.6(小弟用猜的…),這樣的說法也才比較合適點。

     此外,對於他提到的光是維修防護要花費六百三十萬….真是有點給他看不下去,原本想說點到為此,還是覺得要提出來唸一唸,我們先看看中小企業的定義為何好了!!  小弟找了一下,以台綜院的網站來說明一下:

台灣中小企業定義
1、製造業、營造業、礦業及土石採取業實收資本新台幣8000萬下,其他行業前一年度營業額新台幣1億元以下。
2、配合輔導需求,可採員工人數認定,亦即上述前列三項行業經常雇用員工未滿200人,其他行業未滿50人。

資料來源:http://www.tri.org.tw/ceo/

     再補充一下 其他行業前一年度營業額新台幣1億元以下,是指批發零售業、住宿及餐飲業、運輸倉儲及通信業、金融及保險業、不動產及租賃業、文化運動及休閒服務業、專業科學及技術服務業、教育服務業、醫療保健及社會福利服務業,農林漁牧業、水電燃氣業、其他服務業等 前1年「營業額」1億元以下或是員工數未滿200人 都可認定為中小企業。

     上述這是 經濟部中小企業處 的認定標準,試以一家中小企業,資本額最高8000萬,或是營業額一億以下,一年會需要花費六百三十萬的維修防護費用,這個費用是指買防毒軟體加中毒復原再加什麼要這麼高? 這是平均值嗎? 還是最大值呢?  台灣中小企業是中加小企業,就算一人公司也算中小企業,這個金額沒有解釋的很清楚,誤導再加上唬爛太利害…這樣的新聞報導真是要好好檢討一下才行。

用戶插入圖片

電腦「毒患」 一台電腦一年中毒八十六次
更新日期:2008/10/16 16:46

根據統計,台灣上網人口超過一千五百萬人,不過有多少人的電腦因為病毒入侵而中毒?以中小企業的情況來說,一台電腦一年平均要中毒八十六次,要花費六百三十萬元維修防護,而家庭用戶呢?根據九十六年的統計資料,約有百分之三十八的家庭曾經感染過電腦病毒。

  木馬病毒大大的出現在眼前,類似的畫面你可能看過,台灣有超過七成五的人都在使用病毒電腦。擔任媒體企劃的許小姐工作離不開電腦,上網收信、找資料、開啟即時通訊,樣樣少不了,不過這樣的動作卻可能讓她的電腦,曝露在中毒的危機裡。

  以中小企業來說,一千台電腦中,每一台電腦一年平均要中毒八十六次,光是要維修防護得花費六百三十萬,而家庭用戶則是每一百台電腦中,就有三十八台曾經感染電腦病毒

  病毒在網路世界裡,無所不在,發出電腦病毒網址的來源,百分之三十四點二出自美國,百分之三十點一出自中國大陸,而病毒程式中,百分之三十是在中國寫的,其中特洛依木馬型病毒佔大多數。

  電腦老師表示,有些病毒還會自我更新,防毒軟體也防不勝防。危險總是包裝在甜美有趣的外表下,像是在非法網站下載音樂和影片、瀏覽不明的情色網站、開啟不明的網址和信件。這些行為,都很容易讓自己的電腦中標。

  防毒軟體更新的速度總是在新病毒出現之後,想要電腦不中標,千萬要記得,不隨便下載、瀏覽或是開啟不明的網址和電子郵件才安全。﹝記者何正鳳、張國聖報導﹞

資料來源:http://tw.news.yahoo.com/article/url/d/a/081016/69/17r3l.html

Categories: 不負責任評論 Tags: ,