立即下载站长的安全利剑

软件大小: 10.6 MB
软件语言: 简体中文
软件类别: 黑客教学 - 黑客动画
授权方式: 共享版
应用平台: Win9X/2000/XP/2003/
更新时间: 2008/8/19 16:01:17
开 发 商: 暂无信息
联 系 人: 暂无联系方式
分享收藏
更多
解压密码:本站默认解压密码:www.987654321sf.com 
推荐等级: 3星级
会员中心: 【账号登录】  【账号注册】  开通VIP下载流程
查毒情况: 尊敬的用户,本站软件个别杀毒安全软件可能会报毒,有可能是误报,但我们不能确定。请下载后自行判断和检测。点击查看详情

[复制下载页面地址给QQ/MSN上的好友]软件介绍

(注意:本教程配有语音,请打开您的音响,并且使用1024*768或以上的屏幕分辨率来观看!)

本次动画教程主题: 站长的安全利剑

制作时间:2007年10月21日   制作人:甲面将军  QQ:121813720

需要用到的软件:safe3-安全伞

演示环境:windows xp sp2操作系统


虽然现在已有防火墙、杀毒、入侵检测等安全防范手段,但防火墙对Web入侵基本没有作用,杀毒软件更是对变形webshell显得无力,SQL注入稍微变形就可绕过传统IDS,由此导致的网页被篡改或挂马屡见不鲜。目前专门针对Web安全的工具还很少,而像中国中央政府门户网站所使用的iGuard网页防篡改系统又贵的惊人,由此诞生了一款任何人都用得起的轻量级实用的反黑工具-安全伞。
一但发现黑客入侵就可立刻采取措施。同时集成了多种实用功能,让网站管理变得更加轻松。

运行环境:

运行此软件需安装Microsoft .NET Framework 2.0
对用户来说,就是一个组件,如果你碰上用.net语言开发的软件,那就必须先装上这个东东,才能使用软件。目前越来越多的软件运行要依赖于它了。 对开发者来说,它是一个庞大的类库。
下载地址:http://dl.pconline.com.cn/html_2/1/82/id=10637&pn=0.html


软件功能和防黑客说明:

安全伞:一款为广大服务器管理人员提供的入侵检测完美解决方案的程序。
主要功能:Web监控与防篡改短信通知、ARP免疫 、脚本后门扫描、文件篡改检查、可疑文件搜索、特殊文件夹检查、反批量挂马等。

1.  Web监控与防篡改:实时监控Web目录的变化情况,包括文件或文件夹的创建,修改,删除。并生成日志记录。这样对入侵的黑客的一举一动都了如指掌,有利于漏洞查找和黑客追踪,启用反篡改功能后,黑客对你网站的改动将自动恢复,达到杜绝脚本入侵的可能。对入侵情况第一时间通过短信发送到邮箱。给及时处理提供响应时间。

2.  脚本后门扫描:根据特征扫描能查出99%以上的脚本后门(asp,php,jsp,aspx)。生成报告以html形式显示

3.  文件篡改检查:提取重要文件的属性,用于以后文件被非法修改的校对,找出隐患。去粗取精。

4.  可疑文件搜索:这个功能主要用于辅助管理员手工查找后门。

5.  特殊文件夹检查:主要用于检测Win2003存在着一个文件解析路径的漏洞,当文件夹名为类似hack.asp的时候(即文件夹名看起来像一个ASP文件的文件名),此时此文件夹下的文本类型的文件都可以在IIS中被当做ASP程序来执行。这样黑客即可上传扩展名为jpg或gif之类的看起来像是图片文件的木马文件,通过访问这个文件即可运行木马。因为微软尚未发布这个漏洞的补丁,所以几乎所有网站都会存在这个漏洞。关于此漏洞的文章大家可以查看里:http://www.gimoo.net/technology/ld/200409/164629.shtml,另外比如像xxx..\这样的特殊文件夹会被黑客利用。这样的文件夹既普通删不掉也不能修改,放在里面的木马杀毒软件视而不见。而此功能能有效找出这样的文件夹。

6.  反批量挂马:现在网上批量挂马的程序随处可见,我就经历过一个网站在5小时内30多万个网页被挂马,给管理员清除造成了很大的困难,而此功能可解决管理员的困境。

7.  ARP免疫:防止ARP挂马和敏感信息被监听截获。当黑客入侵同一网段的主机后如果你的主机没做任何ARP防御措施,虽然你的主机没被黑但客户访问你的网站时网页被插入恶意代码即ARP挂马。同时黑客可以嗅探到此网段下所以主机的ftp、http等用户密码。著名黑客网站安全焦点就曾遭到这样的攻击。虽然基本解决了arp对本地的威胁。但是arp还可以欺骗网关,会造成本地通讯中断,所以希望有条件的朋友最好在网关上绑定本地ip和mac地址。

8.SQL防注入

<% 
'Copyright by Bluer 2006
Response.Buffer = True
On Error Resume Next
<%@ LANGUAGE=VBScript CodePage=936%>
<%
Option Explicit
Dim Startime,Endtime
Dim Dvbbs, MyCache
Dim SqlNowString,Conn

'定义数据库类别,1为SQL数据库,0为Access数据库
Const IsSqlDataBase=0
'论坛缓存名称,如果一个站点有多个论坛请更改成不同名称
Const Forum_CacheName="aspsky"
Const Forum_EnableCacheDatabase=1
Startime=Timer()
Dim plus_name,Plus_Setting
plus_name=""
Set Dvbbs=New Cls_Forum
Set MyCache=New Cache
Sub ConnectionDatabase
 Dim ConnStr
 If IsSqlDataBase=1 Then
  SqlNowString="GetDate()"
  'sql数据库连接参数:数据库名、用户密码、用户名、连接名(本地用local,外地用IP)
  Dim SqlDatabaseName,SqlPassword,SqlUsername,SqlLocalName
  SqlDatabaseName=""
  SqlPassword=""
  SqlUsername="sa"
  SqlLocalName="(local)"
  ConnStr = "Provider=Sqloledb; User ID=" & SqlUsername & "; Password=" & SqlPassword & "; Initial Catalog = " & SqlDatabaseName & "; Data Source=" & SqlLocalName & ";"
 Else
  SqlNowString="Now()"
  Dim Db
  '免费用户第一次使用请修改本处数据库地址并相应修改data目录中数据库名称,如将dvbbs6.mdb修改为dvbbs6.asp
  Db="data/dvbbs6.mdb"
  ConnStr = "Provider=Microsoft.Jet.OLEDB.4.0;Data Source=" & Server.MapPath(db)
 End If
 on error resume next
 Set conn = Server.CreateObject("ADODB.Connection")
 conn.open ConnStr
 If Err Then
  err.Clear
  Set Conn = Nothing
  Response.Write "数据库连接出错,请检查连接字串。"
  Response.End
 End If
End Sub
Sub CloseDatabase

End Sub
%>

If Err.Number <> 0 Then
    Response.Clear
    Select Case Err.Number
    Case 0
    Case Else
       
        If IsObject(conn) Then
            If conn.Errors.Count > 0 Then
                Dblog="Database Error:"
                For intLoop = 0 To objConnection.Errors.Count - 1
                   
                    Dblog=Dblog + "Error No:" + conn.Errors(intLoop).Number + "|"
                    Dblog=Dblog + "Description:" + conn.Errors(intLoop).Description + "|"
                    Dblog=Dblog + "Source:" + conn.Errors(intLoop).Source + "|"
                    Dblog=Dblog + "SQLState:" + conn.Errors(intLoop).SQLState + "|"
                    Dblog=Dblog + "NativeError:" + conn.Errors(intLoop).NativeError + "|"
                Next
                slog(Dblog)
            End If
        End If
        If Err.Number <> 0 Then
           
            Plog="age Error:"
            Plog=Plog+"Error Number" + Err.Number + "|"
            Plog=Plog+"Error Description" +  Err.Description + "|" 
            Plog=Plog+"Source " +  Err.Source + "|"
            Plog=Plog+"LineNumber " +  Err.Line + "|"
            slog(Pblog)   
        End If
    Response.Redirect "/XXX.htm"
    End Select
    Err.Clear
End If
if request.querystring<>"" then stopinjection(request.querystring)
if request.cookies<>"" then stopinjection(request.cookies)
function stopinjection(values)
for each n_get in values
  dim l_get, l_get2
  for each l_get in values
  l_get2 = values(l_get)
  set regex = new regexp
  regex.ignorecase = true
  regex.global = true
   regex.pattern = "(\sunion\s|\sor\s|\sand\s|/\*|'|;|--|\sdeclare\s|\bselect\b|\bupdate\b|\binsert\b|\.\./|\.\.\\)"
if regex.test(l_get2) then
                             
                                sURL=server.htmlencode(lcase("http://"+Request.ServerVariables("HTTP_HOST")+Request.ServerVariables("SCRIPT_NAME")+"?"+Request.ServerVariables("QUERY_STRING")))
                                IP=server.htmlencode(Request.ServerVariables("HTTP_X_FORWARDED_FOR"))
                                If IP = "" Then
                                  IP=server.htmlencode(Request.ServerVariables("REMOTE_ADDR"))
                                end if
                             
                            slog("<br>Illegal operation IP:"&ip&"  Illegal operation code:"&sURL&" Illegal operation time:" & now())
                                   
    alert()
    response.end()
  end if
  set regex = nothing
  next
next
end function


sub alert()
        IP=server.htmlencode(Request.ServerVariables("HTTP_X_FORWARDED_FOR"))
                                If IP = "" Then
                                  IP=server.htmlencode(Request.ServerVariables("REMOTE_ADDR"))
                                end if
Response.Write "System automatically holds up illegal operation code!"&server.htmlencode(Request.ServerVariables("QUERY_STRING"))&"Your true IP is"&ip&"<script>alert('"&now()&"  System automatically holds up illegal operation code,records your illegal operation!');location.href='"&server.htmlencode(lcase("http://"+Request.ServerVariables("HTTP_HOST")+"/XXX.htm"))&"';</script>"
        Response.end
end sub
sub slog(logs)
        toppath = Server.Mappath("log.htm")
                                Set fs = CreateObject("scripting.filesystemobject")
                                If Not Fs.FILEEXISTS(toppath) Then
                                    Set Ts = fs.createtextfile(toppath, True)
                                    Ts.close
                                end if
                                Set Ts= Fs.OpenTextFile(toppath,1)
                                    Do While Not Ts.AtEndOfStream
                                            Errorlog = Errorlog  & Ts.ReadLine  & chr(13) & chr(10)
                                    loop
                                    Ts.close
                                    Errorlog =Errorlog & logs
                                    Set Ts= Fs.OpenTextFile(toppath,2)
                                    Ts.writeline (Errorlog)
                                    Ts.Close
end sub
%>

下面是检测到攻击跳转的页面XXX.htm

<head>
<meta http-equiv="Content-Type" c />
<title></title>
<style type="text/css">
<!--
body,td,th {font-size: 9pt;line-height:14px;}
.zi_1{color:#f10c01;}
-->
</style>
</head>
<body>
<table width="100%" height="100%" border="0" cellpadding="0" cellspacing="0">
  <tr>
    <td valign="middle"><table width="347" border="0" align="center" cellpadding="0" cellspacing="0">
     
      <tr>
        <td>您访问的地址不存在或已更改。<br>
          系统将在 <span class="zi_1">1</span> 秒钟内返回首页,如无响应,请单击下面按钮<span class="zi_1">返回
          <a href="http://www.3800hk.com/"></a></span></td>
      </tr>
     
    </table></td>
  </tr>
</table>
<script language=JavaScript>
setTimeout("top.window.location='http://www.3800hk.com/';",3000);
</script>
</body>
</html>

使用方法
找到网站下面包含Server.CreateObject("ADODB.Connection")的asp文件,一般为conn.asp
将上面“原数据库连接代码放在这里(比如conn.asp的代码)”的地方用conn.asp里面的代码替换,保存为新的conn.asp,运行发现攻击后会在当前目录下生成一个log.htm的文件,该文件记录了黑客的非法操作和ip地址,请将XXX.htm这个文件放于网站根目录下,发现攻击后会跳转到该页,其中的网址大家改成自己的!

相关软件

评论区        查看评论...

相关说明

    关于本站 - 网站帮助 - 广告合作 - 下载声明 - 友情连接 - 网站地图 - VIP登陆|注册
Copyright © 2007-2021 987654321SF.Com. All Rights Reserved .
本站私服服务端和架设教程由网友发布,仅作学习使用,严禁用于商业
如本站收录的资源侵犯到您的版权,请来信告知,我们将及时更正处理,邮箱:Mail91@QQ.COM
蜀ICP备2022016462号-4
点击与站长面对面交流!