博客首页|TW首页| 同事录|业界社区

屈伟

创业路上的程序猿

归档 - 09月, 2009

瑞星云安全网站联盟,站长防挂马的利器

一款产品的成功能影响人们对一个公司的看法。紫光输入法的成功,让我知道了清华紫光;搜狗输入法的成功让很多人了解到搜狗能做出如此成功的产品。搜狗品牌影响力也有巨大提升,甚至进而让人们觉得搜狐原来是个技术不错的公司。

同样,瑞星云安全网站联盟也让我提升了对瑞星杀毒软件的好感。

我自己平时用的2台电脑,一台电脑上装的瑞星,一台装的卡巴。过去的几年里我发现卡巴在发现网页木马方面比瑞星强(虽然偶尔误杀)。直到一个月前瑞星及时发现挂马网页才让我改变了这种观念。因为discuz的一个漏洞导致TechWeb论坛被挂马,只有用瑞星的用户访问时才提示网页有病毒,而卡巴、金山等都不提示。接下来连续好几次几次论坛被挂马情况都如此。这时我才猛然发现,瑞星查杀网页木马的能力原来这么强。

这应该就是瑞星云安全的功劳。如果一个瑞星用户访问了带木马的网页,瑞星及时获得了木马样本,那么木马网页的URL就会被记录下来。下次有其他网站被含有此URL的网页时,就能快速告诉用户,你访问的网页里有木马。 这种模式相比于一般的杀毒软件靠升级病毒库来分析每一个网页木马的形式更为快速更为有效。

瑞星云安全对网友来说能即时发现带有木马的网页。而对站长而言,上次我在体验了瑞星2010的云安全后就给瑞星建议,对发现木马的网站,“主动给网站管理员发封邮件通知”。这样站长就能及时处理网页木马,而避免对网站和网友造成损失。

幸运的是,瑞星真的推出了这样一个服务:瑞星云安全网站联盟 http://union.rising.com.cn/)。

站长注册后,填写网站URL和基本信息(Email等),当瑞星云安全监测到网站有木马时,主动给站站发送Email通知。 配合139邮箱的免费手机短信通知功能,站长只需要在接受报警信息的Email里填写139邮箱,就能在网站被挂马是实时接收到手机短信通知了。

较为不爽的是瑞星云安全联盟要求站长放置一段代码在网站上。虽然对于验证站长身份可以理解,但代码显示了一个很大的宣传云安全联盟的图片。不过冰雪聪明的站长们一定有办法绕过验证的(验证通过了再去掉代码,或者将代码放在隐藏的div中等等)。

瑞星云安全联盟是站长防挂马的利器。也必定能提升站长对瑞星好感。

星期一, 09月 28th, 2009 业界 11条评论

优酷的盗版有理

1

陈一舟说,SNS格局已定。陈一舟说,校内从没facebook抄袭校内。陈一舟说,假开心网没有抄袭。千橡已经被评为“耍流氓脸不红心不跳”第一牛公司。

2

冯鑫说,后台联网程序所有播放软件都存在暴风影音没有后门。冯鑫说,5.19断网是黑客造成的。在被网友揭发后仍然继续玩炒作“召回软件”。作为死不认错的“流氓软件”当之无愧

3

优酷说,我们没有盗版。搜狐敢说我盗版,是侵犯了我的名誉权

4

校内是一个90%抄袭facebook的网站。facebook的每一个动作,就会被校内照搬过来。有那么10%是员工偷懒,懒得抄袭。地球人都知道的事实,在千橡口中居然是“facebook也抄袭校内”。

优酷是中国最大的盗版基地。为了防止国外的版权官司,封了国外IP。90%的都是盗版,有那么10%的正版放首页掩人耳目。对于盗版的指控,他们说:搜狐侵犯了我的版权和名誉权‎,对视频认知不够以偏概全

5

这年头,人家抄袭你了,你不能说。小心反咬你一口;

这年头,人家软件的后门程序把6个省的网络都搞瘫痪了就死不承认。而且你还不能问,问了你是在挑衅

这年头,人家盗版了你不能说。小心人家告你侵犯了他的“版权”和“名誉权”。

6

找小姐要小心。人家有“名誉权”的,还有牌坊。

7

微博里有人说,“有些人,撒谎装X是他们的生存本领,别跟他们较劲”。

(文:屈伟)

Tags: , , ,

星期五, 09月 18th, 2009 业界 3条评论

疯狂的挂马者2:解读挂马技巧

上篇疯狂的挂马者1:解读网页木马的灰色产业链中提到,挂马者一般将木马放自己网站或者通过破解攻击将木马放有漏洞的网站上。将木马放自己网站上的模式无法持续,是一种杀鸡取卵的方法。原因如下:

1. 杀毒软件越来越智能。木马网页很快就会被杀毒软件发现,特别是瑞星这样有云安全的杀毒软件。网站的访问者肯定也会很快发现。他们肯定不愿意长期访问一个有木马的网站。所以忠实用户越来越少。

2. Google、百度等搜索引擎会屏蔽带木马的网站。直接砍断流量来源。其实大部分自己愿意放木马的网站都是没什么实质内容的垃圾站。主要靠搜索引擎带来流量。但Google会对有木马的网站在搜索结果上加一条明显的有病毒提示,而百度会直接人工屏蔽带有病毒的网站。

所以对挂马者来说,最好的方法是把木马放别人网站上,特别是流量高的网站。即能获得巨大收益,还能不承担什么责任(还没听说过有在别人网站上挂马而受到什么处罚的)。

要在他人网站上加一段代码,需要获得相应权限。常用的伎俩如下:

1. 获取服务器控制权限。 服务器权限都有了,改几个网页更不在话下了。一般是通过Windows的安全漏洞,获取服务器远程登录权限。对linux服务器一般是用穷举法尝试ssh密码。还有类似sqlserver权限提升之类的。

2. 破解网站管理后台密码。  一般的后台入口路径都是administration.php admin.asp admin_login.asp之类的,只需要先找到后台入口,然后用穷举法尝试各种密码,终究有一天能攻破。 观察techweb网站的apache日志,每天都能发现成千上万的以上述入口访问的记录。论坛后台每天也都能看到各种尝试的错误登录日志。

一旦得到了后台密码,就能以管理员身份通过修改模板或网站配置之类的方法挂马了。

3. 利用通用程序漏洞。如sql入侵,或XSS入侵,获取管理员密码。对asp而言还有无组件上传类的漏洞。

4. 利用开源程序的漏洞。如discuz最近连续出现重大漏洞,如自定义风格漏洞,导致大批discuz论坛(包括TechWeb)被挂马。

下篇预告:瑞星云安全网站联盟,站长防挂马的利器。

Tags: ,

星期四, 09月 17th, 2009 小站长 1条评论

疯狂的挂马者1:解读网页木马的灰色产业链

郑昀的《他们在创新,我们在做什么?》中说在天朝的最有创造力的人“10%的人在复制互联网先进国家的应用,40%的人在复制前者的copycat应用,20%的人在尝试如何制造垃圾并推送给大家,20%的人忙于配合监管,5%在正正经经做电子商务,剩下5%在做注定要被封掉的应用。” 其实他说漏了一个。至少有10%的人制作投放木马并从中牟利。

看看瑞星的每日瑞星每日安全播报,包括奇虎、金山做安全软件的公司网站都被挂马,甚至连门户和大型新闻网站:搜狐新浪网易新华网都被挂过马。这年头,基本上就没有没被挂过马的网站。

你每天访问的网站中,至少有一个是被挂马的,或者说被挂过马。你的各种帐号密码和隐私数据早已被各种流氓软件和木马偷了无数遍了,只不过有些对他们不能直接产生经济价值而懒得用。

之所以挂马者如此疯狂,是因为背后一条利润巨大的灰色产业链。链条结构如下:制作木马网页->嵌套在有漏洞的网页上->用户访问->中毒->将用户网银、网游、QQ等帐号和密码发送至指定地邮箱或服务器->盗取用户网银余额、网游装备、Q币等获利。

当然也有些木马不是为了获取网银密码,或是在用户电脑里安装一个程序,用来弹出广告或做见不得人的勾当。(跟暴风等流氓软件类似)

在这个产业链上,有这样一些人:

1. 木马运营者。组织制作者开发木马,组织站长或挂马者将带木马的网页挂在自己或他人网站上,通过木马获取的各种帐号获得收益。

2. 木马制作者。一般利用Windows或ie漏洞制作网页木马。用浏览器访问就可能中招。木马制作者需要不断更改自己的木马,以使得杀毒软件不报毒(也就是免杀木马)

3. 挂马者。分2种人,

1)站长。将木马放在自己的网站上。以隐藏的iframe或javascript代码形式将木马加载在自己网页上,用户访问时浏览器就会加载木马网页。所以你能在各个站长聚集的流量统计网站上看到“高价收购流量!”。下图是我刚刚在一个流量统计网站上的截图:

运营者一般按木马网页被访问的IP数给站长付费,每一万IP每天100-150块钱。而一般1万IP每天的网站如果放广告联盟中收益最高的google adsense,一个月的收入不会超过100美元.

2)“破坏者”(他们不配用黑客这个词,暂时这么称呼吧)。通过非法途径获取他人网站的控制权限,然后将木马网页代码加在网站上。盈利方法跟站长类似,一般有木马运营者或流量组织按ip数付钱。

当然这中间还有一层“代理商”,连接运营者和站长的。

计算一下,如果挂马者攻破了一个10万ip的网站,加入了木马网页代码。按1万ip100元计算,放一天就是1000块。一个月的收入是3万。如果木马很高明,杀毒软件也查不出来,网站管理员很难及时发现。而再算算木马运营者,10万ip意味着有10万人可能中木马。这其中至少10%的人使用网银、网游或QQ里有剩余Q币,也就是1万人。 木马运营者获得的收益至少是挂马者的10倍以上,不让不会如此疯狂。

挂马者之所以如此疯狂,是因为有一条成熟的木马产业链。链条最底层的挂马者都能获得巨大收益。

下篇介绍挂马者常用的黑他人网站的技巧。

Tags: , ,

星期六, 09月 12th, 2009 小站长 6条评论

快速开发的魅力:6小时完成一可用网站

开发xnapps(校内网应用程序排行)花了不到12小时,尔后只是简单的维护。但尽管如此,xnapps.com一直成为研究校内网应用程序有力工具。app开发者、产品人员、媒体,甚至VC,都通过我12小时内完成的作品了解应用程序。今天我再次花了6小时完成了爱微博(iWeiBo.Cn)的开发全过程。

本人记录我在今天下午花了6小时完成的爱微博网站开发过程。

1. 缘由。在用新浪微博时就一直在想新浪微博又为twitter用户制造了麻烦。虽然新浪微博技术很烂,但以新浪强大的运营能力,前途无量。而短期内新浪微博不可能提供api。不想放弃新浪微博平台的twitter用户将一句话在不同平台上唠叨好几遍。

2. 构思。下午3点开始,觉得此需求可以完成,而且一下午的时间问题不大。开始构思。 整体平台希望能将国内用户常用的流行的平台整合起来(包括新浪微博白社会校内网同事录、twitter、饭否等)。用户在一处发言,能同步到其他平台。如果都提供twitter形式api,可能很好解决。问题是白社会和新浪微博开通api的可能性较小。另外,可以提供msn、gtalk等im机器人,方便用户快速发布信息 和 新消息即使提醒。

3. 找切入点。花15分钟。全部完成2的构思可能需要较长时间,而且还不确定用户需求程度。但有将twitter同步到新浪微博可能是twitter用户需要的。所以第一步从此入口。花5分钟考虑,10分钟研究登录和发文新浪微博http请求过程 和 twitter的api。

4. 设计流程:

1) 简化用户注册。没必要再注册一次。直接以新浪微博用户名和密码身份判断。(后期换成任意平台的)

2) 先验证新浪微博帐号,没问题了再绑定twitter。

5. 写新浪微博模拟登录和发布程序。使用httpwatch观察登录页面跳转过程,用curl做模拟客户端。写代码和测试过程,费时1小时。

6. 设计数据库结构。新浪微博用户名、密码、验证状态,就能满足新浪微博部分了。对twitter部分,需要twitter域名、最新同步过的一条记录标识,防止重复同步。 另外再加一些辅助字段,比如最后更新时间等。

7. 网站名称 和 域名。动手做页面以前得把网站名称定了。随便查了几个,17twitter,iWeiBo两个被我看中了。就iweibo.cn 吧。名字就定为“爱微博”。沾点新浪微博的名气,好记! 查询加注册,30分钟搞定。顺便先把域名解析做了,好让快点生效。

8. 设计界面。本来想找个css框架的。google出了好几个,发现css框架本身文档都很长,如果采用我一下午可能连文档都看不过来,肯定完不成网站,干脆自己动手。先用fireworks做了个简单logo。 然后随便找了个网站把css开头几行对body、a、input的定义复制过来了。懒得写。在纸上画了一个最简单页面结构图,最上面logo,中间左右分栏。简单的内容中间通栏就行。写了几行最简单的css,不到4层div,静态首页搞定!另存为将其他几个页面做出来了。随便将一些描述性的东西,比如爱微博是干什么的,FAQ、ToDo List写上了。 费时1个半小时。

9. 开始正式编码。把一起用的db类拿过来了。其他没什么可以用的,决定全部自己写。将了config.php配置,再建了sina.php类,来处理向新浪发微博(将5写好的php文件拿过来封装成类)。login 和 post两个方法即可。再建user.php类,get、getlist、update3个方法来处理对用户的数据库操作。 为了避免多次登录被sina封ip,这里将登录成功后的cookies保存在user表里。下次直接把cookies读出来用就可以了。花了2个小时。

10. 测试,调整页面。晚上9点时已经完成所有工作了。

11. 开通空间。在国内hostmonter空间里建一个站点,上传文件。然后去新浪微博、搜狐白社会发点广告,搞定!

看时间,晚上10点。去掉7点-8点吃饭一个小时,6小时完成网站全过程!

喝点水,休息下。

无意间看到了37signals的Getting Real印证了此开发开发理论。Getting Real是一个适合创业者采纳的更小规模、更快速、更高质量的软件构建方法。Getting Real理论强调构建现实,抛弃各种繁琐的步骤,最求精益。用迭代开发开发思路快速推出产品,抛弃不常用的功能。“做得比竟争对手少”。

我的实践和Getting Real的理论,快速开发的魅力感觉到了吗?

最后来点ad,爱微博:iWeiBo.cn 欢迎测试!

星期日, 09月 6th, 2009 技术 10条评论