无忧启动论坛

标题: 这帮家伙在干啥? [打印本页]
作者: 碧海狂涛    时间: 2002-3-2 16:30
标题: 这帮家伙在干啥?
[UploadFile=15_346.jpg]最近总是有人在扫我的机器,我大概看了一下日志,一般是如图所示的,还有是对方发 "ICMP数据包" 和 "TCP数据包" ,真TMD让我头痛,不是怕被攻进,而是我有限的带宽都被占了,大家说说有什么好方法来解决。
作者: 小虾皮    时间: 2002-3-2 16:36
标题: 这帮家伙在干啥?
呵呵,没招儿!
网络就这样。
把日志关掉得了,“眼不见心不烦”。
呵呵!
作者: James-Bond    时间: 2002-3-2 19:21
标题: 这帮家伙在干啥?
呵,我现在都不开天网了!
反正每天上一会儿网,人家要入侵的话,也许费了九牛二虎之力,好不容易进来了,我就下了~
作者: 小虾皮    时间: 2002-3-2 19:32
标题: 这帮家伙在干啥?
呵呵。
碧海兄,怎么样?
作者: 碧海狂涛    时间: 2002-3-2 19:54
标题: 这帮家伙在干啥?
不行啊! 我的机器基本上24小时开着,你说不用行吗?
作者: quem    时间: 2002-3-2 21:54
标题: 这帮家伙在干啥?
为什么年不打一下补丁呢?或者你反向扫一下他们……
作者: 小虾皮    时间: 2002-3-2 22:39
标题: 这帮家伙在干啥?
呵呵,碧海兄不愿意。
呵呵。
作者: 清风客    时间: 2002-3-2 23:32
标题: 这帮家伙在干啥?
把它们踢出去呀!
作者: 小虾皮    时间: 2002-3-3 00:03
标题: 这帮家伙在干啥?
下面引用由quem2002/03/02 09:54pm 发表的内容:
为什么年不打一下补丁呢?或者你反向扫一下他们……
打补丁也不灵的。
抽点时间吓唬吓唬他们还可取!
呵呵……
不过,吓唬了这个,那个又来了。
我就曾经在2个小时之内接到30多个来自不同IP的扫描。
厉害吧?
作者: wuyou    时间: 2002-3-3 00:13
标题: 这帮家伙在干啥?
开了防火墙,整天怕人黑。
作者: 清风客    时间: 2002-3-3 00:20
标题: 这帮家伙在干啥?
打开也一样,不过是……
作者: 碧海狂涛    时间: 2002-3-3 08:28
标题: 这帮家伙在干啥?
主要是太烦人了,有几个 IP 是基本上每天都来扫我,而且还发数据包,真是够受的。
而且这两天,两台机器又总是出问题,上网也常掉线,我真是晕了!
作者: wuyou    时间: 2002-3-3 09:14
标题: 这帮家伙在干啥?
下面引用由碧海狂涛2002/03/03 08:28am 发表的内容:
主要是太烦人了,有几个 IP 是基本上每天都来扫我,而且还发数据包,真是够受的。
而且这两天,两台机器又总是出问题,上网也常掉线,我真是晕了!
关掉防火墙,眼不见,心不烦呵!
作者: 碧海狂涛    时间: 2002-3-3 09:57
标题: 这帮家伙在干啥?
那就先关掉了。
作者: James-Bond    时间: 2002-3-3 10:47
标题: 这帮家伙在干啥?
好!
清风客!
我们可以上了!
作者: 碧海狂涛    时间: 2002-3-3 11:06
标题: 这帮家伙在干啥?
啊! 怎么能这样?  那我再找开,并装个...,嘿嘿!
作者: 小虾皮    时间: 2002-3-4 01:22
标题: 这帮家伙在干啥?
下面引用由碧海狂涛2002/03/03 09:57am 发表的内容:
那就先关掉了。
呵呵,我早就说嘛。
不过,不是关掉防火墙,是关掉日志!
嘻嘻……
作者: 真水ying    时间: 2002-3-4 08:41
作者: 真水ying    时间: 2002-3-4 08:45
标题: 这帮家伙在干啥?
=============IIS存在的Unicode解析错误漏洞====================     
  NSFOCUS安全小组发现微软IIS 4.0和IIS 5.0在Unicode字符解码的实现中存在
  一个安全漏洞,导致用户可以远程通过IIS执行任意命令。当IIS打开文件时,
  如果该文件名包含unicode字符,它会对其进行解码,如果用户提供一些特殊
  的编码,将导致IIS错误的打开或者执行某些web根目录以外的文件。此文摘自
  http://www.nsfocus.com/sa-06.htm,你可以看到里面更详细的描述。
  你可以使用下面的方法利用这个漏洞:
  (1) 如果系统包含某个可执行目录,就可能执行任意系统命令。下面的URL可能
  列出当前目录的内容:
  http://www.victim.com/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir
  (2) 利用这个漏洞查看系统文件内容也是可能的:
  http://www.victim.com/a.asp/..%c1%1c../..%c1%1c../winnt/win.ini
  当然这是针对中文IIS,你也可以使用"%c0%af"或者"%c1%9c"来测试英文IIS版本,
  主要原因是其编码的不同而已。
(8)、webhits.dll & .htw
 这个hit-highligting功能是由Index Server提供的允许一个WEB用户在文档上highlighted(突出)其原始搜索的条目,这个文档的名字通过变量CiWebhitsfile传递给.htw文件,Webhits.dll是一个ISAPI应用程序来处理请求,打开文件并返回结果,当用户控制了CiWebhitsfile参数传递给.htw时,他们就可以请求任意文件,结果就是导致可以查看ASP源码和其他脚本文件内容。要了解你是否存在这个漏洞,你可以请求如下条目:
http://www.目标机.com/nosuchfile.htw
 如果你从服务器端获得如下信息:
FORMat of the QUERY_STRING is invalid
这就表示你存在这个漏洞。
 这个问题主要就是webhits.dll关联了.htw文件的映射,所以你只要取消这个映射就能避免这个漏洞,你可以在你认为有漏洞的系统中搜索.htw文件,一般会发现如下的程序:
/iissamples/issamples/oop/qfullhit.htw
/iissamples/issamples/oop/qsumrhit.htw
/isssamples/exair/search/qfullhit.htw
/isssamples/exair/search/qsumrhit.htw
/isshelp/iss/misc/iirturnh.htw (这个一般为loopback使用)
 攻击者可以使用如下的方法来访问系统中文件的内容:
http://www.目标机.com/iissamples/issamples/oop/qfullhit.htw?
ciwebhitsfile=/../..
/winnt/win.ini&cirestriction=none&cihilitetype=full
 就会在有此漏洞系统中win.ini文件的内容。
(9)、ASP Alternate Data Streams(::$DATA)
 $DATA这个漏洞是在1998年中期公布的,$DATA是在NTFS文件系统中存储在文件里面的main data stream属性,通过建立一个特殊格式的URL,就可能使用IIS在浏览器中访问这个data stream(数据流),这样做也就显示了文件代码中这些data stream(数据流)和任何文件所包含的数据代码。
 其中这个漏洞需要下面的几个限制,一个是要显示的这个文件需要保存在NTFS文件分区(幸好为了"安全"好多服务器设置了NTFS格式),第二是文件需要被ACL设置为全局可读。而且未授权用户需要知道要查看文件名的名字,WIN NT中的IIS1.0, 2.0, 3.0和4.0都存在此问题。微软提供了一个IIS3.0和4.0的版本补丁,
要查看一些.asp文件的内容,你可以请求如下的URL:
 http://www.目标机.com/default.asp::$DATA 你就得到了源代码。你要了解下NTFS文件系统中的数据流问题,你或许可以看看这文章:
http://focus.silversand.net/newsite/skill/ntfs.txt
作者: 真水ying    时间: 2002-3-4 09:16
标题: 这帮家伙在干啥?
我的论坛里有完整的解决方案!!
http://home.yctc.edu.cn/hanhan/bbs/cgi-bin/topic.cgi?forum=13&topic=6&show=
作者: 碧海狂涛    时间: 2002-3-4 23:56
标题: 这帮家伙在干啥?
谢谢!
作者: 真水ying    时间: 2002-3-5 08:40
标题: 这帮家伙在干啥?
倒~~~
作者: 碧海狂涛    时间: 2002-3-7 15:47
标题: 这帮家伙在干啥?
怎么,谢谢你也倒? 是不是喝多了?
作者: 真水ying    时间: 2002-3-9 03:58
标题: 这帮家伙在干啥?
呵~~~~谢什么!!



欢迎光临 无忧启动论坛 (http://bbs.c3.wuyou.net/) Powered by Discuz! X3.3