下载月排行
- 蠕虫病毒全面解析 5977
- 移花接木 制作广告页 5936
- TS安全检测得webshell全过程 5933
- MYCCL表面特征码定位加修改特征码过杀软 5862
- 详谈病毒与制作(编程实现) 5855
- 简单BT挂马 5852
- 制作DOS命令集 5812
- 改变背景背景优化方法 5804
- 全自动傻瓜化抓高质量服务器(附工具) 5782
- 为什么选择VB 5776
- 幽灵教程之揭开60秒黑腾讯骗局 5735
- 新浪跨站漏洞 5717
立即下载站长的安全利剑
软件大小: | 10.6MB |
---|---|
软件语言: | 简体中文 |
软件类别: | 黑客教学 - 黑客动画 |
授权方式: | 共享版 |
应用平台: | Win9X/2000/XP/2003/ |
更新时间: | 2008/08/19 16:01:17 |
开 发 商: | 暂无信息 |
联 系 人: | 暂无联系方式 |
分享收藏 | 收藏 |
解压密码: | 本站默认解压密码:www.9876543210sf.com |
推荐等级: | |
会员中心: | 【账号登录】 【账号注册】 开通VIP下载流程 |
查毒情况: |
[复制下载页面地址给QQ/MSN上的好友]软件介绍
(注意:本教程配有语音,请打开您的音响,并且使用1024*768或以上的屏幕分辨率来观看!)
本次动画教程主题: 站长的安全利剑
制作时间:2007年10月21日 制作人:甲面将军 QQ:121813720
需要用到的软件:safe3-安全伞
演示环境:windows xp sp2操作系统
虽然现在已有防火墙、杀毒、入侵检测等安全防范手段,但防火墙对Web入侵基本没有作用,杀毒软件更是对变形webshell显得无力,SQL注入稍微变形就可绕过传统IDS,由此导致的网页被篡改或挂马屡见不鲜。目前专门针对Web安全的工具还很少,而像中国中央政府门户网站所使用的iGuard网页防篡改系统又贵的惊人,由此诞生了一款任何人都用得起的轻量级实用的反黑工具-安全伞。
一但发现黑客入侵就可立刻采取措施。同时集成了多种实用功能,让网站管理变得更加轻松。
运行环境:
运行此软件需安装Microsoft .NET Framework 2.0
对用户来说,就是一个组件,如果你碰上用.net语言开发的软件,那就必须先装上这个东东,才能使用软件。目前越来越多的软件运行要依赖于它了。 对开发者来说,它是一个庞大的类库。
下载地址:http://dl.pconline.com.cn/html_2/1/82/id=10637&pn=0.html
软件功能和防黑客说明:
安全伞:一款为广大服务器管理人员提供的入侵检测完美解决方案的程序。
主要功能:Web监控与防篡改短信通知、ARP免疫 、脚本后门扫描、文件篡改检查、可疑文件搜索、特殊文件夹检查、反批量挂马等。
1. Web监控与防篡改:实时监控Web目录的变化情况,包括文件或文件夹的创建,修改,删除。并生成日志记录。这样对入侵的黑客的一举一动都了如指掌,有利于漏洞查找和黑客追踪,启用反篡改功能后,黑客对你网站的改动将自动恢复,达到杜绝脚本入侵的可能。对入侵情况第一时间通过短信发送到邮箱。给及时处理提供响应时间。
2. 脚本后门扫描:根据特征扫描能查出99%以上的脚本后门(asp,php,jsp,aspx)。生成报告以html形式显示
3. 文件篡改检查:提取重要文件的属性,用于以后文件被非法修改的校对,找出隐患。去粗取精。
4. 可疑文件搜索:这个功能主要用于辅助管理员手工查找后门。
5. 特殊文件夹检查:主要用于检测Win2003存在着一个文件解析路径的漏洞,当文件夹名为类似hack.asp的时候(即文件夹名看起来像一个ASP文件的文件名),此时此文件夹下的文本类型的文件都可以在IIS中被当做ASP程序来执行。这样黑客即可上传扩展名为jpg或gif之类的看起来像是图片文件的木马文件,通过访问这个文件即可运行木马。因为微软尚未发布这个漏洞的补丁,所以几乎所有网站都会存在这个漏洞。关于此漏洞的文章大家可以查看里:http://www.gimoo.net/technology/ld/200409/164629.shtml,另外比如像xxx..这样的特殊文件夹会被黑客利用。这样的文件夹既普通删不掉也不能修改,放在里面的木马杀毒软件视而不见。而此功能能有效找出这样的文件夹。
6. 反批量挂马:现在网上批量挂马的程序随处可见,我就经历过一个网站在5小时内30多万个网页被挂马,给管理员清除造成了很大的困难,而此功能可解决管理员的困境。
7. ARP免疫:防止ARP挂马和敏感信息被监听截获。当黑客入侵同一网段的主机后如果你的主机没做任何ARP防御措施,虽然你的主机没被黑但客户访问你的网站时网页被插入恶意代码即ARP挂马。同时黑客可以嗅探到此网段下所以主机的ftp、http等用户密码。著名黑客网站安全焦点就曾遭到这样的攻击。虽然基本解决了arp对本地的威胁。但是arp还可以欺骗网关,会造成本地通讯中断,所以希望有条件的朋友最好在网关上绑定本地ip和mac地址。
8.SQL防注入
<%
'Copyright by Bluer 2006
Response.Buffer = True
On Error Resume Next
<%@ LANGUAGE=VBScript CodePage=936%>
<%
Option Explicit
Dim Startime,Endtime
Dim Dvbbs, MyCache
Dim SqlNowString,Conn
'定义数据库类别,1为SQL数据库,0为Access数据库
Const IsSqlDataBase=0
'论坛缓存名称,如果一个站点有多个论坛请更改成不同名称
Const Forum_CacheName="aspsky"
Const Forum_EnableCacheDatabase=1
Startime=Timer()
Dim plus_name,Plus_Setting
plus_name=""
Set Dvbbs=New Cls_Forum
Set MyCache=New Cache
Sub ConnectionDatabase
Dim ConnStr
If IsSqlDataBase=1 Then
SqlNowString="GetDate()"
'sql数据库连接参数:数据库名、用户密码、用户名、连接名(本地用local,外地用IP)
Dim SqlDatabaseName,SqlPassword,SqlUsername,SqlLocalName
SqlDatabaseName=""
SqlPassword=""
SqlUsername="sa"
SqlLocalName="(local)"
ConnStr = "Provider=Sqloledb; User ID=" & SqlUsername & "; Password=" & SqlPassword & "; Initial Catalog = " & SqlDatabaseName & "; Data Source=" & SqlLocalName & ";"
Else
SqlNowString="Now()"
Dim Db
'免费用户第一次使用请修改本处数据库地址并相应修改data目录中数据库名称,如将dvbbs6.mdb修改为dvbbs6.asp
Db="data/dvbbs6.mdb"
ConnStr = "Provider=Microsoft.Jet.OLEDB.4.0;Data Source=" & Server.MapPath(db)
End If
on error resume next
Set conn = Server.CreateObject("ADODB.Connection")
conn.open ConnStr
If Err Then
err.Clear
Set Conn = Nothing
Response.Write "数据库连接出错,请检查连接字串。"
Response.End
End If
End Sub
Sub CloseDatabase
End Sub
%>
If Err.Number <> 0 Then
Response.Clear
Select Case Err.Number
Case 0
Case Else
If IsObject(conn) Then
If conn.Errors.Count > 0 Then
Dblog="Database Error:"
For intLoop = 0 To objConnection.Errors.Count - 1
Dblog=Dblog + "Error No:" + conn.Errors(intLoop).Number + "|"
Dblog=Dblog + "Description:" + conn.Errors(intLoop).Description + "|"
Dblog=Dblog + "Source:" + conn.Errors(intLoop).Source + "|"
Dblog=Dblog + "SQLState:" + conn.Errors(intLoop).SQLState + "|"
Dblog=Dblog + "NativeError:" + conn.Errors(intLoop).NativeError + "|"
Next
slog(Dblog)
End If
End If
If Err.Number <> 0 Then
Plog="age Error:"
Plog=Plog+"Error Number" + Err.Number + "|"
Plog=Plog+"Error Description" + Err.Description + "|"
Plog=Plog+"Source " + Err.Source + "|"
Plog=Plog+"LineNumber " + Err.Line + "|"
slog(Pblog)
End If
Response.Redirect "/XXX.htm"
End Select
Err.Clear
End If
if request.querystring<>"" then stopinjection(request.querystring)
if request.cookies<>"" then stopinjection(request.cookies)
function stopinjection(values)
for each n_get in values
dim l_get, l_get2
for each l_get in values
l_get2 = values(l_get)
set regex = new regexp
regex.ignorecase = true
regex.global = true
regex.pattern = "(sunions|sors|sands|/*|'|;|--|sdeclares|select|update|insert|../|..\)"
if regex.test(l_get2) then
sURL=server.htmlencode(lcase("http://"+Request.ServerVariables("HTTP_HOST")+Request.ServerVariables("SCRIPT_NAME")+"?"+Request.ServerVariables("QUERY_STRING")))
IP=server.htmlencode(Request.ServerVariables("HTTP_X_FORWARDED_FOR"))
If IP = "" Then
IP=server.htmlencode(Request.ServerVariables("REMOTE_ADDR"))
end if
slog("<br>Illegal operation IP:"&ip&" Illegal operation code:"&sURL&" Illegal operation time:" & now())
alert()
response.end()
end if
set regex = nothing
next
next
end function
sub alert()
IP=server.htmlencode(Request.ServerVariables("HTTP_X_FORWARDED_FOR"))
If IP = "" Then
IP=server.htmlencode(Request.ServerVariables("REMOTE_ADDR"))
end if
Response.Write "System automatically holds up illegal operation code!"&server.htmlencode(Request.ServerVariables("QUERY_STRING"))&"Your true IP is"&ip&"<script>alert('"&now()&" System automatically holds up illegal operation code,records your illegal operation!');location.href='"&server.htmlencode(lcase("http://"+Request.ServerVariables("HTTP_HOST")+"/XXX.htm"))&"';>"
Response.end
end sub
sub slog(logs)
toppath = Server.Mappath("log.htm")
Set fs = CreateObject("scripting.filesystemobject")
If Not Fs.FILEEXISTS(toppath) Then
Set Ts = fs.createtextfile(toppath, True)
Ts.close
end if
Set Ts= Fs.OpenTextFile(toppath,1)
Do While Not Ts.AtEndOfStream
Errorlog = Errorlog & Ts.ReadLine & chr(13) & chr(10)
loop
Ts.close
Errorlog =Errorlog & logs
Set Ts= Fs.OpenTextFile(toppath,2)
Ts.writeline (Errorlog)
Ts.Close
end sub
%>
下面是检测到攻击跳转的页面XXX.htm
<head>
<meta http-equiv="Content-Type" c />
<title></title>
<style type="text/css">
<!--
body,td,th {font-size: 9pt;line-height:14px;}
.zi_1{color:#f10c01;}
-->
</style>
</head>
<body>
<table width="100%" height="100%" border="0" cellpadding="0" cellspacing="0">
<tr>
<td valign="middle"><table width="347" border="0" align="center" cellpadding="0" cellspacing="0">
<tr>
<td>您访问的地址不存在或已更改。<br>
系统将在 <span class="zi_1">1</span> 秒钟内返回首页,如无响应,请单击下面按钮<span class="zi_1">返回
<a href="http://www.3800hk.com/">>
</tr>
</table></td>
</tr>
</table>
<script language=JavaScript>
setTimeout("top.window.location='http://www.3800hk.com/';",3000);
</script>
</body>
</html>
使用方法
找到网站下面包含Server.CreateObject("ADODB.Connection")的asp文件,一般为conn.asp
将上面“原数据库连接代码放在这里(比如conn.asp的代码)”的地方用conn.asp里面的代码替换,保存为新的conn.asp,运行发现攻击后会在当前目录下生成一个log.htm的文件,该文件记录了黑客的非法操作和ip地址,请将XXX.htm这个文件放于网站根目录下,发现攻击后会跳转到该页,其中的网址大家改成自己的!