這隻病毒是靠 MSN 到處流傳的,他會產生一張圖片和一隻 server.exe 的檔案
簡易的分析如下:
透過 wget 抓取該網站,他會導引出一隻 jpg.scr 類的螢幕保護程式。
jpg.scr 是一隻含有圖片、 server.exe 、 a.bat(包含在 zip 內部,解壓縮不會出現),
然後可以使用 strings 指令取得內部的一些字串,可以發現似乎是用 Delphi 寫成的。
用 wine 跑 dede 反組譯取得目標 server ip ,便可取得遠端目標。
再來要怎樣或是把遠端機器放入 NAT 黑名單也可以。
2008年3月22日 星期六
2008年3月16日 星期日
nginx , 一個高速的 http service & rproxy & IMAP/POP3/SMTP proxy
最近幾天到處亂晃發現,據說可以負擔 apache 10 倍的連線數
他的官方網站是俄文的
http://sysoev.ru/
詳細介紹還是請參考社群的中文 wiki
http://wiki.codemongers.com/NginxChs
他的官方網站是俄文的
http://sysoev.ru/
詳細介紹還是請參考社群的中文 wiki
http://wiki.codemongers.com/NginxChs
2008年3月6日 星期四
Spam & Mod_security
使用心得:
1. mod_security 內建正規表示法,消極面來看可以過濾不符合的資料,
像是 Spam 最常見的就是內含很多連結。
2. gotroot 有提供一些黑名單,該來源絕大部分都是從現有資料庫掃描。
3. 可以嵌入 perl script 或是 php code , 而不需要動到應用程式,只要更改規則。
4. 動態製造骯髒資訊給 bot ,讓其無法通過規則。
5. 透過一些外掛可以直接接觸到使用者,有問題可以即時在線上修改。
1. mod_security 內建正規表示法,消極面來看可以過濾不符合的資料,
像是 Spam 最常見的就是內含很多連結。
2. gotroot 有提供一些黑名單,該來源絕大部分都是從現有資料庫掃描。
3. 可以嵌入 perl script 或是 php code , 而不需要動到應用程式,只要更改規則。
4. 動態製造骯髒資訊給 bot ,讓其無法通過規則。
5. 透過一些外掛可以直接接觸到使用者,有問題可以即時在線上修改。
2008年3月5日 星期三
中華電信台東區對外國連線發生錯誤
凌晨 2:32 - 2:44
traceroute to www.blogspot.com (72.14.223.191), 30 hops max, 40 byte packets
3 tt-c6r1.router.hinet.net (168.95.176.162) 28.521 ms 28.738 ms 29.412 ms
4 tt-c12r1.router.hinet.net (211.22.229.1) 33.394 ms 33.564 ms 33.985 ms
5 kh-c12r11.router.hinet.net (220.128.24.66) 35.654 ms 36.146 ms 36.527 ms
6 kh-c12r31.router.hinet.net (220.128.24.117) 40.148 ms 68.710 ms 18.678 ms
7 * * *
8 * * *
traceroute to www.msn.com (207.68.183.120), 30 hops max, 40 byte packets
3 tt-c6r1.router.hinet.net (168.95.176.162) 16.953 ms 17.577 ms 18.166 ms
4 tt-c12r2.router.hinet.net (211.22.229.14) 18.504 ms 18.672 ms 19.081 ms
5 kh-c12r12.router.hinet.net (220.128.25.66) 21.322 ms 21.497 ms 21.909 ms
6 tn-st-c12r12.router.hinet.net (220.128.25.29) 27.578 ms 19.992 ms 20.462 ms
7 ty-fo-c12r12.router.hinet.net (220.128.9.6) 26.900 ms 27.149 ms *
8 ty-fo-c12r31.router.hinet.net (211.21.116.27) 23.391 ms 23.913 ms 24.996 ms
9 * * *
10 * * *
還好有備用線路,連基本的服務都不正常,整個無言。
訂閱:
文章 (Atom)