易破解
给你所需要的内容YIPOJIE.CN!

网站服务器如何防止PHP木马病毒一句话Webshell 注入 ?

易破解阅读(159)

网站服务器如何防止PHP木马病毒一句话webshell 注入,相信只要是做网站的朋友对于网站安全很重视,网站安全事情涉及网站以后的发展,如果网站被黑面临着被搜索引擎降权,用户的极度不信任从而导致的用户流失,或者网站被挂色情信息导致的法律问题,或者黑客直接对你的服务器信息进行监控偷偷使用服务器来进行挖矿,再为严重的就是黑客直接对网站进行删除数据库,删除网站文件等等毁灭性的操作,多年的努力付之东流,可想而知服务器安全问题尤为重要。

网站服务器如何防止PHP木马病毒一句话Webshell 注入

关于网站服务器如何防止PHP木马病毒一句话webshell注入的方法我们可以做以下几点防范措施

1、配置网站的WEB服务器Apache或Nginx来防止webshell上传。

2、禁用网站服务器的相关函数方式来避免漏洞而达到防止注入。

3、定期利用云锁、安全狗、悬镜等对网站服务器的文件进行查杀。

4、勤快一点计划对网站数据库、网站文件进行备份,下载到本地电脑。

攻击网站常用的手段无非使用SQL注入、XSS跨站攻击、webshell、远程代码执行、或者笨一点的办法直接爆破服务器后台,尝试登录网站管理员账号等等方法。

目前为止易破解网站每天都有朋友在尝试登录易破解管理员的账号,不过可以说的是WordPress 程序本来就是安全性比较高的一套开源的网站程序,易破解在此基础上加了很多的防护,比如封锁IP地址。

个人在国外GoDaddy 网站上注册(转入)域名真的安全吗 ?

易破解阅读(159)

个人在国外GoDaddy网站上面注册的域名真的安全吗 ?关于这个问题相信只要是搜索这个答案的好多朋友看的眼花缭乱吧,其实易破解也是看了眼花缭乱,易破解百度搜索了一大堆答案看了很多不同的意见,包括在国内最大的知识平台知乎上面进行了搜索查看学习。

GoDaddy,个人在国外GoDaddy网站上面注册(转入)域名真的安全吗?跟国内注册比有什么区别,为什么要把现有的域名转到GoDaddy,会不会跟国内一样域名被投诉就给你暂停DNS解析服务等等。

一、那么说一说为什么我们国内这么多云计算的大公司,我们不在国内购买域名,比如阿里云、腾讯云、百度云、西部数码、新网等等国内的大公司购买域名呢,说到这里啊易破解不得不吐槽一下了,如果你在国内购买的域名,必须上传身份证实名制登记认证,而且主要的是如果你这个域名做什么事情都会受到很多限制,易破解知道的一个网站,由于长期分享了一些国内垃圾流氓代理商所代理的软件,受到了域名投诉,因为这个站长在阿里云购买的域名,所以啊阿里云直接暂停了此域名的DNS解析服务,而且此域名也进入了不可控状态,不可控就是说域名被阿里云停止使用了。

域名就是网站的唯一身份标示,比如大家需要访问易破解网站,那么必须访问易破解网站的域名 WWW.YIPOJIE.CN ,而在我们百度搜索易破解的时候,那么域名地址会出现在首页,如果自己辛辛苦苦做的网站域名被这样毁了,虽然可以百度搜索里面进行301网站改版,但是这样网站流量就会大幅度的下降,用户也找不到网站。

二、说一说个人在国外GoDaddy网站上面注册的域名真的安全不,有没有什么限制,到底跟国内注册比有什么区别,为什么要把现有的域名转到GoDaddy。

①国内域名受限:必须上传身份证进行实名人工审核实名认证。

②隐私可以屏蔽:国外注册域名可对购买的域名信息进行随意填写。

③风险安全保护:国外注册域名可防止恶意投诉的域名DNS暂停解析。

了解了在国外注册域名的好处,那么我们肯定关心的价格了,其实GoDaddy网站上面注册新购或者转入域名的价格都高于国内域名注册商的价格,但是为了以上的一些好处易破解还是很愿意使用GoDaddy的服务的。

三、网上说GoDaddy公司注册的域名被盗都不知道,安全问题有待评估!

知乎上面有个朋友这样说的、GoDaddy不提供免费隐私保护需要额外收费(这一点2018年开始,欧盟新隐私法规GDPR,域名WHOIS将不在显示个人信息)盗窃者即可通过地下社工库,对你进行人肉搜索或者暴力破解,一旦被找到你的邮箱密码,则盗窃者可以在不动声色情况下转移你的域名,等你发现,域名已经不属于你了。仅仅一个邮箱,就能将价值百万千万的资产偷窃,这是GoDaddy对客户安全的无视。GoDaddy也提供被盗后找回服务,这需要你注册域名时所填信息完全准确无误,再通过有经验的律师,各种证明材料,多次辗转,才有一丝找回的可能。重要的是,GoDaddy天然认为域名被盗与他们没有任何关系,他们不会有一丝的额外重视。许多人只是注册一个域名两个域名,或者无大价值的域名,他们并没有受过此类威胁。而在GoDaddy丢失的域名,则通常是大型知名网站,珍稀稀有域名。国内出现多起知名网站GoDaddy域名被盗的案例,因为这已经是一群人的生意。

上面这位朋友说的可能易破解没有遇到过,但是易破解使用了几年了感觉GoDaddy上面的安全措施虽然有一点点跟国内不一样,但是在登录GoDaddy网站账号的时候我们可以设置手机必须接收验证码才能登录,在GoDadd账号设置里面开通“两步验证”以提高账号的安全性。

GoDaddy,个人在国外GoDaddy网站上面注册(转入)域名真的安全吗?跟国内注册比有什么区别,为什么要把现有的域名转到GoDaddy,会不会跟国内一样域名被投诉就给你暂停DNS解析服务等等。

GoDadd设置里面开通“两步验证”可以有效的降低盗号风险,每次登录GoDadd网站必须要提供绑定手机的验证码方可登录网站进行一些相应的管理操作。

四、还有一个问题就是我们在国外域名商GoDadd购买转入的域名到底安全不,这里的安全是指的会不会跟国内一样域名被投诉就给你暂停DNS解析服务等等。

(1)GoDadd 一般行为规则

非法,或者提倡或鼓励非法活动;

提倡、鼓励或从事儿童色情或儿童剥削活动;

提倡、鼓励或从事恐怖主义,侵犯人类、动物或财产的暴力行为;

提倡、鼓励或从事散布任何垃圾邮件或其他批量垃圾电子邮件,或者从事计算机或网络黑客攻击或破译的活动;

违反《2008 年瑞安海特网上药房消费者保护法》或类似法律,或提倡、鼓励或从事无法提供有效处方的处方药销售或散布;

违反 2017 年打击网上性犯罪法或类似立法,或促进卖淫和/或性交易;

侵犯其他用户或任何其他人或实体的知识产权;

违反其他用户或任何其他人或实体的隐私或公开权,或违反您对其他用户或任何其他人或实体承担的任何保密义务;

干扰本网站或本网站上的服务的操作;

包含或安装专门为了(或能够)扰乱、破坏或限制任何软件或硬件功能而设计的任何病毒、蠕虫、Bug、特洛伊木马或其他代码、文件或程序;

(2)内容监控账户终止政策

GoDaddy 通常不会对用户内容(无论是发布在由 GoDaddy 托管的网站上还是发布在本网站上)进行预筛。但是 GoDaddy 保留(但不承担任何责任)预筛并决定用户内容的任何项目是否适合和/或遵守本协议的权利。如果用户公布或发布任何违反本协议的材料,或违反本协议(由 GoDaddy 决定,其拥有唯一绝对酌情权),GoDaddy 可在不通知您的情况下随时删除用户内容的任何项目(无论是发布在由 GoDaddy 托管的网站上还是本网站上)和/或终止用户对本网站或本网站上服务的访问权限。如果 GoDaddy 有理由相信用户重复违反规定,则 GoDaddy 也可终止用户对本网站或本网站上服务的访问权限。如果 GoDaddy 终止了您对本网站或本网站上服务的访问权限,则拥有唯一绝对酌情权的 GoDaddy 可删除并销毁其服务器上由您存储的所有数据和服务。

上面是一部分GoDaddy的法律协议和服务条款,可以看出只要我们不做什么色情、反动、扰乱社会的事都是没有问题的,至于国内这种什么域名侵权投诉等等,GoDaddy是一家国外公司,才不会搭理你呢。

易破解原创文章,转载请以链接形式标明本文地址

本文地址:http://www.yipojie.cn/5729.html

多家三甲医院服务器遭暴力入侵 心机黑客独享资源狂挖矿

易破解阅读(816)

近期检测到广东、重庆多家三甲医院服务器被黑客入侵,攻击者暴力破解医院服务器的远程登录服务,之后利用有道笔记的分享文件功能下载多种挖矿木马。不光如此黑客还赶走了50余款挖矿木马,自己霸占服务器资源进行挖矿。

攻击者将挖矿木马伪装成远程协助工具Teamviewer运行,攻击者的挖矿木马会检测多达50个常用挖矿程序的进程,将这些程序结束进程后独占服务器资源挖矿。该挖矿木马还会通过修改注册表,破坏操作系统安全功能:禁用UAC(用户帐户控制)、禁用Windows Defender,关闭运行危险程序时的打开警告等等。

多家三甲医院服务器遭暴力入侵 黑客独享挖矿资源

已知样本分析发现,攻击者使用的挖矿木马拥有多个矿池,开挖的山寨加密币包括:门罗币(XMR)、以太坊(ETH)、零币(ZEC)等等,从矿池信息看,目前攻击者已累积获利达40余万元人民币。

已发现有关病毒作者的线索,这位挖矿木马的控制者使用同一个ID在各类黑客论坛、开发者论坛活跃时间长达十年以上。

统计分析,我国医疗机构开放远程登录服务(端口号:22)的比例高达50%,这意味着有一半的服务器可能遭遇相同的攻击。

22端口提供ssh隧道连接服务;23端口主要用于Telnet(远程登录)服务,是Internet上普遍采用的登录和仿真程序,由于一些管理员的安全意识薄弱,设置密码简单容易猜解,导致黑客能够通过密码字典进行猜解爆破登录。

跟踪分析发现被入侵的设备IP网段比较集中,特别是113.*网段存在大量被入侵的机器, 例如被攻击的广州市某人民医院、广州市某大学附属医院、重庆某儿童医院、天津某大学等等,这些机构的设备都处于113.*网段,而这些机器上又都开放有22、23等端口。

因此推测黑客入侵通过批量扫描发现网络上存在易受攻击的机器,然后进行端口爆破入侵并植入了挖矿木马。目前发现该挖矿木马主要感染地区前三依次为江苏、上海、广东。

预防措施

1.加固服务器,修补服务器安全漏洞,使用安全的密码策略,使用高强度密码,切勿使用弱口令,防止黑客暴力破解。

2.如果不常使用可关闭22、23等易受攻击的端口。

3.检查进程中是否存在Teamviewer.exe,如果网管并未使用该远程管理工具,而进程中存在。

警惕新型挖矿病毒 Rakhni 操作挖矿还是感染恶意后门软件

易破解阅读(266)

近期,安全研究专家发现了一款非常有意思的恶意软件,它会根据目标用户的电脑配置来决定到底用哪个方案来从用户身上牟利,勒索软件可以锁定你的电脑,并通过对数据进行加密来阻止你访问自己电脑中的文件,直到你向攻击者支付赎金才行,而非法挖矿软件利用的是目标用户设备的CPU算力以及电能来挖加密货币。这两种攻击在这两年里已经成为了广大用户面临的主要威胁,作为非针对性攻击而言,这两种攻击具有一定的相似性,因为它们不仅都需要从目标用户身上牟取利益,而且两者都涉及到加密货币。

Rakhni

但是,锁定目标用户的电脑并不一定能够给攻击者带来利益,因为很多用户的电脑中并没有存储多少有价值的东西,因此很多攻击者便开始通过利用目标设备的CPU和电能来赚钱,也就是所谓的恶意挖矿。

卡巴斯基实验室的研究人员将这款恶意软件命名为Rakhni勒索软件,而且Rakhni近期更新得也比较频繁,并提升了其挖矿能力。

Rakhni

Rakhni采用Delphi编写,并通过微软Word文档附件(钓鱼邮件)的形式进行传播,当目标用户打开附件文档之后,文件会提醒用户保存文档并启用编辑功能。该文档包含一个PDF图标,点击之后便会在目标用户设备上运行恶意可执行文件,并立刻显示伪造的错误提示框,然后欺骗用户让他们以为系统缺失了相关的组件。

Rakhni如何判断进行哪种感染操作?

在后台,Rakhni会进行很多反虚拟机和反沙箱检测操作,如果所有条件都满足,它便会进行下一步检测来判断使用哪一个感染Payload,即感染勒索软件还是挖矿软件。

1、安装勒索软件:目标系统的AppData目录中是否拥有跟“比特币”相关的内容?

在使用RSA-1024加密算法对文件进行加密之前,恶意软件会终止预定义列表中所有指定的热门应用进程,并通过文本文件显示勒索信息。

2、安装加密货币挖矿软件:若目标系统中没有跟“比特币”相关的内容,而设备又拥有两个或以上的逻辑处理器。

如果系统感染了挖矿软件,它便会使用MinerGate工具在后台挖XMR、XMO换个DSH等加密货币。

除此之外,它还会使用CertMgr.exe工具来安装伪造的证书,并声称该证书由微软和Adobe公司发布,然后尝试将挖矿软件伪装成合法进程。

Rakhni

3、激活蠕虫组件:若目标系统中没有跟“比特币”相关的内容,而设备又只拥有一个逻辑处理器。

这个组件将帮助恶意软件在本地网络设备中实现自我复制。

除了感染判断之外,Rakhni还会检测目标设备是否运行了反病毒软件,如果没有运行,Rakhni将会运行多个cmd命令来尝试禁用Windows Defender。

竟然还有间谍软件功能?

研究人员表示,Rakhni另一个非常有意思的地方就在于它还具备了某些间谍软件功能,其中包括列举正在运行的进程列表以及实现屏幕截图。

这款恶意软件主要针对的是俄罗斯地区的用户(95.5%),其中还有一小部分用户位于哈萨克斯坦(1.36%)、乌克兰(0.57%)、德国(0.49%)和印度(0.41%)等地。

Rakhni缓解方案

保护用户安全最好的方法就是不要打开邮件中嵌带的可疑文件和链接,并定期更新你的反病毒软件。除此之外,别忘了定期备份有价值的数据。

知名压缩软件”快压”传播病毒和多款流氓软件 劫持流量

易破解阅读(455)

日前安全团队发现,知名压缩软件”快压”正在传播木马病毒”Trojan/StartPage.ff”,该木马病毒会劫持被感染电脑浏览器首页;此外,”快压”还会推广其他流氓软件,其自身也存在流氓行为:弹窗广告、自动创建桌面快捷方式。由于国内各大下载站都提供”快压”软件下载,传播范围极广。建议近期下载过该软件的用户尽快对电脑进行扫描查杀。

知名压缩软件"快压"传播病毒和多款流氓软件 劫持流量

用户从下载站下载”快压”并安装时,”快压”会像病毒躲避安全软件查杀一样,判断用户电脑中有没有安全软件,如果没有,则会给用户电脑捆绑安装一款名为”WinHome主页卫士”的软件,该软件携带木马病毒”Trojan/StartPage.ff”。病毒入侵电脑后,会劫持用户首页。

快压”自身也存在多种流氓行为,会在用户电脑中弹出广告、创建”淘宝”、”百度”桌面快捷方式。并且”快压”会对抗拦截广告的软件和工具,以保证其推广弹窗不会被拦截。

kuaizip

此外,”快压”还会推广”小黑记事本”、”ABC看图”等多款流氓软件。火绒工程师通过查询企业注册信息发现,虽然”快压”为上海广乐网络科技有限公司旗下产品,”小黑记事本”、”ABC看图”为上海展盟网络科技有限公司产品,但两家公司的法人信息和注册邮箱均一致,或系同一团队制作。

国产软件之殇,快压官方针对病毒问题发声!

近日,国内火绒安全团队发文称知名软件“快压”劫持电脑浏览器首页,并进行软件捆绑与广告弹窗。接到此消息,快压研发团队极为慎重,立即对此事展开了内部调查核实,经过多次严密分析与验证,我们发现,火绒安全团队所分析的快压软件为2016年的被木马所感染的病毒文件,该木马文件同时感染了其他知名软件。该木马文件国内各大杀软厂商已于2016年事发当时迅速全部查杀完毕,包括快压在内的各大软件厂商后续已作更新,截至当前为止并无感染情况发生。

快压是一款有10多年历史的首款国内知名压缩软件,在移动app的浪潮下,PC软件的生存空间仅一息尚存。大多数软件从业者纷纷转行,投入了移动端、区块链的怀抱。快压不忘初心,坚持做好每一款PC软件。然而在国内免费软件的大势下,如何生存成为了所有软件企业的痛,如何更好的平衡用户体验与企业存活,永远是个两难的问题。弹窗广告成为了包括搜狗输入法、快压在内的绝大多数PC软件的微薄收入来源。没有人不想做体验好的产品,为解决这一两难问题,快压推出付费会员版,无广告,在更加艰难的收费软件路上,前行。

国产软件实乃不易。我们感谢火绒团队的这一发声,尽管是16年的一起历史行业事件,但依然警醒了我们要时刻注意软件的安全性、可靠性以及用户体验,我们也感谢360安全卫士、QQ管家、金山毒霸以及火绒等国内知名软件厂商长期以来对软件行业的全面规范和保护。有大家的共同努力,或许,在这个寒冬,国内PC软件能迎来一个春天。

易破解点评!

刚刚去看了快压的软件已经更新到了 快压 2.9.1.7 更新时间: 2018-05-14、而携带流氓病毒的版本图中的为 快压 2.8.4.8,看了下官网这个版本是 2015-09-09 更新时间的。

捆绑主页、劫持流量在现在的互联网时代见怪不怪了,但凡知名一点的软件厂商为了赚钱不择手段的很多、比如在官网发布的版本与在各大下载站软件库推送的版本又不一样、存在猫腻。

估计还是真的干过这些流氓事情、刚刚打开快压官网已经被我的 ESET NOD32 直接拦截访问

免责声明:本站部分文章和信息来源于国际互联网,本站转载出于传递更多信息和学习目的,并不意味着赞同其观点或证实其内容的真实性,并且无损害任何公司的行为更不涉及侵权。

本文章转载自原文:火绒安全

CNNVD 预警通报 Microsoft Access 远程代码执行漏洞

易破解阅读(241)

近日,微软官方发布了多个远程代码执行漏洞的公告,包括Microsoft Access 远程执行代码执行漏洞、PowerShell 编辑器服务远程执行代码漏洞等8个漏洞。成功利用上述远程代码执行漏洞的攻击者,可以在目标系统上执行任意代码。微软多个产品和系统受漏洞影响。目前,微软官方已经发布补丁修复了上述漏洞,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。

成功利用Microsoft Access 远程代码执行漏洞的攻击者,能在当前用户环境下执行任意代码,如果当前用户使用管理员权限登录,攻击者甚至可以完全控制该用户的系统。Microsoft Excel 2010 Service Pack 2、MicrosoftExcel 2013 Service Pack 1、Microsoft Excel 2016、Microsoft Office 2010 Service Pack 2、MicrosoftOffice 2013 RT Service Pack 1、Microsoft Office 2013Service Pack 1、Microsoft Office 2016、Microsoft Office Compatibility Service Pack 3等版本均受漏洞影响。

一、 漏洞介绍

Microsoft Windows是美国微软公司研发的一套采用了图形化模式的操作系统。Microsoft Access、PowerShell 编辑器、Skype For Business、Lync、Microsoft SharePoint、.NET Framework、Visual Studio等是其重要组成部分,主要于日常办公。7月10日晚,微软发布了8个远程代码执行漏洞(详见表1),攻击者利用相关漏洞,可以在目标系统上执行任意代码。

CNNVD漏洞预警关于微软多个远程代码执行漏洞的通报

二、修复建议

目前,微软官方已经发布补丁修复了上述漏洞,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。微软官方链接地址如下

CNNVD漏洞预警关于微软多个远程代码执行漏洞的通报

CNNVD 关于微信支付官方SDK XXE 漏洞情况的通报预警

易破解阅读(392)

近日,国家信息安全漏洞库(CNNVD)收到关于微信支付SDK XXE(XML External Entity)漏洞(CNNVD-201807-083)情况的报送。成功利用该漏洞的攻击者可以远程读取服务器文件,获取商户服务器上的隐私数据,甚至可以支付任意金额购买商品。使用有漏洞的Java版本微信支付SDK进行支付交易的商家网站可能受此漏洞影响。目前,微信官方已经发布补丁修复该漏洞,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。

CNNVD 关于微信支付官方SDK XXE 漏洞情况的通报预警

一、漏洞介绍

微信支付官方SDK是微信支付官方的软件工具开发包,在使用微信支付时,商家需要向微信提供一个URL用来接收异步支付结果的通知,该接口接受XML格式的数据。XML语言标准支持了与外部进行实体数据交换的特性,如果程序在解析XML时没有限制或关闭该特性,同时外部又可以传入有恶意代码的XML数据就会触发漏洞。微信支付官方提供的SDK由于编码遗漏,未关闭该XML特性。商家在其系统中如果使用该版本SDK,系统便会受漏洞影响。

微信在支付过程中,其Java版本的SDK没有关闭该XML特性,导致攻击者在获取了接收通知的URL地址的前提下,可以通过构造恶意的XML数据包发送到该URL来窃取商家网站服务器上的隐私数据。

二、危害影响

成功利用该漏洞的攻击者可以远程读取服务器文件,获取商户服务器上的隐私数据,甚至可以支付任意金额购买商品。使用有漏洞的Java版本微信支付SDK进行支付交易的商家网站可能受此漏洞影响。

三、修复建议

目前,微信官方已经发布补丁修复该漏洞,建议用户及时确认是否受到漏洞影响,尽快采取修补措施,具体措施如下:

1.如果后台系统使用了官方SDK,请更新SDK到最新版本,链接如下:

https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=11_1

2.如果有系统提供商,请联系提供商进行核查和升级修复;

3.如果是自研系统,请联系技术部门按以下指引核查和修复:

XXE漏洞需要在代码中进行相应的设置,不同语言设置的内容不同,下面提供了几种主流开发语言的设置指引:

【PHP】

libxml_disable_entity_loader(true);

【JAVA】

不同java组件修复方案不一样,请参考OWASP修复建议:

https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Prevention_Cheat_Sheet#Java

【.Net】

XmlResolver = null

【Python】

from lxml import etree

xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

【c/c++(常用库为libxml2 libxerces-c)】

【libxml2】:

确保关闭配置选项:XML_PARSE_NOENT 和 XML_PARSE_DTDLOAD

2.9版本以上已修复xxe

【libxerces-c】:

如果用的是XercesDOMParser:

XercesDOMParser *parser = new XercesDOMParser;

parser->setCreateEntityReferenceNodes(false);

如果是用SAXParser:

SAXParser* parser = new SAXParser;

parser->setDisableDefaultEntityResolution(true);

如果是用SAX2XMLReader:

SAX2XMLReader* reader = XMLReaderFactory::createXMLReader();

parser->setFeature(XMLUni::fgXercesDisableDefaultEntityResolution, true);

此外,针对使用XML进行数据交换的网络系统(如:第三方支付平台等),建议相关系统厂商对解析处理XML数据的功能代码进行安全检查,可参考上述方法修复漏洞,及时消除漏洞风险。

本通报由CNNVD技术支撑单位——腾讯计算机系统有限公司、北京长亭科技有限公司、北京华顺信安科技有限公司提供支持。

CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。

警惕!知名下载站传播后门病毒 全面劫持各大主流浏览器

易破解阅读(919)

安全团队截获后门病毒”Humpler”。该病毒伪装成多款小工具(如:老板键、屏幕亮度调节等),正通过2345软件大全等多个知名下载站进行传播。病毒入侵电脑后,会劫持QQ、360、搜狗等(市面上所有主流)浏览器首页。并且该后门病毒还在不断更新恶意代码,不排除未来会向用户电脑派发更具威胁性病毒的可能性。

Humpler,警惕!知名下载站传播后门病毒 全面劫持各大主流浏览器

Humpler病毒伪装成”老板键”、”屏幕亮度调节”等多款小工具。当用户在2345软件大全、非凡、PC6等下载站下载并运行上述小工具后,病毒将侵入电脑。随即弹出弹窗,询问是否”愿意支持”该软件,如果用户选择”支持”,病毒会立即劫持浏览器首页。但即使用户选择拒绝,病毒仍会在一天之后劫持用户的浏览器首页。也就是说,无论用户选择愿意与否,被感染电脑浏览器首页都会被劫持。

Humpler,警惕!知名下载站传播后门病毒 全面劫持各大主流浏览器

近期,截获到一批后门病毒样本,病毒会将自己伪装成小工具(如:超级老板键、超级变声器、屏幕亮度调节等),并会通过2345软件大全、非凡下载站、PC6下载站等多个软件下载站进行传播。病毒会通过C&C服务器获取最终恶意代码,恶意代码执行后,表面会询问用户是否”愿意支持”软件后进行首页锁定。但在第二天用户再次启动该程序时,不论用户是否选择”愿意支持”都会强行劫持浏览器首页。而且为了躲避安全厂商查杀,现阶段被下发的病毒模块为PE头被简化过的模块数据。截至到目前,被下发的病毒模块数据依然在持续更新,我们不排除病毒将来会下发其他病毒模块的可能性。

电脑计算机中了后门病毒”Humpler”症状会在不经过用户允许的情况下劫持浏览器首页,而且手动更改不回来,里面还是会跳转到指定到主页导航。

微软发布 Excel 及 HTTP 协议堆栈远程代码执行漏洞补丁

易破解阅读(413)

近日,微软官方发布了Microsoft Excel远程代码执行漏洞(CNNVD-201806-800、CVE-2018-8248)及Microsoft Windows HTTP协议堆栈远程代码执行漏洞(CNNVD-201806-771、CVE-2018-8231)的公告。

成功利用Microsoft Excel远程代码执行漏洞的攻击者,能在当前用户环境下执行任意代码,如果当前用户使用管理员权限登录,攻击者甚至可以完全控制该用户的系统。

Microsoft Office 2010 Service Pack 2、Microsoft Office 2013 RT Service Pack 1、Microsoft Office 2013 Service Pack 1、Microsoft Office 2016、Microsoft Office 2016 Click-to-Run (C2R)等版本均受漏洞影响。

成功利用Microsoft Windows HTTP 2.0协议堆栈远程代码执行漏洞的攻击者,可在目标系统上执行任意代码,并控制该用户的系统。Windows 10、Windows 10 Version 1607、Windows 10 Version 1703、Windows 10 Version 1709、Windows 10 Version 1803、Windows Server 2016、Windows Server 2016 (Server Core installation)、Windows Server version 1709 (Server Core Installation)、Windows Server version 1803 (Server Core Installation)等版本均受漏洞影响。

目前,微软官方已经发布补丁修复了上述漏洞,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。

一、 漏洞介绍

Microsoft Excel是美国微软公司为使用Windows和Apple Macintosh操作系统的电脑编写的一款电子表格软件。Microsoft Excel存在远程代码执行漏洞,该漏洞源于该软件未能正确处理内存中的对象,攻击者可通过向用户发送经过特殊构造的文件并诱使用户打开该文件,从而触发远程代码执行漏洞。

Microsoft Windows是美国微软公司研发的一套采用了图形化模式的操作系统。Windows中的HTTP协议是一种通信协议,即超文本传输协议。Microsoft Windows HTTP协议存在堆栈远程代码执行漏洞。该漏洞源于HTTP 协议堆栈未能正确处理内存中的对象,攻击者可以向目标http.sys服务器发送经过特殊构造的数据包,从而触发远程代码执行漏洞。

二、危害影响

Microsoft Excel远程代码执行漏洞。攻击者可以远程执行代码,如果当前用户使用管理员权限登录,攻击者甚至可以完全控制该用户的系统,任意安装程序、更改或删除数据、创建管理员帐户等。该漏洞涉及了多个版本,Microsoft Office 2010 Service Pack 2、Microsoft Office 2013 RT Service Pack 1、Microsoft Office 2013 Service Pack 1、Microsoft Office 2016、Microsoft Office 2016 Click-to-Run (C2R)等版本均受漏洞影响。

Microsoft Windows HTTP协议堆栈远程代码执行漏洞,攻击者可以在目标系统上执行任意代码,并控制该用户的系统。该漏洞涉及了多个版本,Windows 10、Windows 10 Version 1607、Windows 10 Version 1703、Windows 10 Version 1709、Windows 10 Version 1803、Windows Server 2016、Windows Server 2016 (Server Core installation)、Windows Server version 1709 (Server Core Installation)、Windows Server version 1803 (Server Core Installation)等版本均受该漏洞影响。

三、修复建议

目前,微软官方已经发布补丁修复了上述漏洞,建议用户及时确认是否受到漏洞影响,尽快采取修补措施,微软官方链接地址如下:

1、Microsoft Excel远程代码执行漏洞(CNNVD-201806-800、CVE-2018-8248)补丁链接如下:

https://www.microsoft.com/en-us/download/details.aspx?id=57038

https://www.microsoft.com/en-us/download/details.aspx?id=57036

https://www.microsoft.com/en-us/download/details.aspx?id=57019

https://www.microsoft.com/en-us/download/details.aspx?id=57020

https://www.microsoft.com/en-us/download/details.aspx?id=57053

https://www.microsoft.com/en-us/download/details.aspx?id=57035

2、Microsoft Windows HTTP协议堆栈远程代码执行漏洞(CNNVD-201806-771、CVE-2018-8231)补丁链接如下:

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4284835

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4284819

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4284880

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4284874

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4284880

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4284860

AcFun泄露数千万条用户信息已在GitHub公布数据和密码

易破解阅读(623)

北京时间 6 月 13 日凌晨,AcFun 发布公告称网站遭遇黑客攻击,近千万条用户数据外泄。呼吁 2017 年 7 月 7 日之后从未登陆过的用户以及密码强度低的用户及时更改密码。如果在其他网站使用与 A 站相同的密码,也应及时修改,上一篇易破解提到做了一个详细的介绍 快手全资收购A站后AcFun受黑客攻击数据泄露在暗网售卖 

目前已经升级到了直接在全球最大的开源代码托管网站GitHub公开数据,北京时间 6 月 13 日 12:49,涉事人员继续发帖,称的确手握 AcFun 的 Shell 和数据,并要求 A 站及时回应,否则将分批公布这些用户数据(包括 Admin 的账号密码),帖子的大意是之前拿到数据后向 A 站反馈问题但是没有回应(仿佛传达了一种恨铁不成钢的情绪)。

ACfunSHELL,AcFun泄露数千万条用户信息已在GitHub公布数据和密码

关于ACfun的SHELL+数据库+内网权限网络安全人员进来看一下,扩散一下脂由agentK》

Sakurak今天想澄清一下,有关于ACfun的事情网络安全人员看到后请截图,以你们的方式向公网扩散

不错,ACfun的shell确实有一阵子在我们手下这次卖数据与shell的事件是由于我们多次向Acfun官方邮箱,[email protected]发信,无回信而造成的后果

作为一个多年的二次元爱好者,以及一个对信息泄露深恶痛绝的人。我也不希望曾经美好的A站就这么被我亲自毁掉,用户信息被滥用。
我们想与官方达成一致的共识,我们希望销毁这批数据,我们希望帮助A站度过近期的风波,让B站一直有一个竞争对手

今晚,我们将在Github上公布300条用户数据,向Acfun证明我们的实力。请及时留意,介时标题为:AC_300fun

6月15号,如果还是没有收到回复,我们将公布3000条

6月18号,如果还是没有收到回复,我们将公布10000条,包含admin用户

请ACfun言方及时回复我发给你们的邮件,至少发了10封了我们希望这件事情能够私了,A站能够正常运作,用户的隐私不受侵犯

2018年6月13 日16:25 更新

目前 GitHub 已经更新,相关人员发布了密码和手机号等信息。由信息可以看出,MD5 并没有加密,而且 AcFun 的登录页面没有 HTTPS,甚至直接被 Chrome 标记为不安全。

2018年6月13日19:00 更新

目前该老哥的 GitHub 账号已经删除了,数据是不用再等了,不知道还会不会有其他发展。总之趁这个机会去改一波密码然后把自己的密码分分类绝对不会错。