締造世界紀錄
"set a world record", "achieve a record"。
不要用
"create a record", "make a record"。
保持世界紀綠
hold a world record。
刷新世界紀錄
"break/smash/scatter/slash a record"。
2007年7月17日 星期二
Linux 基本安全設定攻略
Linux 遠端連線以SSH取代Telnet
SSH:會對連線封包加密,因此安全性相對於 Telnet 較高一些。
SSH:會對連線封包加密,因此安全性相對於 Telnet 較高一些。
- 首先檢查安全日誌:/var/log/secure 察看系統的安全性以及是否有任何異常事件
# more /var/log/secure grep refused - 停用不安全的 Telnet 程式
# vi /etc/xinetd.d/telnet
將 "disable = no" 改為 "disable = yes" - 啟動 SSH
# /etc/rc.d/init.d/sshd start - 檢查 SSH 是否啟動
# netstat -tl
察看 state 狀態欄若顯示 Listen代表啟動成功。
啟動與登陸機制的安全性設置
- 刪除使用者
# userdel - 刪除群組
# groupdel - 將密碼檔改為唯讀
# chattr +i /etc/passwd
# chattr +i /etc/shadow
# chattr +i /etc/group
# chattr +i /etc/gshadow - 關閉 Ctrl+Alt+Del 可以重新開機的複合鍵設定
# vi /etc/inittab
將 ca::ctrlaltdel:/sbin/shutdown -t3 -r now 這整行刪除,即可關閉該複合鍵功能。 - 防止有心人更改 /etc/rc.d/init.d 目錄下的檔案
chmod -R 700 /etc/rc.d/init.d/*
以後 /etc/rc.d/init.d/ 目錄下的檔案只有具備 root 存取權限的管理者才可以修改。 - 設定 su 指令僅給特定群組(這裡以 itgroup為例)才可使用
# vi /etc/pam.du/su
在其中增加兩行
auuth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/pam_wheel.so group=itgroup - 刪除開機登錄畫面之提示訊息
# vi /etc/rc.d/rc.local
將 echo "" > /etc/issue 至 echo >> /etc/issue 等行以 # 號 mark掉。
再執行
# rm -f /etc/issue
# rm -f /etc/issue.net
# touch /etc/issue
# touch /etc/issue.net
IT英文版原文書閱讀技巧
摘錄自 iThome-2007/0601(297期) P10
原作者:蔡學鏞
IT領域的人,必須大量閱讀IT英文版的原文書。選擇與閱讀IT原文書是有方法的。
裝訂:精裝本
原作者:蔡學鏞
IT領域的人,必須大量閱讀IT英文版的原文書。選擇與閱讀IT原文書是有方法的。
裝訂:精裝本
- 封底:推薦人,若屬於IT理論或技術的知名人士,那這本書可能是好書
- 厚度:
- 簡介
- 快速上手:Quick start
- 目錄與索引
- 章首與章尾
- Sidebar與註腳
- 案例研究
- API與規格書
- 程式註解與字型
- 網站服務
2007年7月13日 星期五
清除 severe.exe, conime.exe, vksrwh.exe, rurply.exe hx1.bat的過程
今天真是一個體會中毒深刻的一天。
我老闆的筆記型電腦中毒,希望我們資訊單位能夠幫忙。結果從早上 7:30 搞到 晚上 6:20才最後處理完畢。真是痛苦的一天。不過最後是解決問題,倒是讓我們得到更深一層的教訓:
我老闆的筆記型電腦中毒,希望我們資訊單位能夠幫忙。結果從早上 7:30 搞到 晚上 6:20才最後處理完畢。真是痛苦的一天。不過最後是解決問題,倒是讓我們得到更深一層的教訓:
- 一定要安裝防毒軟體而且防毒軟體要夠強。
- 沒必要不要上比如:.cn, 情色網站, 駭客聚集的網站, 取得序號的網站,不小心就會中獎
- 中毒後,再安裝防毒軟體都來不及了。
以下就將本次的救援行動完完整整的述說一遍,讓日後若還有網友誤觸地雷可以很快的恢復。
我寫這篇文章主要是參考網路上的另外一篇文章(http://blog.csdn.net/feiyond/archive/2007/03/27/1543379.aspx),然後再依據我所碰到的一些狀況修正。
依據上述的網址內容把它叫做『熊貓燒香新變種』,但我碰到的又有些不同,因此我就姑且叫它熊貓燒香『新新』變種。中了這支病毒就會有下列特徵:
- 系統時間會被修正到某年某月某一日,如 2004年01月22日
- 不能更改顯示隱藏所有文件和文件夾,在「資料夾選項」中無法顯示隱藏的系統文件。
- 打不開常用的防毒軟體和清除木馬(比如:卡巴斯基、NOD32、等)
- 無法執行 regedit 以及 msconfig(在安全模式也無法執行)
- 安全模式也無法逃過一劫,因為Winlogon也被動手腳。
- 放入隨身碟,自動啟動時無法正確打開檔案總管
如果您發現有上述的問題,那恭喜您,中獎了!!碰到這種倒楣事如何解決呢?
首先,
把硬碟拆了,接到另一部電腦上。但這部電腦必須符合下面的條件:
- 有安裝最新更新的防毒軟體
- 並且Windows作業系統也更新到最新。
當您找到符合上述條件的電腦並接上硬碟後,請開始掃瞄這顆硬碟所有的磁區。以這次我使用的是 KAV 5.0 企業版是可以正確抓到這個病毒並順利刪除。以Windows XP 為例您會抓到下列的檔案:
- C:\WINDOWS\severe.exe
- C:\WINDOWS\vksrwh.exe, vksrwh.dll, vksrwh.oll
- C:\WINDOWS\system32\drivers\rurply.exe
- C:\WINDOWS\system32\conime.exe
- C:\WINDOWS\system32\hx1.bat
(如果是 Windows 2000則上述的檔案路徑請將 C:\WINDOWS 改為 C:\WINNT)
注意:掃瞄磁區請掃瞄兩次以上,以確認沒有任何的惡意檔案存在。
檔案掃瞄完畢後,將該硬碟再接回原來的電腦,從新開機。基本上會正常運作,但是每次開機都會看到這樣的訊息:
『Windows 找不到檔案或項目 "C:\WINDOWS\system32\drivers\conime.exe" 請檢查…』
沒關係,後續會告訴你如何處置。
步驟二:解放 regedit 可以使用
「開始」-「執行﹍」輸入 cmd,按[Enter]
c:\> cd \windows
c:\windows>ren regedit.exe regedit.scr
c:\windows>regedit.scr
這樣就可以順利將 regedit打開。請繼續…
當您可以執行 regedit 後,請於 regedit 內,
找到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
將裡面的機碼一一檢查一遍,只要該機碼對應右方畫面是指到
C:\WINDOWS\system32\drivers\rurply.exe
者,均將位於左方畫面的機碼刪除。比如你會看到 360Save.exe, avp.com, avp.exe, regedit.com, regedit.exe, msconfig.exe 等,這些檔名在右邊都對應到上述的 rurply.exe 這個檔案。這就是為什麼你執行 regedit, msconfig, avp(卡巴)無法執行的原因。所以將在 Image File Execution Options 下的 regedit.com, regedit.exe, msconfig.exe, avp.com, ... 等全部刪除。注意:沒有對應到 C:\WINDOWS\system32\drivers\rurply.exe 的,切記不要刪喔!!
找
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
將 Shell 這個機碼內在 Explorer.exe 後面的字串(C:\WINDOWS\system32\drivers\conime.exe)刪除,僅保留 Explorer.exe 即可;這個解決每次開機出現找不到 C:\WINDOWS\system32\drivers\conime.exe 檔案的錯誤訊息。
找
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\ShellNoRoam\MUICache
將
- C:\WINDOWS\system32\drivers\conime.exe
- C:\WINDOWS\system32\hx1.bat
- C:\WINDOWS\system32\severe.exe
- C:\WINDOWS\system32\vksrwh.exe
請不要手下留情!全部刪除。
找
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
檢查 CheckedValue 這個機碼是否為 DWORD且值為1,若不是DWORD請刪除重新建立一個。一般來說被感染的電腦這個機碼會被改為 「字串」型態,值會是0(零)。一般人只記得將1改為0卻沒注意到它的機碼型態為「字串」而非「DWORD」
這個部分解決在資料夾選項內無法顯示隱藏的系統檔。
做完上述註冊機碼調整後,請記得再將 C:\WINDOWS\regedit.scr 改名恢復 regedit.exe
c:\>ren c:\windows\regedit.scr c:\windows\regedit.exe
最後一個步驟:
檢查各個磁碟機(包含隨身碟)根目錄下是否有隱藏系統檔 autorun.inf 檔案,該檔案內容會看到 oso.exe 這個字眼。這也是為什麼會利用隨身碟感染另一部電腦。
請按照下面的作法處理:
「開始」-「執行﹍」輸入 cmd,按[Enter]
c:\>dir /as
看到 autorun.inf
c:\>del /a:h autorun.inf
c:\>dir /as
應該是看不到了。請依序將您可以連到的磁碟機均作一次上述的動作。以確保沒有 autorun.inf檔案存在。
最後,請您記得將日期、時間調回正確的日期時間喔!否則還是會在2004/1/22
到此,您就大功告成了!感謝上帝!!!
訂閱:
文章 (Atom)