网站建设资讯与资源共享
本文的意旨是让你学会如何在完全控制系统后保留自己的根用户权限。这是黑客们非常热衷讨论的话题,但同时也应该是系统管理员们必须非常留意的。本文不可能列出所有的后门技巧,因为这些方法实在是太多了。但我会在文章中尽量解释那些通用的方法和技术。
如果你作为(或者曾经作为)一名攻击者,花费了数周时间,才将一个帐号弄到手,但它的权限却实在可怜。这个系统据说非常安全,而你却希望能够更清楚地知道系统管理员究竟高明到什么程度。:) 于是你用尽了各种方法:IMAP、NIS、suid程序、错误的访问权限、进程竞争,等等,但仍然“不得其门而入”。最后,在一次偶然的情况下,你发现了系统管理员的一个小小失误,从而很快就获得了根用户权限。下一步要干什么呢?如何才能使你保留这个花费了如此长时间才完成的“艺术品”呢?
本章阐述各种级别的攻击。“攻击”是指任何的非授权行为。这种行为的目的在于干扰、破坏、摧毁你服务器的安全。攻击的范围从简单地使某服务无效到完全破坏你的服务器。在你网络上成功实施的攻击的级别依赖于你采用的安全措施。
⒈攻击会发生在何时?
大部分的攻击(或至少是商业攻击时间一般是服务器所在地的深夜。换句话说,如果你在洛杉矶而入侵者在伦敦,那么攻击可能会发生在洛杉矶的深夜到早晨之间的几个小时中。你也许认为入侵者会在白天(目标所在地的时间)发起攻击,因为大量的数据传输能掩饰他们的行为。有以下几个原因说明为什么入侵者避免大白天进行攻击:
黑客惯用手法揭秘 电脑网络就像一个潘多拉魔盒,光怪陆离、无所不有。但它在给人们的生活增添无穷乐趣的同时,也充斥着太多的骗局和陷阱,不时地令冲浪者防不胜防,这个无法回避的事实告诫人们在网上要时刻保持足够的警惕,那么,如何做呢? 网络上的诈骗大都来自于“黑客”。其实,“黑客”也并不是什么不食人间烟火的怪物,而是像你我一样活生生的普通人,许多被发现的“黑客”只不过是十几岁的中小学生。如果你掌握一些必要的网络知识,那么只要你愿意,完全也可以“黑”人家一把。当然,我并不是鼓励你这么去做,而是想说明:“黑客”并不神秘,所以,只要有心,我们完全能对付! 最“笨”的“黑客”采取的手段看起来很拙劣,他们的策略完全是“姜太公式的”,这类“黑客”往往在自己的主页上制造种种借口,或以大奖作诱饵,要求访问者留下自己的Internet用户名、账号、密码、信用卡密码等个人敏感信息,碰到这种情况,你千万千万要记住:不要一时冲动,将自己的资料和盘托出!不管对方吹得如何天花乱坠,只要做到心明眼亮,对方就只能徒呼奈何。 当然,“黑客”不都是如此“弱智”的,他们总是会绞尽脑汁地不断变换“作案”手法,千方百计地要攻破别人的城池。典型的做法是:“黑客”通过电子邮件,或在你下载软件的时候,神不知鬼不觉地将一些“神秘”的小程序悄悄地移植到你的机器上,这些小程序会潜伏下来,自动地修改操作系统的核心、开辟数据通道,留下一个危险的后门,当你的机器再一次联上网络时,它们就像“特洛伊木马”一样,将你的账号口令等信息传送给坐享其成的“黑客”。 因为这种“间谍”程序像正常软件一样,也在不断“升级”,所以要防范它们难免有挂一漏万的情况。但原则的做法是不变的,那就是:对电子邮件中的附件或邮件列表保持警觉,不要一收到信箱中就马上打开,只有待杀毒软件对它们验明正身后才可以放行;下载软件时尽量不要光顾那些不知底细的个人网站,而应去专业的下载站点,主要是为了安全,而且速度也有保证。另外,经常性地变换自己的账号口令也是必要的和明智的做法。 以上涉及的都是个人如何防备“黑客”的问题,与个人比较起来,企业网络的安全无疑要重要得多,无论是学校的机房,还是银行、商业机构甚至ISP,它们组建的网络一旦被侵犯,后果往往是不堪设想的。所以对于他们来说,“扎紧篱笆”、堵住“后门”就格外显得紧迫,而“专业”的“黑客”也往往以这类目标作为攻击对象。下面从黑客常用的攻击手段中撷取几种,让大家见识一下。 1真假李逵 在登录一些站点特别是那些提供个人服务(比如股票、银行)的站点时,站点往往会首先要访问者填写一些密码之类的个人信息后才能进入。一些“高明”的“黑客”正是利用了这个过程,精心伪造一个登录页面,抢在真正的登录页面之前出现,待你“认真”地写下登录信息并发送后,真正的登录页面才姗姗来迟,而这时你的秘密已被窃取了。今年9月份台湾发生的一宗网络银行诈骗案,狡猾的犯罪分子用的就是这种伎俩。对付此种“黑客”,最佳的解决之道就是防患于未然,经常查看服务器的运作日志,若发现疑点要坚决及早处理,将隐患消灭在萌芽状态之中。 2声东击西 一些“黑客”利用某些防火墙的漏洞,巧妙地将自己的IP请求设置成指向防火墙的路径,而不是受防火墙保护的主机,所以他们可以畅通无阻地接近防火墙,这时“黑客”已经达到了目的。因为此时他们完全可以虚晃一枪,利用防火墙作跳板,轻松地长驱直入,直捣主机!如果有这种情况发生,那就得考虑是否要更换防火墙了,或者升级原来的防火墙,为它打上补丁。 3一针见血 能够“修炼”到这种境界的一般都是“黑客”中的高手。他们凭借自己高超的技术,通过分析DNS(域名管理系统)而直接获取Web服务器等主机的IP地址,从而为打入“敌阵”彻底扫除障碍。对付这种“黑客”,几乎没有更好的办法,也许尽量不要接受免费域名服务是一个有点儿价值的措施,因为正规的注册域名服务一般都会有有效的安全手段,可以保证少受攻击或不受攻击。 4旁敲侧击 电子邮件其实是一种很脆弱的通讯手段,一方面,它的安全性很差,传送的资料很有可能丢失或被中途拦截;另一方面,“特洛伊木马”等“黑客程序”大都通过电子邮件这个途径进驻用户的机器。而电子邮件恰恰是网络上用得最多的东西,许多公众网站和大公司局域网,出于吸引访问者或工作的需要,提供免费邮件或内部邮件的服务,而邮件服务器就成了“黑客”们攻击的对象。大名鼎鼎的微软甚至也深受“黑客”之害,而被迫将邮件服务器关闭了一天。当然,防范这些“黑客”,可采用以下措施:如邮件服务器专设专用,不与内部局域网发生关系;开启防火墙的邮件中转功能,让中转站过滤所有出入邮件等等。 以上所述的只不过是有关网络安全的一小部分,还有许多现象没有谈及。其实,谈得再多也不能使我们完全看清网络上的所有“猫腻”,因为网络的开放性决定了它的复杂性和多样性。随着技术的不断进步,各种各样高明的“黑客”会不断诞生,同时,他们使用的手段也会越来越先进,要斩断他们的黑手是不可能的。我们唯有不断加强防火墙等的研究力度,加上平时必要的警惕,相信“黑客”们的舞台将会越来越小。
密码知识 前言 谈起密码算法,有的人会觉得陌生,但一提起PGP,大多数网上朋友都很熟悉, 它是一个工具软件,向认证中心注册后就可以用它对文件进行加解密或数字签名,PGP所采用的是RSA算法,以后我们会对它展开讨论。密码算法的目的是为了保护信息的保密性、完整性和安全性,简单地说就是信息的防伪造与防窃取,这一点在网上付费系统中特别有意义。密码学的鼻祖可以说是信息论的创始人香农,他提出了一些概念和基本理论,论证了只有一种密码算法是理论上不可解的,那就是 One Time Padding,这种算法要求采用一个随机的二进制序列作为密钥,与待加密的二进制序列按位异或,其中密钥的长度不小于待加密的二进制序列的长度,而且一个密钥只能使用一次。其它算法都是理论上可解的。如DES算法,其密钥实际长度是56比特,作2^56次穷举,就肯定能找到加密使用的密钥。所以采用的密码算法做到事实上不可解就可以了,当一个密码算法已知的破解算法的时间复杂度是指数级时,称该算法为事实上不可解的。顺便说 一下,据报道国外有人只用七个半小时成功破解了DES算法。密码学在不断发展变化之中,因为人类的计算能力也像摩尔定律提到的一样飞速发展。作为第一部分,首先谈一下密码算法的概念。 密码算法可以看作是一个复杂的函数变换,C = F M, Key ),C代表密文,即加密后得到的字符序列,M代表明文即待加密的字符序列,Key表示密钥,是秘密选定的一个字符序列。密码学的一个原则是“一切秘密寓于密钥之中”,算法可以公开。当加密完成后,可以将密文通过不安全渠道送给收信人,只有拥有解密密钥的收信人可以对密文进行解密即反变换得到明文,密钥的传递必须通过安全渠道。目前流行的密码算法主要有DES,RSA,IDEA,DSA等,还有新近的Liu氏算法,是由华人刘尊全发明的。密码算法可分为传统密码算法和现代密码算法,传统密码算法的特点是加密和解密必须是同一密钥,如DES和IDEA等;现代密码算法将加密密钥与解密密钥区分开来,且由加密密钥事实上求不出解密密钥。这样一个实体只需公开其加密密钥(称公钥,解密密钥称私钥)即可,实体之间就可以进行秘密通信,而不象传统密码算法似的在通信之前先得秘密传递密钥,其中妙处一想便知。因此传统密码算法又称对称密码算法(Symmetric Cryptographic Algorithms ),现代密码算法称非对称密码算法或公钥密码算法( Public-Key Cryptographic Algorithms ),是由Diffie 和Hellman首先在1976年的美国国家计算机会议上提出这一概念的。按照加密时对明文的处理方式,密码算法又可分为分组密码算法和序列密码算法。分组密码算法是把密文分成等长的组分别加密,序列密码算法是一个比特一个比特地处理,用已知的密钥随机序列与明文按位异或。当然当分组长度为1时,二者混为一谈。这些算法以后我们都会具体讨论。 RSA算法 1978年就出现了这种算法,它是第一个既能用于数据加密也能用于数字签名的算法。它易于理解和操作,也很流行。算法的名字以发明者的名字命名:Ron Rivest, AdiShamir 和Leonard Adleman。但RSA的安全性一直未能得到理论上的证明。 RSA的安全性依赖于大数分解。公钥和私钥都是两个大素数( 大于 100个十进制位)的函数。据猜测,从一个密钥和密文推断出明文的难度等同于分解两个大素数的积。 密钥对的产生。选择两个大素数,p 和q 。计算: n = p * q 然后随机选择加密密钥e,要求 e 和 ( p – 1 ) * ( q – 1 ) 互质。最后,利用Euclid [...]
php生成动态WAP页面 WAP(无线通讯协议)是在数字移动电话、个人手持设备(PDA等)及计算机之间进行通讯的开放性全球标准。由于静态的WAP页面在很多方面不能满足用户个性化的服务请求,因此通过WAP服务器端语言产生动态的WML页面,具有很广泛的应用价值和很高的商业价值。 WAP应用结构非常类似于Internet,一个典型的WAP应用请求是这样的:首先,具有WAP用户代理功能的移动终端(WAP手机等)通过内部运行的微浏览器(Micro Browser)对某一网站以无线方式发送WAP服务请求。该请求先由WAP网关截获,对信息内容进行编码压缩,以减少网络数据流量,同时根据需要将WAP协议转换成HTTP协议,然后将处理后的请求转送到相应WAP服务器。在WAP服务器端,根据页面扩展名等性质,被请求的页面直接或由服务器端脚本解释后输出,再经网关传回用户。 从上述WAP应用流程可以看到,生成动态WAP页面与动态产生Web网页的过程非常类似。但是由于WAP应用使用的WML语言来源于语法严格的XML,因此要求输出的格式必须按WAP网页的规范输出。同时,由于WAP协议的应用范围、移动客户端的软硬件水平等特殊性,对每次输出的页面的大小、图像的格式及容量都有一定限制。下面我们以PHP脚本语言为例,看看如何动态输出WAP页面。 一、设置WEB服务器 首先你的 Web服务器要安装好PHP,即能处理PHP脚本程序。其次,为使Web服务器能同时识别和处理PHP、WML、WBMP等文件,Web 服务器的MIME表需添加以下的几种文件类型。 text/vnd.wap.wml .wml image/vnd.wap.wbmp .wbmp application/vnd.wap.wmlc .wmlc text/vnd.wap.wmls.wmls application/vnd.wap.wmlsc .wmlsc 二、用PHP输出简单动态WAP页面 下面有一个最简单的PHP生成WAP页面的例子。注意由于需要PHP解释器来解释该程序,并输出WAP页面,因此所有类似程序应以.php为扩展名。 <?php header(″Content-type: text/vnd.wap.wml″); echo (″<wml> <card> <p>″); echo date( ″l dS of F Y h:i:s A″ ); echo (″</p></card></wml>″); ?> 该例子在WAP手机模拟器中可以浏览,输出当前日期时间,而在普通的浏览器中无法识别,甚至会被认为是错误下载。这是因为在程序开头就声明了该输出文档为WML类型,该类型只有WAP设备能够识别并解释。值得注意的是,我们常见的HTML语言对规范性要求不严,大多数浏览器能“容忍”其中相当多的编写错误,而WML规范相当严格,一点失误都可能导致无法输出所需页面。 一旦我们知道了用PHP脚本输出WAP页面的标准过程,我们就能够使用PHP强大的功能配合以WML语言的交互处理以及WML s cript的简单脚本,开发出适合我们需要的应用系统了。 三、用PHP动态生成图像 WAP应用使用一种特殊黑白的图像格式WBMP。我们可以用一些工具来将已有图像转换成WBMP格式,然后在WML文档中使用。但是在WAP站点上如果能动态地生成所需图像如K线图等,将会有广阔的应用前景。幸运的是,PHP的GD库(版本1.8以上)已经提供了相应函数。 <?PHP Header(″Content-type: image/vnd.wap.wbmp″); Sim = ImageCreate(50, 50); Swhite [...]
以前园子博客并没有专门为博客建立手机版本的,用手机默认浏览器打开很难看,今天在网上找到了基于 wordpress 的 MobilePress 插件,使用它可以很完美的实现博客在手机上显示。 网上也有很多方法可以实现将博客转化为手机版本的,但过程多数太复杂,在全英文的环境下有些朋友明显感觉有些犯难,其实想想何必呢。咱们要实现在手机上浏览网站的功能可能只是面对很小众的群体,也就只是供浏览而已,至于在博客上发布文章、修改文章等操作,又有几个人能用到? MobilePress 插件就这样应运而生了,它虽然是英文界面,但是非常之简单,我们只需要下载安装插件,甚至不需要做任何的设置,就可以完美的实现手机界面了。 先来看看园子博客在 E63 手机上的显示效果吧: 园子博客在手机上的显示效果 MobilePress 插件简介 MobilePress 是基于 WordPress 的插件,它通过浏览器的 User-Agent 判断出用户是否使用手机在浏览你的 WordPress 博客,然后给博客更换一款适合手机浏览的主题,让手机用户更好的浏览博客。 MobilePress 支持绝大多数手机,如 iPhone, Android, 黑莓, Windows CE, Nokia 等类型手机。 MobilePress 插件使用方法 1.在本文下方提供的链接下载 MobilePress 插件。 2.安装、激活,不需要做任何设置就可以通过手机浏览你的 WordPress 博客了。 MobilePress 插件下载: 点此下载 MobilePress 插件!
如果您想在您的网站中显示热门的文章排行,想知道一篇文章被点击了多少次,那么园子推荐您使用 WP-PostViews 插件 。 WP-PostViews 插件 用来统计一篇文章阅读次数,配合 WP-PostViews Widget 在侧边栏实现显示阅读次数最多的文章或者页面、某分类下阅读次数最多的文章等,完美支持 wordpress 2.7。 WP-PostViews 插件使用方法 首先到这里下载 WP-PostViews 插件,安装、激活。 激活后记得在插件管理页面启用 WP-PostViews Widget,默认是不启用的,启用后您就可以在后台的外观 > 小工具 里面添加 wp-postviews Widget 到合适的位置,根据需要拖动以调整顺序。 然后刷新前台显示页面,可以看到已经显示出了访问量最高的文章。 如果您使用的主题不支持 sidebar ,别担心。您只要把下面的代码加入到 sidebar.php 中合适的地方即可: 显示阅读次数最多的文章或页面: 1 2 3 < ?php if (function_exists(‘get_most_viewed’)): ?> < ?php get_most_viewed(); ?> < ?php endif; ?> 如果你只想显示阅读次数最多的文章,用下面这句: 1 2 3 < ?php [...]
望鱼乡位于雅安市城区以南35公里周公河的上游,毗邻洪雅县瓦屋山镇,因茶马古道在此没有驿站而形成场镇。望鱼老街建于明末清初,主要建筑坐落在突兀于山腰的一块巨石之上,因巨石形似一只守望着周公河游鱼的猫而得名。望鱼古镇的选址虽因驿道而兴起,但也体现了中国传统的风水观念,即“枕山、环水、面屏”等要素。 望鱼老街为一条狭长的一字形长街,一条青石板路纵贯全街面,路面已被岁月打磨得幽幽发光,漫步其上令人遥想起当年茶马古道上来往的客商与马帮。街道两侧全部为木结构青瓦房和吊脚楼,精致的瓦楞、墙角、窗棂和柱基石上的雕花显露出昔日的繁华。这些建筑曾经是衙门、银庄、当铺、药店、绣楼、旅店、饭馆、茶铺和戏台,现在大多已成为民宅。老街的两头古时设有栅道长长的石梯,可达到河边,并与新街相连,要进入老街,必须顺石梯登至山腰,表现出易守难攻的防卫性,是古集镇出于防御山匪流患的需要。 望鱼老街因地形限制,整体形态呈狭长形,建筑由长街串连布成,且多采用下店上宅或以天井分割前后不同功能,具有复合型的特点。房屋门面多为门板、滑槽和门枢孔构成。房屋的地坪有一定高差,有的门口还没有若干级石阶,台阶与街面有各种花疑义式样的孔洞相连,形成完整的排水系统。雅安古称“天漏”,当地雨水较多,住宅多用四合头式,又称“四水归池”式,四面屋檐相连,落雨时行人可从檐下走通各处。从老街朝山上走,可见一些人家的宅院建在山坡上,相比老街的居住建筑,院落的规模更加宏大,并留存有大量精美的木雕与石雕。 望鱼地处深山,规模较小,还不为人们熟知。像其它古村落一样,这里的年轻人大多外出打工去了,只留下一些老人和孩子,生活悠闲,与世无争,显得宁静而安祥,完全没有了当年茶马古道驿站的热闹,更没有现代都市的喧器。正是这淳朴的民风和古朴的老街融为一体,成为望鱼的一大亮点。 房屋 女孩 猫咪 老人与小孩 老人与小孩
一、WP-PostViews介绍 该插件实现的功能是统计某篇文章被阅读次数并且可以实现侧边栏 Widget 以及显示最受欢迎(阅读数最多)文章、某分类下最受欢迎(阅读数最多)文章等功能,支持最新的 WP 2.3 版本。 二、WP-PostViews安装方法 将解压得到的 postviews 文件夹上传到 /wp-content/plugins 文件夹中 激活 WP-PostViews 插件,然后可以去 Options 中设置 三、WP-PostViews使用方法 (一)一般应用 修改 /wp-content/themes/<YOUR THEME NAME>/index.php(single.php, post.php 或 page.php) 如果修改 index.php 找到 PHP代码 <?php while (have_posts()) : the_post(); ?> 将下面的语句添加到如何需要的地方 PHP代码 <?php if(function_exists(’the_views’)) { the_views(); } ?> 登录“WP-Admin -> Options -> Post Views”可以配置该插件 Count Views From 设置被统计的用户群 [...]
前几天我遇到了上传图片上传不了的问题,提示·“无法建立目录*****/wp-content/uploads是否上级目录没有写权限?”现在在参考网友的一些方法以后终于解决了,下面是具体方法: 上传必须满足一下条件: 一、确认空间支持PHP+MySQL 二、确认使用二进制上传文件 三、确认相关文件和文件夹的权限为777 这三点均得到确认的话应当没有问题 使用PHPMyAdmin进入数据库。数据库管理的高级管理可以进去。 找到wordpress数据库,打开wp_options表 修改表中键名为upload_path的键值 这个值是一个路径(可能在表的第二页) 里面是空的,添加“wp-content/uploads”就解决了。 其他的类似,只要添加正确的相对路径就可以了。