这几天我上因特网速度突然很慢,同时在操作电脑的时刻也发现系统速度很慢,然而我装的杀毒软件关于此病毒没有任何报警。审核计算机发如今系统进程表中有三四个msgfix.exe文件,而有时刻甚至少达六七个msgfix.exe文件(见图),CPU占用率经常高达80%以上。介绍文章用网络监测软件监测到该病毒计算机在攻打其余计算机“135、139、445、44444”等几个端口。我疑心是病毒所造成,启用杀毒软件查杀该病毒,结果显示“无病毒感化”,驳回到安保形式下经常使用手工肃清该病毒感化的文件msgfix.exe能肃清,然而重启计算机后不到3分钟,系统又出现感化病毒状况。网上求助得启示我上网去求助,发如今各大论坛上是“哭喊声一片”,四处都是求助如何查杀病毒感化文件Msgfix.exe帖子。有的说是波特变种F病毒感化惹起的,有的说是Worm_Timer.d或Worm_sdbot.c病毒感化惹起的等等。有一个帖子对我的启示很大:“病毒感化msgfix.exe文件,经过弱明码启动流传,修正注册表成功自启动,枚举本地IP地址,试图应用IPC弱口令将自己复制到别的主机上。”我细心剖析了一下,全校共有350多台计算机。依据我的考查,被感化的计算机只要30多台,进一步剖析发现Windows XP和Windows 98操作系统都没有被感化病毒,而Windows 2000操作系统中加用户明码的计算机也都没有被感化病毒,只要那些没有加用户明码的Windows2000操作系统的计算机被感化病毒。为什么Windows XP、Windows 98操作系统没有加用户明码都没有被感化病毒呢?我发现Windows XP操作系统自动是制止IPC$空衔接的,即:HKEY_LOCAL_MACHINE\Systen\CurrentControlSet \Control\Lsa下的“restrctanony mous”的键值是1,而Windows 98操作系统中基本就没有IPC$空衔接的名目。只管在Windows 2000操作系统注册表中 “restrctanony mous”的键值是0,即开启IPC$空衔接,然而假设用户设有明码,病毒则不可经过IPC$空衔接启动流传。找准关键,对症下如今,我曾经知道病毒的流传原理,即应用IPC弱口令将自己复制到主机上,修正注册表成功自启动,枚举本地IP地址。上方就入手杀毒,首先断开网线,重启计算机,按F8键进入安保形式,在安保形式下,修正注册表HKEY_LOCAL_MACHINE\Systen\CurrentControlSet\Control\Lsa下restrctanony mous的键值,把0改为1。同时肃清注册表中三个msgfix.exe文件,即:HKEY_LOCAL_MACHINE\Software \Microsoft \Windows\CurrentVersion\Run;HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runservices和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run下的msgfix.exe文件,而后肃清在操作系统盘下的一个msgfix.exe文件,即:C:\WINNT\system32\msgfix.exe 。而后用“开局→搜查→文件或文件夹搜查”看能否还有其余的msgfix.exe文件,如有则一概肃清,最后分开安保形式重启计算机。再次进入系统后,病毒没有再次出现,系统中也没有再发现msgfix.exe进程,杀毒成功。金小林战友为我提供了一个比拟不凡的自己入手查杀未知病毒的方法。这个方法关于很多关于注册表或许进程检查不相熟的好友来说,还是比拟艰巨的。然而很多好友可以学习金小林战友处置疑问的思绪。遇到未知病毒的袭击,在杀毒软件不可查杀的状况下,不慌张。首先去搜集病毒出现的症状和一些出现的不凡程序代码,而后经过网络去求助高手。兴许在很多时刻,咱们能够经过高手的揭示获取启示,让咱们找到查杀病毒的关键。
如何入侵jsp网站在用JSP制造的电子商务网站多如牛毛。然而关于JSP网站而言,安保性真的能够让人安心吗?面对层出不穷的黑客攻打和病毒袭击,JSP网站的主机能够比其余网站的主机器愈加安保吗?前段期间,应好友之邀,我对他们托管的三台主机的主机启动了测试,发现了JSP网站存在的几个疑问。介绍文章入侵测试第一步:扫描扫描是入侵的第一步,它可以让你对行将入侵的指标有一个片面的了解。同时扫描还有或许发现扫描对象的破绽,为入侵提供一个指点方向。好友的两台主机为Linux,一台为Windows系统,在路由器前面还有一台Cisco PIX 525对三台主机启动包全,只准许外部用户衔接不同主机的局部端口,例如80,25,110。依据检测,Cisco PIX防火墙过滤规定设置比拟严密,基本上没有多余端口准许外部用户访问。粗疏剖析后,我发现,指标网络的主机经过地址转换来提供对外访问,外部经常使用192.168.*.*地址段。先不思考那么多,找个扫描软件来看看主机的安保状况。我找来了X-Scan,在外部对这几台主机启动了端口扫描之后,生成了一份关于端口的报表,发现其中有一个Tomcat主机,解释的人造就是JSP文件了。小知识:Tomcat Web主机是一款开源的适宜于各种平台的收费网络主机。eBay.com与Dell 计算机等出名网站都驳回或许曾经驳回Tomcat的container容器口头Servlet 与JSP。看来,只能经过Web服务启动直接攻打。首先审核TCP 80端口的服务。我发现,资讯搜查的配置是由端口8080提供的,输入 http:// 202.103.*.168:8080/之后,获取了一个系统治理登录页面,便捷地测试了一下,输入“test/test”作为“用户名/口令”,仿佛认证成功,但实践上并不能进入下一个页面。专家支招:关于扫描来说,它很容易泄露咱们网站的弱势方面。应答扫描,咱们可以架设一个蜜罐来误导扫描者,蜜罐可以让系统伪装成四处是破绽,从而遮盖真正存在的破绽,也可以伪装成没有任何破绽,让入侵者不知道从何入手。入侵测试第二步:破绽尝试尝试JSP各种已知破绽,这个是在扫描结果中不可取得任何有效消息指点入侵的状况下,自愿经常使用的方法。这种方法只管效果不必定好,然而往往能够起到意想不到的效果,从而让入侵继续下去。我启动了JSP大小写的测试,由于JSP对大小写是敏感的,Tomcat只会将小写的jsp后缀的文件当作是反常的JSP文件来口头,假设大写了就会惹起Tomcat将index.JSP当作是一个可以下载的文件让客户下载,若干测试后,我发现这个方法并不奏效,或许治理员曾经在主机软件的网站高低载了最新的补丁。我发现大局部的JSP运行程序在以后目录下都会有一个WEB-INF目录,这个目录理论寄存的是JavaBeans编译后的class 文件,假设不给这个目录设置反常的权限,一切的class就会曝光。而驳回JAD软件对下载的class文件反编译后,原始的Java文件甚至变量名都不会扭转。假设网页制造者开局把数据库的用户名明码都写在了Java代码中,反编译后,说不定还能看到数据库的关键消息。那么,怎样获取这些文件呢?Tomcat版本的缺省“/admin”目录是很容易访问的。输入:,治理员目录赫然在列。自动状况下,“User Name”应该是admin,“Password”应该是空,输入用户和明码后,并点击“Login”按钮,不能进入,陆续经常使用了几个比拟经常出现的明码,也无济于事。自动状况下,Tomcat关上了目录阅读配置,而普通的治理员又很容易漠视这个疑问。也就是说,当要求的资源直接映射到主机上的一个目录时,由于在目录中缺少缺省的index.jsp等文件,Tomcat将不前往找不到资源的404失误,而是前往HTML格局的目录列表。想到了这点后,我关上刚才用X-Scan扫描后生成的报表文件,找到“安保破绽及处置打算”栏目,看到了几个或许会有CGI破绽的目录。在地址栏输入其中之一,前往结果如图1所示。