网路游侠（张百川）

手头有几个网站：1个Z-Blog的博客、1个phpwind论坛、1个Discuz!论坛，流量又都不高，所以用个512M内存的VPS也足够用了，平时速度也还不错。

但是……网站算是网络安全类的，所以，对网站的攻击隔三差五也是有的。还好，多数时候是扫描、踩点，用某安全监控软件检测到的攻击企图最多的一天居然有8万次……不过由于装有安全软件，一般的SQL注入等攻击还是没什么问题的——直到遇到CC攻击。

最开始的表现是w3wp.exe耗费CPU资源，从30%一直到100%。

刚开始以为是程序或者数据库问题，查看了VPS上的程序，发现没有被篡改，然后对.mdb数据库进行了压缩，但是发现没效果。这个时候，我感觉，是遇到攻击了……于是下载了分析软件，发现大量请求是对Z-Blog博客程序的catalog.asp进行多参数提交，这个文件可以读取tags，而我网站的tags又比较多，所以频繁的查询必然造成性能的急剧下降。

可以看到，catalog.asp文件（其实还有几个，但是这个文件最明显）的执行速度，已经到了让人无可忍受的地步！

我想过把catalog.asp等文件删除或改名：但是并不能解决问题。删除了这个文件造成的流量损失和功能损失是我不能接受的；改名的话攻击者照样可以用改名后的文件进行攻击。

其实，针对这样的攻击，手工能做的事情非常有限！

找了几款安全防护软件，多数对CC的防范效果都不算好，不能说完全无效，却只有有限的防御效果。于是，最终我装上了安全狗！

安全狗分为2个版本：服务器安全狗、网站安全狗。前者主要对服务器进行安全防范，后者主要对WEB服务器进行安全防护。对于Web服务器而言，建议2个一起装。

在服务器安全狗开启DDoS防护功能：

在网站安全狗上开启CC攻击防护功能：

　　本文是2011年夏天写的，这个时候才发到网站，删掉了一些稍微敏感的东西。
　　目前，360的产品线，集中在：

　　·360安全卫士

　　·360杀毒软件

　　·360浏览器

　　·360压缩

　　·360企业定制版

　　等产品，最具影响力的是前三个。但是却不一定是最具盈利能力的，至少目前如此。
　　而，360终究，是要从赔本卖吆喝走向盈利，那么，怎么办？
　　个人认为，是：大方向免费，但针对个人和企业市场推广增值服务。
　　目前，360已经开始挖人或者团队，如从袁哥、赵武等。目前..

　　在大型网络中，我们需要对各类设备，如路由器、交换机、防火墙、Windows/Linux服务器、数据库等进行统一的运维日志管理，以及时了解网络的运维状况。



　　有朋友问：VMware支持syslog外发吗？这个——当然支持！



　　VMware ESXi 5默认支持syslog的转发。用VMware vSphere Client（当然，你登录的账号要有响应权限，默认root是有的）登录后，选中要配置的ESXi服务器，“配置→软件→高级设置→syslog→global”







　　在syslog下，你可以配置日志的各种信息，非常详细。其中Syslog.global.logHost是设置syslog服务器的地方。支持多个syslog服务器同时发送，用“,”隔开即可。同时支持多种协议，UDP、TCP，也支持SSL加密传输到syslog服务器。当然一般来说syslog服务器的默认端口是514，用UDP协议。我们这里写的是“192.168.1.119:514”，既采用UDP协议传输到192.168.1.119的514端口。



　　配置好后即时生效：







　　我们看到，已经在syslog服务器收到了相关信息。



　　当然，因为VMware通过syslog发送的日志是标准格式，因此并不像在VMware vSphere Client中的“事件”中查看日志那么容易阅读。下面图是VMware vSphere Client自带的事件分析：







　　不过，在企业中，日志会牵扯到各类设备，因此用syslog来进行统一的运维事件管理，也是比较好的解决方案。



作者：张百川（网路游侠）

网站：http://www.youxia.org

　　　转载请注明来源！谢谢合作[/img]..

　　在虚拟化领域，VMware、Citrix、Microsoft都有不错的解决方案，而在服务器虚拟化领域，VMware又占据着领导者地位，游侠（www.youxia.org）今天也装了个平台，与大家一起分享。



　　VMware的虚拟化产品，就个人、小企业而言，有Workstation、ESXi（vSphere，免费版）、VMware Server（免费版）可以选择，由于Workstation和VMware Server需要装在操作系统如Windows或Linux上，ESXi则内嵌操作系统，又免费，所以成了游侠的第一选择。



　　下载地址：https://www.vmware.com/tryvmware/index.php?p=free-esxi5&lp=defaul..

　　博客上一篇 [招商银行-快乐E购：无默认文档/未禁止目录浏览/备份文件随意下载] 提到无默认文档、未禁止目录浏览，下面说说这两个有什么危害：



　　无默认文档：网站其实是放在一个文件夹里面的文件，我们访问的时候以WEB形式返回给我们，比如一个网站有如下目录和文件：



999/

Css/

English/

a.jpg

anquandengji.htm

b.jpg

index.htm

beifen.htm

binyang/

browseCount.htm

bumendianhua.htm

bus.htm



　　一般而言，我们输入 www.youxia.org 就会返回一个文档给我们，就是这个网站..

　　此前游侠曾经在博客上给大家介绍过Windows平台下的日志转换为syslog的工具（常见Windows日志转SYSLOG工具使用、Evtsys--轻松将Windows日志转换为SYSLOG、SyslogGather--基于Windows的绿色版SYSLOG日志采集器、利用Kiwi Syslog Daemon架设syslog服务器），不过工具总是很多的，今天再给大家推荐一款——nxlog



　　下载地址：http://sourceforge.net/projects/nxlog-ce/files/



　　安装，因为是msi格式的，因此不说了。需要很简单的配置。



　　测试平台是Windows 7 64bit版，所以安装完毕之后，目录和文件..

-----------------------------------------------------

作者：张百川（网路游侠）

网站：http://www.youxia.org

欢迎转载，但请注明出处。谢谢！

-----------------------------------------------------



　　随着信息技术的高速发展，网络中的设备越来越多的，渐渐的我们发现依赖传统手段去一台台分析设备（路由器、交换机、防火墙、服务器、数据库、中间件等）的日志已经严重影响了我们的工作效率，并无法对业务系统的可用性提供保障。总是在问题出现之后才充当救火员的角色。所以，是时候对运维日志进行集中管理了。..

　　我们知道Acunetix WVS可以对网站进行安全性评估，那么怎么能批量扫描呢？游侠（www.youxia.org）在测试WVS 8 BETA2的时候发现WVS居然支持WEB管理，还是很方便的。

　　打开Acunetix WVS，点New Scan，在弹出来的界面可以看到有三个选项：



　　最下面一个：如果你想扫描一个网站列表，使用Acunetix计划任务，访问http://localhost:8181，打开后选择“+schedule new scan”：



　　有Basic options、Advanced options、Scan results and reports三个选项，第一个是基础选项。在Scan type选择Scan multiple websites，就是扫描多个网站。下面的List of URLs写上你要扫描的网址，一样一个。Recursion这里是扫描频率，一次、每天、每周、每月。

　　然后是高级选项：



　　扫描属性，默认、盲注、跨站、高风险等，按照自身需求配置，亦可在Acunetix WVS中提前配置，即可在这里显示。

　　扫描结果和报表这里，默认就可以：

　　此前游侠曾经写过在Windows下面安装Nessus的文章，然后就有朋友问我，在Linux下面怎么安装？今天游侠以CentOS 6为例，讲解如何安装Nessus 4.4.1 。
　　相关阅读：[免费网络和主机漏洞评估程序Nessus 4.2.0安装试用]、[Nessus浏览器打不开的解决方法]、[利用Nessus进行WEB应用安全扫描]
　　操作系统游侠推荐用wdlinux——一个精简的CentOS，删除了一些无用的程序，速度飞快。下载地址为：http://www.wdlinux.cn/download_center 选择 基于 CentOS 6.0的精简版，游侠这里用的是64位版本。
　　CentOS的安装游侠就不说..

　　这两天关于CSDN等一批网站的密码被公布的新闻散布在网络上，无论是科技类、安全类、黑客类的网站，还是博客、微博，都讨论得如火如荼。游侠发现一些人认为密码经过MD5处理之后，就安全了，就万无一失了，但是，真是吗？



　　我们知道，MD5的算法，已经被王晓云教授攻克，但是即便如此，对绝大多数人而言，甚至是绝大多数黑客而言，两个不同实体碰撞得到一个MD5也是有非常大的难度的（不过的确有人搞定了，某网站曾经发布了2个文件，不一样大小，却是一样的MD5值）。



　　游侠在这里要说的是：密码，即使用MD5处理，依然..

　　以前游侠曾经写过一篇 [一次利用社会工程学的简单入侵] ，今天看到另一篇文章 [反社会工程学培训：人为错误的第一道防线] 于是就有了本文的诞生……当然，在此之前，游侠也推荐您读一下这一篇 [2011年已知的第一起经典社会工程学入侵] ，相信您会对社会工程学入侵产生一定的兴趣。



　　其实，社会工程学入侵并不是新花样，但是在目前各种安全防护措施日渐繁多的情况下，越来越凸显出其重要性。因为无论是什么样的黑客，面对各种各样的防火墙、入侵防御、WEB应用防火墙、网页防篡改、防病毒过滤网关、WEB防护网关..

　　下文是前一段游侠（www.youxia.org）帮朋友写的一个文档，主要是分析厦门天锐的绿盾加密产品是否值得一做，现在放到博客，与大家共享。



　　绿盾产品来自厦门，从其产品资料和网站来看，不像北京的一些安全公司，天锐公司并没有很深的政府背景，所以，这也注定其只能靠产品来赢得市场，而不是政策和关系。



　　产品的主要模块：

　　·图纸文件加密

　　·文件外发控制

　　·打印内容监控

　　·内网行为安全

　　·外网安全管控

　　·U盘认证管理

　　·文..

最近，不止一个朋友和我说：不想干这个行业了。我问为什么？说感觉有点像骗人。并且几个都和我这么说。我说你强大的忽悠能力，骗了这么多人，突然良心发现了？



其实，安静下来想：自己有时候也在考虑这个问题——我们的所作所为，到底多少是真的从客户角度出发？客户的每一分钱，是否真的花到了点子上？



——不仅我犯嘀咕，可能犯嘀咕的人很多。



用户关心的，其实不是卖多少设备，而是：我最关心的问题，到底解决了没有？



防火墙厂商说：不买防火墙怎么行？这是基本安全措施；

杀毒软件厂商..

　　技术出身的很多人，最大的弱点就是把别人都当成熟悉这个行业的人。但是事实真不是这样。身边太多放弃个人市场，做高端市场，之后感觉不行，又走弯路的例子。曾经，某个客户桌子上有天融信、神州数码、瑞星三个厂家的资料，要买防火墙。他们说：瑞星很有名，硬件防火墙，也要瑞星的吧！——这就是市场。



　　如果OEM或者搞收购，一定要做好前期调研。某国内知名安全厂家，曾经信誓旦旦的发布过几款企业级产品，包括防火墙、内网管理、文档加密（记不清了，应该是如此），没多久就没了声音。后来又一次搞定了一个团队..

　　前几天就看到说创新工场旗下开发了针对网站的“安全宝”，游侠就去注册了个帐号。（www.anquanbao.com，有网站的朋友可以去注册），昨天把youxia.org的解析服务器改成了安全宝的：ns1.anquanbao.com和ns2.anquanbao.com。然后等待了十几个小时，刚才看到已经生效了。



　　安全宝的配置非常简单，页面上有个“一键保护”，选择就OK了，服务项目包括：



　　·启用安全宝服务：启用安全宝服务后，才可以配置安全宝的安全和加速配置。否则安全宝仅为您的域名提供解析服务。

　　·页面缓存：安全宝将缓存您的网站静态资源，进而提高您网站服务器的负载能力。

　　·页面压缩：安全宝将分析您的网站最常访问的文件，对其进行压缩，提高传输效率。

　　·盗链保护：保护网站上所有的（gif, ico, jpg, jpeg和png）资源，不被本域名之外的其他网站所引用。

　　·Web应用防火墙：全宝将为您的网站提供实时的WAF保护，避免您的网站遭受（SQL注入、XSS脚本）等post攻击。



　　一般而言，“意见保护”就可以了……可能是刚开始做的缘故，游侠认为还可以做的更细致一些，如：

　　·页面缓存可以设置，哪种类型的缓存，如：htm、html、jpg、gif，或者其它形式的

　　·盗链保护，最好可以设置黑白名单，只允许某几个站远程调用。

　　·Web应用防火墙的话，最好可以设置SQL注入、XSS等的开关，细致一些的，可以单独设置开关。并且最好可以自定义阻断页面。



　　采用了安全宝的服务之后，感觉ping的时候，从120降到了40。同时，因为以前用的是电信的线路，所以用联通线路访问的时候，很慢，并且经常性的打不开（恶劣啊，恶劣！直接打不开啊！），采用了安全宝的服务之后，不但速度有所提升，联通线路的也可以访问了，并且速度很快。



　　同时，安全宝有分析报告，包括：PV/流量统计、盗链统计、性能统计等。见图（我的还不到一天，所以用的是DEMO数据）：



　　包括：节约请求数、可用性、节约流量、平均加载时间等



　　“安全宝会自动缓存用户经常访问的内容，并把他们分发到部署在世界各地的缓存节点。”——所以，用安全宝，也实现了跨不同网络的问题。



　　总体而言，安全宝配置简单，功能实用。如果收费合适的话，非常值得一试！
 
游侠安全网（www.youxia.org）采用“安全宝”服务 http://www.youxia.org/2011/11/YouXia-AnQuanBao.html[/img]..