漏洞分析：nginx默认以cgi的方式支持php的运行，譬如在配置文件当中可以以

location ~ \.php$ {

root html;

fastcgi_pass 127.0.0.1:9000;

fastcgi_index index.php;

fastcgi_param SCRIPT_FILENAME /scripts$fastcgi_script_name;

include fastcgi_params;

}

的方式支持对php的解析，location对请求进行选择的时候会使用URI环境变量进行选择，其中传递到后端Fastcgi的关键变量SCRIPT_FILENAME由nginx生成的$fastcgi_script_name决定，而通过分析可以看到$fastcgi_script_name是直接由URI环境变量控制的，这里就是产生问题的点。而为了较好的支持PATH_INFO的提取，在PHP的配置选项里存在cgi.fix_pathinfo选项，其目的是为了从SCRIPT_FILENAME里取出真正的脚本名。
那么假设存在一个http://www.80sec.com/80sec.jpg，我们以如下的方式去访问

POC： 访问一个nginx来支持php的站点，在一个任何资源的文件如robots.txt后面加上/80sec.php，这个时候你可以看到如下的区别：

访问http://www.80sec.com/robots.txt

HTTP/1.1 200 OK
Server: nginx/0.6.32
Date: Thu, 20 May 2010 10:05:30 GMT
Content-Type: text/plain
Content-Length: 18
Last-Modified: Thu, 20 May 2010 06:26:34 GMT
Connection: keep-alive
Keep-Alive: timeout=20
Accept-Ranges: bytes

访问访问http://www.80sec.com/robots.txt/80sec.php

HTTP/1.1 200 OK
Server: nginx/0.6.32
Date: Thu, 20 May 2010 10:06:49 GMT
Content-Type: text/html
Transfer-Encoding: chunked
Connection: keep-alive
Keep-Alive: timeout=20
X-Powered-By: PHP/5.2.6

其中的Content-Type的变化说明了后端负责解析的变化，该站点就可能存在漏洞。

漏洞厂商：http://www.nginx.org

解决方案：

我们已经尝试联系官方，但是此前你可以通过以下的方式来减少损失

关闭cgi.fix_pathinfo为0

或者

if ( $fastcgi_script_name ~ \..*\/.*php ) {
return 403;
}

PS: 鸣谢laruence大牛在分析过程中给的帮助。

本文的主要目是介绍如何提高运行在Linux或UNIX类操作系统上的Nginx Web服务器的安全性。

Nginx默认配置文件和默认端口

◆ /usr/local/nginx/conf/ - Nginx服务器配置目录，/usr/local/nginx/conf/nginx.conf 是主配置文件

◆ /usr/local/nginx/html/ - 默认文档位置

◆ /usr/local/nginx/logs/ - 默认日志文件位置

◆ Nginx HTTP默认端口：TCP 80

◆ Nginx HTTPS默认端口：TCP 443

可以使用下面的命令测试Nginx的配置是否正确：

# /usr/local/nginx/sbin/nginx –t

输出示例：

the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
configuration file /usr/local/nginx/conf/nginx.conf test is successful
 

要让修改后的配置生效，执行下面的命令：

# /usr/local/nginx/sbin/nginx -s reload

如果要停止服务器，运行：

# /usr/local/nginx/sbin/nginx -s stop

1、开启SELinux

SELinux（安全增强的Linux）是一个Linux内核功能，它提供了一个机制支持访问控制安全策略，提供了巨大的安全保护能力，它可以防止大多数系统root级攻击，请参考“如何在CentOS/Red Hat系统上开启SELinux”（http://www.cyberciti.biz/faq/rhel-fedora-redhat-selinux-protection/）。

运行getsebool –a命令查看SELinux设置项：

getsebool -a | less
getsebool -a | grep off
getsebool -a | grep o
 

然后使用setsebool命令开启需要的配置项，注意：开启SELinux后，在RHEL或CentOS上通常会增加2-8%的系统开销。

2、通过mount参数提供最低权限

为你的/html/php文件创建独立的分区，例如，创建一个/dev/sda5分区挂载在/ngnix上，确定/ngnix使用了noexec，nodev和nosetuid权限挂载。下面是我的一个挂载实例：

LABEL=/nginx    
/nginx         
ext3  
defaults,nosuid,noexec,nodev 1 2
 

注意你需要使用fdisk和mkfs.ext3命令创建一个新分区。

3、通过/etc/sysctl.conf加固

可以通过/etc/sysctl.conf控制和配置Linux内核及网络设置。

另外，请参考：

# 避免放大攻击
net.ipv4.icmp_echo_ignore_broadcasts = 1
# 开启恶意icmp错误消息保护
net.ipv4.icmp_ignore_bogus_error_responses = 1
# 开启SYN洪水攻击保护
net.ipv4.tcp_syncookies = 1
# 开启并记录欺骗，源路由和重定向包
net.ipv4.conf.all.log_martians = 1
net.ipv4.conf.default.log_martians = 1
# 处理无源路由的包
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0# 开启反向路径过滤
net.ipv4.conf.all.rp_filter = 1

net.ipv4.conf.default.rp_filter = 1

# 确保无人能修改路由表

net.ipv4.conf.all.accept_redirects = 0

net.ipv4.conf.default.accept_redirects = 0

net.ipv4.conf.all.secure_redirects = 0

net.ipv4.conf.default.secure_redirects = 0

# 不充当路由器

net.ipv4.ip_forward = 0

net.ipv4.conf.all.send_redirects = 0

net.ipv4.conf.default.send_redirects = 0

# 开启execshild

kernel.exec-shield = 1

kernel.randomize_va_space = 1

# IPv6设置

net.ipv6.conf.default.router_solicitations = 0

net.ipv6.conf.default.accept_ra_rtr_pref = 0

net.ipv6.conf.default.accept_ra_pinfo = 0

net.ipv6.conf.default.accept_ra_defrtr = 0

net.ipv6.conf.default.autoconf = 0

net.ipv6.conf.default.dad_transmits = 0

net.ipv6.conf.default.max_addresses = 1

# 优化LB使用的端口

# 增加系统文件描述符限制

fs.file-max = 65535

# 允许更多的PIDs (减少滚动翻转问题); may break some programs 32768

kernel.pid_max = 65536

# 增加系统IP端口限制

net.ipv4.ip_local_port_range = 2000 65000

# 增加TCP最大缓冲区大小

net.ipv4.tcp_rmem = 4096 87380 8388608

net.ipv4.tcp_wmem = 4096 87380 8388608

# 增加Linux自动调整TCP缓冲区限制

# 最小，默认和最大可使用的字节数

# 最大值不低于4MB，如果你使用非常高的BDP路径可以设置得更高

# Tcp窗口等

net.core.rmem_max = 8388608

net.core.wmem_max = 8388608

net.core.netdev_max_backlog = 5000

net.ipv4.tcp_window_scaling = 1
 

◆ Linux VM调优（内存）子系统（http://www.cyberciti.biz/faq/linux-kernel-tuning-virtual-memory-subsystem/）

◆ Linux网络堆栈调优（缓冲区大小）提高网络性能（http://www.cyberciti.biz/faq/linux-tcp-tuning/）

4、移除所有不需要的Nginx模块

你需要最大限度地将Nginx加载的模块最小化，我的意思是满足Web服务器需要就可以了，多余的模块一个不留，例如，禁用SSI和autoindex模块的命令如下：

# ./configure --without-http_autoindex_module --without-http_ssi_module                               ]]> http://818.net.ru/read.php/5831.htm 方丹果舞 <admin@yourname.com> Sun, 27 Jun 2010 02:23:53 +0000 http://818.net.ru/read.php/5831.htm 安全运行。提升业务系统安全需要从业务流程、应用架构、应用系统等多个角度来思考从而寻求解决方案。因此，对于应用安全的关注度也逐渐升温。

面对来势汹汹的应用威胁，绝大多数企业并没有真正意识到其中的危机。一方面，恶意网站以600%的年增长速度在迅速增加;另一方面，77%带有恶意代码的网站是被植入恶意攻击代码的合法网站。如果把前者比作明枪还可以避免的话，那么作为暗箭的后者可以轻而易举地攻击无辜普通网站访问用户，进而危及企业信誉。

作为全球顶级的应用安全组织，OWASP（Open Web Application Security Project）中国将于2010年10月20-23日在北京举办OWASP 2010中国峰会，本次大会特意邀请政府、金融、互联网、教育、电信、能源等热门行业的CIO代表，国内外知名的应用安全专家、厂商代表共聚一堂，就应用安全及业务安全发展及技术创新等话题进行广泛而深入的讨论，同时也为广大从事应用安全研究的技术人员提供一个多元化的交流平台。我们聚合产官学力量，推动中国应用安全市场发展。

针对目前热点的安全技术，安全开发（SDL）、代码安全、渗透 测试等领域，我们将举办为期2天的培训，邀请全球顶级的安全专家，为您解读最新的、最热门的安全技术。

OWASP是一个开源的、非盈利的全球性安全组织，致力于应用软件的安全研究。我们的使命是使应用软件更加安全，使企业和组织能够对应用安全风险作出更清晰的决策。目前OWASP全球拥有130个分会近万名会员，共同推动了安全标准、安全测试工具、安全指导手册等应用安全技术的发展。

作为业界顶级的应用安全组织，OWASP在很多领域都体现了极其重要的作用：

·美国联邦贸易委员会(FTC)强烈建议所有企业需遵循OWASP所发布的十大Web弱点防护守则。

·美国国防部亦列为最佳实务。

·国际信用卡数据安全技术PCI标准更将其列为必要组件。

· 各类应用安全厂商（包括IBM\FORTIFY\HP\DBAPPSECURITY等），均将OWASP TOP 10列为应用安全风险基准。

OWASP研究内容：目前OWASP有30多个进行中的计划，包括最知名的OWASP Top 10(十大Web弱点)、WebGoat (代罪羔羊)练习平台、安全PHP/Java/ASP.Net等计划，针对不同的软件安全问题在进行讨论与研究。

    那么现在的QQ骗子/黑客都有哪些行骗和耍黑的手段呢？笔者和同事以及很多计算机爱好者在国内多个计算机技术、应用类论坛内（如霏凡、嬴政、中天、龙族、龙卷风、深度、木蚂蚁等）查阅了大量的帖子，然后再结合网友提供的相关信息，我们总结出了QQ 骗子/黑客比较常用的七大手段。

    1.QQ群内发带有木马病毒的链接

    经常QQ群聊的网友应该会经常遇到一些黄色信息链接，此类信息，特别是对一些辨别能力差、自控能力不够强的男性网友非常具有诱惑性。而发此类信息的 QQ用用户资料里大多是写着“寂寞MM”、“高校MM”、“寂寞少妇”、“丈夫不在家”、“不闲聊只视频”等信息。

    一旦用户点击进入此类网址链接后，页面内暗藏的木马病毒会迅速潜入到用户电脑中，然后搜寻指定的QQ目录，甚至会将用户保存在计算机内的银行帐号和密码统统窃走！

    通过QQ发布木马病毒

    此类情况一般常见于刚加入QQ群内的用户，他们的目的很简单，就是发个链接就算达到目的，不会考虑QQ群管理员是否会将它“踢”出群。由此，如果你在QQ群里发现了此类信息，特别是不怎么经常发言的网友，尤其要小心。

    重要提示：还有一种行骗方式是以FTP链接的方式。

    笔者曾昨天看到有人在QQ群内发布了一个FTP地址，里面有登录帐号和登录密码，声称其中有《集结号》DVD版下载，但是在登录该FTP地址后却发现里面什么都没有，当我意识到可能是陷阱后，用卡巴斯基扫描系统时，电脑内的“杀猪声”顿时此起彼伏！

    2.利用QQ空间冒充腾讯骗汇款

    “利用QQ空间冒充腾讯骗汇款”的情况笔者没有遇到过（可能是与我没有开通QQ空间有关），但是此类行骗方式也是很常见的一种方式，笔者同事就曾遇到这样的骗局。

    用QQ空间发布腾讯官方活动中奖信息 案例1

    用QQ空间发布腾讯官方活动中奖信息 案例2（点击放大）

    对此，腾讯官方已经有了很明确的提示页面，告知用户不要相信所谓QQ空间中存在的中奖信息公告。

    腾讯官方发布关于QQ空间虚假中奖信息的公告（点击放大）

    此类骗局，相对于第一种（QQ群内消息）来说更加隐蔽。QQ群内消息一般都是以“涉黄”内容为主，相对比较容易识破，而利用QQ空间行骗，只要骗子把内容写得很正式，口气很“官方”，不明真相的用户非常容易上当。

    重要提示：还有一些骗子懂得利用“免费QQ币+QQ官方”。

    有的QQ空间骗局还会直接告诉某用户“你将免费获得QQ币”，并留下QQ官方网址，而事实上，这些所谓官方网址都是虚假的，是“模仿腾讯官方”的网址。

    3.冒充腾讯官方骗取QQ密码

    冒充腾讯官方骗取QQ用户密码和骗取汇款的方式是一样的，也是利用了QQ空间这个工具。具体的是以QQ官方邮件的方式行骗。

    行骗邮件图

    亲爱的QQ空间用户：

    感谢您一年来对QQ空间的支持。在新春来临之际，我们祝您猪年如意，心想事成！在过去的一年，因为有您的关注与支持，我们取得了以下的突破与成绩：2007年QQ空间使用人数突破XXX万用户；黄钻用户突破XXX万用户；QQ空间主页http://qzone.qq.com排位上升至XXX名。

    为此，QQqzone空间在2007年X月举行了抽奖活动，您的QQ空间被评为最佳人气、最佳效果、最佳质量、最佳信誉奖之一奖项，为此将免费奉送您 QQqzone空间黄钻会员，已收费开通黄钻的用户将不再收费，我们将在您回复后的24小时内开通！

    领奖方式：请您在打开该邮件的24小时内，回复该邮件进行确认，回复方式：QQ号码＋QQ密码＋QQ空间名称＋任意四位数字。其中任意四位数字为用户您自行设置，在您进行开通查询时提供的验证码！您的关注是我们不断成长的动力，QQ空间有您更精彩！

    QQ空间团体 敬上

    特别提示：在QQ空间内以QQ邮件的出现的骗局在内容方面不唯一，大家须加倍小心。

    4.黑客通过QQ邮件种植木马病毒

    据来自腾讯官方的资料表明，有很
多QQ用户致电客服，声称QQmail收到“系统客服、10000、QQ邮箱管理员、 <10000@QQ.com> 、”等邮件，而在收取之后就发生了QQ密码被盗的情况。

    通过QQ邮箱传播木马病毒（点击放大）

    而制作一个带有QQ木马病毒的邮件代码网上比比皆是，任何一个有不良居心的人利用搜索引擎非常容易获得。

    制作带有木马病毒的QQ邮件

    一般的，上面这样的木马病毒邮件是隐藏在一封“非常官方”的QQ邮件内，令人防不胜防！

    特别提示：冒充腾讯官方发邮件，只要对方伪装的好，即便是“老鸟”级用户都有可能被欺骗，各位网友多加小心了！

    5.黑客假冒QQ管理员骗QQ号

    有黑客声称，他们曾经成功地潜入腾讯主页并寻觅到一些有数据和漏洞，然后他们在腾讯服务器上设置了个可以自动读取指令的代码，通过这些代码，腾讯服务器上就会以QQ管理员的身份发送消息给某些QQ号，要求用户将包含如下信息的资料反馈给他：

    消息中一般都包含有（收回QQ和找回密码等）这个QQ的号码是：283128315（腾讯公司为了不引起大家的注意，所以这个QQ比较普通，这个QQ 一般隐身）；                               ]]> http://818.net.ru/read.php/5829.htm 方丹果舞 <admin@yourname.com> Sun, 27 Jun 2010 02:23:52 +0000 http://818.net.ru/read.php/5829.htm 教大家紧急恢复受损的Windows系统的六种途径,当Windows系统一旦遇到无法启动或者运行出错的故障时，我们不妨使用下面的六项措施，来快速而有效地“急救”受损的Windows系统，说不定能收获奇效!

　　很多时候我们会发现自己的系统问题越来越多，如果将就使用，那系统运行效率肯定不会很高，甚至还无法正常运行，如果选择重新安装系统，那不但麻烦不说，而且还会耗费很长的等待时间。其实，当Windows系统一旦遇到无法启动或者运行出错的故障时，我们不妨使用下面的六项措施，来快速而有效地“急救”受损的Windows系统，说不定能收获奇效!

　　1、最后一次配置

　　Windows操作系统，每次成功启动之后都会对系统注册表进行自动备份，一旦我们发现Windows系统本次不能正常启动时，那多半是我们上一次对系统进行了错误的操作或者对某些软件进行了错误的安装，从而破坏了系统注册表的相关设置。此时，我们可以尝试使用上一次成功启动时的配置来重新启动一下计算机系统：只要在重新启动系统的过程中，及时按下F8功能键，调出系统启动菜单，然后选中“最后一次正确的配置”项目，这样的话Windows系统说不定又能启动正常了。

　　2、修复系统文件

　　如果Windows系统的某些核心文件不小心被损坏的话，那么即使使用“最后一次配置”，Windows系统也很难保证就能启动正常。如果Windows系统只是有少量的系统文件受损的话，那我们不妨借助Windows系统内置的SFC扫描修复命令，来尝试对那些已经遭受破坏的系统文件进行修复，一旦修复成功后，那Windows系统的启动又会恢复正常状态了。在修复受损系统文件时，只要依次单击“开始”/“运行”命令，在弹出的系统运行对话框中，输入字符串命令“sfc/scannow”，单击回车键后，该命令程序就会对系统每个角落处的系统文件进行搜索扫描，一旦发现系统文件的版本不正确或者系统文件已经损坏的话，它就能自动弹出提示界面,要求我们插入Windows系统的安装光盘，以便从中提取正常的系统文件来替代不正常的系统文件，从而达到修复系统文件的目的。要是系统修复操作成功的话，相信我们重新启动计算机系统时，就不会看到有什么不正常的现象了。

　　3、注销当前用户

　　如果Windows系统的受损部位只是由于安装了不恰当的软件，或者是对软件进行了不合适的设置引起的话，那么我们通常可以通过“注销当前用户”的方法，来对受损的Windows系统进行急救，因为软件对系统设置的影响往往只能限于当前登录的用户，一旦在当前用户状态下系统不能正常运行的话，我们完全可以注销当前用户，并以其他的用户重新登录系统，这样Windows一般又能恢复正常运行状态了。

　　在注销当前用户、换用其他用户登录系统之前，我们需要先打开系统的控制面板窗口，然后双击其中的“用户帐户”项目，再单击其后界面中的“添加”按钮，来重新创建一个新的登录帐号，同时为该帐号设置一个合适的访问密码，并将对应的帐号设置为超级管理员权限。

　　由于换用其他帐号登录Windows系统后，保存在当前用户目录下的一些重要数据可能就访问不到了，为此在注销用户之前，我们有必要打开系统的资源管理器窗口，找到当前帐号所对应的用户目录，例如要是当前登录系统的帐号为aaaa的话，那么系统默认的帐号目录应该为“C:\Windows\DocumentsandSettings\aaaa”，将该目录下面的一些重要数据全部备份到系统分区以外的其他分区目录中。

　　做好了上面的准备工作后，现在我们就能依次执行“开始”/“注销aaaa”命令，来将当前的登录帐号注销掉，然后重新用刚刚创建好的帐号登录Windows系统;在用新帐号成功登录进Windows系统后，我们再把前面备份好的重要数据恢复到当前帐号所对应的新用户目录下面，这样的话受损Windows系统就能恢复以前的正常运行状态了。

　　4、重注册DLL文件

　　Windows系统有时之所以会频繁受到损伤，主要是许多应用程序常常共享调用一些DLL文件，一旦有的应用程序在使用完毕被自动卸载掉后，这些应用程序所调用的DLL文件往往也会跟着被删除掉了，这么一来Windows系统或系统中的其他应用程序再次调用那些共享了的DLL文件时，就自然会发生错误现象了。

　　在急救那些由于系统DLL文件丢失引起的Windows系统运行不正常故障时，我们根本不需要重新安装操作系统，只需要对那些已经丢失了的DLL文件进行一下重新注册，就能让系统恢复正常运行状态了。考虑到我们并不知道究竟是哪一个或哪几个DLL文件被损坏了或丢失了，我们不妨通过下面的方法，来对系统所有的DLL文件都重新注册一下，而不需要单独对某一个或某几个DLL文件进行注册：

　　首先打开类似记事本这样的文件编辑程序，然后在对应的程序界面中输入如下命令行代码：

　　@echooff

　　for%1in(%windir%\system32\*.dll)doregsvr32.exe/s%1

　　将上面的命令行代码保存成一个扩展名为BAT的批处理文件，例如这里笔者假设将该代码内容保存为了repair.bat文件;其次为repair.bat文件创建一个快捷图标，并将该快捷图标直接拖放到系统的桌面上，等到日后需要对系统中的所有DLL文件进行重新注册时，我们只需要双击repair.bat文件的快捷图标，系统就会自动开始对所有的DLL文件执行重新注册操作了。一旦所有DLL文件被重新注册过之后，此时我们不妨再尝试运行一下Windows系统，相信此时的系统肯定会十分正常了!

　　5、恢复原始文件

　　如果Windows系统不正常运行的故障是由于系统注册表被意外破坏引起的话，那么我们完全可以借助常规的copy命令，来将系统原始的注册表信息直接复制到系统对应的目录下，这样可以快速地实现恢复受损系统文件的目的。由于Windows系统第一次被安装成功后，原始的注册表信息都会被自动备份保存到系统安装目录下面的Repair子目录中，因此我们只要将Repair子目录下面的注册表信息直接复制到系统的配置目录中就可以了：

　　如果本地计算机只安装了一个操作系统的话，那我们不妨借助Windows启动光盘，来将系统先引导到DOS命令行状态;如果本地计算机中安装了两个以上操作系统的话，那只需要将系统切换另外一个能正常运行的系统中就可以了;接下来在dos命令行状态，通过CD命令将当前目录切换到“%windir%\Repair”子目录状态下，并依次执行如下字符串命令：                               ]]> http://818.net.ru/read.php/5828.htm 方丹果舞 <admin@yourname.com> Sun, 27 Jun 2010 02:23:50 +0000 http://818.net.ru/read.php/5828.htm 网络游戏、聊天工具和各种网络服务中流通的虚拟货币、虚拟物品等被人称为虚拟财富，它已经可以和现实中的钱相互兑换，这也让它们产生了现实的价值。同时存在一群网络盗贼，他们对大家的虚拟财富虎视眈眈。虽然大家对虚拟财富小心谨慎，但是又找不到很好的方法来防范，造成了虚拟财富被盗的情况屡屡发生。当人们遗失虚拟财富后，总是懊恼不已，痛骂盗贼的卑鄙无耻。我们通过一些真实的案例来揭露盗贼使用的盗窃方法，让我们学会如何将虚拟财富保护好。     高危人群：网络新手 损失程度：★★★★★

    出没区域 ：《魔兽世界》等主流网游 特点：名为馈赠，实则盗窃

    偷的就是虚拟财富

    由于目前网络游戏的盛行，虚拟财产在很大程度上就是指网络游戏空间中存在的财物，包括游戏账号的等级、游戏货币、游戏人物拥有的各种装备等等，这些虚拟财产在一定条件下可以转换成现实生活中的财产。

    因为网络游戏的火爆，也增加了虚拟财富的火爆程度。在网上我们也随处可见各种虚拟财富的交易，90%以上的网络玩家都不同程度地参与了各种形式的虚拟财富交易。不久前，海口一名名叫阿海的高中生利用放假时间，瞒着家人以2500元的价格向网游中的“战友”购买了一把“屠龙刀”和一枚“戒指”，由此我们也可以看到虚拟财产在现实社会中的实际价值。

    既然虚拟财富这么有价值，那么就有不安好心的人对它虎视眈眈。导致了虚拟财富被盗事件屡屡发生。在我们的调查数据中，40%以上的玩家曾经一次或者多次被盗取虚拟财富。

    在网络盗贼使用的手段中，最常见的就是网络骗子冒充游戏中的“管理员”，向大家发送诸如中奖、超值服务、账号维护等虚假消息，让玩家向他提供账号、密码。只要玩家稍微疏忽大意就会上当受骗。后果就是游戏中的装备、虚拟货币被洗劫一空，让你的财富变成他的财富。

    为何网络骗子喜欢冒充“管理员”，那是因为管理员在这些游戏中具有举足轻重的作用，因为他们面向玩家，是厂商和玩家沟通的一个重要桥梁，通常管理员会第一时间通知各种新年大 优惠 、公司周年庆、网络系统升级等信息。久而久之，玩家对带有“管理员”这个称号的人都相当信任，这也给网络骗子提供了空间。

    有数据表明，95%以上的网络游戏玩家都曾经收到过这些虚假消息，而在收到这些消息的玩家中，又有20%会上当受骗，导致游戏装备游戏币以及账号的丢失。

    真实案例再现

    受害人：曾震

    损失金额：50000G币＋上网时间＋耗费精力≈3000元人民币

    2006年8月26日，《魔兽世界》的玩家小曾收到一封署名为“魔兽世界管理员”的电子邮件。邮件首先声称“由于游戏密码保护服务在功能上的不完善，加之部分用户遗忘了早期注册的密码保护资料，致使密码丢失后不能及时取回。为了解决日益严重的号码被盗问题，最大限度避免木马病毒等给游戏玩家带来的伤害，我们将在部分号码段试行新的实名密码保护系统”；接着让小曾填写一张和自己个人信息相关的表格，并且回复到指定的官方信箱。

    邮件末尾还特别提醒用户“填写此表格并成功递交，即表示您保证以上所填内容完全 准确 ，并同意任意一项内容失效均有可能导致丧失权利。如果您的资料不正确，我们将不做任何回执也不再另行通知”。

    于是小曾立即按照邮件内容填写了自己的相关资料并发送到指定信箱，结果第二天上网他就发现自己魔兽账户中的五万G币居然不翼而飞了（G币为《魔兽世界》里面的虚拟货币单位，按照网上最低价格，1G币＝0.05元人民币）。

    案例剖析

    在本案例中除了诈骗者利欲熏心以外，游戏玩家自身也存在很多原因。首先这些玩家上网的目的就是为网络游戏而来，虽然各个网站常常刊登一些网络诈骗的介绍，但是由于小曾每天只是简单的处于“两耳不闻窗外事，一心只在游戏中”的状态中，所以很容易被诈骗者的花言巧语甚至恐吓所欺骗。

    其次很多游戏玩家网络安全意识不强，虽然知道网络中账户被盗常常发生，但是过于相信所谓的“官方管理员”以及“官方的客服邮箱”等信息。所以就盲目的相信邮件中的内容并填写了自己的相关资料，殊不知这些信息都是可以轻易的进行伪造的。

    我们通过在一些C2C交易平台进行搜索，发现在淘宝网最低可以用5分钱买到一个G币，易趣网最低可以用6分钱买到一个G币。甚至有人通过购买低价的点卡，直接到《魔兽世界》游戏里面大量的收购金币，然后拿到网上进行贩卖从而获取差价。

    而购买者也不管这些购买的游戏币是如何获取的，正是由于存在着各种各样的利益关系，游戏账户被盗的事件才频频发生。

    四法则防范“管理员”偷钱

    针对网络骗子利用“管理员”身份进行诈骗的手段，我们可以利用

    下面四条法则进行防范。

    第一法则：地址定位法

    通常，管理员都是有固定的使用账号，不可能时时刻刻更换自己的账号。例如腾讯QQ的网络管理员的账号就是10000，可是很多网络骗子就是利用这种特点，将自己账号的昵称改为10000，以此来鱼目混珠混淆视听。所以在面对这些所谓的“网络管理员”的时候，用户首先通过账号来分辨真假，接着利用其他的手段比如对骗子的IP地址进行分析。

    如果一个腾讯的网络管理员的IP地址对应的是北京，那么他肯定就是一个“李鬼”，因为地球人都知道腾讯公司在深圳。

    第二法则：身份核实法

    本法则是针对官方论坛里面利用短消息来诈骗的防范方法。首先我们要查看该人的论坛级别，因为发布这些信息的一般都是论坛系统的总版主或总管理员。另外我们可以查看它的ID，总版主或总管理员的论坛ID都会很靠前的。                               ]]> http://818.net.ru/read.php/5828.htm 方丹果舞 <admin@yourname.com> Sun, 27 Jun 2010 02:23:50 +0000 http://818.net.ru/read.php/5828.htm 各位站长在建站过程中，可能都会遇到百度快照不更新的问题。我也不例外，帮朋友维护的一网站(葫芦岛滨海网)百度快照时间停在了8月7号，一直到17号也没更新，而同类网站的百度快照几乎天天更新。我这里说的是百度快照不更新，但网站的关键字排名却没有发生变化。

　　分析原因。这个网站(www.hld8.cn)也没有作弊的地方，这时我想到前几天空间一直打不开或许百度蜘蛛爬我站打不开导致快照不更新(劝各位千万不要贪小便宜买便宜空间还是找些大的IDC买空间用的也安心) 大家知道，如果网站打不开会导致蜘蛛无法抓取内容，百度会暂时停止网站的快照更新，等经过一定的周期，一般大约1个星期到1个月后，百度重新计算网站权重及外链质量后，会开始更新快照，并调整网站新的排名。不管怎么说，这个网站还是触发了百度快照不更新的导火索了。

　　另外，从网站活跃度来说。网站内容几乎天天更新。百度喜欢更新快的网站，喜欢有新鲜内容的;这不是造成百度快照不更新的原因。

　　分析同一IP下其它的域名在百度里的搜录情况。基本良好，没有作弊的网站。那么，同服务器网站作弊而受到牵累的情况也不存在，这也不是原因。

　　分析网站导出的外部链接。每个友情链接在百度里的收录情况基本良好，当然，其中也出现了一两个被K的，立即调整;分析同类网站，同样也有指向到被百度K的友情链接，而他们的快照天天更新，在百度里的收录情况良好。我想一两个被K的网站不是百度快照停止更新的原因吧。当然也不排除，如果是，那么受到牵累的也太多了。

　　从网站自身分析，也不存在过度SEO的情况。网站的投放的广告有阿里妈妈和Google adsense，但这不应该是原因。百度甚至都没有调整这个网站的关键词排名。似乎也难说百度是降权这个网站。

　　为了刺激百度蜘蛛来爬爬。只有勾引一下百度了。

　　在网站的首页添加纯文本描述“葫芦岛滨海网美女”，创造了唯一无二的新关键词“葫芦岛滨海网美女”。做好之后，到百度频繁更新的网站里去发个软文贴。比如《什么是葫芦岛滨海网呢?谁的站?》等，我只是到落伍者论坛和admin5论坛各发了个软文贴。

　　17号傍晚5点发布的帖子，第二天上午已经可以看到百度收录了我发在A5里的帖子。从百度快照可以看出。 那么发软文的时候就要注意自己的签名档了，比如在签名里加上一个指向目标网站的“葫芦岛滨海网“链接是可行的。然而，由于疏忽，我当时并没有在签名档里加上这样的一个连接。但有指向目标网站的其它描述的链接。可喜的是，百度在只能抓取标题中的“葫芦岛滨海网”的关键字的时候，也同样顺带访问了我的签名档里的链接。

　　接着，在18号下午，网站的百度快照时间已经发生更新，显示为8月17号也就是昨天的时间了。至此，刺激百度快照时间更新成功。今天是19号，百度对这个网站的快照时间也更新到了8号。

　　这里要注意的一点是，百度虽然快照时间更新了，但快照里的实际内容并没有发生变化，点击快照进入可以但到内容依然是百度在8月17号更新的。用百度的高级搜索，查询一个星期内收录的页面，可以发现，百度只是更新了这个网站的首页，而其它页面并没有更新。

　　也许，百度快照只是一个表象。时间更新了，快照内容抓取却停滞了。我认为，这应该是百度多个服务器之间，或者说快照服务器和一般的抓取蜘蛛服务器之间更新不同步所造成的。

　　木马和病毒的不同之处

　　早期病毒是寄生在程序文件中，杀毒是将寄生的程序文件清理干净并修复被感染的文件，这是传统杀毒引擎的强项。现在病毒概概念已经是非常广泛的，人民群众把任何对系统可能产生危害或异常的程序都叫病毒。

　　此后蠕虫、木马、黑客工具、后门程序泛滥，这些程序大多不以寄生的形式存在，而是一个全然和系统无关的新生文件，以各种可能的方式实现开机运行。清除木马，就是删除文件。经常在杀毒时，杀毒软件会对Backdoor、Troj、Hack、Worm等病毒文件删除。但是删除这些程序之后，还需要对这些程序修改的系统配置项进行还原，如果不修复被黑客、后门、木马程序破坏的系统配置项，开机时，或运行其它程序时，会弹出一些报错提醒，或者存在其它异常。

　　注意，这里提到木马、黑客、后门程序有几个共同的特点：

　　1.千方百计获得启动运行的机会;

　　2.全新的，非正常程序;

　　3.适用的清除方法是删除;

　　4.删除木马、黑客程序、后门程序后还需要修复被这些恶意程序破坏的系统配置。

　　清除工具的进化

　　至今，杀毒软件仍然是以文件引擎为主的，所以，杀毒软件对付黑客、木马、后门程序是首先尽可能的防御：当发现这些系统要访问、运行这些恶意程序时，文件引擎立即将其删除。

　　若黑客木马、后门程序、蠕虫已经入侵，造成事实上的破坏，怎么办?

　　杀毒软件的传统引擎仍然是删除文件，但杀毒软件对这些程序所破坏的系统配置信息怎么还原呢?至今，从纯粹的杀毒软件中，我们看不到解决的迹象。杀毒厂商是怎么解决的，其中经历了以下三个阶段

　　1.专杀工具

　　2.专杀工具集

　　3.通用的木马修复工具

　　这里简单说一下这三代产品。

　　专杀工具

　　简单说，就是分析一下某个木马或黑客程序的具体破坏行为，清除过程就是将木马运行后生成的文件，修改的配置全部有针对性的一次还原。优点是速度快，效果好。缺点是过于单一，只能解决一个或几个，病毒变种，或换修改方式后，必须升级专杀工具，才能解决。

　　专杀工具集

　　其实这东西，我们每个人都用过，典型代表是微软每个月升级都会发一个流行病毒的清除工具包，能对付几百个病毒木马。

　　还有就是金山清理专家、360卫士、金山卫士、Windows优化大师、系统清理大师等等。

　　这些工具的共性是收集流行木马、后门程序，将这些程序运行后造成的破坏全部记录在特征库中(不是杀毒软件的文件特征库，包括生成新文件、创建或修改注册表等后果)，一次扫描，比对恶意软件的破坏特征，再尽可能还原。

　　这些工具的清除效果取决于：

　　1.样本收集是否尽可能完整。

　　2.特征分析，清除引擎或效果是不是够高。重点，还是样本是不是收集的全。

　　优点是清除效果好，速度也快，缺点是必须加强样本收集和特征更新，出变种了不更新就搞不定。

　　通用的木马清除工具

　　以金山急救箱、网盾3.5为代表。前面提到，木马专杀工具集的处理效果不错，但必须频繁更新，并且，随着病毒样本库加的越来越多，清除速度会变慢，自身体积会越来越大。

　　金山急救箱和网盾3.5找到了新的处理思路：分析所有正常系统的加载点，使用云安全技术检查这些加载点对应的程序文件，若非正常文件，则适用非白即黑的原则，直接将其中的病毒木马程序删除，未知文件隔离。同时，将所有被修改的项全部还原为正常值。这是以不变应万变的修复策略。

　　特点是小巧，速度快，对升级的要求不高。现在用这个思路，基本上不管木马怎么变种升级版本，在绝大多数情况下，金山急救箱和网盾3.5不需要更新就可以迅速完成清除。

1、买家在购物时不要抱着贪小便宜的心理

　　例如同一件商品a卖家比b卖家卖得便宜很多时，您必需学会问自己，到底能不能这么便宜？还是一件冒牌货呢？记得我曾经就有过这样的经验。因为一时的贪小便宜买了一块比其他买家便宜50元的相机内存卡，结果只用了一个星期就坏了。当时，我立即要求卖家给我更换，结果对方手机已停用没办法联系上了。

　　2、 大牌子的厂家问题

　　在易趣、淘宝上有很多大牌子在销售。您只要打上sony可能出现一大堆您需要的商品，不过，在这时您千万不要冲动(当然了，因为它的价钱会比市面便宜很多)。当您看上某一卖家的商品时，必须要看他的商品销售的授权证明，因为名牌的东西，按大厂家的规矩他们一定会给卖家销售授权书的。不过根据我所知，关于大厂家们对网上销售的授权书考核得非常严格的。因为网上的价格太混乱，如果胡乱授权会直接影响他们的品牌档次。

　　3、如果您不能确认他卖的是否授权的商品时，请您不要太急去购买，首先看看卖家的评价。

　　不要只看一两条评价，起码要看一页以上。看看其他人收到货后的回评，最好能看到他们的中评和差评。和他交易过的人一定会给出的。不过值得提醒的是，如果这个卖家的评价中买家的留言全部只有“好”或“很好”时，您就要小心一些了。因为他有可能是通过不断交换评价来换取高信用度的，然后通过骗钱的手段来获利。在这里77dao建议如果和信用度低于500的买家进行交易时，请尽量要求卖家采用安付通进行交易。

　　4、买商品时买家一定要看清卖家写的商品描述

　　试过有一名卖家在卖价上标着商品的售价是8元，但商品描述中却写到拍下者需要付8000元，如拍下不买者给差评和警告的事情，别以为是说假的哦！真有其事呢！看清商品描述，可以知道您在拍下此商品时需要支付多少的邮资，还有没有其他额外的费用，以及您付款后多久才收到商品。这些都是十分必要的哦！

　　5、在买前必须先向卖家了解商品的售后服务如何，包括您在收到商品后在没有拆封或没有拉断标牌时的退货处理。

　　如果是电器的话，必须了解商品的保修期如何。请注意一点的是包退换与保修是不同的。包退换就是指可以再换回新的，而保修只属于坏了后进行维修其实的零件费又由谁人支付呢？这些都是很大水份的哦！

　　6、汇款和退换货给卖家时，一定要求是卖家本人的姓名签收

　　另外，如果在汇款或退换货后一定要保留您全部的交易单据，以防卖家不发货或不退回货款。

　　7、当您认为是被骗时，请您不要慌张 第一时间立即通过各种方法联系卖家 。

　　然后，立即向易趣或淘宝发出您的投诉，投诉内容要写清楚卖家的用户名、您和他交易的商品编号、您的汇款单或换货时的邮单、您需要的商品图片和交易进行的时间等，这些都是重要的证据。通过这些方法通常都可以追到这个卖家的。为什么？因为，易趣和淘宝都会联合到全国各地的警方的，对于这些网上骗子，只要您证据充足的话，警方就可以采取行动。你的放纵会使网络骗子越来越猖狂！

　　8、一定要记住尽可能不要进行私下交易。

　　9、一定要使用第三方担保，如支付宝一类的支付担保，确保安全，尽量不要直接汇款到银行账户。

　　[贰]在线买卖防骗技术指南

　　一：网上购物买家防骗术

　　1.李代桃僵(用户名及地址陷阱)

　　这种情况就是用账号名甲你的宝贝并付款，账号名乙去跟你联系，这两个用户名的名字很相像，比如紫紫免与紫紫兔，tyreal0316和tyrea10316。或者是在聊天中要求把东西发到一个与支付宝里所留收货地址不同的地址。这时候大家一定要小心。因为如果你一不留神，就会中骗子的圈套。这时候，骗子反而会投诉你，说你“收款不发货”，你又无法给支付宝充分的证据你确实发货了(你发货了，可发的地址不是骗子支付宝里留的地址)，这时候你应诉成功的机会不大。

　　对策：严格按照付款买家的地址发货，如果买家要更改收货地址，一定要让他在支付宝交易记录里更改。否则宁可交易不做，也不要给骗子留下机会。注意跟你联系的用户id是不是跟付款id完全一样，如果有差别，那就要提高警惕了。

　　2.空手套狼

　　买家说自己如何如何急用，而目前账号没有钱。等卖家发了货，就再也联系不上买家了。 或者是买家拍下宝贝，告诉你已经付款，让你赶紧发货。而你自己去查，交易信息里显示“等待买家付款”！这种情况对于卖点卡的卖家是很容易遇到的.....一定要小心。

　　对策：不见兔子不撒鹰，客户付款后才能发货。

　　3.暗渡陈仓(木马计)

　　买家会发给你个图片或者网址，“你家有这种款式的吗？”你打开后，中了木马，账户密码被盗，损失惨重。

　　对策：数字证书，防病毒软件，U盾一个都不能少……

　　另外是不要随便接收别人发来的图片，链接也要检查是否是可疑的地址。

　　4.树上开花

　　买家说有大订单，目前先定一个，要求给予低价优惠。

　　对策：一个就是零售价，批发低价等大订单再说吧。

　　5.移花接木(收货陷阱)

　　买家说收到货了，可收到的包里是个大砖头。你明明记得给他发的是数码用品呀，况且你又不是做建筑类用品销售的。用户要求退款，而且是把一个砖头退回来，不然就差评＋投诉。

　　对策：尽量用快递发货，要求客户当着快递面拆开。如果是平邮，在邮寄时，都会检查邮寄品，把发货详单当着邮局工作人员的面写清楚。                               ]]> http://818.net.ru/read.php/5826.htm 方丹果舞 <admin@yourname.com> Sun, 27 Jun 2010 02:23:49 +0000 http://818.net.ru/read.php/5826.htm 用WINDOWS XP的软件限制策略，开始--运行--GPEDIT.MSC--确定，打开组策略编辑器，依次展开计算机配置---windows设置--安全设置--软件限制策略--其他规则，在右面窗口中点右键，选新散列规则，点击浏览，找到游戏的可执行文件，然后将其安全级别设置为不允许的，建议对游戏目录下的所有应用程序都这样做（如果你觉得要更保险的方法就是对游戏目录下的所有文件都这样做，可以防止采用下载游戏更新包更新后使刚才设置的规则失效，因为这个规则是基于文件内容的，只要文件内容被更改，策略就失效了，我想不会有那款游戏一次把所有的游戏文件都更新吧）就可以了，以后不管他将这个游戏放到什么磁盘什么目录下，都无法被windows运行

上面的朋友的方法也可以限制程序运行，但是一旦游戏的安装目录更改到其他文件夹了，那么这种限制方法也就没有作用的了.

      另外一法:

      在运行输入gpedit.msc

依次展开该窗口中的“用户配置”/“管理模板”/“系统”项目，在对应“系统”项目右边的子窗口中，双击“不要运行指定的windows应用程序”选项，在其后弹出的界面中，将“已启用”选项选中。随后，你将在对应的窗口中看到“显示”按钮被自动激活，再单击“显示”按钮，然后继续单击其后窗口中的“添加”按钮，再将需要运行的应用程序名称输入在添加设置框中，最后单击“确定”按钮;

    方法三,1

-internet选项-安全-自定义级别-文件下载-禁用

2

在Windows XP中:

Guest帐户允许其他人使用你的电脑，但不允许他们访问特定的文件，也不允许他们安装软件。

3 一运行gpeditmsc打开组策略，在管理模板里打开windows组件，有个windows安装服务，将右边的东西你看一下,具体方法:运行gpeditmsc->计算机配置->管理模板->windows组件->ms installer->启动“禁用ms installer"以及“禁止用户安装”

Windows Installer右边窗口中双击 禁用Windows Installer选中已启用，点确定

策略里启用：禁用“添加/删除程序”,再启用下面的策略：控制台－－用户配置－－管理模板－－系统”中的“只运行许可的Windows应用程序”，在“允许的应用程序列表”里“添加允许运行的应用程序而让你运行的程序限制又限制

可以在组策略里作出限制，但只要使用者可以进入组策略，那他还是可以安装文件的，设置的方法进入组策略后，进入用户权限设置里找到安装文件项删除所有用户名就可以

4

我的电脑上----右键选管理-----打开服务和应用程序里面的服务------在右边查找Windows Installer-----双击打开，将启动类型改为已禁止

这样子大多数安装程序就不能安装了，因为他会禁止掉所有需要调用WINDOWS INSTALLER的安装程序，尤其是那些*msi的肯定不能安装的

5

在控制面板里的用户帐号里面,建立一个帐号,不给安装权限,自己想安装的时候就点右键选择以管理员帐号来运行这个安装程序,一些要修改系统文件的程序也用这个办法来运行

进管理员帐户：

gpedit.msc－计算机配置－WINDOWS设置－安全设置－用户权利指派下面有装载和卸载程序允许信任以委托

方法四>

用《冰盾系统安全专家》这个软件很好用建议你去试一下。

参考资料：我是在《电脑谜》上看的，我也用了一下很好用。

方法四,最好

一.运行gpedit.msc打开组策略，在管理模板里打开windows组件，有个windows安装服务，将右边的东西你看一下,具体方法:运行gpedit.msc->计算机配置->管理模板->windows组件->ms installer->启动“禁用ms installer"以及“禁止用户安装”