WIN-service服务与本地文件进程rdpclip

win系列服务器与本地文件直接复制粘贴。默认情况下进程是不启动的,需要手工在服务器上启动一下进程:rdpclip.exe 文件位置:c:\windows\system32\rdpclip.exe 。 启动后本地文件可以直接复制到服务器,服务器文件也可以直接复制到本地。不需要的时候可以关闭此进程。

WordPress 后台登陆又跳回登陆页面

WordPress 后台登陆又跳回登陆页面,网上查了下各种说法,不下8种,再补充一种原因,与其中一个原因的原理是一样的,设置Cookies的问题。用wordpress如果用第三方比如百度云,加速乐的CDN,默认有4个加速的项:静态资源加速,首页加速,目录加速,静态页加速。第一个静态资源加速是可以选的,首页加速也是可以的,只是更新的时候会出现延时情况,目录加速,慎选,对wordpress目录都是虚拟的,不是真正的目录,静态页加速对wordpress静态页是虚拟的,称伪静态,如果选择缓存也会出现相关问题,比如后台登陆不了等。因为CDN缓存的问题,会导致wordpress后台无法登陆。或者可以设置白名单,黑名单也可以解决此类问题。

基于WIN系列一个很难查找到的挂马thumbs.db

今天浏览自己的演示系统,奇怪,被挂黑链了,iframe框架链接的一个exe可执行文件,而且时而有,时而没有,有的时候用谷歌浏览器会自动下载并运行。试了服务器的好几个站点都存在这种问题,甚至只有html页面的站也存在这问题。奇怪了,难道apache环境被挂马了?找了下apache,没有第三方模块加载,找了许久也没找到问题。
一个疑点有了思路,看到站点虚拟目录的最新创建时间都是当天,而这几个站点今天不可能同时都在更新,难道所有站点都被挂马了?觉得不太可能,或者服务器被提权了?为何只挂web页面呢。用一份备份的程序替换了,打开网站依旧时而有挂马,时而没有挂马。最新下载一份Thinkphp框架,生成一个项目,依旧有挂马,不可能Thinkphp官网的程序被挂马。然后把虚拟站点文件夹隐藏属性取消了,显示隐藏文件,发现每个站点下都有一个thumbs.db 文件,理论上thumbs.db是缩略图缓冲文件,以为不会出现什么问题,实在找不到其他问题了,于是删掉这个文件后访问站点,果然挂马不在了。确定是thumbs.db文件的问题了。
百度查了下对于thumbs.db的说法有很多。百度讲:http://baike.baidu.com/link?url=9p0lOi4y1lqhluQNaR54KBhiWJhEUDMEcMXvkXkjm6X2FhJXDDL3gU38a04RxCJJNEtwyk_gKdlTGsO0q5WF8K?互动百度讲:http://www.baike.com/wiki/%E7%BC%A9%E7%95%A5%E5%9B%BE%E6%BC%8F%E6%B4%9E?可见此漏洞的危害性极大。是一个WINDOWS图形接口远程执行漏洞,尝试了把这个文件复制出,用360和小红伞等各种web安全软件和服务器软件,都是查不到任何信息。修复服务器漏洞看来真的是非常重要。
之前出现过一次问题,由于忽略了,并未细致检查原因,导致这次多个站点被挂马。解决方案需要配置下文件夹属性,不允许缩略图缓存就好了。同时微软出了漏洞补丁,也打下补丁。回头有时间研究研究这个高级的服务器漏洞。很奇葩的漏洞,中招后,实在难找出问题所在。
补充:微软官网补丁说明有可能提权,如果单纯是这一个文件提不了权,需要通过这个文件进一步交互才可以提权。如服务器已经被挂马,掺改,可以用以下批处理批量删掉并且设置文件夹属性中的缩略图缓存功能打勾。del /S *.db

搞安全的被骗钱了没脸说出去!!!

下午3点多的时候,身在外处的我慌慌张张的忙着事情,突然来了一条短信带来了不安,短信内容具体如下:

?您于8月19日15:53登录网上银行,登录编号69902601。如非本人操作,转发本短信至95588可强制退出,并尽快修改登录密码。【工商银行】?
奇怪了,工商网银2年没用过,怎么会登陆银行了呢。当时没在意,回头有时间再弄去吧。意外的事再次发生,有一个电话打来,电话号码是13006820052,估计是虚拟电话,显示是广东的,一听普通话就不标准,业务员说话不会这么不熟练。虽然是感觉到了,如果平时的话,会直接挂掉电话了,因为银行卡里有朋友的一笔钱,数目不大也不小,如果丢了真赔不起,于是就担心了,那人说网银被黑客盗了,在拍拍网刷游戏网点了,说被他们查到了,要一笔一笔返回来,当时旁边恰巧有个自动取款机,就去查了下,奇怪了,银行卡居然不好用了,插上去不识别,难道是自动取款机有问题?换了个自动取款机还是不好用,那人在电话里说他那里给我退款,把黑客刷的钱一笔一笔退回,说先给转了1W到银行卡,问我查下银行卡是否有收到,我查了下,银行卡又好用了,确实能查到有1W元了,当时是很紧张,以为真的被盗了。因为自动取款机显示的是事实,我的银行卡不可能被掉包过。于是打车找了一个工商银行查明此事。
? ? 进去查到了真相,原来是黑客把普通账户的钱转到理财账户了,通过自动取款机当然查不到有钱了,其一,我用银行卡查不到余额,不好用,这个预计是正在操作网银与卡同时在查询,一个异常事件,因为银行卡确实是好用的,而当时没钱的时候确实是查不了的,其二就是工商银行网银默认设置有问题,也可以说是业务漏洞,不过看网上好多人被骗过了,到现在也没有改过默认设置。
? ? 工商银行银行卡网银2年没用过,银行卡用过几次能数过来,Cookies欺骗和被劫的因素可以排除了,最大的疑点觉得是网上社工库公开过很多个人的账户,密码以及绑定的手机号,而且我的QQ号上面都公开的个人银行卡号,导致黑客猜解了账户密码。如果想进一步验证是否是此因素,可以找几个被骗的人,问下是否上网,是否经常去一些大型网站,论坛等,而这些大型网站和论坛都是被公开过数据库的。如果是一个农民,用银行卡,用存折,估计这种人遇到此类骗术的应该非常少,猜测是这样的。而且被骗的人很多都在网上发消息说被骗了***元。当然只是一种猜测了,具体需要相关工作人员去验证。
? ? 其次是工商银行一个比较大的问题,通过工商银行的操作,看到了一个选项,给我操作银行卡的时候,把贵金属理财账户的钱转到自己卡后,在默认设置里面有一个设置,是设置是否需要U盾或手机银行才可以操作普通账户和理财账户之间转账的项,而这个项的默认设置是不需要的,这样导致黑客猜解到银行卡账户,密码,网银密码可以直接把普通账户的钱转到理财账户,这样用银行卡通过自动取款机就查不到余额了,因为余额不在普通账户中。原理是这样的,工商银行存在这漏洞虽然不足以让黑客直接把钱转走,但是给了黑客一个骗钱的理由。话说知道银行卡账户,密码,网银,就这三个认证么,还是被欺骗了,总之工商银行这问题确实蛮严重的,看到很多人微博找你投诉赔钱,想知道你是肿么处理的呢。