zeuux-universe  - 讨论区

标题:[zeuux-universe] 中国黑客攻占靖国神社

2008年12月26日 星期五 01:05

Kermit Mei kermit.mei在gmail.com
星期五 十二月 26 01:05:38 CST 2008

刚才看到一个很顶的新闻:
http://tech.163.com/08/1225/11/4U0M741J000915BF.html

这让我想起了前几天讨论到的 “红客”。
看来是“红客”这个词是很有必要存在地,骇客之行为,性黑客之大义,呵呵。

好奇之下,我想问个技术问题: 这种对网站进行攻击没有办法物理防范吗?

经常听到类似新闻,为什么不能从物理上禁止从外网登录的用户(包括管理员)
对服务器内容具有 write 权限呢?  我想,除此之外应该还有更好的安全解决
办法,望各位不吝赐教!

[导入自Mailman归档:http://www.zeuux.org/pipermail/zeuux-universe]

2008年12月26日 星期五 01:15

Corsair chris.corsair在gmail.com
星期五 十二月 26 01:15:36 CST 2008

On Fri, Dec 26, 2008 at 01:05:38AM +0800, Kermit Mei wrote:
> 刚才看到一个很顶的新闻:
> http://tech.163.com/08/1225/11/4U0M741J000915BF.html
> 
> 这让我想起了前几天讨论到的 “红客”。
> 看来是“红客”这个词是很有必要存在地,骇客之行为,性黑客之大义,呵呵。

攻克了,又能怎么样...

> 好奇之下,我想问个技术问题: 这种对网站进行攻击没有办法物理防范吗?
> 
> 经常听到类似新闻,为什么不能从物理上禁止从外网登录的用户(包括管理员)
> 对服务器内容具有 write 权限呢?  我想,除此之外应该还有更好的安全解决
> 办法,望各位不吝赐教!

啥叫物理防范。真正的物理防范是拔网线吧。如果是防火墙什么的,还不都是靠
软件。

-- 
There is no emotion; there is peace.
There is no ignorance; there is knowledge.
There is no passion; there is serenity.
There is no death; there is the Force.
-------------- 下一部分 --------------
A non-text attachment was scrubbed...
Name: 不可用
Type: application/pgp-signature
Size: 197 bytes
Desc: 不可用
URL: <http://www.zeuux.org/pipermail/zeuux-universe/attachments/20081226/d227a6b6/attachment-0001.bin>

[导入自Mailman归档:http://www.zeuux.org/pipermail/zeuux-universe]

2008年12月26日 星期五 02:38

Kermit Mei kermit.mei在gmail.com
星期五 十二月 26 02:38:43 CST 2008

Corsair wrote:
> On Fri, Dec 26, 2008 at 01:05:38AM +0800, Kermit Mei wrote:
>   
>> 刚才看到一个很顶的新闻:
>> http://tech.163.com/08/1225/11/4U0M741J000915BF.html
>>
>> 这让我想起了前几天讨论到的 “红客”。
>> 看来是“红客”这个词是很有必要存在地,骇客之行为,性黑客之大义,呵呵。
>>     
>
> 攻克了,又能怎么样...
>   
只是想到了前天问道的那个"红客"的概念,有感而“发“。
我更关心的问题是后面问的那个。
>   
>> 好奇之下,我想问个技术问题: 这种对网站进行攻击没有办法物理防范吗?
>>
>> 经常听到类似新闻,为什么不能从物理上禁止从外网登录的用户(包括管理员)
>> 对服务器内容具有 write 权限呢?  我想,除此之外应该还有更好的安全解决
>> 办法,望各位不吝赐教!
>>     
>
> 啥叫物理防范。真正的物理防范是拔网线吧。如果是防火墙什么的,还不都是靠
> 软件。
我说的物理防范是这个意思:
限定root用户的物理入口,典型的做法就是外网
的用户不能以root权限登录系统,而且,外网进入的
数据不允许写入root用户操作的特定物理磁盘。
系统管理员必须在指定的工作地点才能完成对服务器的
维护工作。也就是说,如果人到不了办公室,即便知道
root密码也不允许其以root身份进入系统。

不知这种方法是否奏效?


不过,这个方法有一个最大的局限:就是现在绝大多数服务
器都是租用远程物理服务器的,这么做无疑阉割了远程控制
的功能。因此对那些成本较低的小网站是不可取的。









[导入自Mailman归档:http://www.zeuux.org/pipermail/zeuux-universe]

2008年12月26日 星期五 09:10

Jianjun Kong jianjun在zeuux.org
星期五 十二月 26 09:10:39 CST 2008

On Fri, Dec 26, 2008 at 02:38:43AM +0800, Kermit Mei wrote:
> Corsair wrote:
>>> 刚才看到一个很顶的新闻:
>>> http://tech.163.com/08/1225/11/4U0M741J000915BF.html
>>>
>>> 这让我想起了前几天讨论到的 “红客”。
>>> 看来是“红客”这个词是很有必要存在地,骇客之行为,性黑客之大义,呵呵。
>>
>> 攻克了,又能怎么样...
>>   
> 只是想到了前天问道的那个"红客"的概念,有感而“发“。
> 我更关心的问题是后面问的那个。
>>   
>>> 好奇之下,我想问个技术问题: 这种对网站进行攻击没有办法物理防范吗?
>>>
>>> 经常听到类似新闻,为什么不能从物理上禁止从外网登录的用户(包括管理员)
>>> 对服务器内容具有 write 权限呢?  我想,除此之外应该还有更好的安全解决
>>> 办法,望各位不吝赐教!
>
>   
>> 啥叫物理防范。真正的物理防范是拔网线吧。如果是防火墙什么的,还不都是靠
>> 软件。
> 我说的物理防范是这个意思:
> 限定root用户的物理入口,典型的做法就是外网
> 的用户不能以root权限登录系统,而且,外网进入的
> 数据不允许写入root用户操作的特定物理磁盘。
> 系统管理员必须在指定的工作地点才能完成对服务器的
> 维护工作。也就是说,如果人到不了办公室,即便知道
> root密码也不允许其以root身份进入系统。
>
> 不知这种方法是否奏效?

这或许能起到一定作用,记得前段时间有个漏洞,运行程序就能获取root权限,那么这也没用。
攻击的原理、路径有很多,所以绝对的安全是不存在的。

> 不过,这个方法有一个最大的局限:就是现在绝大多数服务
> 器都是租用远程物理服务器的,这么做无疑阉割了远程控制
> 的功能。因此对那些成本较低的小网站是不可取的。

-- 
Jianjun Kong |Happy Hacking
Homepage: http://kongove.cn
Gtalk:KongJianjun在gmail.com

[导入自Mailman归档:http://www.zeuux.org/pipermail/zeuux-universe]

2008年12月26日 星期五 09:19

Sutra Zhou zhoushuqun在gmail.com
星期五 十二月 26 09:19:55 CST 2008

2008/12/26 Jianjun Kong <jianjun在zeuux.org>:
> On Fri, Dec 26, 2008 at 02:38:43AM +0800, Kermit Mei wrote:
>> Corsair wrote:
>>>> 刚才看到一个很顶的新闻:
>>>> http://tech.163.com/08/1225/11/4U0M741J000915BF.html
>>>>
>>>> 这让我想起了前几天讨论到的 "红客"。
>>>> 看来是"红客"这个词是很有必要存在地,骇客之行为,性黑客之大义,呵呵。
>>>
>>> 攻克了,又能怎么样...
>>>
>> 只是想到了前天问道的那个"红客"的概念,有感而"发"。
>> 我更关心的问题是后面问的那个。
>>>
>>>> 好奇之下,我想问个技术问题: 这种对网站进行攻击没有办法物理防范吗?
>>>>
>>>> 经常听到类似新闻,为什么不能从物理上禁止从外网登录的用户(包括管理员)
>>>> 对服务器内容具有 write 权限呢?  我想,除此之外应该还有更好的安全解决
>>>> 办法,望各位不吝赐教!
>>
>>
>>> 啥叫物理防范。真正的物理防范是拔网线吧。如果是防火墙什么的,还不都是靠
>>> 软件。
>> 我说的物理防范是这个意思:
>> 限定root用户的物理入口,典型的做法就是外网
>> 的用户不能以root权限登录系统,而且,外网进入的
>> 数据不允许写入root用户操作的特定物理磁盘。
>> 系统管理员必须在指定的工作地点才能完成对服务器的
>> 维护工作。也就是说,如果人到不了办公室,即便知道
>> root密码也不允许其以root身份进入系统。
>>
>> 不知这种方法是否奏效?
>
> 这或许能起到一定作用,记得前段时间有个漏洞,运行程序就能获取root权限,那么这也没用。
> 攻击的原理、路径有很多,所以绝对的安全是不存在的。
>
>> 不过,这个方法有一个最大的局限:就是现在绝大多数服务
>> 器都是租用远程物理服务器的,这么做无疑阉割了远程控制
>> 的功能。因此对那些成本较低的小网站是不可取的。
>
这种改网页的攻击大部分是利用服务器(IIS)或者脚本(ASP,PHP,JSP等)的漏洞。

[导入自Mailman归档:http://www.zeuux.org/pipermail/zeuux-universe]

2008年12月26日 星期五 09:23

monnand monnand.deng在gmail.com
星期五 十二月 26 09:23:10 CST 2008

Kermit Mei 写道:
> 刚才看到一个很顶的新闻:
> http://tech.163.com/08/1225/11/4U0M741J000915BF.html
>
> 这让我想起了前几天讨论到的 “红客”。
> 看来是“红客”这个词是很有必要存在地,骇客之行为,性黑客之大义,呵呵。
红客举行的几次所谓中美黑客大战, 其实最后都是到了美国的陷阱网络了. 到后来 
每一个操作都被人家记录下来当做证据了.只是因为没造成什么损失, 人有太多, 
就没追究. 我不认为这种攻击行为有什么"义"在里面.
>
> 好奇之下,我想问个技术问题: 这种对网站进行攻击没有办法物理防范吗?
拔网线, 不连因特网, 只连自己的局域网.
>
> 经常听到类似新闻,为什么不能从物理上禁止从外网登录的用户(包括管理员)
> 对服务器内容具有 write 权限呢?  我想,除此之外应该还有更好的安全解决
> 办法,望各位不吝赐教!
是不是更好很难说, 但是折中的办法还是有很多的. 不致于采用拔网线的极端手法.
> _______________________________________________
> zeuux-universe mailing list
> zeuux-universe在zeuux.org
> http://www.zeuux.org/mailman/listinfo/zeuux-universe
>
> ZEUUX Project - Free Software, Free Society!
> http://www.zeuux.org


-- 
Regards

monnand
Email: monnand在gmail.com
GTalk: monnand在gmail.com



[导入自Mailman归档:http://www.zeuux.org/pipermail/zeuux-universe]

2008年12月26日 星期五 12:38

cocobear cocobear.cn在gmail.com
星期五 十二月 26 12:38:22 CST 2008

On Fri, 26 Dec 2008 02:38:43 +0800
Kermit Mei <kermit.mei at gmail.com> wrote:

> Corsair wrote:
> > On Fri, Dec 26, 2008 at 01:05:38AM +0800, Kermit Mei wrote:
> >   
> >> 刚才看到一个很顶的新闻:
> >> http://tech.163.com/08/1225/11/4U0M741J000915BF.html
> >>
> >> 这让我想起了前几天讨论到的 “红客”。
> >> 看来是“红客”这个词是很有必要存在地,骇客之行为,性黑客之大义,呵呵。
> >>     
> >
> > 攻克了,又能怎么样...
> >   
> 只是想到了前天问道的那个"红客"的概念,有感而“发“。
> 我更关心的问题是后面问的那个。
> >   
> >> 好奇之下,我想问个技术问题: 这种对网站进行攻击没有办法物理防范吗?
> >>
> >> 经常听到类似新闻,为什么不能从物理上禁止从外网登录的用户(包括管理员)
> >> 对服务器内容具有 write 权限呢?
> >> 我想,除此之外应该还有更好的安全解决办法,望各位不吝赐教!
> >>     
> >
> > 啥叫物理防范。真正的物理防范是拔网线吧。如果是防火墙什么的,还不都是靠
> > 软件。
> 我说的物理防范是这个意思:
> 限定root用户的物理入口,典型的做法就是外网
> 的用户不能以root权限登录系统,而且,外网进入的
> 数据不允许写入root用户操作的特定物理磁盘。
> 系统管理员必须在指定的工作地点才能完成对服务器的
> 维护工作。也就是说,如果人到不了办公室,即便知道
> root密码也不允许其以root身份进入系统。
> 
> 不知这种方法是否奏效?
> 

ssh等登录默认就是root不允许远程登录的。
你说的这些操作系统本来就做到了。

问题是软件会有bug,操作系统也会有bug。

> 
> 不过,这个方法有一个最大的局限:就是现在绝大多数服务
> 器都是租用远程物理服务器的,这么做无疑阉割了远程控制
> 的功能。因此对那些成本较低的小网站是不可取的。
> 
> 
> 
> 
> 
> 
> 
> 
> _______________________________________________
> zeuux-universe mailing list
> zeuux-universe at zeuux.org
> http://www.zeuux.org/mailman/listinfo/zeuux-universe
> 
> ZEUUX Project - Free Software, Free Society!
> http://www.zeuux.org

[导入自Mailman归档:http://www.zeuux.org/pipermail/zeuux-universe]

2008年12月26日 星期五 13:20

Kermit Mei kermit.mei在gmail.com
星期五 十二月 26 13:20:23 CST 2008

monnand wrote:
> Kermit Mei 写道:
>> 刚才看到一个很顶的新闻:
>> http://tech.163.com/08/1225/11/4U0M741J000915BF.html
>>
>> 这让我想起了前几天讨论到的 “红客”。
>> 看来是“红客”这个词是很有必要存在地,骇客之行为,性黑客之大义,呵呵。
> 红客举行的几次所谓中美黑客大战, 其实最后都是到了美国的陷阱网络了. 到后 
> 来 每一个操作都被人家记录下来当做证据了.只是因为没造成什么损失, 人有太 
> 多, 就没追究. 我不认为这种攻击行为有什么"义"在里面.
恩,这个我听说过。对于那次所谓的中美黑站,我并不觉得所谓“红客”的技术水平 
有多高(至少不像某些媒体上吹的那么厉害),人海战术而已。而且那种公然要中 
国网民安装插件程序来堵塞别人网络的行为,估计是连最低级的骇客们都会嗤之以 
鼻的。

不过想一想,五星红旗插在靖国神社里,倒也别有一番风景,权当娱乐。
>>
>> 经常听到类似新闻,为什么不能从物理上禁止从外网登录的用户(包括管理员)
>> 对服务器内容具有 write 权限呢?  我想,除此之外应该还有更好的安全解决
>> 办法,望各位不吝赐教!
> 是不是更好很难说, 但是折中的办法还是有很多的. 不致于采用拔网线的极端手法.
>


[导入自Mailman归档:http://www.zeuux.org/pipermail/zeuux-universe]

2008年12月26日 星期五 13:28

Kermit Mei kermit.mei在gmail.com
星期五 十二月 26 13:28:57 CST 2008

cocobear wrote:

> ssh等登录默认就是root不允许远程登录的。
> 你说的这些操作系统本来就做到了。
>
> 问题是软件会有bug,操作系统也会有bug。
>   
这还是软件的方法啊。要是能在硬件设计上考虑这些安全问题
会不会产生一种软件永远无法突破的安全效果?也就是说,即
使软件存在漏洞,也不会有人能够利用这种漏洞在特定物理区
域之外进行攻击。



[导入自Mailman归档:http://www.zeuux.org/pipermail/zeuux-universe]

2008年12月26日 星期五 14:29

monnand monnand.deng在gmail.com
星期五 十二月 26 14:29:25 CST 2008

Kermit Mei 写道:
> cocobear wrote:
> 
>> ssh等登录默认就是root不允许远程登录的。
>> 你说的这些操作系统本来就做到了。
>>
>> 问题是软件会有bug,操作系统也会有bug。
>>   
> 这还是软件的方法啊。要是能在硬件设计上考虑这些安全问题
> 会不会产生一种软件永远无法突破的安全效果?也就是说,即
> 使软件存在漏洞,也不会有人能够利用这种漏洞在特定物理区
> 域之外进行攻击。
硬件方法并不等于没有bug. 而且修改起来更可怕
>
>
> _______________________________________________
> zeuux-universe mailing list
> zeuux-universe在zeuux.org
> http://www.zeuux.org/mailman/listinfo/zeuux-universe
>
> ZEUUX Project - Free Software, Free Society!
> http://www.zeuux.org


-- 
Regards

monnand
Email: monnand在gmail.com
GTalk: monnand在gmail.com



[导入自Mailman归档:http://www.zeuux.org/pipermail/zeuux-universe]

2008年12月26日 星期五 17:45

Xia Qingran qingran在zeuux.org
星期五 十二月 26 17:45:56 CST 2008

monnand wrote:
> Kermit Mei 写道:
>> cocobear wrote:
>> 
>>> ssh等登录默认就是root不允许远程登录的。
>>> 你说的这些操作系统本来就做到了。
>>>
>>> 问题是软件会有bug,操作系统也会有bug。
>>>   
>> 这还是软件的方法啊。要是能在硬件设计上考虑这些安全问题
>> 会不会产生一种软件永远无法突破的安全效果?也就是说,即
>> 使软件存在漏洞,也不会有人能够利用这种漏洞在特定物理区
>> 域之外进行攻击。
> 硬件方法并不等于没有bug. 而且修改起来更可怕
硬件的bug确实更恐怖~
想起了Intel Pentium处理器刚刚发布的时候存在一个“浮点数舍入误差”的bug,会 
导致在一些浮点数计算的时候导致计算结果错误,Intel不得不召回整批已经销售 
的处理器。

-- 
夏清然
Xia Qingran
E-mail: qingran at zeuux.org
Gtalk: qingran.xia at gmail.com
MSN: supermanxqr at msn.com


[导入自Mailman归档:http://www.zeuux.org/pipermail/zeuux-universe]

2008年12月26日 星期五 18:25

monnand monnand.deng在gmail.com
星期五 十二月 26 18:25:24 CST 2008

Xia Qingran 写道:
> monnand wrote:
>> Kermit Mei 写道:
>>> cocobear wrote:
>>> 
>>>> ssh等登录默认就是root不允许远程登录的。
>>>> 你说的这些操作系统本来就做到了。
>>>>
>>>> 问题是软件会有bug,操作系统也会有bug。
>>>>   
>>> 这还是软件的方法啊。要是能在硬件设计上考虑这些安全问题
>>> 会不会产生一种软件永远无法突破的安全效果?也就是说,即
>>> 使软件存在漏洞,也不会有人能够利用这种漏洞在特定物理区
>>> 域之外进行攻击。
>> 硬件方法并不等于没有bug. 而且修改起来更可怕
> 硬件的bug确实更恐怖~
> 想起了Intel Pentium处理器刚刚发布的时候存在一个“浮点数舍入误差”的bug, 
> 会导致在一些浮点数计算的时候导致计算结果错误,Intel不得不召回整批已经 
> 销售 的处理器。
>
另外, 我印象中好像Intel的CPU(还是谁的BIOS来着?)支持简单的对病毒的防范. 
不记得了, 很久不关注硬件了.

-- 
Regards

monnand
Email: monnand在gmail.com
GTalk: monnand在gmail.com



[导入自Mailman归档:http://www.zeuux.org/pipermail/zeuux-universe]

2008年12月26日 星期五 22:20

Jianjun Kong jianjun在zeuux.org
星期五 十二月 26 22:20:57 CST 2008

On Fri, Dec 26, 2008 at 06:25:24PM +0800, monnand wrote:
> Xia Qingran 写道:


>>>>> 问题是软件会有bug,操作系统也会有bug。
>>>>>   
>>>> 这还是软件的方法啊。要是能在硬件设计上考虑这些安全问题
>>>> 会不会产生一种软件永远无法突破的安全效果?也就是说,即
>>>> 使软件存在漏洞,也不会有人能够利用这种漏洞在特定物理区
>>>> 域之外进行攻击。
>>> 硬件方法并不等于没有bug. 而且修改起来更可怕
>> 硬件的bug确实更恐怖~
>> 想起了Intel Pentium处理器刚刚发布的时候存在一个“浮点数舍入误差”的bug,  
>> 会导致在一些浮点数计算的时候导致计算结果错误,Intel不得不召回整批已经  
>> 销售 的处理器。
>>
> 另外, 我印象中好像Intel的CPU(还是谁的BIOS来着?)支持简单的对病毒的防范.  
> 不记得了, 很久不关注硬件了.

Intel f00f Bug
http://wangcong.org/blog/?p=198

-- 
Jianjun Kong |Happy Hacking
Homepage: http://kongove.cn
Gtalk:KongJianjun在gmail.com

[导入自Mailman归档:http://www.zeuux.org/pipermail/zeuux-universe]

2008年12月26日 星期五 23:54

Zhang Weiwu zhangweiwu在realss.com
星期五 十二月 26 23:54:18 CST 2008

Kermit Mei wrote:
> 我说的物理防范是这个意思:
> 限定root用户的物理入口,典型的做法就是外网
> 的用户不能以root权限登录系统,而且,外网进入的
> 数据不允许写入root用户操作的特定物理磁盘。
> 系统管理员必须在指定的工作地点才能完成对服务器的
> 维护工作。也就是说,如果人到不了办公室,即便知道
> root密码也不允许其以root身份进入系统。
>
> 不知这种方法是否奏效?
有效。
>
> 不过,这个方法有一个最大的局限:就是现在绝大多数服务
> 器都是租用远程物理服务器的,这么做无疑阉割了远程控制
> 的功能。因此对那些成本较低的小网站是不可取的。
>
不重要。
Sutra Zhou说的是对的,引述如下:
> 这种改网页的攻击大部分是利用服务器(IIS)或者脚本(ASP,PHP,JSP等)的漏洞。
我再进一步帮Sutra Zhou做旁白:利用服务器(IIS)或者脚本(ASP,PHP,JSP
等)的漏洞,可能从解释器及数据库入手,访问不是以文件或磁盘为单位的,所以
上面做法效果不大;这类网站如果禁止对磁盘写,就禁止了网站的交互性(购物
车、论坛、留言、blog等等)

我有一些小网站(如www.linuxbanks.cn)是以只读方式访问,Web服务器无文件写
权,相对安全一些。此法不适于内容丰富或有交互性的网站。

[导入自Mailman归档:http://www.zeuux.org/pipermail/zeuux-universe]

2008年12月27日 星期六 00:00

Zhang Weiwu zhangweiwu在realss.com
星期六 十二月 27 00:00:45 CST 2008

Kermit Mei wrote:
> 这还是软件的方法啊。要是能在硬件设计上考虑这些安全问题
> 会不会产生一种软件永远无法突破的安全效果?也就是说,即
> 使软件存在漏洞,也不会有人能够利用这种漏洞在特定物理区
> 域之外进行攻击。
我注意到了给你回复的虽然很多,但是仍然只有 Sutra Zhou 的回答
较中肯綮。实际上设计有只读安全限制并支持交互性的数据库系统难度很大,
且需在存贮逻辑中实施权限管理,与数据库设计范式矛盾,目前没有好的办法
可以以存贮层逻辑的“只读”的思路解决安全问题(而不影响功能:对于网站
“功能”指保留交互性,如留言、打分投票、发贴、用户上传、讨论组等等)。

[导入自Mailman归档:http://www.zeuux.org/pipermail/zeuux-universe]

2008年12月27日 星期六 00:04

Zhang Weiwu zhangweiwu在realss.com
星期六 十二月 27 00:04:41 CST 2008

Kermit Mei wrote:
> 不过想一想,五星红旗插在靖国神社里,倒也别有一番风景,权当娱乐。
反对靖国神社和其活动意在反对极端民族主义、反对愚昧,还是意在反对日本?

如意在前者,那么攻击行动本身就是极端民族主义和愚昧;
如果意在后者,失在偏颇狭隘。

[导入自Mailman归档:http://www.zeuux.org/pipermail/zeuux-universe]

如下红色区域有误,请重新填写。

    你的回复:

    请 登录 后回复。还没有在Zeuux哲思注册吗?现在 注册 !

    Zeuux © 2024

    京ICP备05028076号