订阅数:533903友情转载猛小蛇这个BT的BT文字 
他家女儿真是太强了,愣是把冰激淋吃得很象……那啥,咱就不说了……
2005年初春节前,在两个小变态的介绍下,我开始在自己的狗日报上放Google
adsense。
先简单介绍一下这两个小变态,一个叫覃健祥,他注册了一个域名example.com.cn,现在在东三环某处民居创业;另外一个变态叫于敦德,他注册了另外一个域名example.net.cn并赋与其一个中文名“一个藏袍”,现在他在南京做一家叫“途牛”的
网站(我个人很喜欢这个小网站)。这两个人除了在网站开发方面有自己的独到之处外,还能经常写点有趣的文章,尤其是于敦德,作为一个理科生,他居然看过
《布拉热洛纳子爵》!我到豆瓣上查了一下,22人读过这本书。像于敦德这样文理兼修的程序员真是不多,不过国内还有Caoz、Seak、
Tombkeeper等几个代表,尤其Tombkeeper还精通妇科,真是天纵英才。
新浪科技讯 2月12日消息,肆虐中国互联网的熊猫烧香病毒宣告侦破,在当天晚间,接近该案专案小组的知情人士向新浪科技独家披露了抓捕内幕。这是迄今为止,我国破获的国内首例制作计算机病毒的大案。
湖北省公安厅今日下午对外宣布,湖北省网络监察处在浙江、山东、广西、天津、广东、四川、江西、云南、新疆、河南等地公安机关的配合下,一举侦破了制作传播“熊猫烧香”病毒案,并抓获8名犯罪嫌疑人。
接近该案的知情人士透露,公安部从去年10月底就开始关注熊猫烧香病毒,“它的传播面特别大,影响面广而且特别恶劣。”尽管病毒作者拥有绞尽脑 汁进行自我隐藏,不过在锁定目标的过程中,还是在互联网上留下了很多蛛丝马迹。“其实这类病毒的作者往往以赚钱为目的,总是会留下线索。”专案小组选择从 互联网上的一些社区信息、域名注册信息开始入手。
该人士表示,目前在多个相关病毒都的代码里写着WhBOY,其中就包括大名鼎鼎的熊猫烧香,流氓软件51VC,以及一些腾讯QQ、网游传奇账号密码盗窃的木马软件。“这些木马的代码、传播以及爆发手法都极为相似”,专案小组初步判断为同一人所为,决定并案侦查。
“举个例子来说,51.vc的网站上写着ICP证是:鲁ICP证005248号。”知情人士表示,专案小组当即查明这是一个伪造的ICP证,通 过有关渠道查到另一个网站www.51pm.org也是使用了这个伪造的ICP证。尽管当时该网站已不能访问,但可以搜索引擎的快照功能回溯该站点网页, 其内容和51.vc完全一样。专案小组在掌握了上述信息后,立即着手寻找51.vc或51pm.org注册者,而这些人也就是这些病毒的作者、或者幕后指 使的关联人物。
知情人士表示,上述例子只是侦破手段中的一种方法,“事实上,在侦破过程中采用了多方面信息相互印证的办法。”据介绍,目前互联网上有多种追踪方式,对于大规模传播的病毒而言,幕后黑手几乎无法藏身。
最早对熊猫烧香病毒进行查杀的超级巡警软件曾被误认为是幕后黑手,今日晚间新浪科技在专访该软件总负责人董志强时,他表示现在真相都已经大白, 感到十分欣慰。“超级巡警也曾向国家有关部门提交过熊猫烧香的技术资料。”董志强表示,当时也希望这些技术资料能够在追查病毒作者方面起到足够的作用。
信息安全业内人士表示,技术上锁定并取证后,再通过调查其背后商业目的的方法入手分析,一般都能发现蛛丝马迹。尤其是熊猫烧香与以往许多病毒都 在拼命隐藏作者身份的做法不同,熊猫烧香的作者显得过于明目张胆。据悉,此次有关部门抓捕病毒作者,因为熊猫烧香的病毒不仅自己扩散传播,还主动销售源代 码给其它盗窃团伙,这些种种行为都暴露了他自身的身份。
“这个病毒是通过入侵网站并挂上木马来实现传播,然后盗取用户有价值的虚拟账户。除此之外,这个团伙还销售病毒源码牟利,其影响的规模非常巨大,社会影响极为恶劣。”接近专案小组的知情人士表示。“不仅是他们一个病毒团伙在传播,而是有大量团伙一起传播。”
“这背后也许还隐藏着更为复杂的利益集团,这些都还没有最终浮出水面。”(马城 金磊)
看到这个消息,总算舒了一口气。以后继续坚持做有价值的事情,少打口水仗吧。
无论如何,这次被人栽脏的事件,无论栽脏者出于什么目的,对我们的成长都是一种磨炼。
新华社武汉2月12日电 (记者 方政军) 湖北省公安厅12日宣布,根据统一部署,湖北网监在浙江、山东、广西、天津、广东、四川、江西、云南、新疆、河南等地公安机关的配合下,一举侦破了制作传播“熊猫烧香”病毒案,抓获李俊(男,25岁,武汉新洲区人)、雷磊(男,25岁,武汉新洲区人)等8名犯罪嫌疑人。这是我国破获的国内首例制作计算机病毒的大案。
据介绍,2006年底,我国互联网上大规模爆发“熊猫烧香”病毒及其变种,该病毒通过多种方式进行传播,并将感染的所有程序文件改成熊猫举着三根香的模样,同时该病毒还具有盗取用户游戏账号、QQ账号等功能。该病毒传播速度快,危害范围广,截至案发为止,已有上百万个人用户、网吧及企业局域网用户遭受感染和破坏,引起社会各界高度关注。《瑞星2006安全报告》将其列为十大病毒之首,在《2006年度中国大陆地区电脑病毒疫情和互联网安全报告》的十大病毒排行中一举成为“毒王”。
今年1月中旬,湖北省网监部门根据公安部公共信息网络安全监察局的部署,对“熊猫烧香”病毒的制作者开展调查。经查,熊猫烧香病毒的制作者为湖北省武汉市李俊,据李俊交代,其于2006年10月16日编写了“熊猫烧香”病毒并在网上广泛传播,并且还以自己出售和由他人代卖的方式,在网络上将该病毒销售给120余人,非法获利10万余元。经病毒购买者进一步传播,导致该病毒的各种变种在网上大面积传播,对互联网用户计算机安全造成了严重破坏。李俊还于2003年编写了“武汉男生”病毒、2005年编写了“武汉男生2005”病毒及“QQ尾巴”病毒。另外,本案另有几个重要犯罪嫌疑人雷磊(男,25岁,武汉新洲区人)、王磊(男,22岁,山东威海人)、叶培新(男,21岁,浙江温州人)、张顺(男, 23岁,浙江丽水人)、王哲(男,24岁,湖北仙桃人)通过改写、传播“熊猫烧香”等病毒,构建“僵尸网络”,通过盗窃各种游戏和QQ账号等方式非法牟利。
目前,李俊、雷磊等8名犯罪嫌疑人已被刑事拘留。
文档维护:tombkeeper[Base64Decode("dG9tYmtlZXBlckB4Zm9jdXMub3Jn")]
文档创建:2007年02月09日
最后更改:2006年02月09日
cocoruder去年底向阿里巴巴报了一个淘宝旺旺ActiveX控件溢出的漏洞:
http://www.xfocus.net/articles/200701/901.html
结果阿里巴巴偷偷把漏洞补了,但是不肯发公告。
有了这个教训,前两天cocoruder发现支付宝登陆控件代码执行漏洞的时候就直接公布了:
http://www.xfocus.net/articles/200702/906.html
阿里巴巴的态度还是一样:偷偷把漏洞补上了。有媒体问阿里巴巴是不是有这回事,阿里巴巴完全否定:
http://tech.sina.com.cn/i/2007-02-08/06481375187.shtml
而且派人时刻盯着支付宝社区,凡出现相关主题的不利帖子立即删除,所以现在我们在支付宝社区能看到的都是“形势一片大好”的帖子:
http://club.alipay.com/show_thread-20-1--5930514-.htm
如果事情到此为止也就算了,安全研究界要的也不过就是对自己工作的认可,你想藏着掖着,我们也可以理解。彼此间也没什么深仇大恨,你不承认也就不承认吧。除了腾讯,国内的公司我还没见到几家愿意诚实地发布自己产品安全公告的,我们早就习惯了。
[separator]
但是事情没有结束。
昨天wlj在donew上发了一篇关于此事的文章,原来的链接是这个:
http://home.donews.com/donews/article/1/110127.html
但是今天早晨我发现这篇文章已经不见了。
而且还针对这篇文章请“天威诚信数字认证中心”搞了一个“专家检测”:
http://club.alipay.com/show_thread-79---5930928-.htm
最无耻的是,可能因为wlj在文章里引用了我说的“就在2月8号,支付宝控件升级了。如果没问题,升级什么呢。”,阿里巴巴来了这么一句:“为了用户更安全,我们加固了支付宝控件。如果您看到升级提示,请按要求操作。”这种行为不但是对全体支付宝用户的愚弄,也是对我们这些信息安全研究者的侮辱。
阿里巴巴在这里表现最突出的不是欺骗,也不是邪恶,而是愚蠢。认为死不认账就叫作危机公关了,殊不知裤子是遮不住屎的。下面就让我们看看阿里巴巴屁股帘后面藏的东西。
有问题的文件是pta.dll,这个东西属于“ActiveX控件”,只要装了这个东西,你访问的任何网页都可以 通过IE浏览器来调用这个控件。也就是说,如果这个控件有问题,你在访问任何网站的时候,都可能被该网站上的恶意网页攻击,在机器上安装木马。这种漏洞并 不是什么稀罕东西,最近几年从Flash到微软的Media Player等都出过很多类似的。而这种漏洞也是目前国内木马最为流行的传播方式。
明白了漏洞是怎么回事,再让我们来看看阿里巴巴的登陆控件到底有没有这个漏洞。是不是像“专家检测”的那样:“并未发现上述问题及其它隐患”。
先让我们来访问淘宝的登陆页面:
http://member1.taobao.com/member/login.jhtml
如果你以前没有安装过支付宝的控件,这时候就会看到一个安装的提示。在网页上点击右键,察看源代码,在其中搜索“aliedit”,你会看到类似这样的两行:
https://img.alipay.com/download/1009/aliedit.cab
http://img.alipay.com/download/1009/aliedit.exe
这两个都是支付宝的控件,前者是可以通过IE提示你安装的,后者是你可以手工下载安装的。控件的当前版本是1.0.0.9。
阿里巴巴在技术方面的愚蠢之处就是在事发后,仍然把各个版本的登陆控件保留在服务器上。所以我们可以通过访问下面这些链接取得所有版本的控件:
http://img.alipay.com/download/1006/aliedit.cab
http://img.alipay.com/download/1007/aliedit.cab
http://img.alipay.com/download/1008/aliedit.cab
http://img.alipay.com/download/1009/aliedit.cab
http://img.alipay.com/download/1006/aliedit.exe
http://img.alipay.com/download/1007/aliedit.exe
http://img.alipay.com/download/1008/aliedit.exe
http://img.alipay.com/download/1009/aliedit.exe
当然,本文发布后,阿里巴巴十有八九会把1.0.0.9之前的版本删除。不过我相信,在他们删除之前,已经有足够多的人看到了这篇文章,下载了这些文件。并且我已经把存在漏洞的1.0.0.7版文件传到了这里:
http://tombkeeper.googlepages.com/1.0.0.7_aliedit.cab
http://tombkeeper.googlepages.com/1.0.0.7_aliedit.exe
(相信阿里巴巴的活动能力不至于能从googlepages上删除文件,所以本文涉及的所有文件一律放在googlepages上。)
那么上面这些文件会不会是我伪造的,用来陷害阿里巴巴的呢?ActiveX控件的一大特点是必须有数字签名来保证 其身份。请大家在aliedit.cab或者aliedit.exe上单击右键,察看其属性。在属性窗口里有“数字签名”这一栏。任何人通过察看这里都可 以确认该程序是由阿里巴巴发布的。
如果你不太懂为什么数字签名可以证明这个程序的确是由阿里巴巴发布的,请致电专业的数字认证公司“天威诚信数字认证中心”(010-84603568 转 708),问问他们,数字签名是不是能够认定这一点。
没考虑数字签名这个茬,这是阿里巴巴在这件事情上第三个愚蠢之处。
存在漏洞的pta.dll是从1.0.0.7版开始有的。这个1.0.0.7版的数字签名时间是2006年2月 22日 23:00:31,也就是说差不多也就在这个时间之后不久发布。1.0.0.8版控件的签名时间是2007年2月7日 22:30:09,在这个 版本中,pta.dll被修复。从2006年2月到2007年2月,这个危险在我们的计算机上差不多存在了一年。
那么这个1.0.0.7版的控件到底有没有安全漏洞呢?现在大家都升级了控件,怎么测试呢?
很简单,从这个地址下载1.0.0.7版控件,然后关闭IE等浏览器安装控件:
http://img.alipay.com/download/1007/aliedit.exe
如果上面这个地址已经下载不到东西,那就是阿里巴巴已经动手删除了,大家可以从我这里下载:
http://tombkeeper.googlepages.com/1.0.0.7_aliedit.exe
下载后请察看一下数字签名,确认是“ZHEJIANG ZHIFUBAO NETWORK TECHNOLOGY CO., LTD.”发布的,而不是我造的假。
安装时会提示“目标文件已存在,而且比源文件要新”,点击“是”确认安装。如果提示要重新启动,就重新启动,否则旧版本控件不会生效。
然后访问下面这个链接,这是cocoruder提供的一个测试代码,如果执行成功,会运行系统的“计算器”;即使不成功,也会让IE出错崩溃:
http://tombkeeper.googlepages.com/alipay_1007_calc_poc.htm
现在任何人都可以确定无疑地知道,在2007年2月8日之前,阿里巴巴的支付宝控件的确是有极其严重的漏洞的。
事情到此结束了么?还没有。
我昨晚抽空看了一下修复了漏洞之后的1.0.0.9版本的pta.dll,发现这个文件仍然有问题,虽不至于导致入侵系统,但还是可以导致IE浏览器崩溃。
无论你的支付宝控件是什么版本,即使是最新的,访问下面这个URL都会导致IE崩溃:
http://tombkeeper.googlepages.com/alipay_1009_crash_poc.htm
根据操作系统和IE版本的不同,你可能会看到类似这些的窗口:
那么作为普通用户,如何保护自己呢?
很简单,运行系统的“命令提示符”,在其中输入:
regsvr32 /u %SystemRoot%\System32\aliedit\pta.dll
这样就解除了pta.dll在系统中的注册,任何网页都无法调用它。大家再访问上面的链接就不会崩溃了。
黄师傅在电视上还是很帅的,估计得迷倒一片小女黑客啦……
深圳市警方召开新闻发布会,宣告破获了迄今为止全国最大规模的互联网虚拟财产盗窃案,打掉了一个特大网上盗窃倒卖虚拟财产团伙。
记者说:“这里是深圳市公安局 据深圳警方的消息 他们成功破获的这个盗窃团伙涉案人员达到了上百人 目前已经抓获嫌疑人44名 其中11人已经批准逮捕 这是中国目前为止破获的最大的网络虚拟财产盗窃案。”
据警方调查,自2005年5月以来,以犯罪嫌疑人金某、衣某为首的网络盗号团伙,以辽宁鞍山、吉林长春为基地,通过放置木马病毒,入侵了8000多个商业网站及300多个政府网站,非法盗取网民的QQ号码、Q币和网络游戏币、游戏道具等。
腾讯科技(深圳)有限公司客服部经理助理刘斌说:“从今年3月份开始 我们就大量地发现QQ盗号的投诉数量急剧增长 比2月投诉每日增长一倍多 将近达到每天3到4万 。”
之后犯罪嫌疑人将所盗的QQ号、Q币打包销售,或通过网上购物等方式消费。该团伙已盗取QQ号和游戏账号数百万个,涉案金额百万元,非法获利70多万元。
深圳市公安局网监分局案件科科长左明春说:“根据报案单位的还有大量网民的报案 我们进行了前期的摸排查 经过成功的抓捕 证据的固定 成功告破此案。”
XFOCUS 的 Blog 比较容易当掉,上回见到某 VC 时,他还专门提到了 caoz 的这篇短文,转载过来存着先 :)
这又是一个容易引起公愤的文章,不多说了,以下几个问题,看看你对网络的理解力。
1.就全球而言,google的实际流量没有 yahoo高,google的广告形式没有yahoo多,google的网页广告位置也没有yahoo多,google的广告费用计算方式也没有 yahoo灵活,但是google的网络广告收入却高于yahoo,而且广告主还反映google的效果好,请问这是为什么?
2. DoubleClick, Overture都是网络行业里风云一时的企业,最后相继败落,要不挣扎在一个很小的规模上,要不被收购,根本原因在哪里?
3.流量相当的网址站,音乐站,小说站,哪个最有价值?哪个没有价值,价值体现在哪里?
4. 假设你拥有了超级牛B 的搜索引擎技术产品,拥有了足够的带宽,服务器和运营环境,现在,你没有流量,你准备从几方面入手,获得流量通路。你知道的通路有哪些?
5. 如果你想通过网络做一个面向品牌的广告,成本最低,传播效果最好的途径是什么?典型范例是什么?
6.caoz说过,一个彻底免费的桌面安全产品,在不耍流氓的情况下,一样可以赚钱,这个问题有人想明白了没?
7.互联网的本质是什么?
8. caoz说,人们认识互联网会有一个过程,第一个阶段,互联网是互联网,第二个阶段,互联网不是互联网;第三个阶段,互联网还是互联网。你是否赞同,拿出你的理解。
In the previous edition - Binary Search Tree 2 - a large scale experiment on search engine behaviour was staged with more than two billion different web pages. This experiment lasted exactly one year, until April 13th. In this period the three major search engines requested more than one million pages of the tree, from more than hundred thousand different URLs. The home page of drunkmenworkhere.org grew from 1.6 kB to over 4 MB due to the visit log and the comment spam displayed there.
This edition presents the results of the experiment.
By Todd Datz
Instant messaging is a phenomenon that infiltrated corporate America like bedbugs in a flophouse. It burrowed its way into companies a few users at a time, became fruitful and multiplied, and today has become a popular tool for employees to carry on business and, yes, exchange the occasional message with buddies scheduling that night's cocktail hour.
Yet IM can introduce some nasty byproducts to a company's security posture. The wildfirelike growth of the technology has led to a spike in the number of Internet bloodletters who have found a new and vulnerable target for their attacks. And the speed with which an IM worm can propagate leaves a typical e-mail attack looking like a funeral procession down Main Street. "The fastest-ever e-mail threat took about 10 hours to hit 500,000 sites. On IM, it takes about five to seven minutes," says Francis deSouza, CEO and president of IMlogic, an IM security company acquired by Symantec early this year. According to antivirus vendor Sophos, the second-ever virus aimed at the Macintosh operating system propagates itself to other computers via iChat. Fear not, CISOs: You can defend your company against the IM nasties. This story takes a look at how popular IM has become, why banning it may be wishful thinking and what steps you can take to secure your IM networks. (Hint: Sticking your head in the sand and denying there's a problem isn't one of them.)
Powered by Haiwit
