Neeao's Security Blog

我的twitter：@neeao

Neeao — Wed, 03 Feb 2010 09:53:00 +0800

Neeao's Blog ( http://neeao.com/ ) :

最近在用twitter，刚开始朋友给了个vpn，翻墙用；后来自己通过GAE架设了个twitter的API翻墙用；再后来我的手机上也装了个twitter的客户端，当然用的翻墙的API。

twitter真的很好用，欢迎Following me:@neeao .

LVS环境下的ARP欺骗简单分析

Neeao — Thu, 28 Jan 2010 16:56:00 +0800

Neeao's Blog ( http://neeao.com/ ) :

今天遇到一个问题，同事问怎么来防止LVS环境下的ARP欺骗，对于LVS不是太熟悉，于是到whitehat群中请教，然后自己又看了下关于LVS的资料，做了个简单的分析，记录下。

首先了解下LVS，LVS是Linux服务器集群系统(Linux Virtual Server)的简称，其官方网址为： http://www.linuxvirtualserver.org/zh/lvs3.html,其中LVS主要采用了三种IP负载均衡技术，即：

VS/NAT 通过NAT实现虚拟服务器（Virtual Server via Network Address Translation）;
VS/TUN 通过IP隧道实现虚拟服务器（Virtual Server via IP Tunneling）;
VS/DR 通过直接路由实现虚拟服务器（Virtual Server via Direct Routing

具体的介绍可以到官网查看，我们这里只分析下它们的架构：

1.VS/NAT

上图是官网给出的架构图，VS/NAT主要有一台调度服务器和下面的一个内网组成，中间通过交换机连接。

其数据流为：用户->调度服务器->Switch/Hub->到达real服务器->Switch/Hub-->调度服务器->用户。

a.调度服务器同一交换环境下的服务器来ARP欺骗调度服务器VIP。如果ARP欺骗的话，通过调度服务器同一交换机下的服务器来欺骗调度服务器这个IP，是可以完成的，它们在同一交换环境下的。

b.如果采用调度服务器IP来欺骗同一交换环境下的其他IP，因为入侵进去的话，实际登陆的可能是调度服务器后面的内网里的某一台服务器，如果这个session断开的话，可能就无法找到是哪一台服务器了，这是其一；当然了，由于是负载均衡吗，我们可以把内网所有的主机都控制了，然后再来实施ARP欺骗，很显然，由于此IP在内网，我们很难欺骗调度服务器VIP相同网段的其他IP。

预防：那么直接在交换机上设置VIP和mac的绑定理论上应该就可以防止对VIP的ARP欺骗了。

2.VS/TUN

通过上图，可以看出，VS/TUN的架构为一台调度服务器，下面是目标服务器。

数据流为：用户->调度服务器->目标服务器->直接返回给用户.

ARP欺骗攻击

a.通过了解TUN方式的VS可以知道调度服务器实际上和后台的目标服务器是同处一个交换环境下面的，那么我们就可以使用VIP同一交换环境下的IP对调度服务器VIP进行攻击，由于VS的real服务器和调度服务器一个交换环境下，那么也可以对任一台进行ARP欺骗攻击，前提是得知道他们的真实IP地址，而不是VIP地址。

b.通过VS来ARP欺骗VIP同一交换环境下的其他IP，调度服务器给我们随机分配一台目标服务器，由于目标服务器和调度服务器是在一个交换环境下，那么就可以成功的对其实施ARP欺骗攻击，当然了，也要知道调度服务器分配的真实IP地址了。

预防：理论上可以通过在交换机上设置IP地址和MAC绑定的方法来防止ARP欺骗。

3.VS/DR

上图为DR方式的VS，调度器和服务器组都必须在物理上有一个网卡通过不分断的局域网相连，如通过高速的交换机或者HUB相连。VIP地址为调度器和服务器组共享，调度器配置的VIP地址是对外可见的，用于接收虚拟服务的请求报文；所有的服务器把VIP地址配置在各自的Non-ARP网络设备上，它对外面是不可见的，只是用于处理目标地址为VIP的网络请求。

数据流：用户->调度服务器->目标服务器->用户。

ARP欺骗攻击：

a.通过VIP环境下的IP来欺骗VIP，由于在同一交换环境下，欺骗是可以成功的。

b.那么通过VIP来ARP欺骗同网段的其他IP呢，获得的权限可能是调度器分配的目标服务器任意一台，由于他们都处于同一交换环境，但是，目标服务器只响应调度服务器的ARP请求，其本身无法发送ARP广播，在这里的话，就无法通过目标服务器来达到ARP欺骗其他服务器的目的了，实际上类似于给目标服务器设置了一个接受ARP的白名单，将自己保护起来了。

预防：理论上只需要绑定VIP对应的调度器MAC就可以预防ARP欺骗。

以上仅仅是凭自己对LVS的理解来分析的，真实的LVS环境没有接触过，也不知道是否真如上面所说，欢迎各位看官批评指正。

By:Neeao 2010-01-28 16:55

上海某网游公司招聘高级信息安全工程师

Neeao — Fri, 22 Jan 2010 09:16:00 +0800

Neeao's Blog ( http://neeao.com/ ) :

工作地点：上海
公司性质：网络游戏 1000人+
薪水范畴： 6k-10k 谢绝over qualified简历

以下条件无需100%满足，只要符合其中超过50%就可以投简历试试，我们也擅长发现被低估的人才并给予合理的发展空间

岗位职责：
1. 保障公司运营环境、生产系统与内部办公环境的信息安全与业务连续性；
2. 完善与改进现有信息安全管理体系，建立相关安全流程、规范、制度并审计执行结果；
3. 按需检查服务器系统、应用配置、网络策略安全，根据业务实际需要设计相关安全方案或标准；
4. 跟踪安全动态，周期性发布信息安全预警、安全意识与技能培训、安全策略制定与实施；
5. 按需开发自动化小项目，提高安全监控、检查以及运维工作效率；
6. 妥善处理安全事件，按需应急响应并设计规避同类风险方案；

职位要求：
1. 专业不限、学历不限、证书不限；
2. 熟悉当前流行渗透、入侵相关技术（SQL注入、缓冲区溢出、挂马与客户端攻击、木马免杀、XSS/CSRF、钓鱼攻击等）与防护策略；
3. 熟悉Windows、*NIX操作系统的安全配置与入侵检测；
4. 熟悉常见网络服务（IIS、Apache、MSSQL、MYSQL、DNS、SMTP、FTP等）的配置与安全攻防；
5. 熟悉常见木马、Rootkit或恶意文件运行原理与清除方法；
6. 熟悉TCP/IP，了解常见网络协议；
（以下为加分条款）
7. 沟通能力强、团队合作能力强、学习能力强、文档撰写能力强者优先；
8. 熟悉PHP、JSP、.NET代码安全审计，具备漏洞挖掘经验者优先；
9. 熟悉常见安全产品工作原理或具备相关维护、开发经验优先；
10. 熟悉ISO 27001、ISO 17799、ITIL、ISO 20000等相关标准、安全管理实践优先；
11. 具备乙方安全服务经验优先；
12. 掌握1门或多门编程语言，熟练开发各种小工具、小脚本优先；

技术符合度为基础条件，
安全管理类知识，有大型互联网企业安全工作经验的为优先考虑条目。

投送简历要求：
1. 简历正文请粘贴在邮件正文
2. 来信注明期望薪资
2. 简历请发送到 zhiyeqianqian#gmail.com
请将#替换为@ ，谢谢

杭州19楼招聘Web/系统安全工程师

Neeao — Mon, 04 Jan 2010 18:01:00 +0800

Neeao's Blog ( http://neeao.com/ ) :

Web应用安全工程师

职位描述：
1、应用代码安全审计，并且提出合适的解决方案，以增强WEB应用程序的安全；
2、对当前WEB应用安全进行评估，并协助修正错误；
3、参与WEB应用整个开发过程的安全指导或者处理；
4、对相关的人员进行培训，以确保安全的正确实施。

职位要求：
1、熟悉多种安全攻防技术；
2、精通SQL注射、跨站脚本攻击；
3、理解多种Web应用脚本语言（PHP、JAVA），并熟悉他们相关的安全问题；
4、熟悉Mysql数据库；
5、具备良好的沟通能力和团队协作精神及较好的文档能力；
6、有很好的学习、研究能力。

系统安全工程师
职位描述
1、网站服务器安全搭建和管理；
2、跟踪最新漏洞信息，定期编写安全事件分析报告
3、定期进行安全审计，并协助安全事件的调查；
4、对相关的人员进行培训，以确保安全的正确实施。

职位需求
1、Unix系统或网络管理工作经验2年以上；
2、精通主流UNIX平台系统管理和网络管理，能用SHELL编写相关脚本；
3、熟悉主流网络产品及安全产品，能够根据企业需求制定相应的安全解决方案；
4、熟悉SYSLOG,SNORT等相关安全监控系统；
5、有很好的学习、研究能力。
6、具备良好的沟通能力和团队协作精神及较好的文档能力

工作地点：杭州

薪资待遇：面议；5金齐全

招聘单位：杭州都快网络传媒有限公司，杭报集团下属单位，公司简介。

有意者请发送简历至：reject.wl@gmail.com

19楼网址：http://www.19lou.com/

谷歌音乐试听歌曲下载工具 20100102版

Neeao — Sat, 02 Jan 2010 15:33:00 +0800

Neeao's Blog ( http://neeao.com/ ) :

自从谷歌音乐上线以后，再也没到其他地方下载过歌曲，不过这两天帮朋友下载一些歌曲的时候，发现谷歌音乐对某些歌曲并不提供下载服务。

比如：欧美热歌中的第一首：后街男孩的Shape Of My Heart就不提供下载，如图：

但是它还是提供试听的，本想通过试听地址下载下来，不想google对音乐文件地址进行了简单的加密处理。通过分析html页面还不好找到，经过一番分析后，终于发现了，google隐藏地址的原理，在这里就不啰嗦了，有兴趣的自己研究下。为了方便以后下载，用C#写了个小工具，不敢独享，放出来给需要的朋友用下了。

使用方法：

0.此软件基于.net2.0开发，因此如果是XP的系统，运行的话，需要安装Microsoft .NET Framework 2.0 版可再发行组件包。Windows7的系统，默认支持.net2.0了。

1.点击打开试听地址，输入到试听地址中，然后点击GET，即可获取到歌曲的信息，如果获取不成功则报错,地址栏变红色，成功，则会输出歌曲信息，地址栏变绿色。

2.点击保存地址的按钮选择保存的路径，如果不选则默认保存在程序允许的目录下面。

3.开始下载，等待下载完成，点击重来，重新下载其他歌曲。

本地下载

我的2009年类

Neeao — Thu, 31 Dec 2009 15:42:00 +0800

Neeao's Blog ( http://neeao.com/ ) :

2009年再有几个小时就过去了，通过百度空间blog的记录，回顾了下2009年：

命名空间：Neeao
类名：2009

//属性1.名称：
blog
//属性1.描述：
1.2009年写日志的时间明显少了。从2008年4月到12月共写了261篇blog，而2009年从1月到12月，仅有88篇，2009年前三个月还好，每月10篇以上，4月以后就少了，而10月份竟然1篇也没有。突然发现除了日志上记录的一些东西外，其他事情很难回忆起来了，看来以后还是要坚持做记录。

2.Neeao'blog转型。原来的Neeao security blog主要是收集一些我所关注的技术文章，从04年创办就一直坚持更新，工作后没有太多时间更新了，今年更是没有更新过几次，于是乎，将站点转变为一个以原创为主的站点。

//属性2.名称：
个人问题
//属性2.描述：
1.个人问题解决了。
2.顺利申请到了上海居住证，特别感谢下上海的朋友Jeff，帮我搞定了最棘手的居住证明。

//属性3.名称：
个人目标
//属性3.描述：
2009年初设定的的几个小目标也逐渐完成了。坚持读书、败得佳能450D，驾照已顺利考过了桩考，小路，元月7日考大路，如果没问题的话，元月中旬将拿到驾照了。

//属性4.名称：
工作
//属性4.描述：
奋斗着……

//属性5.名称：
感谢
//属性5.描述：
在这里诚挚的感谢各位在2009年帮助过Neeao的朋友们，同事们，同学们，祝大家在新的一年里虎虎生威，事业蒸蒸日上，钱越赚越多。

//构造函数.名称:
2009
//构造函数.描述
2009年就这么过去了，却再也想不起来该写些什么了，那就让她过去了，只有过去了，新的一年才会到来。

使用sql server分析系统日志

Neeao — Tue, 29 Dec 2009 01:19:00 +0800

Neeao's Blog ( http://neeao.com/ ) :

1.分析系统日志，一行一行看着实在累人，很多无关日志，能过滤下就好了。文本工具功能实在有限，于是乎，将windows系统日志导入sql server中，直接sql之……。实验了几把，最好的是，直接将系统日志导出为文本的，直接tab分割的，导入sql的时候：

新建数据库->导入数据->下一步->数据源选择文本文件->选择导出的txt文件->下一步->默认设置->下一步->选择制表符->下一步->选中新建的数据库->下一步->下一步->完成，等待导入吧，完了直接查询分析器分析吧。

2.分析IIS日志的话，微软有一个不错的工具：Log Parser,可以实现类似sql查询的方式来分析IIS日志，很是不错。

sendmail的can not chdir(/var/spool/clientmqueue/)错误问题解决

Neeao — Wed, 09 Dec 2009 20:47:00 +0800

Neeao's Blog ( http://neeao.com/ ) :

服务器用的RedHat AS4版本，今天启用Sendmail功能的时候，出错：

Starting sendmail: [ OK ]
Starting sm-client: can not chdir(/var/spool/clientmqueue/): Permission denied
Program mode requires special privileges, e.g., root or TrustedUser.

Google了一把，终于找到问题所在：

原来是/var/spool/clientmqueue/的权限配置不正确，sendmail没有权限访问这个目录，

默认的:

drwxrwx--- 2 root root 4096 12月 9 19:27 /var/spool/clientmqueue

修改后：

drwxrwx--- 2 smmsp smmsp 4096 12月 9 19:27 /var/spool/clientmqueue

重启sendmail服务，OK。

SQL通用防注入程序 20091206版

Neeao — Sun, 06 Dec 2009 14:30:00 +0800

Neeao's Blog ( http://neeao.com/ ) :

本不打算对这个小东东做更新了，不过还是经常收到一些朋友的咨询，以及在使用中遇到了一些问题，今天又收到朋友来信问关于这个东东的问题，正好今天公司值班也没啥事情，就顺手更新一下了。顺便统一在对以前一些朋友提出的问题做下解答。

主要解决了以下几个问题：

更新搜索引擎跳转引起的误报。其实这个是由于之前的默认的过滤规则中有%的缘故，如果有的网站统计了访问来源的话，就有可能导致搜索引擎过来的访客报sql注入，无法访问，20091206版中删除了对于%和*的过滤。
修改数据库访问路径为绝对路径。原来的是采用虚拟路径访问数据库的，如果有的朋友部署的目录比较奇怪的话，可能会导致找不到sql防注入的数据库，20091206版本不会有这个问题了，可以支持将数据库放之非web目录。
修改原来的安全页面功能为安全表单。原来的安全页面功能是为了防止后台添加数据的时候，存在sql注入过滤关键字字符而设置了，本版本修改了安全页面功能为安全表单，将误报白名单细化到了表单。使用方法：如果发现本系统影响了你的网站正常的添加数据，可以将你认为安全的表单添加至安全表单，可通过管理页面查看影响的参数，然后将其添加至后台管理-》参数设置中的安全表单，并启用安全表单即可。
对后台界面做了优化，实在看不下去以前的后台界面了，太丑了。

代码继续托管至Google，访问地址：http://code.google.com/p/defencesqlinject/

本地下载：/attachments/sql_20091206.rar

如果使用过程中发现问题，请留言或者Email给我。

此为免费程序，可随意使用，不过由于本人已工作，时间有限，恕不提供免费服务，请见谅。

昨日服务器停机一天

Neeao — Thu, 03 Dec 2009 09:03:00 +0800

Neeao's Blog ( http://neeao.com/ ) :

昨天服务器停机是由于浙江电信机房涉huang全部停机检查导致。多谢各位朋友的关心和支持。