9日，Apache官方发布了遭受黑客攻击的消息声明，接到朋友发来的消息，上去看了几眼，由于教学任务比较重，没翻译。今天周末，时间充裕，抓紧看了一下，同时关注到包子那里出了相关文章，分析的还不错，转一下一起分享，事实上现在比较期待的是奢望入侵者能够暗渡一下入侵札记。

Apache是全球使用最多的Web Server之一，近期Apache的官网被黑客入侵了，素包子根据apache网站的描述，分析了下黑客的思路。大概包含5个过程，虽然道路曲折，但黑客快速通关，一步一步的接近目标，有很多可圈可点的地方，还是相当精彩的。可惜最后people.apache.org没搞下来，否则可以写小说拍电影了，不过男女主角不能是aXi和aJiao。

如果你能拿到主域管理员的密码，整个内网你就可以自由穿行了。主域管理员一般呆在比较重要的机器上，如果能搞定其中的一台或几台，放个密码记录器之类，相信总有一天你会拿到密码。主域服务器当然是其中最重要一台了，如何在成千台机器里判断出是哪一台呢？dos命令像●net group "domain admins" /domain●可以做为一个判断的标准，不过vbs也可以做到的，这仍然属于adsi部份的内容，代码如下：
★
set obj=GetObject("LDAP://rootDSE")
...

首先知道 
execute()函数,是用来执行asp代码的.就是负责执行我们上传的大马,将马交由asp.dll解析.上面的代码<%execute request("a")%>可以这样来解释： 

<%   if request("a")<>"" then execute request("a")   %>  
...

目前，许多用户因业务发展需要不断更新，从而造成环境差异较大，整个网络系统平台参差不齐，在服务器端大多使用Linux和Unix，桌面端使用Windows xp/Vista，所以在企业应用中往往是Linux/Unix和Windows操作系统共存形成异构网络。Linux中的Samba就是常用于Linux/Windows合组网下的文件服务器，这样Samba服务器的安全问题就凸显出来了。本文从Samba的访问控制和病毒查杀两方面的设置来加强网络中Samba服务器的安全防护。
一 、从基本访问控制入手
...

一、 ARP欺骗的原理

在局域网中，同一子网中的两台计算机通信的建立实际上是通过MAC地址来完成的，所以两台计算机通信前必须将IP地址转换MAC地址，这个过程是由ARP协议完成的。如IP为192.168.0.10的计算机A想要和IP为192.168.0.8的计算机B通信，就会向整个网络发送一个广播（ARP REQUEST）大致内容为：“大家好，我的IP是 192.168.0.10,我的MAC地址AA: AA: AA: AA: AA: AA，请记下，大家以后用他联系我，顺便请问IP为192.168.0.8的同志,你的MAC地址是多少啊 ，小弟有数据包要发给你。”   在正常情况下IP为192.168.0.8的计算机B接收到该广播包后会回复一个数据包（ARP REPLY）告诉IP 192.168.0.10的计算机A：“小弟，你好，我的MAC地址是BB: BB: BB: BB: BB: BB，你也记下，以后我们就直接用MAC地址通信了，常保持联系。”这时连接完成，计算机A顺利的将数据包发给计算机B，这是两台计算机通信的正常建立，但是如果此时有一台计算机C不停的告诉（欺骗）计算机A：“计算机B的MAC地址是CC: CC: CC: CC: CC: CC” ，而计算机A本身不具有辨别能力(网络连接设计上的缺陷)，正确的回复很快被错误的广播淹没(图1就是这个过程的示意图)。计算机A就会错误的记录下计算机B的MAC地址为CC: CC: CC: CC: CC: CC，并错误的将数据包发给了计算机C，计算机C得到数据包后，接下来他就可以对数据包为所欲为了，分析数据包中的帐户信息、在数据包中加入病毒代码再发送给计算机B或干脆丢弃数据包。在这个过程中，计算机C就欺骗了计算机A和计算机B。这个过程就是ARP欺骗。
...

       最近腾讯分站被“黑”的消息有蛮人多关注的，某带头大哥就叫我写了篇贴子说说相关的过程是怎样的,进入正题!  

       大家都想像得到要黑腾讯这类大站找个明显的漏洞(包括注入)是很难的了，就算注入出密码肯定也加密了，解开了都不一定能找到后台拿shell，必境人家也是有相关的安全部门维护着！上传？除了后台哪里还有？我通过google搜,到处转了转看到腾讯某分站搞了个类似在线做动画的服务，当然前提是要登陆了才行，其中有个功能就是上传你的作品!这个地方能用？不限制上传类型？不试怎么知道！直接上php后缀的马不行，它是用js来控制的，只有jpg,bmp,gif后缀才能显视且才会开始上传。还有什么办法没？那就试试抓包再改后缀喽！内容如下：   

无线局域网被认为是一种不可靠的网络，除了加强网络管理以外，更需要测试设备的构建、实施、维护和管理。

　　尽管IT的寒冬还未渡过，但WLAN以其便利的安装、使用，高速的接入速度，可移动的接入方式赢得了众多公司、政府、个人以及电信运营商的青睐。但WLAN中，由于传送的数据是利用无线电波在空中辐射传播，无线电波可以穿透天花板、地板和墙壁，发射的数据可能到达预期之外的、安装在不同楼层、甚至是发射机所在的大楼之外的接收设备，数据安全也就成为最重要的问题。

　　问题一：容易侵入

不少网友反映操作系统突然出现了tsinternetus6r或tsinternetus7r这两个系统用户，那很可能因为安装的sqlserver的sa密码泄露导致被入侵了，情况类似于这篇文章介绍的，internetusers用户之谜。入侵者利用的是一款名为：Auto Repair 3389 per aggiungere ulteriori utenti di aggiungere pass trojan的工具添加的系统用户，而且这个工具还有传送木马并运行的功能。

利用google 半秒破 500 網！利用google 半秒破 500 網！
其實 google 搜尋器變了駭客工具也不是新聞，
老手早亦用到，新手的也可來試試。
只要將以下 字串 作搜尋的話，你都得到很多密碼，
當然若要得心應手便需要更多研究及借助其他軟件，
但初步先懂得去找。
...

利用google照样可以对一个站点进行信息收集和渗透的，下面我们用google对特定站点进行一次测试。
------------------------------------------------
首先用google先看这个站点的一些基本情况(一些细节部分就略去了):
site:xxxx.com
从返回的信息中，找到几个该校的几个系院的域名：
http//a1.xxxx.com
http//a2.xxxx.com
...