如何回報 Google，詐騙、惡意、釣魚網站

如果您有在使用 Google 搜尋引擎、Google 瀏覽器 Chrome，或是防毒軟體，當您瀏覽了嵌入惡意程式、木馬病毒的網頁或詐騙用的釣魚網站….等，通常都會跳出警告訊息給我們。

有了這些安全機制，在加上自己有些資安的防範意識其實基本上被入侵成功的機率就會比較低，可以參考：

WebInspector-免費線上檢測網站安全

[資訊安全]如何有效防範社交工程Social Engineering

不過即使有了萬全的防護，也不能保證100%安全，因為現在的釣魚/詐騙網站、惡意中繼站，型態多變、成長與更新速度非常快，Google 蜘蛛在多分析在快，也很難即時的發現新的惡意網站。

所以Google 提供了一個讓網友回報的一個平台，當您連結到某一個URL的時候，發現那個URL明明就不是Facebook、Google、Hotmail、Yahoo 等網域名稱，但頁面卻長得一模一樣，且 Google 搜尋引擎或 Chrome 瀏覽器上卻沒有明確標示該網站有問題，那就回報 Google 請他們即刻處理與封鎖。

回報 Google 病毒、惡意網站

回報 Google 詐騙、釣魚網站

送出後 Google 就會處理你所提交的惡意網站，審核可能會需要一些時間，所以在這段期間內其他人也可能不小心進入惡意網站，可以依照下面的指示來進行幾個你可以做的後續處理。

報表已寄送

感謝您將報表寄給 Google。現在您已經日行一善了，不妨：

1. 開心享受一下助人的喜悅；因為您的熱心，網路世界才能變得更加美好。
2. 確定您已將網路瀏覽器升級為最新版本，並且已套用作業系統的最新修補程式。
3. 參閱下列網站，進一步瞭解可能使您電腦中毒的惡意軟體：Stopbadware.org 。

雖然回報給Google，無法讓這些惡意網站關站，但至少讓有使用 Google 搜尋引擎或 Chrome 的人可以收到警告訊息，避免受害者越來越多，並將傷害降到最低。

Read More

WebInspector-免費線上檢測網站安全

網路詐騙案例層疵不窮，最難防的莫過於社交工程(Social Engineering)了，因為社交工程是利用人性的弱點，如好奇、恐懼、貪心、情色、信任、不在意等，來設計成各式各樣的詐騙手法，讓人防不慎防。

駭客最常利用的就是：

1.新聞事件

天災人禍像是復興空難、高雄氣爆、台北捷運隨機殺人事件 等..

2.新產品或服務的推出

假的iPhone 6 照片曝光透過電子郵件去誘騙受害者點擊。

3.名人的八卦消息

足以毀掉小賈斯汀的影片

李宗瑞XX影片

4.利用朋友的名義

駭客鎖定目標後，會蒐集目標周邊所熟悉的人、事、物，駭客在利目標所信任的人傳送社交工程郵件誘使受害者點擊。

這些郵件不外乎都是使用人性的弱點，來誘使受害者來點擊，進一步的取得控制權，竊取機密資料，植入木馬與後門等。那麼如何有效的防範社交工程郵件呢？可以參閱：

[資訊安全]如何有效防範社交工程Social Engineering

不過這篇只是針對Outlook的設定做初步防範而已，真正有問題是信件裡的附加檔案與連結，所以通常Chris收到一個非開不可的檔案，都會先使用本機的防毒軟體掃毒，在丟到VirusTotal 看看有沒有問題，最後才會將檔案給開啟，可能有人認為這樣也太麻煩了吧，沒錯資安與方便性一定不會是畫上等號的，但其實現在市面上很多程式都有跟VirusTotal 整合，雖然還是麻煩但至少可以輕鬆的上傳檔案掃毒，這部分Chris後續也會一一的介紹。

那如果Chris收到一個非開不可的網址呢? 因不確定對方的網址是不是安全的，所以Chris通常都會使用一些線上工具來檢測網站是否安全，像是 WebInspector 這個網站，它最主要的功能是檢查目標網站是否安全，是否隱藏了可疑或惡意的程式。

Webinspector 是美國公司 Comodo CA 所成立的。除了提供免費的線上偵測服務之外，也有提供付費服務(例如大量網域的檢查與偵測，免費版只能單一網域)，它可以檢查網站是否為黑名單(Blacklist Checking)、釣魚攻擊(Phishing)、惡意軟體(Malware Downloads)、驅動下載攻擊(Drive-by-Downloads)、蠕蟲攻擊(Worms)、後門(Backdoors)、特洛伊病毒(Trojans)、啟發式病毒(Heuristic Viruses) 以及其它可疑程式或活動。

網站：WebInspector

使用方式非常簡單只要在搜尋列打上網址在按下Start The Scan按鈕，Webinspector 就會即時做掃描

掃描時間會看網站的大小，通常幾分鐘之內就有結果了，如果網站沒有問題會顯示No malicious activity or malware detected等字眼。

相對的如果發現網站異常會出現紅色驚嘆號，及顯示This is a direct link to malware file.

回報為惡意網站Report as Malicious

顯示歷史紀錄Show History

另外他還有WHOIS的功能，可以查看該網域的一些基本資訊

最後 WebInspector 除了可以防範社交工程外，也可以拿WebInspector 來檢視自己的網站有沒有問題，一般Chris也會建議用戶定期的做掃描，避免自己的網站被當做惡意中繼站而不知道不去處理，導至被列入黑名單。

Read More

VMware P2V 將實體機器轉成虛擬機器(實體轉虛擬)

在最近幾年來對資訊產業來說『雲端』這一詞可以說是最熱門的話題，不論是什麼都要和『雲端』扯上關係，像是雲OS、辦公室軟體、雲端掃毒軟體、雲儲存、雲端電視、雲端遊戲等，好像現在的服務都一定要加上『雲端』，且現在媒體總是報導著雲端雲端!! 導致越來越多人想一窺雲端的面貌，也越來越多企業緊追雲的蹤跡，無不希望飛上雲端。

延伸閱讀：

雲端運算定義與範疇

當然我們的客戶也不例外，最近一個客戶砸了重金買了軟硬體，為了也是希望他們的系統能夠上雲端，但上雲端之前，系統的虛擬化是一個很重要的一步，如何順利的將公司現有的實體機器，轉換成虛擬主機，Chris將這幾年所遇到的問題、評估與注意事項，用筆記的方式分享給大家，有P2V需求或有興趣的朋友請看下去。

P2V簡介:

實體到虛擬，即 Physical to Virtual 簡稱 P2V。是從實體機複製操作系統、應用程式或者數據到虛擬機的技術。

P2V工具：

VMware vCenter Converter, 免費(後續之內容以此VMware vCenter Converter來做介紹)

軟體：VMware vCenter Converter

使用目的：實體主機虛擬化成虛擬機器檔案

下載網址：http://www.vmware.com/products/converter/

P2V的準備評估事項：

1. 待轉的機器是否為支援的OS版本
2. 與AP人員討論check list，有什麼機制去證明機器是轉換完畢的。
3. 有些特殊卡片、接頭的，VMware無法支援的，可能需要討論是否有變通方法。
4. 對雲端管理者而言，需討論轉入機器所需要的Port，防火牆與掃毒的機制(如何證明機器不會影響到環境內其他虛擬機)。
5. 高效能吃資源建議專用
6. DB鎖license例如sybase

P2V流程中的注意事項:

1. 均須有最高權限帳號去執行P2V作業。
2. 從原本IBM & HP 或他牌機器P2V時，若原本有裝原廠的Agent，轉完後建議把這些Agent移除。
3. 轉完後均須安裝VMware Tools。
4. VMware vCenter Converter 轉換時，建議用同網段去作，否則常常會因Delay，會有不明錯誤失敗。
5. 若實體機有分系統槽與資料槽(storage)，建議可以只先轉系統槽，資料槽可以用其他方式COPY過去，會使P2V速度加快。
6. 轉換Windows時，因常有莫名因素，Converter部屬待轉機器時，會遇到無法遠端安裝Converter Agent的狀況，此時手動在待轉機器上安裝Converter Agent即可。
7. 轉換Linux時，因Converter是用Helper iso去開起虛擬機，並且用SSH的方式去Copy整個資料，所以需要配置一個暫時用的IP。

P2V完成之注意事項

1. 當轉換完畢後，需要注意IP網段的衝突，轉換Linux時更需注意。
2. AP的驗證與測試，依照Check list逐一驗證。
3. 是否有一些不必要的安裝程式可以刪除，例如一些Server原廠的Agent。(windows)一些隱藏的驅動程式(網卡)需要刪除，以免IP咬住。

支援版本(沒有出現在以下之OS,代表不支援)

Windows

Linux

最後VMware vCenter Converter的使用方式其實很簡單，這邊就不再額外截圖教學了，最重要的是上述所說的方法，如果該注意的地方都有注意，基本上轉換成功的機率就很大，不過實際上每個人的環境都不一樣，所遇到的問題也會不同，無法一一列出注意事項，如果有甚麼漏掉，或是有遇到甚麼奇怪的問題，都歡迎大家來討論。

Read More

[SEO]透過關鍵字也能找到您網站中的圖片

一般 Allen 在撰寫部落格文章，整篇文章通常都是以文字文主，圖片為輔盡量都用淺顯易懂的字句來表達，這樣對搜尋引擎來說是分常友善的，這個大家都知道，不過不一定每個站長都是同樣的狀況來表達，有的時候遇到的情況是需要大量圖片來做說明，例如購物車或教學等.....但圖片就不能SEO嗎? 其實是可以的。

那麼圖片要如何SEO呢？下面幾點供大家參考

1.圖檔名稱

以前Allen在Y拍上賣過東西，用數位相機所拍攝商品圖片的檔名，一般是長「DSCF1234.JPG」或是「2014-07-22 23.23.23.jpg」，等無意義的英文數字或是按照時間日期所組成的流水號，即使你的SEO做得很好也不會有人會去搜尋這樣的關鍵字的。所以圖檔的檔名請加上關鍵字或是品牌名稱，例如：今天有一個商品名稱是KITTY推車墊，那圖片名稱我就會改成kitty-babycar-01.jpg，記住！關鍵字間請用「-」隔開而不是用底線「_」。

2.圖片所在頁面

圖片和所在頁面的主題需相符合，以上面的例子來說好了介紹KITTY推車墊的頁面若放上美食的圖片，怎麼想都不覺得這兩者會有甚麼關係，以使用者的立場來說是一個很不好的使用者體驗，對人是這樣對搜尋引擎也是一樣的。

3.多使用文字說明

在一篇文章中，通常我們會插入一些圖片，來輔助文字敘述說明的不足。而在購物網站中，圖片似乎就變成了主角，而文字就變成加強說明圖片無法呈現的資訊，如：商品資訊、商品規格。所以在圖片旁適時的置入具有關鍵字的「文字」說明，可千萬不要把說明文字都做到圖片裡哦！

4.替代文字 ALT

在圖片加入替代文字加入關鍵字是最重要的一環，當圖片由於一些原因不能夠顯示的時候，alt屬性使您可以指定供替代顯示的文字。 在這裏我們的alt文本是一句簡短而正確的對圖片的描述，描述文字千萬不要太長，以購物網站來說最快的做法就是把商品的商品標題整串複製再貼到主圖的 ALT，這樣的作法就是在告訴搜尋引擎這張圖是什麼東西。

它的語法格式長的像這樣：<img src="http://www.netqna.com/seo.jpg" alt="keyword" / >

結語

其實圖片優化還有其它可執行的部份，不過！我們上述的重點先做，其它的部份我們再逐漸去補足，執行SEO時不需要一次做足避免過度優化，讓網站慢慢成長是搜尋引擎喜歡的模式。

Read More

免費版 WAF ModSecurity 增加網站安全性

在大部分成功被駭客入侵的網站案例中，大多都屬於網頁程式設計師的疏忽，或本身缺乏安全的意識而開發的軟體，很容易造成網頁主機被入侵成功的危機，如果不確定自己有沒有被入侵，可以參考我之前寫的5個自我檢視資料庫之安全性的方法，先自行檢測看看。

一般為了預防像是 XSS、SQL Injection 此類的安全性漏洞，大多會購買WAF（Web Application Firewall，網頁應用程式防火牆）來阻絕駭客，但類似的產品，價格往往相當的昂貴，絕非一般中小企業所能負擔。 相關 WAF 資訊可以參考：

網頁應用防火牆(Web Application Firewal, WAF)

或許有人會說為什麼要砸大錢買WAF？WAF不過是至標不治本的東西，程式本身有漏洞應該是將漏洞修補起來就好了，當然這是正確的觀念，如果你的維護的是小系統可能還可以迅速做修補，但如果是大型的 ERP 系統在現實上就沒有那麼簡單了，而且在修補的過程中沒有任何防護的話，還是有一段的空窗期喔。

為了獲得最好的安全效果，我們需要雙管齊下，一方面必須提高管理者和開發者的安全意識，另一方面儘可能提高應用系統的安全性。

因此，本文將介紹這款開放原始碼的軟體 ModSecurity，免費為您的網站主機多加一層保護。

ModSecurity 簡介

ModSecurity是一個開放原始碼的WAF（Web Application Firewall，網頁應用程式防火牆），是一個入侵偵測與防護引擎，它可以作為你的服務器基礎安全設施，目前支援Apache、IIS、Nginx 等..可增強這些 Web 伺服器的安全性和保護Web應用程式避免遭受來自已知與未知的攻擊。

網址：http://www.modsecurity.org/

ModSecurity功能特點

1. 即時監控和攻擊檢測
2. 攻擊防禦和即時修補
3. 靈活的規則引擎
4. 嵌入式模式部署
5. 基於網絡的部署
6. 可移植性

ModSecurity新特性

1. 增加狀態報告(Status Reporting)
2. 增加JSON解析器
3. 添加@detectXSS模塊
4. 連接限制(SecConnReadStateLimit/SecConnWriteStateLimit)支持黑白名單
5. 增加新變量FULL_REQUEST和FULL_REQUEST_LENGTH，支持對請求的所有內容進行規則限制。

簡單的說 ModSecurity 可保護您的 Web 應用程式免受複雜的攻擊，阻止線上身份竊取，並防止資料經由應用程式洩露，建議系統管理者都可以安裝這個防護措施。

Read More

使用Dual Stack同時擁有IPv4與IPv6 速度變慢(IPv6 Fallback)的解決方法

可能很多人沒有關注或發現，其實早在幾年前 IPv4 的位置就已經配發完了，也就是說未來我們架設的網站或Services，會逐漸面臨到如何與IPv6網路共存的問題，而最近遇到了一些客戶已經未雨綢繆地籌備IPv4到IPv6的過渡方法。

目前IPv4到IPv6的過渡方法有下列三種

1. Dual Stack（IPv4/IPv6雙堆疊）
2. Tunneling（隧道）
3. NAT-PT（轉換）

而我們其中一個客戶選擇使用第一種Dual Stack（IPv4/IPv6雙堆疊）的方式來做轉換，使用這種方式算是相當的簡單，只要電腦或是網路上的路由器同時支援IPv4和IPv6即可，對於公司行號內部來說轉換相當容易，只需將網路節點換成支援Dual Stack的裝置即可，每個裝置同時擁有IPv4和IPv6位址，2種網路同時並存在公司內部，卻又不相互干擾。不過當我們的客戶使用 Dual Stack 上線沒有多久，他們的使用者卻抱怨上Facebook變的很慢很慢(迷之聲..上班可以玩臉書嗎? XDDD)，一開始用戶懷疑是DNS解析以及同時擁有IPv4與IPv6 是不是有回覆的優先順序的問題，這邊我說明一下，DNS Server 會依用戶詢問的記錄(Domain name record)回覆，當某個Domain name record只有IPv4位址，就只回覆IPv4位址當某個Domain name record只有IPv6位址，就只回覆IPv6位址如果某個Domain name record有IPv4及IP6位址，則IPv4、及IPv6位址都回覆，所以沒有先後順序問題。

後來請用戶的網管人員調閱Firewall Log發現IPv6的連線都被Deny掉了，原來用戶的網管人員沒有設定IPv6的Firewall Policy，但用戶為什麼還是可以連到Facebook呢？原因是現在新的OS，一般都會先嘗試連線IPv6位址，而如果該Domain name record  的IPv6連線有問題，或是該Domain name record設定有問題，會造成OS繼續嘗試IPv6位址，大約在經過21秒後才改嘗試該Domain name record的IPv4位址，所以使用者雖然可以連上Facebook但很緩慢，這就是IPv6 Fallback現象。

所以要解決這個問題有兩種解決方法，第一個解決方法比較簡單，就是請網管人員開通Firewall Policy，第二種就是設定OS可透過下面教學，來控制OS本身IPv4、IPv6路由的優先順序，來避開這個問題。

Windows 設定方式

Windows: (::ffff:0:0即是指IPv4)，此指令輸入後是永久生效，不必每次都重新設定。

C:\>netsh interface ipv6 show prefixpolicies 正在查詢使用中的狀態... 優先順序    標籤   首碼 ----------  -----  --------------------------------         50      0  ::1/128         40      1  ::/0         30      2  2002::/16         20      3  ::/96         10      4  ::ffff:0:0/96          5      5  2001::/32 C:\>netsh interface ipv6 set prefixpolicy ::ffff:0:0/96 100 4 確定。 C:\>netsh interface ipv6 show prefixpolicies 正在查詢使用中的狀態... 優先順序    標籤   首碼 ----------  -----  --------------------------------        100      4  ::ffff:0:0/96         50      0  ::1/128         40      1  ::/0         30      2  2002::/16         20      3  ::/96          5      5  2001::/32 C:\>

Linux 設定方式

Linux: (::ffff:0:0即是指IPv4)，以下對/etc/gai.conf檔加入即可。

最後在做一個重開機。

~]# cat /etc/gai.conf # Label # Add another rule to the RFC 3484 label table. See section 2.1 in # RFC 3484. # The default is: label ::1/128 0 label ::/0 1 label 2002::/16 2 label ::/96 3 label ::ffff:0:0/96 4 label fec0::/10 5 label fc00::/7 6 # # Precedence # Add another rule the to RFC 3484 precedence table. See section 2.1 # and 10.3 in RFC 3484. # The default is: precedence ::1/128 50 precedence ::/0 40 precedence 2002::/16 30 precedence ::/96 20 #precedence ::ffff:0:0/96 10 # # For sites which prefer IPv4 connections change the last line to precedence ::ffff:0:0/96 100 ~]# shutdown -r now

Read More

企業為甚麼需要 SEO 搜尋引擎最佳化

最近跟Allen跑了好多地方，談了很多Case，發現到我們有些客戶網站的設計方式，還是停留在型錄網站的設計方式(只有圖片沒有文字的網站)，根據我們多年來的軟體開發與網站行銷的經驗，這在早期使用 Yahoo 網站目錄的搜尋方式或多或少還可以進行曝光，但現今的網路世代使用此種方式架設網站，已經讓您的網站曝光度大幅減低，甚至沉沒在網頁的大海裡。

怎麼說呢? 自2001年Google大神推出的搜尋引擎，就大大改變了人的思維，從Enquiro公司所做過的眼球軌跡實驗證明，大部分的人對搜尋結果，愈往下的搜尋結果愈沒有耐心閱讀與點擊來看，根據調查數據統計，搜尋結果在前10頁的，陌生訪客就有造訪貴公司企業網站的機會，若過了第10頁，造訪機會可說是0。但是，您可以依操作的習慣想想，我們在搜尋資料時，會看超過第3頁嗎?

也因此，越來越多的的企業主都開始思考SEM(搜尋引擎行銷)市場，他們結合公司的業務需求會提出一些關鍵字給SEM公司進行關鍵字的排名優化。 這也解釋了，為什麼越來越多的企業選擇在搜尋引擎第一頁做關鍵字優化服務的原因，同時關鍵字優化(SEO)與關鍵字廣告(PPC)相比，另一個最大的好處就是: 時效性長，曝光率高，潛在用戶的轉化率高，從而給企業帶來長期的巨大的經濟利益，而且還大大節約了企業經營上的行銷成本。

SEO行銷的第一個必要性，已經很清楚告訴你，你還沒進入SEO行銷的行銷模式，已經讓你錯失很多商機了。

延伸閱讀：

何謂SEO搜尋引擎最佳化?

網頁設計技巧-F型眼球運動軌跡

採取免費的行銷策略手法要點

搜尋引擎最佳化（SEO）與 點擊付費廣告（PPC）差異比較

Read More

OpenSSL 再爆嚴重漏洞CCS 注入

前一陣子OpenSSL（4/8）發佈緊急安全修補公告，公佈OpenSSL中一個可能潛伏長達二年之久的OpenSSL重大安全漏洞CVE-2014-0160。這個漏洞鬧得沸沸揚揚的，因為這個漏洞很多系統管理者都措手不及，但是最近OpenSSL 又被發現弱點了，這一次共有兩個弱點CCS Injection (CVE-2014-0224)及DTLS DOS 攻擊(CVE-2014-0195)

延伸閱讀：

[資訊安全]OpenSSL CVE-2014-0160 Heartbleed 嚴重漏洞

(1) CVE-2014-0224

利用中間人攻擊進行CCS Injection攻擊竊取，成立的條件是Server端與Client端的OpenSSL都要是有弱點的版本，由中間人在Hello之後立即送出ChangeCipherSpec 訊息，使伺服器先去做 ChangeCipherSpec 的動作，跳過原本應該先進行憑證交換與驗證程序，造成內文資料可被竊取成功，如下圖：

 

OpenSSL存在MITM中間人攻擊弱點，根據外部組織公告，惡意人士可先行掌握已有弱點的OpenSSL版本存在於伺服器及用戶端，透過中間人攻擊手段及ChangeCipherSpec 驗證順序漏洞，進而取得伺服器端與客戶端之加密內容資訊。

目前已知會受到影響的版本為OpenSSL 0.9.8、1.0.0及1.0.1~1.0.2 beta1版本，建議管理者應儘速上網更新，以降低受駭風險。

影響系統版本：

• OpenSSL 0.9.8 SSL/TLS users (client and/or server) 請更新 0.9.8za 版本
• OpenSSL 1.0.0 SSL/TLS users (client and/or server) 請更新 1.0.0m 版本
• OpenSSL 1.0.1 SSL/TLS users (client and/or server) 請更新 1.0.1h 版本

細節描述：

攻擊者可先搜索具有OpenSSL弱點之網站主機與有OpenSSL弱點之用戶端，利用ChangeCipherSpec 驗證順序漏洞及中間人攻擊手法，導致資料竊取而無需經過驗證憑證內容。

建議管理者應儘速確認主機是否使用影響範圍內的OpenSSL版本，並請盡速評估是否更新至OpenSSL 0.98za或1.0.0m 或1.0.1h版本

解決方式：

1. OpenSSL更新到OpenSSL 0.98za或1.0.0m 或1.0.1h版本
2. 用戶端瀏覽器版本更新到最新版本，系統端更新前，敬請進行完整評估與測試

參考資料：

https://www.openssl.org/news/secadv_20140605.txt

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0224

http://www.kb.cert.org/vuls/id/978508

https://access.redhat.com/site/articles/904433

http://ccsinjection.lepidum.co.jp/blog/2014-06-05/CCS-Injection-en/index.html

(2) CVE-2014-0195

OpenSSL處理DTLS(Datagram_Transport_Layer_Security)訊息時，未對DTLS的Client Hello訊息內容與Fragment接續進行檢查(DTLS Hello內容最大可達2的24次方)，導致有心人士可利用將其長度進行擴大造成緩衝區溢位，成功癱瘓主機或取得伺服器管理權限。如下圖：

根據外部組織公佈OpenSSL存在DTLS弱點，惡意人士可利用UDP封包對有弱點的OpenSSL版本伺服器進行惡意攻擊，透過DTLS Hello訊息長度未驗證之漏洞，進而進行大量UDP封包送出達到癱瘓伺服器服務，或在訊息內塞入惡意攻擊執行緒，造成主機接收訊息後執行任意碼而取得伺服器管理者權限。

目前已知會受到影響的版本為OpenSSL 0.9.8、1.0.0及1.0.1版本，建議管理者應儘速上網更新，以降低受駭風險。

影響系統版本：

• OpenSSL 0.9.8 SSL/TLS users (client and/or server) 請更新 0.9.8za 版本
• OpenSSL 1.0.0 SSL/TLS users (client and/or server) 請更新 1.0.0m 版本
• OpenSSL 1.0.1 SSL/TLS users (client and/or server) 請更新 1.0.1h 版本

細節描述：

攻擊者可先搜索具有OpenSSL弱點之網站主機，利用DTLS訊息長度漏洞，可擴大Hello訊息之長度(最大可到2的24次方長度)，或在Hello訊息中塞入惡意執行碼，導致癱瘓伺服器主機服務，或取得伺服器主機管理權限。

建議管理者應儘速確認主機是否使用影響範圍內的OpenSSL版本，並請盡速評估是否更新至OpenSSL 0.98za或1.0.0m 或1.0.1h版本。

解決方式：

1. OpenSSL更新到OpenSSL 0.98za或1.0.0m 或1.0.1h版本。
2. 檢查DTLS Hello訊息長度與DTLS Fragment_ID是否連續。

參考資料：

http://h30499.www3.hp.com/t5/HP-Security-Research-Blog/ZDI-14-173-CVE-2014-0195-OpenSSL-DTLS-Fragment-Out-of-Bounds/ba-p/6501002#.U5fscvmSyyp

http://h30499.www3.hp.com/t5/HP-Security-Research-Blog/Once-Bled-Twice-Shy-OpenSSL-CVE-2014-0195/ba-p/6501048#.U5fxMPmSyyo

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0195

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0195

Read More

[教學]如何突破郵件伺服器的附件大小限制

我想大家有寄過E-Mail的人，應該或多或少有遇過附件檔案過大，寄不出去的問題，有些因公司的政策或許附件大小沒有限制的很嚴格，但像之前Chris的公司因頻寬的關係，附件大小限制在5MB以下，如果附件檔案在10幾mb以內或許還可以用壓縮的方式，看有沒有辦法壓縮到5MB以下，若壓縮還是超過限制，就得要切割檔案了。

延伸閱讀：

[教學]如何分割及壓縮檔案

現在雲端服務越來越普及了，所延伸出來的功能也越來越強，越來越貼心了，像是中華電信推出的雲端資料櫃，就與Microsoft Outlook 郵件增益集做整合了，當您未來使用Outlook撰寫郵件時，可以輕鬆快速夾帶存在雲端資料櫃的檔案、突破郵件軟體的附件大小限制囉！

使用教學

Step 1：在同步資料櫃的左側功能區-應用程式下載，點選Outlook 郵件增益集下載
Step 2：將軟體先下載至電腦上，可點選開啟檔案執行安裝，或至下載軟體的儲存位置執行安裝。
軟體安裝

Step 3：至剛剛下載軟體的儲存位置，點按安裝Outlook 郵件增益集
Step 4：系統會訊問是否要安裝此軟體，請按 「執行」
Step 5：點選「安裝」、「下一步」進行安裝
Step 6：確認要安裝軟體的位置，這裡使用軟體預設的位置
Step 7：再來點選 「下一步」 等待完成軟體安裝即可.

如何使用「雲端資料櫃 Microsoft Outlook 」 郵件增益集

一、撰寫郵件完成後，點選「插入檔案」
二、輸入中華電信會員帳號、密碼進行登入
三、選擇雲端資料櫃中欲分享的資料夾或檔案 (註)
四、等待附加檔案完成，即可發送郵件囉～
1. 分享資料夾可同時多選擇資料夾與檔案，但不能選擇根目錄(同步資料櫃) 
2. 確定送出後，資料夾分享連結將出現在郵件本文中，同時該資料夾會設定為公開
   (連結可供所有人進行檢視及下載等功能) 資料夾設定方式請參考此篇說明^[2]

現在就趕快來試看看 Outlook 郵件增益集的功能吧!

Read More

[作品集-網路開店購物車]日本代購天天開心小舖

網站介紹

歡迎加入 ♥ ♥ 天天開心小舖 ♥ ♥
☺我們是很愛買的倆姊妹婉婷、婉怡☺
☺無論是包包/鞋子/美妝小物，只要覺得好用通通都想搬回家☺
☺這純粹只是為了滿足姊妹倆購買慾的社團/網站啊~(茶)☺

購物前請詳讀【Q&A → 購物流程】
並請務必加入FB社團【日本代購】天天開心小舖
我們或許價格不是最便宜的，
但我們用最盡心盡力的態度在服務大家，
真的謝謝大家的支持與愛護。 ☺

連結網址

http://www.happyeveryday.tw/

使用之服務項目

• 購物車模組
• SEO搜尋引擎最佳化
• 部落格模組
• 社群行銷與整合服務

頁面展示

Read More

搜尋引擎最佳化SEO 報價費用

網站基本作業費 25,000 元(含稅) + 關鍵字優化費用(每次合約以六個月計算) 

網站優化基本作業施工後五個月，在 Yahoo! 或 Google 的排行若沒有在三十名之內，不收取關鍵字優化費用。（如果在五個月之內，就排行到三十名之內，從當月開始收取關鍵字優化費用） 

網站基本作業，包含以下的工作。（網站優化主要針對主頁以及次主頁的內容。） 

• 以正確的語法優化網頁，目前支援:
• • HTML
  • ASP .NET
  • C#
  • VB
  • Java
  • PHP
• 在網頁內適當的分配關鍵字
• 文章內容結構化
• 維護網頁內的連結

關鍵字優化費用

關鍵字	定義	用戶關注度	SEO報價 (月/關鍵字)	排名效果
冷門字	關鍵詞搜尋結果30萬以內	低	1000~1500元	排名前30，並免費維護3個月
		中	1500~3000元	排名前30，並免費維護3個月
		高	3000元起跳	排名前30，並免費維護3個月
一般字	搜尋結果30萬到100萬	低	1500~2500元	排名前30，並免費維護3個月
		中	2500~4000元	排名前30，並免費維護3個月
		高	4000元起跳	排名前30，並免費維護3個月
熱門字	搜尋結果100萬到300萬	低	3000~4000元	排名前30，並免費維護3個月
		中	4000~7500元	排名前30，並免費維護3個月
		高	7500元起跳	排名前30，並免費維護3個月
火熱字	搜尋結果300萬以上	低	4500~6000元	排名前30，並免費維護3個月
		中	6000~1000元	排名前30，並免費維護3個月
		高	10000元起跳	排名前30，並免費維護3個月

SEO 網頁優化多久才會看到效果

一般要做排名優化必須經過一到三個月，甚至更久的時間才能將您的關鍵字排名提前。

如果您的網站有下列狀況，網智數位則無法提供網站排名行銷服務

1. 含有暴力、色情或違法行業等不良網站內容
2. 作弊的網站（已讓搜尋引擎列入黑名單者）

優化排名是一個動態的過程，並非一做上去就萬事大吉。實際是需要經常關注排名變化並適應變化做出維護措施的。 

Read More

[資安鑑識工具]Rootkit 殺手GMER 掃描移除程式

在介紹GMER這套軟體之前，先來介紹一下什麼是Rootkit? 

Rootkit是指其主要功能為：隱藏其他程式行程的軟體，可能是一個或一個以上的軟體組合；廣義而言，Rootkit也可視為一項技術。在今天，Rootkit一詞更多地是指被作為驅動程式，載入到作業系統核心中的惡意軟體。因為其代碼執行在特權模式之下，從而能造成意料之外的危險。最早Rootkit用於善意用途，但後來Rootkit也被駭客用在入侵和攻擊他人的電腦系統上，電腦病毒、間諜軟體等也常使用Rootkit來隱藏蹤跡，因此Rootkit已被大多數的防毒軟體歸類為具危害性的惡意軟體。Linux、Windows、Mac OS等作業系統都有機會成為Rootkit的受害目標。

簡單的來說Rootkit 是躲在系統底層的程式，偽裝成一般的系統檔或應用軟體讓人無法察覺，有些還可躲過防毒軟體的監控與掃描，所以當初Rootkit的出來，對於防毒軟體是一大挑戰。很多中了木馬或被植入Rootkit的電腦在外觀或使用上並無太大的差異，但實際上可能已經暗中竊取資料或等待時機執行其他攻擊任務。

而今天要介紹的Rootkit 掃描移除程式 GMER 是一款來自波蘭的免費多功能系統安全監控分析應用程式。除了具有偵測 Rootkit 的功能外，它還能顯示隱藏的程式、服務、驅動程式、登錄檔項目及隱藏的檔案。再者，它亦能監控自動啟動的程式、程式庫的載入、驅動程式的載入等...。

軟體下載

軟體名稱：GMER

軟體版本：GMER 2.1.19357

作業系統：Windows NT/W2K/XP/VISTA/7/8

軟體語言：英文

軟體性質：免費軟體

官方網站：http://www.gmer.net/

軟體下載：按這裡

使用方式

下載後直接打開 GMER 程式無須安裝，軟體分為「處理程序」、「模組」、「服務」、「檔案」、「登錄」、「Rootkit/惡意程式碼」、「CMD」和「自動啟動」八個標籤頁。

掃描方式非常簡單，選擇「Rootkit/Malware」標籤頁，點選Scan就會開始掃描。

掃瞄的類型如下：

• 隱藏的處理程序
• 隱藏的執行緒
• 隱藏的模組
• 隱藏的服務
• 隱藏的檔案
• 隱藏的磁碟磁區(MBR)
• 隱藏的替代資料串流
• 隱藏的登錄機碼
• 驅動程式鈎子 SSDT
• 驅動程式鈎子 IDT
• 驅動程式鈎子 IRP 呼叫
• 內嵌鈎子

掃描結果如發現到有Rootkit 惡意程式，Gmer會跳出警告視窗。

點選有問題的程式選擇刪除即可。

總結

當然，Gmer程式可能也會有些「誤判」的情況，而視窗中列出來的可能只是「可疑」而已，並不一定真的全部都有問題，如果沒掃到也不代表完完全全沒問題。我們可以根據 Gmer 的掃描結果再一一的詳細檢查、交叉比對一下是否真的非砍掉不可。不過如果你對安全性方面的要求很高，那就盡量不要放過任何一個可疑的檔案，或者多找幾套類似的工具來掃描、檢測一番。

Read More

[資訊安全]不要再用弱密碼了，教您如何設置安全又好記的密碼

當您進入電腦帳號時，總會被要求輸入帳號名稱（username）與 密碼（password），帳號名稱是用來確認進入系統的使用者身份， 密碼則是證明該使用者有權使用此帳號。在現今通行無阻的網際網路世界，通行密碼是系統安全的第一道防線，但是有許多使用者認為只要有設定密碼，別人就讀不到他的檔案，所以不需要一個好密碼。事實上，使用一個容易猜到的密碼，就好像打開大門邀請小偷進來一般危險， 不只對被侵入的帳號有影響，更可藉由此合法帳號埋下許多披著羊皮的炸彈（如 Trojan Horse），進而毀掉系統重要檔案或侵入其它系統。

安全機構Imperva Application Defense Center（ADC）做的一項研究顯示，有36%的人使用6位數以下的密碼，60%的人總是使用固定幾組英數字當密碼，50%的人使用姓名、俚語、單字、連續數字或鍵盤上相鄰的字母組合作為密碼。最常為人使用的密碼形式為連續數字，再來就是如「Password」、「iloveyou」、「abc123」等單字以及英文名字。

而駭客使用的密碼破解軟體日新月異，遇到上述簡單的密碼，短時間內就可破解，根據ADC統計，大約只要17分鐘就可以破解1000個帳號！

那麼該如何設計安全的密碼呢？安全專家們基於研究數據，及參考美國國家航空暨太空總署制訂的密碼政策，提供了以下建議：

絕對避免的密碼：

1. 不設密碼
2. 不設與帳號相同的密碼
3. 不設與主機名稱相同的密碼
4. 不使用個人資料，如生日、身份證字號、英文姓名或羅馬拼音或漢語拼音、公司部門簡稱、電話號碼...等一些平常在填寫表格不知不覺就會透露出去的資訊
5. 不使用重覆性或連續性或過於簡單的密碼，如123456、abcdef、1qaz2wsx（鍵盤上的連續鍵）、abc123...等此類簡單的組合
6. 不要使用英文單字或句子為密碼
7. 不要設密碼全為數字或全為英文

較佳的設密碼原則：

1. 密碼要至少八碼
2. 密碼最好要英數字參雜且含英文大小寫
3. 若環境允許的話密碼最好要連特殊符號也包含進去，但儘量不要包含空白鍵（有些系統會自動省略空白鍵）
4. 密碼要任何沒有意義的組成
5. 密碼要記的住，最好能夠自己迅速的不看鍵盤就可以打出來（別人偷看想記的時間都來不及）

確保密碼安全要點：

1. 請不要在不熟悉的電腦上設置您的密碼，例如網咖、圖書館、共用系統、會議室...，不要相信您的一舉一動不會被側錄
2. 不告訴任何人你的密碼，但可視情況選擇一人共知密碼，例如親密的配偶
3. 不把密碼存在電腦裡面，不要為了方便而讓電腦記住你的帳號及密碼
4. 若怕密碼忘記的話，可將密碼寫下來，但須提供這個被寫下來的密碼一個適當且安全的地方存放。 一般來說，寫在紙上的密碼較難透過網際網路洩露出去
5. 不要透過email、即時通（MSN、Yahoo、Skype...）等任何通訊軟體傳送您的密碼，或在電子郵件要求下提供您的密碼（例如：釣魚信件要求您輸入某銀行帳戶的帳密）

如何設定符合安全性原則又好記的密碼？

那麼在以上原則之下，要如何才能設計出好記的密碼呢？

訣竅一：利用同音字替換

比如succeed這個單字，可以將英文字母e替換成同音的阿拉伯數字1，這樣就變成succ11d，好記又可混和英數字。

訣竅二：利用同型字替換

比如dog狗這個單字，可以將字母o改成阿拉伯數字0，變成d0g，一樣是有意義的詞，但是混和英數字。

訣竅三：善用特殊符號填充

比如上述d0g這個密碼不夠長，那麼就可以在後頭加上特殊符號如d0g!(!(!(!(!(!(，改成這樣之後不會難記，但是駭客得花上12340個世紀才能破解。

訣竅四：利用中文輸入法

比如「我的密碼」這四個字的注音輸入法是「ji32k7au4a83」的按鍵組合，乍看之下是隨機組合，但其實是有意義的。

總結

上述四個訣竅混搭使用，就可以設計出好記又安全的密碼，若害怕自己設置出來的密碼會忘記，不用擔心，在設置之前可以運用自己的聯想邏輯來設計，而這個聯想所相關的資訊當然是儘量別人不曉得的資訊。而在幾次的登入之後，相信熟能生巧，密碼一定會變成您腦袋的一部份。

Read More

7項措施因應弱點CVE-2014-1776，IE瀏覽器零時差攻擊

微軟瀏覽器 Internet Explorer 被發現存在零時差弱點，在存取已刪除或錯置的記憶體內容時，可破壞(或修改)記憶體內容以置入攻擊者之惡意程式碼。攻擊者可利用此弱點製作惡意網頁，當使用者使用存有弱點的瀏覽器瀏覽該惡意網頁，會使攻擊者有可能以使用者的權限執行任意程式碼。目前已經發現駭客使用此一弱點發動網路攻擊的案例。提醒Internet Explorer瀏覽器使用者，應多加留意透過不明信件的連結，與瀏覽不明網站被攻擊的可能性。 

攻擊手法

那麼，什麼是「Zero Day」呢？它是一個遠端程式碼執行漏洞。白話就是：攻擊得手後，駭客能讓目標電腦執行（特定）軟體。Microsoft 的警告描述：「該漏洞會使記憶體崩潰，並讓攻擊者能在使用者當前使用的 IE 瀏覽器中執行任意程式碼。」

該漏洞源自 Flash——透過一些著名的技術手段（技術細節請參看此處），再進一步利用而侵入電腦記憶體。

在某些情境下，攻擊者會建立一個特定網站來幫助「Zero Day」入侵，該網站會誘使 IE 使用者點擊該網站的連結。因此，如果你使用 IE 瀏覽器，在收到某些附帶網頁連結的可疑的電子郵件時，就要加倍小心了。

影響範圍：

Internet Explorer 6、 7、 8 、 9、 10 、 11 。

建議措施：

微軟周四(5/1)發佈重大系統安全更新KB2964358，可修補於IE 6~IE11版本發生的零時差漏洞，而對已經結束技術支援的Windows XP，微軟也釋出善意表示，基於該漏洞離XP終止支援時間點極為接近，微軟也決定破例額外為XP發布更新修復。不過微軟也提醒還在使用XP的用戶，應盡快移轉至新版Windows 7或 8.1，並將瀏覽器升級至最新IE 11版本。

此外微軟也公告，此更新將於美國當地時間5月1日早上10點釋出，用戶可透過自動更新安裝，但少部份採用手動更新的用戶，微軟也強烈建議，在安全更新發布後盡可能加快手動更新。

如企業內部無法即時更新建議使用以下措施，可以減緩被此一弱點攻擊的可能性：

1. 安裝與使用微軟的Enhanced Mitigation Experience Toolkit(EMET) 4.1 以上的版本，舊版本的EMET無法有效阻擋此一弱點的攻擊。
2. 將IE的安全性等級設定為"高"，進而限制ActiveX控制項與Active Scripting指令碼的執行。
3. 啟用IE受保護模式(IE 10以上內建)
   開啟IE，點選"工具"(或按alt+x)→"網際網路選項"→"安全性"，勾選"啟用受保護模式"來減緩弱點的攻擊風險。
4. 關閉Adobe Flash plugin
   開啟IE，點選"工具"(或按alt+x)→"管理附加元件"→"Shockwave Flash Object"→"停用"→"關閉"。
5. 關閉Active Scripting
   開啟IE，點選"工具"(或按alt+x)→"網際網路選項"→"安全性"→"網際網路"、"近端內部網路"、"信任的網站"、"限制的網站"→"自訂等級"→"Active Scripting"選擇"提示"或"停用"→"確定"。
6. 取消VGX.DLL的註冊
   點選"開始"，執行指令 "regsvr32.exe" -u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll"，取消VGX.DLL的註冊。在官方修補程式釋出並安裝後，執行指令 "regsvr32.exe" "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll"，恢復VGX.DLL的註冊。
7. 勿任意點選e-mail中的網址。

延伸閱讀：

[弱點通告]IE 存在允許遠端執行程式碼的Zero-Day 弱點 CVE-2014-1776 ，請評估暫時改用其他瀏覽器！

[資訊安全]如何有效防範社交工程Social Engineering

Read More

[弱點通告]IE 存在允許遠端執行程式碼的Zero-Day 弱點 CVE-2014-1776 ，請評估暫時改用其他瀏覽器！

說明

弱點：CVE-2014-1776 Microsoft Internet Explorer 含有允許遠端執行程式碼的Zero-Day 弱點，惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後，便可執行任意程式碼、提升權限、規避部份安全限制等讓使用者系統受駭之安全性弱點。目前已知會受到影響的版本為Internet Explorer 6~11 版本，網智數位建議請使用者評估暫時改用其他瀏覽器。

微軟官方對此漏洞的解釋 

該漏洞是一個遠端執行代碼的漏洞。該漏洞發生在在Internet Explorer讀取已被刪除或沒有被正確地分配在記憶體中的物件時。這漏洞可能是利用 Memory corruption的方式讓攻擊者可能可以對目前使用Internet Explorer的使用者電腦執行任意代碼。惡意人士可利用此弱點使用水坑型攻擊(Watering Hole Attack) 手法，針對目標瀏覽器使用群(Internet Explorer 6 ~ 11)可能會瀏覽的網站植入Flash 網頁，當目標群以Internet Explorer 瀏覽器瀏覽時則可攻擊成功。該攻擊利用Internet Explorer 無法處理使用釋放後記憶體錯誤(use-after-free) 的漏洞使惡意人士取得使用者權限並得以遠端執行程式碼。

微軟官方目前還在研究調查此漏洞，並建議使用者開啟防火牆和安裝安全軟體，也會在之後推出新的安全性更新，但須注意的是!

Windows XP 並不會在此次更新內，使用 XP 的用戶應該考慮升級您的作業系統或是改用Google Chrome或火狐Firefox瀏覽器。

影響範圍

除了 Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, and Windows Server 2012 R2 外的所有 Windows 系統上的 IE6~IE11 全系列中獎 !

建議措施

安裝 Enhanced Mitigation Experience Toolkit 4.1 (EMET) 

安裝 Enhanced Mitigation Experience Toolkit 4.1 (EMET) 利用額外的保護來防堵此漏洞攻擊，並請關閉Flash plugin，以避免遭受此弱點攻擊成功。

什麼是 Enhanced Mitigation Experience Toolkit？
Enhanced Mitigation Experience Toolkit (EMET) 是一種公用程式，可協助預防軟體中的弱點被利用。EMET 使用安全防護技術達成此目標。這些技術就像是特殊的防護與障礙，有心人士必須通過這些防護與障礙才能利用軟體弱點。這些安全防護技術不保證弱點不被利用。然而，運用這些技術能讓漏洞更難以遭受入侵。
EMET 4.0 及較新版本也提供可設定的 SSL/TLS 憑證釘選功能，稱為憑證信任。此功能的用途為偵測利用公開金鑰基礎結構 (PKI) 的攔截式攻擊。

注意! EMET 3.0 並不能防範此漏洞

更改瀏覽器

使用者若瀏覽企業內部網站則仍可使用IE 瀏覽器，連至外部網站時建議暫時改用其他瀏覽器，以避免遭受惡意攻擊。

提高警覺

請勿隨意瀏覽來源不明的網頁以及開啟郵件附加檔案，以降低受駭風險。

Read More

[教學]CentOS 6.4 安裝 vsftpd FTP Server

我們有個企業解決方案(無論您需要哪種項目的服務，我們都可以滿足你的需求，如果我們沒有適合您的解決方案，我們也會您開發適合您的解決方案)，最近一個客戶請我們架設FTP Server，需求是便宜、快速、穩定與安全，我第一個就想到使用Linux(免錢)來架vsFTPd(本身系統非常快速與穩定)啦，vsFTPd (very secure FTP daemon) 作者為Chris Evans其主要著眼於安全、快速、穩定，在Linux系統中是很常用到的服務。安裝也非常的快速及簡單，安裝方法如下：

1. 安裝 vsftpd：
[root@localhost ~]# yum -y install vsftpd
[root@localhost ~]# touch /etc/vsftpd/chroot_list
[root@localhost ~]# chkconfig vsftpd on

2. 安裝完後讓防火牆可以通過 21 Port：
[root@localhost ~]# iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
[root@localhost ~]# service iptables save

3. 編輯 "/etc/vsftpd/vsftpd.conf" [root@localhost ~]# vim /etc/vsftpd/vsftpd.conf
找到：anonymous_enable=YES
將 YES 改成 NO。
如要限制用戶只能在自己的家目錄，則在檔案加入:
限制用戶只能在家目錄 (/etc/vsftpd/chroot_list 的用戶可不受限制)
chroot_local_user=YES
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list
如要 ftp 的檔案列表可以看到跟 Server 上同樣的時間，請在檔案加入:
# 使用本地時區
use_localtime=YES

4. 啟動 vsftpd：
[root@localhost ~]# service vsftpd start


基本上以上設定就架好FTP Server了，但如果你使用root登入會發現FTP 會回傳530 Permission denied.。為什麼會這樣呢？root不是最大權限系統管理者帳號嗎？理論上應該是通行無阻才對，原來是因為安全性的關係vsftp預設會將系統某些重要帳號設定為無法使用FTP服務。

[root@localhost ~]# ftp 192.168.0.118
Connected to 192.168.0.118 (192.168.0.118).
220 Welcome to ftp.netqna.com FTP Server.
Name (192.168.0.118:root): root
530 Permission denied.
Login failed.
ftp>

那要怎麼讓root可以登入FTP呢？請執行下面幾個動作

移除ftpusers 裡面的帳號

vim /etc/vsftpd/ftpusers
找到root 前面加上#號註解

[root@localhost ~]# vim /etc/vsftpd/ftpusers
# Users that are not allowed to login via ftpbin
#root
daemon
adm
lp
sync
shutdown
halt
mail
news
uucp
operator
games
nobody
[root@localhost ~]#


移除user_list裡面的帳號

vim /etc/vsftpd/user_list
一樣找到root 前面加上#號註解

[root@localhost ~]# vim /etc/vsftpd/user_list
# vsftpd userlist
# If userlist_deny=NO, only allow users in this file
# If userlist_deny=YES (default), never allow users in this file, and
# do not even prompt for a password.
# Note that the default vsftpd pam config also checks /etc/vsftpd/ftpusers
# for users that are denied.bin
#root
daemon
adm
lp
sync
shutdown
halt
mail
news
uucp
operator
games
nobody
[root@localhost ~]#


重新啟動VSFTPd 

[root@localhost ~]# /etc/init.d/vsftpd restart
Shutting down vsftpd: [ OK ]
Starting vsftpd for vsftpd: [ OK ]


重新使用root登入

[root@localhost ~]# ftp 192.168.0.118
Connected to 192.168.0.118 (192.168.0.118).
220 Welcome to ftp.netqna.com FTP Server.
Name (192.168.0.118:root): root
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> bye
221 Goodbye.
[root@localhost ~]#


增加FTP Server安全性

雖然root登入很方便，但還是有一定程度的安全性議題，畢竟FTP傳輸協定是明文在傳輸的，預設本身沒有加密，萬一帳號被竊取，很有可能導致公司重要資料被竊取，建議新增一個FTP User，而這個User不能登入系統，只能使用FTP 服務，即使帳號密碼被竊取，起碼可以將駭客的權限限制到FTP服務。以下兩個方法可以增加FTP的安全性。

限制FTP使用者

如果我們想把chris這個用戶目錄定位在/var/www/html/chris/public_html這個目錄中，並且不能登錄系統，我們應該如下操作

[root@localhost ~]# adduser -d /var/www/html/chris/public_html -g ftp -s /sbin/nologin chris
[root@localhost ~]# passwd chris

另外如果希望讓chris可以切換目錄，其它都不行的話，可以修改vsftpd.conf 加上兩行設定

[root@localhost ~]# vim /etc/vsftpd/vsftpd.conf
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list
並將chris寫入 /etc/vsftpd/chroot_list 之中即可!!


限制來源IP

設定只允許 192.168.0.0/24 的主機使用 FTP Server
編輯「/etc/hosts.allow」，輸入 vsftpd: 192.168.0.x
編輯「/etc/hosts.deny」，輸入 vsftpd: ALL

總結

雖然已經限制了FTP使用者，也針對信任的來源IP才可以使用FTP 服務，看起來好像很安全了，但是就如上文所說的，FTP還是使用明文傳輸，萬一網路環境不乾淨，駭客躲在網路的傳輸中加入一個惡意的節點，攔截所有經過的網路封包，接著嘗試取得封包內的機密訊息，例如帳號、密碼等..。這時如果訊息沒有經過加密就很有可能帳號密碼因此就外洩了，可怕的是在攔截的過程中雙方都會收到彼此的訊息，管理者很難發現被中間人攻擊了，建議可以使用SFTP (SSH File Transfer Protocol)，就算封包被攔截竊取，駭客也需要花時間去解密，起碼管理者有緩衝的時間，做一些因應與處理。

延伸閱讀

[資訊安全]如何避免或破解Netcut網路剪刀手(ARP Spoofing)造成的斷線情形
[資訊安全]如何解決麻煩的161816.com ARP Spoofing

Read More

網頁應用防火牆(Web Application Firewal, WAF)

隨著 Web2.0 時代的到來，網站應用也逐漸被大眾廣泛的接受和使用。企業的ｅ化雖然可為企業帶來可觀的商業利益，但建置網站的資安問題也緊跟著浮出檯面。

事實上，網站攻擊會越來越氾濫的原因，其實跟網站本身有很深的關聯。由於網路的興起，從政府機關、金融機構、中小企業以至於學校、個人都開始架設自己的網站，而且，為了與來訪者互動，多半都會使用ASP、PHP、CGI、JSP等網路應用程式。但是因為這些程式的開發者程度不一，有些甚至沒有受過專業訓練，只是從網路上隨便抄程式碼拼湊起來，所以這些程式可說是良莠不齊，漏洞百出。

若想解除Web的安全威脅，最根本的解決方式在於重新檢視所有的Web程式，即所謂的白箱測試Code Review，從中找出不安全的程式碼再加以修改，而且有些程式碼的掃瞄軟體可幫忙程式設計師找出不安全的程式碼。但是Code Review的工程浩大，很不切實際，因此網頁應用防火牆(Web Application Firewal, WAF)應運而生。而面對網站的安全問題，許多廠商推出了像是IDS、IPS、WAF等..網站防護的資安產品，這些產品是什麼？有什麼不同之處呢？今天會針對網頁應用防火牆(Web Application Firewal, WAF)來做個簡單的介紹。

延伸閱讀：

網路型入侵偵測系統(Network-based Intrusion Detection System)

主機型入侵偵測系統﹙Host-based Intrusion Detection System , HIDS﹚

以往僅能看到L3、L4攻擊的網路安全閘道器已無法應付這些針對L7應用程式的攻擊方式，必須仰賴像網頁應用程式防火牆(Web Application Firewal, WAF)的第七層網路安全設備來抵禦這些新型威脅。WAF的設計宗旨是防禦針對網頁應用程式的常見攻擊，像是OWASP Top 10 中最常出現的跨網站腳本攻擊(Cross Site Scripting, XSS)以及資料庫隱碼(SQL injection) 等攻擊。簡單的說WAF的作用就是為了保護網站主機，在我們來得及改善網站的安全性之前，拉起一道防護網，以減少被攻擊成功的機會。

OWASP TOP 10（年度 10 大 Web 安全漏洞）

OWASP 是一個專門研究 Web 軟體安全的社群，他們每年均會提出最有威脅的 Web 安全漏洞來提醒使用者，以下簡單的說明 OWASP 所提出的 Web 安全漏洞。

Injection（注入攻擊）

由於程式設計師出於疏失或經驗不足而未對於使用者輸入的參數值進行檢驗，以致於惡意使用者可利用惡意的輸入值（如惡意 SQL 指令串或惡意的 script 碼），讓系統自動執行惡意的指令而對系統造成危害。此類攻擊以 SQL injection，command injection 為代表，其中以 SQL injection 最具代表也最具危害性。

Cross Site Scripting（XSS，跨網站腳本攻擊）

跨網站腳本攻擊的原因跟 SQL injection 一樣，同樣是因為程式沒有檢驗使用者輸入的參數內容所造成。不過與 SQL injection 最大的不同在於，SQL injection 會對資料庫所在的主機造成重大危害，但 XSS 攻擊主要會造成瀏覽者安全上的危害，往往不會對於主機造成危害，也因此常被管理者所忽略，而使得此種攻擊有越來越普遍的趨勢。XSS 攻擊流程如下：

1. 攻擊者將含有 XSS 漏洞的網頁，置於受害的網站伺服器上 。 
2. 當不知情的使用者瀏覽此網頁時（如瀏覽某則留言），即會啟動 XSS 攻擊碼而將無辜的第三者相關資訊回傳到駭客的電腦上。

Broken Authentication and Session Management（鑑別與連線管理漏洞）

此漏洞是指網站自行開發的身份證驗證與連線 (session) 管理具有安全性的缺失，例如一個網站身份驗證流程如下：

1. 當使用者登入成功後，會將一個（含有帳號及密碼甚至權限等相關資訊的 cookies，丟至使用者的電腦端上）。 
2. 網站再存取該使用者的授權 cookies 來判別使用者的身份。 

在上述流程中，如果 cookies 並未加密，惡意的使用者只要取得此 cookies 即可得知其它使用者相關的機密資訊。或者加密的演算法不夠嚴謹，一旦被破解，也會造成使用者的機密資料外流，甚至可冒充其它的使用者（提升權限至管理者）。

Insecure Direct Object References（不安全的物件參考）

如果一個經驗不足的程式設計師，想要實做一支能動態顯示檔案內容的程式，會直覺想到直接把要顯示的檔案當做參數傳進去，如下連結所示：

http://xxx.xxx.xxx.xxx/show.php?file=xxx.txt
而後在接到參數值後，再直接開檔顯示即可。可是如果一個有心人傳進去的參數為：
http://xxx.xxx.xxx.xxx/show.php?file=../../etc/passwd
其中 ".." 為回到上一層，此種參數即可能將系統中的 /etc/ 目錄下的 passwd 檔案顯示出來。

Cross Site Request Forgery（CSRF，跨網站冒名請求）

從某種角度來看，CSRF 可視為廣義的跨網站攻擊 (XSS) ，但 CSRF 通常是在使用者已登入系統服務下發動攻擊。例如：

在討論區中的某段留言塞進一段可直接登出 (logout) 的惡意程式碼，當使用者登入後，在瀏覽相關留言時，只要瀏覽到這段留言，即會觸發該段惡意程式碼，而直接將使用者登出。此即為 CSRF 攻擊。

Security Misconfiguration（不安全的組態設定）

此漏洞較偏向管理面的問題，如未更改預設的帳號及密碼或未定時的更新系統的安全修正程式等等。

Failure to Restrict URL Access（未適當限制的 URL 存取）

一般網站通常會分成前端程式及後端管理程式。基於安全的考量 ，後端管理程式不應該直接被 Internet 上的使用者查詢，而應該限制僅有某些管理者可查詢及存取。如果網站未限制，而使 Internet 上的其它使用者也可正常的查詢，即可能造成潛在的安全漏洞。

Unvalidated Redirects and Forwards（未驗證的網頁重新導向）

有些網站提供網頁重新導向至其它的網站，惡意的攻擊者可利此種特性，將惡意網址插入到重新導向的參數中，讓使用者連接到惡意的網站上。

Insecure Cryptographic Storage（不安全的加密儲存）

網站並未對機密的資料做加密處理或使用不嚴謹的加密演算法，而導致攻擊者在取得相關的機密資料後，可以很輕易的取得相關資訊。

Insufficient Transport Layer Protection（不安全的傳輸防護）

由於 HTTP 連線均是採用明碼的方式連線，攻擊者在任何一個節點均可能利用 Sniffer（竊聽）方式取得來往資料。如果網站採用 HTTP 連線方式，來往的封包均以明碼方式傳輸，攻擊者即可輕易的取得相關機敏資訊。

儘管某些入侵防禦系統(Intrusion Prevention Systems, IPS)也能提供一定程度的應用層的防禦功能，但是它們不具備WAF的精度和準度，為什麼呢？因為這兩者是完全不同的兩種技術，IPS是基於特徵碼，而WAF是從行為來分析，以下介紹WAF與IPS的不同：

1. WAF主要只針對HTTP（s）協定進行防護，而IPS較廣泛的針對大多數的網路協定。 
2. WAF 是針對網路行為來進行分析，IPS 則是作特徵碼的比對，相較之下，WAF屬於動態防護，而IPS就偏於靜態。例如針對一般的SQLInjection（資料庫隱碼注入）攻擊，兩者都能夠防護。但是，如果網站資料是加密的（主要是採用HTTPS）或是攻擊者將資料編碼過（如URL Encoding），由於加密過後，風包頭尾資訊就看不到了，IPS便無法阻擋這種方式的攻擊。 
3. WAF防護行為通常包含了黑白名單與特徵碼分析，所謂黑白名單，主要是指已知允許或不允許的網頁連線行為。例如，必須先到登入頁面才能瀏覽某個網站頁面，如果有攻擊者試著規避此一程序，WAF可以偵測到這種行為，而IPS主要只比對特徵碼。 
4. WAF可針對網站表單欄位內容進行檢查與限制，IPS則無此功能。因此若要做到防止表單欄位內容竄改，就要使用WAF。 
5. WAF從網頁連線要求開始就記錄和追蹤，IPS只針對封包記錄。

總結

所以說IPS主要是防禦面相是廣的，而WAF的防禦面相是深的，每個產品的資安防護都有個有不足，唯有搭配使用才能將網站做到一定程度的防護。

Read More

[資訊安全]如何有效防範社交工程Social Engineering

何謂社交工程(Social engineering)

所謂「社交工程」，就是詐騙！透過電話、電子郵件等方式偽裝身份誘騙您上勾受騙…社交工程是利用人性的弱點進行詐騙，是一種非「全面」技術性的資訊安全攻擊方式，藉由人際關係的互動進行犯罪行為。

簡單的說利用人與人之間的關係，讓使用者信任來源，例如家人、同事、長官….等等。偽裝成可信任的寄件者發送夾雜病毒的e-mail，當使用者對信件判斷為可信任來源時，戒心的下降打開信件附檔，造成了開啟復健後木馬病毒順利植入的情況。有時病毒不見得只在復健的執行檔中，有時會夾雜於文件、圖檔甚至影音檔中，讓使用者防不勝防。

常見的社交工程攻擊手法除了電話之外，常見的社交工程攻擊還包括︰

1. 電子郵件隱藏電腦病毒
   駭客利用社交工程的概念，將病毒、蠕蟲與惡意程式等隱藏在電子郵件中，這些看似朋友所寄來的郵件，卻是應用社交工程的電子郵件陷阱，例如過去造成重大損害的I LOVE YOU蠕蟲，就是一種利用社交工程散播的電腦病毒。
2. 網路釣魚
   有一種偽裝知名企業或機關單位寄發的電子郵件，通知收件人必須重新驗證密碼或登入某網址輸入個人資料等，這種詐騙稱為網路釣魚。收件人若無小心求證而連結了郵件中的鏈結，可能就下載了惡意程式；或者在假網頁上輸入了帳號密碼或信用卡資料等，造成銀行戶頭被盜領或盜刷等的嚴重後果，這是近年來造成個人與企業極大損害的犯罪手法，而網路釣魚就是一種典型的社交工程攻擊。
3. 圖片中的惡意程式
   明星或色情圖片也是許多惡意程式慣用的社交工程技巧之一，這些都是利用使用者的好奇心來散佈惡意程式，之前Sobig網路病毒出現在某個含有色情內容的網路討論群組，網友點選了其中像是裸照的內容就會感染病毒，而該病毒總共導致了約10億美金的損失。
4. 偽裝修補程式
   另一種社交工程的欺騙手法，就是偽裝成微軟的修補更新程式，因為一般使用者不會覺得這是來路不明的程式，卻沒有防範社交工程也會利用這個漏洞，而將惡意程式隱藏其中。使用者若安裝了這個檔案，不但不會修補作業系統的任何漏洞，還可能被安裝了遠端竊取資料的木馬程式。
5. 即時通也是社交工程新途徑
   近年來，社交工程傳播惡意程式的途徑擴大至即時通訊軟體，如MSN、ICQ、YAHOO即時通、QQ等。2005年2月，一個使用MSN大量散播的病毒造成嚴重災情，這個電腦病毒會利用MSN自動傳檔給MSN聯絡人上的朋友，亞洲各國皆傳出災情，包括台灣的案例也有千起以上。

社交工程攻擊步驟

• 首先取得一個攻擊目標的背景資訊
• 向目標騙取資訊
• 再利用這些資訊向其他人欺騙
• 重覆這些步驟致達到最後目標

如何防範社交工程郵件

1. 郵件軟體取消信件預覽及自動發信(相關設定如下)
2. 使用純文字閱讀郵件(相關設定如下)
3. 不開啟與公司無關之郵件
4. 遵守組織安全政策與程序--確認對方的身份
5. 認識常見社交工程攻擊的可疑徵兆

關閉Microsoft Outlook 的郵件預覽視窗（以Microsoft Outlook 2010 為例）

選擇「收件匣」 →點選「檢視」 →「讀取窗格」 「讀取窗格」 「讀取窗格」 →「關 閉」除「收件匣」外，刪除的郵、垃圾寄備份也請按以上步驟設定

使用純文字讀取，設定郵件禁止下載圖片和超連結

點選左上角的「檔案」 →「選項」 → 在「 Outlook 選項」點選「信任中心」 →「信任中心設定」 →「電子郵件安全性」→ 選取「以純文字讀所有標準郵件」核取方塊

取消自動發信

點選左上角的「檔案」→「選項」 →「進階 」→ (右邊畫面往下捲 ) 取消勾選「連線時立即傳」

按一下「傳送 /接收…」 → 取消「排定自動傳送/接收每隔 xx 分鐘」及「結束時自動傳送/接收」 

雖然社交工程技巧已經流傳多年，但仍一再被利用，並且不斷演進。各式各樣的資安威脅，包括許多類型的 Web 資安威脅在內，都會使用社交工程技巧。社交工程技巧在目標式攻擊中使用的頻率愈來愈高。網路罪犯以往只會利用全球性事件或新聞 (例如世界盃足球賽或情人節等) 來引誘使用者。現在，蠕蟲、大量發信程式及其他資安威脅會整合社交工程技巧以鎖定世界上的某個區域或特定國家。網路罪犯可能使用各地的語言，利用各地的重大事件或新聞為誘餌，使特定國家的人產生興趣。這使得運用大規模社交工程技巧的網路罪犯得以躲避偵測，同時還能引發嚴重的災情。在擁有大量新的網際網路使用者上線的國家，這種方式可能特別有效。 

Read More