社区应用 最新帖子 精华区 社区服务 会员列表 统计排行 社区论坛任务 迷你宠物
  • 187040阅读
  • 60回复

网络安全专题不断更新~~

级别: 终身会员
发帖
3743
铜板
8
人品值
493
贡献值
9
交易币
0
好评度
3746
信誉值
0
金币
0
所在楼道
只看该作者 45 发表于: 2006-09-26
目前网络上最猖獗的病毒估计非木马程序莫数了,2005年木马程序的攻击性也有了很大的加强,在进程隐藏方面,做了较大的改动,不再采用独立的EXE可执行文件形式,而是改为内核嵌入方式、远程线程插入技术、挂接PSAPI等,这些木马也是目前最难对付的。本期就教你查找和清除线程插入式木马。 ;J pdnV  
}x4,a6^  
oo7&.HWf  
一、通过自动运行机制查木马 XJnDx 09h  
2A@9jl s  
{O*<1v9<  
一说到查找木马,许多人马上就会想到通过木马的启动项来寻找“蛛丝马迹”,具体的地方一般有以下几处: *zX*k 7LnV  
D"fE )@Q@Y  
2X2,( D!  
1)注册表启动项 GP ;c$pC  
\s Fdp!M}2  
N1WP  
在“开始/运行”中输入“regedit.exe”打开注册表编辑器,依次展开[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\],查看下面所有以Run开头的项,其下是否有新增的和可疑的键值,也可以通过键值所指向的文件路径来判断,是新安装的软件还是木马程序。另外[HKEY_LOCAL_MACHINE\Software\classes\exefile\shell\open\command\]键值也可能用来加载木马,比如把键值修改为“X:\windows\system\ABC.exe %1%”。 j.4oYxK!s/  
cA ;'~[  
k{n*[)m  
2)系统服务 pRmnS;*z&  
Lys4l$J]  
=flgKRKk.r  
有些木马是通过添加服务项来实现自启动的,大家可以打开注册表编辑器,在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]下查找可疑键值,并在[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\]下查看的可疑主键。然后禁用或删除木马添加的服务项:在“运行”中输入“Services.msc”打开服务设置窗口,里面显示了系统中所有的服务项及其状态、启动类型和登录性质等信息。找到木马所启动的服务,双击打开它,把启动类型改为“已禁用”,确定后退出。也可以通过注册表进行修改,依次展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\服务显示名称”键,在右边窗格中找到二进制值“Start”,修改它的数值数,“2”表示自动,“3”表示手动,而“4”表示已禁用。当然最好直接删除整个主键,平时可以通过注册表导出功能,备份这些键值以便随时对照。 ~,yHE3B\G  
jzc/Olb  
H n+1I  
3)开始菜单启动组 /zn|?Y[  
PPT"?lt*&  
)NZ6!3[@  
现在的木马大多不再通过启动菜单进行随机启动,但是也不可掉以轻心。如果发现在“开始/程序/启动”中有新增的项,可以右击它选择“查找目标”到文件的目录下查看一下,如果文件路径为系统目录就要多加小心了。也可以在注册表中直接查看,它的位置为[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders],键名为Startup。 %>'2E!%  
/h%<e  
v'*Q[ ('  
4)系统INI文件Win.ini和System.ini vBsd.2t~  
VtF^; f  
}(O/y-  
系统INI文件Win.ini和System.ini里也是木马喜欢隐蔽的场所。选择“开始/运行”,输入“msconfig”调出系统配置实用程序,检查Win.ini的[Windows]小节下的load和run字段后面有没有什么可疑程序,一般情况下“=”后面是空白的;还有在System.ini的[boot]小节中的Shell=Explorer.exe后面也要进行检查。 !_s|h@  
hNUAwTH6  
dz.]5R  
5)批处理文件 iC&=-$vu  
HTI1eLZ2  
c+AZ(6O ?\  
如果你使用的是Win9X系统,C盘根目录下“AUTOEXEC.BAT”和WINDOWS目录下的“WinStart.bat”两个批处理文件也要看一下,里面的命令一般由安装的软件自动生成,在系统默认会将它们自动加载。在批处理文件语句前加上“echo off”,启动时就只显示命令的执行结果,而不显示命令的本身;如果再在前面加一个“@”字符就不会出现任何提示,以前的很多木马都通过此方法运行。 1(M0C[P  
8Q^yh6z  
}[Uh4k8P  
二、通过文件对比查木马  Q^/5hA  
8^=g$;g  
0m,A`*o  
最近新出现的一种木马。它的主程序成功加载后,会将自身做为线程插入到系统进程SPOOLSV.EXE中,然后删除系统目录中的病毒文件和病毒在注册表中的启动项,以使反病毒软件和用户难以查觉,然后它会监视用户是否在进行关机和重启等操作,如果有,它就在系统关闭之前重新创建病毒文件和注册表启动项。下面的几招可以让它现出原形(下面均以Win XP系统为例): !cw<C*  
0Mt2Rg}  
wo7.y["$  
1)对照备份的常用进程 ~6@zXHAS  
jD3,z*  
'nI2RX  
大家平时可以先备份一份进程列表,以便随时进行对比查找可疑进程。方法如下:开机后在进行其他操作之前即开始备份,这样可以防止其他程序加载进程。在运行中输入“cmd”,然后输入“tasklist /svc >X:\processlist.txt”(提示:不包括引号,参数前要留空格,后面为文件保存路径)回车。这个命令可以显示应用程序和本地或远程系统上运行的相关任务/进程的列表。输入“tasklist /?”可以显示该命令的其它参数。 !*u5HVn  
@lAOi1m,,  
?HVsIAU  
2)对照备份的系统DLL文件列表 ]CH@ T9d5V  
v vlfL*f  
{6)fZpd)@  
对于没有独立进程的DLL木马怎么办吗?既然木马打的是DLL文件的主意,我们可以从这些文件下手,一般系统DLL文件都保存在system32文件夹下,我们可以对该目录下的DLL文件名等信息作一个列表,打开命令行窗口,利用CD命令进入system32目录,然后输入“dir *.dll>X:\listdll.txt”敲回车,这样所有的DLL文件名都被记录到listdll.txt文件中。日后如果怀疑有木马侵入,可以再利用上面的方法备份一份文件列表“listdll2.txt”,然后利用“UltraEdit”等文本编辑工具进行对比;或者在命令行窗口进入文件保存目录,输入“fc listdll.txt listdll2.txt”,这样就可以轻松发现那些发生更改和新增的DLL文件,进而判断是否为木马文件。 ?ECmPS1  
T^N Y|Y/  
3tI=? E#  
3)对照已加载模块 8rXq-V_u  
&/R@cS6}'  
B?-RzWB\3  
频繁安装软件会使system32目录中的文件发生较大变化,这时可以利用对照已加载模块的方法来缩小查找范围。在“开始/运行”中输入“msinfo32.exe”打开 “系统信息”,展开“软件环境/加载的模块”,然后选择“文件/导出”把它备份成文本文件,需要时再备份一个进行对比即可。 @/yRE^c  
(?xGl V`n  
qf+jfc(Iby  
4)查看可疑端口 %([$v6y  
OYC4iI  
JU:!lyd  
所有的木马只要进行连接,接收/发送数据则必然会打开端口,DLL木马也不例外,这里我们使用netstat命令查看开启的端口。我们在命令行窗口中输入“netstat -an”显示出显示所有的连接和侦听端口。Proto是指连接使用的协议名称,Local Address是本地计算机的IP地址和连接正在使用的端口号,Foreign Address是连接该端口的远程计算机的IP地址和端口号,State则是表明TCP连接的状态。Windows XP所带的netstat命令比以前的版本多了一个-O参数,使用这个参数就可以把端口与进程对应起来。输入“netstat /?”可以显示该命令的其它参数。接着我们可以通过分析所打开的端口,将范围缩小到具体的进程上,然后使用进程分析软件,例如“Windows优化大师”目录下的WinProcess.exe程序,来查找嵌入其中的木马程序。有些木马会通过端口劫持或者端口重用的方法来进行通信的,一般它们会选择139、80等常用端口,所以大家分析时要多加注意。也可以利用网络嗅探软件(如:Commview)来了解打开的端口到底在传输些什么数据。
级别: 终身会员
发帖
3743
铜板
8
人品值
493
贡献值
9
交易币
0
好评度
3746
信誉值
0
金币
0
所在楼道
只看该作者 46 发表于: 2006-10-19
海洋顶端2006新版安全解决方案
前不久, 我朋友的一台服务器惨遭所谓hacker入侵,植入无数只马,不管大马,小马,还放了好几只虫子,并且管理员组多了好几位新的朋友,朋友问我有何解决办法,大清早才上去帮他瞅瞅.郁闷死. 原来他服务器的安全足够可以自杀了.以前我跟他说过要如何如何,不听劝,在服务器上安装了各种各样的服务,还说要做IDC, 晕死.此事姑且不表,近一年来个人都很少去处理安全的东西,只是一直忙于开发自己的产品SnSites,今天从他服务器揪出一条超级虫进行相关剖析."为了中国的网络安全事业",海洋顶端再怎么也得对不起一次了.嘿嘿. /OgXNIl]  
84 b;G4K  
可以说,海洋此次新版,功能超级,超牛B, 我嘛,主要*写小程序混饭吃,还能看得懂. 3{Ze>yFE  
OnH>g"  
除了它以前经常使用的对象外,此次还加了可以让管理员毛骨悚然的ADSI对象,要知道ADSI可是无所不能,在应用软件编程里可以操纵WINNT的很多东西,比如添加管理员,用户组,获取远程主机的......吓坏了吧?废话少说. 以下是进入海洋2006新版后的界面. p1v:X?  
0-0 )E&2  
如下图: #"ayq,GC<  
|/arxb&  
海阳顶端网ASP木马@2006 aen(Mcd3bg  
8jqt=}b  
pW:h\}%`n  
-------------------------------------------------------------------------------- jCW>=1:JGY  
(&PamsV*8  
系统服务信息 'nP'MA9b;a  
^K@r!)We  
服务器相关数据 vbqI$F[s  
(系统参数,系统磁盘,站点文件夹,终端端口&自动登录) w?C _LP  
)g:UH Ns  
服务器组件探针 [2 2IF  
="@W)"r  
系统用户及用户组信息 1?(BWX)7  
Qu!\Cx@  
客户端服务器交互信息 ZyCAl9{p  
P.qD,$-  
WScript.Shell程序运行器 R|V<2  
G&D N'bp  
Shell.Application程序运行器 E=~H,~  
dr~MyQ  
FSO文件浏览操作器 GOJi/R.{  
+n,8o:fU:  
Shell.Application文件浏览操作器  ~Zl`Ap  
-J[zJ4z #  
微软数据库查看/操作器 *^Zt5 zk  
t8i"f L  
文件夹打包/解开器 g ywI@QD%#  
*Q!b%DIa$  
文本文件搜索器 hNDhee`%6  
[.6>%G1C  
一些零碎的小东西 mI9h| n  
 cD0  
-------------------------------------------------------------------------------- F1M@$S ,  
QIi*'21a+  
Powered By Marcos 2005.02 7;CeQx/W)W  
W:(:hT6`j9  
打开源程序研究研究.... MF 5w.@62X  
v^@L?{" }8  
<object runat="server" id="ws" scope="page" classid="clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8"></object> y{u6t 3  
<object runat="server" id="ws" scope="page" classid="clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B"></object> eoEb\zJ  
<object runat="server" id="fso" scope="page" classid="clsid:0D43FE01-F093-11CF-8940-00A0C9054228"></object> ujz %0Mq;  
<object runat="server" id="sa" scope="page" classid="clsid:13709620-C279-11CE-A49E-444553540000"></object> !Q.c8GRUQ  
Z6D4VZVF  
开头就来四个对象. ^{6Y7T]  
FT|*~_@  
明眼人一看就知道是啥了吧? iM8hGQ`  
zNE!m:s  
第一个是:wscript.shell,第二个仍然是,只不过稍不同.wscript.network 好像是.不记得了. /4_}wi\  
*N>Qj-KAM_  
第三个是fso,第四个是shell.application =7e8N&-nv  
^]U2Jd  
有的人说,禁止FSO不就万事大吉了?费这么多功夫做什么? !-N!8 0  
iS=T/<|?  
可以告诉你,不用FSO一样可以写入文件和创建文件,adodb.stream就可以做到. 30DpIkf  
/;OJ=x3i  
更何况shell.application? N"r ;d+LTL  
'/sc `(`:0  
爽快地删除了wscript.shell,wscript.network,shell.application这些个不安全对象. m9L+|r  
H ~ks"D1  
FSO可以不用删除.可保自身安全,也让那些个不注重安全的网站用户受受罪. M<ad>M  
l$zNsf.  
这就是"不同WEB不同低权限用户"访问方法.详细设置方法请参考其他贴子. ,1~Zqprn  
//J:p,AF  
当然了.看看海洋失效与否,肯定得一边测试一边来看效果了. ]G1j\wnF  
8OBvC\%  
当其他的安全设置:升级FTP到6.X最新版,删除mssql不安全存储过程,加强本地安全策略, 2$\f !6p  
s|,]Nb=z/  
限制本地连接端口等等, 再对IIS6.0(Win2003)进行一些比较安全的设置. ZM|>Va/X  
b%oma{I=.c  
再次运行海洋2006, 以上界面所列功能除了一个其他已全部失效.唯有这个"系统用户及用户组信息 "还是可以运行,打开源程序. etTuukq_Z  
1c}'o*K_%  
-g@pJ^>:  
Sub PageUserList() hA@X;Mh^w  
Dim objUser, objGroup, objComputer W/\7m\ B  
66|lQE&n  
showTitle("系统用户及用户组信息查看") M  j5C0P(  
Set objComputer = GetObject("WinNT://.") ZzKn,+  
objComputer.Filter = Array("User") BbU&e z8P  
echo "<a href=javascript:showHideMe(userList);>User:</a>" ADR`j;2  
echo "<span id=userList><hr/>" ?0?'  
For Each objUser in objComputer PN.6BJvu  
echo "<li>" & objUser.Name & "</li>" kBONP^xI  
echo "<ol><hr/>" Yt#($}p  
getUserInfo(objUser.Name) ko5\*!|:lj  
echo "<hr/></ol>" w}YHCh  
Next )j9FB  
echo "</span>" ]$L[3qA.  
{>+$u"*  
echo "<br/><a href=javascript:showHideMe(userGroupList);>UserGroup:</a>" 5vpf;  
echo "<span id=userGroupList><hr/>" RU{}qPs?  
objComputer.Filter = Array("Group") 1B1d>V$*  
For Each objGroup in objComputer TuF:m"4  
echo "<li>" & objGroup.Name & "</li>" B "qG-ci  
echo "<ol><hr/>" & objGroup.Description & "<hr/></ol>" 5=?&q 'i  
Next <;XJ::d  
echo "</span><hr/>Powered By Marcos 2005.02" ] !A;-m  
K[ \z'9Q  
End Sub J BwTmOvQ  
=?f}h{8x>  
关键在于这句"Set objComputer = GetObject("WinNT://.")" xJ"KR:CD>  
{[s<\<~B*  
把这个对象给杀了不就完事了?对.正是如此. sW]n~kTt'  
N!m%~},s//  
但这是ADSI,这是WMI的对象.并不在注册表里可以找得到的. \O0fo^+U,,  
r[,KE.^6~#  
也就是它应该是一种服务,OK,我们到服务里找吧. uZYeru"w  
<]9MgfAe  
它对应的服务应该是WorkStation,停止此服务后,再次运行. z)0VP QMT  
G{"1  I  
海洋2006基本上所列功能已失效.为什么说是基本上,因为我只测试了它列出的这些功能. 0)/214^&  
)8<X6  
至于它有没有隐藏的功能.请原谅我不知道.因为代码有80K, S1+#qs {5a  
.Gv~e!a8  
兄弟你去一行一行看.至少应该有四万行代码. Ym6ec|9;  
}UO,R~q~  
好像没什么好说的了.就这样了.对不起如下这N个兄弟们了. D~y]d  
?k3b\E3  
Sub showTitle(str) x$Dv&4  
echo "<title>" & str & " - 海阳顶端网ASP木马2006 - By Marcos & LCX</title>" & vbNewLine */\.-L{h  
echo "<meta http-equiv=’Content-Type’ content=’text/html; charset=gb2312’>" & vbNewLine n;=A'g|Q  
echo "<!--" & vbNewLine e7qT;  
echo "=衷心感谢=====================================================" & vbNewLine cpy"1=K~M  
echo "网辰在线、化境编程、桂林老兵、冰狐浪子、蓝屏、小路、wangyong、" & vbNewLine iY($O/G[+  
echo "czy、allen、lcx、Marcos、kEvin1986、myth对海阳顶端网asp木马所" & vbNewLine (]V.#JM  
echo "做的一切努力!" & vbNewLine h49Q2`  
echo "==============================================================" & vbNewLine & vbNewLine ]SPB c  
echo "=本版关于=====================================================" & vbNewLine nY8UJy}<oL  
echo "程序编写: Marcos" & vbNewLine J~}UG]j n  
echo "联系方式: QQ26696782" & vbNewLine )s8r(.W  
echo "发布时间: 2005.02.28" & vbNewLine e56#Qb@$\  
echo "出 品 人: Allen, lcx, Marcos" & vbNewLine ((5zwD  
echo "官方发布: www.HIDIDI.NET(2) www.HAIYANGTOP.NET(1)" & vbNewLine XgbGC*dQ  
echo "==============================================================" & vbNewLine 7*5ctc!dG  
echo "-->" & vbNewLine I,S'zHR  
PageOther() j~8+,:  
End Sub Qnw$=L:  
~3%3{a a  
只是请所有拥有此版本的朋友们勿以入侵国内主机及服务器为好. U\ L"\N7  
L!p|RKz9X  
要黑或者要入侵可以去入侵国外.有机会带上3cts.com,谢谢. s +GF- kJ*  
IN"vi|1  
3cts.com 杜雪.Net ##5/%#eZ  
YNXk32@j@e  
2005.05.05 D=\|teA&  
6a@~;!GlI  
BNy"YK$  
1、卸载wscript.shell对象 4W?<hv+k7*  
regsvr32 WSHom.Ocx /u WAa?$"U2  
 n=&c5!  
2、卸载FSO对象 5;{Bdvcv  
regsvr32.exe scrrun.dll /u HDEG/k/~m  
+doT^&2u*  
3、卸载stream对象 \PFx# :-c  
regsvr32 /u "C://Program Files//Common Files//System//ado//msado15.dll" |W <:rT  
4、卸载Shell.Application对象 zfZDtKq  
regsvr32.exe shell32.dll /u
级别: 终身会员
发帖
3743
铜板
8
人品值
493
贡献值
9
交易币
0
好评度
3746
信誉值
0
金币
0
所在楼道
只看该作者 47 发表于: 2006-11-28
什么是DDOS攻击| 怎么抵抗DDOS攻击
什么是DDOS攻击| 怎么抵抗DDOS攻击 'EV  *-_k  
@>5<m'}2  
一、为何要DDOS?   !P$xh  
zRu`[b3u<  
随着Internet互联网络带宽的增加和多种DDOS黑客工具的不断发布,DDOS拒绝服务攻击的实施越来越容易 dLf8w>i`T  
tTH%YtG  
,DDOS攻击事件正在成上升趋势。出于商业竞争、打击报复和网络敲诈等多种因素,导致很多IDC托管机 8~E)gV+v  
P;%QA+%7  
房、商业站点、游戏服务器、聊天网络等网络服务商长期以来一直被DDOS攻击所困扰,随之而来的是客户 Hz8`)cv`  
f'OvG@  
投诉、同虚拟主机用户受牵连、法律纠纷、商业损失等一系列问题,因此,解决DDOS攻击问题成为网络服 8>q% 1]X  
GiXde}bm  
务商必须考虑的头等大事。 fZ}Y(TG/  
~ fEs!hl  
二、什么是DDOS? s RQh~5kM  
ok[=1gA#h  
DDOS是英文Distributed Denial of Service的缩写,意即“分布式拒绝服务”,那么什么又是拒绝服务 M7R&J'SAY  
t3$gwO$  
(Denial of Service)呢?@梢哉饷蠢斫猓?彩悄艿贾潞戏ㄓ没Р荒芄环梦收?M?绶?竦男形?妓闶?br> |nN/x<v  
拒绝服务攻击。也就是说拒绝服务攻击的目的非常明确,就是要阻止合法用户对正常网络资源的访问,从 io7U[#  
C-u/{CP  
而达成攻击者不可告人的目的。虽然同样是拒绝服务攻击,但是DDOS和DOS还是有所不同,DDOS的攻击策 Ok&>[qu  
K<6x4ha  
略侧重于通过很多“僵尸主机”(被攻击者入侵过或可间接利用的主机)向受害主机发送大罖@此坪戏ǖ?br> ':D&c  
网络包,从而造成网络阻塞或服务器资源耗尽而导致拒绝服务,分布式拒绝服务攻击一旦被实施,攻击网 1:zu$|%7  
EAw#$Aq=  
络包就会犹如洪水般涌向受害主机,从而把合法用户的网络包淹没,导致合法用户无法正常访问服务器的 *t{c}Y&@  
Pki4wDCTW  
网络资源,因此,拒绝服务攻击又被称之为“洪水式攻击”,常见的DDOS攻击手段有SYN Flood、ACK ;J-Ogt@d7  
V2{#<d-T!  
Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等;而 xsDa!  
<C%-IZv$  
DOS则侧重于通过对主机特定漏洞的利用攻击导致网络栈失效、系统崩溃、主机死机而无法提供正常的网 (V.,~t@  
Treh{s  
络服务功能,从而造成拒绝服务,常见的DOS攻击手段有TearDrop、Land、Jolt、IGMP Nuker、Boink、 !9xANSb  
j9ta0~x1*6  
Smurf、Bonk、OOB等。就这两种拒绝服务攻击而言,危害较大的主要是DDOS攻击,原因是很难防范,至于 >JPJ%~y  
}.UI&UZ-  
DOS攻击,通过给主机服务器打补丁或安装防火墙软件就可以很好地防范,后文会详细介绍怎么对付DDOS M#]|$\v(  
1L8ULxi_?]  
攻击。 !u4Z0!Ll  
|8 2tw|<o  
三、被DDOS了吗? >B/&V|E  
jne9=Als5  
  DDOS的表现形式主要有两种,一种为流量攻击,主要是针对网络带宽的攻击,即大量攻击包导致网络 IXvz&4VD  
|4. o$*0Y  
带宽被阻塞,合法网络包被虚假的攻击包淹没而无法到达主机;另一种为资源耗尽攻击,主要是针对服务 gkML .u  
KM}4^Qc  
器主机的攻击,即通过大量攻击包导致主机的内存被耗尽或CPU被内核及应用程序占完而造成无法提供网 )]>G,.9C}  
3 9{"T0  
络服务。 eM=)>zl  
lzs(i 2pA  
  如何判断网站是否遭受了流量攻击呢?@赏ü齈ing命令来测试,若发现Ping超时或丢包严重(假定平 *rcuhw"^b#  
S"TMsi  
时是正常的),则可能遭受了流量攻击,此时若发现和你的主机接在同一交换机上的服务器也访问不了了 CKt|c!3 7  
;Z1U@2./  
,基本可以确定是遭受了流量攻击。当然,这样测试的前提是你到服务器主机之间的ICMP协议没有被路由 e=o{Zo?H=  
x56 F  
器和防火墙等设备屏蔽,否则可采取Telnet主机服务器的网络服务端口来测试,效果是一样的。不过有一 e9@fQ  
xSDE6]  
点可以肯定,假如平时Ping你的主机服务器和接在同一交换机上的主机服务器都是正常的,突然都Ping不 x*&&?nV Iz  
`bZU&A(`Be  
通了或者是严重丢包,那么假如可以排除网络故障因素的话则肯定是遭受了流量攻击,再一个流量攻击的 E)Qh]:<2v  
PR@4' r|a  
典型现象是,一旦遭受流量攻击,会发现用远程终端连接网站服务器会失败。 ccn`f]5w  
5m.KtnT)  
相对于流量攻击而言,资源耗尽攻击要容易判断一些,假如平时Ping网站主机和访问网站都是正常的,发 _lPl)8k  
?3, 64[  
现突然网站访问非常缓慢或无法访问了,而Ping还可以Ping通,则很可能遭受了资源耗尽攻击,此时若在 )n}]]^Sc  
4ZJT[zi  
服务器上用Netstat -na命令观察到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等状态存在,而 )yNw2+ ~5  
r` `i C5Ii  
ESTABLISHED很少,则可判定肯定是遭受了资源耗尽攻击。还有一种属于资源耗尽攻击的现象是,Ping自 AqbT{,3yW  
#EmffVtY  
己的网站主机Ping不通或者是丢包严重,而Ping与自己的主机在同一交换机上的服务器则正常,造成这种 R_>TEYZ  
u1) TG "+0  
原因是网站主机遭受攻击后导致系统内核或某些应用程序CPU利用率达到100%无法回应Ping命令,其实带 W]D`f8r9  
{nPkb5xbW  
宽还是有的,否则就Ping不通接在同一交换机上的主机了。 1%hM8:)i_  
VUy)4*  
当前主要有三种流行的DDOS攻击: foz5D9sQ  
kyxSIQ^  
1、SYN/ACK Flood攻击:这种攻击方法是经典最有效的DDOS方法,可通杀各种系统的网络服务,主要是通  9VUm=Z#`  
|c oEBFG  
过向受害主机发送大量伪造源IP和源端口的SYN或ACK包,导致主机的缓存资源被耗尽或忙于发送回应包而 F7Dc!JNa  
&@W4^- 9  
造成拒绝服务,由于源都是伪造的故追踪起来比较困难,缺点是实施起来有一定难度,需要高带宽的僵尸 2&gVZz  
Xh0wWU*  
主机支持。少量的这种攻击会导致主机服务器无法访问,但却可以Ping的通,在服务器上用Netstat -na c[h'`KXJf-  
Lk`k>Nn)  
命令会观察到存在大量的SYN_RECEIVED状态,大量的这种攻击会导致Ping失败、TCP/IP栈失效,并会出现 NT;x1  
qXB03}] G  
系统凝固现象,即不响应键盘和鼠标。普通防火墙大多无法抵御此种攻击。 ? gA=39[j  
*]m kyAhi  
2、TCP全连接攻击:这种攻击是为了绕过常规防火墙的检查而设计的,一般情况下,常规防火墙大多具备 ci ,o8 [Y  
(Gi+7GMV'  
过滤TearDrop、Land等DOS攻击的能力,但对于正常的TCP连接是放过的,殊不知很多网络服务程序(如: ^\ vfos  
zY+t,2z  
IIS、Apache等Web服务器)能接受的TCP连接数是有限的,一旦有大量的TCP连接,即便是正常的,也会导 | 3N.5{  
v$)@AE  
致网站访问非常缓慢甚至无法访问,TCP全连接攻击就是通过许多僵尸主机不断地与受害服务器建立大量 /=muj9|+s  
HTDyuqs  
的TCP连接,直到服务器的内存等资源被耗尽而被拖跨,从而造成拒绝服务,这种攻击的特点是可绕过一 7"n)/;la  
YMj7  
般防火墙的防护而达到攻击目的,缺点是需要找很多僵尸主机,并且由于僵尸主机的IP是暴露的,因此容 )&Kn (l)  
+e0dV_T_>  
易被追踪。 TOco({/_/  
fXu~69_  
3、刷Script脚本攻击:这种攻击主要是针对存在ASP、JSP、PHP、CGI等脚本程序,并调用MSSQLServer、  Qh|-a@  
yZ;k@t_WRD  
MySQLServer、Oracle等数据库的网站系统而设计的,特征是和服务器建立正常的TCP连接,并不断的向脚 `rz`3:ZH  
1o|0x\q  
本程序提交查询、列表等大量耗费数据库资源的调用,典型的以小博大的攻击方法。一般来说,提交一个 6VH90KAT  
v?YdLR  
GET或POST指令对客户端的耗费和带宽的占用是几乎可以忽略的,而服务器为处理此请求却可能要从上万 e7XsyL'|p  
|D;"D  
条记录中去查出某个记录,这种处理过程对资源的耗费是很大的,常见的数据库服务器很少能支持数百个 ZSF=  
Q(=Vk~v  
查询指令同时执行,而这对于客户端来说却是轻而易举的,因此攻击者只需通过Proxy代理向主机服务器 8K@"B  
' 1P=^  
大量递交查询指令,只需数分钟就会把服务器资源消耗掉而导致拒绝服务,常见的现象就是网站慢如蜗牛 xm}q6>jRV  
vbRrk($`  
、ASP程序失效、PHP连接数据库失败、数据库主程序占用CPU偏高。这种攻击的特点是可以完全绕过普通 /$FXg;h9$  
4-]Do?  
的防火墙防护,轻松找一些Proxy代理就可实施攻击,缺点是对付只有静态页面的网站效果会大打折扣, -7-Fd_F8  
BrNG%%n  
并且有些Proxy会暴露攻击者的IP地址。 [+;FV!M6  
?AV&@EX2C  
四、怎么抵御DDOS? ]cF1c90%  
<\1}@?NGC  
对付DDOS是一个系统工程,想仅仅依@@某种系统或产品防住DDOS是不现实的,可以肯定的是,完全杜绝 r^w\9a_  
6(N.T+;]  
DDOS目前是不可能的,但通过适当的措施抵御90%的DDOS攻击是可以做到的,基于攻击和防御都有成本开 Gd30Be2gd  
?418*tXd  
销的缘故,若通过适当的办法增强了抵御DDOS的能力,也就意味着加大了攻击者的攻击成本,那么绝大多 C.yY8?|  
,bZ"8Z"lss  
数攻击者将无法继续下去而放弃,也就相当于成功的抵御了DDOS攻击 +Cn yK(V  
|D;_:x9  
以下几点是防御DDOS攻击几点: HA^jk%53  
U^M@um M  
1、采用高性能的网络设备 JCw{ ?^F"  
#<a_: m)@  
首先要保证网络设备不能成为瓶颈,因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名 )(h&Q? Ar  
{yvb$ND|j{  
度高、口碑好的产品。再就是假如和网络提供商有特殊关系或协议的话就更好了,当大量攻击发生的时候 Y!++C MzU  
QL)>/%yU  
请他们在网络接点处做一下流量限制来对抗某些种类的DDOS攻击是非常有效的。 c }<*~w;  
zW"~YaO%C  
3、充足的网络带宽保证 >AR Tr'B  
o &BPG@n  
网络带宽直接决定了能抗受攻击的能力,假若仅仅有10M带宽的话,无论采取什么措施都很难对抗现在的 T&9`?QD  
[c&2i`C  
SYNFlood攻击,当前至少要选择100M的共享带宽,最好的当然是挂在1000M的主干上了。具体的可以去: D^66p8t  
w1wXTt  
http://www.bingdun.com/news_view.asp?id=29 看看 k~0#'I9  
=4frP*H?  
但需要注意的是,主机上的网卡是1000M的并不意味着它的网络带宽就是千兆的,若把它接在100M的 PHQ{-b?4t  
BN+V,W  
交换机上,它的实际带宽不会超过100M,再就是接在100M的带宽上也不等于就有了百兆的带宽,因为网络 0s 860Kn  
0zeUP {MQ  
服务商很可能会在交换机上限制实际带宽为10M,这点一定要搞清楚。 !( kX~S  
2}^+ ]5  
4、安装专业抗DDOS防火墙 9 '2=  
GN\8![J  
就目前来看 在防御DDOS攻击的防火墙,国内比较有名的要数冰盾防火墙了, 详 wl7 MfyU  
-'80>[}q/  
情:http://wwwbingdun.com 这里我就不做具体的介绍了 7<h.KZPc  
ixOEdQ  
eQ$N:]  
以上的几条对抗DDOS建议,适合绝大多数拥有自己主机的用户
级别: 经院高中
发帖
449
铜板
2209
人品值
122
贡献值
0
交易币
0
好评度
449
信誉值
0
金币
0
所在楼道
只看该作者 48 发表于: 2006-11-28
嗯~~好好學學~~ t:=k)B  
\TUE<<?1s  
    ╭~~~★      
              吥晑→ ɑ。 .  
                          长`` ^.^大
级别: 终身会员
发帖
3743
铜板
8
人品值
493
贡献值
9
交易币
0
好评度
3746
信誉值
0
金币
0
所在楼道
只看该作者 49 发表于: 2007-02-05
木马防御技巧之Exeroute木马清除方法
木马Exeroute用过的都知道 这个后门还是不错的 etyCrQ ?U  
共产生14个文件和2个文件夹。注册表部分,除了1个Run和System.ini,比较有特点是,非普通地利用了EXE文件关联。先修改了.exe的默认值,改.exe从默认的exefile更改为winfiles,然后再创建winfiles键值,使EXE文件关联与木马挂钩,它的一个可执行体是.com的。当然,清除的方法也很简单,不过需要注意步骤: '9J*6uXf.  
~+HoSXu@E  
一、注册表 o@/xPo|  
w<t,j~ Pr#  
先使用注册表修复工具,或者直接使用regedit修正以下部分1.SYSTEM.INI qVBL>9O*.  
*Hs*,}MS  
NT/XP系统在注册表 %8w9E=  
3wC R|ab}  
M&y5AB0  
  1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion/\Winlogon
2*u.3,aW  
iYKU[UP?  
`*yAiv>  
.X'< D*  
shell = Explorer.exe 1 修改为shell = Explorer.exe。 "K?Q  
2.将 0pN{y}x,  
3taa^e.  
[AR>?6G-  
  1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
K\&o2lo]  
1b3(  
iF9_b  
B1$ikY  
下的Torjan Program-C:\WINNT\(windows)services.exe删除。 }Hy ~i  
3.HKEY_Classes_root.exe默认值 winfiles 改为exefile。 3.vgukkk5  
GaBTj_3  
4.删除以下两个键值:HKEY_Classes_rootwinfiles和HKEY_Local_machinesoft wareclasse swinfiles。 VT=K"`EpQ  
mxJXL":|  
二、重启系统 G{b:i8}l  
)~ z Z'^  
然后重启系统,删除以下文件部分,注意打开各分区时,先打开“我的电脑”后请使用右键单击分区,选“打开”进入。删除以下文件c:\antorun.inf(如果你有多个分区,请检查其他分区是否有这个文件,有也一并删除) =g~j=v ,e  
UFENy."P  
  1. %programfiles%common filesiexplore.pif
  2.         %programfiles%Internat exploreriexplore.com
  3.         %windir%1.com
  4.         %windir%exeroute.exe
  5.         %windir%explorer.com
  6.         %windir%finder.com
  7.         %windir%mswinsck.ocx
  8.         %windir%services.exe
  9.         %windir%system32command.pif
  10.         %windir%system32dxdiag.com
  11.         %windir%system32finder.com
  12.         %windir%system32msconfig.com
  13.         %windir%system32
  14.         egedit.com
  15.         %windir%system32
  16.         undll32.com
eko]H!Ov(  
`#6x=24  
删除以下文件夹: \c7>:DH  
Sj-[%D*  
  1. %windir%debug
  2.         %windir%system32NtmsData
IU!Ht>  
kus}W  J  
vM4<d>  
然后重新启动计算机
级别: 终身会员
发帖
3743
铜板
8
人品值
493
贡献值
9
交易币
0
好评度
3746
信誉值
0
金币
0
所在楼道
只看该作者 50 发表于: 2007-02-05
木马防御技巧之Wincfg和Svhost后门清除
最近发现有一种木马:包括的进程名字有:Wincfgs.exe和Svchost.EXE。 (V?@?25  
S%l:kKD  
目前发现的现象是:启动时候会自动弹出记事本,且会在进程的启动项中多增加Adobe的进程,不过Adobe是被木马调用的,本身不是木马。(这是很菜的木马,一般按我提供以下方法可以清除) R1%y]]*-P  
.y):Rh^  
个人分析:这种木马很可能是通过WORD文件在磁盘介质进程传播。警告大家在使用U盘,软盘拷贝WORD和其他文本文件时候,最好先杀毒。 AK2WN#u@Z  
yn~P{}68  
以下是手动清除:在清除前请在文件夹选项里设置“显示所有文件”和显示“隐藏受保护的操作系统文件”。 j*zD0I]  
u^4h&fL  
(1)清除Svchost.exe lTz6"/  
vV^dm)?  
windows\system32里面的svchost.exe一般是正常的系统程序。如果在在WINDOWS目录下的,如果发现svchost.exe,先结束掉系统进程,在把该文件删除(注意:在XP系统中,很多个的进程都是svchost,但一般的系统进程用户都是SYSTEM,如果该进程是与你的用户名字使用,说明是木马程序) nPA@h  
]b}B2F'n  
(2)清除Wincfgs.exe  >eS$  
}htPTOy5  
Wincfgs.exe文件一般是在WINDOWS-\SYSTEM32目录下,也同样是先结束进程,再删除该文件。 MFwO9"<A  
YBjdp=als  
然后进入注册表:regedit YD&_^3-XM  
KQmZ#W%2m  
  1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  2.         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
  3.         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
  4.         HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
!buz<h  
中,如果出现上面2个进程名字,则删除键属性值。 N.hzKq][  
同样进入MSCONFIG,把启动项的钩去掉。然后重新启动。
级别: 终身会员
发帖
3743
铜板
8
人品值
493
贡献值
9
交易币
0
好评度
3746
信誉值
0
金币
0
所在楼道
只看该作者 51 发表于: 2007-04-05
系统安全防护之UNIX下入侵检测方法
因为unix系统经常承当着关键任务,所以它经常是入侵者攻击的首选目标。于是检测入侵、保护系统安全是管理员的最为重要的任务之一。那么,在没有其它工具帮助的情况下,如何去判断系统当前的安全性?如何去发现入侵呢?下面给大家介绍一些常用到的检查方法 44-r\>  
: F9|&q-W,  
以linux和solaris为例: bQQVj?8jp  
!'W-6f  
1、检查系统密码文件 jv&+<j`r  
~&g a1r2v?  
首先从明显的入手,查看一下passwd文件,ls –l /etc/passwd查看文件修改的日期。 urZ8j?}c  
)2.)3w1_4  
输入命令 PC/!9s 0W  
~UPZ<  
EUcKN1  
awk –f:’$3==0 {print $1}’ /etc/passwd +m/,,+4  
JwP:2-o  
Yx%bn?%;&  
!B^K[2`)N  
来检查一下passwd文件中有哪些特权用户,系统中uid为0的用户都会被显示出来。顺便再检查一下系统里有没有空口令帐户: 1"]P`SY$r  
wahZK~,EaY  
awk –f: ‘length($2)==0 {print $1}’ /etc/shadow rFu ez$  
-s"0/)HD  
2、查看一下进程,看看有没有奇怪的进程 !7 _\P7M  
GdA.g w  
重点查看进程:ps –aef | grep inetd。inetd是unix系统的守护进程,正常的inetd的pid都比较靠前,如果你看到输出了一个类似inetd –s /tmp/.xxx之类的进程,着重看inetd –s后面的内容。在正常情况下,linux系统中的inetd服务后面是没有-s参数的,当然也没有用inetd去启动某个文件;而solaris系统中也仅仅是inetd –s,同样没有用inetd去启动某个特定的文件;如果你使用ps命令看到inetd启动了某个文件,而你自己又没有用inetd启动这个文件,那就说明已经有人入侵了你的系统,并且以root权限起了一个简单的后门。 IZNOWX|Z;  
>D _F!_  
输入ps –aef 查看输出信息,尤其注意有没有以./xxx开头的进程。一旦发现异样的进程,经检查为入侵者留下的后门程序,立即运行kill –9 pid 开杀死该进程,然后再运行ps –aef查看该进程是否被杀死;一旦此类进程出现杀死以后又重新启动的现象,则证明系统被人放置了自动启动程序的脚本。这个时候要进行仔细查找:find / -name 程序名 –print,假设系统真的被入侵者放置了后门,根据找到的程序所在的目录,unix下隐藏进程有的时候通过替换ps文件来做,检测这种方法涉及到检查文件完整性,一会我们再讨论这种方法。接下来根据找到入侵者在服务器上的文件目录,一步一步进行追踪。 &drFQ|  
LWmB, Zf/  
3、检查系统守护进程 KoHGweKl#  
rt!r2dq"  
检查/etc/inetd.conf文件,输入: Ai kf|)D[  
2\@Z5m3B  
&/WAZs$2n  
cat /etc/inetd.conf | grep –v “^#” _>_j\b  
"H+,E_&(  
ijW 7c+yd  
_\zQ"y|G  
输出的信息就是你这台机器所开启的远程服务。一般入侵者可以通过直接替换in.xxx程序来创建一个后门,比如用/bin/sh 替换掉in.telnetd,然后重新启动inetd服务,那么telnet到服务器上的所有用户将不用输入用户名和密码而直接获得一个rootshell。 PT_KXk  
4、检查网络连接和监听端口 ZGz|m0b (  
h;M3yTM-  
输入netstat -an,列出本机所有的连接和监听的端口,查看有没有非法连接。 oU+F3b}5p  
eegx'VSX4  
输入netstat –rn,查看本机的路由、网关设置是否正确。 jk7 0u[\  
S/gm.?$V  
输入 ifconfig –a,查看网卡设置。 nhH;?D3  
]U_ec*a  
5、检查系统日志 ^T079=$5  
4gZ &^y'  
命令last | more查看在正常情况下登录到本机的所有用户的历史记录。但last命令依赖于syslog进程,这已经成为入侵者攻击的重要目标。入侵者通常会停止系统的syslog,查看系统syslog进程的情况,判断syslog上次启动的时间是否正常,因为syslog是以root身份执行的,如果发现syslog被非法动过,那说明有重大的入侵事件。 OW5t[~y]  
id,NONb\  
_vl}*/=Hc  
在linux下输入ls –al /var/log 4JMiyiW&  
在solaris下输入 ls –al /var/adm /q1s;I  
yyP-=Lhmo=  
检查wtmp utmp,包括messgae等文件的完整性和修改时间是否正常,这也是手工擦除入侵痕迹的一种方法。 iRw&49  
};katqzEg  
6、检查系统中的core文件 x;#zs64f  
;y1Q6eN  
通过发送畸形请求来攻击服务器的某一服务来入侵系统是一种常规的入侵方法,典型的rpc攻击就是通过这种方式。这种方式有一定的成功率,也就是说它并不能100%保证成功入侵系统,而且通常会在服务器相应目录下产生core文件,全局查找系统中的core文件,输入find / -name core –exec ls –l {} \; 依据core所在的目录、查询core文件来判断是否有入侵行为。 =8JB8ZFP  
p 2 !FcFi  
7、检查系统文件完整性 wAF,H8 -DK  
jRQ+2@n{E  
检查文件的完整性有多种方法,通常我们通过输入ls –l 文件名来查询和比较文件,这种方法虽然简单,但还是有一定的实用性。但是如果ls文件都已经被替换了就比较麻烦。在linux下可以用rpm –v `rpm –qf 文件名` 来查询,查询的结果是否正常来判断文件是否完整。在linux下使用rpm来检查文件的完整性的方法也很多,这里不一一赘述,可以man rpm来获得更多的格式。 mTf<  
9M-K]0S(  
unix系统中,/bin/login是被入侵者经常替换作为后门的文件,接下来谈一下login后门 : QLo(i  
\N6\v5vh  
unix里,login程序通常用来对telnet来的用户进行口令验证。入侵者获取login的源代码并修改,使它在比较输入口令与存储口令时先检查后门口令。如果用户敲入后门口令,它将忽视管理员设置的口令让你长驱直入:这将允许入侵者进入任何账号,甚至是root目录。由于后门口令是在用户真实登录并被日志记录到utmp和wtmp前产生的一个访问,所以入侵者可以登录获取shell却不会暴露该账号。管理员注意到这种后门后,使用”strings”命令搜索login程序以寻找文本信息。 5Ec/(-F  
l-O$m  
许多情况下后门口令会原形毕露。入侵者又会开始加密或者更改隐藏口令,使strings命令失效。所以许多管理员利用md5校验和检测这种后门。unix系统中有md5sum命令,输入md5sum 文件名检查该文件的md5签名。它的使用格式如下: Y83GKh,*  
pv# 2]v  
md5sum –b 使用二进制方式阅读文件; bB 6[Xj{  
C/tr$.2H=  
md5sum –c 逆向检查md5签名; WUoOGbA `  
&M[f&_"8Q  
md5sum –t 使用文本方式阅读文件。 Lp&k3?W  
:qj<p3w~}  
在前面提到过守护进程,对于守护进程配置文件inetd.conf中没有被注释掉的行要进行仔细比较,举个简单的例子,如果你开放了telnet服务,守护进程配置文件中就会有一句: 8q^o.+9  
Uems\I0  
sC7/9</  
telnet stream tcp nowait root /usr/sbin/in.telnetd in.telnetd YT-=;uK^S  
#&Is GyU  
可以看到它所使用的文件是 /usr/sbin/in.telnetd,检查该文件的完整性,入侵者往往通过替换守护进程中允许的服务文件来为自己创建一个后门。 Hfc"L>  
w*!wQ,o  
linux系统中的/etc/crontab也是经常被入侵者利用的一个文件,检查该文件的完整性,可以直接cat /etc/crontab,仔细阅读该文件有没有被入侵者利用来做其他的事情。 ALT^8c&K  
nCnjq=  
不替换login等文件而直接使用进程来启动后门的方法有一个缺陷,即系统一旦重新启动,这个进程就被杀死了,所以得让这个后门在系统启动的时候也启动起来。通常通过检查/etc/rc.d下的文件来查看系统启动的时候是不是带有后门程序。说到这里,另外提一下,如果在某一目录下发现有属性为这样的文件:-rwsr-xr-x 1 root root xxx .sh,这个表明任何用户进来以后运行这个文件都可以获得一个rootshell,这就是setuid文件。运行 find –perm 4000 –print对此类文件进行全局查找,然后删除这样的文件。 {1Eu7l-4  
w1^QD^KnH  
8、检查内核级后门 [r-}bp'Gp  
m $dV<  
如果你的系统被人安装了这种后门,通常都是比较麻烦的,首先,检查系统加载的模块,在linux系统下使用lsmod命令,在solaris系统下使用modinfo命令来查看。这里需要说明的是,一般默认安装的linux加载的模块都比较少,通常就是网卡的驱动;而solaris下就很多,没别的办法,只有一条一条地去分析。对内核进行加固后,应禁止插入或删除模块,从而保护系统的安全,否则入侵者将有可能再次对系统调用进行替换。我们可以通过替换create_module()和delete_module()来达到上述目的。另外,对这个内核进行加固模块时应尽早进行,以防系统调用已经被入侵者替换。如果系统被加载了后门模块,但是在模块列表/proc/module里又看不到它们。出现这种情况,需要仔细查找/proc目录,根据查找到的文件和经验来判断被隐藏和伪装的进程,当然目录也可能不是隐藏的。 !m y8AWO'  
r o\1]`6  
手工的入侵检测行为对于系统安全来说只是治标而不治本,多半还是依靠管理员的技巧和经验来增强系统的安全性,没有,也不可能形成真正的安全体系,虽然好过没有,可以检测和追踪到某些入侵行为,但如果碰上同样精通系统的入侵者就很难抓住踪迹了。搭建真正的安全体系需要配合使用入侵检测系统,一个优秀的入侵检测系统辅以系统管理员的技巧和经验可以形成真正的安全体系,有效判断和切断入侵行为,真正保护主机、资料。
发帖
4
铜板
6
人品值
11
贡献值
0
交易币
0
好评度
5
信誉值
0
金币
0
所在楼道
学一楼
只看该作者 52 发表于: 2011-08-24
电影简介: "8<K'zeS8  
导演: 姜国民 e x?v `9  
编剧: 王晶 $P {K2"Oc  
主演: 张柏芝 / 郑中基 / 邵兵 / 刘桦 / 林妙可 / 谢振轩 / 郑伊健 ]\c,BWC@e  
类型: 喜剧 \vbk#G hH  
制片国家/地区: 香港 e@]-D FG  
语言: 汉语普通话 / 粤语 ff2d @P,!  
上映日期: 2011-08-19(中国大陆) m,MSMw1p  
片长: 90分钟 I9 64  
评分: 豆瓣 5.9 [c&B|h=>  
剧情概要: 2YBIWR8z  
美女广告导演江蕙妮(张柏芝饰)看似有着成功的事业,美满的家庭,可爱的儿子(Lucas饰),而实际她急于拓展自己的事业,“女高男低”的家庭生活也让她和老公路志明(郑伊健饰)阴霾重重,隐忧暗暗。为了冲向事业的更高层次,工作狂人江蕙妮再次撇下老公和儿子,同好色风流的武打巨星高大龙(郑中基饰)前往无名荒岛拍摄广告大片。 '\7G@g?UZ  
无名岛风光旖旎,景色怡人,摄制组的拍摄工作却遭遇种种离奇事件,殊不知,他们从登上小岛的那一刻,也在一步步地逼近险境。 tY/vL^mi  
在一张年代久远的藏宝图的指引下,以眼镜蛇(刘桦饰)为首的“五大禽兽”团伙也进入孤岛,企图寻找和挖掘宝藏并据为己有,然而他们却被小岛上的神秘人(邵兵饰)搅的不得安宁,狼狈不堪。藏宝图的丢失彻底点燃了“五大禽兽”的怒火,他们认为摄制组在从中捣鬼,他们真正的目的不是拍摄广告,而是寻找宝藏!一场针锋相对的较量蓄势待发…… +pmu2}E.3  
?u$u?j|N  
L'A)6^d@S  
4,P bg|  
电影截图: URTzX 2'[  
R= 5 **  
-j2 (R?a  
-K %5(Eg  
无价之宝下载:       laiwuying.com/article-147-1.html \OwpD,'  
无价之宝在线观看weiguan.cc/detail/48623.html v/Pw9j!r;m  
+s[\g>i  
WI[:-cv  
FY'dJY3O  
`N8 7 h"  
5 t{ja  
5f7zk  
a:Q[gF8>  
`lpz-"EEV  
来无影电影网
级别: 禁止发言
发帖
165
铜板
-17104
人品值
-116508
贡献值
0
交易币
0
好评度
168
信誉值
0
金币
0
所在楼道
学一楼
只看该作者 53 发表于: 2011-09-02
用户被禁言,该主题自动屏蔽!
发帖
4
铜板
4
人品值
1
贡献值
0
交易币
0
好评度
4
信誉值
0
金币
0
所在楼道
学一楼
只看该作者 54 发表于: 2011-10-17
今天没事来逛逛 + %*&.@z_  
4vZ4/#(x  
N3A<:%s  
L EWhb!U  
#;VA5<M8  
/Ft:ffR|R  
|i %2%V#  
n(ir[w#,]"  
EMvHFu   
发帖
38
铜板
36
人品值
-33
贡献值
0
交易币
0
好评度
38
信誉值
0
金币
0
所在楼道
学一楼
只看该作者 55 发表于: 2011-10-22
好多啊,哈哈,谢谢您 v1G"3fy9  
eCbf9B  
p^)B0[P9  
Z9`TwS@x[  
~W0(1# i  
~eh0[mF^]  
0DPxW8Y-`  
&p(0K4:  
u_O# @eOc  
banjiagz.com 广州大众搬家公司
发帖
50
铜板
50
人品值
1
贡献值
0
交易币
0
好评度
50
信誉值
0
金币
0
所在楼道
学一楼
只看该作者 56 发表于: 2011-11-06
谢谢楼主  。。。。。。 T )~9Wac  
j+4H}XyE  
= duks\)O  
F'm(8/A$  
i{c@S:&@^  
;az5ZsvN D  
xG2+(f#C1  
8P' ana  
r{?Ta iK  
LaMLv<)k  
发帖
14
铜板
14
人品值
1
贡献值
0
交易币
0
好评度
14
信誉值
0
金币
0
所在楼道
学一楼
只看该作者 57 发表于: 2011-11-14
真的谢谢了! 9O.YOiW  
sJx+8 -  
&[mZD,  
./6<r OW  
0C%W&;r0  
AV8T  
|Hr:S":9  
po9 9 y-  
Z)9g~g94  
{XurC}#\  
发帖
12
铜板
12
人品值
1
贡献值
0
交易币
0
好评度
12
信誉值
0
金币
0
所在楼道
学一楼
只看该作者 58 发表于: 2011-12-01
不错不错,很好很好,谢谢分享 NG&_?|OmV  
eas:6Q)  
v60^4K>  
9i5,2~  
)3<:tV8   
s?Uh|BfB  
_Us*+ 2(4L  
A=zPL q{Sb  
)2q~u%9n  
性吧最新网站地址:3yy8.com wXjFLg!g?  
^E`(*J/o  
性吧最新网站网址:3yy8.com fQK"h  
/2M.~3gQ  
国内最为掩蔽的一夜站地址:3yy8.com RPnRVJ&"Z  
RR;AJ8wd  
现在开放免费注册, 史上最强的集合!!所有门事放 件大 送!!!! [800M] `p kMN  
UM*jKi2]"  
松岛枫.苍井空.av种子全集打包下载.. [AVI/89m] <AlZ]~Yct  
hJz):d>Im  
“美空门”上海美空模特徐莹自拍艳照347P高清完整版,免费下载 dx*qb  
YNrp}KQ  
性吧春暖花开,入口地址:3yy8.com ^\:8w0Y^  
q_W0/Ki8  
发帖
7
铜板
11
人品值
7
贡献值
0
交易币
0
好评度
7
信誉值
0
金币
0
所在楼道
学一楼
只看该作者 59 发表于: 2012-01-29
LZ辛苦了,支持一下! t2" (2  
Do%-B1{ri  
\o-&f:  
D0(xNhmKz  
FOwDp0  
(R~]|?:wt  
%n%xR%|  
PfS:AI y  
2jsw"aHW  
祝大家新年快乐! ZlYPoOq  
娱乐网x.zsjdc.com
描述
快速回复

您目前还是游客,请 登录注册
批量上传需要先选择文件,再选择上传
认证码:
验证问题:
3+5=?,请输入中文答案:八 正确答案:八