辰迅云新闻中心

关于PywirtPywirt是一款基于Python开发的网络安全工具，该工具专门针对Windows操作系统设计，可以帮助广大研究人员使用winrm并通过在Windows操作系统上收集各种信息来加快安全事件应急响应的速度。该工具已在Windows 10操作系统上进行过完整测试。功能介绍该工具支持在Windows操作系统上收集下列信息：IP配置用户信息组信息任务服务计划任务注册表控制TCP&UDP活动端口文件共享文件信息防火墙配置会话信息开放会话日志条目工具安装由于该工具基于Python 3开发，因此广大研究人员首先需要在本地设备上安装并配置好Python 3环境。接下来，使用下列命令将该项目源码克隆至本地......

Windows系列服务器于2019年5月15号，被爆出高危漏洞，该漏洞影响范围较广，windows2003、windows2008、windows2008 R2、windows xp系统都会遭到攻击，该服务器漏洞利用方式是通过远程桌面端口3389，RDP协议进行攻击的。这个漏洞是今年来说危害严重性最大的漏洞，跟之前的勒索，永恒之蓝病毒差不多。 目前国内使用windows服务器的公司，以及网站太多，尤其阿里云服务器，腾讯云的服务器，百度云服务器，智真科技云服务器，都在第一时间短信通知用户。关于RDP远程桌面漏洞的详情，智真科技www.08571.com带大家来看下：针对微软第一时间公布了CVE-2019-0708漏洞的修复补丁，我们对比补丁发现仅仅是对termdd.sys远程驱动做了修改，在驱动的strcmp里做了限制，我们跟踪上面的修改参数追踪到远程桌面的一个调用函数里，对该函数微软写死了，我们判断是这个函数可以插入恶意代码导致远程执行漏洞发生，具体怎么利用CVE-2019-0708漏洞，目前没有poc公布，估计很快会在github上出现。CVE-2019-0708漏洞是通过检查用户的身份认证，导致可以绕过认证，不用任何的交互，直接通过rdp协议进行连接发送恶意代码执行命令到服务器中去。如果被攻击者利用，会导致服务器入侵，中病毒，像WannaCry 永恒之蓝漏洞一样大规模的感染。CVE-2019-0708漏洞修复补丁以及安全建议有些windows2008系统打不了补丁的一般是数据中心版本，可以设置一下服务器，计算机右键属性-远程设置-仅允许运行使用网络基本身份验证的远程桌面的计算机连接（更安全）（N），在这行点勾，然后确认即可，可以临时的防止漏洞的攻击。如果对补丁不知道该如何修复的，可以启用阿里云的端口安全策略，禁止掉3389远程端口，只允许自己的IP通信即可。1.Windows Server 2008 漏洞补丁系列下载地址Windows Server 2008 32位系统:download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.0-kb4499149-x86_832cf179b302b861c83f2a92acc5e2a152405377.msuWindows Server 2008 x64位系统:download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.0-kb4499149-x64_9236b098f7cea864f7638e7d4b77aa8f81f70fd6.msuWindows Server 2008 R2 Itanium系统:download.windowsupdate.com/c/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-ia64_fabc8e54caa0d31a5abe8a0b347ab4a77aa98c36.msuWindows Server 2008 R2 x64系统:download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msuWindows Server 2008 Itanium:download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.0-kb4499180-ia64_805e448d48ab8b1401377ab9845f39e1cae836d4.msu2.Windows Server 2003 漏洞补丁系列下载地址Windows Server 2003 32位系统:download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x86-custom-chs_4892823f525d9d532ed3ae36fc440338d2b46a72.exeWindows Server 2003 64位系统:download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x64-custom-chs_f2f949a9a764ff93ea13095a0aca1fc507320d3c.exe3. Windows XP 漏洞补丁系列下载地址Windows XP SP3 32位系统:download.windowsupdate.com/c/csa/csa/secu/2019/04/windowsxp-kb4500331-x86-custom-chs_718543e86e06b08b568826ac13c05f967392238c.exeWindows XP SP2 64位系统:download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x64-custom-enu_e2fd240c402134839cfa22227b11a5ec80ddafcf.exeWindows XP SP3 for XPe:download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsxp-kb4500331-x86-embedded-custom-chs_96da48aaa9d9bcfe6cd820f239db2fe96500bfae.exe......

安全总是相对的，再安全的服务器也有可能遭受到攻击。作为一个智真科技www.08571.com的安全运维人员，要把握的原则是：尽量做好系统安全防护，修复所有已知的危险行为，同时，在系统遭受攻击后能够迅速有效地处理攻击行为，最大限度地降低攻击对系统产生的影响。一、处理服务器遭受攻击的一般思路 系统遭受攻击并不可怕，可怕的是面对攻击束手无策，下面就详细介绍下在服务器遭受攻击后的一般处理思路。1.切断网络所有的攻击都来自于网络，因此，在得知系统正遭受黑客的攻击后，首先要做的就是断开服务器的网络连接，这样除了能切断攻击源之外，也能保护服务器所在网络的其他主机。2.查找攻击源可以通过分析系统日志或登录日志文件，查看可疑信息，同时也要查看系统都打开了哪些端口，运行哪些进程，并通过这些进程分析哪些是可疑的程序。这个过程要根据经验和综合判断能力进行追查和分析。下面的章节会详细介绍这个过程的处理思路。3.分析入侵原因和途径既然系统遭到入侵，那么原因是多方面的，可能是系统漏洞，也可能是程序漏洞，一定要查清楚是哪个原因导致的，并且还要查清楚遭到攻击的途径，找到攻击源，因为只有知道了遭受攻击的原因和途径，才能删除攻击源同时进行漏洞的修复。4.备份用户数据在服务器遭受攻击后，需要立刻备份服务器上的用户数据，同时也要查看这些数据中是否隐藏着攻击源。如果攻击源在用户数据中，一定要彻底删除，然后将用户数据备份到一个安全的地方。5.重新安装系统永远不要认为自己能彻底清除攻击源，因为没有人能比黑客更了解攻击程序，在服务器遭到攻击后，最安全也最简单的方法就是重新安装系统，因为大部分攻击程序都会依附在系统文件或者内核中，所以重新安装系统才能彻底清除攻击源。6.修复程序或系统漏洞在发现系统漏洞或者应用程序漏洞后，首先要做的就是修复系统漏洞或者更改程序bug，因为只有将程序的漏洞修复完毕才能正式在服务器上运行。7.恢复数据和连接网络将备份的数据重新复制到新安装的服务器上，然后开启服务，最后将服务器开启网络连接，对外提供服务。二、检查并锁定可疑用户当发现服务器遭受攻击后，首先要切断网络连接，但是在有些情况下，比如无法马上切断网络连接时，就必须登录系统查看是否有可疑用户，如果有可疑用户登录了系统，那么需要马上将这个用户锁定，然后中断此用户的远程连接。1.登录系统查看可疑用户通过root用户登录，然后执行“w”命令即可列出所有登录过系统的用户。通过这个输出可以检查是否有可疑或者不熟悉的用户登录，同时还可以根据用户名以及用户登录的源地址和它们正在运行的进程来判断他们是否为非法用户。2.锁定可疑用户一旦发现可疑用户，就要马上将其锁定，例如上面执行“w”命令后发现nobody用户应该是个可疑用户(因为nobody默认情况下是没有登录权限的)，于是首先锁定此用户，执行如下操作：[root@server ~]# passwd -l nobody 锁定之后，有可能此用户还处于登录状态，于是还要将此用户踢下线，根据上面“w”命令的输出，即可获得此用户登录进行的pid值，操作如下：[root@server ~]# ps -ef|grep @pts/3  531 6051 6049 0 19:23 ? 00:00:00 sshd: nobody@pts/3  [root@server ~]# kill -9 6051 这样就将可疑用户nobody从线上踢下去了。如果此用户再次试图登录它已经无法登录了。3.通过last命令查看用户登录事件last命令记录着所有用户登录系统的日志，可以用来查找非授权用户的登录事件，而last命令的输出结果来源于/var/log/wtmp文件，稍有经验的入侵者都会删掉/var/log/wtmp以清除自己行踪，但是还是会露出蛛丝马迹在此文件中的。三、查看系统日志查看系统日志是查找攻击源最好的方法，可查的系统日志有/var/log/messages、/var/log/secure等，这两个日志文件可以记录软件的运行状态以及远程用户的登录状态，还可以查看每个用户目录下的.bash_history文件，特别是/root目录下的.bash_history文件，这个文件中记录着用户执行的所有历史命令。四、检查并关闭系统可疑进程检查可疑进程的命令很多，例如ps、top等，但是有时候只知道进程的名称无法得知路径，此时可以通过如下命令查看：首先通过pidof命令可以查找正在运行的进程PID，例如要查找sshd进程的PID，执行命令：然后进入内存目录，查看对应PID目录下exe文件的信息：这样就找到了进程对应的完整执行路径。如果还有查看文件的句柄，可以查看如下目录：[root@server ~]# ls -al /proc/13276/fd 通过这种方式基本可以找到任何进程的完整执行信息，此外还有很多类似的命令可以帮助系统运维人员查找可疑进程。例如，可以通过指定端口或者tcp、udp协议找到进程PID，进而找到相关进程：在有些时候，攻击者的程序隐藏很深，例如rootkits后门程序，在这种情况下ps、top、netstat等命令也可能已经被替换，如果再通过系统自身的命令去检查可疑进程就变得毫不可信，此时，就需要借助于第三方工具来检查系统可疑程序，例如前面介绍过的chkrootkit、RKHunter等工具，通过这些工具可以很方便的发现系统被替换或篡改的程序。五、检查文件系统的完好性检查文件属性是否发生变化是验证文件系统完好性最简单、最直接的方法，例如可以检查被入侵服务器上/bin/ls文件的大小是否与正常系统上此文件的大小相同，以验证文件是否被替换，但是这种方法比较低级。此时可以借助于Linux下rpm这个工具来完成验证。对于输出中每个标记的含义介绍如下：S 表示文件长度发生了变化M 表示文件的访问权限或文件类型发生了变化5 表示MD5校验和发生了变化D 表示设备节点的属性发生了变化L 表示文件的符号链接发生了变化U 表示文件/子目录/设备节点的owner发生了变化G 表示文件/子目录/设备节点的group发生了变化T 表示文件最后一次的修改时间发生了变化如果在输出结果中有“M”标记出现，那么对应的文件可能已经遭到篡改或替换，此时可以通过卸载这个rpm包重新安装来清除受攻击的文件。不过这个命令有个局限性，那就是只能检查通过rpm包方式安装的所有文件，对于通过非rpm包方式安装的文件就无能为力了。同时，如果rpm工具也遭到替换，就不能通过这个方法了，此时可以从正常的系统上复制一个rpm工具进行检测。对文件系统的检查也可以通过chkrootkit、RKHunter这两个工具来完成，智真科技www.08571.com下次为大家继续延伸讲解！......

    今天是大年初一，是我们传统拜年的日子，智真科技：www.08571.com 在这里给大家拜年了。祝愿大家在新的一年里，身体健康，万事顺意。金猪发大财行大运！感谢大家2021年对智真科技www.08571.com的支持与信赖！2022年我们继续一同前行！......

尊敬的智真科技www.08571.com用户：首先：感谢您一直以来对智真科技的支持。值此2022年五一到来之际，智真科技祝您在新的一年里心事想成、万事如意、身体健康、家庭幸福！！！现对智真科技五一放假时间做出如下安排2022年五一放假时间安排如下，5月1日 - 5月4日为放假时间。为了更好的为您提供服务，智真科技技术服务人员将照常7*24小时值班，您有任何问题均可:1)通过邮件1090805252#qq.com联系;2)拨打24小时值班电话: 1369-111-5138同时友情提醒：购买VPS可通过自助方式购买,打开www.08571.com-注册-登录-充值-购买VPS服务器-开通即可。请您及时续费即将到期的产品,以免假期期间造成因到期后系统自动停止,到期48个小时后VPS会自动删除。感谢广大新老用户对智真科技一直以来的支持和信赖 ,并祝广大用户度过一个愉快的假日!我们建议您通过邮件1090805252#qq.com与我们取得联系，紧急情况请您随时拨打我们的售后服务热线，我们将第一时间为您安排处理！......

尊敬的用户您好！近期收到不少用户反馈有不法份子冒充智真科技工作人员索要用户信息！智真科技（www.08571.com）在此声明，绝不会向用户索要任何资料信息。如果遇到上述问题，请联系智真科技24小时客服！QQ：1090805252电话：1369-111-5138（7×24h）邮箱：1090805252@qq.com......

杰迅云使用ping命令测试服务器实例不通的排查方法概述杰迅云使用ping命令测试服务器实例不通的排查方法详细信息杰迅云实例无法ping通，可能有多种原因，请您参见以下操作步骤进行排查：    检查杰迅云实例的状态，只有当杰迅云实例为运行中状态时，才能对外提供业务访问。检查步骤如下：        目标实例不是运行中的状态，请参见杰迅云实例生命周期，根据实例的状态，选择对应的解决方案。        目标实例是运行中的状态，请参见下一步继续操作。        登录云服务器管理控制台。        单击左侧导航栏中的实例，查看目标实例的状态。    请检查通过远程连接是否可以正常连接到机器。    如果可以远程连接到服务器，只是ping不通，请参见以下操作，确认是否有添加ICMP协议。    登录杰迅云管理控制台，单击实例。    在顶部菜单栏左上角处，选择地域。    在实例列表页面，单击对应的实例ID。    在实例详情页面，单击安全组，在安全组列表区域，单击对应的安全组ID。......

测试测试测试测试......

服务器租用多少钱一年？这个问题其实好多做网站或者做app以及小程序的用户会问到，那么我们所熟悉的一些大厂，比如：*里云，*度云，*讯云以及*为云等等大厂，他们的价格我们就按照他们售卖的比较多的相同配置的服务器来做个精准考察。首先就是*里云ECS在看看*讯云CVM最后看看*度云BCC我们最终得出一个结论那就是一个2核4G+40G系统盘+5M带宽的服务器，一年的费用大概是在1436--2600元左右了，相对来说价格一看就知道，*里云的ecs价格要折扣大，只不过用过服务器的都知道第二年续费可就是原价续费了。那么我们如何能选一个稳定性高而且安全性过关的同配置性价比较高的服务器呢？小编找寻了某通公司机房的朋友，以及某信公司的渠道，发现服务器的利润还是非常高的，就2核4G+40G系统盘+5M带宽的服务器如果通过渠道购买的话，价格差了至少3到8倍不止，其实想想也对，大厂比较也得赚钱不能免费给你提供对吧？所以我们看看渠道给的价格是多少2核4G+40G系统盘+5M我们没有看到，但是我们看到了8核4G+120G系统盘+10M独享带宽的价格居然还比*里云2核4G+40G系统盘+5M的费用要便宜600元，而且后期续费*里云续费价格是2667，*讯云2534，*度,2689而我们找到的这个杰迅云配置比他们高但是价格居然只是三分之一，有人又要说了大厂的安全有保障，小编小了，难道*动和*信是小厂吗？所以小编觉得放心用就可以了，在同等服务以及配置的情况下，谁家便宜用谁家，有需要服务器或者VPS的都可以百度搜索杰迅云去看看价格再决定去哪里买服务器吧，不过一般非专业人员肯定也没有小编这样了解互联网行业，可以关注小编，了解更多互联网的那些坑。......

尊敬的用户：      您好，接运营商通知，因市政工程施工，运营商将于2022年5月28日凌晨进行网络割接，辰迅云华南节点业务将受影响，详情如下：      割接原因：市政工程施工      割接时间：2022年5月28日 01:00--06:00      中断时长：≤60分钟      影响线路：华南BGP      影响业务：租用托管、云服务器      本次割接会造成网络连接中断，割接完成后网络自动恢复，请提前做好相关准备。如需帮助，请拨打400-066-6318或提交网络类工单，感谢您的支持！辰迅云2022年5月24日......