由卡饭被挂马，说说软件和系统更新

wjcharles

jefffire 发表于 2011-5-27 17:30
杀软防漏洞都是治标不治本，虽然通过IPS、网页监控等手段能够一定程度上防御攻击，但一旦面对经过层层加密 ...

非常正确，比如这次卡饭挂马的那个ap.js，ips报的是“Web Attack: Malicious Javascript Heap Spray Generic”，没有准确报出所利用的漏洞，显然已经不是ips入库的典型漏洞利用代码了，都用上了通用检测（启发）；而那个nb.swf更牛，应该是漏洞利用手段比较偏，没有被ips截获，仅从狭义的漏洞防护的观点看ips是被穿了的（应该这个swf已获得了PE的运行权限？），但利用该漏洞的后续行为“HTTP CSS PE Download”被ips截获，因此从广义的漏洞防护上说ips还是防住了，只是有点勉强
话说真要通过软件防漏洞，可能还是微软的EMET靠谱

wjcharles

klinxun 发表于 2011-5-27 17:59
打补丁是滞后的，杀软入特征库也是滞后的，杀软需要及时更新，补丁也应该及时打。
      可是威 ...

其实这次卡饭挂马的样本已经差不多把ips过了，当然仅仅是ips而已，后面还有下载分析和sonar等着
见此楼http://bbs.kafan.cn/forum.php?mo ... &fromuid=489037

DDT12345678

好象没中招

klinxun

wjcharles 发表于 2011-5-28 00:17
其实这次卡饭挂马的样本已经差不多把ips过了，当然仅仅是ips而已，后面还有下载分析和sonar等着
见 ...

呵呵，原来铁壳ips还有启发能力。我倒是用趋势试过，趋势web信誉没拦，倒是本地库杀了。
不知道emet防溢出能力如何，不过我也dt地装上玩玩。所以，有些人说用诺顿、甚至用微点不用打补丁是不对的。安软跟系统更新要两手抓。

也不知道谁

正版系统打补丁确实是最重要的。。楼主的例子很是贴切啊。。

jayhm1

一点都没有中招……

jhz

没赶上论坛挂马

jefffire

wjcharles 发表于 2011-5-28 00:12
非常正确，比如这次卡饭挂马的那个ap.js，ips报的是“Web Attack: Malicious Javascript Heap Spray Gene ...

原来是这样。这你都发现了。

liangxy

对于网站被挂马，首先应该是网站要反思自己为什么被挂马，而不是寄托于用户防护措施得当！！

644436248@qq.co

一向及时更新