应急之魂-时间与人的故事

作者 | 2009-12-02 20:10 | 类型 行业动感 | 5条用户评论 »

Sina WeiboBaiduLinkedInQQGoogle+RedditEvernote分享




(1)引子      1999年元旦数十万名网络用户在自己的屏幕上看到了这段焰火,它来自于邮件蠕虫Happy99的发作,网络病毒时代的大幕就此拉开,从而成为公众的梦魇,网络安全工程师的天敌。    一年后,一些年轻人在中国哈尔滨开始了寻求“天下无毒”理想的历程,他们的标志是蓝色飞翼,他们的名字叫安天实验室。    下面的故事,是时间与人的故事,在这些故事中,你将看到病毒传播的狂潮与反病毒工程师们的紧张赛跑。

2)红色代码2
2001年8月6日.红色代码II
2001年8月1日深夜,中国武汉,安天实验室高级程序员张栗伟正在远程主机上测试程序,这次改进是为了让安天的蜜罐节点具有对更多端口扫描的感知能力,这就是安天捕风蜜罐系统的雏形。此前红色代码病毒在欧美引发恐慌,但并未在国内流行,安天人担心这不是一个结束,而是一个开始,他们要有所准备。5天后,即8月6日的清晨5点,安天加班人员观察到,一台没有开放WEB服务的蜜罐节点在较短时间内,遭到了大量80端口扫描。暴风雨真的来了。因为这些扫描就来自于两天之后将被国内公众悉数知晓的蠕虫——红色代码II。于是,大武汉暑夏之晨仅有的清凉中,开始了一场战斗。[张栗伟]:当我们的预警并没有成为一个体系,安天的监控节点需要一个一个的登上去看结果,没有集中汇总也没有短信告警,但那天我们正好在加班,有人一登入一台蜜罐主机就看到了大量扫描记录。8月6日7时49分,在完成了初步分析后,安天在BBS水木清华站发出了《关于IIS蠕虫CodeRed的紧急说明》,其后又继续向各大BBS转贴。9时整,样本反汇编分析完成。[张栗伟]:我们发现这个蠕虫本身默认用300个线程扫描,但如果需要中文系统就用600个,所以在国内会更加流行。我们另外一个需要解决的问题是这个病毒遗留下的木马文件并不是病毒的主体,这个病毒是一个没有文件载体的内存蠕虫。10时35分,安天发布了第一版专杀工具。8月7日 安天为地方相关部门定制了专杀和动态补丁工具,并迅速分发到地市。8月8日 安天继续为相关部门完成了大网段轻载扫描检查工具,以普查已经感染的节点和具有隐患的IIS平台分布。[张栗伟]:在大家都很稚嫩和原始的时候,更多比拼的是嗅觉和创造力。


(待续)

(没有打分)

工具箱
本文链接 | | 打印此页 | 5条用户评论 »

雁过留声

“应急之魂-时间与人的故事”有5个回复

  1. spike 于 2009-12-02 8:21 下午

    魂斗罗这段midi实在太有煽动力了,每次听到都很想重温FC时代的经典。贴一个用半条命引擎渲染的魂斗罗:
    http://v.youku.com/v_show/id_XMTM0ODQzODcy.html

    另外,弱弱的问一句,这个系列是打算按照之前netscreen方式叙述的故事吗?

  2. 帅云霓 于 2009-12-02 10:53 下午

    Contra, 永远的经典记忆

  3. billy 于 2009-12-05 8:49 上午

    哈 那个半条命引擎的视频我也有看 强大之极…

    弱弱的回一下 期待更精彩

  4. 老卜 于 2009-12-14 4:14 下午

    赞一个,听很多人讲起你们,期待你们有更多精彩。

  5. billy 于 2009-12-17 7:06 上午

    老卜,多谢支持与鼓励!