kangle_小魏 发表于 2010-12-2 13:54:30

内容过滤(内附如何过滤灰鸽子)

本帖最后由 kangle_小魏 于 2010-12-2 13:56 编辑

      对于互联网信息的监控过滤不可能用人力去管理、控制,工作量太大,太费时并且不能及时发现。Kangle内容过滤功能实现人性化、自动化的管理。
如何进行过滤内容操作,举例说明(过滤灰鸽子):
先介绍两个功能模块:
content_length
说明:配置内容大小
作用域:回应控制
content
说明:支持使用正则表达式过滤内容
作用域:回应控制
灰鸽子病毒的运行原理简介
      灰鸽子木马分两部分:客户端和服务端。黑客(姑且这么称呼吧)操纵着客户端,利用客户端配置生成一个服务端程序。服务端文件的名字默认为G_Server.exe,然后黑客通过各种渠道传播这个木马(俗称种木马或者开后门)。种木马的手段有很多,比如,黑客可以将它与一张图片绑定,然后假冒成一个羞涩的MM通过QQ把木马传给你,诱骗你运行;也可以建立一个个人网页,诱骗你点击,利用IE漏洞把木马下载到你的机器上并运行;还可以将文件上传到某个软件下载站点,冒充成一个有趣的软件诱骗用户下载……

      由于灰鸽子病毒变种繁多,其文件名也很多变,近来发现的以(Backdoor.GPigeon.sgr)类型居多,不易对付,在被感染的系统%Windows%目录下生成三个病毒文件,分别是 G_Server.exe,G_Server.dll,G_Server_Hook.dll。

      G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端,有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。

      同时注意,G_Server.exe这个名称并不固定,它是可以定制的,比如当定制服务端文件名为A.exe时,生成的文件就是A.exe、A.dll和A_Hook.dll。

      Windows目录下的G_Server.exe文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能,与控制端客户端进行通信;

   kangle 的内容过滤功能,就是阻止灰鸽子实现后门通信。
具体操作:进入管理后台回应控制,选择“ 插入 ”
data/attachment/forum/201011/30/160227hgutl5wzzl4llo52.jpg前天 16:02 上传
下载附件 (23.18 KB)

点击“ 插入 ”进入,选择匹配模块中的“content_length”

选择标记模块中的 “content”
data/attachment/forum/201011/30/160441abjsji68rtvbvriy.jpg
出现如下界面:目标设为:“拒绝”内容大小为:“1--100字节”内容:^[^\r\n]{0,}{1,}\.{1,3}\.{1,3}\.{1,3}[^\r\n]{0,}[\r\n]{0,}$












0539 发表于 2012-3-11 10:08:30

支持kangle

kangle_小魏 发表于 2012-3-11 10:46:06

0539 发表于 2012-3-11 10:08 static/image/common/back.gif
支持kangle

周末好^_^

感谢支持!^_^

xdai 发表于 2012-5-17 14:48:19

非常感谢分享~最近正在研究kangle做内部服务器用,学习了!!

crtbupte 发表于 2012-6-4 11:11:03

西安虎标茶进驻天猫商城。。全场九折。。

西安虎标茶进驻天猫商城,全场9折,满99包邮,而且有精美礼品赠送了,机会不容错过
http://www.kuqiao123.com/    。
页: [1]
查看完整版本: 内容过滤(内附如何过滤灰鸽子)