2006年6月26日

NULL Sender 与 compurep.com.au 的退邮

Author: Hagen.GoO 转载请联系作者
MSN_contact: wantm009@hotmail.com
Keyword: NULL Sender,退邮
Quote:

朋友说他的邮件服务器给 compurep.com.au 的用户发送邮件,老是被退回,提示:

550 5.7.1 <Remote_user@compurep.com.au>... recipient denied, because MX 10 'mail.xxx.com.cn.' [2xx.6x.4x.2xx] for <Local_user@xxx.com.cn> did not accept the empty address, <>, as required by RFC 821, 1123, 2505, and 2821

于是我猜想可能是对方 AntiSPAM 校验 Mail From 而导致的问题,分析如下:

正常情况:Local_user@xxx.com.cn 发送邮件到 Remote_user@compurep.com.au 其简单会话是:
第一,xxx.com.cn 的 SMTP 连接到 compurep.com.au 的 MX 记录所指的服务器;
第二,xxx.com.cn 的 SMTP 外送 HELO/EHLO 命令,对方 SMTP 应答250;
第三,xxx.com.cn 的 SMTP 送 MAIL FROM:<Local_user@xxx.com.cn>,对方应答250;
第四,xxx.com.cn 的 SMTP 送 RCPT TO:<Remote_user@compurep.com.au>,对方给出250;
第五,xxx.com.cn 的 SMTP 送 DATA,开始发送邮件……

而当 compurep.com.au 的 SMTP 设置了 Mail From 校验以后,整个邮件发送的会话发生了细微变化,在上述的第三步中,对方的 SMTP 会另外新启用一个线程,连接到 xxx.com.cn 的 SMTP 继而校验 MAIL FROM:<Local_user@xxx.com.cn> 这条命令中包含的邮件地址是否真的存在,其完整过程简述如下:
第一,xxx.com.cn 的 SMTP 连接到 compurep.com.au 的 MX 记录所指的服务器;
第二,xxx.com.cn 的 SMTP 外送 HELO/EHLO 命令,对方 SMTP 应答250;
第三,xxx.com.cn 的 SMTP 送 MAIL FROM:<Local_user@xxx.com.cn>,对方应答250;
第四,compurep.com.au 的 SMTP 服务器新开线程,连接 xxx.com.cn MX 对应服务器;
第五,compurep.com.au 的 SMTP 服务器发送 HELO/EHLO 命令;xxx.com.cn 回应250;
第六,compurep.com.au 的 SMTP 发送 VRFY 和 EXPN 校验 Local_user 是否存在;
如果 VRFY EXPN 命令被禁,继续第七步,
如果得到250应答,校验成功,转到第九步 CASE1,
如果得到530回应,校验失败,转到第九步 CASE2,
第七,compurep.com.au 的 SMTP 发送 MAIL FROM:<> 命令,xxx.com.cn 回应250;
第八,compurep.com.au 的 SMTP 发送 RCPT TO:<Local_user@xxx.com.cn>
如果得到250应答,表示校验成功,转到第九步,执行 CASE1,
如果得到>500回应,校验失败,则转到第九步,执行 CASE2.
第九,xxx.com.cn 的 SMTP 送 RCPT TO:<Remote_user@compurep.com.au>,
CASE1:如果 Mail From 校验成功,compurep.com.au 给出250,继续第十步,
CASE2:校验失败,compurep.com.au 给出失败应答,Local_user@xxx.com.cn 收到错误信息;
第十,xxx.com.cn 的 SMTP 送 DATA,开始发送邮件……

出于安全考虑,现在 SMTP 一般都是禁用 VRFY EXPN 命令的,所以有些 AntiSPAM 中的 Mail From 策略干脆就不使用。另外也有一些 Mail From 的 AntpSPAM 策略是在第三步给出250回应前就执行。

按照 RFC 1123 的文档,某些Postmaster给出的 notification 的信息,其 Mail From 必须是空(NULL Sender)地址,即 MAIL FROM:<> 的格式。当某些 SMTP 因考虑垃圾邮件的缘故,拒绝 NULL Sender 后,便会和 RFC 1123 产生一点冲突。有些比较刻板的 MTA 其 Mail From 校验时,使用的就是 Postmaster 的 NULL Sender。

于是连接朋友 2xx.6x.4x.2xx 的 SMTP 端口,手动测试 MAIL FROM:<> 的命令,得到 “501 <> : domain string is NULL.”,证实朋友的 SMTP 确实拒绝 NULL Sender,这便和 compurep.com.au 的 Mail From 校验产生了不和谐。即在第八步时,compurep.com.au 得到501应答,预示无法校验到 Local_user@xxx.com.cn 是真实存在的,于是就产生了退邮。

朋友 SMTP 是 Trend InterScan Messaging Security Suite for SMTP ,找到趋势的官方KB,http://esupport.trendmicro.com/support/viewxml.do?ContentID=EN-121719&id=EN-121719,提示要修改 isntsmtp.ini 中的配置才能解决这个问题。

推荐一个检测隐藏进程的工具

Author: Hagen.GoO 转载请联系作者
MSN_contact:
wantm009@hotmail.com
Keyword: Process Master,hidden processes detection,隐藏进程,木马
Quote:

前几天给某系统清理病毒时,发现 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 有一个不常见的键项,手动删掉以后,马上就又新的写入。

用 Regmon 监视注册表,发现是某进程执行的写入操作,但通过 taskmgr.exe 又看不到这个进程,试着用 Prcview 和 Sysinternals Process Explorer 都还是无法看到该进程。

搜索Google,找到 http://www.backfaces.com/ 的 Process Master 号称可以查杀隐藏进程,抱着怀疑的心态,下载来试用。感觉还真不错:程序很快就用红色高亮标注出了系统上的这个隐藏进程。虽然试用版不能中止进程,但可以查出隐藏进程,对于清剿病毒,已经起了很大帮助。这个工具对 Windows 管理员检测系统后门,木马还是非常有价值的。目前官方最新版是 1.1,下载地址:http://www.backfaces.com/download/procmast.zip

贫穷·自杀·在“路”上

每年到6、7月,是高考的日子,也是贫穷的高考家长自杀的日子。这位家长 http://edu.people.com.cn/GB/4520191.html,更是在儿子考分出来前,选择了自我结束。论坛上,有人高谈是这个农民生孩子太多导致的贫穷;也有人骂这位家长是懦弱和逃避现实的。

农民的痛,谁人能体会?他们有保险吗?有福利吗?有就业权吗?!

农民没有养老保险,养老保险对于他们还是一个陌生新鲜的词眼。他们不多生养儿女,谁来养老,谁来送终?去年年终的时候,笔者做过一个简单调查,发现浙北农村,过一趟火葬场,费用没有低于1000元的,而千元对于农民来说所占年收入的比重不会太小。火葬应该是公益事业吧,我不知道这算不算是人权之一,但死人还要被剥一层皮,这就是中国农民。不过听说最近老家有农民办了养老保险,因为他们的土地被征用了,美其名曰是“买断”。

有人建议,农村也有养老福利院,老了可以去“享福”。殊不知,农村的养老院前面还有定语——“孤寡”。只要你生了一个孩子,恐怕就失去资格了。再说,现今的农村养老院,有几个不成麻将馆的?

农民靠天吃饭,虽然他们的世界里,没有老毛人定胜天的“豪迈”,但只要天还在,政府就永远把他们列为是就业者。网易上有个文章说,中国算上农民,失业率约20%;佩服作者和编辑勇气的同时,细想算来,失业率恐怕远远不止20%,面对随时失地的危险,农民的就业权在哪里?

退一万步说:即便农村的孩子花尽血汗,上完大学,又能如何?产业化与商业化催逼下的育人体制,有多少黑洞和血色?谁能担保升达事件不会重演?

结束生命,结束贫穷。这是需要勇气的,那怕是瞬间的勇气 ,这是农民对吃人社会的无声控诉,这是穷人面对吃人社会的唯一武器。这是底层被统治者的唯一声息。

农民,被侮辱和被糟蹋的,明天你是否在“路”上?

轻松删除被锁定的DLL文件之通用方法

Author: Hagen.GoO 转载请联系作者
MSN_contact:
wantm009@hotmail.com
Keyword: 锁定DLL,中止进程
Quote:

有些不能被杀毒软件查杀的恶意 DLL 动态链接库文件,通过 RUNDLL32.EXE 或其他线程注入的方式,自动加载并锁定在当前系统。
也有一些 DLL 文件被杀毒软件认出是病毒,但由于该 DLL 被系统进程锁定,不能清除或隔离。
遇到上述情况,你可以到安全模式下,试着删除该DLL文件。但如果你不懈于进安全模式,可以试着使用下面的方法:
  1. 使用第三方工具 ListDLLs.exe -d DLLNAME 找到加载该 DLL 的进程(ProcessNAME);
  2. 在 WindowsXP 下可以使用系统自带命令 tskill ProcessNAME 杀死进程;(注意,不要添加 .exe 的后缀)
    在 Windows2K 或其他 Windows 系统,中止进程可以使用第三方 PrcView 提供的 pv.exe -kf ProcessNAME;(注意,这需要完整的进程名)
  3. Attrib.exe -r -s -h DLLNAME 去除该 DLL 文件可能有的属性;
  4. 使用 Del DLLNAME 直接删除目标 DLL 文件。
上述的操作方法,应该非常通用的,但都需要在命令行(DOS)下进行。
步骤中使用的第三方工具,官方下载是:
ListDLLs http://www.sysinternals.com/Files/ListDlls.zip
PrcView http://www.teamcti.com/pview/PrcView.zip

一份学校的“真情”告白

  小表弟中考结束了,没有好好用功的他,只剩下选择技校的份了。

  家长打来电话问我,念 XX 学校的“3+2”好不好,我也一头雾水,第一次听说这个学校,也第一次听说什么 M+N。

  于是上网查询一下这个学校的资料,找到其招生简章,简章上不仅连读条件含糊不清,就其连读毕业以后的大专学历是哪个学校颁发,哪里认可,具体是那种成分的大专都避讳不谈。该学校的最新招生宣传彩页更是把“赚钱”的字样堂而皇之的摆了上去。


  不过想想这倒也真是现实,没有空谈为社会做贡献,也没有为XX主义灌汤喝药,读书就为了赚钱。

  可一个号称多少多少先进,和北大青鸟这样的IT名鸟合作的学校,其网页上多处有SQL注入漏洞,邮件服务的MX记录都配置不正确。我不禁要问,这样师资下出来的学生,能找到工作,能赚到钞票吗?

  他妈的,学校赚钱也不能无耻到这地步!奉劝学校领导不要这样滥用共C主义的人事关系。学校还是应该育人为本。

在邮件中使用 SSL 数字证书图解入门篇

Author: Hagen.GoO 转载请联系作者
MSN_contact:
wantm009@hotmail.com
Keyword: SSL,Thawte.com,数字证书
Quote:
在日益不安全的网络中,加强信息保护,显得格外重要。而在 Email 中使用 SSL 数字证书签名邮件或加密邮件,可以有效对付网络嗅探、过滤,并能防止邮件伪造,和邮件欺骗等等。

一、申请 thawte.com 免费的个人邮件数字证书
(Personal E-mail Certificates)
1、在 thawte.com 上注册帐号
2、登录帐号,申请数字证书
3、在系统中安装证书
二、在 Outlook Express 中使用证书
三、备份数字证书
点击下面链接下载 PowerPoint 幻灯稿,解压密码 hagengoo

关于 UltraVNC 验证密码

Author: Hagen.GoO 转载请注明作者出处
MSN_contact:
wantm009@hotmail.com
Keyword: UltraVNC,VNC,验证密码
Quote:

看到论坛上有人说 UltraVNC 不好用,把它安装成服务后,远程密码验证老出错。其实关键问题是在于:
做为服务的 UltraVNC 是以 winvnc.exe -service 的命令启动的,它读取的是 Password 值是位于
HKEY_LOCAL_MACHINE\SOFTWARE\ORL\WinVNC3\Default
而做为一般应用程序,双击 winvnc.exe 启动的,其读取的 Password 则是位于
HKEY_CURRENT_USER\Software\ORL\WinVNC3

另外再推荐一个可以反逆 VNC 密文的工具:VNC Password Dump 。点此,从官方下载最新版 1.0.6

RealVNC 4.1.1 Bypass Authentication

Author: Hagen.GoO 转载请注明作者出处
MSN_contact:
wantm009@hotmail.com
Keyword: RealVNC,VNC,ByPass
Quote:

RealVNC 是一款类似 pcAnywhere 的远程控制软件,非常小巧。

但其较新的 4.1.1 版被暴远程认证绕过漏洞(Bypass Authentication),详见绿盟:http://www.nsfocus.net/vulndb/8823

http://www.heapoverflow.com/viewtopic.php?t=445 已经在半个月前公布了扫描工具和经过修改的 VNC 客户端程序 VNCviewer.exe 。

双休日闲来无事,扫描了台湾和澳洲的部分网段,发现还有非常多的主机没有打补丁。特别是台湾的一些服务器管理员,离开操作台的时候,都忘记锁定服务器。而对于那些被锁定的服务器,即便 VNC 被攻破,也不会造成大的安全隐患,看来服务器管理员学会记住使用 Ctrl+Alt+Del 还是非常有必要的!

提醒使用 RealVNC 的朋友,尽快升级到最新版。或者使用免费的 UltraVNC TightVNC 来替代。