黑客是如何入侵電腦的呢
電腦病毒就像黑客一樣,無處不在,侵害著人們電腦!你知道黑客是怎么樣入侵的嗎!下面由學(xué)習(xí)啦小編給你做出詳細(xì)的黑客攻擊的步驟分解介紹!希望對(duì)你有幫助!
黑客攻擊的步驟分解介紹:
第一:進(jìn)入系統(tǒng)
1. 掃描目標(biāo)主機(jī)。
2. 檢查開放的端口,獲得服務(wù)軟件及版本。
3. 檢查服務(wù)軟件是否存在漏洞,如果是,利用該漏洞遠(yuǎn)程進(jìn)入系統(tǒng);否則進(jìn)入下一步。
4. 檢查服務(wù)軟件的附屬程序(*1)是否存在漏洞,如果是,利用該漏洞遠(yuǎn)程進(jìn)入系統(tǒng);否則進(jìn)入下一步。 5. 檢查服務(wù)軟件是否存在脆弱帳號(hào)或密碼,如果是,利用該帳號(hào)或密碼系統(tǒng);否則進(jìn)入下一步。 6. 利用服務(wù)軟件是否可以獲取有效帳號(hào)或密碼,如果是,利用該帳號(hào)或密碼進(jìn)入系統(tǒng);否則進(jìn)入下一步。
7. 服務(wù)軟件是否泄露系統(tǒng)敏感信息,如果是,檢查能否利用;否則進(jìn)入下一步。
8. 掃描相同子網(wǎng)主機(jī),重復(fù)以上步驟,直到進(jìn)入目標(biāo)主機(jī)或放棄。
第二:提升權(quán)限
1. 檢查目標(biāo)主機(jī)上的SUID和GUID程序是否存在漏洞,如果是,利用該漏洞提升權(quán)限,否則進(jìn)入下一步。
?. 檢查本地服務(wù)是否存在漏洞,如果是,利用該漏洞提升權(quán)限,否則進(jìn)入下一步。
3. 檢查本地服務(wù)是否存在脆弱帳號(hào)或密碼,如果是,利用該帳號(hào)或密碼提升權(quán)限;否則進(jìn)入下一步。
4. 檢查重要文件的權(quán)限是否設(shè)置錯(cuò)誤,如果是,利用該漏洞提升權(quán)限,否則進(jìn)入下一步。
5. 檢查配置目錄(*2)中是否存在敏感信息可以利用。
6. 檢查用戶目錄中是否存在敏感信息可以利用。
7. 檢查臨時(shí)文件目錄(*3)是否存在漏洞可以利用。
8. 檢查其它目錄(*4)是否存在可以利用的敏感信息。
9. 重復(fù)以上步驟,直到獲得root權(quán)限或放棄。
第三:放置后門
最好自己寫后門程序,用別人的程序總是相對(duì)容易被發(fā)現(xiàn)。
第四:清理日志
最好手工修改日志,不要全部刪除,也不好使用別人寫的工具。
附加說明:
*1 例如WWW服務(wù)的附屬程序就包括CGI程序等
*2 這里指存在配置文件的目錄,如/etc等
*3 如/tmp等,這里的漏洞主要指條件競(jìng)爭(zhēng)
*4 如WWW目錄,數(shù)據(jù)文件目錄等 /*****************************************************************************/好了,大家都知道了入侵者入侵一般步驟及思路 那么我們開始做入侵檢測(cè)了。
第一步、我們都知道一個(gè)入侵者想要入侵一臺(tái)服務(wù)器首先要掃描這臺(tái)服務(wù)器,搜集服務(wù)器的信息,以便進(jìn)一步入侵該系統(tǒng)。系統(tǒng)信息被搜集的越多,此系統(tǒng)就越容易被入侵者入侵。 所以我們做入侵檢測(cè)時(shí),也有必要用掃描器掃描一下系統(tǒng),搜集一下系統(tǒng)的一些信息,來看看有沒有特別流行的漏洞(呵呵這個(gè)年頭都時(shí)興流行哦:)
第二步、掃描完服務(wù)器以后,查看掃描的信息---->分析掃描信息。如果有重大漏洞---->修補(bǔ)(亡羊補(bǔ)牢,時(shí)未晚),如果沒有轉(zhuǎn)下一步。
第三步、沒有漏洞,使用殺毒工具掃描系統(tǒng)文件,看看有沒有留下什么后門程序,如:nc.exe、srv.exe……如果沒有轉(zhuǎn)下一步。
第四步、入侵者一般入侵一臺(tái)機(jī)器后留下后門,充分利用這臺(tái)機(jī)器來做一些他想做的事情,如:利用肉雞掃描內(nèi)網(wǎng),進(jìn)一步擴(kuò)大戰(zhàn)果,利用肉雞作跳板入侵別的網(wǎng)段的機(jī)器,嫁禍于這臺(tái)機(jī)器的管理員,跑流影破郵箱……
如何檢測(cè)這臺(tái)機(jī)器有沒有裝一些入侵者的工具或后門呢?
查看端口(偏好命令行程序,舒服)
1、fport.exe--->查看那些端口都是那些程序在使用。有沒有非法的程序,和端口 winshell.exe 8110 暈倒~后門 net use 誰在用這個(gè)連接我?
2、netstat -an ---->查看那些端口與外部的ip相連。 23 x.x.x.x 沒有開23端口,怎么自己打開了??黑客!?
3、letmain.exe \ip -admin -d 列出本機(jī)的administrators組的用戶名查看是否有異常。 怎么多了一個(gè)hacker用戶??<==>net user id
4、pslist.exe---->列出進(jìn)程<==>任務(wù)管理器
5、pskill.exe---->殺掉某個(gè)進(jìn)程,有時(shí)候在任務(wù)管理器中無法中止程序那就用這個(gè)工具來停止進(jìn)程吧。
6、login.exe ---->列出當(dāng)前都有那些用戶登錄在你的機(jī)器上,不要你在檢測(cè)的同時(shí),入侵者就在破壞:
7、查看日志文件--->龐大的日志文件--->需要借助第三方軟件來分析日志 記錄了入侵者掃描的信息和合法用戶的正確請(qǐng)求
Find “scirpts/..” C:\WINNT\system32\LogFiles\W3SVC1\ex010705.log --解碼漏洞??誰在掃描我?
8、查看 Web 目錄下文件改動(dòng)與否 留沒有留 asp php 后門……查看存放日志文件的目錄 GUI 查看顯示所有文件和文件夾 z[-6QwE
技巧:查看文件的修改日期,我兩個(gè)月沒有更新站點(diǎn)了(好懶:),怎么 Web 目錄下有最近修改文件的日期??奇怪吧?:) "DYN}
####################################### 驅(qū)動(dòng)器 C 中的卷是 system Server D7
卷的序列號(hào)是 F4EE-CE39
R-hgl8F
C:\WINNT\system32\LogFiles\W3SVC1 的目錄 ?
2001-07-05 02:43 1,339 ex010704.log
2001-07-05 23:54 52,208 ex010705.log
2001-07-07 22:59 0 ex010707.log
2001-07-08 22:45 0 ex010708.log
2001-07-10 08:00 587 ex010709.log
恩?奇怪?怎么沒有 2001-07-06 那天的日志文件??可疑……2001-07-07、2001-07-08 兩天的日志文件大小為零,我得網(wǎng)站訪問量怎么兩天都是空??沒有那么慘吧:(好奇怪?!#######################################
驅(qū)動(dòng)器 D 中的卷是 新加卷
卷的序列號(hào)是 28F8-B814 D:\win 2000 的目錄
2001-06-03 17:43
2001-06-03 17:43
..
2001-06-03 17:43
CLIENTS
2001-06-03 17:43
BOOTDISK
2001-06-03 17:43
I386
2001-06-03 17:46
PRINTERS
2001-06-03 17:46
SETUPTXT
2001-06-03 17:46
SUPPORT
2001-06-03 17:46
VALUEADD
2000-01-10 20:00 45 AUTORUN.INF
2000-01-10 20:00 304,624 BOOTFONT
2000-01-10 20:00 5 CDROM_IS.5
2000-01-10 20:00 5 CDROM_NT.
2000-01-10 20:00 12,354 READ1ST
2000-01-10 20:00 465,408 README.DOC
2000-01-10 20:00 267,536 SETUP.EXE
2001-06-04 17:37
SP1
2001-06-27 16:03
sp2
2001-07-06 00:05
system --->從來沒有修改或安裝什么文件程序啊 什么時(shí)候多了system目錄?這個(gè)是我安裝 win 2000 的安裝文件。 日期怎么不對(duì) 2001-07-06,日志文件也沒有 2001-07-06 的這一天的記錄,可疑…….
7 個(gè)文件 1,049,977 字節(jié) 12 個(gè)目錄 10,933,551,104 可用字節(jié)
####################################### 總的來說
入侵檢測(cè)包括:
一、基于80端口入侵的檢測(cè) CGI IIS 程序漏洞……
二、基于安全日志的檢測(cè) 工作量龐大
三、文件訪問日志與關(guān)鍵文件保護(hù) )
四、進(jìn)程監(jiān)控 后門什么的
五、注冊(cè)表校驗(yàn) 木馬
六、端口監(jiān)控 21 23 3389 …
七、用戶 我覺得這個(gè)很重要,因?yàn)槿肭终哌M(jìn)入系統(tǒng)以后,為了方便以后的“工作”通常會(huì)加一個(gè)用戶或者激活guest帳號(hào)提升為管理員的
/************** 借助第三方軟件協(xié)助分析 IDS Firewall …..***********************/
對(duì) unix & linux 入侵檢測(cè)說幾句
有必要先用掃描器掃描一下系統(tǒng),搜集一下資料 CGI RPC TELNETD FTP ……本地遠(yuǎn)程溢出漏洞……
1、檢查 suid sgid 程序
find / -user root -perm -4000 -print --常用
find / -group kmem -perm -2000 -print
2、查看系統(tǒng)的二進(jìn)制文件是否被更改
如:ls su telnet netstat ifconfig find du df sync login……
建議做入侵檢測(cè)時(shí)候,從一個(gè)干凈的系統(tǒng) copy 過來這些文件 來做檢測(cè)
使用 MD5 Tripwire 校驗(yàn)工具檢測(cè)
3、檢查 /etc/passwd 文件 ,
有沒有新增的用戶、沒有口令的帳號(hào)、uid等于0的帳號(hào)……
4、檢查有沒有網(wǎng)絡(luò)監(jiān)聽程序在運(yùn)行
5、檢查系統(tǒng)非正常的隱藏文件
find / -name ".. " -print -xdev
find / -name ".*" -print -xdev
6、在系統(tǒng)正常運(yùn)作的情況下,系統(tǒng)管理員要經(jīng)常使用下列命令(必要的話,系統(tǒng)管理員可以改變 path,或者修改二進(jìn)制文件名稱,放到一個(gè)只有自己知道的目錄下)在保證二進(jìn)制文件沒有被篡改的情況下用絕對(duì)路徑 iW[BxyR\x
/bin/who
/bin/w
/bin/last my
/bin/lastcomm
/bin/netstat
/bin/snmpnetstat
shell 的歷史文件 如:.history 、.rchist、.bash_history……
7、日志
8、…….. 因?yàn)?unix&vlinux系列源代碼是開放的,所以如果入侵者裝上了內(nèi)核后門 強(qiáng)烈建議備份您機(jī)器上重要文件,重裝系統(tǒng),打好補(bǔ)丁,迎接入侵者
/******************借助第三方軟件協(xié)助分析 IDS Firewall …..***********************/ 入侵檢測(cè)介紹就到這里,在實(shí)際運(yùn)用中,系統(tǒng)管理員對(duì)基礎(chǔ)知識(shí)掌握的情況直接關(guān)系到他的安全敏感度,只有身經(jīng)百戰(zhàn)而又知識(shí)豐富、仔細(xì)小心的系統(tǒng)管理員才能從一點(diǎn)點(diǎn)的蛛絲馬跡中發(fā)現(xiàn)入侵者的影子。
看了“黑客是如何入侵電腦的呢”文章的還看了:
1.黑客如何入侵
6.如何防范黑客入侵
黑客是如何入侵電腦的呢
上一篇:如何剿滅電腦中的病毒木馬
下一篇:win8中了電腦病毒怎么辦