[转帖] 黑客小常识chen(2008/8/8 20:58:44) 点击:
128895 回复:
0 IP:
139.* * * 黑客的入侵方式
黑客经常端坐在电脑面前,废寝忘食,他们大部分的时间是在寻找主机,查找漏洞,然后进入你的系统。但是黑客不完全等于入侵者,好的黑客会帮你查找系统的漏洞,然后告诉你解决方法,但我们不能期望只碰到善意的黑客,我们必须了解黑客入侵的方法(由于本文并不是黑客教程,故具体操作内容从略):
1. 查找指纹
这是入侵的最重要的一步,首先使用的工具是PING。查找想要入侵的一段IP地址,如果没有任何机器,再换一段,直到找到目标。然后判断它是否是NT服务器?你可以这样判断
(1) Telnet远程登录到它的21号端口(ftp),看它是不是显示nt信息。
(2) 检查一下服务器是否只是说它在运行什么(检查它们的页面)。
(3) 试一下NBTSTAT -A [ip address]看它的回应。如果未出错,并出现相关的共享信息,就可以得到结果了。
然后就是用一些端口扫描器扫描目标机器所运行的服务,从而判断从那一个端口进攻。
2. 寻找漏洞 运行类似letmein.exe这样的程序可以对目标机器的帐号进行攻击,并取得相应的密码。另一个方法是由NBTSTAT -A [ip
address]得到目标机器详细的共享目录,然后编辑本地文件c:\windows\lmhosts(LMHOSTS文件是一个包含NetBIOS到IP地址映射的简单文本文件),将目标主机IP解析加入,然后尝试连接目标机的共享逻辑盘。SNIFFER也是黑客常用的工具,用SNIFFER可以分析各种信息包可以很清楚的描述出网络的结构和使用的机器,由于它接受任何一个在同一网段上传输的数据包,所以也就存在着
SNIFFER可以用来捕获密码,EMAIL信息,秘密文档等一些其他没有加密的信息。所以这成为黑客们常用的扩大战果的方法,夺取其他主机的控制权。当然最容易入侵的是IIS及FTP,黑客可以用自制的小程序监听IIS及FTP,发现未加密的密码,以及如上文所讲的利用IIS及FTP的已公开的漏洞,逐个尝试进行入侵。
3. 入侵系统
能入侵系统的人不一定都是坏人,但典型的破坏者入侵后会更改你的首页,窃取你的帐号密码,下载你硬盘的重要资料,在你的系统里放入木马程序,运行DOS攻击程序,或利用你的机器作为向别人发动攻击的中转站。
三、安全策略
为了防止恶意的入侵,我们必须定出详细的安全策略:
1.
硬件或软件的防火墙是必须的,同时也是有效的,防火墙可以抵挡大部分的恶意进攻,也可以记录进出网络的每一个包的简要信息,为日后查找入侵记录提供了方便。但防火墙并不是买回来就摆在那里,它需要细心的配置和升级。
2. 硬盘最好Format 成NTFS格式,经常看看一些安全站点,使用最新的Service Pack,并时常打一些微软发布的小补丁。
3. 删除不必要的网络共享,可以命令net share
/d。那些为了管理而设置的共享,如C$,D$,ADMIN$,删除后重启就又共享了,所以必须通过修改注册表的方法来实现,对NT4,可以修改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Services\
LanmanServer\Parameters 的 AutoShareServer设置为0。
4.
重要的系统配置如信任机器的配置,共享资源的配置,注册表的配置,系统服务的配置和域用户管理器的配置,都必须经常检查。注册表是一个很容易被入侵和修改的地方,你应该经常备份注册表。.
5.
在防火墙上,截止所有从端口137到139的TCP和UDP连,这样做有助于对远程连接的控制。另外,在内部路由器上,设置ACL,在各个独立子网之间,截止从端口137到139的连接,以限制安全漏洞。
6. 任何时候查看系统日志都是有用的,可以在"域用户管理器->规则->审核"中添加审核Success/Failed Logon/Logoff日志。
7. 严格控制FTP的权限,最好禁止匿名FTP上载及对FTP用户的读写活动进行详细的监控,禁止FTP目录的脚本执行权利。
8. 控制一般用户对注册表Run项的可写权限,就可以防止一般用户都具有对
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CurrentVersion\Run
项的可读可写权限,防止其在Run项创建文件,将自己加入到管理员组内。
9. 管理员的密码最好是8-9位,包含有字符及特殊字符,同时严格监控密码文件SAM的读写。
10. 最好能将默认的系统服务端口移至较高位置,如10000以上,这样可以防止黑客扫描你的端口,因为如此大的端口值,黑客要扫描很久,多数会知难而退。
11.
把一些工具从你的NT目录中转移到一个安全的目录,例如:cmd.exe,net.exe,telnet.exe,ftp.exe等,可以使黑客上来后找不到合适的工具和SHELL。
12. 用NBTSTAT -A
[本机IP]查看本机的共享,看看有没有非法用户联接,查看木马程序常用的端口,如7306,7307、7308、12345、12345、12346、31337、6680、8111、9910,看看有没有木马程序的存在。
13. 检查是否有用户帐号配置被修改,是否有组的特性被修改。黑客有时会把
Iuser_计算机名,这类用来匿名访问web的帐号加到管理组,.建议用户帐号尽量地少,发现入侵后将所有用户密码改掉。