瑞斯特的黑客攻防指南

 

 

如何檢測并預防黑客入侵 

日子過得真快,轉眼就到了8月份,隨著天氣的逐漸變熱,人們的心也在日漸浮躁起來,再經過前一段《駭客帝國》的熱播以及國內外那幾起被炒得沸沸揚揚的黑客攻擊事件,搞得公司里的同事們也每天里黑客黑客短的在談論這些事兒,仿佛駭客帝國里的所描述的那些場景馬上就要降臨了一般,其實,不要以為黑客都是黑紗蒙面晝伏夜出的大盜,沒準胡同口網吧里上網的那幾個小破孩聊累了,捎帶手就能將某個公司的主頁給黑上一把;也別以為黑客都是些橫眉立目五大三粗的爺們兒,說不定哪天炸毀了美國總統電子郵箱的就是那個在鄰居大嫂家租房住的漂亮MM。當人們圍攏在一起或欣賞黑客或詛咒黑客,或壓低嗓門議論黑客的時候,也許那些黑客們正從你身邊微微一笑悄然而過。這些黑客們生來就與兩張網結下了不解之緣,頭一張自然是互聯網,另一張則是法網。實際上,自打有了電腦、有了網絡,在這個電子世界里就有了黑客,這與現實生活中的情形往往有驚人的相似,網絡安全也是遵循著漏洞→完善→漏洞→再完善這樣一個過程,螺旋式地向上發展。黑客與網絡防護的對話,也有著這樣的過程。 

黑客的概念 

黑客是計算機專業中的一群特殊的群體,隨著目前各種媒體里報道的計算機系統被攻擊越來越多,黑客就越發成為我們關注的焦點。關于黑客的描述有很多,我們選擇如下幾例,幫大家對黑客有個初步的了解。 

黑客(hacker) 

技術上的行家或熱衷于解決問題, 克服限制的人。在精神上, hacker 并不單指(限制于)這種軟件 hacker 的文化. 有人也把 hacker的特質發揮在其它領域, 例如: 電子或者音樂方面. 事實上你會發現, 在任何一種科學或藝術的最高境界, 你都可以發現 hacker 的特質. 軟件 hacker 們認為,那些類似的精神也都可以稱為黑客的態度。Hacker 們解決了問題并創造新東西, 他們相信自由并自愿的互相幫助. 

  黑客精神 

  1. 這世上充滿著等著被解決的迷人問題

  2. 沒有任何人必須一再的解決同一個問題

  3. 無聊而單調的工作是有害的

  4. 自由才好

  5. 態度并非不等效于能力 

  解釋:猜疑態度和尊敬各種能力. Hacker 們不會想浪費時間在虛華的人的身上他們尊敬的是能力 -- 特別是身為 hacker 的能力但對于其它方面的能力也是充滿敬意

  一位 Hacker 所需的基本技能 

  1. 學習程序設計

  2. 取得一個免費的 UNIX , 并學習使用和維護

  3. 學習使用 World Wide Web 并學會寫 HTML. 

  Hacker 文化的狀況 

  1. 寫免費的軟件

  2. 幫忙 test 和 debug 免費的軟件 

  3. 公布有用的資訊

  4. 幫忙維持一些簡單的工作.(解釋:hacker 文化是由一群自愿者維持運作有一些工作很無趣但卻必須維持正常運作的管理 mailing list, 維護 newsgroup, 維持大的軟件供應站臺推動RFC 和其它技術標準.) 

  5. 為 hacker 文化而努力

  電腦黑客守則 

  1. 不惡意破壞任何的系統這樣作只會給你帶來麻煩.惡意破壞它人的軟體將導致法律刑責如果你只是使用電腦那僅為非法使用!! 注意千萬不要破壞別人的軟體或資料 !! 

  2. 不修改任何的系統檔如果你是為了要進入系統而修改它請在答到目的後將它改回原狀

  3. 不要輕易的將你要 Hack 的站臺告訴你不信任的朋友

  4. 不要在 bbs 上談論你 Hack 的任何事情

  5. 在 Post 文章的時候不要使用真名

  6. 正在入侵的時候不要隨意離開你的電腦

  7. 不要侵入或破壞政府機關的主機

  8. 不在電話中談論你 Hack 的任何事情

  9. 將你的筆記放在安全的地方

  10. 想要成為 Hacker 就要真正的 Hacking, 讀遍所有有關系統安全或系統漏洞的文件 (英文快點學好)! 11. 已侵入電腦中的帳號不得清除或修改

  12. 不得修改系統檔案如果為了隱藏自己的侵入而作的修改則不在此限但仍須維持原來系統的安全性不得因得到系統的控制權而將門戶大開 !! 

  13. 不將你已破解的帳號分享與你的朋友

  黑客名稱來源: 

  幾十年前第一臺 minicomputer 剛誕生, ARPAnet 實驗也剛展開的時代那時有一個由程序設計專家和網絡名人所組成的具有分享特質的文化族群.這種文化的成員創造了 `hacker' 這個名詞這些 Hacker 建立了 Internet,創造出我們現在使用的 UNIX 操作系統他們也使 Usenet 運作起來并且讓 WorldWide Web 動起來

  駭客(cracker) hacker 和 cracker 之間最主要的不同是: hacker 們創造新東西,cracker 們破壞東西 

黑客的道德準則: 

他們認為,所有的信息都應當是免費的;應該打破電腦集權;計算機使人們生活更美好等等,普通的電腦程序員要成為黑客也不難,但要成為一名黑客高手,除了智慧,還要有足夠的耐心和毅力網絡安全最薄弱的環節并不是系統漏洞,而是人的漏洞。
  最近,這些神秘人物聚集在美國匹茲堡,參加最古老的黑客大會———所謂最古老,也不過是1985年后才出現的新鮮事。本屆大會組織者最重要的任務之一是讓公眾相信,不是所有的黑客都是罪犯。就連出席大會、目光深邃的FBI探員湯姆·加拉索也同意:黑客并不總是利用計算機犯罪或搗亂,一些黑客破解電腦代碼只是為了發現更方便使用某個程序的捷徑
技藝精湛
  一名昔日黑客告訴記者,依靠黑客工具,普通的電腦程序員要成為黑客也不難,但要成為一名黑客高手,除了智慧,還要有足夠的耐心和毅力。
  現成的黑客工具可以通過掃描上網者的IP地址尋找到目標計算機,并列出漏洞清單。但如果你水平不夠,即便看到這個清單也無法加以利用。
  黑客們為了不暴露自己的IP地址,通常使用兩種方法,一種是利用代理服務器,將自己的IP地址偽裝起來,這種代理服務器很多都可以在網上免費得到。另一種是跳板技術,也就是說,尋找一臺正在上網的電腦,假借這臺電腦的地址隱藏自己,這臺電腦通常被黑客們稱為肉機。許多肉機主人在被安全部門找到時,還往往莫名其妙,一臉無辜。
  找到一臺可以嫁禍的個人電腦要費很長時間,因為個人用戶不會在網上逗留很久,每臺電腦的實際情況也都不一樣。而微軟這樣的公司也會一直推出補丁程序來修補他們的漏洞,所以黑客需要不斷發現新漏洞。總而言之,要掌握真正的黑客技術,是很難很難,很繁瑣的
  歷史上最著名的黑客莫過于凱文·米特尼克。15歲時,米特尼克就成功入侵北美空中防務指揮系統,成為經典案例。16歲時的一天,他在看FBI的電腦網絡,發現FBI正在調查一名黑客,便饒有興趣地看起來,看著看著,突然大吃一驚:被調查者竟然是他自己!

  在很短的時間里他頻頻進入各大公司,修改用戶資料,害得這些公司哭笑不得,連連向客戶道歉。媒體稱他無所不能,還被《時代》選為封面人物。但他最終還是被FBI繩之以法,據說,是他的作案風格,而不是他的技術,讓他露出了馬腳。米特尼克不但被判5年監禁,一切上網工具包括計算機、手機都不準觸摸———因為他只需敲擊5個鍵就可入侵一家網站。
    如果你問黑客為何要入侵計算機系統,他們中的絕大多數會回答:好玩。絕大多數的黑客只是一些電腦技術的狂熱愛好者,他們入侵各種網站,只是以此為樂。一名黑客告訴記者:第一次成功入侵后,很興奮,看到了別人公司的客戶資料、財務報表,真是有點心驚膽戰,但5分鐘后我就發現,這些資料對我而言,也沒有任何用處。因為如果要利用黑客技術犯罪,就必須冒坐牢的風險,一般人是不會那么做的。

  黑客們有自己的道德準則(theHackerEthic)。史蒂夫·利維在其著名的《黑客電腦史》一書中對于黑客道德準則作出了詳細的解釋,包括:所有的信息都應當是免費的;打破電腦集權;計算機使生活更美好等。這些東西被黑客們看作是江湖規矩,反正你只要想成為一個黑客,這些就一定要遵守。

  黑客大會的組織者圖姆波爾說:那些任意涂改網頁或者摧毀像eBay和亞馬遜網站系統的人不應被稱做黑客,我把他們叫做破壞分子。中國的黑客組織黑客聯盟也宣稱:作為黑客,其職責就是尋找漏洞、維護網絡安全。

  前不久,一所美國大學宣布將于今年秋季開設教授如何編寫病毒軟件的課程,消息一公布,就招致極大爭議。大學方面的理由是,要成為反病毒專家,就應該知道如何制造病毒。但反對者認為,你不需要寫病毒才能理解它,世界上已經有6萬種電腦病毒需要消滅,這種做法不能被社會道德所接受。

  在絕大多數黑客看來,研究黑客技術的目的只能是一個,那就是以提高電腦技術水平為目的,以不搞破壞為底線。

人是電腦的最大漏洞

  對黑客持寬容態度的人認為,一個網站被黑,恰恰說明它有安全漏洞。事實上,很早就有人知道這些易受攻擊的弱點了,但是普通人根本就沒有電腦安全方面的意識。

  已經金盆洗手的凱文·米特尼克日前在接受采訪時說,網絡安全最薄弱的環節并不是系統漏洞,而是人的漏洞。他就曾假扮摩托羅拉公司員工,并成功說服該公司的工程師將最新的電話系統軟件發送給他。他說,雖然黑客以前發動攻擊只是為了好玩,但現在很多攻擊的目的卻遠不止此,它們的目標更多地鎖定在了機密的商業和個人信息,以獲得非法利益。

  面對這些潛在的巨大威脅,政府和許多企業都投入了大量的財力和物力用于安全防范,預計今年一年投入的資金將高達135億美元,比2000年翻了一番。但安全專家認為,僅僅購置安全軟件是遠遠不夠的,政府和企業必須充分注意到人的因素,因為最薄弱的環節很可能是大意的人,而不是軟件的漏洞。米特尼克攻陷了許多極為繁復的網絡,靠的不光是高超的技術,更多的是利用人的弱點。他的名言是:愚蠢是沒有補藥的!

  米特尼克認為,計算機和解調器都不是問題的關鍵,人才是最重要的,只有把人的安全防范意識提升到一個相當高的地步,黑客攻擊的破壞性才能夠從根本上降低。這個曾經被稱為地獄黑客的電腦高手現在創建了一家安全咨詢公司,專為客戶提供安全防護服務。 

黑客們的日常的攻擊手段 

現在的許多上網的用戶對網絡安全可能抱著無所謂的態度,認為最多不過是被“黑客”盜用賬號,他們往往會認為“安全”只是針對那些大中型企事業單位的,而且黑客與自己無怨無仇, 干嘛要攻擊自己呢?其實,在一無法紀二無制度的虛擬網絡世界中,現實生活中所有的陰險和卑鄙都表現得一覽無余,在這樣的信息時代里,幾乎每個人都面臨著安全威脅,都有必要對網絡安全有所了解,并能夠處理一些安全方面的問題,那些平時不注意安全的人,往往在受到安全方面的攻擊,付出了慘重的代價時才會后悔不已。 

  為了把損失降低到最低限度,我們一定要有安全觀念,并掌握一定的安全防范措施,禁絕讓黑客無任何機會可趁。下面就來研究一下那些黑客是如何找到你計算機中的安全漏洞的,只有了解了他們的攻擊手段,我們才能采取準確的對策對付這些黑客。

  1、獲取口令

  這又有三種方法:一是通過網絡監聽非法得到用戶口令,這類方法有一定的局限性,但危害性極大,監聽者往往能夠獲得其所在網段的所有用戶賬號和口令,對局域網安全威脅巨大;二是在知道用戶的賬號后(如電子郵件@前面的部分)利用一些專門軟件強行破解用戶口令,這種方法不受網段限制,但黑客要有足夠的耐心和時間;三是在獲得一個服務器上的用戶口令文件(此文件成為Shadow文件)后,用暴力破解程序破解用戶口令,該方法的使用前提是黑客獲得口令的Shadow文件。此方法在所有方法中危害最大,因為它不需要像第二種方法那樣一遍又一遍地嘗試登錄服務器,而是在本地將加密后的口令與Shadow文件中的口令相比較就能非常容易地破獲用戶密碼,尤其有些用戶(指口令安全系數極低的用戶,如某用戶賬號為zys,其口令就是zys666、666666、或干脆就是zys等)更是在短短的一兩分鐘內,甚至幾十秒內就可以將其干掉。

  2、放置特洛伊木馬程序

  特洛伊木馬程序可以直接侵入用戶的電腦并進行破壞,它常被偽裝成工具程序或者游戲等誘使用戶打開帶有特洛伊木馬程序的郵件附件或從網上直接下載,一旦用戶打開了這些郵件的附件或者執行了這些程序之后,它們就會象古特洛伊人在敵人城外留下的藏滿士兵的木馬一樣留在自己的電腦中,并在自己的計算機系統中隱藏一個可以在Windows啟動時悄悄執行的程序。當您連接到因特網上時,這個程序就會通知黑客,來報告您的IP地址以及預先設定的端口。黑客在收到這些信息后,再利用這個潛伏在其中的程序,就可以任意地修改您的計算機的參數設定、復制文件、窺視你整個硬盤中的內容等,從而達到控制你的計算機的目的。 

3、WWW的欺騙技術

  在網上用戶可以利用IE等瀏覽器進行各種各樣的WEB站點的訪問,如閱讀新聞組、咨詢產品價格、訂閱報紙、電子商務等。然而一般的用戶恐怕不會想到有這些問題存在:正在訪問的網頁已經被黑客篡改過,網頁上的信息是虛假的!例如黑客將用戶要瀏覽的網頁的URL改寫為指向黑客自己的服務器,當用戶瀏覽目標網頁的時候,實際上是向黑客服務器發出請求,那么黑客就可以達到欺騙的目的了。

  4、電子郵件攻擊 

  電子郵件攻擊主要表現為兩種方式:一是電子郵件轟炸和電子郵件“滾雪球”,也就是通常所說的郵件炸彈,指的是用偽造的IP地址和電子郵件地址向同一信箱發送數以千計、萬計甚至無窮多次的內容相同的垃圾郵件,致使受害人郵箱被“炸”,嚴重者可能會給電子郵件服務器操作系統帶來危險,甚至癱瘓;二是電子郵件欺騙,攻擊者佯稱自己為系統管理員(郵件地址和系統管理員完全相同),給用戶發送郵件要求用戶修改口令(口令可能為指定字符串)或在貌似正常的附件中加載病毒或其他木馬程序(據筆者所知,某些單位的網絡管理員有定期給用戶免費發送防火墻升級程序的義務,這為黑客成功地利用該方法提供了可乘之機),這類欺騙只要用戶提高警惕,一般危害性不是太大。

  5、通過一個節點來攻擊其他節點

  黑客在突破一臺主機后,往往以此主機作為根據地,攻擊其他主機(以隱蔽其入侵路徑,避免留下蛛絲馬跡)。他們可以使用網絡監聽方法,嘗試攻破同一網絡內的其他主機;也可以通過IP欺騙和主機信任關系,攻擊其他主機。這類攻擊很狡猾,但由于某些技術很難掌握,如IP欺騙,因此較少被黑客使用。

  6、網絡監聽

  網絡監聽是主機的一種工作模式,在這種模式下,主機可以接受到本網段在同一條物理通道上傳輸的所有信息,而不管這些信息的發送方和接受方是誰。此時,如果兩臺主機進行通信的信息沒有加密,只要使用某些網絡監聽工具,例如NetXray for windows 95/98/nt,sniffit for linux 、solaries等就可以輕而易舉地截取包括口令和帳號在內的信息資料。雖然網絡監聽獲得的用戶帳號和口令具有一定的局限性,但監聽者往往能夠獲得其所在網段的所有用戶帳號及口令。

  7、尋找系統漏洞

  許多系統都有這樣那樣的安全漏洞(Bugs),其中某些是操作系統或應用軟件本身具有的,如Sendmail漏洞,win98中的共享目錄密碼驗證漏洞和IE5漏洞等,這些漏洞在補丁未被開發出來之前一般很難防御黑客的破壞,除非你將網線拔掉;還有一些漏洞是由于系統管理員配置錯誤引起的,如在網絡文件系統中,將目錄和文件以可寫的方式調出,將未加Shadow的用戶密碼文件以明碼方式存放在某一目錄下,這都會給黑客帶來可乘之機,應及時加以修正。

  8、利用帳號進行攻擊

  有的黑客會利用操作系統提供的缺省賬戶和密碼進行攻擊,例如許多UNIX主機都有FTP和Guest等缺省賬戶(其密碼和賬戶名同名),有的甚至沒有口令。黑客用Unix操作系統提供的命令如Finger和Ruser等收集信息,不斷提高自己的攻擊能力。這類攻擊只要系統管理員提高警惕,將系統提供的缺省賬戶關掉或提醒無口令用戶增加口令一般都能克服。

  9、偷取特權

  利用各種特洛伊木馬程序、后門程序和黑客自己編寫的導致緩沖區溢出的程序進行攻擊,前者可使黑客非法獲得對用戶機器的完全控制權,后者可使黑客獲得超級用戶的權限,從而擁有對整個網絡的絕對控制權。這種攻擊手段,一旦奏效,危害性極大。 

    所謂知己知彼,百戰不殆,只要深入了解了他們的這些伎倆,并做出相應的防范措施,那么網絡安全就不會只是一句空話了。 

木馬概念的簡述 

經過了系統的學習和討論,相信大家對黑客文化、黑客慣用的入侵手段等方面的認識有了一個新的提高,經觀察,現在攻擊個人電腦的木馬軟件很多,功能比以前多了,使用也比以前方便多了,所以危害也比以前大了,然而很多人在中了木馬自己還不知道,我就寫了一點心得,給大家作個參考。 

    要想使自己的電腦安全,就好扎好自己的籬笆,看好自己的門,電腦也有自己的門,我們叫它端口。你在網絡上沖浪,別人和你聊天,你發電子郵件,必須要有共同的協議,這個協議就是TCP/IP協議,任何網絡軟件的通訊都基于TCP/IP協議。如果把互聯網比作公路網,電腦就是路邊的房屋,房屋要有門你才可以進出TCP/IP協議規定,電腦可以有256乘以256扇門,即從0到65535號“門”,TCP/IP協議把它叫作“端口”。 

    當你發電子郵件的時候,E-mail軟件把信件送到了郵件服務器的25號端口,當你收信的時候,E-mail軟件是從郵件服務器的110號端口這扇門進去取信的,你現在看到的我寫的東西,是進入服務器的80端口。新安裝好的個人電腦打開的端口號是139端口,你上網的時候,就是通過這個端口與外界聯系的。黑客不是神仙,他也是通過端口進入你的電腦的。 

   黑客是怎么樣進入你的電腦的呢?當然也是基于TCP/IP協議通過某個端口進入你的個人電腦的。 如果你的電腦設置了共享目錄,那么黑客就可以通過139端口進入你的電腦,注意!WINDOWS有個缺陷,就算你的共享目錄設置了多少長的密碼,幾秒鐘時間就可以進入你的電腦,所以,你最好不要設置共享目錄,不允許別人瀏覽你的電腦上的資料。 

    除了139端口以外,如果沒有別的端口是開放的,黑客就不能入侵你的個人電腦。那么黑客是怎么樣才會進到你的電腦中來的呢?答案是通過特洛伊木馬進入你的電腦。 如果你不小心運行了特洛伊木馬,你的電腦的某個端口就會開放,黑客就通過這個端口進入你的電腦。 舉個例子,有一種典型的木馬軟件,叫做netspy.exe。如果你不小心運行了netspy.exe,那么它就會告訴WINDOWS,以后每次開電腦的時候都要運行它,然后,netspy.exe又在你的電腦上開了一扇“門”,“門”的編號是7306端口,如果黑客知道你的7306端口是開放的話,就可以用軟件偷偷進入到你的電腦中來了。 

    特洛伊木馬本身就是為了入侵個人電腦而做的,藏在電腦中和工作的時候是很隱蔽的,它的運行和黑客的入侵,不會在電腦的屏幕上顯示出任何痕跡。WINDOWS本身沒有監視網絡的軟件,所以不借助軟件,是不知道特洛伊木馬的存在和黑客的入侵。 

    接下來,俺就讓你利用軟件如何發現自己電腦中的木馬。我們再以netspy.exe為例,現在知道netspy.exe打開了電腦的7306端口,要想知道自己的電腦是不是中netspy.exe,只要敲敲7306這扇“門”就可以了。 你先打開C:WINDOWSWINIPCFG.EXE程序,找到自己的IP地址(比如你的IP地址是10.10.10.10),然后打開瀏覽器,在瀏覽器的地址欄中輸入 http://10.10.10.10:7306/,如果瀏覽器告訴你連接不上,說明你的電腦的7306端口沒有開放,如果瀏覽器能連接上,并且在瀏覽器中跳出一排英文字,說的netspy.exe的版本,那么你的電腦中了netspy.exe木馬了。 

這是最簡單最直接的辦法,但是需要你知道各種木馬所開放的端口,現在已知下列端口是木馬開放的:7306、7307、7308、12345、12345、12346、31337、6680、8111、9910。 但是就算你熟悉了所有已知木馬端口,也還是不能完全防范這些木馬的,我們需要進一步查找木馬。 有人曾經做了一個試驗:知道netspy.exe開放的是7306端口,于是用工具把它的端口修改了,經過修改的木馬開放的是7777端口了,你現在再用老辦法是找不到netspy.exe木馬了。于是我們可以用掃描自己的電腦的辦法看看電腦有多少端口開放著,并且再分析這些開放的端口。 

前面講了電腦的端口是從0到65535為止,其中139端口是正常的,首先找個端口掃描器,推薦“代理獵手”,你上網以后,找到自己的IP地址,現在請關閉正在運行的網絡軟件,因為可能開放的端口會被誤認為是木馬的端口,然后讓代理獵手對0到65535端口掃描,如果除了139端口以外還有其他的端口開放,那么很可能是木馬造成的。 排除了139端口以外的端口,你可以進一步分析了,用瀏覽器進入這個端口看看,它會做出什么樣的反映,你可以根據情況再判斷了。 

    掃描這么多端口是不是很累,需要半個多小時傻等了,現在好了,有人漢化了一個線程監視器,Tcpview.exe可以看電腦有什么端口是開放的,除了139端口以外,還有別的端口開放,你就可以分析了,如果判定自己的電腦中了木馬,那么,你就得在硬盤上刪除木馬最簡單的辦法當然是用殺毒軟件刪除木馬了,Netvrv病毒防護墻可以幫你刪除netspy.exe和bo.exe木馬,但是不能刪除netbus木馬。下面就netbus木馬為例講講刪除的經過。 

  簡單介紹一下netbus木馬,netbus木馬的客戶端有兩種,開放的都是12345端口,一種以Mring.exe為代表(472,576字節),一種以SysEdit.exe為代表(494,592字節)。 Mring.exe一旦被運行以后,Mring.exe就告訴WINDOWS,每次啟動就將它運行,WINDOWS將它放在了注冊表中,你可以打開C:WINDOWSREGEDIT.EXE進入HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun找到Mring.exe然后刪除這個健值,你再到WINDOWS中找到Mring.exe刪除。注意了,Mring.exe可能會被黑客改變名字,字節長度也被改變了,但是在注冊表中的位置不會改變,你可以到注冊表的這個位置去找。 

另外,你可以找包含有“netbus”字符的可執行文件,再看字節的長度,我查過了,WINDOWS和其他的一些應用軟件沒有包含“netbus”字符的,被你找到的文件多半就是Mring.exe的變種。 
SysEdit.exe被運行以后,并不加到WINDOWS的注冊表中,也不會自動掛到其他程序中,于是有人認為這是傻瓜木馬,我倒認為這是最最可惡、最最陰險的木馬。別的木馬被加到了注冊表中,你就有痕跡可查了,就連專家們認為最最兇惡的BO木馬也可以輕而易舉地被我們從注冊表中刪除。 
    而SysEdit.exe要是掛在其他的軟件中,只要你不碰這個軟件,SysEdit.exe也就不發作,一旦運行了被安裝SysEdit.exe的程序,SysEdit.exe也同時啟動了。我在自己的電腦中做了這樣一個實驗,將SysEdit.exe和C:WINDOWSSYSTEMAbcwin.exe捆綁起來,Abcwin.exe是智能ABC輸入法,當我開啟電腦到上網,只要沒有打開智能ABC輸入法打字聊天,SysEdit.exe也就沒有被運行,你就不能進入我的12345端口,如果我什么時候想打字了,一旦啟動智能ABC輸入法(Abcwin.exe),那么捆綁在Abcwin.exe上的SysEdit.exe也同時被運行了,我的12345端口被打開,別人就可以黑到我的電腦中來了。同樣道理,SysEdit.exe可以被捆綁到網絡傳呼機、信箱工具等網絡工具上,甚至可以捆綁到撥號工具上,電腦中的幾百的程序中,你知道會在什么地方發現它嗎?所以我說這是最最陰險的木馬,讓人防不勝防。 

   有的時候知道自己中了netbus木馬,特別是SysEdit.exe,能發現12345端口被開放,并且可以用netbus客戶端軟件進入自己的電腦,卻不知道木馬在什么地方。這時候,你可以檢視內存,請打開C:WINDOWSDRWATSON.EXE,然后對內存拍照,查看“高級視圖”中的“任務”標簽,“程序”欄中列出的就是正在運行的程序,要是發現可疑的程序,再看“路徑”欄,找到這個程序,分析它,你就知道是不是木馬了。SysEdit.exe雖然可以隱藏在其他的程序后面,但是在C:WINDOWSDRWATSON.EXE中還是暴露了。 

    好了,來回顧一下,要知道自己的電腦中有沒有木馬,只要看看有沒有可疑端口被開放,用代理獵手、Tcpview.exe都可以知道。要查找木馬,一是可以到注冊表的指定位置去找,二是可以查找包含相應的可執行程序,比如,被開放的端口是7306,就找包含“netspy”的可執行程序,三是檢視內存,看有沒有可以的程序在內存中。 

    你的電腦上的木馬,來源有兩種,一種是你自己不小心,運行了包含有木馬的程序,另一種情況是,“網友”送給你“好玩”的程序。所以,你以后要小心了,要弄清楚了是什么程序再運行,安裝容易排除難呀。 

    排除了木馬以后,你就可以監視端口,悄悄等待黑客的來臨介紹兩個軟件, 首先是NukeNabber,它是端口監視器,你告訴NukeNabber需要監視7306端口,如果有人接觸這個端口,就馬上報警。在別人看來,你的電腦的7306端口是開放的,但是7306不是由netspy控制了,當NukeNabber發現有人接觸7306端口或者試圖進入你的7306端口,馬上報警,你可以在NukeNabber上面看到黑客對你做了些什么,黑客的IP地址是哪里,然后,你就可以反過來攻擊黑客了。當NukeNabber監視139的時候,你就可以知道誰在用IP炸彈炸你。 另外提一下,如果NukeNabber告訴你不能監視7306端口,說這個端口已經被占用了,那么說明你的電腦中存在netspy了。 

     第二個軟件就是Tcpview.exe,這個軟件是線程監視器,你可以用它來查看有多少端口是開放的,誰在和你通訊,對方的IP地址和端口分別是什么。 

拒絕服務與分布式拒絕服務的攻擊與防守戰 

好多時候,你會覺得這上網特別困難,網絡速度忽好忽壞,想查個報價,看看BBS都不容易,總傳說那是網絡服務器遭到了黑客攻擊,究竟是怎么回事呢?原來,隨著互聯網持續升溫,電子商務理念也得到大多數人的認同的今天,一向在網絡上從事竊取數據與搗亂的網絡黑客也同樣地注意到這一現象。這種每年可能會造成企業電子商務系統損失慘重,而且意外地終止企業從Web站點所引入商機的網絡侵害行為,曾經一度肆虐橫行,十分猖獗,而且明目張膽的對世界上主要知名的網站進行破壞,導致其站點癱瘓。

  包括雅虎在內的知名網站,在二月初就陸續受到網絡黑客的刻意攻擊,導致其站點癱瘓而無法提供給用戶持續的服務。那次黑客所使用的攻擊方式:拒絕服務”(Denial of Service, DoS)也因此大出風頭,成為眾所皆知的網絡攻擊方式,而這種由網絡黑客所發起,通過對網站服務器產生大量服務需求,使網站服務器充斥大量要求答復的訊息,導致服務器系統不勝負荷以至于當機,最終無法提供服務給其他用戶的拒絕服務攻擊,也已經達到一個令電子商務網站值得高度警惕的程度。

什么是拒絕服務與攻擊?

  不像傳統黑客通過系統的漏洞而取得其使用權的入侵攻擊方式,拒絕服務的攻擊則比較屬于陰險狡詐型,網絡黑客通過選取一個系統以進行攻擊,并通過產生大量的服務需求以淹沒該系統,并造成被攻擊系統的癱瘓。

  拒絕服務的攻擊方式大都使用一些“ping”指令的形式,通過一部電腦送出小的封包到另一部系統以檢查其是否可以進行存取,當被檢查的電腦通知攻擊的電腦它是可以處于服務的狀態時,整個攻擊的行動就可以隨時展開。另一種拒絕服務攻擊方式稱為“Ping Flood”,它可以通過送出大量的ping指令給要攻擊的系統,并在ping指令上使用偽裝的IP地址,由于系統嘗試去回應這些使用假冒地址的服務需求,并且在最后終于放棄,但是卻因此耗用了大量系統資源,接著這大量的網絡假需求就會陷所選擇攻擊的目標于癱瘓。

什么是分布式拒絕服務與攻擊?

  若是想對一個相當大的系統進行攻擊以其使系統癱瘓時,就必須發動相當多的電腦對該系統發起同步的拒絕服務攻擊,這種分布式的拒絕服務攻擊會從互聯網上的多個地點制造網絡流量,讓整個攻擊的行動更為巨大而且更加難以追蹤。這種方式的攻擊行動大都是由一群網絡黑客通力合作或者是由單一個網絡黑客借用多個其他網站的電腦設備以進行攻擊。

  不久前攻擊這些國際大型知名的電子商務網站就是使用后者的技術,并且借用了許多不知情的機器做為攻擊站點,這些機器大都是個人或是公司企業所擁有,但是卻被網絡黑客所入侵,并植入攻擊程序或是一些可以從遠處控制的代理程序,因此變成這些網絡黑客的打手,以引發網絡攻擊大戰。

  網絡黑客可以使用如通訊端口掃描軟件(port scanning)等在互聯網很容易找到大量類似的技術來判斷哪些系統的入侵比較容易,一旦選定了要入侵的目標后,網絡黑客就會利用各種的方式以貨取這些系統的使用權,并在系統內植入這些惡意的軟件,以讓他們做為其發起攻擊的基地,可以隨時隨地對各個不同所要攻擊的網站發動分布式拒絕服務”(Distributed DoS)的攻擊。

  在有些的情況下,有些網絡黑客會采用階層式的控制方式來發動全面攻擊,網絡黑客會對其少數主要的機器發出指令,然后這些機器再依序對于其大量的下游機器發出指令以進行攻擊。一旦這些指令都成功的發出而且這些機器都同時響應,他們就會使用假的IP(faked IP)或是冒用IP(spoofed IP)對選定的系統進行DoS的攻擊。因此為數相當多的系統都被蒙在鼓里而參與了這個網絡的犯罪,并且可能在事后仍然不知情而繼續被網絡黑客利用,成為犯罪的工具。

  而令大家特別擔心的是,進行類似這種攻擊的軟件可以在互聯網上的各個網站下免費下載,列如TFN2K(部落淹沒網絡)Stacheldraht(倒鉤鐵絲)就是其中最常見的兩種。TFN2K是在LinuxSolarisWindows操作平臺上執行,并在攻擊時使用UDPSYNICMP回應與ICMP廣播等封包,而這些工具對企業網站最大的威脅則是其具備分布式攻擊架構的能力。

預防分布式拒絕服務的攻擊。

  最有效的方法是只允許跟整個Web站點有關的網絡流量進入,就可以預防類似的黑客攻擊,尤其是所有的ICMP封包,包括ping指令等,應當都要進行封包的攔截,因為ICMP的服務大都是被用來發動拒絕服務的攻擊。企業使用防火墻就可以阻絕所有的ICMP網絡封包,請參考(1)(2)所示。 


此主題相關圖片如下:

用防火墻或是入侵檢測程序可預防IP假冒以及對封包的攔截

此主題相關圖片如下:

CA GuardIT防火墻針對各式封包與攻擊模式進行系統入侵檢測與應采取的措施 

即使再嚴密的防護措施都還是可能會有漏洞,所以雖然使用圍堵的保護方式,但對于Web網站來說仍然有可能會受到大量其它合法的需求而產生類似情況。舉個例子來說,一般網站為了能夠正常的運作,都必須允許http通訊協議的使用,因此網絡黑客也可以對企業網站發出超大量的http需求以達到拒絕服務的攻擊效果。為了解決這問題,我們就必須安裝一個具備能夠自動檢測與進行回應的機制(detection and response mechanism),最主要目的就是能夠進行早期的黑客攻擊檢測,并可以快速回應,采取適當的行動以避免對企業系統產生重大危害,讓站點可以持續的提供服務給所有的使用者。

  例如,企業可以使用冠群金辰的針對電子商務(e-Business)所推出的安全解決方案─eTrust系列中的eTrust Intrusion Detection軟件,可以及早檢測到從一些特定網絡所傳來的大量網絡流量,并采取適當回應,如

此主題相關圖片如下:

eTrust Intrusion Detection可以在幾秒鐘內檢測到網絡黑客的攻擊,并且通過將其動態的規則(dynamic rules)送至各種不同常用的防火墻產品,以起到封包的過濾回應作用:

怎么樣才能讓自己的機器不會變為網絡黑客犯罪的工具

  你需要向你所使用的ISP驗證他們是否已經使用了最新的安全設備或具備防護功能的軟硬件設備等,并將其周邊路由器的封包過濾功能打開以進行檢驗;個人用戶若是使用專線而且經常24小時開機的話,也請考慮安裝個人防火墻等類似的軟件,以確保其系統不會被其他的人蓄意破壞與非經授權的使用,如(圖四),并且最好在每部電腦上執行最新的電腦病毒防護軟件與更新所使用的病毒代碼,以防止具備惡意的程序入侵而不經意的變成網絡殺手,因為最新的電腦病毒防護軟件與病毒代碼已經可以檢測到入侵電腦攜帶的Trojan Horse病毒,以避免淪為網絡黑客發動攻擊的先鋒。 



此主題相關圖片如下:

個人電腦用戶可是使用BlackICE這種小型的入侵檢測系統 

操作系統與應用程序的防護

  通過經常查詢網絡論壇、安全防護組織的常見問答集(FAQ)與相關安全制造廠商的建議等,使用者可以確保其所使用的LinuxWindowsUnix機器不會有讓外部的非法授權使用者擁有系統管理帳號使用權限的安全漏洞;而在電腦系統上使用的應用程序也可能會有一些BUG,而導致讓黑客有機可乘,如以前曾發生過的Buffer Overflow等問題,這些問題也都是使用者常會忽略的細節,因為一般企業在系統執行相當穩定之時,大都希望不要對系統進行任何的修改,而廠商也大都有著多一事不如少一事的心理,而不會主動的對客戶進行系統修補(patch),以至于每個安全防護組織所公布的安全漏洞在每個企業使用的系統都可以被成功的入侵。 

黑客攻擊時所使用的工具

  使用者的電腦中最好在任何的時間都不要執行任何知名的黑客入侵工具,例如:計算機應急處理協調中心(Computer Emergency Response Team/Coordination Center - CERT/CC)就已經將下面的工具列入其范疇: 

  ·部落淹沒網絡(Tribe Flood Network, TFN)
  ·Trin00
  ·Stacheldraht(德文鐵絲網的意思)

  除了針對這些黑客常用的工具進行掃描外,使用者也必須對其他的黑客程序,如Back Orifice等類似可以進行遠端遙控與數據收集的程序進行檢查,目前采用電腦病毒防治程序配合最新的病毒代碼數據都可以將其掃描出來。

怎么樣選擇解決方案

  這種拒絕服務與分布式拒絕服務的攻擊方式,除了造成網絡大量的流量外,也會消耗大量的系統資源,所以除了使用上述我們所提及的入侵檢測、防火墻進行通訊協議與進入監控與電腦病毒防護軟件以檢測這些惡意的應用程序外,其實通過適當的Web網站管理、網絡管理與系統管理軟件,也可以在黑客進行入侵時所涌入的異常網絡流量或異于平時的系統資源使用量時,通過所預先設定的監測門檻值(threshold),在整個系統剛出現異常時,即可通知系統管理人員,以及早進行檢查與排除。利用它們監視整個電子商務系統或是不同Web網站、服務器等的資源使用狀態,再與防火墻、入侵檢測與電腦病毒防護等整合在一起,就可以形成一道縝密的防護網,可以主動的防御各種惡意入侵或是人為因素所引起的異常情況。

此主題相關圖片如下:

eTrust Intrusion Detection提供入侵模式與病毒代碼 

  電子商務提供了一個比以往更為便利的網絡交易環境給所有的互聯網使用者,在使用大量的Web站點、提供了重要的公司信息、關鍵的商業應用程序與消費者私人的信息的同時,也產生更多的風險。為了能夠在這個競爭激烈又處處布滿危機的環境中獲得成功,企業組織必須在使用者存取其資源的同時也必須保護其相對應的資產,并確保其消費者私人信息的安全。企業經營管理人員應該選擇能夠解決上述問題,并針對各種的電子商務操作環境提供點到點的安全基礎架構的解決方案。另外,在選購這類產品時也應該考慮其整合性與支持性,除了能夠提供這類入侵檢測與防治的產品外,也應該能讓防火墻與電腦病毒防護軟件整合在一起,并可以定期提供病毒代碼與入侵攻擊模式數據庫的更新,以在面對互聯網科技日新月異之際,也能提供完整的企業與電子商務系統的信息安全防護。 

預防黑客的幾個簡單方法 

互聯網是一把兩刃利劍,一方面為日常生活帶來便利,另一方面又為黑客入侵電腦系統開放更多渠道。作為一般網絡使用者,一般應該這樣進行防范: 

1、下載最新的網絡安全軟件包并安裝在你的計算機上:如果你用的是Windows,你可以到Microsoft公司的站點上下載最新的Service Packs。 
 
    2、確保你使用的是最新版的瀏覽器:你可以從Microsoft得到最新版的IE,或者訪問Netscape公司的站點下載新版的Navigator,版本升級是免費的。 
 
    3、保證你的密碼不易被人猜中:盡量采用數字與字符相混的口令,多用特殊字符,諸如!、@、#、和$等。 
 
     4<span styl

發表評論

 




 

哈努曼与假面五骑士
老重庆时时开奖号码 11选5任选七胆拖 在线捕鱼赢现金手机版下载 怎么做到月入十万 pk10技巧分享 排列三万能二码 手机三公游戏下载 时时彩代理自己刷返点6 打百人牛牛怎么才能赢 排三组六6码遗漏 新平台电子送免费彩金不限id 蚂蚁彩票—官网 北京pk赛车的平台 新时时倍投计算器 重庆时时计划官网 北京pk10走势图分析技巧