网络入侵一般步骤及思路

上一篇 / 下一篇  2007-05-05 11:32:39

查看( 180 ) / 评论( 0 ) / 评分( 0 / 0 )

D!Rxc'p;X S9F(K0第一步:进入系统

H0oJ4P@0CG.Xu'T2x0

hFw c Q01. 扫描目标主机。★黑基空间★&u.W7v]gx:l1V
2. 检查开放的端口,获得服务软件及版本。★黑基空间★.v!^1n1X @5TWB
3. 检查服务软件是否存在漏洞,如果是,利用该漏洞远程进入系统;否则进入下一步。★黑基空间★F2hZ"w p!n)m
4. 检查服务软件的附属程序(*1)是否存在漏洞,如果是,利用该漏洞远程进入系统;否则进入下一步。★黑基空间★ ^7rT {&sMLF1t!Tw
5. 检查服务软件是否存在脆弱帐号或密码,如果是,利用该帐号或密码系统;否则进入下一步。
)k1S5h.F e HC06. 利用服务软件是否可以获取有效帐号或密码,如果是,利用该帐号或密码进入系统;否则进入下一步。
v \+vX&a$y"XuI Q07. 服务软件是否泄露系统敏感信息,如果是,检查能否利用;否则进入下一步。★黑基空间★\qrq#mLw|
8. 扫描相同子网主机,重复以上步骤,直到进入目标主机或放弃。★黑基空间★u[V0]@0s

y4lzGOLb*oM&t?0第二步:提升权限

o Yo |6GA0

*KU+ly@ i01. 检查目标主机上的SUID和GUID程序是否存在漏洞,如果是,利用该漏洞提升权限,否则进入下一步。★黑基空间★:^g J)U/fG3I(@)Oe
2. 检查本地服务是否存在漏洞,如果是,利用该漏洞提升权限,否则进入下一步。
rw zU)Vppb03. 检查本地服务是否存在脆弱帐号或密码,如果是,利用该帐号或密码提升权限;否则进入下一步。
8h n4z!Oji*@y8\04. 检查重要文件的权限是否设置错误,如果是,利用该漏洞提升权限,否则进入下一步。
,a R(xo(@:@d[-b05. 检查配置目录(*2)中是否存在敏感信息可以利用。
VZk8G a(mL3Ku i06. 检查用户目录中是否存在敏感信息可以利用。
s_!un8A3ub07. 检查临时文件目录(*3)是否存在漏洞可以利用。★黑基空间★"Q5lz,g*b4I2T
8. 检查其它目录(*4)是否存在可以利用的敏感信息。★黑基空间★1ht$j3{ Q5T qM
9. 重复以上步骤,直到获得root权限或放弃。

!D c gq MO0★黑基空间★5H \:`YAi

第三步:放置后门

X4FKW(L#E0

Q"]anzl S,?a j0最好自己写后门程序,用别人的程序总是相对容易被发现。★黑基空间★O z:{y2[7W Z

★黑基空间★7L#{r#Pq l

第四步:清理日志

$A5P?6Hx4| f0

9m3@5J~zwY0最好手工修改日志,不要全部删除,也不好使用别人写的工具。★黑基空间★w$[R6{z{7| \6Y$A

★黑基空间★g#K je~ H"Bc"{

附加说明:

JGs I]]tH t.VW0

%j/e@ q)A }TBl0*1 例如WWW服务的附属程序就包括CGI程序等
z8p:d(g(_;uY:j/|0*2 这里指存在配置文件的目录,如/etc等
O)gM1n}j([0*3 如/tmp等,这里的漏洞主要指条件竞争★黑基空间★7w7H8y"D] X
*4 如WWW目录,数据文件目录等★黑基空间★x H%P1_j$y^
/*****************************************************************************/
u,g j9z7z @-Gc0好了,大家都知道了入侵者入侵一般步骤及思路 那么我们开始做入侵检测了。★黑基空间★X x{\gG

x.g5JR(Kx4a0第一步、我们都知道一个入侵者想要入侵一台服务器首先要扫描这台服务器,搜集服务器的信息,以便进一步入侵该系统。系统信息被搜集的越多,此系统就越容易被入侵者入侵。 所以我们做入侵检测时,也有必要用扫描器扫描一下系统,搜集一下系统的一些信息,来看看有没有特别流行的漏洞(呵呵这个年头都时兴流行哦:)

9eJw kBS"{!y"m(vD0★黑基空间★#d,Mf |'J(Y ?)GH0e#i qL

第二步、扫描完服务器以后,查看扫描的信息---->分析扫描信息。如果有重大漏洞---->修补(亡羊补牢,时未晚),如果没有转下一步。★黑基空间★ssptI&sl8KH

★黑基空间★"t?q2U @H

第三步、没有漏洞,使用杀毒工具扫描系统文件,看看有没有留下什么后门程序,如:nc.exe、srv.exe......如果没有转下一步。

z MP.X \.U Z!GU y0★黑基空间★ u$m2a*j+g R_z

第四步、入侵者一般入侵一台机器后留下后门,充分利用这台机器来做一些他想做的事情,如:利用肉鸡扫描内网,进一步扩大战果,利用肉鸡作跳板入侵别的网段的机器,嫁祸于这台机器的管理员,跑流影破邮箱......★黑基空间★a,|cn(OW&j%Z

$n3Sh3} J:Og2S2yt0如何检测这台机器有没有装一些入侵者的工具或后门呢?

,C'r8mVG F0★黑基空间★kh0Q-Ej8Rx2]\

查看端口(偏好命令行程序,舒服)★黑基空间★.O#Q*M6u0j;U
1、fport.exe--->查看那些端口都是那些程序在使用。有没有非法的程序,和端口 winshell.exe 8110 晕倒~后门 net use 谁在用这个连接我?

7Zw6m*CkJ u:j1t0★黑基空间★q'D:bJ(vh

2、netstat -an ---->查看那些端口与外部的ip相连。 23 x.x.x.x 没有开23端口,怎么自己打开了??黑客!?★黑基空间★{6O$Sl MF'f

★黑基空间★@$kM5IO,n

3、letmain.exe\\ip-admin -d 列出本机的administrators组的用户名查看是否有异常。 怎么多了一个hacker用户??<==>net user id

yU5m4K2J(S5Qu0★黑基空间★5a{-TR3W.Q1X

4、pslist.exe---->列出进程<==>任务管理器★黑基空间★i ~3^5{L;? e

★黑基空间★1?V*Y.Gjfij h;h

5、pskill.exe---->杀掉某个进程,有时候在任务管理器中无法中止程序那就用这个工具来停止进程吧。

$Qv;Jx Z7\|'s#sqH0★黑基空间★.o P)m)f/D#V.R2C5R [`

6、login.exe ---->列出当前都有那些用户登录在你的机器上,不要你在检测的同时,入侵者就在破坏:(★黑基空间★Y&bi,sK7[6Ag(y

★黑基空间★']g_kmB4X

7、查看日志文件--->庞大的日志文件--->需要借助第三方软件来分析日志 记录了入侵者扫描的信息和合法用户的正确请求
V$^cOgaO0Find “scirpts/..” C:\WINNT\system32\LogFiles\W3SVC1\ex010705.log --解码漏洞??谁在扫描我?★黑基空间★ de&["a O&y,wr

Vt\e4ZZ G08、查看 Web 目录下文件改动与否 留没有留 asp php 后门......查看存放日志文件的目录
:J1D S*~J0R"AR]W0DOS dir /a★黑基空间★i`'l {)K m8F~{
GUI 查看显示所有文件和文件夹★黑基空间★vh&\^(Y2V0aW
技巧:查看文件的修改日期,我两个月没有更新站点了(好懒:),怎么 Web 目录下有最近修改文件的日期??奇怪吧?:)★黑基空间★k#Mzi5i[s,hRF*U
#######################################★黑基空间★ Lx2Z|%^J D
C:\WINNT\system32\LogFiles\W3SVC1>dir★黑基空间★&KpR oiz
dir
G @+U|3oJ!s;\0驱动器 C 中的卷是 system Server★黑基空间★8j4j|_U+zZ ku ]V
卷的序列号是 F4EE-CE39★黑基空间★3g6r"Z7^u Uk

7Koh`E+r0mhEX0C:\WINNT\system32\LogFiles\W3SVC1 的目录

ECv ha,T m aT0★黑基空间★2d?fh7w2o \s


&{4s%c3cQ6V7t@1H4|02001-07-05 02:43 1,339 ex010704.log★黑基空间★*p.uX}9K
2001-07-05 23:54 52,208 ex010705.log★黑基空间★N/D&Wfce_
2001-07-07 22:59 0 ex010707.log
~Ut,w!tPz7I#i~02001-07-08 22:45 0 ex010708.log
.b,h4g1qD02001-07-10 08:00 587 ex010709.log★黑基空间★1UbDAJ oGb

%u'g ]6vD_0恩?奇怪?怎么没有 2001-07-06 那天的日志文件??可疑......2001-07-07、2001-07-08 两天的日志文件大小为零,我得网站访问量怎么两天都是空??没有那么惨吧:(好奇怪?!★黑基空间★hW \X:w5U9I3E
#######################################★黑基空间★i6ZCe5iNmt8S%h
D:\win 2000>dir★黑基空间★'p;o`$S3En:a Zn-v)v
dir★黑基空间★(s:m2K(E5L+\
驱动器 D 中的卷是 新加卷★黑基空间★V~a.I%B/F@$d%ei
卷的序列号是 28F8-B814★黑基空间★!x%w'h0G2[,pB

★黑基空间★E`2|z.x`,g,{/R

D:\win 2000 的目录★黑基空间★G k(}MXl

F*J QqfF02001-06-03 17:43 <DIR> .
']g|K7c'p1VEu02001-06-03 17:43 <DIR> ..★黑基空间★O${$g*Hh1S.WE:?6^
2001-06-03 17:43 <DIR> CLIENTS
-O:D.v(\c;M@ v&w3M02001-06-03 17:43 <DIR> BOOTDISK
Gi._f){'c&d7C02001-06-03 17:43 <DIR> I386★黑基空间★H3`%_NA-U5R P ?
2001-06-03 17:46 <DIR> PRINTERS
(K q A'C Gjb02001-06-03 17:46 <DIR> SETUPTXT
!S;Mc:U#k02001-06-03 17:46 <DIR> SUPPORT
"? b6T@u)fHz+n02001-06-03 17:46 <DIR> VALUEADD
CpOoD8i:rb02000-01-10 20:00 45 AUTORUN.INF
`\&pf!F0rg+kk|02000-01-10 20:00 304,624 BOOTFONT.BIN★黑基空间★V}w+m0n;q
2000-01-10 20:00 5 CDROM_IS.5★黑基空间★_"{8}4qT+c*zK&o
2000-01-10 20:00 5 CDROM_NT.5
W-~/}0`K D02000-01-10 20:00 12,354 READ1ST.TXT
rHGA-go02000-01-10 20:00 465,408 README.DOC
,}$cz0kq/\9LyO8E&\02000-01-10 20:00 267,536 SETUP.EXE
.Fx|fNl02001-06-04 17:37 <DIR> SP1★黑基空间★ B`6?1m#t'_.Ds
2001-06-27 16:03 <DIR> sp2
}na7R n02001-07-06 00:05 <DIR> system --->从来没有修改或安装什么文件程序啊 什么时候多了system目录?这个是我安装 win 2000 的安装文件。 日期怎么不对 2001-07-06,日志文件也没有 2001-07-06 的这一天的记录,可疑.......
4}9~/iZ/S PorcU}07 个文件 1,049,977 字节
f#GYr1z3uB012 个目录 10,933,551,104 可用字节
4yC4A6G1wG,H2q#xd0#######################################★黑基空间★?7p*k5c K4w5y

★黑基空间★6O7{;?+P|1R2K7l;` p

总的来说入侵检测包括:★黑基空间★"? fm&H;Bf@N
一、基于80端口入侵的检测 CGI IIS 程序漏洞......★黑基空间★5XO-k B1zK |/e k
二、基于安全日志的检测 工作量庞大
iC I8H'E$^4d&R0三、文件访问日志与关键文件保护
?7~1B M![n0四、进程监控 后门什么的
L.OFB,[6NX:f_0五、注册表校验 木马
cJ|B$_1w7H#F},Q0六、端口监控 21 23 3389 ...★黑基空间★ H FM6L7jd
七、用户 我觉得这个很重要,因为入侵者进入系统以后,为了方便以后的“工作”通常会加一个用户或者激活guest帐号提升为管理员的★黑基空间★;dXc K*VN

★黑基空间★} |7i+h*iC!E^9Gb!_S

/************** 借助第三方软件协助分析 IDS Firewall .....***********************/★黑基空间★+PC3IB {V C

%YJh+OyJ M:SM0对 unix & linux 入侵检测说几句
"UStN.TgO0有必要先用扫描器扫描一下系统,搜集一下资料 CGI RPC TELNETD FTP ......本地远程溢出漏洞......★黑基空间★y1R9\W;o3~[
1、检查 suid sgid 程序★黑基空间★d&N&I h]*E7f
find / -user root -perm -4000 -print --常用★黑基空间★U ~3C x R6L3SO Bij M
find / -group kmem -perm -2000 -print★黑基空间★'Rg5PER2b3U

;o!XoD`)Q]&Uy02、查看系统的二进制文件是否被更改
V"H3}Fk0如:ls su telnet netstat ifconfig find du df sync login......
"u{c[/wX7z3a0建议做入侵检测时候,从一个干净的系统 copy 过来这些文件 来做检测
)wo XD'J)W T]nH(j0使用 MD5 Tripwire 校验工具检测

[G\$T!?n.a)Ma(`0

y1F*qU2TH8mT03、检查 /etc/passwd 文件★黑基空间★V6uP1G2N Qu
有没有新增的用户、没有口令的帐号、uid等于0的帐号......★黑基空间★P#P~sI8wp_1d(k

★黑基空间★ kN~S mLkB/wl

4、检查有没有网络监听程序在运行★黑基空间★e7W7LSW
netstat -an★黑基空间★3oKR i3Q3x

★黑基空间★ |f y6w:N A5][0V

5、检查系统非正常的隐藏文件★黑基空间★-v8B z%x l
".." ".. " "..^G"
$^0GQ;oxLX#Uhau0find / -name ".. " -print -xdev★黑基空间★3f2LH1{,[w4Cc
find / -name ".*" -print -xdev | cat -v★黑基空间★*Y.t&iXHGG]

★黑基空间★)UBD-?*q0_ C

6、在系统正常运作的情况下,系统管理员要经常使用下列命令(必要的话,系统管理员可以改变 path,或者修改二进制文件名称,放到一个只有自己知道的目录下)在保证二进制文件没有被篡改的情况下用绝对路径★黑基空间★?*c#j Sv0RC$c!IU
/bin/who★黑基空间★B5y)qc"A
/bin/w
b [x*@-\5a;nA0/bin/last★黑基空间★ whU4U6@5\n
/bin/lastcomm
P#r*~:x `8_c0/bin/netstat★黑基空间★P:q Y1q-A/z
/bin/snmpnetstat
Fqvv R0.★黑基空间★4q2`'} t9R
.
.rR+J$Af)[2y @)[X8A0.
/ydS#Lj/NG;T0shell 的历史文件 如:.history 、.rchist、.bash_history......★黑基空间★f(@B+~f
7、日志

"P Qu}zF*[9{5E]e%i8x0★黑基空间★ Tec;w8rxB

8、........

X9Q3M4gn0j8y0★黑基空间★/X4D x2{B

因为 unix&vlinux系列源代码是开放的,所以如果入侵者装上了内核后门#!@$%!#@%$#@^$&★黑基空间★M/z"wE C-XI

★黑基空间★Z#Pkg0U$[a S?

强烈建议备份您机器上重要文件,重装系统,打好补丁,迎接入侵者^_^

*oe#wf#hH1Y0★黑基空间★9\#z)M^bc,WR

/******************借助第三方软件协助分析 IDS Firewall .....***********************/

R%Fz)i-i^N;?S[0★黑基空间★N Fv[G;V4o q]

入侵检测介绍就到这里,在实际运用中,系统管理员对基础知识掌握的情况直接关系到他的安全敏感度,只有身经百战而又知识丰富、仔细小心的系统管理员才能从一点点的蛛丝马迹中发现入侵者的影子,未雨绸缪,扼杀入侵的行动。★黑基空间★ ?u&U]0r7wi


导入论坛 引用链接 收藏 分享给好友 推荐到圈子 管理 举报

TAG: 网络 入侵 思路

 

评分:0

我来说两句

显示全部

:loveliness: :handshake :victory: :funk: :time: :kiss: :call: :hug: :lol :'( :Q :L ;P :$ :P :o :@ :D :( :)

日历

« 2008-07-09  
  12345
6789101112
13141516171819
20212223242526
2728293031  

数据统计

  • 访问量: 15990549
  • 日志数: 64
  • 图片数: 11
  • 建立时间: 2006-08-24
  • 更新时间: 2007-07-18

RSS订阅

Open Toolbar