第二步,关闭所有应用程序,用杀毒软件进行全盘的杀毒 *** 作。最好重起计算机,后按F8,选择“安全模式”,在“安全模式”打开杀软,进行杀毒。黑客入侵电脑的方式主要有如下: 1、隐藏黑客的位置 : 典型的黑客会使用如下技术隐藏他们真实的IP地址:
利用被侵入的主机作为跳板;
在安装Windows 的计算机内利用Wingate 软件作为跳板;利用配置不当的Proxy作为跳板。 更老练的黑客会使用电话转接技术隐蔽自己。他们常用的手法有:利用800 号电话的私人转接服务联接ISP, 然后再盗用他人的账号上网;通过电话联接一台主机,再经由主机进入Internet。 使用这种在电话网络上的"三级跳"方式进入Internet 特别难于跟踪。理论上,黑客可能来自世界任何一个角落。如果黑客使用800号拨号上网,他更不用担心上网费用。 2、网络探测和资料收集: 黑客利用以下的手段得知位于内部网和外部网的主机名。 使用nslookup 程序的ls命令;
通过访问公司主页找到其他主机;
阅读FTP服务器上的文挡;
联接至mailserver 并发送 expn请求;
Finger 外部主机上的用户名。 在寻找漏洞之前,黑客会试图搜集足够的信息以勾勒出整个网络的布局。利用上述 *** 作得到的信息,黑客很容易列出所有的主机,并猜测它们之间的关系。 3、找出被信任的主机: 黑客总是寻找那些被信任的主机。这些主机可能是管理员使用的机器,或是一台被认为是很安全的服务器。 下一步,他会检查所有运行nfsd或mountd的主机的NFS输出。往往这些主机的一些关键目录(如/usr/bin、/etc和/home)可以被那台被信任的主机mount。
Finger daemon 也可以被用来寻找被信任的主机和用户,因为用户经常从某台特定的主机上登录。 黑客还会检查其他方式的信任关系。比如,他可以利用CGI 的漏洞,读取/etc/hostsallow 文件等等。 分析完上述的各种检查结果,就可以大致了解主机间的信任关系。下一步, 就是探测这些被信任的主机哪些存在漏洞,可以被远程侵入。 4、找出有漏洞的网络成员: 当黑客得到公司内外部主机的清单后,他就可以用一些Linux 扫描器程序寻找这些主机的漏洞。黑客一般寻找网络速度很快的Linux 主机运行这些扫描程序。 所有这些扫描程序都会进行下列检查:
TCP 端口扫描;
RPC 服务列表;
NFS 输出列表;
共享(如samba、netbiox)列表;
缺省账号检查;
Sendmail、IMAP、POP3、RPC status 和RPC mountd 有缺陷版本检测。 进行完这些扫描,黑客对哪些主机有机可乘已胸有成竹了。
如果路由器兼容SNMP协议,有经验的黑客还会采用攻击性的SNMP 扫描程序进行尝试, 或者使用"蛮力式"程序去猜测这些设备的公共和私有community strings。
5、利用漏洞: 现在,黑客找到了所有被信任的外部主机,也已经找到了外部主机所有可能存在的漏洞。下一步就该开始动手入侵主机了。 黑客会选择一台被信任的外部主机进行尝试。一旦成功侵入,黑客将从这里出发,设法进入公司内部的网络。但这种方法是否成功要看公司内部主机和外部主机间的过滤策略了。攻击外部主机时,黑客一般是运行某个程序,利用外部主机上运行的有漏洞的daemon窃取控制权。有漏洞的daemon包括Sendmail、IMAP、POP3各个漏洞的版本,以及RPC服务中诸如statd、mountd、pcnfsd等。有时,那些攻击程序必须在与被攻击主机相同的平台上进行编译。 6、获得控制权: 黑客利用daemon的漏洞进入系统后会做两件事:清除记录和留下后门。 他会安装一些后门程序,以便以后可以不被察觉地再次进入系统。大多数后门程序是预先编译好的,只需要想办法修改时间和权限就可以使用,甚至于新文件的大小都和原有文件一样。黑客一般会使用rcp 传递这些文件,以便不留下FTP记录。一旦确认自己是安全的,黑客就开始侵袭公司的整个内部网。 7窃取网络资源和特权: 黑客找到攻击目标后,会继续下一步的攻击,步骤如下:
(1)下载敏感信息 (2)攻击其他被信任的主机和网络 (3)安装sniffers (4)瘫痪网络无时无刻都有黑客扫端口抓鸡 之所以提示 是因为你电脑安装了金山毒霸 有这个被扫端口提示危险的功能 你关闭这项功能 就不提示了 把135 445 ……这些高危端口关闭掉 做好安全设置 就不会有问题 至于来自各地区的攻击 我想应该是黑客用了代理 或者之类的 想用这些隐藏一下自己真实的IP地址吧 不然你这边提示了 不是直接把他暴露了吗证明你的电脑有木马病毒,并且被远程控制。
最简单的方法是尽快备份有用资料,重装系统。装完系统先打全系统漏洞补丁,重启电脑,再安装、升级杀毒软件,再重启电脑,全盘查毒。没有问题后再下载、安装其它应用软件。
另外,对方的IP地址不一定是真实的,因为他有可能利用代理上网,或是远程 *** 纵别人的电脑来入侵你的电脑。
重装系统吧。电脑已经被黑客攻击了怎么办
尽管BO黑客软件的功能很强大,但从技术上来说,BO黑客的本领并不是想像中的那样可怕,它只是每次在 Windows启动时,悄悄地在你的电脑上启动一个服务端程序。 而其他人就可以通过你登录Internet时的IP地址, 用配套的客户端程序登录到你的电脑,从而实现远程 *** 纵你电脑的目的。从原理上讲,它是一套简单的远程登录及控制软件工具,很多人都知道著名的PC Anywhere其实就属这类软件工具。BO黑客软件的关键在于隐藏了一个会在Windows启动时悄悄执行的服务端程序,可以说这是大多数在Internet上出现的黑客软件的共同之处。而清除这类黑客软件的最简便、有效的方法,就是将自动执行的黑客程序从Windows的启动配置中删除掉。
下面介绍几种识别与清除BO的方法:
1、查看WINDLLDLL文件
BO服务器安装后,将在Windows的SYSTEM子目录下生成WINDLLDLL文件。
如果你的电脑C:\WINDOWS\SYSTEM 子目录下有WINDLLDLL文件,说明你的电脑已经被安装过黑客软件。你可以直接删除WINDLLDLL文件。
2、查看“EXE"文件
检查你的C:\WINDOWS\SYSTEM 子目录下是否有一个标着“EXE"(空格EXE)且没有任何图标的小程序,或者连EXE都没有(如果不显示文件扩展名),只是一个空行。注意,因为它是隐含属性,你的资源管理器应该设置为“显示所有文件”上,否则你看不到它。它的文件长度为124,928个字节,由于Cult Dead Cow还在不断更新,或许文件长度还在不断变化。
如果发现“EXE",说明系统已经被安装了BO服务器。由于这时“EXE"程序在后台运行,所以不能在 Windows系统中直接删除它。清除的方法是,重新启动电脑系统,让它在DOS方式下运行。然后,进入SYSTEM 子目录,将BO服务器程序
(在DOS下显示为EXE~1)的属性改为非隐含,这样就可以删除它。 *** 作如下:
C> CD\WINDOWS\SYSTEM
C> ATTRIB -H EXE~1
C> DEL EXE~1
注意,如果BO服务器已经被boconfigexe重新配置,那么安装后的BO服务器文件名很可能不再是“EXE", 并且它的文件长度也可能不再是124,928个字节。
3、查看系统注册表
BO服务器程序能够在Windows启动时自动执行,靠的是在Windows系统中加入自启动程序,BO自启动程序并不是附加在传统的AUTOEXECBAT、CONFIGSYS、WININI和SYSTEMINI
里,而是在Windows系统的注册表里。
--------------------------------------------------------------------
用Windows 95/98的REGEDITEXE程序,直接打开注册表,在纷繁枯燥的目录树中你要费上一些功夫,找到下面目录:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
或者 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
如果发现“EXE"程序(如图2所示),说明系统已经被安装了BO服务器。这时,可以使用注册表编辑功能删除"EXE"
程序。
4、使用MSCONFIG工具
如果你的电脑系统安装了Windows 98,那么可以使用其配置工具MSCONFIGEXE。与运行REGEDITEXE一样, 可以点击“开始”,选择“运行”并键入MSCONFIG,然后再选择“启动”,将会出现“启动”程序列表,如图3所示。
如果发现“EXE"程序,说明系统已经被安装了BO服务器。这时,你只需点击左面的小方框,取消“√”打勾号, 就
可以使其不会自动启动,从而使这个黑客程序失效。
用MSCONFIG来清除隐藏在注册表中的自启动黑客程序,对于防范大多数Internet上的黑客程序确实是一个比较简便、高效的方法。
5、使用杀毒软件
目前有一些新版的杀毒软件,如瑞星90(4)版、KILL98 416版、KV300+(X++)版、VRV 23b版等, 都能够正确清除BO黑客程序,包括Windows的SYSTEM子目录下BO的WINDLLDLL和“EXE"文件,以及Windows 95/98的注册表中的 BO注册
项。
6、使用黑客清除工具
现在已有专门的对付BO黑客的工具,如ANTIGEN就是一个很好的工具,你可以在我的网页上( >
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)