利用被侵入的主机作为跳板;
在安装Windows 的计算机内利用Wingate 软件作为跳板;利用配置不当的Proxy作为跳板。 更老练的黑客会使用电话转接技术隐蔽自己。他们常用的手法有:利用800 号电话的私人转接服务联接ISP, 然后再盗用他人的账号上网;通过电话联接一台主机,再经由主机进入Internet。 使用这种在电话网络上的"三级跳"方式进入Internet 特别难于跟踪。理论上,黑客可能来自世界任何一个角落。如果黑客使用800号拨号上网,他更不用担心上网费用。 2、网络探测和资料收集: 黑客利用以下的手段得知位于内部网和外部网的主机名。 使用nslookup 程序的ls命令;
通过访问公司主页找到其他主机;
阅读FTP服务器上的文挡;
联接至mailserver 并发送 expn请求;
Finger 外部主机上的用户名。 在寻找漏洞之前,黑客会试图搜集足够的信息以勾勒出整个网络的布局。利用上述 *** 作得到的信息,黑客很容易列出所有的主机,并猜测它们之间的关系。 3、找出被信任的主机: 黑客总是寻找那些被信任的主机。这些主机可能是管理员使用的机器,或是一台被认为是很安全的服务器。 下一步,他会检查所有运行nfsd或mountd的主机的NFS输出。往往这些主机的一些关键目录(如/usr/bin、/etc和/home)可以被那台被信任的主机mount。
Finger daemon 也可以被用来寻找被信任的主机和用户,因为用户经常从某台特定的主机上登录。 黑客还会检查其他方式的信任关系。比如,他可以利用CGI 的漏洞,读取/etc/hostsallow 文件等等。 分析完上述的各种检查结果,就可以大致了解主机间的信任关系。下一步, 就是探测这些被信任的主机哪些存在漏洞,可以被远程侵入。 4、找出有漏洞的网络成员: 当黑客得到公司内外部主机的清单后,他就可以用一些Linux 扫描器程序寻找这些主机的漏洞。黑客一般寻找网络速度很快的Linux 主机运行这些扫描程序。 所有这些扫描程序都会进行下列检查:
TCP 端口扫描;
RPC 服务列表;
NFS 输出列表;
共享(如samba、netbiox)列表;
缺省账号检查;
Sendmail、IMAP、POP3、RPC status 和RPC mountd 有缺陷版本检测。 进行完这些扫描,黑客对哪些主机有机可乘已胸有成竹了。
如果路由器兼容SNMP协议,有经验的黑客还会采用攻击性的SNMP 扫描程序进行尝试, 或者使用"蛮力式"程序去猜测这些设备的公共和私有community strings。
5、利用漏洞: 现在,黑客找到了所有被信任的外部主机,也已经找到了外部主机所有可能存在的漏洞。下一步就该开始动手入侵主机了。 黑客会选择一台被信任的外部主机进行尝试。一旦成功侵入,黑客将从这里出发,设法进入公司内部的网络。但这种方法是否成功要看公司内部主机和外部主机间的过滤策略了。攻击外部主机时,黑客一般是运行某个程序,利用外部主机上运行的有漏洞的daemon窃取控制权。有漏洞的daemon包括Sendmail、IMAP、POP3各个漏洞的版本,以及RPC服务中诸如statd、mountd、pcnfsd等。有时,那些攻击程序必须在与被攻击主机相同的平台上进行编译。 6、获得控制权: 黑客利用daemon的漏洞进入系统后会做两件事:清除记录和留下后门。 他会安装一些后门程序,以便以后可以不被察觉地再次进入系统。大多数后门程序是预先编译好的,只需要想办法修改时间和权限就可以使用,甚至于新文件的大小都和原有文件一样。黑客一般会使用rcp 传递这些文件,以便不留下FTP记录。一旦确认自己是安全的,黑客就开始侵袭公司的整个内部网。 7窃取网络资源和特权: 黑客找到攻击目标后,会继续下一步的攻击,步骤如下:
(1)下载敏感信息 (2)攻击其他被信任的主机和网络 (3)安装sniffers (4)瘫痪网络DNS劫持是什么
DNS劫持又称域名劫持,是指在劫持的网络范围内拦截域名解析的请求,分析请求的域名,把审查范围以外的请求放行,否则返回假的IP地址或者什么都不做使请求失去响应,其效果就是对特定的网络不能访问或访问的是假网址。
基本原理
DNS(域名系统)的作用是把网络地址(域名,以一个字符串的形式)对应到真实的计算机能够识别的网络地址(IP地址),以便计算机能够进一步通信,传递网址和内容等。由于域名劫持往往只能在特定的被劫持的网络范围内进行,所以在此范围外的域名服务器(DNS)能够返回正常的IP地址,高级用户可以在网络设置把DNS指向这些正常的域名服务器以实现对网址的正常访问。所以域名劫持通常相伴的措施——封锁正常DNS的IP。
如果知道该域名的真实IP地址,则可以直接用此IP代替域名后进行访问。比如访问百度域名,可以把访问改为202108225,从而绕开域名劫持。
举例
路由器DNS被劫持是指路由器DNS地址遭到篡改,无论你是登录百度、某宝,网页都会跳转到某些固定的网页上。
路由器被DNS劫持的危害:
危害一:会造成连接这个路由器上网的所有设备被监控,被记录;
危害二:网上购物/支付有可能会被恶意指向别的网站,造成个人账户泄露;
危害三:上网速度变慢,浏览网页时被植入广告,传播木马病毒等。
应对方法
DNS劫持(DNS钓鱼攻击)十分凶猛且不容易被用户感知,曾导致巴西最大银行巴西银行近1%客户受到攻击而导致账户被盗。黑客利用宽带路由器的缺陷对用户DNS进行篡改——用户只要浏览一下黑客所掌控的WEB页面,其宽带路由器的DNS就会被黑客篡改,因为该WEB页面设有特别的恶意代码,所以可以成功躲过安全软件检测,导致大量用户被DNS钓鱼诈骗。
由于一些未知原因,在极少数情况下自动修复不成功,建议您手动修改。同时,为了避免再次被攻击,即使修复成功,用户也可按照360或腾讯电脑管家提示的方法修改路由器的登录用户名和密码。下面以用户常用的TP-link路由器为例来说明修改方法(其他品牌路由器与该方法类似)。
手动修改DNS
1.在地址栏中输入:>
网站DNS劫持是网络十分常见和凶猛的一种攻击手段,且不轻易被人察觉。曾导致巴西最大银行巴西银行近1%客户受到攻击而导致账户被盗,黑客们利用缺陷对用户的DNS进行篡改,成功后可躲过安全软件检测,让用户被钓鱼网站诈骗。下面小编介绍一些关于此方面小知识,与大家分享。
手动修改DNS服务器地址
1打开开始菜单 找到控制面板
2在控制面板中找到网络 并打开
3在打开页面打开网络和共享中心
4在当前页面找到本地连接 双击打开
5打开本地连接后点击属性栏
6在属性页面找到协议版本4 并点击属性
7在协议版本4属性页面选择输入以下地址,首选DNS服务器:114114114114;备用 DNS 服务器:114114115115点击确认
方案二 使用腾讯电脑管家进行DNS选优
1打开腾讯电脑管家工具箱
2在工具箱中找到DNS选优功能
3打开DNS选优进行检测
4受到DNS攻击或威胁,选择一键修复或者还原最初DNS
国外服务器防黑客干扰要注意以下几个方面:
1选用安全的口令,口令应该包括大写字母,小写字母及数字,有控制符更好
2谨慎开放缺乏安全保障的应用和端口
3定期分析系统日志
4不断完善服务器系统的安全性能,及时更新系统补丁
5实施文件和目录的控制权限系统文件分配给管理员权限,网站内部文件可以分配匿名用户权限
6谨慎利用共享软件,共享软件和免费软件中往往藏有后门及陷阱,如果要使用,那么一定要彻底地检测它们,如果不这样做,可能会损失惨重。
7、不要在网络上开通类似外网VNC和远程桌面等功能,注意检查防火墙软件的工作状态。
8、做好数据的备份工作,这是非常关键的一个步骤,有了完整的数据备份,才能在遭到攻击或系统出现故障时能迅速恢复系统和数据。
解决方法:第一种方法:
1、查看桌面快捷方式属性,目标栏尾部是否被添加其他链接地址,如果有,删除被添加的地址。
2、清理并修改注册表相关信息。但是这一次明显耍流氓的手段高明了很多。查快捷方式,注册表,都未发现相关流氓链接。
第二种方法:首先,打开360安全卫士,在360安全卫士主界面找到功能大全,然后点击打开系统急救箱。然后,直接点击“开始急救”按钮,不要勾选强力模式和全盘扫描。
最后等待登录器劫持驱动服务处理成功,选择立即重启,重启之后直接打开登录器直接进入游戏即可。
1、域名劫持
目前提供搜索引擎服务的产品很多,常用的如百度、谷歌、搜狗、有道等,他们应用的技术差别较大,核心技术一般都作为公司的技术机密,我们是不得而知,但都存在一个数据快照,存储在搜索引擎服务器上,当用户输人关键字时,搜索引擎通过搜索功能在快照服务器上检索,并将结果按收录的时间或其他索引进行排序列出,为用户提供信息。
但在使用过程中,网站如果被植入木马程序,表现为通过搜索引擎搜索到某一网站,搜索结果中的网站名称、域名均与实际相符,打开这个网站时,前12秒时间,是打开网站域名时的解析,没有异常,但再过1秒钟左右,打开出现的网站却是其他网站或者非法网站,而域名解析的ip地址没有任何异常是完全正确的。
出现类似的问题,我们常称为“域名劫持”,出现这种情况原因是多种的,,随着互联网应用日益深人社会生活,网络环境也愈加复杂多变。这种现象警示着网站管理员必须高度重视网络安全,并不断提高应对新的安全威胁的能力。
2、注入代码
注入代码与植人木马文件,是黑客通常采用的手法,注入代码时,当被注入的文件被任何浏览者访问时,这段注入的代码就开始工作,利用系统的FSO功能,形成一个木马文件,黑客再用这个木马文件来控制服务器,并不只是控制Web所在的文件夹,当然,还有些黑客不需要控制服务器,只是在Web文件里注入一些黑链接,打开网站时不会出现任何多余的内容,只是打开速度比正常的要慢很多倍,因为要等这些黑链接都生效之后整个网站才完全打开,如果是黑链接只需要清除了就可以了,但是文件被植人了木马或字符,便很难查找得到。
3、主要特征
经过反复查找原因,发现了域名劫持的主要特征。经过对黑客植入字符分析,其使用了“windowlocationhref’js语句,还会造成网站管理无法正登录,管理人员在管理登录窗口输入用户名、密码后,一般通过认证时便会将用户的一些信息通过session传递给其他文件使用,但“window,locationhref’语句使认证环节都无法实现,用户的表单无法正常提交给验证文件,如果系统使用了验证码,“windowlocationhref’语句可以使验证码过期,输入的验证码也是无效的,造成网站无法正常登录。
这些特征主要有以下几个特点:
(1)隐蔽性强
生成的木马文件名称,和Web系统的文件名极为像似,如果从文件名来识别,根本无法判断,而且这些文件,通常会放到web文件夹下很多级子文件夹里,使管理员无从查找,文件植人的字符也非常隐蔽,只有几个字符,一般无法发现。
(2)技术性强
充分利用了MSWindows的特点,将文件存储在某文件夹下,并对这个文件作特殊字符处理,正常办法无法删除,无法复制,有的甚至无法看到,只是检测到此文件夹里有木马文件,但无法查看到,(系统完全显示隐藏文件),更无法删除、复制。
(3)破坏性强
一个站点如果被植人木马或字符,整个服务器相当于被黑客完全控制,可想其破坏性之大,但这些黑客的目的不在于破坏系统,而是利用Web服务器,劫持到他们所要显示的网站,因此一些网站如果被劫持,就会转到一些非法网站,造成不良后果。
4、应对方法
通过对产生的原因分析,其主要是对网站服务器Web网站文件及文件夹获取了读与写的权限,针对问题产生的主要原因、途径,利用服务器的安全设置和提高网站程序的安全性,是可以防范的,是可以杜绝域名劫持问题的。
(1)加强网站的防SQL注入功能
SQL注人是利用SQL语句的特点,向数据库写内容,从而获取到权限的方法。对于访问MSSQLServer数据库时,不要使用权限较大的sa默认用户,需要建立只访问本系统数据库的专一用户,并配置其为系统所需的最小权限。
(2)配置Web站点文件夹及文件 *** 作权限
Windows网络 *** 作系统中,使用超级管理员权限,对Web站点文件及文件夹配置权限,多数设置为读权限,谨慎使用写权限,如果无法获取超级管理员权限,这样木马程序便无法生根,网站域名被劫持的可能便可以降低很多。
(3)_看事件管理器,清理Web网点中存在的可疑文件
Windows网络 *** 作系统中有事件管理器,不管黑客是通过何种方式获取 *** 作权限的,事件管理器中均可以看出异常,通过异常的事件和日期,在Web站中查找该日期内文件的变化情况,对可以执行代码的文件需要特别查看其是否被注人代码或改动,对于新增的可执行代码文件进行清理。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)