本文目录一览:
请问哪个杀木马最好啊?
没有,只有比较好的。下面是我从《黑客技术大宝库》在找来的,希望对你有所帮助。
木马指南
这篇文章关于什么?
在这篇文章里,我将向你解释木马及其未来的一些令人感兴趣的事情.我希望你能认识到木马是危险的,
它仍是一个很大的安全问题.尽管许多人说不从网络上下载文件你将不会感染木马,这是不正确的.我在这儿
想解释的是木马有将来及其一些令人感兴趣的事.这篇文章只是为基于WINDOWS平台而非UNIX的木马准备.
2.木马是什么?
包含在合法程序里的未授权的程序.该未授权的程序执行用户未知(很可能不想)的功能.
一个合法的但是已经被改动的程序,在它里面包含有未授权的代码,这段代码执行用户未知(很可能不想的功能.
任何看起来执行想要和必须的功能(因为里面的未授权代码对用户是未知的)而实际执行一些用户未知
(很可能不想)的功能.
TROJANS也能叫做RAT's或远程管理工具(Remote Administration Tools),TROJAN的名字来自古老的神话故事:
希腊人在战争中如何给他们的敌人一个很大的木马做为礼物,他们接受了这个礼物,把木马带进了他们的王国,
在晚上,希腊士兵冲出了木马,向城市发动了进攻,完全征服了它.
3.木马的今天
特洛伊木马一直是一个大的安全问题,即使在如今也是.绝大多数人不知道木马为何物,他们不停从可疑
的人或不可信的地方下载文件.如今在网上有多于600种我所知的木马,我想实际会比这多的多,因为如今的每一
个黑客和程序员都有自己的为了他(她)特定需要没在任何地方公布的木马.每个黑客小组都有他们自己的木马
和程序.当有人开始学WINSOCK编程的时候,最先生成的通常是聊天客户端软件和木马.即使有反病毒扫描器(我
将在下面谈到),人们仍旧会被感染,被自己,被某些黑客,或被一些朋友.
4.木马的将来
我想有许多人们认为木马已经过时,没有前途,我不这样认为.木马将总是有前途,新东西会加到里面,在
木马中有如此多的东西可以被有技巧的程序员改善.
有新的选项和更好的加密方法的木马每天都在由程序员制造,以致防木马软件不能检测到它们.因此,没有
人知道在网上有多少木马.但是程序员仍在编制木马,他们在将来也会继续.从技术上来说,木马几乎可以在任何
地方任何操作系统或硬件平台上出现,然而在前面提到的室内工作除外.木马的广泛传播很象病毒,来自因特网
的软件下载,尤其是共享和免费软件,总是可疑的,类似地,来自地下组织服务器或用户新闻组的材料也在侯选
之列.有成千上万的软件没有检查来源,新程序特别是免费软件每天都在出现,他们可能都是木马.因此,留心你
正在下载什么,正从哪儿下载,总是从正式的页面下载软件.
5.防病毒扫描器
人们认为,当他们有了有最新的病毒定义的防病毒扫描器之后,他们在网上就是安全的,他们将不会感染
木马或没有人可以访问.
他们的计算机.这种观点是不正确的.防病毒扫描器的目的是检测病毒而不是木马.但是当木马流行的时候,
这些扫描器也开始加一些木马的定义,他们不能发现木马并分析他们,这就是他们为什么只能检测常用和广为
人知的木马比如BO和NETBUS或少数几个其他的.正如我说的,木马有大约600种,而这些扫描器只能检测他们中
极少的一部分.这些扫描器不是可以阻止试图连接你的电脑或试图攻击你(正如人们认为他们那样)的防火墙.
因此,我希望你明白这些扫描器的主要目的不是当你上线的时候检测木马并保护你.绝大多数的因特网用户只知
道BO和NETBUS是特洛伊木马,有一些特定的工具只能清除这些木马,人们就认为他们是安全的能受保
护不感染每一个木马.
6.我怎么会感染木马?
每个人都问这个问题,人们经常问他们自己怎么会感染上木马,也有一些人问的时候,他们确实运行了
某些由别人发送或从某个地方下载的文件,人们总是说他们不会运行任何东西或下载某些文件,但是他们做了.
人们总是在上线的时候不注意一些事情,这就是为什么他们会忘记他们感染木马是在什么时候.
你会在任何地方受感染,在这里我会试图解释这些事情:
---从ICQ
---从IRC
---从附件
---从物理访问
---从诡计
6.1 从ICQ
人们认为当他们正用ICQ交谈的时候不会感染,然而,他们忘记了某人给他们发送文件的时刻.每个人都知
道ICQ有多不安全,这就是为什么那么多人害怕使用它.正如你所知道的,ICQ有一个BUG让你可以发送EXE文件
给某人,但是文件看起来是BMP或JPG或不管你想让它看起来象什么的东西.这是非常危险的,正如你明白的,
你会陷入麻烦.攻击者将只是把文件的图标改成象一个BMP图象,告诉你它是他的相片,将它重命名为photo.bmp,
接着你会得到它,当然,在得到它之前你会看到bmp图象,此时你是安全的,因为它还没有被执行,接着你运行
它看照片,你认为没有什么可担心的,其实有.
那是为什么绝大多数人说他们不运行任何文件,因为他们知道他们运行了一个图片而不是可执行文件.一
个防止这个ICQ里的BUG的方法是在运行之前总是检查文件的类型,它可能有一个BMP的图标但是如果文件类
型写着可执行,我想你知道如果你运行它的话将是一个错误.
6.2 从IRC
你也可能从IRC上通过接收不可信来源文件而感染木马.我建议你应该总是paranoid,不接收来自任何人
甚至是你的最好的朋友的文件,因为有人可能偷取了他(她)的密码而来感染你.当有人问某人某些事如一个
秘密或别的只有他(她)知道的事时,他(她)认为他(她)可以100%的确信问的那个人是他(她)的朋友,
正如我告诉你paranoid,因为有人可以感染你的朋友并检查他(她)的IRC日志,看秘密是什么或了解其他的
事情.正如我所说,paranoid是更安全的,不要接受任何来自在IRC上的任何人的文件或其他地方如EMAIL,
ICQ,甚至你的在线朋友.
6.3 从附件
同样的事情也会伴随EMAIL附件发生.不要运行任何东西即使它说你将会看到热辣的色情作品或一些服
务器的密码或别的什么东西.用木马感染某人最好的方法是向服务器投递大量的EMAIL,因为在网上有很多新
手,他们当然会受感染.这是最好的感染办法--如我所说:为什么它是想感染大众的人的首选方法.
6.4 物理访问
当你的”朋友“可以物理访问你的计算机的时候,你当然会被感染.让我们假定你丢下某人在你
的电脑旁5分钟,那么你当然会被你的"朋友“中的某人感染.有一些非常精明的人,时刻想着物理访问某人
的电脑的新方法,下面是一些有趣的诡计:
1.你的”朋友“可能请你”嗨兄弟,能给我一点水吗?“或其他的可以让他单独呆着的事情,你会去取
点水,接着..你知道会发生什么.
2.攻击者可能有一个计划.比方你邀请他(她)12:00在你的家里,他会叫你的一个”朋友“在12:15给
你打电话和你谈一些事情,攻击者又有时间感染你了.也可以是:给你打电话的”朋友“说一些如”有人
在你身边吗?如果有的话,不如移到其他地方,我不想让任何人听到我们的谈话“,这样,攻击者又单独
呆着有时间感染你了.
6.5 诡计
这是一个对真想要些什么的人起作用的诡计,当然攻击者知道它是什么.比方说受害人想看色情作品
或***密码,那么,攻击者会在受害人屋子前留下一个含有木马的软磁盘,当然会将木马和XXX图片放在
一起.这是一个坏事情,因为有时候你真的想要某些东西,并且最后发现了它.
7.木马会有多危险?
许多不知道木马是什么的人认为当他们运行一个可执行文件的时候什么都没有发生,因为他们的电脑仍
旧还在工作,所有的数据都还在.如果上病毒的话,他们的数据将被毁坏,电脑将不再工作.
有人正在你的电脑上上传和下载文件;有人正读你所的IRC日志,了解你和你朋友的有趣的事情;有人
正读你的所有的ICQ消息;有人正删除你电脑上的文件....
这是一些显示木马有多危险的例子.人们只是在被感染的机器上用木马代替如CIH一样的病毒,然后毁坏机器.
8.不同种类的木马
--远程控制型木马:
这是现在最流行的木马.每个人都想有这样的木马,因为他们想访问受害人的硬盘.RAT'S (remote access
trojans)使用起来非常简单,只需要某人运行服务器,你得到受害人的IP,你对他或她的计算机有完全的访问
权.你能做一些事情,它依赖于你使用的木马.但是,RAT'S有通常的远程控制木马的功能如:KERLOGGER,上传
和下载,MAKE A SCREEN SHOT等等.有人将木马用于恶意的目的,他们只是想删除又删除....
这是LAME.但是我有一个关于使用木马最好方法的指南,你应该读它.有很多用于检测最常用木马的程序,
但是新木马每天都出现,这些程序不是最好的防御.木马总是做同样的事情.如果每次WINDOWS重新启动的时候,
木马重启,这意味着它放了什么东西在注册表或WIN.INI或其他的系统文件里,因此它能重启.木马也可能在
WINDOWS系统目录里生成一些文件,这些文件总是看起来象一些受害人认为是正常的WINDOWS可执行文件.绝大
多数木马隐瞒任务表Most trojans hide from the Alt+Ctrl+Del menu,有人只用ALT+CTRL+DEL来看哪些进
程正在运行,这是不好的.有程序会正确地告诉你进程和文件来自哪儿,但是有一些木马(正如我跟你所说)
使用伪造的名字,对有些人来说,要决定哪个进程应该杀死是有一点困难的.
远程控制木马打开一个端口让每一个人都可以连上你的电脑.有些木马有些选项象改变端口和设置密码以
使只有那个感染你的家伙可以使用你的电脑.改变端口选项是非常好的,因为我确信你不想让你的受害人看见
他的电脑上的端口31377是开着的.远程控制木马每天都在出现,而且将继续出现对那些使用这样的木马的人:
小心感染你自己,那么那些你想毁灭的受害人将会报复,你将会感到难过.
--发送密码型木马:
这些木马的目的是得到所有缓存的密码然后将他们送到特定的EMAIL地址,不不让受害者知道 e-mail.绝大
多数这种木马在WINDOWS每次加载的时候不重启,他们使用端口25发送邮件.也有一些木马发送其他的信息如
ICQ,计算机信息等等.如果你有任何密码缓存在你电脑的任何地方,这些木马对你是危险的.
--Keyloggers:
这些木马是非常简单的,他们做的唯一的事情就是记录受害人在键盘上的敲击,然后在日志文件中检查
密码.在大多数情况下,这些木马在WINDOWS每次加载的时候重启,他们有象在线和下线的选项,当用在线选
项的时候,他们知道受害人在线,会记录每一件事情.然而,当用下线选项的时候,WINDOWS开始后被写下的
每一件事情会被记录并保存在受害人的硬盘等待传送.
--破坏型木马:
这种木马的唯一功能是毁坏和删除文件,使得他们非常简单易用.他们能自动删除你计算机上所有的DLL,
EXE,INI文件.这是非常危险的木马,一旦你被感染,毫无疑问,如果你没有清除,你的计算机信息将不再存在.
--FTP型木马:
这种木马在你的电脑上打开端口21,让任何有FTP客户软件的人都可以不用密码连上你的电脑并自由上传和
下载.这些是最常用的木马,他们都是危险的,你应该小心使用他们.
9.谁会感染你?
基本上,你会被每个知道会如何使用木马(这非常简单)当然知道怎么感染你的人感染.使用木马的人是仅
仅停留在使用木马阶段的黑客,他们中的一些人不会走到下一个阶段,他们是只能使用木马(正如我所说这非
常简单)的LAMERS,但是,读了这篇文章后,你将知道别人用木马感染你的最常用方法,它将使那些想用木马
感染你的人感到困难.
10.攻击者要找什么?
你们中的一些人可能认为木马只用来搞破坏,他们也能用来刺探某人的机器,从里面取走很多私人信息.
攻击者取的信息将包括但不限于下列常用数据:
----信用卡信息
----信贷信息
----常用帐号信息
----任何帐号数据
----数据库
----邮件列表
----私人地址
----EMAIL地址
----帐号密码
----个人简历
----EMAIL信息
----计算机帐号或服务订阅信息
----你或你的配偶的姓名
----子女的姓名年龄
----你们的地址
----你们的电话号码
----你写给别人的信
----你家庭的照片
----学校作业
----任何学校的帐号信息
11.木马如何工作?
在这儿我会向你解释木马是如何工作的,如果你有些单词不了解,你可以查阅“文章中常用术语”部分.
当受害人运行木马服务器的时候,它确实在做些什么,如打开某个特定端口监听连接,它可以使用TCP或UDP
协议.当你连上受害人的IP地址时,你可以做你想做的事,因为你放了木马的计算机上的服务器让你这么做.
一些木马每次在WINDOWS被加载的时候重启,他们修改WIN.INI或SYSTEM.INI,因此他们可以重启,但是大多
数新木马使用注册表完成相应功能.木马象客户和服务器一样相互通信,受害人运行服务器,攻击者使用客户
向服务器发送命令,服务器只是按客户说的去做.
12.最常用木马端口
这儿有最常用的木马端口列表:
Satanz Backdoor|666
Silencer|1001
Shivka-Burka|1600
SpySender|1807
Shockrave|1981
WebEx|1001
Doly Trojan|1011
Psyber Stream Server|1170
Ultors Trojan|1234
VooDoo Doll|1245
FTP99CMP|1492
BackDoor|1999
Trojan Cow|2001
Ripper|2023
Bugs|2115
Deep Throat|2140
The Invasor|2140
Phineas Phucker|2801
Masters Paradise|30129
Portal of Doom|3700
WinCrash|4092
ICQTrojan|4590
Sockets de Troie|5000
Sockets de Troie 1.x|5001
Firehotcker|5321
Blade Runner|5400
Blade Runner 1.x|5401
Blade Runner 2.x|5402
Robo-Hack|5569
DeepThroat|6670
DeepThroat|6771
GateCrasher|6969
Priority|6969
Remote Grab|7000
NetMonitor|7300
NetMonitor 1.x|7301
NetMonitor 2.x|7306
NetMonitor 3.x|7307
NetMonitor 4.x|7308
ICKiller|7789
Portal of Doom|9872
Portal of Doom 1.x|9873
Portal of Doom 2.x|9874
Portal of Doom 3.x|9875
Portal of Doom 4.x|10067
Portal of Doom 5.x|10167
iNi-Killer|9989
Senna Spy|11000
Progenic trojan|11223
Hack?99 KeyLogger|12223
GabanBus|1245
NetBus|1245
Whack-a-mole|12361
Whack-a-mole 1.x|12362
Priority|16969
Millennium|20001
NetBus 2 Pro|20034
GirlFriend|21544
Prosiak|22222
Prosiak|33333
Evil FTP|23456
Ugly FTP|23456
Delta|26274
Back Orifice|31337
Back Orifice|31338
DeepBO|31338
NetSpy DK|31339
BOWhack|31666
BigGluck|34324
The Spy|40412
Masters Paradise|40421
Masters Paradise 1.x|40422
Masters Paradise 2.x|40423
Masters Paradise 3.x|40426
Sockets de Troie|50505
Fore|50766
Remote Windows Shutdown|53001
Telecommando|61466
Devil|65000
The tHing|6400
NetBus 1.x|12346
NetBus Pro 20034
SubSeven|1243
NetSphere|30100
Silencer |1001
Millenium |20000
Devil 1.03 |65000
NetMonitor| 7306
Streaming Audio Trojan| 1170
Socket23 |30303
Gatecrasher |6969
Telecommando | 61466
Gjamer |12076
IcqTrojen| 4950
Priotrity |16969
Vodoo | 1245
Wincrash | 5742
Wincrash2| 2583
Netspy |1033
ShockRave | 1981
Stealth Spy |555
Pass Ripper |2023
Attack FTP |666
GirlFriend | 21554
Fore, Schwindler| 50766
Tiny Telnet Server| 34324
Kuang |30999
Senna Spy Trojans| 11000
WhackJob | 23456
Phase0 | 555
BladeRunner | 5400
IcqTrojan | 4950
InIkiller | 9989
PortalOfDoom | 9872
ProgenicTrojan | 11223
Prosiak 0.47 | 22222
RemoteWindowsShutdown | 53001
RoboHack |5569
Silencer | 1001
Striker | 2565
TheSpy | 40412
TrojanCow | 2001
UglyFtp | 23456
WebEx |1001
Backdoor | 1999
Phineas | 2801
Psyber Streaming Server | 1509
Indoctrination | 6939
Hackers Paradise | 456
Doly Trojan | 1011
FTP99CMP | 1492
Shiva Burka | 1600
Remote Windows Shutdown | 53001
BigGluck, | 34324
NetSpy DK | 31339
Hack?99 KeyLogger | 12223
iNi-Killer | 9989
ICQKiller | 7789
Portal of Doom | 9875
Firehotcker | 5321
Master Paradise |40423
BO jammerkillahV | 121
13.不用扫描器如何监视自己的计算机?
大众认为当他们有木马和防病毒扫描器时他们就是安全的,最好的检测木马的方法是自己动手,你不能
确信木马扫描器是否正确地工作因此开始自己检测.在这篇文章里我已经包含了软件和课程评论的列表,它
们将有助于你自己检测你的机器是否有木马.你总需要检测你的系统看什么端口开着,如果你看到有一个常用
木马端口开着,你很可能已经感染了木马.
**注解**
你可以在DOS方式下使用NETSTAT或用其他的软件做这件事.
**注解**
总是注意你的电脑上有什么文件在运行,检查它里面的一些可疑的东西如它的名字.我想你会检测象
config.EXE,himem.exe,winlilo.exe或其他一些有趣的文件,Hex Edit them,如果你发现一些有趣的东西
如SchoolBus Server,立刻杀死他们.确信你在监视注册表并时刻检查它里面新的变动,确信你在监视
system.ini或win.ini,因为仍旧有很多木马从它们重启.正如我告诉你的下载一些广为人知的程序如ICQ或
MIRC总要从其官方主页下载.遵循这些简单的规则将有助于防止你的电脑感染上木马.
14.帮助你监视自己的电脑的软件
正如我告诉你的我已经包含了可以帮助你监视自己的计算机防止木马感染的软件的列表.
++++++++++++++++
----LogMonitor+
++++++++++++++++
文件和目录监视工具
Version: 1.3.4
Home page:
Author: Vadim Dumbravanu, koenigvad@yahoo.com
Log Monitor是一个文件和目录监视工具,它定期检查选定文件的修改时间,运行外部程序看是否文件已被
改变.对目录而言,它处理象文件改动,添加或删除.
平台:Windows 95/98/NT
自由供个人和商业使用,看LICENSE.TXT得到版权信息.文件包含下列主题:
--1.目的
--2.用法
--3.特性
--4.安装
--5.反安装
1.目的
程序的目的是让不同的管理员使用自动处理程序.有时候这些自动处理程序会停止工作甚至异常终止,处理
程序生成或更新错误的日志文件.Log Monitor会由他们的日志文件监视这样的处理程序,向管理员发出问题警告.
2.用法
绝大多数处理程序跟踪日志文件,定期更新他们.因此,如果这些处理程序异常终止,日志文件停止改变.如果
处理程序在选定的时段没有更新日志文件,Log Monitor会运行一个外部程序,可能是net send bla bla bla或内
存分页程序或进程重启.如果文件也被改变,Log Monitor会运行一个程序,因此你可以检查文件是否改变.Log
Monitor也可以监视目录并处理目录下的文件的变化,添加和删除.Log Monitor也被用做一个任务调度程序,如果
你想比如每个小时运行一次任务,NT Scheduler Service是不符合要求的.使用Log Monitor你可以添加根本不存在
的文件,接着选定3600秒的时间段和程序,只要文件不更新,选定的程序将每个小时运行一次.在程序被启动
之前你可以定义运行时间和日期.
3.特性
好几个文件或目录可以同时被监视,每个文件有自己的时间,由独立的线程处理.监视进程的列表存储在配
置文件里.可以最小化到System Tray,也可以恢复.
有暂停监视选定文件的能力,“暂停”状态也可以存储在配置文件里.
依调度工作,可以只在选定的每周每月的时间间隔内检查文件和目录.
其他很多很好的特性...
++++++++++++
----PrcView+
++++++++++++
PrcView是一个可以显示广泛的现运行进程信息的免费进程查看工具,这些信息包括这样的细节:生成时间,
版本,选定进程使用的DLL文件的全路径,所有线程的列表,内存块和堆.PrcView也允许你杀死或附带一个调试
器到选定的进程,PrcView既可在WINDOWS 95/98也可在WINDOWS NT平台运行,程序包括窗口和命令行两个版本.
PrcView可以以带有最初的版权条款的压缩包形式并遵循非商业原则自由免费分发.
该程序由商业组织向第三方的分发和基于该 程序的工作必须经作者允许.如果你在运行该程序的时候遇到问题请
访问以获得最新版本,如果仍有问题,请发送一个简短的描述给IgorNys@writeme.com
----XNetStat
XNetStat是一个和DOS提示符下的NETSTAT一样的程序,该程序显示你计算机上所有打开的端口和已经建立的
连接,如果你需要或有任何疑问请MAIL:fresh@arez.com
++++++++++++
----AtGuard+
++++++++++++
AtGuard是一个有很酷特性的防火墙软件.它也能显示你的计算机中的哪个文件打开了一个向外的连接,如果
你想检测电脑上的木马,这是非常有用的.我丢失了该程序的URL,但是,你可以试着在altavista.com或
packetstorm.securify.com搜索一下.
+++++++++++++++++++++++++
-----ConSeal PC FIREWALL+
+++++++++++++++++++++++++
这款软件使你的PC更安全,相比其他基于PC的防火墙,它有一些超过它们的主要优势.在Windows 95,
Windows 98 and Windows NT(3.51 4.0)上,它都可以使用.对WINDOWS机器,它可能是最好的防火墙,会
帮助你堵住你机器上的木马端口,也能抵御各种DOS攻击.
+++++++++++++++++
----LockDown2000+
+++++++++++++++++
这真是一个好的可以检测许多木马的工具包,它也作为防火墙可以保护你免受NUKE和ICQ攻击,还可以阻
止文件共享以使你不再有这方面的问题.它定期更新,加入很多新的木马定义.你想免受攻击和木马感染的话,
你必须拥有它.你可以在 处获得.
++++++++++
----TDS-2+
++++++++++
TDS(Trojan Defence Suite)也是一个有很多功能和插件的反木马工具包,它也几乎检测所有木马并定
期更新.如果你想免受攻击和木马感染,这也是必须有的一个工具.你可以在处获得.
使用所有课程中提到到反木马工具包,将会构建一个安全的反木马的WINDOWS机器.
15.在程序中设置后门
使用木马感染别人的人正变得更聪明了,他们开始将木马设在一些每个人都使用的真实程序里面,因此,
他们可以感染受害者.绝大多数人知道当他们运行一个木马程序的时候,没有什么事情发生或出错信息出现,
但是,当木马被设进其他的程序的时候,这些程序正常工作,没有任何出错信息,受害者会认为他(她)没
有被感染.这是不正确的.程序员会把两个或更多的可执行部分合成一个生成程序,因此,他们可以将木马设
在一些每个人都知道的程序里.这些开放源代码的广为人知的程序也是危险的.好的程序员可以修改源代码使
它象一个木马,比方说,你正在使用被修改过的邮件客户.人所共知,发送密码型木马会使用端口25发送一些
包含有信息的邮件.想象如果攻击者修改了你的邮件客户把你的邮箱密码发送给他(她)会怎样.当然,你会
看见(如果你正在监视的话)端口25正开着,但是,很可能你不会注意,因为你正在发送邮件(正常情况下
发邮件时端口25开着),正如我所说,人们正变得越来越聪明.
16.建议
我的一些建议将帮助你免受木马或病毒感染:
-1.从不接收文件,即使来自你的朋友.你永远也不能确定电脑的另一端是谁.
-2.当执行文件的时候,首先检查它的类型,因为有些人可能设诡计让你运行它.
-3.总是监视你计算机上的开放端口和运行的文件.
-4.只从官方主页下载软件
-5.当玩木马的时候,你可能感染自己,因为木马创造者有时将木马服务器放在客户里,因此当你运行客户的
时候,你也被感染了.这又一次向你显示木马是很危险的,一旦你犯了错误,你会丢失一些敏感数据.
-6.变得paranoid会更安全.人们总是嘲笑那些烧掉他们每张纸片的人,他们将所有的密码放在头脑里,并使
用加密,不用ICQ或IRC,因为他们知道这些协议是多么脆弱.
17.最后的话
文章到这里就没了,不久我将更新它.BTW,这是我的最大的也是写得最好的文章,我真的很喜欢它,我也希
望它将帮助那些想知道如何保护自己免受木马感染和想学更多有关知识的人们.这又是一篇安全相关的教程,正
如我以前所说我现在开始写这样的文章了.你可以查阅我的杂志:blackcode.com/bc-tech/magazine.php3
这篇指南出与教育目的,对读了这篇文章之后发生的任何事情,我不会承担任何责任.我只是告诉你如何做
而不是叫你做,那是你的决定.如果你想把这篇文章放在你的站点或FTP或新闻组或其他的任何地方,你可以这
样做,但是,没有作者的允许不要改变任何东西.看到这篇文章出现在其他的页面上,我将会感到很幸福.
********************************************************************************************
所以我认为,防木马是最重要的。不要指望哪一个杀木马软件可以让你安全。不过,更好一点的反木马软件可以说是ewido了,我用的很好。
黑客可以利用哪些开放的端口对个人电脑进行入侵
端口:0
服务:Reserved
说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为0.0.0.0,设置ACK位并在以太网层广播。
端口:1
服务:tcpmux
说明:这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户,如:IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐户。
端口:7
服务:Echo
说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。
端口:19
服务:Character Generator
说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时会发送含有垃圾字符的数据流直到连接关闭。HACKER利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。
端口:21
服务:FTP
说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。
端口:22
服务:Ssh
说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。
端口:23
服务:Telnet
说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet Server就开放这个端口。
端口:25
服务:SMTP
说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E-MAIL服务器上,将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。
端口:31
服务:MSG Authentication
说明:木马Master Paradise、Hackers Paradise开放此端口。
端口:42
服务:WINS Replication
说明:WINS复制
端口:53
服务:Domain Name Server(DNS)
说明:DNS服务器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗DNS(UDP)或隐藏其他的通信。因此防火墙常常过滤或记录此端口。
端口:67
服务:Bootstrap Protocol Server
说明:通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们,分配一个地址把自己作为局部路由器而发起大量中间人(man-in-middle)攻击。客户端向68端口广播请求配置,服务器向67端口广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。
端口:69
服务:Trival File Transfer
说明:许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常由于错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。
端口:79
服务:Finger Server
说明:入侵者用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己机器到其他机器Finger扫描。
端口:80
服务:HTTP
说明:用于网页浏览。木马Executor开放此端口。
端口:99
服务:metagram Relay
说明:后门程序ncx99开放此端口。
端口:102
服务:Message transfer agent(MTA)-X.400 over TCP/IP
说明:消息传输代理。
端口:109
服务:Post Office Protocol -Version3
说明:POP3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个,这意味着入侵者可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。
端口:110
服务:SUN公司的RPC服务所有端口
说明:常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等
端口:113
服务:Authentication Service
说明:这是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多计算机的信息。但是它可作为许多服务的记录器,尤其是FTP、POP、IMAP、SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,将会看到许多这个端口的连接请求。记住,如果阻断这个端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。
端口:119
服务:Network News Transfer Protocol
说明:NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET服务器。多数ISP限制,只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。
端口:135
服务:Location Service
说明:Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击直接针对这个端口。
端口:137、138、139
服务:NETBIOS Name Service
说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享和SAMBA。还有WINS Regisrtation也用它。
端口:143
服务:Interim Mail Access Protocol v2
说明:和POP3的安全问题一样,许多IMAP服务器存在有缓冲区溢出漏洞。记住:一种LINUX蠕虫(admv0rm)会通过这个端口繁殖,因此许多这个端口的扫描来自不知情的已经被感染的用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后,这些漏洞变的很流行。这一端口还被用于IMAP2,但并不流行。
端口:161
服务:SNMP
说明:SNMP允许远程管理设备。所有配置和运行信息的储存在数据库中,通过SNMP可获得这些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用户的网络。
端口:177
服务:X Display Manager Control Protocol
说明:许多入侵者通过它访问X-windows操作台,它同时需要打开6000端口。
端口:389
服务:LDAP、ILS
说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。
端口:443
服务:Https
说明:网页浏览端口,能提供加密和通过安全端口传输的另一种HTTP。
端口:456
服务:[NULL]
说明:木马HACKERS PARADISE开放此端口。
端口:513
服务:Login,remote login
说明:是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者进入他们的系统提供了信息。
端口:544
服务:[NULL]
说明:kerberos kshell
端口:548
服务:Macintosh,File Services(AFP/IP)
说明:Macintosh,文件服务。
端口:553
服务:CORBA IIOP (UDP)
说明:使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC系统。入侵者可以利用这些信息进入系统。
端口:555
服务:DSF
说明:木马PhAse1.0、Stealth Spy、IniKiller开放此端口。
端口:568
服务:Membership DPA
说明:成员资格 DPA。
端口:569
服务:Membership MSN
说明:成员资格 MSN。
端口:635
服务:mountd
说明:Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的,但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。记住mountd可运行于任何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就像NFS通常运行于2049端口。
端口:636
服务:LDAP
说明:SSL(Secure Sockets layer)
端口:666
服务:Doom Id Software
说明:木马Attack FTP、Satanz Backdoor开放此端口
端口:993
服务:IMAP
说明:SSL(Secure Sockets layer)
端口:1001、1011
服务:[NULL]
说明:木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。
端口:1024
服务:Reserved
说明:它是动态端口的开始,许多程序并不在乎用哪个端口连接网络,它们请求系统为它们分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说第一个向系统发出请求的会分配到1024端口。你可以重启机器,打开Telnet,再打开一个窗口运行natstat -a 将会看到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。
端口:1025、1033
服务:1025:network blackjack 1033:[NULL]
说明:木马netspy开放这2个端口。
端口:1080
服务:SOCKS
说明:这一协议以通道方式穿过防火墙,允许防火墙后面的人通过一个IP地址访问INTERNET。理论上它应该只允许内部的通信向外到达INTERNET。但是由于错误的配置,它会允许位于防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误,在加入IRC聊天室时常会看到这种情况。
端口:1170
服务:[NULL]
说明:木马Streaming Audio Trojan、Psyber Stream Server、Voice开放此端口。
端口:1234、1243、6711、6776
服务:[NULL]
说明:木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放1243、6711、6776端口。
端口:1245
服务:[NULL]
说明:木马Vodoo开放此端口。
端口:1433
服务:SQL
说明:Microsoft的SQL服务开放的端口。
端口:1492
服务:stone-design-1
说明:木马FTP99CMP开放此端口。
端口:1500
服务:RPC client fixed port session queries
说明:RPC客户固定端口会话查询
端口:1503
服务:NetMeeting T.120
说明:NetMeeting T.120
端口:1524
服务:ingress
说明:许多攻击脚本将安装一个后门SHELL于这个端口,尤其是针对SUN系统中Sendmail和RPC服务漏洞的脚本。如果刚安装了防火墙就看到在这个端口上的连接企图,很可能是上述原因。可以试试Telnet到用户的计算机上的这个端口,看看它是否会给你一个SHELL。连接到600/pcserver也存在这个问题。
端口:1600
服务:issd
说明:木马Shivka-Burka开放此端口。
端口:1720
服务:NetMeeting
说明:NetMeeting H.233 call Setup。
端口:1731
服务:NetMeeting Audio Call Control
说明:NetMeeting音频调用控制。
端口:1807
服务:[NULL]
说明:木马SpySender开放此端口。
端口:1981
服务:[NULL]
说明:木马ShockRave开放此端口。
端口:1999
服务:cisco identification port
说明:木马BackDoor开放此端口。
端口:2000
服务:[NULL]
说明:木马GirlFriend 1.3、Millenium 1.0开放此端口。
端口:2001
服务:[NULL]
说明:木马Millenium 1.0、Trojan Cow开放此端口。
端口:2023
服务:xinuexpansion 4
说明:木马Pass Ripper开放此端口。
端口:2049
服务:NFS
说明:NFS程序常运行于这个端口。通常需要访问Portmapper查询这个服务运行于哪个端口。
端口:2115
服务:[NULL]
说明:木马Bugs开放此端口。
端口:2140、3150
服务:[NULL]
说明:木马Deep Throat 1.0/3.0开放此端口。
端口:2500
服务:RPC client using a fixed port session replication
说明:应用固定端口会话复制的RPC客户
端口:2583
服务:[NULL]
说明:木马Wincrash 2.0开放此端口。
端口:2801
服务:[NULL]
说明:木马Phineas Phucker开放此端口。
端口:3024、4092
服务:[NULL]
说明:木马WinCrash开放此端口。
端口:3128
服务:squid
说明:这是squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。也会看到搜索其他代理服务器的端口8000、8001、8080、8888。扫描这个端口的另一个原因是用户正在进入聊天室。其他用户也会检验这个端口以确定用户的机器是否支持代理。
端口:3129
服务:[NULL]
说明:木马Master Paradise开放此端口。
端口:3150
服务:[NULL]
说明:木马The Invasor开放此端口。
端口:3210、4321
服务:[NULL]
说明:木马SchoolBus开放此端口
端口:3333
服务:dec-notes
说明:木马Prosiak开放此端口
端口:3389
服务:超级终端
说明:WINDOWS 2000终端开放此端口。
端口:3700
服务:[NULL]
说明:木马Portal of Doom开放此端口
端口:3996、4060
服务:[NULL]
说明:木马RemoteAnything开放此端口
端口:4000
服务:QQ客户端
说明:腾讯QQ客户端开放此端口。
端口:4092
服务:[NULL]
说明:木马WinCrash开放此端口。
端口:4590
服务:[NULL]
说明:木马ICQTrojan开放此端口。
端口:5000、5001、5321、50505
服务:[NULL]
说明:木马blazer5开放5000端口。木马Sockets de Troie开放5000、5001、5321、50505端口。
端口:5400、5401、5402
服务:[NULL]
说明:木马Blade Runner开放此端口。
端口:5550
服务:[NULL]
说明:木马xtcp开放此端口。
端口:5569
服务:[NULL]
说明:木马Robo-Hack开放此端口。
端口:5632
服务:pcAnywere
说明:有时会看到很多这个端口的扫描,这依赖于用户所在的位置。当用户打开pcAnywere时,它会自动扫描局域网C类网以寻找可能的代理(这里的代理是指agent而不是proxy)。入侵者也会寻找开放这种服务的计算机。,所以应该查看这种扫描的源地址。一些搜寻pcAnywere的扫描包常含端口22的UDP数据包。
端口:5742
服务:[NULL]
说明:木马WinCrash1.03开放此端口。
端口:6267
服务:[NULL]
说明:木马广外女生开放此端口。
端口:6400
服务:[NULL]
说明:木马The tHing开放此端口。
端口:6670、6671
服务:[NULL]
说明:木马Deep Throat开放6670端口。而Deep Throat 3.0开放6671端口。
端口:6883
服务:[NULL]
说明:木马DeltaSource开放此端口。
端口:6969
服务:[NULL]
说明:木马Gatecrasher、Priority开放此端口。
端口:6970
服务:RealAudio
说明:RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP-7070端口外向控制连接设置的。
端口:7000
服务:[NULL]
说明:木马Remote Grab开放此端口。
端口:7300、7301、7306、7307、7308
服务:[NULL]
说明:木马NetMonitor开放此端口。另外NetSpy1.0也开放7306端口。
端口:7323
服务:[NULL]
说明:Sygate服务器端。
端口:7626
服务:[NULL]
说明:木马Giscier开放此端口。
端口:7789
服务:[NULL]
说明:木马ICKiller开放此端口。
端口:8000
服务:OICQ
说明:腾讯QQ服务器端开放此端口。
端口:8010
服务:Wingate
说明:Wingate代理开放此端口。
端口:8080
服务:代理端口
说明:WWW代理开放此端口。
=========常见木马使用端口===================
31338=Back Orifice
8102=网络神偷
31338=DeepBO
2000=黑洞2000
31339=NetSpy DK
2001=黑洞2001
31666=BOWhack
6267=广外女生
34324= BigGluck
7306=网络精灵3.0,netspy3.0
40412 =The Spy
7626=冰河
40421= Masters Paradise
8011=wry,赖小子,火凤凰
40422= Masters Paradise 1.x
23444=网络公牛,netbull
40423= Masters Paradise 2.x
23445=网络公牛,netbull
40426= Masters Paradise 3.x
19191=蓝色火焰
50505 =Sockets de Troie
27374=Sub Seven 2.0+,77,东方魔眼
50766 =Fore
国外常见木马使用端口
53001 =Remote Windows Shutdown
121 =BO jammerkillahV
61466 =Telecommando
666 =Satanz Backdoor
65000 =Devil
1001= Silencer
6400= The tHing
1600 =Shivka-Burka
12346 =NetBus 1.x
1807= SpySender
20034 = NetBus Pro
1981= Shockrave
1243 =SubSeven
1001= WebEx
30100= NetSphere
1011= Doly Trojan
1001= Silencer
1170 =Psyber Stream Server
20000= Millenium
1234= Ultors Trojan
65000= Devil 1.03
1245 =VooDoo Doll
7306= NetMonitor
1492 =FTP99CMP
1170 =Streaming Audio Trojan
1999 =BackDoor
30303 =Socket23
2001= Trojan Cow
6969 =Gatecrasher
2023= Ripper
61466= Telecommando
2115= Bugs
12076 =Gjamer
2140 =Deep Throat
4950= IcqTrojen
2140= The Invasor
16969= Priotrity
2801= Phineas Phucker
1245 = Vodoo
30129 =Masters Paradise
5742 = Wincrash
3700= Portal of Doom
2583 = Wincrash2
4092 =WinCrash
1033 =Netspy
4590 =ICQTrojan
1981 = ShockRave
5000 =Sockets de Troie
555= Stealth Spy
5001 =Sockets de Troie 1.x
2023 =Pass Ripper
5321= Firehotcker
666 =Attack FTP
5400 =Blade Runner
21554 =GirlFriend
5401= Blade Runner 1.x
50766 =Fore= Schwindler
5402 =Blade Runner 2.x
34324= Tiny Telnet Server
5569 =Robo-Hack
30999= Kuang
6670 =DeepThroat
11000 =Senna Spy Trojans
6771= DeepThroat
23456= WhackJob
6969= GateCrasher
555= Phase0
6969 =Priority
5400 = Blade Runner
7000= Remote Grab
4950 = IcqTrojan
7300 =NetMonitor
9989 = InIkiller
7301= NetMonitor 1.x
9872 = Portal Of Doom
7306 =NetMonitor 2.x
11223 = Progenic Trojan
7307= NetMonitor 3.x
22222= Prosiak 0.47
7308 =NetMonitor 4.x
53001 = Remote Windows Shutdown
7789= ICKiller
5569= RoboHack
9872 =Portal of Doom
1001= Silencer
9873 =Portal of Doom 1.x
2565 = Striker
9874 =Portal of Doom 2.x
40412 = TheSpy
9875 =Portal of Doom 3.x
2001 = TrojanCow
10067 =Portal of Doom 4.x
23456 = UglyFtp
10167= Portal of Doom 5.x
1001 =WebEx
9989= iNi-Killer
1999 =Backdoor
11000 =Senna Spy
2801 =Phineas
11223= Progenic trojan
1509 =Psyber Streaming Server
12223= Hack?99 KeyLogger
6939 =Indoctrination
1245= GabanBus
456 =Hackers Paradise
1245= NetBus
1011= Doly Trojan
12361 =Whack-a-mole
1492= FTP99CMP
12362 =Whack-a-mole 1.x
1600= Shiva Burka
16969 =Priority
53001 = Remote Windows Shutdown
20001 =Millennium
34324= BigGluck=
20034= NetBus 2 Pro
31339 =NetSpy DK
21544=GirlFriend
12223 = Hack?99 KeyLogger
22222=Prosiak
9989 =iNi-Killer
33333=Prosiak
7789 =ICQKiller
23456=Evil FTP
9875=Portal of Doom
23456= Ugly FTP
5321 = Firehotcker
26274= Delta
40423= Master Paradise
31337 =Back Orifice
cra丶cker 是什么意思?
什么是黑客? 在日本出版的《新黑客字典》中,对黑客是这样定义的:“喜欢探索软件 程序并从中增长了其个人才干的人。他们不像绝大多数电脑使用者那样,只规 规矩矩地了解别人指定的狭小的一部分知识”。在Open Source(开放源代码) 旗手ERIC。S。RAYMOND的《The New Hacker‘s Dictionary》一文中,对“Hac ker”的解释包括了下面几类人: 一:那些喜欢发掘程序系统内部实现细节的人,在这种发掘过程中,他们延 伸并扩展着自己的能力,这和只满足于学习有限知识的人是截然不同的 二:那些狂热地沉浸在编程乐趣的人,而且,他们不仅仅是在理论上谈及编 程 三:一个高超的程序设计专家 四:一个喜欢智力挑战的,并创造性地突破各种环境限制的人 五:一个恶意的爱管闲事的家伙,他试图在网络上逡巡溜达的同时发现一些 敏感的信息 对最后一类人,ERIC。S。RAYMOND赋予其更恰当的一个称谓,那就是“ Cra cker ”,有就是我们常说的“骇客”,指那些乐于破坏的家伙。当他们在给这个 社会制造着麻烦和噱头的同时,就只能被冠以“骇客”之名。正是因为“骇客” 的存在,纯正而古老的黑客精神才愈来愈被人曲解,但在真正崇尚黑客精神的一 类人眼里,“骇客”与“黑客”是如此的泾渭分明,不可混淆!更有甚者,有些 黑客们说:在黑客界,斗争只存在于“黑客”和“骇客”之间! 黑客群体有自己特有的一套行为准则(the hacker ethic)美国学者史蒂夫 。利维在其著名的《黑客电脑史》中所指出的黑客道德准则(the hacker ethic) 就是对其最深刻的表述: (1),通往电脑的路不止一条 (2),所有的信息都应当是免费共享的 (3),一定要打破电脑集权 (4),在电脑上创造的是艺术和美 (5),计算机将使生活更加美好 可以看出,“黑客道德准则”正是这个独特的文化群体一直心照不宣地遵循 着的“江湖规矩”,以这种“江湖规矩”作为参照,黑客们的行为特征也就清晰 地呈现给我们了! 一,热衷挑战 黑客们多数都有很高的智慧,至少在某些方面表现突出。他们喜欢挑战自己 的能力,编写高难度程序,破译电脑密码给他们带来了神气的魔力,认为运用自 己的智慧和电脑技术去突破某些著名的防卫措施森严的站点是一件极、富刺激性 和挑战性的冒险活动。 二,崇尚自由 黑客文化首先给人的突出感觉就是一种自由不羁的的精神。黑客如同夜行的蝙 蝠侠,任意穿梭在网络空间中。黑客在电脑虚拟世界发挥着自己的极致的自由。 他们随意登录在世界各地的网站,完成着现实生活中无法企及的冒险旅程,实现 着个人生命的虚拟体验。正是这种对自由的体验,使黑客如同吸毒上瘾一样,对 网络入侵乐此不疲 三,主张信息共享 黑客们认为所有的信息都应当是免费的和公开的,认为计算机应该是大众的工 具,而不应该只为有钱人私有。信息应该是不受限制的,它属于每个人,拥有知 识或信息是每个人的天赋权利 四,反叛精神 黑客文化带有某种反叛世界的倾向,黑客们蔑视传统,反抗权威,痛恨集权, 其行为模式以深深烙上了无政府主义的印记。互联网的一个显著特点是平等和共 享,对于在网络中存在的许多禁区,黑客们认为是有违网络特征的,他们希望建 立一个没有权威,没有既定程序的社会,所以他们一般都喜欢与传统,权威和集 权做永无休止的斗争 五,破坏心理 黑客们要在网络空间来去自如,蔑视权威,就必然夹带着某些破坏行动。只有 突破计算机和网络的防护措施才能随意登录站点,只有颠覆权威设置的程序才能 表示反抗权威,也只有摧毁网络秩序才能达至人人平等的信息共享目标。当然, 由于心理动机不同,不同黑客行为的破坏程度也是有所区别的! 这样一种独特的黑客文化,必然孕育出黑客群体所读有的文化态度! (1)这个世界不断涌现出许多迷人的问题等待人们去解决 (2)一个问题不应该重复地解决两次 (3)无聊而乏味的工作是可恶的 (4)自由是美好的,黑客们需要的是自由协作和信息共享,而不是专制和所 谓的权威 (5)态度并不能成为能力的替代品,想成为黑客,只有态度是不够的,更重 要的是,还在于努力工作,倾心奉献,钻研和实践
求教:黑客一般都是怎么攻击各种端口?
黑客常用端口(实际上每个端口黑客都会想办法利用的)
端口:102
服务:Message transfer agent(MTA)-X.400 over TCP/IP
说明:消息传输代理。
端口:113
服务:Authentication Service
说明:这是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多计算机的信息。但是它可作为许多服务的记录器,尤其是FTP、POP、IMAP、SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,将会看到许多这个端口的连接请求。记住,如果阻断这个端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。
端口:119
服务:Network News Transfer Protocol
说明:NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET服务器。多数ISP限制,只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。
端口:135
服务:Location Service
说明:Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX
111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point
mapper注册它们的位置。远端客户连接到计算机时,它们查找end-point
mapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange
Server吗?什么版本?还有些DOS攻击直接针对这个端口。
端口:137
说明:SQL Named Pipes encryption over other protocols name
lookup(其他协议名称查找上的SQL命名管道加密技术)和SQL RPC encryption over other protocols name
lookup(其他协议名称查找上的SQL RPC加密技术)和Wins NetBT name service(WINS NetBT名称服务)和Wins
Proxy都用这个端口。
端口:137、138、139
服务:NETBIOS Name Service
说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享和SAMBA。还有WINS
Regisrtation也用它。
端口:143
服务:Interim Mail Access Protocol v2
说明:和POP3的安全问题一样,许多IMAP服务器存在有缓冲区溢出漏洞。记住:一种LINUX蠕虫(admv0rm)会通过这个端口繁殖,因此许多这个端口的扫描来自不知情的已经被感染的用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后,这些漏洞变的很流行。这一端口还被用于IMAP2,但并不流行。
端口:161
服务:SNMP (Simple Network Management Protocol) (简单网络管理协议)
说明:SNMP允许远程管理设备。所有配置和运行信息的储存在数据库中,通过SNMP可获得这些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用户的网络。
端口:162
说明:SNMP Trap(SNMP陷阱)
端口:177
服务:X Display Manager Control Protocol
说明:许多入侵者通过它访问X-windows操作台,它同时需要打开6000端口。
端口:389
服务:LDAP、ILS
说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。
端口:443
服务:Https
说明:网页浏览端口,能提供加密和通过安全端口传输的另一种HTTP。
端口:445
说明:Common Internet File System(CIFS)(公共Internet文件系统)
端口:456
服务:[NULL]
说明:木马HACKERS PARADISE开放此端口。
端口:464
说明:Kerberos kpasswd(v5)。另外TCP的464端口也是这个用途。
端口:500
说明:Internet Key Exchange(IKE)(Internet密钥交换)
端口:513
服务:Login,remote login
说明:是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者进入他们的系统提供了信息。
端口:544
服务:[NULL]
说明:kerberos kshell
端口:548
服务:Macintosh,File Services(AFP/IP)
说明:Macintosh,文件服务。
端口:553
服务:CORBA IIOP (UDP)
说明:使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC系统。入侵者可以利用这些信息进入系统。
端口:555
服务:DSF
说明:木马PhAse1.0、Stealth Spy、IniKiller开放此端口。
端口:568
服务:Membership DPA
说明:成员资格 DPA。
端口:569
服务:Membership MSN
说明:成员资格 MSN。
端口:635
服务:mountd
说明:Linux的mountd
Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的,但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。记住mountd可运行于任何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就像NFS通常运行于2049端口。
端口:636
服务:LDAP
说明:SSL(Secure Sockets layer)
端口:666
服务:Doom Id Software
说明:木马Attack FTP、Satanz Backdoor开放此端口
端口:993
服务:IMAP
说明:SSL(Secure Sockets layer)
TCP 7=Echo
TCP 20=FTP Data
TCP 21=Back Construction, Blade Runner, Doly Trojan, Fore, FTP trojan,
Invisible FTP, Larva, WebEx, WinCrash
TCP 23=Telnet, Tiny Telnet Server (= TTS)
TCP 25=SMTP, Ajan, Antigen, Email Password Sender, Happy 99, Kuang2,
ProMail trojan, Shtrilitz, Stealth, Tapiras, Terminator, WinPC, WinSpy
TCP 31=Agent 31, Hackers Paradise, Masters Paradise
TCP 41=DeepThroat
TCP 43=WHOIS
TCP 53=DNS,Bonk (DOS Exploit)
TCP 59=DMSetup
TCP 70=Gopher
TCP 79=Firehotcker, Finger
TCP 80=Http服务器, Executor, RingZero
TCP 99=Hidden Port
TCP 110=Pop3服务器, ProMail
TCP 113=Kazimas, Auther Idnet
TCP 119=Nntp, Happy 99
TCP 121=JammerKiller, Bo jammerkillah
TCP 137=NetBios-NS
TCP 138=NetBios-DGN
TCP 139=NetBios-SSN
TCP 143=IMAP
TCP 161=Snmp
TCP 162=Snmp-Trap
TCP 194=Irc
TCP 421=TCP Wrappers
TCP 456=Hackers paradise
TCP 531=Rasmin
TCP 555=Ini-Killer, Phase Zero, Stealth Spy
TCP 666=Attack FTP, Satanz Backdoor
TCP 808=RemoteControl
TCP 911=Dark Shadow
TCP 999=DeepThroat
TCP 1001=Silencer, WebEx
TCP 1010=Doly
TCP 1011=Doly
TCP 1012=Doly
TCP 1015=Doly
TCP 1024=NetSpy.698(YAI)
TCP 1025=NetSpy.698
TCP 1033=Netspy
TCP 1042=Bla
TCP 1045=Rasmin
TCP 1047=GateCrasher
TCP 1080=Wingate
TCP 1090=Xtreme, VDOLive
TCP 1170=Psyber Stream Server, Streaming Audio trojan
TCP 1234=Ultors
TCP 1243=BackDoor-G, SubSeven, SubSeven Apocalypse
TCP 1245=VooDoo Doll
TCP 1269=Mavericks Matrix
TCP 1492=FTP99CMP(BackOriffice.FTP)
TCP 1509=Psyber Streaming Server
TCP 1600=Shivka-Burka
TCP 1807=SpySender
TCP 1981=Shockrave
TCP 1999=BackDoor, TransScout
TCP 2001=TrojanCow
TCP 2023=Ripper, Pass Ripper
TCP2115=Bugs
TCP 2140=Deep Throat, The Invasor
TCP 2155=Illusion Mailer
TCP 2283=HVL Rat5
TCP2565=Striker
TCP 2583=WinCrash
TCP 2600=Digital RootBeer
TCP2801=Phineas Phucker
TCP3024=WinCrash trojan
TCP 3128=RingZero
TCP 3129=Masters Paradise
TCP 3150=Deep Throat, The Invasor
TCP 3210=SchoolBus
TCP 3459=Eclipse 2000
TCP 3700=Portal of Doom
TCP 3791=Eclypse
TCP 4000=腾讯OICQ客户端
TCP 4092=WinCrash
TCP 4321=BoBo
TCP 4567=File Nail
TCP 4590=ICQTrojan
TCP 5000=Bubbel, Back Door Setup, Sockets de Troie
TCP 5001=Back Door Setup, Sockets de Troie
TCP 5011=One of the Last Trojans (OOTLT)
TCP 5031=Firehotcker
TCP 5190=ICQ Query
TCP 5321=Firehotcker
TCP 5400=Blade Runner, BackConstruction1.2
TCP 5401=Blade Runner
TCP 5402=Blade Runner
TCP 5550=Xtcp
TCP 5555=ServeMe
TCP 5556=BO Facil
TCP 5557=BO Facil
TCP 5569=Robo-Hack
TCP 5631=PCAnyWhere data
TCP 5714=Wincrash3
TCP 5742=WinCrash
TCP 6400=The Thing
TCP 6667=NT Remote Control
TCP 6669=Vampyre
TCP 6670=DeepThroat
TCP 6711=SubSeven
TCP 6771=DeepThroat
TCP 6776=BackDoor-G, SubSeven
TCP 6883=DeltaSource
TCP 6912=Shit Heep
TCP 6939=Indoctrination
TCP 6969=GateCrasher, Priority, IRC 3
TCP 6970=GateCrasher
TCP 7000=Remote Grab
TCP 7300=NetMonitor
TCP 7301=NetMonitor
TCP 7306=NetMonitor
TCP 7307=NetMonitor, ProcSpy
TCP 7308=NetMonitor, X Spy
TCP 7323=Sygate服务器端
TCP 7626=冰河
TCP 7789=Back Door Setup, ICKiller
TCP 8000=XDMA, 腾讯OICQ服务器端
TCP 8010=Logfile
TCP 8080=WWW 代理, Ring Zero
TCP 9400=InCommand
TCP 9401=InCommand
TCP 9402=InCommand
TCP 9872=Portal of Doom
TCP 9873=Portal of Doom
TCP 9874=Portal of Doom
TCP 9875=Portal of Doom
TCP 9876=Cyber Attacker
TCP 9878=TransScout
TCP 9989=Ini-Killer
TCP 10101=BrainSpy
TCP 10167=Portal Of Doom
TCP 10520=Acid Shivers
TCP 10607=Coma trojan
TCP 11000=Senna Spy
TCP 11223=Progenic
TCP 12076=Gjamer, MSH.104b
TCP 12223=Hack?9 KeyLogger
TCP 12345=GabanBus, NetBus, Pie Bill Gates, X-bill
TCP 12346=GabanBus, NetBus, X-bill
TCP 12361=Whack-a-mole
TCP 12362=Whack-a-mole
TCP 12631=WhackJob
TCP 13000=Senna Spy
TCP 16969=Priority
TCP 17300=Kuang2 The Virus
TCP 20000=Millennium II (GrilFriend)
TCP 20001=Millennium II (GrilFriend)
TCP 20034=NetBus 2 Pro
TCP 20203=Logged
TCP 20331=Bla
TCP 21544=Schwindler 1.82, GirlFriend
TCP 22222=Prosiak
TCP 23456=Evil FTP, Ugly FTP, WhackJob
TCP 23476=Donald Dick
TCP 23477=Donald Dick
TCP 27374=Sub Seven 2.0+
TCP 29891=The Unexplained
TCP 30029=AOL trojan
TCP 30100=NetSphere 1.27a, NetSphere 1.31
TCP 30101=NetSphere 1.31, NetSphere 1.27a
TCP 30102=NetSphere 1.27a, NetSphere 1.31
TCP 30103=NetSphere 1.31
TCP 30303=Sockets de Troie
TCP 30999=Kuang2
TCP 31336=Bo Whack
TCP 31337=Baron Night, BO client, BO2, Bo Facil, BackFire, Back Orifice,
DeepBO
TCP 31339=NetSpy DK
TCP 31666=BOWhack
TCP 31785=Hack Attack
TCP 31787=Hack Attack
TCP 31789=Hack Attack
TCP 31791=Hack Attack
TCP 33333=Prosiak
TCP 33911=Spirit 2001a
TCP 34324=BigGluck, TN
TCP 40412=The Spy
TCP 40421=Agent 40421, Masters Paradise.96
TCP 40422=Masters Paradise
TCP 40423=Masters Paradise.97
TCP 40426=Masters Paradise
TCP 47878=BirdSpy2
TCP 50505=Sockets de Troie
TCP 50766=Fore, Schwindler
TCP 53001=Remote Windows Shutdown
TCP 54320=Back Orifice 2000
TCP 54321=School Bus .69-1.11
TCP 60000=Deep Throat
TCP 61466=Telecommando
TCP 65000=Devil
UDP 1349=BO dll
UDP 2989=RAT
UDP 3801=Eclypse
UDP 10067=Portal of Doom
UDP 10167=Portal of Doom
UDP 26274=Delta Source
UDP 29891=The Unexplained
UDP 31337=Baron Night, BO client, BO2, Bo Facil, BackFire, Back Orifice,
DeepBO
UDP 31338=Back Orifice, NetSpy DK, DeepBO
UDP 31789=Hack aTack
UDP 31791=Hack aTack
UDP 47262=Delta Source
UDP 54321=Back Orifice 2000
黑客常用软件以及方法
;bs=%BA%DA%BF%CD%B3%A3%D3%C3%B6%CB%BF%DAsr=z=cl=3f=8wd=%BA%DA%BF%CD%B3%A3%D3%C3%C8%ED%BC%FEct=0