本文目录一览:
- 1、黑客中说的后门什么意思?
- 2、网站被挂马如何解决
- 3、"通俄门"变成特朗普的水门?特朗普会被拉下马吗?
- 4、世界上十大黑客事件
- 5、黑客后门是什么意思
- 6、各位高手!我想问一下我只知道别人的IP地址,我用什么方法可不可以攻击他的电脑,然后给他电脑下马。
黑客中说的后门什么意思?
一般黑客都会在攻入系统后不只一次地进入该系统。为了下次再进入系统时方便一点,黑客会留下一个后门,特洛伊木马就是后门的最好范例。Unix中留后门的方法有很多种,下面介绍几种常见的后门,供网络管理员参考防范。
密码破解后门
这是入侵者使用的最早也是最老的方法,它不仅可以获得对Unix机器的访问,而且可 以通过破解密码制造后门。这就是破解口令薄弱的帐号。以后即使管理员封了入侵者的当前帐号,这些新的帐号仍然可能是重新侵入的后门。多数情况下,入侵者寻找口令薄弱的未使用帐号,然后将口令改的难些。当管理员寻找口令薄弱的帐号是,也不会发现这些密码已修改的帐号。因而管理员很难确定查封哪个帐号。
Rhosts + + 后门
在连网的Unix机器中,象Rsh和Rlogin这样的服务是基于rhosts文件里的主机名使用简 单的认证方法。用户可以轻易的改变设置而不需口令就能进入。入侵者只要向可以访问的某用户的rhosts文件中输入"+ +",就可以允许任何人从任何地方无须口令便能进入这个帐号。特别当home目录通过NFS向外共享时,入侵者更热中于此。这些帐号也成 了入侵者再次侵入的后门。许多人更喜欢使用Rsh,因为它通常缺少日志能力。许多管理员经常检查 "+ +",所以入侵者实际上多设置来自网上的另一个帐号的主机名和用户名,从而不易被发现。
校验和及时间戳后门
早期,许多入侵者用自己的trojan程序替代二进制文件。系统管理员便依靠时间戳和系 统校验和的程序辨别一个二进制文件是否已被改变,如Unix里的sum程序。入侵者又发展了使trojan文件和原文件时间戳同步的新技术。它是这样实现的: 先将系统时钟拨回到原文件时间,然后调整trojan文件的时间为系统时间。一旦二进制trojan文件与 原来的精确同步,就可以把系统时间设回当前时间。Sum程序是基于CRC校验,很容易骗过。入侵者设计出了可以将trojan的校验和调整到原文件的校验和的程序。MD5是被 大多数人推荐的,MD5使用的算法目前还没人能骗过。
Login后门
在Unix里,login程序通常用来对telnet来的用户进行口令验证。 入侵者获取login.c的原代码并修改,使它在比较输入口令与存储口令时先检查后门口令。如果用户敲入后门 口令,它将忽视管理员设置的口令让你长驱直入。这将允许入侵者进入任何帐号,甚至是root。由于后门口令是在用户真实登录并被日志记录到utmp和wtmp前产生一个访问 的,所以入侵者可以登录获取shell却不会暴露该帐号。管理员注意到这种后门后,便用"strings"命令搜索login程序以寻找文本信息。 许多情况下后门口令会原形毕露。入侵者就开始加密或者更好的隐藏口令,使strings命令失效。 所以更多的管理员是用MD5校验和检测这种后门的。
Telnetd后门
当用户telnet到系统,监听端口的inetd服务接受连接随后递给in.telnetd,由它运行 login.一些入侵者知道管理员会检查login是否被修改,就着手修改in.telnetd. 在in.telnetd内部有一些对用户信息的检验,比如用户使用了何种终端。典型的终端 设置是Xterm或者VT100.入侵者可以做这样的后门,当终端设置为"letmein"时产生一个不要任何验证的shell. 入侵者已对某些服务作了后门,对来自特定源端口的连接产生一个shell。
服务后门
几乎所有网络服务曾被入侵者作过后门。 Finger,rsh,rexec,rlogin,ftp,甚至 inetd等等的作了的版本随处多是。有的只是连接到某个TCP端口的shell,通过后门口令就能获取访问。这些程序有时用刺娲□?Ucp这样不用的服务,或者被加入inetd.conf 作为一个新的服务,管理员应该非常注意那些服务正在运行,并用MD5对原服务程序做校验。
Cronjob后门
Unix上的Cronjob可以按时间表调度特定程序的运行。入侵者可以加入后门shell程序使它在1AM到2AM之间运行,那么每晚有一个小时可以获得访问。也可以查看cronjob中 经常运行的合法程序,同时置入后门。
库后门
几乎所有的UNIX系统使用共享库,共享库用于相同函数的重用而减少代码长度。一些入侵者在象crypt.c和_crypt.c这些函数里作了后门;象login.c这样的程序调用了 crypt()。当使用后门口令时产生一个shell。因此,即使管理员用MD5检查login程序,仍然能产生一个后门函数,而且许多管理员并不会检查库是否被做了后门。对于许多入侵者来说有一个问题: 一些管理员对所有东西多作了MD5校验,有一种办法是入侵者对open()和文件访问函数做后门。后门函数读原文件但执行trojan后门程序。所以当MD5读这些文件时,校验和一切正常,但当系统运行时将执行trojan版本的,即使trojan库本身也可躲过MD5校验,对于管理员来说有一种方法可以找到后门,就是静态编连MD5校验程序然后运行,静态连接程序不会使用trojan共享库。
内核后门
内核是Unix工作的核心,用于库躲过MD5校验的方法同样适用于内核级别,甚至连静态 连接多不能识别。一个后门作的很好的内核是最难被管理员查找的,所幸的是内核的 后门程序还不是随手可得,每人知道它事实上传播有多广。
文件系统后门
入侵者需要在服务器上存储他们的掠夺品或数据,并不能被管理员发现,入侵者的文章常是包括exploit脚本工具,后门集,sniffer日志,email的备分,原代码,等等!有时为了防止管理员发现这么大的文件,入侵者需要修补"ls","du","fsck"以隐匿特定的目录和文件,在很低的级别,入侵者做这样的漏洞: 以专有的格式在硬盘上割出一部分,且表示为坏的扇区。因此入侵者只能用特别的工具访问这些隐藏的文件,对于普通的管理员来说,很难发现这些"坏扇区"里的文件系统,而它又确实存在。
Boot块后门
在PC世界里,许多病毒藏匿与根区,而杀病毒软件就是检查根区是否被改变。Unix下,多数管理员没有检查根区的软件,所以一些入侵者将一些后门留在根区。
隐匿进程后门
入侵者通常想隐匿他们运行的程序,这样的程序一般是口令破解程序和监听程序(sniffer),有许多办法可以实现,这里是较通用的: 编写程序时修改自己的argv[] 使它看起来象其他进程名。可以将sniffer程序改名类似in.syslog再执行,因此当管理员用"ps"检查运行进程时,出现 的是标准服务名。可以修改库函数致使"ps"不能显示所有进程,可以将一个后门或程序嵌入中断驱动程序使它不会在进程表显现。使用这个技术的一个后门例子是
amod.tar.gz :
网络通行。这些网络通行后 门有时允许入侵者通过防火墙进行访问。有许多网络后门程序允许入侵者建立某个端口号并不用通过普通服务就能实现访问。 因为这是通过非标准网络端口的通行,管理员可能忽视入侵者的足迹。 这种后门通常使用TCP,UDP和ICMP,但也可能是其他类型报文。
TCP Shell 后门
入侵者可能在防火墙没有阻塞的高位TCP端口建立这些TCP Shell后门. 许多情况下,他们用口令进行保护以免管理员连接上后立即看到是shell访问。 管理员可以用netstat 命令查看当前的连接状态,那些端口在侦听,目前连接的来龙去脉。 通常这些后门可以让入侵者躲过TCP Wrapper技术。这些后门可以放在SMTP端口,许多防火墙允许 e-mail通行的.
UDP Shell 后门
管理员经常注意TCP连接并观察其怪异情况,而UDP Shell后门没有这样的连接,所以 netstat不能显示入侵者的访问痕迹,许多防火墙设置成允许类似DNS的UDP报文的通行,通常入侵者将UDP Shell放置在这个端口,允许穿越防火墙。
ICMP Shell 后门
Ping是通过发送和接受ICMP包检测机器活动状态的通用办法之一。许多防火墙允许外界ping它内部的机器,入侵者可以放数据入Ping的ICMP包,在ping的机器间形成一个shell通道,管理员也许会注意到Ping包暴风,但除了他查看包内数据,否者入侵者不会暴露。
加密连接
管理员可能建立一个sniffer试图某个访问的数据,但当入侵者给网络通行后门加密 后,就不可能被判定两台机器间的传输内容了。
网站被挂马如何解决
很多站长因为使用网上不常见的程序,有漏洞得不到补丁;而自己又没有编程能力无法修复或者干脆不知道漏洞在那里,被挂马后恢复程序结果不久又被挂……还有很多人即使使用的是应用比较广泛的程序,但也可能因为没及时打上补丁或出了漏洞官方还未发现而被挂马。
老是被挂也不是个事。怎么才能彻底杜绝被挂马呢?让程序完美,没有任何漏洞?这个可能性好象接近于0。我们只能从其他的地方想办法。
首先来看一下马是怎么挂上去的。首先,“黑客”会找到一个漏洞,然后利用这个漏洞上传一个后门程序上去以取得WEBSHELL,这个上传的程序一般为ASP文件(本文以ASP为例,其他基本相同),或者他会创建一个名字看起来像ASP文件的目录然后在这个目录里上传一个后门程序。之后黑客便会运行这个后门程序,修改网站里所有的.ASP、.HTM、.HTML文件,把调用木马的代码加上去。
(关于名字看起来像ASP文件的目录的漏洞的问题以前发过解决办法。自己找找看,本文不再累赘。)
总结分析一下“黑客”对我们的网站都干了些啥:
1.上传了一个文件(创建或修改了一个ASP文件)。
2.在ASP等文件里加了调用木马的代码(修改了.ASP、.HTM、.HTML文件)。
分析清楚“黑客”具体做了什么,再来分析一下我们自己的网站:
1.ASP程序文件一般不需要修改也不需要新建,只要运行就够了。
2.生成HTML文件的过程是先删除同路径下同名的旧HTML文件,然后再创建一个新的,如果原来没有则直接创建。
分析清楚了这些,再看看本文标题,如果用过McAfee,你应该想到我们要怎么做了吧?对!就用访问规则把“黑客”做的事全给禁止了然后把我们自己需要的权限留出来!
对于ASP文件,“黑客”是创建和修改,而我们只需要读取和运行。那么,规则如下:
我们自己在需要创建和修改ASP文件的时候可以先把这条规则禁用。
对于HTM、HTML文件,“黑客”是修改,而我们需要创建、删除、读取等。那么规则如下:
另外我们再新建几条规则,把上图中文件名里的*.HTM换成*.HTML、*.JS、*.CSS等文件这样这些文件“黑客”也就没法修改挂马了。在我们自己需要修改这些文件的时候先把规则禁用。
这样做之后,即使我们的网站程序存在漏洞,也不会让“黑客”挂上马了!
网站被挂马的时代,让McAfee来终结你吧!
"通俄门"变成特朗普的水门?特朗普会被拉下马吗?
美国总统特朗普心腹、白宫国家安全顾问迈克尔.弗林因卷入通俄丑闻被迫辞职后,美国联邦调查局已介入调查此事件。
虽然特朗普第一时间对于通俄丑闻的相关报道予以反驳,但显然无法阻止此事继续发酵,甚至有分析人士担忧此事恐升级为另一个水门事件。这场风波是否会引发蝴蝶效应?特朗普政府能否全身而退?
国会不放心,要立法防止特朗普太亲近俄罗斯?
自从竞选开始,特朗普团队便被指与俄罗斯走得太近,之前俄罗斯黑客干预大选已掀起风波,但这都无法与特朗普心腹弗林与俄罗斯大使通话相提并论。中国社科院美国所助理研究员刁大明对外事儿表示,弗林这个事情与黑客门不一样,如果说黑客门可以以观后效,共和党只是想用黑客门这样的事情约束特朗普,但弗林事件则表明特朗普可能确实有问题。
据《华尔街日报》16日报道,美国共和党及民主党议员正在支持一项可赋予国会权力从而阻止特朗普取消或放松对俄罗斯制裁的立法。据悉,该法规定特朗普在放松对俄制裁前要向国会提交报告介绍如何更改制裁措施,国会有120天时间评估该报告,如议员通过不予批准的联合决议,则特朗普不能取消制裁。
不只是国会,美国情报机构也对特朗普政府采取行动,据悉,情报官员在向特朗普提供敏感情报时有所保留,不说明信息来源和收集方法,因为担心可能会被泄密或遭窃取。《华尔街日报》认为这凸显出因为特朗普团队与俄罗斯接触,以及特朗普对美国情报部门的敌意,情报界和特朗普之间已出现严重不信任。
通俄的不止一人?多名雇员被曝与俄情报官员往来
更让特朗普焦心的恐怕还不止这些,因心腹弗林卷入通俄丑闻,他领导的新政府正处于压力之下。目前,美国联邦调查局已对辞职的国家安全顾问弗林展开调查,特朗普团队其他成员也被指可能牵涉其中。
《纽约时报》和CNN均指出,特朗普团队中多名雇员在竞选其期间曾与俄罗斯情报部高级别官员往来密切。美国情报局电话记录显示,这些人多次与莫斯科情报圈接触,窃听到的电话内容之所以引起美国情报和执法机构的警惕是因为很多通话发生在特朗普盛赞普京之时。
目前,双方的接触目的和通话内容尚不清楚,但美国媒体的报道直接点名特朗普竞选团队前主席马纳福特。此人曾经在俄罗斯经商,被指与俄罗斯和乌克兰保持密切往来。不过,马纳福特驳斥相关报道。
刁大明指出,启用马纳福特时就被很多人诟病他与俄罗斯走得太近,而且特朗普女儿伊万卡对启动他起很大作用。如果伊万卡也知情,那特朗普就麻烦了,伊万卡出入社交名媛圈子,那里俄罗斯人很多。
对于持续发酵的“通俄门”,特朗普毫不示弱,称“这种有关俄罗斯的一派胡言,只不过是试图掩盖希拉里失败竞选中暴露出的错误而已”。
特朗普会被搞倒吗?共和党怕牵涉彭斯会谨慎行事
虽然特朗普团队驳斥了涉俄传言,但美国资深记者丹·拉德却认为这起通俄丑闻可以和当年导致尼克松下台的水门事件相提并论。
在被记者问及特朗普是否授意弗林与俄驻美大使通电话谈论美对俄制裁议题时,白宫发言人斯派塞表示绝对没有,并强调特朗普对俄态度是“难以置信的强硬”。有分析认为,未来民主党很可能会指责弗林违背《罗根法》(该法禁止未经授权公民与外国政府谈判),并进而呼吁对特朗普和普京关系以及两者在竞选期间的联系进行全面调查。
刁大明对外事儿指出,如果能证实一些关键问题,那么特朗普确实有麻烦了。首先,要证实团队成员在选举期间与俄接触是否出于特朗普授意,以及谈话是否存在交易性质,即通过美俄关系缓和换取回报,使俄提供有助特朗普获胜的帮助。当然,如无证据,特朗普只是事后才知道,那不会发展成水门事件,这些证据很难寻找,需要情报界介入,还夹杂很多政治博弈。
不过,对于共和党建制派是否会借此事做文章搞倒特朗普,刁大明认为,目前还不太可能,因为民主党要穷追不舍查下去,如果查到副总统彭斯身上,那么彭斯是否对此事知情,共和党要谨慎评估此事的风险。
亡羊补牢?特朗普对俄喊话开始要强硬
正处于百日执政蜜月期的特朗普必须要尽快平息风波,否则会对新政府信誉带来不可估量的损失。刁大明认为,特朗普要尽快与弗林迅速划清界限,而不是到现在还在与媒体打嘴架维护弗林。他还要调整对俄政策,释放强硬信号。
为了平息政治风暴,特朗普对俄口气开始变得强硬,他发推称:“克里米亚是在奥巴马治下被俄罗斯占领,奥巴马对俄罗斯是否太软弱?”
对于特朗普的政策调整,俄罗斯一方面报以强硬回复——不会交出一寸领土,另一方面则感到冷水浇头希望破灭。杜马国家议会外交委员主席斯洛茨基坦言,特朗普的举动冷却了俄方过于夸张的期待。
“回调美俄关系是可能的,特朗普可以用克里米亚问题要价,缓和彼此关系。但美俄关系大幅度缓和则不太可能,美俄国内都有很多反对声音,再加上历史原因、意识形态分歧、冷战思维……这些都制约美俄关系缓和。”刁大明说。
世界上十大黑客事件
回顾历史十大黑客事件:不堪一击的系统
--------------------------------------------------------------------------------
2005年11月29日 15:32 天极yesky
DNA杂志籍印度全国软件和服务企业协会(Nasscom) 与孟买警方开展互联网安全周活动之时,回顾了历史上的十大黑客事件——即使是那些被认为固若金汤的系统在黑客攻击面前总显得不堪一击。
20世纪90年代早期
Kevin Mitnick,一位在世界范围内举重若轻的黑客。世界上最强大的科技和电信公司——诺基亚(Nokia),富士通(Fujitsu),摩托罗拉(Motorola),和 Sun Microsystems等的
电脑系统都曾被他光顾过。1995年他被FBI逮捕,于2000年获得假释。他从来不把自己的这种入侵行为称为黑客行为,按照他的解释,应为“社会工程(social engineering)”
2002年11月
伦敦人Gary McKinnon于2002年11月间在英国被指控非法侵入美国军方90多个电脑系统。他现在正接受英国法院就“快速引渡”去美国一事的审理。下一次听证会即将在近日举行。
1995年
来自俄罗斯的黑客Vladimir Levin 在互连网上上演了精彩的“偷天换日”。他是历史上第一个通过入侵银行电脑系统来获利的黑客。1995年,他侵入美国花旗银行并盗走1000万。他于1995年在英国被国际刑警逮捕。之后,他把帐户里的钱转移至美国,芬兰,荷兰,德国,爱尔兰等地。
1990年
为了获得在洛杉矶地区kiis-fm电台第102个呼入者的奖励——保时捷944 s2跑车,Kevin Poulsen控制了整个地区的电话系统,以确保他是第102个呼入者。最终,他如愿以偿获得跑车并为此入狱三年。他现在是Wired News的高级编辑。
1983
当Kevin Poulsen还是一名学生的时候,他就曾成功入侵Arpanet(我们现在使用的Internet的前身)。Kevin Poulsen当时利用了Arpanet的一个漏洞,能够暂时控制美国地区的Arpanet。
1996
美国黑客Timothy Lloyd曾将一个六行的恶意软件放在了其雇主——Omega工程公司(美国航天航空局和美国海军最大的供货商)的网络上。整个逻辑炸弹删除了Omega公司所有负责生产的软件。此事件导致Omega公司损失1000万美金。
1988
年仅23岁的Cornell大学学生Robert Morris在Internet上释放了世界上首个“蠕虫”程序。Robert Morris最初仅仅是把他这个99行的程序放在互联网上进行试验,可结果却使得他的机子被感染并迅速在互联网上蔓延开。美国等地的接入互联网电脑都受到影响。Robert Morris也因此在1990年被判入狱。
1999
Melissa病毒 是世界上首个具有全球破坏力的病毒。David Smith在编写此病毒的时候年仅30岁。Melissa病毒使世界上300多间公司的电脑系统崩溃。整个病毒造成的损失接近4亿美金。David Smith随后被判处5年徒刑。
2000
年仅15岁的MafiaBoy(由于年龄太小,因此没有公布其真实身份)在2000年2月6日到2月14日情人节期间成功侵入包括eBay,Amazon 和Yahoo在内的大型网站服务器,他成功阻止了服务器向用户提供服务。他于2000年被捕。
1993
自称为骗局大师(MOD)的组织,将目标锁定美国电话系统。这个组织成功入侵美国国家安全局(NSA),ATT和美利坚银行。他们建立了一个可以绕过长途电话呼叫系统而侵入专线的系统。
黑客后门是什么意思
后门程序就是留在计算机系统中,供某位特殊使用者通过某种特殊方式控制计算机系统的途径。[1]
后门程序,跟我们通常所说的"木马"有联系也有区别。联系在于:都是隐藏在用户系统中向外发送信息,而且本身具有一定权限,以便远程机器对本机的控制。区别在于:木马是一个完整的软件,而后门则体积较小且功能都很单一。后门程序类似于特洛依木马(简称"木马"),其用途在于潜伏在电脑中,从事搜集信息或便于黑客进入的动作。
后门程序和电脑病毒最大的差别,在于后门程序不一定有自我复制的动作,也就是后门程序不一定会“感染”其它电脑。
后门是一种登录系统的方法,它不仅绕过系统已有的安全设置,而且还能挫败系统上各种增强的安全设置。
而且,在病毒命名中,后门一般带有backdoor字样,而木马一般则是Trojan字样。
各位高手!我想问一下我只知道别人的IP地址,我用什么方法可不可以攻击他的电脑,然后给他电脑下马。
比较常用的端口抓鸡是135 139 3389 不过3389的比较低能
如果网马是不需要知道对方IP的
攻击的范围很大,下了马就好办了,只要对方上网,操作他的电脑比操作你自己的都简单.
学习 ........