网站入侵的基本思路?
黑客入侵网站的思路其实跟我们的思路都是差不多的。首先从简单的入手,如果简单方式攻破了,自然不想花费太多时间去研究,黑客也是希望多花点时间挑战高难度的网站。
那么一般黑客先从哪里入手:
之一:网站后台,应该现在很多网站都是套用开源系统开放,所以网站后台地址很容易ping出来。大多都是admin、manage。所以,网站后台密码不要过于简单,很多管理员方便记住密码,大都是admin123。这样的网站,要把网站搞废,分分钟的事情。
第二:网站后台攻破不了的话,从数据库入手。由于服务器IP很容易PING出来,很多人数据地址都是采用物理数据库地址。那么就差数据库密码了。所以,如果网站数据库架设不严谨,考虑不周全,那么数据库同样也是简单的被攻破。
所以,做网站一定要找有经验的团队。
黑客入侵一般有哪些基本过程?
1、信息收集
1.1/ Whois信息--注册人、 *** 、邮箱、DNS、地址
1.2/ Googlehack--敏感目录、敏感文件、更多信息收集
1.3/ 服务器IP--Nmap扫描、端口对应的服务、C段
1.4/ 旁注--Bing查询、脚本工具
1.5/ 如果遇到CDN--Cloudflare(绕过)、从子域入手(mail,postfix)、DNS传送域漏洞
1.6/ 服务器、组件(指纹)--操作系统、web server(apache,nginx,iis)、脚本语言
1.7/ More.
2、漏洞挖掘
2.1/ 探测Web应用指纹--Discuz、PHPwind、Dedecms、Ecshop...
2.2/ XSS、CSRF、XSIO、SQLinjection、权限绕过、任意文件读取、文件包含...
2.3/ 上传漏洞--截断、修改、解析漏洞
2.4/ 有无验证码--进行暴力破解
2.5/ More..
3、漏洞利用
3.1/ 思考目的性--达到什么样的效果
3.2/ 隐藏,破坏性--根据探测到的应用指纹寻找对应的EXP攻击载荷或者自己编写
3.3/ 开始漏洞攻击,获取相应权限,根据场景不同变化思路拿到webshell
黑客是怎样通过 *** 入侵电脑的?
黑客是入侵别人电脑的 *** 有9种。
1、获取口令
这又有三种 *** :
一是通过 *** 监听非法得到用户口令,这类 *** 有一定的局限性,但危害性极大,监听者往往能够获得其所在网段的所有用户账号和口令,对局域网安全威胁巨大;二是在知道用户的账号后(如电子邮件@前面的部分)利用一些专门软件强行破解用户口令,这种 *** 不受网段限制,但黑客要有足够的耐心和时间;三是在获得一个服务器上的用户口令文件(此文件成为Shadow文件)后,用暴力破解程序破解用户口令,该 *** 的使用前提是黑客获得口令的Shadow文件。
此 *** 在所有 *** 中危害更大,因为它不需要像第二种 *** 那样一遍又一遍地尝试登录服务器,而是在本地将加密后的口令与Shadow文件中的口令相比较就能非常容易地破获用户密码,尤其对那些弱智用户(指口令安全系数极低的用户,如某用户账号为zys,其口令就是zys666、666666、或干脆就是zys等)更是在短短的一两分钟内,甚至几十秒内就可以将其干掉。
2、放置特洛伊木马程序
特洛伊木马程序可以直接侵入用户的电脑并进行破坏,它常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载,一旦用户打开了这些邮件的附件或者执行了这些程序之后,它们就会象古特洛伊人在敌人城外留下的藏满士兵的木马一样留在自己的电脑中,并在自己的计算机系统中隐藏一个可以在Windows启动时悄悄执行的程序。
当您连接到因特网上时,这个程序就会通知黑客,来报告您的IP地址以及预先设定的端口。黑客在收到这些信息后,再利用这个潜伏在其中的程序,就可以任意地修改您的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等,从而达到控制你的计算机的目的。
3、WWW的欺骗技术
在网上用户可以利用IE等浏览器进行各种各样的WEB站点的访问,如阅读新闻组、咨询产品价格、订阅报纸、电子商务等。然而一般的用户恐怕不会想到有这些问题存在:正在访问的网页已经被黑客篡改过,网页上的信息是虚假的!例如黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器,当用户浏览目标网页的时候,实际上是向黑 *** 务器发出请求,那么黑客就可以达到欺骗的目的了。
4、电子邮件攻击
电子邮件攻击主要表现为两种方式:
一是电子邮件轰炸和电子邮件“滚雪球”,也就是通常所说的邮件炸弹,指的是用伪造的IP地址和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的垃圾邮件,致使受害人邮箱被“炸”,严重者可能会给电子邮件服务器操作系统带来危险,甚至瘫痪;
二是电子邮件欺骗,攻击者佯称自己为系统管理员(邮件地址和系统管理员完全相同),给用户发送邮件要求用户修改口令(口令可能为指定字符串)或在貌似正常的附件中加载病毒或其他木马程序(据笔者所知,某些单位的 *** 管理员有定期给用户免费发送防火墙升级程序的义务,这为黑客成功地利用该 *** 提供了可乘之机),这类欺骗只要用户提高警惕,一般危害性不是太大。
5、通过一个节点来攻击其他节点
黑客在突破一台主机后,往往以此主机作为根据地,攻击其他主机(以隐蔽其入侵路径,避免留下蛛丝马迹)。他们可以使用 *** 监听 *** ,尝试攻破同一 *** 内的其他主机;也可以通过IP欺骗和主机信任关系,攻击其他主机。这类攻击很狡猾,但由于某些技术很难掌握,如IP欺骗,因此较少被黑客使用。
6、 *** 监听
*** 监听是主机的一种工作模式,在这种模式下,主机可以接受到本网段在同一条物理通道上传输的所有信息,而不管这些信息的发送方和接受方是谁。此时,如果两台主机进行通信的信息没有加密,只要使用某些 *** 监听工具,例如NetXray for windows 95/98/nt,sniffit for linux 、solaries等就可以轻而易举地截取包括口令和帐号在内的信息资料。虽然 *** 监听获得的用户帐号和口令具有一定的局限性,但监听者往往能够获得其所在网段的所有用户帐号及口令。
7、寻找系统漏洞
许多系统都有这样那样的安全漏洞(Bugs),其中某些是操作系统或应用软件本身具有的,如Sendmail漏洞,win98中的共享目录密码验证漏洞和IE5漏洞等,这些漏洞在补丁未被开发出来之前一般很难防御黑客的破坏,除非你将网线拔掉;还有一些漏洞是由于系统管理员配置错误引起的,如在 *** 文件系统中,将目录和文件以可写的方式调出,将未加Shadow的用户密码文件以明码方式存放在某一目录下,这都会给黑客带来可乘之机,应及时加以修正。
8、利用帐号进行攻击
有的黑客会利用操作系统提供的缺省账户和密码进行攻击,例如许多UNIX主机都有FTP和Guest等缺省账户(其密码和账户名同名),有的甚至没有口令。黑客用Unix操作系统提供的命令如Finger和Ruser等收集信息,不断提高自己的攻击能力。这类攻击只要系统管理员提高警惕,将系统提供的缺省账户关掉或提醒无口令用户增加口令一般都能克服。
9、偷取特权
利用各种特洛伊木马程序、后门程序和黑客自己编写的导致缓冲区溢出的程序进行攻击,前者可使黑客非法获得对用户机器的完全控制权,后者可使黑客获得超级用户的权限,从而拥有对整个 *** 的绝对控制权。这种攻击手段,一旦奏效,危害性极大。
请问黑客是如何侵入有漏洞的电脑的?
从1988年开始,位于美国卡内基梅隆大学的CERT CC(计算机紧急响应小组协调中心)就开始调查入侵者的活动。CERT CC给出一些关于最新入侵者攻击方式的趋势。
趋势一:攻击过程的自动化与攻击工具的快速更新
攻击工具的自动化程度继续不断增强。自动化攻击涉及到的四个阶段都发生了变化。
1.扫描潜在的受害者。从1997年起开始出现大量的扫描活动。目前,新的扫描工具利用更先进的扫描技术,变得更加有威力,并且提高了速度。
2.入侵具有漏洞的系统。以前,对具有漏洞的系统的攻击是发生在大范围的扫描之后的。现在,攻击工具已经将对漏洞的入侵设计成为扫描活动的一部分,这样大大加快了入侵的速度。
3.攻击扩散。2000年之前,攻击工具需要一个人来发起其余的攻击过程。现在,攻击工具能够自动发起新的攻击过程。例如红色代码和Nimda病毒这些工具就在18个小时之内传遍了全球。
4.攻击工具的协同管理。自从1999年起,随着分布式攻击工具的产生,攻击者能够对大量分布在Internet之上的攻击工具发起攻击。现在,攻击者能够更加有效地发起一个分布式拒绝服务攻击。协同功能利用了大量大众化的协议如IRC(Internet Relay Chat)、IR(Instant Message)等的功能。
趋势二:攻击工具的不断复杂化
攻击工具的编写者采用了比以前更加先进的技术。攻击工具的特征码越来越难以通过分析来发现,并且越来越难以通过基于特征码的检测系统发现,例如防病毒软件和入侵检测系统。当今攻击工具的三个重要特点是反检测功能,动态行为特点以及攻击工具的模块化。
1.反检测。攻击者采用了能够隐藏攻击工具的技术。这使得安全专家想要通过各种分析 *** 来判断新的攻击的过程变得更加困难和耗时。
2.动态行为。以前的攻击工具按照预定的单一步骤发起进攻。现在的自动攻击工具能够按照不同的 *** 更改它们的特征,如随机选择、预定的决策路径或者通过入侵者直接的控制。
3.攻击工具的模块化。和以前攻击工具仅仅实现一种攻击相比,新的攻击工具能够通过升级或者对部分模块的替换完成快速更改。而且,攻击工具能够在越来越多的平台上运行。例如,许多攻击工具采用了标准的协议如IRC和HTTP进行数据和命令的传输,这样,想要从正常的 *** 流量中分析出攻击特征就更加困难了。
趋势三:漏洞发现得更快
每一年报告给CERT/CC的漏洞数量都成倍增长。CERT/CC公布的漏洞数据2000年为1090个,2001年为2437个,2002年已经增加至4129个,就是说每天都有十几个新的漏洞被发现。可以想象,对于管理员来说想要跟上补丁的步伐是很困难的。而且,入侵者往往能够在软件厂商修补这些漏洞之前首先发现这些漏洞。随着发现漏洞的工具的自动化趋势,留给用户打补丁的时间越来越短。尤其是缓冲区溢出类型的漏洞,其危害性非常大而又无处不在,是计算机安全的更大的威胁。在CERT和其它国际性 *** 安全机构的调查中,这种类型的漏洞是对服务器造成后果最严重的。
趋势四:渗透防火墙
我们常常依赖防火墙提供一个安全的主要边界保护。但是情况是:
* 已经存在一些绕过典型防火墙配置的技术,如IPP(the Internet Printing Protocol)和WebDAV(Web-based Distributed Authoring and Versioning)
* 一些标榜是“防火墙适用”的协议实际上设计为能够绕过典型防火墙的配置。
特定特征的“移动代码”(如ActiveX控件,Java和JavaScript)使得保护存在漏洞的系统以及发现恶意的软件更加困难。
另外,随着Internet *** 上计算机的不断增长,所有计算机之间存在很强的依存性。一旦某些计算机遭到了入侵,它就有可能成为入侵者的栖息地和跳板,作为进一步攻击的工具。对于 *** 基础架构如DNS系统、路由器的攻击也越来越成为严重的安全威胁。
采用主动防御措施应对新一代 *** 攻击
“红色代码”蠕虫病毒在因特网上传播的最初九小时内就感染了超过250,000个计算机系统。该感染导致的代价以每天2亿美元飞速增长,最终损失高达26亿美元。“红色代码”,“红色代码II”,及“尼姆达”、“求职信”快速传播的威胁显示出现有的 *** 防御的严重的局限性。市场上大多数的入侵检测系统是简单的,对 *** 中新出现的、未知的、通常称做“瞬时攻击:Zero-day Attack”的威胁没有足够防御手段。
黑客的“机会之窗”
目前大多数的入侵检测系统是有局限性的,因为它们使用特征码去进行辨别是否存在攻击行为。这些系统采用这种方式对特定的攻击模式进行监视。它们基于贮存在其数据库里的识别信息:类似于防病毒软件检查已知病毒的方式。这意味着这些系统只能检测他们已经编入识别程序的特定的攻击。因为“瞬时攻击”是新出现的,尚未被广泛认识,所以在新的特征码被开发出来,并且进行安装和配置等这些过程之前,它们就能绕过这些安全系统。实际上,仅仅需要对已知的攻击方式进行稍微的修改,这些系统就不会认识这些攻击方式了,从而给入侵者提供了避开基于特征码的防御系统的手段。
从新的攻击的发动到开发新的特征码的这段时间,是一个危险的“机会之窗”,许多的 *** 会被攻破。这时候许多快速的入侵工具会被设计开发出来, *** 很容易受到攻击。下图举例说明了为什么大多数的安全产品在该时期内实际上是无效的。CERT组织研制的这个图表说明了一个 *** 攻击的典型的生命周期。该曲线的波峰就在攻击的首次袭击之后,这是大多数安全产品最终开始提供保护的时候。然而“瞬时攻击”是那些最老练的黑客在最早期阶段重点展开的。
同时,现在那些快速进行的攻击利用了广泛使用的计算机软件中的安全漏洞来造成分布更广的破坏。仅仅使用几行代码,他们就能编写一个蠕虫渗透到计算机 *** 中,通过共享账号克隆自己,然后开始攻击你的同伴和用户的 *** 。使用这种方式,在厂商开发出特征码并将其分发到用户的这段时间内,“尼姆达蠕虫”仅仅在美国就传播到了超过100,000的 *** 站点。这些分发机制使“瞬间攻击”像SirCam和Love Bug两种病毒分别席卷了230万和4000万的计算机,而不需要多少人为干预。其中有些攻击甚至还通过安装一个后门来为以后的破坏建立基础,该后门允许对手、黑客和其他未获授权的用户访问一个组织重要的数据和 *** 资源。
电脑被黑客入侵时什么原理?怎么入侵的?
多数利用的是一些系统漏洞,
比如一些网页木马,
还有最近的flash漏洞
也有靠猜测密码的,
比如135端口和1433端口入侵,
还有就在自己在上网的时候不小心下载的东西里面有木马...
0条大神的评论