安全概念及思路(3)
木马侵袭
说到木马很多人的第一反应就是BO,不错,BO的确是迄今为止水平最高的一个木马程序了--对了,要解释一下什么是木马吗?就是远程控制软件啦!一个客户端,一个服务器端,两边都装好后在客户端就可以访问远程的服务器了,之所以称其为木马,是因为它往往是在服务器端不知情的情况下被装入的--就是说,你一不小心,就"对外开放"了。
网上木马程序很流行,其实说来也很简单,大致都是修改注册表或者INI文件加载一个文件提供服务,这就手工都很容易检测出木马来。一,看增加的不明服务。二,因为木马是作为服务一般要打开一个网络通信端口,所以检查增加的服务端口也很容易检查出木马程序来。其实完全可以稍微改动操作系统内核而作出一个很好的木马来,这样不用改动注册表也可以让用户很不容易发觉。(比如说将木马做进某个驱动程序里面,就^&*%$,咱们劳苦大众想手工检测可就不容易了……)
现在流行的一些木马多将自身复制到某个文件夹下隐藏起来,但它要运行就得自启动,所以检查注册表HKEY_LOCAL_MACHINE\software\microsoft\windows\currentvision\run下面有没有什么值得怀疑的对象就行了。如果对这些不熟悉的话,下载一个叫cleaner的软件亦可解决许多木马问题,刚才提到的LOCKDOWN2000也有清除木马功能。
恶意代码
这可能在聊天室或者浏览页面时发生,现在主要是用JavaScript写成的代码,其作用千奇百怪,举个简单的例子吧,比如众所周知的聊天室攻击手段:让别人开无数个窗口,当然你得把自己的Java关了。(不过现在的聊天室可没那和好破坏了,你最好得先搞清楚某个较有代表性聊天室的ASP代码,对它有一番了解之后,举一反三,自行发挥了。
另一方面是一些包含恶意代码的HTML页面,你有可能在浏览某个页面的时候被人把硬盘格式化了^&^--好夸张哦!
在Windows 95 和Windows 98的网络代码部分存在溢出漏洞。通过使用一个超长的文名,攻击者可以让用户机器崩溃或执行任意代码。这个漏洞可以通过web页或HTML邮件来加以利用,在用户用浏览器打开此页面或打开邮件时进行攻击。此检验程序只在日文Windows 98\IE4\IE5环境下测试。在VC下编译后可以得到一个 ie5filex.exe,直接在DOS下键入ie5filex a,它便会生成一个HTML文件,打开这个文件时会提示错误并且关机,怎么样,有点味道吧!
病毒攻击
病毒是什么就不用我说了吧,它有几个比较让人头疼的特点,破坏、潜伏、自我复制……建议大家开着一个实时监控的软件,而下载软件时最好先扫描一下再行打开。
当然网络上有些破坏者将病毒裹在信息包中,当成一些好玩的东西发送给别人,对这些不请自来的可执行文件、WORD&EXCEL文档,最好先做扫描(我就曾见过有人将CIH裹在他自己写的一个自动生成情书的小程序里寄给别人,而且还会将系统的日期调整到四月十六号……)
WEB欺骗
台湾曾发现一起通过WEB欺骗获取受害人的银行帐号的事件(应该也是在九、十月份发生的吧),操作者将某银行的页面拷贝,然后将该银行的URL改写,于是浏览者便在假的银行页面上进行一系列的数据操作--当然一切都被记录在入侵者的电脑里了,然后的事情不用我说大家应该也知道了吧……这种事情你们可千万不能干呀^&^
攻击的关键在于要将该银行页面上的所有URL都指向入侵者的机器。
假设攻击者的服务器在机器www.hacker.cn上运行,被侵入的银行的URL是www.bank.tw,那么攻击者要在页面上的所有URL前加上自己的URL如下:http://www.hacker.cn/http://www.bank.tw。
当然这种行为要在入侵过的机器上干,要不然很容易就会被人发现你的真实身份,那就逊了^&^
2、针对网络主机
网络主机最经常遇到的就是非法进入了--你得记住这是违反法律的噢!
假定一个黑客要对某网站进行攻击行为,那么他将使用什么手段进入呢……
口令攻击
口令可以说是一个系统的大门,大多数新手开始都是由强攻口令而走上黑客之路的。过去许多系统中都有所谓JOE帐户,既用户名与口令相同的用户--现在相对少了,即便如此,还是有相当多的弱口令,如仅在用户名后简单加个数字之类的,那么一些破解口令的程序可就大显身手了。
扫描 记得似乎是绿色兵团的goodwell说过,好的扫描器千金难买,的确如此,其实扫描器就是将已知的系统漏洞写入程序,运行后它会搜索某一地址的站点,如果该站存在某些已知的漏洞,则扫描器最后的报告中会告知你,那么一名黑客就可以尝试以这些已知的漏洞去进攻--有目标了嘛!当然有些可能已被PATCH上了,可有些则不然,成功与否就看你的功力与运气了。
另一种扫描器是扫描端口的,这也是一种获取主机信息的好方法。比如它能轻易得到运行的操作系统信息以及提供了哪些服务。在UNIX下通常开放许多端口,如13(daytime)\19(chargen)……等等,而NT只提供一些通用服务如PORT21,PORT80,同时还在135、139端口进行监听,而WIN95则只在139进行监听,这样操作系统的判别是不是就非常容易了呢?
缓冲区溢出漏洞
无论是系统提供的一些调用或是用户编写的程序,有时都可能缺乏对要拷贝的字符串长度的检查。当超过缓冲区长度的字符串被送入过小的缓冲区中时,常会将进程中相邻空间覆盖掉。若较严重的话,可能将堆栈破坏,使程序无法执行。
在UNIX中的某些应用程序,如果我们输入三五页的字符作为命令行参数,看程序的动作的话,有时这个程序会出错,同是会有一个CORE的文件出现,里面可能包含一些你想要的东西。也可以用一类精心写出来的代码,得用SUID程序中存在的这种错误可以很轻易地取得系统的超级用户权限。由于缓冲区溢出漏洞牵涉到的程序面相当广,一时很难对这类型的攻击做出有效的杜绝。
一般情况下,黑客会在取得目标机器的信息之后到知名的黑客站点查找该种系统以及其上运行的各种服务是否有漏洞,然后将寻找来的一段程序代码上传编译运行……(文章写到这里真的很累,就不再找具体例子说明了,否则有一大堆的代码要KEYIN,我怎么受得了)
木马
只要是执行用户不知道的任何操作,表面上又仿佛能完成某些正常功能的程序都可称之为木马,它们一般出现在几种时候,一是施放者想借木马夺取某些权限或获取信息时;二是系统被攻破后为方便日后进入而设下各种机关。它可以出现在编译过的程序中,也可以出现在系统管理员需要执行的系统命令中,甚至可以作为消息的一部份发送。比较精彩的是:一些邮件头(mail headers)允许用户退到shell并执行命令,因为这一特性使邮件在被阅读时激活,黑客利用它便能给终端发送特定的消息,在终端在储存一个命令序列并且执行它……听起来很酷吧!
其它(拒绝服务攻击、网络监听)
拒绝服务其实说起来也很容易理解,就是让服务器的CPU过载、磁盘饱和、内存不足……总之你能想到的能让它动弹不得的行动都可以称之拒绝服务,因为这造成了使用该服务器的正式用户的请求被服务器拒绝。
至于网络监听--唉,网络监听!说起来还挺烦,我手真的难受呀,太酸了:(,就是--当信息以明文形式在网络上传输时,将网络接口设置在监听模式--别说得这么烦了,就是安个监听的软件,就可以将网上传输的信息截获了,常用的监听软件有运行在Linux\Solaris等平台下的Sniffit以及WIN9X、NT下的NetXRay,大家自己尝试一下吧,我就偷工减料了…… (全文完)
|
|