黑客是如何入侵電腦的呢

　　電腦病毒就像黑客一樣，無處不在，侵害著人們電腦!你知道黑客是怎麼樣入侵的嗎!下面由小編給你做出詳細的黑客攻擊的步驟分解介紹!希望對你有幫助!

　　黑客攻擊的步驟分解介紹：

　　第一：進入系統

　　1. 掃描目標主機。

　　2. 檢查開放的埠，獲得服務軟體及版本。

　　3. 檢查服務軟體是否存在漏洞，如果是，利用該漏洞遠端進入系統;否則進入下一步。

　　4. 檢查服務軟體的附屬程式****1***是否存在漏洞，如果是，利用該漏洞遠端進入系統;否則進入下一步。 5. 檢查服務軟體是否存在脆弱帳號或密碼，如果是，利用該帳號或密碼系統;否則進入下一步。 6. 利用服務軟體是否可以獲取有效帳號或密碼，如果是，利用該帳號或密碼進入系統;否則進入下一步。

　　7. 服務軟體是否洩露系統敏感資訊，如果是，檢查能否利用;否則進入下一步。

　　8. 掃描相同子網主機，重複以上步驟，直到進入目標主機或放棄。

　　第二：提升許可權

　　1. 檢查目標主機上的SUID和GUID程式是否存在漏洞，如果是，利用該漏洞提升許可權，否則進入下一步。

　　?. 檢查本地服務是否存在漏洞，如果是，利用該漏洞提升許可權，否則進入下一步。

　　3. 檢查本地服務是否存在脆弱帳號或密碼，如果是，利用該帳號或密碼提升許可權;否則進入下一步。

　　4. 檢查重要檔案的許可權是否設定錯誤，如果是，利用該漏洞提升許可權，否則進入下一步。

　　5. 檢查配置目錄****2***中是否存在敏感資訊可以利用。

　　6. 檢查使用者目錄中是否存在敏感資訊可以利用。

　　7. 檢查臨時檔案目錄****3***是否存在漏洞可以利用。

　　8. 檢查其它目錄****4***是否存在可以利用的敏感資訊。

　　9. 重複以上步驟，直到獲得root許可權或放棄。

　　第三：放置後門

　　最好自己寫後門程式，用別人的程式總是相對容易被發現。

　　第四：清理日誌

　　最好手工修改日誌，不要全部刪除，也不好使用別人寫的工具。

　　附加說明：

　　*1 例如WWW服務的附屬程式就包括CGI程式等

　　*2 這裡指存在配置檔案的目錄，如/etc等

　　*3 如/tmp等，這裡的漏洞主要指條件競爭

　　*4 如WWW目錄，資料檔案目錄等 /*****************************************************************************/好了，大家都知道了入侵者入侵一般步驟及思路 那麼我們開始做入侵檢測了。

　　第一步、我們都知道一個入侵者想要入侵一臺伺服器首先要掃描這臺伺服器，蒐集伺服器的資訊，以便進一步入侵該系統。系統資訊被蒐集的越多，此係統就越容易被入侵者入侵。 所以我們做入侵檢測時，也有必要用掃描器掃描一下系統，蒐集一下系統的一些資訊，來看看有沒有特別流行的漏洞***呵呵這個年頭都時興流行哦：***

　　第二步、掃描完伺服器以後，檢視掃描的資訊---->分析掃描資訊。如果有重大漏洞---->修補***亡羊補牢，時未晚***，如果沒有轉下一步。

　　第三步、沒有漏洞，使用防毒工具掃描系統檔案，看看有沒有留下什麼後門程式，如：nc.exe、srv.exe……如果沒有轉下一步。

　　第四步、入侵者一般入侵一臺機器後留下後門，充分利用這臺機器來做一些他想做的事情，如：利用肉雞掃描內網，進一步擴大戰果，利用肉雞作跳板入侵別的網段的機器，嫁禍於這臺機器的管理員，跑流影破郵箱……

　　如何檢測這臺機器有沒有裝一些入侵者的工具或後門呢?

　　檢視埠***偏好命令列程式，舒服***

　　1、fport.exe--->檢視那些埠都是那些程式在使用。有沒有非法的程式，和埠 winshell.exe 8110 暈倒～後門 net use 誰在用這個連線我?

　　2、netstat -an ---->檢視那些埠與外部的ip相連。 23 x.x.x.x 沒有開23埠，怎麼自己打開了??黑客!?

　　3、letmain.exe \\ip -admin -d 列出本機的administrators組的使用者名稱檢視是否有異常。 怎麼多了一個hacker使用者??<==>net user id

　　4、pslist.exe---->列出程序<==>工作管理員

　　5、pskill.exe---->殺掉某個程序，有時候在工作管理員中無法中止程式那就用這個工具來停止程序吧。

　　6、login.exe ---->列出當前都有那些使用者登入在你的機器上，不要你在檢測的同時，入侵者就在破壞:

　　7、檢視日誌檔案--->龐大的日誌檔案--->需要藉助第三方軟體來分析日誌 記錄了入侵者掃描的資訊和合法使用者的正確請求

　　Find “scirpts/..” C:\WINNT\system32\LogFiles\W3SVC1\ex010705.log --解碼漏洞??誰在掃描我?

　　8、檢視 Web 目錄下檔案改動與否 留沒有留 asp php 後門……檢視存放日誌檔案的目錄 GUI 檢視顯示所有檔案和資料夾 z[-6QwE

　　技巧：檢視檔案的修改日期，我兩個月沒有更新站點了***好懶：***，怎麼 Web 目錄下有最近修改檔案的日期??奇怪吧?：*** "DYN}

　　####################################### 驅動器 C 中的卷是 system Server D7

　　卷的序列號是 F4EE-CE39

　　R-hgl8F

　　C:\WINNT\system32\LogFiles\W3SVC1 的目錄 ?

　　2001-07-05 02:43 1,339 ex010704.log

　　2001-07-05 23:54 52,208 ex010705.log

　　2001-07-07 22:59 0 ex010707.log

　　2001-07-08 22:45 0 ex010708.log

　　2001-07-10 08:00 587 ex010709.log

　　恩?奇怪?怎麼沒有 2001-07-06 那天的日誌檔案??可疑……2001-07-07、2001-07-08 兩天的日誌檔案大小為零，我得網站訪問量怎麼兩天都是空??沒有那麼慘吧：***好奇怪?!#######################################

　　驅動器 D 中的卷是 新加捲

　　卷的序列號是 28F8-B814 D:\win 2000 的目錄

　　2001-06-03 17:43

　　2001-06-03 17:43

　　..

　　2001-06-03 17:43

　　CLIENTS

　　2001-06-03 17:43

　　BOOTDISK

　　2001-06-03 17:43

　　I386

　　2001-06-03 17:46

　　PRINTERS

　　2001-06-03 17:46

　　SETUPTXT

　　2001-06-03 17:46

　　SUPPORT

　　2001-06-03 17:46

　　VALUEADD

　　2000-01-10 20:00 45 AUTORUN.INF

　　2000-01-10 20:00 304,624 BOOTFONT

　　2000-01-10 20:00 5 CDROM_IS.5

　　2000-01-10 20:00 5 CDROM_NT.

　　2000-01-10 20:00 12,354 READ1ST

　　2000-01-10 20:00 465,408 README.DOC

　　2000-01-10 20:00 267,536 SETUP.EXE

　　2001-06-04 17:37

　　SP1

　　2001-06-27 16:03

　　sp2

　　2001-07-06 00:05

　　system --->從來沒有修改或安裝什麼檔案程式啊 什麼時候多了system目錄?這個是我安裝 win 2000 的安裝檔案。 日期怎麼不對 2001-07-06，日誌檔案也沒有 2001-07-06 的這一天的記錄，可疑…….

　　7 個檔案 1,049,977 位元組 12 個目錄 10,933,551,104 可用位元組

　　####################################### 總的來說

       入侵檢測包括：

　　一、基於80埠入侵的檢測 CGI IIS 程式漏洞……

　　二、基於安全日誌的檢測 工作量龐大

　　三、檔案訪問日誌與關鍵檔案保護 ***

　　四、程序監控 後門什麼的

　　五、登錄檔校驗 木馬

　　六、埠監控 21 23 3389 …

　　七、使用者 我覺得這個很重要，因為入侵者進入系統以後，為了方便以後的“工作”通常會加一個使用者或者啟用guest帳號提升為管理員的

　　/************** 藉助第三方軟體協助分析 IDS Firewall …..***********************/

　　對 unix & linux 入侵檢測說幾句

　　有必要先用掃描器掃描一下系統，蒐集一下資料 CGI RPC TELNETD FTP ……本地遠端溢位漏洞……

　　1、檢查 suid sgid 程式

　　find / -user root -perm -4000 -print --常用

　　find / -group kmem -perm -2000 -print

　　2、檢視系統的二進位制檔案是否被更改

　　如：ls su telnet netstat ifconfig find du df sync login……

　　建議做入侵檢測時候，從一個乾淨的系統 copy 過來這些檔案 來做檢測

　　使用 MD5 Tripwire 校驗工具檢測

　　3、檢查 /etc/passwd 檔案 ,

　　有沒有新增的使用者、沒有口令的帳號、uid等於0的帳號……

　　4、檢查有沒有網路監聽程式在執行

　　5、檢查系統非正常的隱藏檔案

　　find / -name ".. " -print -xdev

　　find / -name ".*" -print -xdev

　　6、在系統正常運作的情況下，系統管理員要經常使用下列命令***必要的話，系統管理員可以改變 path，或者修改二進位制檔名稱，放到一個只有自己知道的目錄下***在保證二進位制檔案沒有被篡改的情況下用絕對路徑 iW[BxyR\x

　　/bin/who

　　/bin/w

　　/bin/last my

　　/bin/lastcomm

　　/bin/netstat

　　/bin/snmpnetstat

　　shell 的歷史檔案 如：.history 、.rchist、.bash_history……

　　7、日誌

　　8、…….. 因為 unix&vlinux系列原始碼是開放的，所以如果入侵者裝上了核心後門 強烈建議備份您機器上重要檔案，重灌系統，打好補丁，迎接入侵者

　　/******************藉助第三方軟體協助分析 IDS Firewall …..***********************/ 入侵檢測介紹就到這裡，在實際運用中，系統管理員對基礎知識掌握的情況直接關係到他的安全敏感度，只有身經百戰而又知識豐富、仔細小心的系統管理員才能從一點點的蛛絲馬跡中發現入侵者的影子。