第一:進入系統
1. 掃描目標主機。
2. 檢查開放的端口,獲得服務軟件及版本。
3. 檢查服務軟件是否存在漏洞,如果是,利用該漏洞遠程進入系統;否則進入下一步。
4. 檢查服務軟件的附屬程序(*1)是否存在漏洞,如果是,利用該漏洞遠程進入系統;否則進入下一步。 5. 檢查服務軟件是否存在脆弱帳號或密碼,如果是,利用該帳號或密碼系統;否則進入下一步。 6. 利用服務軟件是否可以獲取有效帳號或密碼,如果是,利用該帳號或密碼進入系統;否則進入下一步。
7. 服務軟件是否泄露系統敏感信息,如果是,檢查能否利用;否則進入下一步。
8. 掃描相同子網主機,重復以上步驟,直到進入目標主機或放棄。
第二:提升權限
1. 檢查目標主機上的SUID和GUID程序是否存在漏洞,如果是,利用該漏洞提升權限,否則進入下一步。
?. 檢查本地服務是否存在漏洞,如果是,利用該漏洞提升權限,否則進入下一步。
3. 檢查本地服務是否存在脆弱帳號或密碼,如果是,利用該帳號或密碼提升權限;否則進入下一步。
4. 檢查重要文件的權限是否設置錯誤,如果是,利用該漏洞提升權限,否則進入下一步。
5. 檢查配置目錄(*2)中是否存在敏感信息可以利用。
6. 檢查用戶目錄中是否存在敏感信息可以利用。
7. 檢查臨時文件目錄(*3)是否存在漏洞可以利用。
8. 檢查其它目錄(*4)是否存在可以利用的敏感信息。
9. 重復以上步驟,直到獲得root權限或放棄。
第三:放置后門
最好自己寫后門程序,用別人的程序總是相對容易被發現。
第四:清理日志
最好手工修改日志,不要全部刪除,也不好使用別人寫的工具。
附加說明:
*1 例如WWW服務的附屬程序就包括CGI程序等
*2 這里指存在配置文件的目錄,如/etc等
*3 如/tmp等,這里的漏洞主要指條件競爭
*4 如WWW目錄,數據文件目錄等 /*****************************************************************************/好了,大家都知道了入侵者入侵一般步驟及思路 那么我們開始做入侵檢測了。
第一步、我們都知道一個入侵者想要入侵一臺服務器首先要掃描這臺服務器,搜集服務器的信息,以便進一步入侵該系統。系統信息被搜集的越多,此系統就越容易被入侵者入侵。 所以我們做入侵檢測時,也有必要用掃描器掃描一下系統,搜集一下系統的一些信息,來看看有沒有特別流行的漏洞(呵呵這個年頭都時興流行哦:)
第二步、掃描完服務器以后,查看掃描的信息---->分析掃描信息。如果有重大漏洞---->修補(亡羊補牢,時未晚),如果沒有轉下一步。
第三步、沒有漏洞,使用殺毒工具掃描系統文件,看看有沒有留下什么后門程序,如:nc.exe、srv.exe……如果沒有轉下一步。
第四步、入侵者一般入侵一臺機器后留下后門,充分利用這臺機器來做一些他想做的事情,如:利用肉雞掃描內網,進一步擴大戰果,利用肉雞作跳板入侵別的網段的機器,嫁禍于這臺機器的管理員,跑流影破郵箱……
如何檢測這臺機器有沒有裝一些入侵者的工具或后門呢?
查看端口(偏好命令行程序,舒服)
1、fport.exe--->查看那些端口都是那些程序在使用。有沒有非法的程序,和端口 winshell.exe 8110 暈倒~后門 net use 誰在用這個連接我?
2、netstat -an —->查看那些端口與外部的ip相連。 23 x.x.x.x 沒有開23端口,怎么自己打開了??黑客!?
3、letmain.exe ip -admin -d 列出本機的administrators組的用戶名查看是否有異常。 怎么多了一個hacker用戶??net user id
4、pslist.exe—->列出進程任務管理器
5、pskill.exe—->殺掉某個進程,有時候在任務管理器中無法中止程序那就用這個工具來停止進程吧。
6、login.exe —->列出當前都有那些用戶登錄在你的機器上,不要你在檢測的同時,入侵者就在破壞:
7、查看日志文件—>龐大的日志文件—>需要借助第三方軟件來分析日志 記錄了入侵者掃描的信息和合法用戶的正確請求
Find “scirpts/..” C:WINNTsystem32LogFilesW3SVC1ex010705.log –解碼漏洞??誰在掃描我?
8、查看 Web 目錄下文件改動與否 留沒有留 asp php 后門……查看存放日志文件的目錄 GUI 查看顯示所有文件和文件夾 z[-6QwE
技巧:查看文件的修改日期,我兩個月沒有更新站點了(好懶:),怎么 Web 目錄下有最近修改文件的日期??奇怪吧?:) “DYN}
####################################### 驅動器 C 中的卷是 system Server D7
卷的序列號是 F4EE-CE39
R-hgl8F
C:WINNTsystem32LogFilesW3SVC1 的目錄 ?
2001-07-05 02:43 1
