第一:進(jìn)入系統(tǒng)
1. 掃描目標(biāo)主機(jī)。
2. 檢查開(kāi)放的端口,獲得服務(wù)軟件及版本。
3. 檢查服務(wù)軟件是否存在漏洞,如果是,利用該漏洞遠(yuǎn)程進(jìn)入系統(tǒng);否則進(jìn)入下一步。
4. 檢查服務(wù)軟件的附屬程序(*1)是否存在漏洞,如果是,利用該漏洞遠(yuǎn)程進(jìn)入系統(tǒng);否則進(jìn)入下一步。 5. 檢查服務(wù)軟件是否存在脆弱帳號(hào)或密碼,如果是,利用該帳號(hào)或密碼系統(tǒng);否則進(jìn)入下一步。 6. 利用服務(wù)軟件是否可以獲取有效帳號(hào)或密碼,如果是,利用該帳號(hào)或密碼進(jìn)入系統(tǒng);否則進(jìn)入下一步。
7. 服務(wù)軟件是否泄露系統(tǒng)敏感信息,如果是,檢查能否利用;否則進(jìn)入下一步。
8. 掃描相同子網(wǎng)主機(jī),重復(fù)以上步驟,直到進(jìn)入目標(biāo)主機(jī)或放棄。
第二:提升權(quán)限
1. 檢查目標(biāo)主機(jī)上的SUID和GUID程序是否存在漏洞,如果是,利用該漏洞提升權(quán)限,否則進(jìn)入下一步。
?. 檢查本地服務(wù)是否存在漏洞,如果是,利用該漏洞提升權(quán)限,否則進(jìn)入下一步。
3. 檢查本地服務(wù)是否存在脆弱帳號(hào)或密碼,如果是,利用該帳號(hào)或密碼提升權(quán)限;否則進(jìn)入下一步。
4. 檢查重要文件的權(quán)限是否設(shè)置錯(cuò)誤,如果是,利用該漏洞提升權(quán)限,否則進(jìn)入下一步。
5. 檢查配置目錄(*2)中是否存在敏感信息可以利用。
6. 檢查用戶目錄中是否存在敏感信息可以利用。
7. 檢查臨時(shí)文件目錄(*3)是否存在漏洞可以利用。
8. 檢查其它目錄(*4)是否存在可以利用的敏感信息。
9. 重復(fù)以上步驟,直到獲得root權(quán)限或放棄。
第三:放置后門
最好自己寫后門程序,用別人的程序總是相對(duì)容易被發(fā)現(xiàn)。
第四:清理日志
最好手工修改日志,不要全部刪除,也不好使用別人寫的工具。
附加說(shuō)明:
*1 例如WWW服務(wù)的附屬程序就包括CGI程序等
*2 這里指存在配置文件的目錄,如/etc等
*3 如/tmp等,這里的漏洞主要指條件競(jìng)爭(zhēng)
*4 如WWW目錄,數(shù)據(jù)文件目錄等 /*****************************************************************************/好了,大家都知道了入侵者入侵一般步驟及思路 那么我們開(kāi)始做入侵檢測(cè)了。
第一步、我們都知道一個(gè)入侵者想要入侵一臺(tái)服務(wù)器首先要掃描這臺(tái)服務(wù)器,搜集服務(wù)器的信息,以便進(jìn)一步入侵該系統(tǒng)。系統(tǒng)信息被搜集的越多,此系統(tǒng)就越容易被入侵者入侵。 所以我們做入侵檢測(cè)時(shí),也有必要用掃描器掃描一下系統(tǒng),搜集一下系統(tǒng)的一些信息,來(lái)看看有沒(méi)有特別流行的漏洞(呵呵這個(gè)年頭都時(shí)興流行哦:)
第二步、掃描完服務(wù)器以后,查看掃描的信息---->分析掃描信息。如果有重大漏洞---->修補(bǔ)(亡羊補(bǔ)牢,時(shí)未晚),如果沒(méi)有轉(zhuǎn)下一步。
第三步、沒(méi)有漏洞,使用殺毒工具掃描系統(tǒng)文件,看看有沒(méi)有留下什么后門程序,如:nc.exe、srv.exe……如果沒(méi)有轉(zhuǎn)下一步。
第四步、入侵者一般入侵一臺(tái)機(jī)器后留下后門,充分利用這臺(tái)機(jī)器來(lái)做一些他想做的事情,如:利用肉雞掃描內(nèi)網(wǎng),進(jìn)一步擴(kuò)大戰(zhàn)果,利用肉雞作跳板入侵別的網(wǎng)段的機(jī)器,嫁禍于這臺(tái)機(jī)器的管理員,跑流影破郵箱……
如何檢測(cè)這臺(tái)機(jī)器有沒(méi)有裝一些入侵者的工具或后門呢?
查看端口(偏好命令行程序,舒服)
1、fport.exe--->查看那些端口都是那些程序在使用。有沒(méi)有非法的程序,和端口 winshell.exe 8110 暈倒~后門 net use 誰(shuí)在用這個(gè)連接我?
2、netstat -an —->查看那些端口與外部的ip相連。 23 x.x.x.x 沒(méi)有開(kāi)23端口,怎么自己打開(kāi)了??黑客!?
3、letmain.exe ip -admin -d 列出本機(jī)的administrators組的用戶名查看是否有異常。 怎么多了一個(gè)hacker用戶??net user id
4、pslist.exe—->列出進(jìn)程任務(wù)管理器
5、pskill.exe—->殺掉某個(gè)進(jìn)程,有時(shí)候在任務(wù)管理器中無(wú)法中止程序那就用這個(gè)工具來(lái)停止進(jìn)程吧。
6、login.exe —->列出當(dāng)前都有那些用戶登錄在你的機(jī)器上,不要你在檢測(cè)的同時(shí),入侵者就在破壞:
7、查看日志文件—>龐大的日志文件—>需要借助第三方軟件來(lái)分析日志 記錄了入侵者掃描的信息和合法用戶的正確請(qǐng)求
Find “scirpts/..” C:WINNTsystem32LogFilesW3SVC1ex010705.log –解碼漏洞??誰(shuí)在掃描我?
8、查看 Web 目錄下文件改動(dòng)與否 留沒(méi)有留 asp php 后門……查看存放日志文件的目錄 GUI 查看顯示所有文件和文件夾 z[-6QwE
技巧:查看文件的修改日期,我兩個(gè)月沒(méi)有更新站點(diǎn)了(好懶:),怎么 Web 目錄下有最近修改文件的日期??奇怪吧?:) “DYN}
####################################### 驅(qū)動(dòng)器 C 中的卷是 system Server D7
卷的序列號(hào)是 F4EE-CE39
R-hgl8F
C:WINNTsystem32LogFilesW3SVC1 的目錄 ?
2001-07-05 02:43 1
上海廣樂(lè)網(wǎng)絡(luò)科技有限公司 
滬ICP備14038021號(hào)-2 版權(quán)所有. 上海市市轄區(qū)浦東新區(qū)盛夏路666號(hào)盛銀大廈E棟 13151091625
