如何伪装黑客
您提问的描述能否再清晰一些呢,比如您指的是某行业的从业人员伪装黑客还是某个机构伪装黑客行事呢?
您可以继续向我提问,我很乐意给您解答
网络黑客是怎么操作的
Web服务器将成为下一代黑客施展妖术的对象。在很大程度上,进行这种攻击只需一个Web浏览器和一个创造性的头脑。以前,黑客的攻击对象集中在操作系统和网络协议上,但随着这些攻击目标的弱点和漏洞逐渐得到修补,要进行这类攻击已经变得非常困难。操作系统正在变得更加稳健,对攻击的抵抗能力日益提高。随着身份验证和加密功能渐渐被内置到网络协议中,网络协议也变得更加安全。此外,防火墙也越来越智能,成为网络和系统的外部保护屏障。
另一方面,电子商务技术正在日益普及开来,其复杂性有增无减。基于Web的应用程序正在与基本的操作系统和后端数据库更加紧密地集成在一起。遗憾的是,人们在基于Web的基础设施安全性方面所做的工作还很不够。Web服务器和Web应用程序中的弱点被发现的速度为何这么快呢?
有很多因素促成了这种Web黑客活动的快速增加。其中最主要的原因是防火墙允许所有的Web通信都可以进出网络,而防火墙无法防止对Web服务器程序及其组件或Web应用程序的攻击。第二个原因是,Web服务器和基于Web的应用程序有时是在“功能第一,安全其次”的思想指导下开发出来的。
当您的Web服务器面临巨大威胁时,怎样保障它们的安全呢?这就需要您不断了解新信息,新情况,每天跟踪您所用服务器的有关网站,阅读相关新闻并向它进行咨询。为了让你着手这方面的工作,下面介绍黑客对NT系统的四种常用攻击手段,同时介绍如何防止这类攻击。
Microsoft IIS ism.dll缓冲区溢出
受影响的服务器:运行IIS 4.0并带有“Service Pack 3/4/5”的Windows NT服务器
Microsoft IIS缓冲区溢出这一安全弱点是Web服务器无时不有的重大缺陷之一。该弱点被称为IIS
eEye,这个名称来自发现此问题的一个小组。在实施缓冲区溢出攻击时,黑客向目标程序或服务输入超出程序处理能力的数据,导致程序突然终止。另外,还可以通过设置,在执行中的程序终止运行前,用输入的内容来覆盖此程序的某些部分,这样就可以在服务器的安全权限环境下执行任意黑客命令。
eEye发现,IIS用来解释HTR文件的解释程序是ism.dll,它对缓冲区溢出攻击的抵抗力十分脆弱。如果攻击者将一个以.htr结尾的超长文件名(大约3,000个字符,或更多)传递给IIS,那么输入值将在ism.dll中造成输入缓冲区溢出,并导致IIS崩溃。如果攻击者输入的不是一串字母而是可执行代码(通常称为“鸡蛋”或“外壳代码”),那么在IIS终止之前将执行该代码。由eEye小组发现的这一攻击方法包括三个步骤:
1.创建一个用于侦听任意TCP端口上连接活动的程序。一旦接收到连接信号,该程序将执行一个Windows命令外壳程序(cmd.exe),并将该外壳与连接绑定在一起。这个程序是经过修改的Netcat。Netcat是一个流行的网络连接实用程序,其源代码可以免费获得。
2.在IIS的ism.dll中制造缓冲区溢出,并使IIS从外部Web站点下载侦听程序(由步骤1产生)。
3.执行刚下载的程序(由步骤2产生),该程序将等待传入的连接并使攻击者进入Windows命令外壳程序中。
由于缓冲区溢出导致IIS在崩溃之前转而运行Windows命令外壳,所以该外壳程序将在IIS的安全权限背景下运行,而该安全权限背景等价于NT
Administrator权限。这样,攻击者要做的只是与被攻击的IIS服务器的侦听端口建立连接,然后等着出现c:提示就万事大吉了。现在,攻击者拥有对整个NT服务器的管理权限,可以做任何事,比如,添加新用户、修改服务器的内容、格式化驱动器,甚至将该服务器用作攻击其它系统的踏脚石。
运行IIS 4.0并带有“Service Pack 3/4/5”的Windows
NT服务器容易受到此类攻击。Microsoft已经发布了对该弱点的修补程序。Windows NT Service Pack
6也已经修补了该问题。
Microsoft IIS MDAC RDS安全弱点
受影响的服务器:运行IIS 4.0并安装了MDAC 2.1或更早版本的Windows NT服务器
在发现IIS eEye安全弱点的大约一个月后,IIS
4.0的另一个弱点又暴露出来。使用Microsoft数据访问组件(MDAC)和远程数据服务(RDS),攻击者可以建立非法的ODBC连接,并获得对Web服务器上的内部文件的访问权。如果安装了Microsoft
Jet OLE DB提供程序或Datashape提供程序,攻击者可以使用Visual Basic for Applications
shell()函数发出能够在服务器上执行的命令。
在安装了MDAC 2.1或更高版本的IIS 4.0上,从位于其公共目录中的msadcmsadcs.dll,可以找到MDAC
RDS弱点。Rain Forest
Puppy在其站点中对该弱点进行了详细说明。该弱点利用了IIS上MDAC默认安装时的不适当配置和安全机制的缺乏这一漏洞。在等价于NT
Administrator的IIS Web服务器进程的安全权限背景下,进行这种攻击的黑客可以在NT系统上远程执行任意命令。
MDAC的弱点不是由于技术造成的,而是由于用户对它的配置方式所致。很多站点是通过NT Option Pack 4.0安装IIS
4.0的。如果NT Option Pack
4.0是以典型或默认配置安装的,那么MDAC就容易遭到这种攻击。大多数使用默认安装的系统管理员都没有具体调整过这些设置,从而使Web服务器的安全性大大降低。
Foundstone公司的George Kurtz、Purdue大学的Nitesh
Dhanjani和我曾经共同设计了一个只有一行的命令字符串,该命令将利用MDAC
RDS弱点,使远程NT系统启动一个通过FTP或TFTP进行的文件传输过程。这个命令将告诉服务器到从某个外部系统下载并执行Netcat。Netcat将运行Windows命令外壳程序,并建立一个返回攻击者计算机的连接,这样,攻击者就获得了对远程NT系统的完全管理控制权。
Microsoft已经发布了相应的安全公告,并对使IIS 4.0免受该弱点攻击的保护措施进行了说明。
Allaire ColdFusion 4.0弱点
受影响的服务器:运行在Windows NT上的Allaire ColdFusion Server 4.0
作为还算容易使用的、功能强大的脚本语言,ColdFusion已经广泛流行起来。但流行并不意味着安全。ColdFusion的问题不在于该服务器自身,而是在于它附带的脚本。ColdFusion
4.0提供了示范应用程序和范例,它们可以在位于Web服务器根目录中的cfdocsexampleapp和cfdocsexpeval目录中找到。当用户执行典型安装时,将安装这些应用程序和脚本。ColdFusion所附带的部分范例经过修改后,将允许非法访问服务器上所包含的敏感数据。这些弱点表明,基本的应用程序服务器可以被编写得不好的应用程序脚本歪曲利用。
存在这种弱点的一个范例应用程序是cfdocsexampleappdocssourcewindow.cfm。因为ColdFusion是作为具有Administrator权限的系统服务运行的,所以,该程序可以被用来任意访问和查看NT
Web服务器上的任何文件,包括boot.ini。用这种方法可以检索任何文件。Packet Storm对该弱点做了完整解释。
而更严重的弱点存在于cfdocsexpevalopenfile.cfm、cfdocsexpevaldisplayopenedfile.cfm和cfdocsexpevalexprcalc.cfm中。这三个文件可以用来查看服务器上的任何文件,更为严重的是,它们还能将任意文件上载到服务器。对该弱点如何发作的讨论超出了本文的范围,欲了解详细信息请访问L0pht
Heavy
Industries的咨询信息。表达式求值程序exprcalc.cfm用于让开发人员计算被上载文件中的ColdFusion表达式的值。作为预防手段,该脚本在进行表达式计算时便会把被上载的文件删除掉,但要避免删除却是件容易的事。这样,攻击者可以上载恶意文件,并最终控制服务器。
这些就是ColdFusion的示范脚本中最严重的弱点。要防止出现问题,请从任何运行中的服务器中删除ColdFusion示范脚本。Allaire的Security
Zone提供了补丁程序,并提供了如何保护ColdFusion服务器的进一步信息。
Sambar 4.3 hello.bat
受影响的服务器:运行在Windows NT上的Sambar 4.3 beta 7和更早版本
Sambar是提供给开发者的免费Web服务器。它提供了对CGI和WinCGI脚本、ODBC脚本以及ISAPI的支持。它甚至捆绑了Perl
5解释器。
Sambar 4.3 beta
7版和更早版本附带两个名为hello.bat和echo.bat的文件,它们是将Windows批处理文件用作CGI脚本的范例。这两个脚本本身没有问题,hello.bat显示字符串“Hello
World”,而echo.bat显示字符串“Place
Holder”。但当批处理文件被用作CGI脚本时,Web服务器将使用Windows命令外壳程序cmd.exe来运行它们。这样,攻击者可以利用该弱点针对目标服务器运行任意命令。例如,假如攻击者把URL
http://target.site/cgi-bin/hello.bat?dir+c:放在他或她的浏览器中,那么,将在服务器上运行命令“dir
c:”,并在浏览器上显示结果。由于Sambar是在NT
Administrator安全权限下运行的,因此事情会变得更为复杂。这样的权限等级可以让攻击者作为NT Administrator运行任意命令。
Windows命令外壳使用“”在相同命令行上分隔多个命令。如果用户将“”放在hello.bat的后面,并在其后添加一个命令,那么将在执行hello.bat后执行第二个命令。
由于已经删除了文件hello.bat和echo.bat,Sambar 4.3 beta
8版和更高版本没有该弱点。但是,由于Windows命令外壳程序解析命令行的方式无法改变,所以并没有办法能真正修正该问题。如果您安装了4.3
beta 7版或更低版本,请一定要删除hello.bat和echo.bat。
你的服务器被人攻击了黑客把他的程序伪装成服务器上正常的工具程序如何找到这
如果服务器被入侵的话可以查询系统日志看下最近时间的登录日志。
当服务器遭到攻击时,可能会导致服务器被攻击者远程控制,服务器的带宽向外发包,服务器被DDoS/CC攻击,系统中木马病毒,服务器管理员账号密码被改等。还有可能导致网站被劫持,首页被篡改,网页被植入脚本木马等。
怎么防范电脑黑客
上网电脑防范黑客基本法则
目前,上网的电脑越来越多,特别是宽带用户在线时间长、速度快,因此容易成
为黑客们的攻击目标。现在网上出现了各种越来越详细的“IP地址库”,要知道
一些用户的IP是非常容易的事情。要怎么保卫自己的网络安全呢?不妨看看以下
方法。
一、取消文件夹隐藏共享
如果你使用了Windows 2000/XP系统,右键单击C盘或者其他盘,选择"共享"
,你会惊奇地发现它已经被设置为“共享该文件夹”,而在“网上邻居”中却看
不到庑┠谌荩�馐窃趺椿厥履兀?
原来,在默认状态下,Windows 2000/XP会开启所有分区的隐藏共享,从“控
制面板/管理工具/计算机管理”窗口下选择“系统工具/共享文件夹/共享”,就
可以看到硬盘上的每个分区名后面都加了一个“$”。但是只要键入“\计算机名
或者IP\C$”,系统就会询问用户名和密码,遗憾的是,大多数个人用户系统
Administrator的密码都为空,入侵者可以轻易看到C盘的内容,这就给网络安全
带来了极大的隐患。
怎么来消除默认共享呢?方法很简单,打开注册表编辑器,进入
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Sevices\Lanmanworkstation
\parameters”,新建一个名为“AutoShareWKs”的双字节值,并将其值设为“0
”,然后重新启动电脑,这样共享就取消了。
二、拒绝恶意代码
恶意网页成了宽带的最大威胁之一。以前使用Modem,因为打开网页的速度慢
,在完全打开前关闭恶意网页还有避免中招的可能性。现在宽带的速度这么快,
所以很容易就被恶意网页攻击。
一般恶意网页都是因为加入了用编写的恶意代码才有破坏力的。这些恶意代
码就相当于一些小程序,只要打开该网页就会被运行。所以要避免恶意网页的攻
击只要禁止这些恶意代码的运行就可以了。
运行IE浏览器,点击“工具/Internet选项/安全/自定义级别”,将安全级别
定义为“安全级-高”,对“ActiveX控件和插件”中第2、3项设置为“禁用”,
其它项设置为“提示”,之后点击“确定”。这样设置后,当你使用IE浏览网页
时,就能有效避免恶意网页中恶意代码的攻击。
三、封死黑客的“后门”
俗话说“无风不起浪”,既然黑客能进入,那说明系统一定存在为他们打开
的“后门”,只要堵死这个后门,让黑客无处下手,便无后顾之忧!
1.删掉不必要的协议
对于服务器和主机来说,一般只安装TCP/IP协议就够了。鼠标右击“网络邻
居”,选择“属性”,再鼠标右击“本地连接”,选择“属性”,卸载不必要的
协议。其中NETBIOS是很多安全缺陷的根源,对于不需要提供文件和打印共享的主
机,还可以将绑定在TCP/IP协议的NETBIOS关闭,避免针对NETBIOS的攻击。选择
“TCP/IP协议/属性/高级”,进入“高级TCP/IP设置”对话框,选择“WINS”标
签,勾选“禁用TCP/IP上的NETBIOS”一项,关闭NETBIOS。
2.关闭“文件和打印共享”
文件和打印共享应该是一个非常有用的功能,但在不需要它的时候,也是黑
客入侵的很好的安全漏洞。所以在没有必要“文件和打印共享”的情况下,我们
可以将它关闭。用鼠标右击“网络邻居”,选择“属性”,然后单击“文件和打
印共享”按钮,将弹出的“文件和打印共享”对话框中的两个复选框中的钩去掉
即可。
虽然“文件和打印共享”关闭了,但是还不能确保安全,还要修改注册表,
禁止它人更改“文件和打印共享”。打开注册表编辑器,选择
“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
NetWork”主键,在该主键下新建DWORD类型的键值,键值名为
“NoFileSharingControl”,键值设为“1”表示禁止这项功能,从而达到禁止更
改“文件和打印共享”的目的;键值为“0”表示允许这项功能。这样在“网络邻
居”的“属性”对话框中“文件和打印共享”就不复存在了。
3.把Guest账号禁用
有很多入侵都是通过这个账号进一步获得管理员密码或者权限的。如果不想
把自己的计算机给别人当玩具,那还是禁止的好。打开控制面板,双击“用户和
密码”,单击“高级”选项卡,再单击“高级”按钮,弹出本地用户和组窗口。
在Guest账号上面点击右键,选择属性,在“常规”页中选中“账户已停用”。另
外,将Administrator账号改名可以防止黑客知道自己的管理员账号,这会在很大
程度上保证计算机安全。
4.禁止建立空连接
在默认的情况下,任何用户都可以通过空连接连上服务器,枚举账号并猜测
密码。因此,我们必须禁止建立空连接。方法有以下两种:
方法一是修改注册表:打开注册表
“HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA”,将DWORD值
“RestrictAnonymous”的键值改为“1”即可。
最后建议大家给自己的系统打上补丁,微软那些没完没了的补丁还是很有用
的
四、隐藏IP地址
黑客经常利用一些网络探测技术来查看我们的主机信息,主要目的就是得到
网络中主机的IP地址。IP地址在网络安全上是一个很重要的概念,如果攻击者知
道了你的IP地址,等于为他的攻击准备好了目标,他可以向这个IP发动各种进攻
,如DoS(拒绝服务)攻击、Floop溢出攻击等。隐藏IP地址的主要方法是使用代理
服务器。
与直接连接到Internet相比,使用代理服务器能保护上网用户的IP地址,从
而保障上网安全。代理服务器的原理是在客户机(用户上网的计算机)和远程服
务器(如用户想访问远端WWW服务器)之间架设一个“中转站”,当客户机向远程
服务器提出服务要求后,代理服务器首先截取用户的请求,然后代理服务器将服
务请求转交远程服务器,从而实现客户机和远程服务器之间的联系。很显然,使
用代理服务器后,其它用户只能探测到代理服务器的IP地址而不是用户的IP地址
,这就实现了隐藏用户IP地址的目的,保障了用户上网安全。提供免费代理服务
器的网站有很多,你也可以自己用代理猎手等工具来查找。
五、关闭不必要的端口
黑客在入侵时常常会扫描你的计算机端口,如果安装了端口监视程序(比如
Netwatch),该监视程序则会有警告提示。如果遇到这种入侵,可用工具软件关
闭用不到的端口,比如,用“Norton Internet Security”关闭用来提供网页服
务的80和443端口,其他一些不常用的端口也可关闭。
六、更换管理员帐户
Administrator帐户拥有最高的系统权限,一旦该帐户被人利用,后果不堪设
想。黑客入侵的常用手段之一就是试图获得Administrator帐户的密码,所以我们
要重新配置Administrator帐号。
首先是为Administrator帐户设置一个强大复杂的密码,然后我们重命名
Administrator帐户,再创建一个没有管理员权限的Administrator帐户欺骗入侵
者。这样一来,入侵者就很难搞清哪个帐户真正拥有管理员权限,也就在一定程
度上减少了危险性。
七、杜绝Guest帐户的入侵
Guest帐户即所谓的来宾帐户,它可以访问计算机,但受到限制。不幸的是,
Guest也为黑客入侵打开了方便之门!网上有很多文章中都介绍过如何利用Guest
用户得到管理员权限的方法,所以要杜绝基于Guest帐户的系统入侵。
禁用或彻底删除Guest帐户是最好的办法,但在某些必须使用到Guest帐户的
情况下,就需要通过其它途径来做好防御工作了。首先要给Guest设一个强壮的密
码,然后详细设置Guest帐户对物理路径的访问权限。举例来说,如果你要防止
Guest用户可以访问tool文件夹,可以右击该文件夹,在弹出菜单中选择“安全”
标签,从中可看到可以访问此文件夹的所有用户。删除管理员之外的所有用户即
可。或者在权限中为相应的用户设定权限,比方说只能“列出文件夹目录”和“
读取”等,这样就安全多了。
八、安装必要的安全软件
我们还应在电脑中安装并使用必要的防黑软件,杀毒软件和防火墙都是必备
的。在上网时打开它们,这样即便有黑客进攻我们的安全也是有保证的。
九、防范木马程序
木马程序会窃取所植入电脑中的有用信息,因此我们也要防止被黑客植入木
马程序,常用的办法有:
● 在下载文件时先放到自己新建的文件夹里,再用杀毒软件来检测,起到提
前预防的作用。
● 在“开始”→“程序”→“启动”或“开始”→“程序”→“Startup”
选项里看是否有不明的运行项目,如果有,删除即可。
● 将注册表下的所有以“Run”为前缀的可疑程序全部删除即可。
十、不要回陌生人的邮件
有些黑客可能会冒充某些正规网站的名义,然后编个冠冕堂皇的理由寄一封
信给你要求你输入上网的用户名称与密码,如果按下“确定”,你的帐号和密码
就进了黑客的邮箱。所以不要随便回陌生人的邮件,即使他说得再动听再诱人也
不上当。
做好IE的安全设置
ActiveX控件和 Applets有较强的功能,但也存在被人利用的隐患,网页中的
恶意代码往往就是利用这些控件编写的小程序,只要打开网页就会被运行。所以
要避免恶意网页的攻击只有禁止这些恶意代码的运行。IE对此提供了多种选择,
具体设置步骤是:“工具”→“Internet选项”→“安全”→“自定义级别”,
建议您将ActiveX控件与相关选项禁用。谨慎些总没有错!
另外,在IE的安全性设定中我们只能设定Internet、本地Intranet、受信任
的站点、受限制的站点。不过,微软在这里隐藏了“我的电脑”的安全性设定,
通过修改注册表把该选项打开,可以使我们在对待ActiveX控件和 Applets时有更
多的选择,并对本地电脑安全产生更大的影响。
下面是具体的方法:打开“开始”菜单中的“运行”,在弹出的“运行”对
话框中输入Regedit.exe,打开注册表编辑器,点击前面的“+”号顺次展开到:
HKEY_CURRE-
NT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zone
s\0,在右边窗口中找到DWORD值“Flags”,默认键值为十六进制的21(十进制33)
,双击“Flags”,在弹出的对话框中将它的键值改为“1”即可,关闭注册表编
辑器。无需重新启动电脑,重新打开IE,再次点击“工具→Internet选项→安全
”标签,你就会看到多了一个“我的电脑”图标,在这里你可以设定它的安全等
级。将它的安全等级设定高些,这样的防范更严密。
黑客是怎样通过网络入侵电脑的?
黑客是入侵别人电脑的方法有9种。
1、获取口令
这又有三种方法:
一是通过网络监听非法得到用户口令,这类方法有一定的局限性,但危害性极大,监听者往往能够获得其所在网段的所有用户账号和口令,对局域网安全威胁巨大;二是在知道用户的账号后(如电子邮件@前面的部分)利用一些专门软件强行破解用户口令,这种方法不受网段限制,但黑客要有足够的耐心和时间;三是在获得一个服务器上的用户口令文件(此文件成为Shadow文件)后,用暴力破解程序破解用户口令,该方法的使用前提是黑客获得口令的Shadow文件。
此方法在所有方法中危害最大,因为它不需要像第二种方法那样一遍又一遍地尝试登录服务器,而是在本地将加密后的口令与Shadow文件中的口令相比较就能非常容易地破获用户密码,尤其对那些弱智用户(指口令安全系数极低的用户,如某用户账号为zys,其口令就是zys666、666666、或干脆就是zys等)更是在短短的一两分钟内,甚至几十秒内就可以将其干掉。
2、放置特洛伊木马程序
特洛伊木马程序可以直接侵入用户的电脑并进行破坏,它常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载,一旦用户打开了这些邮件的附件或者执行了这些程序之后,它们就会象古特洛伊人在敌人城外留下的藏满士兵的木马一样留在自己的电脑中,并在自己的计算机系统中隐藏一个可以在Windows启动时悄悄执行的程序。
当您连接到因特网上时,这个程序就会通知黑客,来报告您的IP地址以及预先设定的端口。黑客在收到这些信息后,再利用这个潜伏在其中的程序,就可以任意地修改您的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等,从而达到控制你的计算机的目的。
3、WWW的欺骗技术
在网上用户可以利用IE等浏览器进行各种各样的WEB站点的访问,如阅读新闻组、咨询产品价格、订阅报纸、电子商务等。然而一般的用户恐怕不会想到有这些问题存在:正在访问的网页已经被黑客篡改过,网页上的信息是虚假的!例如黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器,当用户浏览目标网页的时候,实际上是向黑客服务器发出请求,那么黑客就可以达到欺骗的目的了。
4、电子邮件攻击
电子邮件攻击主要表现为两种方式:
一是电子邮件轰炸和电子邮件“滚雪球”,也就是通常所说的邮件炸弹,指的是用伪造的IP地址和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的垃圾邮件,致使受害人邮箱被“炸”,严重者可能会给电子邮件服务器操作系统带来危险,甚至瘫痪;
二是电子邮件欺骗,攻击者佯称自己为系统管理员(邮件地址和系统管理员完全相同),给用户发送邮件要求用户修改口令(口令可能为指定字符串)或在貌似正常的附件中加载病毒或其他木马程序(据笔者所知,某些单位的网络管理员有定期给用户免费发送防火墙升级程序的义务,这为黑客成功地利用该方法提供了可乘之机),这类欺骗只要用户提高警惕,一般危害性不是太大。
5、通过一个节点来攻击其他节点
黑客在突破一台主机后,往往以此主机作为根据地,攻击其他主机(以隐蔽其入侵路径,避免留下蛛丝马迹)。他们可以使用网络监听方法,尝试攻破同一网络内的其他主机;也可以通过IP欺骗和主机信任关系,攻击其他主机。这类攻击很狡猾,但由于某些技术很难掌握,如IP欺骗,因此较少被黑客使用。
6、网络监听
网络监听是主机的一种工作模式,在这种模式下,主机可以接受到本网段在同一条物理通道上传输的所有信息,而不管这些信息的发送方和接受方是谁。此时,如果两台主机进行通信的信息没有加密,只要使用某些网络监听工具,例如NetXray for windows 95/98/nt,sniffit for linux 、solaries等就可以轻而易举地截取包括口令和帐号在内的信息资料。虽然网络监听获得的用户帐号和口令具有一定的局限性,但监听者往往能够获得其所在网段的所有用户帐号及口令。
7、寻找系统漏洞
许多系统都有这样那样的安全漏洞(Bugs),其中某些是操作系统或应用软件本身具有的,如Sendmail漏洞,win98中的共享目录密码验证漏洞和IE5漏洞等,这些漏洞在补丁未被开发出来之前一般很难防御黑客的破坏,除非你将网线拔掉;还有一些漏洞是由于系统管理员配置错误引起的,如在网络文件系统中,将目录和文件以可写的方式调出,将未加Shadow的用户密码文件以明码方式存放在某一目录下,这都会给黑客带来可乘之机,应及时加以修正。
8、利用帐号进行攻击
有的黑客会利用操作系统提供的缺省账户和密码进行攻击,例如许多UNIX主机都有FTP和Guest等缺省账户(其密码和账户名同名),有的甚至没有口令。黑客用Unix操作系统提供的命令如Finger和Ruser等收集信息,不断提高自己的攻击能力。这类攻击只要系统管理员提高警惕,将系统提供的缺省账户关掉或提醒无口令用户增加口令一般都能克服。
9、偷取特权
利用各种特洛伊木马程序、后门程序和黑客自己编写的导致缓冲区溢出的程序进行攻击,前者可使黑客非法获得对用户机器的完全控制权,后者可使黑客获得超级用户的权限,从而拥有对整个网络的绝对控制权。这种攻击手段,一旦奏效,危害性极大。
黑客是怎么监控电脑的呀?
对一些IP段的开放端口进行漏洞扫描,然后传播木马,自然会有机器上线,或者对网站检测然后得到管理员权限溢出得到局域网权限也就是机房权限。