第一:进入系统
1. 扫描目标主机。
2. 检查开放的端口,获得服务软件及版本。
3. 检查服务软件是否存在漏洞,如果是,利用该漏洞远程进入系统;否则进入下一步。
4. 检查服务软件的附属程序(*1)是否存在漏洞,如果是,利用该漏洞远程进入系统;否则进入下一步。 5. 检查服务软件是否存在脆弱帐号或密码,如果是,利用该帐号或密码系统;否则进入下一步。 6. 利用服务软件是否可以获取有效帐号或密码,如果是,利用该帐号或密码进入系统;否则进入下一步。
7. 服务软件是否泄露系统敏感信息,如果是,检查能否利用;否则进入下一步。
8. 扫描相同子网主机,重复以上步骤,直到进入目标主机或放弃。
第二:提升权限
1. 检查目标主机上的SUID和GUID程序是否存在漏洞,如果是,利用该漏洞提升权限,否则进入下一步。
?. 检查本地服务是否存在漏洞,如果是,利用该漏洞提升权限,否则进入下一步。
3. 检查本地服务是否存在脆弱帐号或密码,如果是,利用该帐号或密码提升权限;否则进入下一步。
4. 检查重要文件的权限是否设置错误,如果是,利用该漏洞提升权限,否则进入下一步。
5. 检查配置目录(*2)中是否存在敏感信息可以利用。
6. 检查用户目录中是否存在敏感信息可以利用。
7. 检查临时文件目录(*3)是否存在漏洞可以利用。
8. 检查其它目录(*4)是否存在可以利用的敏感信息。
9. 重复以上步骤,直到获得root权限或放弃。
第三:放置后门
最好自己写后门程序,用别人的程序总是相对容易被发现。
第四:清理日志
最好手工修改日志,不要全部删除,也不好使用别人写的工具。
附加说明:
*1 例如WWW服务的附属程序就包括CGI程序等
*2 这里指存在配置文件的目录,如/etc等
*3 如/tmp等,这里的漏洞主要指条件竞争
*4 如WWW目录,数据文件目录等 /*****************************************************************************/好了,大家都知道了入侵者入侵一般步骤及思路 那么我们开始做入侵检测了。
第一步、我们都知道一个入侵者想要入侵一台服务器首先要扫描这台服务器,搜集服务器的信息,以便进一步入侵该系统。系统信息被搜集的越多,此系统就越容易被入侵者入侵。 所以我们做入侵检测时,也有必要用扫描器扫描一下系统,搜集一下系统的一些信息,来看看有没有特别流行的漏洞(呵呵这个年头都时兴流行哦:)
第二步、扫描完服务器以后,查看扫描的信息---->分析扫描信息。如果有重大漏洞---->修补(亡羊补牢,时未晚),如果没有转下一步。
第三步、没有漏洞,使用杀毒工具扫描系统文件,看看有没有留下什么后门程序,如:nc.exe、srv.exe……如果没有转下一步。
第四步、入侵者一般入侵一台机器后留下后门,充分利用这台机器来做一些他想做的事情,如:利用肉鸡扫描内网,进一步扩大战果,利用肉鸡作跳板入侵别的网段的机器,嫁祸于这台机器的管理员,跑流影破邮箱……
如何检测这台机器有没有装一些入侵者的工具或后门呢?
查看端口(偏好命令行程序,舒服)
1、fport.exe--->查看那些端口都是那些程序在使用。有没有非法的程序,和端口 winshell.exe 8110 晕倒~后门 net use 谁在用这个连接我?
2、netstat -an —->查看那些端口与外部的ip相连。 23 x.x.x.x 没有开23端口,怎么自己打开了??黑客!?
3、letmain.exe ip -admin -d 列出本机的administrators组的用户名查看是否有异常。 怎么多了一个hacker用户??net user id
4、pslist.exe—->列出进程任务管理器
5、pskill.exe—->杀掉某个进程,有时候在任务管理器中无法中止程序那就用这个工具来停止进程吧。
6、login.exe —->列出当前都有那些用户登录在你的机器上,不要你在检测的同时,入侵者就在破坏:
7、查看日志文件—>庞大的日志文件—>需要借助第三方软件来分析日志 记录了入侵者扫描的信息和合法用户的正确请求
Find “scirpts/..” C:WINNTsystem32LogFilesW3SVC1ex010705.log –解码漏洞??谁在扫描我?
8、查看 Web 目录下文件改动与否 留没有留 asp php 后门……查看存放日志文件的目录 GUI 查看显示所有文件和文件夹 z[-6QwE
技巧:查看文件的修改日期,我两个月没有更新站点了(好懒:),怎么 Web 目录下有最近修改文件的日期??奇怪吧?:) “DYN}
####################################### 驱动器 C 中的卷是 system Server D7
卷的序列号是 F4EE-CE39
R-hgl8F
C:WINNTsystem32LogFilesW3SVC1 的目录 ?
2001-07-05 02:43 1
