如何检测是否有黑客入侵电脑
这年头免杀倾向于源代码免杀了已经,所以虽然杀软在进步,免杀的手段也在进步,不管任何木马只要有通信即可揪出尾巴,cmd下netstat-ano,查看不明的端口连接,对应pid看进程,找一些辅助工具揪出进程中的dll。
我想知道黑客是怎么准确得知他想攻击的电脑的ip地址,或者mac地址的,或者是网络标示的?
一般分情况而定,如果是在网吧,局域网攻击的话,就根据机器号来判断了,一般主机都是192.168.0.1,或者192.168.1.1 之类的,根据机器号就可以猜出大概了;
也许是聊天时看谁不爽了,想攻击,在命令行中(运行中输入CMD)输入netstat命令来查看对方的IP,用IP在IP136可以中查到对方的地址和网络类型,聊天必开4000;4001端口,其实用什么QQ飘云版,珊瑚虫版之类的都可以。
还有就是社会工程学,不过一般针对某个个人机器的采取行动还是比较少见的,一般都是大型服务器。
总之,根据不同的情况HACKER会用各种工具实现其目的的,不一而足。
如何判定黑客正在攻击某个终端或网络?如何反制黑客侦察?
可通过Ping命令来测试,若发现Ping超时或丢包严重(假定平时是正常的),则可能遭受了流量攻击,此时若发现和你的主机接在同一交换机上的服务器也访问不了了,基本可以确定是遭受了流量攻击。当然,这样测试的前提是你到服务器主机之间的ICMP协议没有被路由器和防火墙等设备屏蔽,否则可采取Telnet主机服务器的网络服务端口来测试,效果是一样的。不过有一点可以肯定,假如平时Ping你的主机服务器和接在同一交换机上的主机服务器都是正常的,突然都Ping不通了或者是严重丢包,那么假如可以排除网络故障因素的话则肯定是遭受了流量攻击,再一个流量攻击的典型现象是,一旦遭受流量攻击,会发现用远程终端连接网站服务器会失败。
相对于流量攻击而言,资源耗尽攻击要容易判断一些,假如平时Ping网站主机和访问网站都是正常的,发现突然网站访问非常缓慢或无法访问了,而Ping还可以Ping通,则很可能遭受了资源耗尽攻击,此时若在服务器上用Netstat -na命令观察到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等状态存在,而ESTABLISHED很少,则可判定肯定是遭受了资源耗尽攻击。还有一种属于资源耗尽攻击的现象是,Ping自己的网站主机Ping不通或者是丢包严重,而Ping与自己的主机在同一交换机上的服务器则正常,造成这种原因是网站主机遭受攻击后导致系统内核或某些应用程序CPU利用率达到100%无法回应Ping命令,其实带宽还是有的,否则就Ping不通接在同一交换机上的主机了
遭受黑客攻击后怎样查询被攻击了
安全总是相对的,再安全的服务器也有可能遭受到攻击。作为一个安全运维人员,要把握的原则是:尽量做好系统安全防护,修复所有已知的危险行为,同时,在系统遭受攻击后能够迅速有效地处理攻击行为,最大限度地降低攻击对系统产生的影响。
一、处理服务器遭受攻击的一般思路
系统遭受攻击并不可怕,可怕的是面对攻击束手无策,下面就详细介绍下在服务器遭受攻击后的一般处理思路。
1.切断网络
所有的攻击都来自于网络,因此,在得知系统正遭受黑客的攻击后,首先要做的就是断开服务器的网络连接,这样除了能切断攻击源之外,也能保护服务器所在网络的其他主机。
2.查找攻击源
可以通过分析系统日志或登录日志文件,查看可疑信息,同时也要查看系统都打开了哪些端口,运行哪些进程,并通过这些进程分析哪些是可疑的程序。这个过程要根据经验和综合判断能力进行追查和分析。下面的章节会详细介绍这个过程的处理思路。
3.分析入侵原因和途径
既然系统遭到入侵,那么原因是多方面的,可能是系统漏洞,也可能是程序漏洞,一定要查清楚是哪个原因导致的,并且还要查清楚遭到攻击的途径,找到攻击源,因为只有知道了遭受攻击的原因和途径,才能删除攻击源同时进行漏洞的修复。
4.备份用户数据
在服务器遭受攻击后,需要立刻备份服务器上的用户数据,同时也要查看这些数据中是否隐藏着攻击源。如果攻击源在用户数据中,一定要彻底删除,然后将用户数据备份到一个安全的地方。
5.重新安装系统
永远不要认为自己能彻底清除攻击源,因为没有人能比黑客更了解攻击程序,在服务器遭到攻击后,最安全也最简单的方法就是重新安装系统,因为大部分攻击程序都会依附在系统文件或者内核中,所以重新安装系统才能彻底清除攻击源。
6.修复程序或系统漏洞
在发现系统漏洞或者应用程序漏洞后,首先要做的就是修复系统漏洞或者更改程序bug,因为只有将程序的漏洞修复完毕才能正式在服务器上运行。
7.恢复数据和连接网络
将备份的数据重新复制到新安装的服务器上,然后开启服务,最后将服务器开启网络连接,对外提供服务。
二、检查并锁定可疑用户
当发现服务器遭受攻击后,首先要切断网络连接,但是在有些情况下,比如无法马上切断网络连接时,就必须登录系统查看是否有可疑用户,如果有可疑用户登录了系统,那么需要马上将这个用户锁定,然后中断此用户的远程连接。
1.登录系统查看可疑用户
通过root用户登录,然后执行“w”命令即可列出所有登录过系统的用户,如下图所示。
通过这个输出可以检查是否有可疑或者不熟悉的用户登录,同时还可以根据用户名以及用户登录的源地址和它们正在运行的进程来判断他们是否为非法用户。
2.锁定可疑用户
一旦发现可疑用户,就要马上将其锁定,例如上面执行“w”命令后发现nobody用户应该是个可疑用户(因为nobody默认情况下是没有登录权限的),于是首先锁定此用户,执行如下操作:
[root@server ~]# passwd -l nobody锁定之后,有可能此用户还处于登录状态,于是还要将此用户踢下线,根据上面“w”命令的输出,即可获得此用户登录进行的pid值,操作如下:
[root@server ~]# ps -ef|grep @pts/3 531 6051 6049 0 19:23 ? 00:00:00 sshd: nobody@pts/3 [root@server ~]# kill -9 6051这样就将可疑用户nobody从线上踢下去了。如果此用户再次试图登录它已经无法登录了。
3.通过last命令查看用户登录事件
last命令记录着所有用户登录系统的日志,可以用来查找非授权用户的登录事件,而last命令的输出结果来源于/var/log/wtmp文件,稍有经验的入侵者都会删掉/var/log/wtmp以清除自己行踪,但是还是会露出蛛丝马迹在此文件中的。
三、查看系统日志
查看系统日志是查找攻击源最好的方法,可查的系统日志有/var/log/messages、/var/log/secure等,这两个日志文件可以记录软件的运行状态以及远程用户的登录状态,还可以查看每个用户目录下的.bash_history文件,特别是/root目录下的.bash_history文件,这个文件中记录着用户执行的所有历史命令。
四、检查并关闭系统可疑进程
检查可疑进程的命令很多,例如ps、top等,但是有时候只知道进程的名称无法得知路径
黑客攻击主要有哪些手段?
黑客主要运用手段和攻击方法
2004-12-02 来源: 责编: 滴滴 作者:
编者按:
不可否认,网络已经溶入到了我们的日常工作和生活中。因此,在我们使用电脑时就得时时考虑被网络攻击的防范工作。俗语说“知己知彼,百战不贻”,要想尽量的免遭黑客的攻击,当然就得对它的主要手段和攻击方法作一些了解。闲话少说,咱这就入正题!
戴尔笔记本本周限时优惠 免费咨询800-858-2336
来源:黑客基地
不可否认,网络已经溶入到了我们的日常工作和生活中。因此,在我们使用电脑时就得时时考虑被网络攻击的防范工作。俗语说“知己知彼,百战不贻”,要想尽量的免遭黑客的攻击,当然就得对它的主要手段和攻击方法作一些了解。闲话少说,咱这就入正题!
(一)黑客常用手段
1、网络扫描--在Internet上进行广泛搜索,以找出特定计算机或软件中的弱点。
2、网络嗅探程序--偷偷查看通过Internet的数据包,以捕获口令或全部内容。通过安装侦听器程序来监视网络数据流,从而获取连接网络系统时用户键入的用户名和口令。
3、拒绝服务 -通过反复向某个Web站点的设备发送过多的信息请求,黑客可以有效地堵塞该站点上的系统,导致无法完成应有的网络服务项目(例如电子邮件系统或联机功能),称为“拒绝服务”问题。
4、欺骗用户--伪造电子邮件地址或Web页地址,从用户处骗得口令、信用卡号码等。欺骗是用来骗取目标系统,使之认为信息是来自或发向其所相信的人的过程。欺骗可在IP层及之上发生(地址解析欺骗、IP源地址欺骗、电子邮件欺骗等)。当一台主机的IP地址假定为有效,并为Tcp和Udp服务所相信。利用IP地址的源路由,一个攻击者的主机可以被伪装成一个被信任的主机或客户。
5、特洛伊木马--一种用户察觉不到的程序,其中含有可利用一些软件中已知弱点的指令。
6、后门--为防原来的进入点被探测到,留几个隐藏的路径以方便再次进入。
7、恶意小程序--微型程序,修改硬盘上的文件,发送虚假电子邮件或窃取口令。
8、竞争拨号程序--能自动拨成千上万个电话号码以寻找进入调制解调器连接的路径。逻辑炸弹计算机程序中的一条指令,能触发恶意操作。
9、缓冲器溢出-- 向计算机内存缓冲器发送过多的数据,以摧毁计算机控制系统或获得计算机控制权。
10、口令破译--用软件猜出口令。通常的做法是通过监视通信信道上的口令数据包,破解口令的加密形式。
11、社交工程--与公司雇员谈话,套出有价值的信息。
12、垃圾桶潜水--仔细检查公司的垃圾,以发现能帮助进入公司计算机的信息。
(二)黑客攻击的方法:
1、隐藏黑客的位置
典型的黑客会使用如下技术隐藏他们真实的IP地址:
利用被侵入的主机作为跳板;
在安装Windows 的计算机内利用Wingate 软件作为跳板;利用配置不当的Proxy作为跳板。
更老练的黑客会使用电话转接技术隐蔽自己。他们常用的手法有:利用800 号电话的私人转接服务联接ISP, 然后再盗用他人的账号上网;通过电话联接一台主机,再经由主机进入Internet。
使用这种在电话网络上的"三级跳"方式进入Internet 特别难于跟踪。理论上,黑客可能来自世界任何一个角落。如果黑客使用800号拨号上网,他更不用担心上网费用。
2、网络探测和资料收集
黑客利用以下的手段得知位于内部网和外部网的主机名。
使用nslookup 程序的ls命令;
通过访问公司主页找到其他主机;
阅读FTP服务器上的文挡;
联接至mailserver 并发送 expn请求;
Finger 外部主机上的用户名。
在寻找漏洞之前,黑客会试图搜集足够的信息以勾勒出整个网络的布局。利用上述操作得到的信息,黑客很容易列出所有的主机,并猜测它们之间的关系。
3、找出被信任的主机
黑客总是寻找那些被信任的主机。这些主机可能是管理员使用的机器,或是一台被认为是很安全的服务器。
一步,他会检查所有运行nfsd或mountd的主机的NFS输出。往往这些主机的一些关键目录(如/usr/bin、/etc和/home)可以被那台被信任的主机mount。
Finger daemon 也可以被用来寻找被信任的主机和用户,因为用户经常从某台特定的主机上登录。
黑客还会检查其他方式的信任关系。比如,他可以利用CGI 的漏洞,读取/etc/hosts.allow 文件等等。
分析完上述的各种检查结果,就可以大致了解主机间的信任关系。下一步, 就是探测这些被信任的主机哪些存在漏洞,可以被远程侵入。
4、找出有漏洞的网络成员
当黑客得到公司内外部主机的清单后,他就可以用一些Linux 扫描器程序寻找这些主机的漏洞。黑客一般寻找网络速度很快的Linux 主机运行这些扫描程序。
所有这些扫描程序都会进行下列检查:
TCP 端口扫描;
RPC 服务列表;
NFS 输出列表;
共享(如samba、netbiox)列表;
缺省账号检查;
Sendmail、IMAP、POP3、RPC status 和RPC mountd 有缺陷版本检测。
进行完这些扫描,黑客对哪些主机有机可乘已胸有成竹了。
如果路由器兼容SNMP协议,有经验的黑客还会采用攻击性的SNMP 扫描程序进行尝试, 或者使用"蛮力式"程序去猜测这些设备的公共和私有community strings。
5、利用漏洞
现在,黑客找到了所有被信任的外部主机,也已经找到了外部主机所有可能存在的漏洞。下一步就该开始动手入侵主机了。
黑客会选择一台被信任的外部主机进行尝试。一旦成功侵入,黑客将从这里出发,设法进入公司内部的网络。但这种方法是否成功要看公司内部主机和外部主机间的过滤策略了。攻击外部主机时,黑客一般是运行某个程序,利用外部主机上运行的有漏洞的daemon窃取控制权。有漏洞的daemon包括Sendmail、IMAP、POP3各个漏洞的版本,以及RPC服务中诸如statd、mountd、pcnfsd等。有时,那些攻击程序必须在与被攻击主机相同的平台上进行编译。
6、获得控制权
黑客利用daemon的漏洞进入系统后会做两件事:清除记录和留下后门。
他会安装一些后门程序,以便以后可以不被察觉地再次进入系统。大多数后门程序是预先编译好的,只需要想办法修改时间和权限就可以使用,甚至于新文件的大小都和原有文件一样。黑客一般会使用rcp 传递这些文件,以便不留下FTP记录。
一旦确认自己是安全的,黑客就开始侵袭公司的整个内部网
7.窃取网络资源和特权
黑客找到攻击目标后,会继续下一步的攻击,步骤如下:
(1)下载敏感信息
如果黑客的目的是从某机构内部的FTP或WWW服务器上下载敏感信息,他可以利用已经被侵入的某台外部主机轻而易举地得到这些资料。
(2)攻击其他被信任的主机和网络
大多数的黑客仅仅为了探测内部网上的主机并取得控制权,只有那些"雄心勃勃"的黑客,为了控制整个网络才会安装特洛伊木马和后门程序,并清除记录。 那些希望从关键服务器上下载数据的黑客,常常不会满足于以一种方式进入关键服务器。他们会费尽心机找出被关键服务器信任的主机,安排好几条备用通道。
(3)安装sniffers
在内部网上,黑客要想迅速获得大量的账号(包括用户名和密码),最为有效的手段是使用"sniffer" 程序。
黑客会使用上面各节提到的方法,获得系统的控制权并留下再次侵入的后门,以保证sniffer能够执行。
(4)瘫痪网络
如果黑客已经侵入了运行数据库、网络操作系统等关键应用程序的服务器,使网络瘫痪一段时间是轻而易举的事。
如果黑客已经进入了公司的内部网,他可以利用许多路由器的弱点重新启动、甚至关闭路由器。如果他们能够找到最关键的几个路由器的漏洞,则可以使公司的网络彻底瘫痪一段时间
怎样看电脑是不是被黑客入侵???
黑客是利用电脑部分端口,然后实现连接,然后再扩建权限,
如果说一个人说要指定攻击你电脑
首先他要知道你静态IP,知道IP以后会利用软件扫描你开放的端口,再用远程软件通过某端口或IP$登入你电脑.进入你电脑后他能做的只有很少的操作,这时候他就可以把木马传到你电脑,利用批量执行木马程序,打开其他权限。
如果你认为他还没入侵的情况下
其实下个360把补丁都打上,然后下仿火强就OK了
如果你认为他已经入侵你电脑
就用杀毒查杀一遍,把Guest用户和其他用户停用
只留administrator,再把密码修改,
别人通过QQ、邮件等发送过来的软件要注意
还有小心身边的人开你电脑把木马丢你电脑里
只要不中木马打全补丁基本上一般高手就入侵不了了`
超级高手小弟我就不知道他们的手段了,
但超级高手不会跟你过不去的,因为要攻击你就算超级高手都需要一定时间的
除非有很大的理由让他们去做
如何知道手机被黑客入侵
手机经常出现这3种情况,你可能已经被黑客监听
芭乐科技社
4天前
原创文章,请勿抄袭
手机安全相当重要!
现在是手机的时代,人人的手上有一台智能手机的,没办法,移动互联网时代,可不能落后,朋友们都在使用智能手机,自己怎么可以落后呢?移动互联网时代,智能手机是最廉洁的娱乐方式,工作之余玩玩手机,多快活啊!
手机就是唾手可得的快乐,每天在网络上跟对手,你来我玩,真的是不亦乐乎,这就叫做指点江山!每个人可以在网络上发声,想一想,这是多么兴奋的事情,我们需要的快乐很简单!就是希望能够在网络上到一个两个红颜知己!
不过随着手机的普及,问题也就出现了,那么究竟有什么问题,首先就是这个安全的问题,安全的问题很不好解决!比如当年计算机都没有现在的手机那么风靡,但是计算机的问题同样也是不少的!
现在的手机也是面临着同样的问题,那就是安全的问题!安全的问题主要是什么问题,那就是信息泄露的问题,这个问题可大可小,很多时候就是这样,这是没有办法解决的,因为网络的底层数据是无差别的发送,但是网络监听又是无处不在!
如果你的手机经常出现这样几种情况,那么你可能已经被黑客监听了!下面就让我们来看一下!
如果出现这几种情况,那就是被监听了
第一种情况就是手机中出现了很多陌生的联系人。我们使用手机跟别人沟通,往往都会在自己的手机上存储别人的手机号码,但是这些号码都是我们自己知道的,自己动手添加!假设你的手机里面突然出现了很多的陌生电话,那么你就应该小心了!因为你的手机很有可能已经被监听了!如果一个不小心点到了这些号码,那么很有可能手机就会出现很大的问题!
第二种情况就是手机通过过程突然中断!现在的不像过去了,我们的手机通话质量都是非常好的,几乎不会出现什么信号不好的问题,如果信号不好,自己也是知道的;如果不是人为的原因导致通话突然中断,那么这个时候就应该好好警惕一下,这一点很多人都忽视了!但是就是因为会这样,才危险,手机被监听的几率大大提高!
第三种情况就是通话质量大大降低,就像上面说的那样,现在的手机通话质量还是很高,除非我们在信号很封闭的地方,如周围都是大厦的,那自然是无话可说!但是在信号很好的地方都出现了这些问题的话,尤其是手机等还出现了回音等问题,那很有可能就是手机被监听了!
是不是没有想到,现在居然还有黑客使用监听的方式!但是这是真实的,黑客入侵的基本手段就是监听,通过监听获取对方的口令,然后利用口令去解决一些问题!并且现在的数据也是非常地值钱,一旦手机被监听,可能就会有财产的损失!这对于任何人来说,都是相当糟糕的!
面对监听,我们应该怎么办?
面对监听,我们应该怎么怎么办?说句实话,面对监听,我们是一点办法都没有,尤其是手机监听,因为手机能够操作的空间是很有限的,除非换一台比较好的手机,否则监听是无处不在的!为什么监听是无处不在的呢?
因为现在都是无线通讯技术,无线信号是四面八方的,在我们周遭的空间内就充斥着无数的电波,无时无刻都在叫交换信息!不过办法不是没有,那就尽量换一条好一点的手机,比如苹果手机!为什么推荐苹果呢?
因为被苹果一家公司监听,总好过被其他乱七八糟的公司监听,苹果手机的系统是很封闭的,至今都没有开源的打算,当然啦,它也不能开发!对此,你有什么看法?欢迎下方留言!
如果你想了解得更多,那就更关注我们吧!
1626阅读
十大垃圾手机排行榜
手机被公安监控的症状
怎么定位手机位置
自测手机被监听
手机被监听的10个征兆
如何发现手机被定位