网站入侵最常用的方法有两种:网页注入和利用网站系统漏洞入侵。如果网站全部使用的是HTML静态网页,同时只开放了很少的网络端口,那么黑客就不能对网站进行NetBIOS和IPC$入侵。遇到这种情况,有经验的黑客会如何进行入侵呢?这时,通过“IIS写权限”进行入侵是他们的选择之一。www.sq120.com推荐文章
黑客姓名:张宁
黑客特长:编写使用各种网页木马
使用工具:IIS写权限扫描工具、IIS写权限利用工具
黑客自白:我喜欢研究入侵网站传播木马的方法,自从网页注入这种方法流行以来,网站管理员也越来越注意对这种漏洞的防范。既然这种流行的入侵方法不行,那么黑客就会另辟蹊径利用一些传统的“漏洞”进行入侵,果然利用“IIS写权限”黑客轻松入侵了很多远程计算机。
IIS写权限形成原因
“IIS写权限”是由当年引发大漏洞的Windows WebDAV组件提供的服务器扩展功能,主要用于直接向远程服务器目录写入文件,为管理员执行某些远程操作提供方便。虽然这种情况被网友戏称为“IIS写权限漏洞”,但是这种说法并不准确,因为这个所谓的“漏洞”的形成原因主要是由于管理员对IIS设置不当造成的。
也就是说,即使是远程系统安装了所有已知的安全补丁的操作系统,那么也会因为IIS的设置不当,给远程服务器的安全带来极大的隐患,因为默认配置的IIS是开放匿名写权限的。wWW.iTcomPUter.COM.cN
因此入侵者可以向Web目录写入一些具有危害作用的文件,例如恶意脚本、网页木马、ASP木马等。这样就为全面入侵远程服务器,打开了一扇方便之门。
成功利用IIS写权限
首先,通过Ping命令将网站地址转换为IP地址,接着打开IIS写权限扫描工具,在“Start IP”和“End IP”选项中设置网站所在的IP地址段。
为了能够更好地进行扫描,最好将软件默认的扫描线程由100改成20,接着点击“Scan”按钮即可(图1)。另外在扫描过程中,最好关闭系统中的网络防火墙,否则会得不到程序的反馈信息。
扫描完成后,IIS写权限扫描工具会将存在漏洞的远程计算机,通过红色感叹号的形式反映出来。在扫描列表中选择这个漏洞主机,点击鼠标右键中的“Put file”命令,设置上传文件的名称,在数据输入框中输入上传文件的内容,最后点击“PUT”按钮即可上传成功(图2)。
运行IIS写权限利用工具,可进行ASP木马权限的写入操作。将“数据包格式”选项设为“Move”,接着在“域名”选项中设置有漏洞主机的IP地址,然后在“请求文件”选项中设置刚刚上传的TXT文件的地址和名称,最后点击“提交数据包”按钮即可将该文本文件的格式改为shell..asp(图3)。 运行桂林老兵的远程控制工具WSC,点击“工具”菜单下的“SHELL管理”命令,然后在弹出的窗口设置服务端网页的地址,然后点击“连接→添加→修改”按钮即可进行操作。
通过WSC可以进行“文件管理”、“SHELL命令”、“数据库管理”、“网站监视”、“我的日志”等管理操作,足可以让用户有效地管理远程服务器(图4)。
挡住危险的NTFS交换数据流
目前很多杀毒软件并不检查交换数据流中的数据。使用NTFS交换数据流隐藏木马的确可以起到很好的隐藏作用。
虽然微软系统本身没有检测交换数据流的工具。不过,我们可以用微软开发的Streams.exe工具(下载地址:http://download.cpcw.com)来检查并删除系统NTFS分区中的交换数据流。
检查C盘中的交换数据流:Streams.exe -s c:
删除C盘中的交换数据流:Streams.exe -d c:
检测可疑图片文件的交换数据流:Streams.exe -s *.jpg
删除可疑图片文件的交换数据流:Streams.exe -d *.jpg
另外,我们还可以借助能够检测交换数据流的软件(比如超级巡警)来检测NTFS分区和可疑文件,一旦发现问题,立即删除。
如何删除电脑中隐藏的木马
木马在互联网上肆虐,我们一不小心就会成为黑客手中的肉鸡。到时自己的电脑成为被黑客控制的傀儡,而且自己的个人隐私也完全暴露。拒绝黑客控制,我的电脑我做主。在五一节后这一黑客大肆捕获肉鸡的时段开始了,我们针对木马特点,用4招自检避免成为黑客肉鸡。
小知识:肉鸡实际上就是中了黑客的木马,或者被安装了后门程序的电脑。黑客可以像计算机管理员一样对肉鸡进行所有操作。现在许多人把有WEBSHELL权限的远程主机也叫做肉鸡。
第一招:系统进程辨真伪
当前流行的木马,为了更好地对自身加以隐藏,使用了很多方法进行自身隐蔽,其中最常见的就是进程隐藏。这种方法不仅让人很难通过常见的检查手法查找到,如果用户操作不当的话还可能将系统进程删除,造成系统不稳定甚至崩溃。常见的这类木马程序包括灰鸽子、守望者、上兴木马等。
自检方法
黑客为了对木马进行更好的伪装,常常将木马名称设置得和系统进程名称十分相似。通常系统进程都是有System用户加载的,如果我们发现某个“系统进程”是由当前用户加载的,那么这个“系统进程”一定有问题。
另外我们也可以从系统进程的路径来进行分辨,比如正常的系统进程svchost.exe应该在“c:\Windows\system32”目录下,如果用户发现它的路径在其他目录下就表明该进程有问题。
除此以外,现在的木马很注意对自身服务端程序的保护,我们通过“任务管理器”很可能查看不到木马的服务端进程,因为木马程序通过线程插入等技术对服务端程序进行了隐藏。
在这里树树建议大家使用IceSword(下载地址:http://download.cpcw.com)对进程进行管理。它除了可以查看各种隐藏的木马后门进程,还可以非常方便地终止采用多线程保护技术的木马进程。
进入IceSword点击“文件→设置”命令,去掉对话框中的“不显示状态为Deleting的进程”选项。点击程序主界面工具栏中的“进程”按钮,在右边进程列表中就可以查看到当前系统中所有的进程,隐藏的进程会以红色醒目地标记出(图1)。
另外,如果发现多个IE进程、Explore进程或者Lsass进程,那么我们就要留意了。因为很多木马都会伪装成这几个进程访问网络。
应对方法
在IceSword的进程列表中选择隐藏的木马程序,点击鼠标右键中的“强行结束”命令即可结束这个进程。然后点击IceSword的“文件”按钮,通过程序模拟的资源管理器命令,找到并删除木马程序的文件即可。]
第二招:启动项中细分析
一些木马程序通过系统的相关启动项目,使得相关木马文件也可以随机启动,这类木马程序包括TinyRAT、Evilotus、守望者等。
检方法
运行安全工具SysCheck(下载地址:http://download.cpcw.com),点击“服务管理”按钮后即可显示出当前系统中的服务信息,如果被标注为红色的就是增加的非系统服务。通过“仅显示非微软”选项就可以屏蔽系统自带的服务,这样恶意程序添加的服务项就可以立刻现形。
点击“修改时间”或“创建时间”选项,就可以让用户马上查看到新建的系统服务(图2)。从图中我们可以看到一个被标注为红色、名称为Windows Media Player的系统服务,该服务所指向的是一个不明程序路径。因此可以确定该服务就是木马程序的启动服务。
通过安全工具SysCheck的“活动文件”项目,可以显示出包括启动项等信息在内的、容易被恶意程序改写的系统注册表键值。比如现在某些恶意程序,通过修改系统的“load”项进行启动,或者修改系统的BITS服务进行启动。由于SysCheck程序只是关注改写了的键值,所以在不同的系统上显示的内容并不一样。
应对方法
进入SysCheck点击鼠标右键中的“中止服务”选项,中止该木马程序的启动服务,接着点击“删除服务”命令删除指定的服务键值。然后点击“文件浏览”按钮,由于SysCheck采用了反HOOK手段,所以内置的资源管理器可以看到隐藏的文件或文件夹,这样就方便了我们进行隐藏文件的删除工作。按照木马服务所指的文件路径,找到文件后点击鼠标右键中的“删除”按钮即可。
第三招:系统钩子有善恶
木马程序之所以能成功地获取用户账号信息,就是通过钩子函数对键盘以及鼠标的所有操作进行监控,在辨别程序类型后盗取相应的账号信息。也就是说,只要拥有键盘记录功能的木马程序,就肯定会有系统钩子存在。
自检方法
通过游戏木马检测大师(下载地址:http://download.cpcw.com)的“钩子列表”功能,可以显示系统已经安装的各种钩子,这样可以显示出当前网络中流行的主流木马。
点击“钩子列表”标签进行钩子信息的查看,并且不时点击鼠标右键中的“刷新”命令对系统钩子进行刷新。因为木马程序只有在键盘记录的时候才会启用钩子,如果大家中了木马,那么很快就会在列表中有所发现了。在本例中一个名为WH_JOURNALRECORD可疑的钩子被程序以显著颜色标记出来(图3)。
这个钩子是用来监视和记录输入事件的,黑客可以使用这个钩子记录连续的鼠标和键盘事件。在此时,我们就应该引起重视,不要再使用QQ等需要输入密码的程序。
应对方法
清除方法比较简单,只要记录下动用系统钩子的进程PID,通过PID值找到该木马程序的进程后结束该进程,再输入“Regedit”打开注册表编辑器,并点击“编辑”菜单中的“查找”命令,在此窗口搜索该木马程序进程的相关消息,将找到的所有信息全部删除。
重新启动计算机,只要在安全模式下删除系统目录中的木马文件信息即可。当然也可以通过前面几种方式进行相互检测,这样可以更加有效地清除系统中的木马程序。
第四招:数据包里藏乾坤
现在,越来越多的木马程序利用了Rootkit技术。Rootkit是一种集合了系统间谍程序、病毒以及木马等特性的一种恶意程序,它利用操作系统的模块化技术,作为系统内核的一部分进行运行,有些Rootkits可以通过替换DLL文件或更改系统来攻击Windows平台。
自检方法
同样我们还是使用游戏木马检测大师这款程序,利用它的“发信检测”功能来判断自己的系统中是否被安装了木马程序。在使用该功能以前,首先需要判断系统的网卡是否工作正常。
我们关闭其他一切会扰乱网络数据捕捉的程序,然后去除“只捕获smtp发信端口(25)和Web发信端口(80)”选项,点击“开始”按钮就可以进行数据包的捕捉。如果这时捕捉到有数据包发出,就证明自己的系统中存在木马程序。
根据木马程序连接方式的不同,捕捉到的数据信息也不尽相同,但是捕捉到客户端程序的IP地址还是没有问题的(图4)。用过嗅探器的朋友都知道,我们可以通过设置过滤病毒特征数据包来发现蠕虫病毒,当然这种方法需要一定的相关知识,这里就不再叙述了。
应对方法
对于这种利用Rootkit技术的木马程序,可以直接通过一些Rootkit检测工具进行查看。比如检测工具Rootkit Detector(下载地址:http://download.cpcw.com),它通过程序内置的MD5数据库,来比较所检测到的Windows 2000/XP/2003 系统全部服务和进程的MD5校验值,这样就可以检测出系统下的Rootkit程序。
在命令提示符窗口运行命令:rd.exe,程序会自动对当前系统进行检测。程序首先会统计出系统中服务的数目、当前的进程,以及被隐藏的进程,并且将系统当前的进程用列表显示出来,然后进入安全模式进行删除即可。
常见木马以及病毒专杀工具
在这里,我们向大家提供能速杀流行木马以及病毒的专杀工具。我们可以根据需要,搭配使用这些专杀工具,让自己的电脑更加安全。
如何识别假奥运门票网
2008年北京奥运会,我们都想亲自到奥运赛场为中国选手呐喊助威,于是购买奥运门票成为当务之急。不久前,有消息称北京奥组委会可能在4月15日起开始开通奥运门票网上预订。可就在消息发布不久,网上就出现假的票务官方网站,谎称现在可以预订奥运会门票。www.sq120.com推荐文章
最近,本人为了给单位买十几张2008年北京奥运会开幕式的门票,进入了一个自称为“第29届奥林匹克运动会官方票务网站”的界面,页面中还有人文奥运的图标和福娃的标志。
网站称“我们将于2007年4月开始通过本票务网站接受广大公众的门票订购申请”,同时,还在网页右侧公布了一个订票服务的热线电话。我按照热线电话的号码打了过去,对方自称该网站出售的是正规的北京奥运会门票,并且声称现在已经开始预订发售,并且说“只要把钱汇入指定的账户就可以拿到门票了。”
我询问奥运会开幕式的门票的价格,对方称“5000元票价的门票已经卖完,现在只能买到便宜点儿的。”为了更好的进行确认,我又登录到http://www.beijing2008.cn,在首页右上角正好有“票务”一项。
点击进入后,看到网页声明“门票目前尚未发售。为了确保门票销售的公平性,我们将于2007年4月开始,通过本票务网站以及遍布全国的指定中国银行网点接受广大公众的门票订购申请。对于超额申购的场次,我们将通过抽签方式分配门票。”
这下我明白了,“第29届奥林匹克运动会官方票务网站”是利用北京奥运会门票设计的一场网络欺诈。为了证明我的判断,我又致电北京奥组委,工作人员称奥运会门票还没有正式发售,我登录的“第29届奥林匹克运动会官方票务网站”也非官方网站,称现在可以购买奥运会门票的信息也是假的。
而北京奥运会的唯一官方票务网站是:www.tickets.beijing2008.cn。工作人员称,想购买奥运会门票的公众,现在可以在官方网站注册后,于4月下旬再提交具体信息购买,目前购买奥运会门票的具体时间还没有确定。
树树:利用重大赛事的票务进行欺诈已经不是第一次出现了。早在2004年欧锦赛门票销售中就曾经出现过网上订购的诈骗行为,一些集体订购套票的公司大呼上当,它们订购的门票均无法得到确认。树树提醒各位读者,如果想购买北京奥运会的门票,一定要认准北京奥组委会的官方网站和其指定的机构才行。
From:http://www.itcomputer.com.cn/Article/Network/201309/444.html