第六章 网络后门与网络隐身
1. 留后门的原则是什么?
答:后门的好坏取决于被管理员发现的概率,留后门的原则就是不容易被发现,让管理员看了没有感觉、没有任何特别的地方。
2. 如何留后门程序?列举三种后门程序,并阐述原理及如何防御。
答:网络攻击经过踩点、扫描、入侵以后,如果攻击成功,一般就可以拿到管理员密码或者得到管理员权限。第一,Login后门。在Unix里,login程序通常用来对telnet来的用户进行口令验证。入侵者获取login。c的原代码并修改,使它在比较输入口令与存储口令时先检查后门口令。如果用户敲入后门口令,它将忽视管理员设置的口令让你长驱直入。这将允许入侵者进入任何账号,甚至是root。由于后门口令是在用户真实登录并被日志记录到utmp和wtmp前产生一个访问的,所以入侵者可以登录获取shell却不会暴露该账号。管理员注意到这种后门后,便用“梁静茹问strings”命令搜索login程序以寻文本信息。许多情况下后门口令会原形毕露。入侵者就开始加密或者更好的隐藏口令,使strings命令失效。所以更多的管理员是用MD5校
验和检测这种后门的。第二,线程插入后门。这种后门在运行时没有进程,所有网络操作均播入到其他应用程序的进程中完成。也就是说,即使受控制端安装的防火墙拥有“应用程序访问权限”的功能,也不能对这样的后门进行有效的警告和拦截,也就使对方的防火墙形同虚设!这种后门本身的功能比较强大,是现在非常主流的一种,对它的查杀比较困难,很让防护的人头疼。第三,网页后门。网页后门其实就是一段网页代码,主要以ASP和PHP代码为主。由于这些代码都运行在服务器端,攻击者通过这段精心设计的代码,在服务器端进行某些危险的操作,获得某些敏感的技术信息或者通过渗透,提权获得服务器的控制权。并且这也是攻击者控制服务器的一条通道,比一般的入侵更具有隐蔽性。防御后门的方法主要有:建立良好的安全习惯,关闭或删除系统中不需要的服务,经常升级安全补丁,设置复杂的密码,迅速隔离受感染的计算机,经常了解一些反病毒资讯,安装专业的防毒软件进行全面监控等。
3. 简述终端服务的功能,如何连接到终端服务器上?如何开启对方的终端服务?
答:终端服务是Windows操作系统自带的,可以通过图形界面远程操纵服务器。可通过以下三种方式连接到终端服务器上:第一,利用Windows 2000自带的终端服务工具
e。该工具中只需设置要连接主机的IP地址和连接桌面的分辨率即可。第二,使用Windows XP自带的终端服务连接器。它的界面比较简单,只要输入对方主机的IP地址就可以了。第三,使用Web方式连接,该工具包含几个文件,需要将这些文件配置到IIS的站点中去。假设对方不仅没有开启终端服务,而且没有安装终端服务所需要的软件,使用工具软件可以给对方安装并开启该服务。
4. 简述木马由来,并简述木马和后门的区别。
答:“木马”一词来自于“特洛伊木马”,英文名称为Trojan Horse。传说希腊人围攻特洛伊城,久久不能攻克,后来军师想出了一个特洛伊木马计,让士兵藏在巨大的特洛伊木马中,部队假装撤退而将特洛伊木马丢弃在特洛伊城下,让敌人将其作为战利品拖入城中,到了夜里,特洛伊木马内的士兵便趁着夜里敌人庆祝胜利、放松警惕的时候从特洛伊木马里悄悄地爬出来,与城外的部队里应外合攻下了特洛伊城。由于特洛伊木马程序的功能和此类似,故而得名。本质上,木马和后门都是提供网络后门的功能,但是木马的功能稍微强大一些,一般还有远程控制的功能,后门程序则功能比较单一,只是提供客户端能够登录对方的主机。黄花梨木
5. 简述网络代理跳板的功能。
答:网络代理跳板作用如下:当从本地入侵其他主机时,本地IP会暴露给对方。通过将某一台主机设置为代理,通过该主机再入侵其他主机,这样就会留下代理的IP地址而有效地保护自己的安全。本地计算机通过两级代理入侵某一台主机,这样在被入侵的主机上,就不会留下自己的信息。可以选择更多的代理级别,但是考虑到网络带宽的问题,一般选择两到三级代理比较合适。
6. 系统日志有哪些?如何清楚这些日志?
答:系统日志包括IIS日志,应用程序日志、安全日志和系统日志等。清除日志最简单的方法是直接到该目录下删除这些文件夹,但是文件全部删除以后,一定会引起管理员的怀疑。一般入侵的过程是短暂的,只会保存到一个Log文件,只要在该Log文件删除所有自己的记录就可以了。使用工具软件可以删除IIS日志。使用工具软件可以方便地清除系统日志,首先将该文件上载到对方主机,然后删除这3种主机日志。清除命令有4种:Clearel System,Clearel Security,Clearel Application和Clearel All。
7.利用三种方法在对方计算机种植后门程序。
1)利用工具RTCS.vbe远程启动Telnet服务:利用主机上的Telnet服务,有管理员密码就可以登录到对方的命令行,进而操作对方的文件系统。
2)利用工具记录修改的新密码。
3)建立Web服务和Telnet服务:使用工具软件可以在对方的主机上开启两个服务:Web服务和Telnet服务其中Web服务的端口是808,Telnet服务的端口是707安贤洙为什么执教中国队执行很简单,只要在对方的命令行下执行一下就可以
8.在对方计算机上种植“冰河”程序,并设置“冰河”的服务端口是“8999”,连接的密码是“0987654321”。
首先将文件在远程计算机上执行后,通过文件来控制远程服务器。然后在冰河界面处设置端口为8999。选择菜单栏“设置”下的菜单项“配置服务器程序”,将访问口令设置为0987654321.
9.使用二级网络跳板对某主机进行入侵。
使用snake代理跳板。
首先将“sksockserver -install”安装主机中。然后运行“sksockserver –config port 1122”并设置端口为1122.再执行“sksockserver –config starttype 2”将服务的启动方式设置为自动启动。然后执行“net start skserver”启动代理服务。其后,使用“nerstat -an”命令查看1122端口是否开放。然后设置完毕后再在网络上其他主机设置二级代理。跟本机同样的的代理配置。使用。选择主菜单“配置”下的菜单项目“经过的SkServer”我和我的祖国歌词歌词,将复选框“允许”勾上。然后打开“客户端”选项,设置子网掩码“255.255.255.255”并勾上“允许”。再点“开始”。然后安装再安装补丁。出现了“SocksCap”设置代理服务器为本地IP地址,端口1913,选择原神必练角推荐SOCKS版本5作为代理。然后添加需要代理的应用程序。然后“运行”。
10.编程实现当客户端连接某端口的时候,自动在目标主机上建立一个用户“Hacker晚安温馨的句子”,密码“HackerPWD”,并将该用户添加到管理员组。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论