欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

黑客入侵网站会留下哪些痕迹

来源:本站整理 作者:佚名 时间:2017-07-23 TAG: 我要投稿

黑客入侵网站会留下哪些痕迹?
1、隐藏不完美,有痕迹可循
2、没后台
3、得罪了不该得罪的势力
尽管为服务器设计软件的软件工程师们想方设法提高系统的安全性,然而由于系统管理员的水平参差不齐或安全意识底下,往往给黑客提供了入侵的机会。
其实每一个黑客都有自己独到的方法。黑客协会创始人花无涯对于入侵网站服务器的资料收集了很多,但是因为实际情况的不同,往往造成许多方法的失效;由此可见,每一个网站的情况都不同,需要入侵者区分对待。假设深圳的线路比北京的线路要好的多,从而给了词典穷举很大的方便,深圳用户就可以依靠这个优势在线攻击口令,作为北京的用户就需要优先考虑其它办法了。针对这么多的入侵手段,笔者参考H ackalot先生这位黑客界名人的一篇文章给大家介绍一下入侵网站的基本步骤。

分析一部分的主页被黑的事例可以发现使用入侵者最热衷于入侵Web服务器FTP服务器
先说1、目前稍微有一定技术实力的黑客,都知道销毁活隐藏入侵和嗅探的痕迹,来掩盖自己,但入侵痕迹容易隐藏,利益链却很难隐藏,很少有入侵行为是不带利益诉求的,所以一般通过追踪获益途径往往能找到目标人物。(挂马,盗号,攻击竞争对手是最常见的几种)
2、这个不能多说,最近频繁被知乎管理员锁帖,闭门分享会讲过这方面案例,公开的就不讲了。
3、其实目前中国在抓捕网络黑客方面还是抓了不少人的,但是实际上曝光的不多,简单说就是一个词,家丑不可外扬,巨头们抓黑客谁也不愿意声张出去,所以给人的假象是黑客是抓不到的,实则不然。
但是小公司,创业团队往往会有无力感。
所以,这是第三个要点,黑客被抓,往往是得罪了不该得罪的势力,千万不要小看中国的网警,他们认真起来,破案是很快的,六省断网那例子多明显。当然想学习高超的黑客技术,推荐技术书籍《网络黑白》某宝有售。
判断黑客身份和行为
第1题:某公司信息系统存在异常,于是请求你立即对数据进行分析,从中发现有黑客尝试对主机进行扫描,请从数据包1中找到黑客的IP
第2题:通过对攻击ip进行过滤,请问攻击的扫描方式是什么?(如:目录扫描)
第3题:获取到那些开放的端口,请从1-60000依次列出(如:77/99/188/4999/18888)
第4题:并获取到了服务器部分的信息,请问服务器的操作系统是什么?(如:windows7)
首先题目1告诉有黑客尝试对主机进行扫描,那么我们知道主机扫描一般就是发送TCP包,看目标主机是否回应,来判断目标主机或目标端口是否开启
TCP三次握手的过程就是
源==》SYN==》目标
源《==SYN ACK《==目标
源==》ACK==》目标
当这三个过程完成后源和目标就建立了连接。
端口存活判断方式
那么扫描时如何判断目标是否开启呢?就看哪方先发出RST包
在TCP协议中RST表示复位,用来异常的关闭连接,在TCP的设计中它是不可或缺的。发送RST包关闭连接时,不必等缓冲区的包都发出去,直接就丢弃缓存区的包发送RST包。而接收端收到RST包后,也不必发送ACK包来确认。
比如在主机241向主机114发送一个SYN请求,表示想要连接主机114的40000端口,但是主机114上根本没有打开40000这个端口,于是就向主机241发送了一个RST。
源==》SYN==》目标
源《==RST ACK《==目标
连接请求中断,判断目标未开启
而当主机114的40000端口开启时,就会向主机241返回SYN ACK包。但是主机241并不是真的想和40000端口建立连接,这时主机241就会主动发出一个RST包来中断连接,并判断目标端口开启。
源==》SYN==》目标
源《==SYN ACK《==目标
源==》RST==》目标
连接请求中断,判断目标开启
简而言之,当目标机发送RST时,目标未开启。当源发送RST时,则可判断目标开启
数据分析
查看tcp包发现192.168.1.136这个地址的47665端口向192.168.1.107的各个端口发送了大量的tcp连接请求,那么我就可以判断这192.168.1.136在进行端口扫描了

请点击此处输入图片描述
然后使用语句
tcp.connection.rst and ip.src==192.168.1.136
即可查看192.168.1.136发出的RST包

请点击此处输入图片描述
这里列出的被发送RST包的端口就是开启的端口了,在info里可以看到有135/139/445/3306/8001/8002/8008/8899/49152/49153/49154/49155/49156/49157
在192.168.1.136访问192.168.1.107的网站时返回的http包中发现了apache服务器是Win32位的,可以判断这个服务器是WinServer2K3或XP的,是相当老的服务器了。

请点击此处输入图片描述
所以1-4题的结果就是
第1题:某公司信息系统存在异常,于是请求你立即对数据进行分析,从中发现有黑客尝试对主机进行扫描,请从数据包1中找到黑客的IP
192.168.1.136
第2题:通过对攻击ip进行过滤,请问攻击的扫描方式是什么?(如:目录扫描)

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载