黑客入侵的一般過程

     第一：進入系統 

　　1. 掃描目標主機。

　　2. 檢查開放的端口，獲得服務軟件及版http://.本。

　　3. 檢查服務軟件是否存在漏洞，如果是，利用該漏洞遠程進入系統；否則進入下一步。

　　4. 檢查服務軟件的附屬程序(*1)是否存在漏洞，如果是，利用該漏洞遠程進入系統；否則進入下一步。 5. 檢查服務軟件是否存在脆弱帳號或密碼，如果是，利用該帳號或密碼系統；否則進入下一步。 6. 利用服務軟件是否可以獲取有效帳號或密碼，如果是，利用該帳號或密碼進入系統；否則進入下一步。

　　7. 服務軟件是否洩露系統敏感信息，如果是，檢查能否利用；否則進入下一步。

　　8. 掃描相同子網主機，重復以上步驟，直到進入目標主機或放棄。

　 第二：提升權限 

　　1. 檢查目標主機上的SUID和GUID程序是否存在漏洞，如果是，利用該漏洞提升權限，否則進入下一步。

　?. 檢查本地服務是否存在漏洞，如果是，利用該漏洞提升權限，否則進入下一步。

　　3. 檢查本地服務是否存在脆弱帳號或密碼，如果是，利用該帳號或密碼提升權限；否則進入下一步。

　　4. 檢查重要文件的權限是否設置錯誤，如果是，利用該漏洞提升權限，否則進入下一步。

　　5. 檢查配置目錄(*2)中是否存在敏感信息可以利用。

　　6. 檢查用戶目錄中是否存在敏感信息可以利用。

　　7. 檢查臨時文件目錄(*3)是否存在漏洞可以利用。

　　8. 檢查其它目錄(*4)是否存在可以利用的敏感信息。

　　9. 重復以上步驟，直到獲得root權限或放棄。

　第三：放置後門

　　最好自己寫後門程序，用別人的程序總是相對容易被發現。

　第四：清理日志

　　最好手工修改日志，不要全部刪除，也不好使用別人寫的工具。

　　附加說明：

　　*1 例如WWW服務的附屬程序就包括CGI程序等

　　*2 這裡指存在配置文件的目錄，如/etc等

　　*3 如/tmp等，這裡的漏洞主要指條件競爭

　　*4 如WWW目錄，數據文件目錄等 /*****************************************************************************/好了，大家都知道了入侵者入侵一般步驟及思路 那麼我們開始做入侵檢測了。

　　第一步、我們都知道一個入侵者想要入侵一台服務器首先要掃描這台服務器，搜集服務器的信息，以便進一步入侵該系統。系統信息被搜集的越多，此系統就越容易被入侵者入侵。 所以我們做入侵檢測時，也有必要用掃描器掃描一下系統，搜集一下系統的一些信息，來看看有沒有特別流行的漏洞(呵呵這個年頭都時興流行哦：)

　　第二步、掃描完服務器以後，查看掃描的信息－－－－>分析掃描信息。如果有重大漏洞－－－－>修補(亡羊補牢，時未晚)，如果沒有轉下一步。

　　第三步、沒有漏洞，使用殺毒工具掃描系統文件，看看有沒有留下什麼後門程序，如：nc.exe、srv.exe……如果沒有轉下一步。

　　第四步、入侵者一般入侵一台機器後留下後門，充分利用這台機器來做一些他想做的事情，如：利用肉雞掃描內網，進一步擴大戰果，利用肉雞作跳板入侵別的網段的機器，嫁禍於這台機器的管理員，跑流影破郵箱……

　　如何檢測這台機器有沒有裝一些入侵者的工具或後門呢？

　　查看端口(偏好命令行程序，舒服)

　　1、fport.exe－－－>查看那些端口都是那些程序在使用。有沒有非法的程序，和端口 winshell.exe 8110 暈倒～後門 net use 誰在用這個連接我？

　　2、netstat -an ---->查看那些端口與外部的ip相連。 23 x.x.x.x 沒有開23端口，怎麼自己打開了？？黑客！？

　　3、letmain.exe \\ip -admin -d 列出本機的administrators組的用戶名查看是否有異常。 怎麼多了一個hacker用戶？？<＝＝>net user id

　　4、pslist.exe---->列出進程<==>任務管理器

　　5、pskill.exe---->殺掉某個進程，有時候在任務管理器中無法中止程序那就用這個工具來停止進程吧。

　　6、login.exe ---->列出當前都有那些用戶登錄在你的機器上，不要你在檢測的同時，入侵者就在破壞:

　　7、查看日志文件--->龐大的日志文件--->需要借助第三方軟件來分析日志 記錄了入侵者掃描的信息和合法用戶的正確請求

　　Find “scirpts/..” C:\WINNT\system32\LogFiles\W3SVC1\ex010705.log --解碼漏洞？？誰在掃描我？

　　8、查看 Web 目錄下文件改動與否 留沒有留 asp php 後門……查看存放日志文件的目錄 GUI 查看顯示所有文件和文件夾 z[-6QwE

　　技巧：查看文件的修改日期，我兩個月沒有更新站點了(好懶：)，怎麼 Web 目錄下有最近修改文件的日期？？奇怪吧？：) "DYN}

　　＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃ 驅動器 C 中的卷是 system Server D7

　　卷的序列號是 F4EE-CE39

　　R-hgl8F

　　C:\WINNT\system32\LogFiles\W3SVC1 的目錄 ?

　　2001-07-05 02:43 1,339 ex010704.log

　　2001-07-05 23:54 52,208 ex010705.log

　　2001-07-07 22:59 0 ex010707.log

　　2001-07-08 22:45 0 ex010708.log

　　2001-07-10 08:00 587 ex010709.log

　　恩？奇怪？怎麼沒有 2001-07-06 那天的日志文件？？可疑……2001-07-07、2001-07-08 兩天的日志文件大小為零，我得網站訪問量怎麼兩天都是空？？沒有那麼慘吧：(好奇怪？！＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃

　　驅動器 D 中的卷是 新加卷

　　卷的序列號是 28F8-B814 D:\win 2000 的目錄

　　2001-06-03 17:43

　　2001-06-03 17:43
..

　　2001-06-03 17:43
CLIENTS

　　2001-06-03 17:43
BOOTDISK

　　2001-06-03 17:43
I386

　　2001-06-03 17:46
PRINTERS

　　2001-06-03 17:46
SETUPTXT

　　2001-06-03 17:46
SUPPORT

　　2001-06-03 17:46
VALUEADD

　　2000-01-10 20:00 45 AUTORUN.INF

　　2000-01-10 20:00 304,624 BOOTFONT

　　2000-01-10 20:00 5 CDROM_IS.5

　　2000-01-10 20:00 5 CDROM_NT.

　　2000-01-10 20:00 12,354 READ1ST

　　2000-01-10 20:00 465,408 README.DOC

　　2000-01-10 20:00 267,536 SETUP.EXE

　　2001-06-04 17:37
SP1

　　2001-06-27 16:03
sp2

　　2001-07-06 00:05
system --->從來沒有修改或安裝什麼文件程序啊 什麼時候多了system目錄？這個是我安裝 win 2000 的安裝文件。 日期怎麼不對 2001-07-06，日志文件也沒有 2001-07-06 的這一天的記錄，可疑…….

　　7 個文件 1,049,977 字節 12 個目錄 10,933,551,104 可用字節

　＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃ 總的來說入侵檢測包括：

　　一、基於80端口入侵的檢測 CGI IIS 程序漏洞……

　　二、基於安全日志的檢測 工作量龐大

　　三、文件訪問日志與關鍵文件保護 )

　　四、進程監控 後門什麼的

　　五、注冊表校驗 木馬

　　六、端口監控 21 23 3389 …

　　七、用戶 我覺得這個很重要，因為入侵者進入系統以後，為了方便以後的“工作”通常會加一個用戶或者激活guest帳號提升為管理員的

　　/************** 借助第三方軟件協助分析 IDS Firewall …..***********************/

　　對 unix & linux 入侵檢測說幾句

　　有必要先用掃描器掃描一下系統，搜集一下資料 CGI RPC TELNETD FTP ……本地遠程溢出漏洞……

　　1、檢查 suid sgid 程序

　　find / -user root -perm -4000 -print --常用

　　find / -group kmem -perm -2000 -print 

　　2、查看系統的二進制文件是否被更改

　　如：ls su telnet netstat ifconfig