黑客技术初级教程
黑客入门(超级详细版)(高清版)
一.黑客的分类和行为 以我的理解,“黑客”大体上应该分为“正”、“邪”两类,正派黑客依靠自己掌握的知识帮助系统管理员找出系统中的漏洞并加以完善,而邪派黑客则是通过各种黑客技能对系统进行攻击、入侵或者做其他一些有害于网络的事情,因为邪派黑客所从事的事情违背了《黑客守则》,所以他们真正的名字叫“骇客”(C r a c k e r)而非“黑客”(H a c k e r),也就是我们平时经常听说的“黑客”(C a c k e r)和“红客”(H a c k e r)。
无论那类黑客,他们最初的学习内容都将是本部分所涉及的内容,而且掌握的基本技能也都是一样的。
即便日后他们各自走上了不同的道路,但是所做的事情也差不多,只不过出发点和目的不一样而已。
很多人曾经问我:“做黑客平时都做什么?是不是非常刺激?”也有人对黑客的理解是“天天做无聊且重复的事情”。
实际上这些又是一个错误的认识,黑客平时需要用大量的时间学习,我不知道这个过程有没有终点,只知道“多多益善”。
由于学习黑客完全出于个人爱好,所以无所谓“无聊”;重复是不可避免的,因为“熟能生巧”,只有经过不断的联系、实践,才可能自己体会出一些只可意会、不可言传的心得。
在学习之余,黑客应该将自己所掌握的知识应用到实际当中,无论是哪种黑客做出来的事情,根本目的无非是在实际中掌握自己所学习的内容。
黑客的行为主要有以下几种:一、学习技术:互联网上的新技术一旦出现,黑客就必须立刻学习,并用最短的时间掌握这项技术,这里所说的掌握并不是一般的了解,而是阅读有关的“协议”(r f c)、深入了解此技术的机理,否则一旦停止学习,那么依靠他以前掌握的内容,并不能维持他的“黑客身份”超过一年。
初级黑客要学习的知识是比较困难的,因为他们没有基础,所以学习起来要接触非常多的基本内容,然而今天的互联网给读者带来了很多的信息,这就需要初级学习者进行选择:太深的内容可能会给学习带来困难;太“花哨”的内容又对学习黑客没有用处。
黑客技术入门教程
黑客技术入门教程黑客技术入门教程黑客技术入门教程第一节、黑客的种类和行为以我的理解,“黑客”大体上应该分为“正”、“邪”两类,正派黑客依靠自己掌握的知识帮助系统管理员找出系统中的漏洞并加以完善,而邪派黑客则是通过各种黑客技能对系统进行攻击、入侵或者做其他一些有害于网络的事情,因为邪派黑客所从事的事情违背了《黑客守则》,所以他们真正的名字叫“骇客”(Cracker)而非“黑客”(Hacker),也就是我们平时经常听说的“黑客”(Cacker)和“红客”(Hacker)。
无论那类黑客,他们最初的学习内容都将是本部分所涉及的内容,而且掌握的基本技能也都是一样的。
即便日后他们各自走上了不同的道路,但是所做的事情也差不多,只不过出发点和目的不一样而已。
很多人曾经问我:“做黑客平时都做什么?是不是非常刺激?”也有人对黑客的理解是“天天做无聊且重复的事情”。
实际上这些又是一个错误的认识,黑客平时需要用大量的时间学习,我不知道这个过程有没有终点,只知道“多多益善”。
由于学习黑客完全出于个人爱好,所以无所谓“无聊”;重复是不可避免的,因为“熟能生巧”,只有经过不断的联系、实践,才可能自己体会出一些只可意会、不可言传的心得。
在学习之余,黑客应该将自己所掌握的知识应用到实际当中,无论是哪种黑客做出来的事情,根本目的无非是在实际中掌握自己所学习的内容。
第二节、黑客应掌握的基本技能从这一节开始,我们就真正踏上学习黑客的道路了,首先要介绍的是作为一名初级黑客所必须掌握的基本技能,学习这可以通过这一节的阅读了解到黑客并不神秘,而且学习起来很容易上手。
为了保证初学者对黑客的兴趣,所以本书采取了循环式进度,也就是说每一章节的内容都是独立、全面的,学习者只有完整的学习过一章的内容,才能够进而学习下一章的内容。
一、了解一定量的英文:学习英文对于黑客来说非常重要,因为现在大多数资料和教程都是英文版本,而且有关黑客的新闻也是从国外过来的,一个漏洞从发现到出现中文介绍,需要大约一个星期的时间,在这段时间内网络管理员就已经有足够的时间修补漏洞了,所以当我们看到中文介绍的时候,这个漏洞可能早就已经不存在了。
电脑黑客技术新手入门
电脑黑客技术新手入门电脑黑客技术可以说是一个非常神秘的领域,在大多数人的印象中,黑客是一个具有破坏性的人物形象,总是与犯罪行为联系在一起。
然而,事实上,黑客技术并不仅仅是用于非法入侵和攻击的工具,正规的黑客技术也可以用于增强网络系统的安全性。
本文将介绍电脑黑客技术的新手入门,并强调合法和道德的使用。
1. 了解黑客技术的基础知识在入门之前,了解黑客技术的基础知识是非常重要的。
黑客技术可以分为两类:黑帽黑客和白帽黑客。
黑帽黑客是指那些利用黑客技术进行非法活动或违法行为的人,而白帽黑客则是通过合法手段来测试和保护网络系统的安全性。
2. 学习编程知识作为一个电脑黑客,掌握编程知识是必不可少的。
编程语言如C、Python、Java等都是黑客技术所需的基础。
通过学习编程语言,你将能够编写自己的工具和脚本来进行黑客攻击和防御。
3.了解网络和系统知识了解网络和系统的工作原理对于成为一名合格的黑客也是非常重要的。
你需要学习TCP/IP协议、网络安全和渗透测试等相关知识。
此外,了解各种操作系统(如Windows、Linux等)以及它们的运行原理也是必须的。
4. 学习渗透测试渗透测试是一种通过模拟真实的黑客攻击来发现和修补网络系统中的漏洞的方法。
作为一名新手,学习渗透测试可以帮助你了解黑客能够利用的各种漏洞和攻击方法,从而更好地保护自己的网络系统。
5. 提高自己的网络安全意识拥有良好的网络安全意识是成为一名合格黑客的关键。
你需要了解常见的网络攻击类型,如DDoS攻击、社交工程攻击等,并学习如何防御这些攻击。
此外,定期更新自己的系统和软件,使用强密码以及加密重要的数据都是保护自己网络安全的重要措施。
6. 参加合法的黑客竞赛和培训参加合法的黑客竞赛和培训可以帮助你不断提升黑客技术水平。
这些活动通常提供了一系列实践机会,让你能够应用和发展自己的技能,并与其他黑客社群交流互动。
7. 遵守法律和道德规范作为一名黑客,遵守法律和道德规范是非常重要的。
从零开始学习黑客技术入门教程(基础)-20211123073952
从零开始学习黑客技术入门教程(基础)学习黑客技术是一项既有趣又富有挑战性的任务。
它不仅可以帮助你了解网络安全,还可以提高你的计算机技能。
在这个教程中,我们将从基础开始,一步一步地教你如何成为一名黑客。
我们需要了解什么是黑客。
黑客并不是那些在电影中看到的破坏计算机系统的人。
实际上,黑客是指那些使用计算机和网络技术来探索、理解、创新和解决问题的人。
他们可以是网络安全专家、程序员、工程师等等。
1. 编程语言:编程语言是计算机程序的基础。
学习编程语言可以帮助你理解计算机的工作原理,以及如何编写代码来解决问题。
Python是一种非常适合初学者的编程语言,它简单易学,功能强大。
2. 操作系统:操作系统是计算机的核心软件,它管理计算机的硬件和软件资源。
学习操作系统可以帮助你了解计算机是如何工作的,以及如何使用计算机来完成任务。
Linux是一种非常流行的操作系统,它开源、免费,非常适合学习黑客技术。
3. 网络协议:网络协议是计算机之间进行通信的规则。
学习网络协议可以帮助你了解互联网是如何工作的,以及如何保护自己的网络安全。
TCP/IP是互联网中最常用的网络协议。
除了基础知识,你还需要学习一些黑客技术的基本工具和技巧。
这包括如何使用网络扫描工具、如何进行渗透测试、如何编写漏洞利用代码等等。
学习黑客技术需要时间和耐心,但是只要你坚持下去,你一定可以成为一名优秀的黑客。
希望这个教程可以帮助你开始你的学习之旅。
从零开始学习黑客技术入门教程(基础)学习黑客技术是一项既有趣又富有挑战性的任务。
它不仅可以帮助你了解网络安全,还可以提高你的计算机技能。
在这个教程中,我们将从基础开始,一步一步地教你如何成为一名黑客。
我们需要了解什么是黑客。
黑客并不是那些在电影中看到的破坏计算机系统的人。
实际上,黑客是指那些使用计算机和网络技术来探索、理解、创新和解决问题的人。
他们可以是网络安全专家、程序员、工程师等等。
1. 编程语言:编程语言是计算机程序的基础。
新手学黑客攻击与防范从入门到精通
13 病毒攻防
13.1 认识病毒真 面目
13.2 U盘病毒的 制作与攻击
13.3 病毒的诊断 与防范
13.4 病毒的查杀
13 病毒攻防
13.1 认识病毒真面目
13.1.1 病毒的特征 13.1.2 病毒的分类
13 病毒攻防
13.2 U盘病毒的制作与 攻击
13.2.1 U盘病毒的攻击 原理 13.2.2 打造U盘病毒 13.2.3 U盘 远程控制攻防
7.1 远程监控入门
7.1.1 远程控制基础知识 7.1.2 Windows远程桌 面连接 7.1.3 第三方远程监控软 件
7 远程控制攻防
7.2 防御远程监控
7.2.1 更改3389端口 7.2.2 取消上次远程登录的用户名 记录 7.2.3 设置强壮的密码 7.2.4 使用IPSec限定访问者 为向日葵远程创建新的桌面模式 让向日葵远程时桌面背景不再变 黑
8.2 设置/破解硬件密码
8.2.1 设置密码 8.2.2 破解密码
8 密码攻防
8.3 设置/破解系统密码
8.3.1 设置系统密码 8.3.2 破解系统登录密码
8 密码攻防
8.4 密码保护
8.4.1 系统密码保护 8.4.2 软件密码保护 快速保存宽带拨号(ADSL)的账 号和密码 使用Windows PE系统绕过系统 登录验证 怎样查看显示为星号的密码
04 第4篇 网络攻防
9 QQ和MSN安全攻防
9.1 QQ安全攻防 9.1.1 QQ密码安全攻防
9.1.2 QQ使用安全攻防 9.2 MSN攻防
使用WebQQ 备份QQ聊天记录 导入QQ聊天记录
10 电子邮件攻防
10.1 电子邮件的攻击 10.1.1 邮箱密码攻击
黑客入门教程
黑客入门教程黑客入门教程黑客(Hacker)一词原指精通电脑技术的高手,后来逐渐演化为指掌握计算机系统的安全漏洞并进行攻击的人。
然而,在现实生活中,黑客并不一定都是坏人。
一些安全研究人员也自称为“白帽黑客”,他们致力于发现并修复系统漏洞,提高计算机系统的安全性。
黑客的技能包括计算机编程、系统安全、网络通信等方面的知识。
以下是一个简单的黑客入门教程,帮助初学者理解黑客技术的基本知识和操作步骤。
1. 学习编程语言:作为一个黑客,掌握至少一种编程语言是必要的。
常用的编程语言有Python、C++、Java等。
使用这些语言,你可以更好地了解计算机的工作原理,并编写自己的程序。
2. 了解计算机网络:黑客需要了解计算机网络的基础知识,包括IP地址、端口、HTTP协议、TCP/IP协议等。
这些知识将帮助你更好地理解网络通信过程,并进行网络攻击或安全防护。
3. 学习操作系统:操作系统是黑客攻击的目标之一,也是黑客进行攻击或保护的平台。
学习操作系统,比如Windows、Linux等,可以帮助你理解系统的工作原理,并发现系统漏洞。
4. 学习网络安全:网络安全是黑客技能的核心。
学习网络安全知识,包括密码学、防护机制、入侵检测等,将帮助你提高系统的安全性,并防范他人的黑客攻击。
5. 使用合法的渠道学习:黑客技术涉及到很多法律、道德和道义问题。
为了避免违法行为,你应该使用合法的渠道学习黑客技术,比如阅读相关书籍、参加网络安全培训班等。
6. 实践并分享经验:实践是掌握黑客技术的最好方式。
你可以自己创建一个安全测试环境,模拟攻击和防御的场景,并通过实践来提升自己的技能。
同时,你也可以与其他黑客交流和分享经验,从中获取更多的知识。
总之,要成为一名合格的黑客,需要全面掌握计算机技术、网络安全和编程等方面的知识。
同时,要始终保持道德和法律意识,遵守法律规定,将技术用于正当的目的,为保护网络安全做出贡献。
黑客技术初级教程
当然大多半进击成功的典范照样应用了体系软件本身的破绽.造成软件破绽的重要原因在于编制该软件的程序员缺乏安然意识.当进击者对软件进行非正常的挪用要求时造成缓冲区溢出或者对文件的不法拜访.个中应用缓冲区溢出进行的进击最为广泛,据统计80%以上成功的进击都是应用了缓冲区溢出破绽来获得不法权限的.关于缓冲区溢出在后面用专门章节来作具体说明.无论作为一个黑客照样一个收集治理员,都须要控制尽量多的体系破绽.黑客须要用它来完成进击,而治理员须要依据不合的破绽来进行不合的防御措施.懂得最新最多的破绽信息,可以到诸如Rootshell(www.rootshell.com).Packetstorm (packetstorm.securify.com).Securityfocus (www.securityfocus.com)等网站去查找.2.权限的扩大体系破绽分为长途破绽和当地破绽两种,长途破绽是指黑客可以在此外机械上直接应用该破绽进行进击并获取必定的权限.这种破绽的威逼性相当大,黑客的进击一般都是从长途漏敞开端的.但是应用长途破绽获取的不必定是最高权限,而往往只是一个通俗用户的权限,如许经常没有办法做黑客们想要做的事.这时就须要合营当地破绽来把获得的权限进行扩大,经常是扩大至体系的治理员权限.只有获得了最高的治理员权限之后,才可以做诸如收集监听.打扫陈迹之类的工作.要完成权限的扩大,不单可以应用已获得的权限在体系上履行应用当地破绽的程序,还可以放一些木马之类的诱骗程序来套取治理员暗码,这种木马是放在当地套取最高权限用的,而不克不及进行长途控制.例如一个黑客已经在一台机械上获得了一个通俗用户的账号和登录权限,那么他就可以在这台机械上放置一个假的su程序.一旦黑客放置了假su程序,当真正的正当用户登录时,运行了su,并输入了暗码,这时root暗码就会被记载下来,下次黑客再登录时就可以应用su变成root了.进击的善后工作1.日记体系简介假如进击者完成进击后就连忙分开体系而不做任何善后工作,那么他的行踪将很快被体系治理员发明,因为所有的收集操纵系同一般都供给日记记载功效,会把体系上产生的动作记载下来.所以,为了自身的隐蔽性,黑客一般都邑抹失落本身在日记中留下的陈迹.想要懂得黑客抹失落陈迹的办法,起首要懂得罕有的操纵体系的日记构造以及工作方法.Unix的日记文件平日放鄙人面这几个地位,依据操纵体系的不合略有变更/usr/adm——早期版本的Unix./Var/adm新一点的版本应用这个地位./Varflort一些版本的Solaris. Linux BSD. Free BSD应用这个地位./etc,大多半Unix版本把Utmp放在此处,一些Unix版本也把Wtmp放在这里,这也是Syslog.conf的地位.下面的文件可能会依据你地点的目次不合而不合:acct或pacct-一记载每个用户应用的敕令记载.accesslog重要用来办事器运行了NCSA HTTP办事器,这个记载文件会记载有什么站点衔接过你的办事器.aculo保管拨出去的Modems记载.lastlog记载了比来的Login记载和每个用户的最初目标地,有时是最后不成功Login的记载.loginlog一记载一些不正常的L0gin记载.messages——记载输出到体系控制台的记载,别的的信息由Syslog来生成security记载一些应用 UUCP体系妄图进入限制规模的事例.sulog记载应用su敕令的记载.utmp记载当前登录到体系中的所有效户,这个文件陪同着用户进入和分开体系而不竭变更.Utmpx,utmp的扩大.wtmp记载用户登录和退出事宜.Syslog最重要的日记文件,应用syslogd守护程序来获得.2.隐蔽踪影进击者在获得体系最高治理员权限之后就可以随便修正体系上的文件了(只对通例 Unix体系而言),包含日记文件,所以一般黑客想要隐蔽本身的踪影的话,就会对日记进行修正.最简略的办法当然就是删除日记文件了,但如许做固然防止了体系治理员依据IP追踪到本身,但也明白无误地告知了治理员,体系己经被人侵了.所以最经常应用的办法是只对日记文件中有关本身的那一部分做修正.关于修正办法的具体细节依据不合的操纵体系有所差别,收集上有很多此类功效的程序,例如 zap. wipe等,其重要做法就是消除 stlog和 Pacct等日记文件中某一用户的信息,使得当应用st等敕令检讨日记文件时,隐蔽失落此用户的信息.治理员想要防止日记体系被黑客修正,应当采纳必定的措施,例如用打印机及时记载收集日记信息.但如许做也有弊病,黑客一旦懂得到你的做法就会不断地向日记里写入无用的信息,使得打印机不断地打印日记,直到所有的纸用光为止.所以比较好的防止日记被修正的办法是把所有日记文件发送到一台比较安然的主机上,即应用loghost.即使是如许也不克不及完整防止日记被修正的可能性,因为黑客既然能攻入这台主机,也很可能攻入loghost.只修正日记是不敷的,因为百密必有一漏,即使自以为修正了所有的日记,仍然会留下一些蛛丝马迹的.例如装配了某些后门程序,运行后也可能被治理员发明.所以,黑客高手可以经由过程调换一些体系程序的办法来进一步隐蔽踪影.这种用来调换正常体系程序的黑客程序叫做rootkit,这类程序在一些黑客网站可以找到,比较罕有的有LinuxRootKit,如今已经成长到了5.0版本了.它可以调换体系的stat.inetd等等一系列重要的体系程序,当调换了ls后,就可以隐蔽指定的文件,使得治理员在应用ls敕令时无法看到这些文件,从而达到隐蔽本身的目标.3.后门一般黑客都邑在攻入体系后不只一次地进入该体系.为了下次再进入体系时便利一点,黑客会留下一个后门,特洛伊木马就是后门的最好典范.Unix中留后门的办法有很多种,下面介绍几种罕有的后门,供收集治理员参考防备.<1>暗码破解后门这是入侵者应用的最早也是最老的办法,它不但可以获得对Unix机械的拜访,并且可以经由过程破解暗码制作后门.这就是破解口令单薄的帐号.今后即使治理员封了入侵者的当前帐号,这些新的帐号仍然可能是从新侵入的后门.多半情形下,入侵者查找口令单薄的未应用帐号,然后将口令改的难些.当治理员查找口令单薄的帐号是,也不会发明这些暗码已修正的帐号.因而治理员很难肯定查封哪个帐号.<2>Rhosts + + 后门在连网的Unix机械中,象Rsh和Rlogin如许的办事是基于rhosts文件里的主机名应用简单的认证办法.用户可以随便马虎的转变设置而不需口令就能进入. 入侵者只要向可以拜访的某用户的rhosts文件中输入"+ +",就可以许可任何人从任何地方无须口令便能进入这个帐号.特殊当home目次经由过程NFS向外共享时,入侵者更热中于此.这些帐号也成了入侵者再次侵入的后门.很多人更爱好应用Rsh,因为它平日缺乏日记才能. 很多治理员经常检讨 "+ +",所以入侵者现实上多设置来自网上的另一个帐号的主机名和用户名,从而不轻易被发明.<3>校验和及时光戳后门早期,很多入侵者用本身的trojan程序替代二进制文件.体系治理员便依附时光戳和系统校验和的程序分辩一个二进制文件是否已被转变,如Unix里的sum程序.入侵者又成长了使trojan文件和原文件时光戳同步的新技巧.它是如许实现的: 先将体系时钟拨回到原文件时光,然后调剂trojan文件的时光为体系时光.一旦二进制trojan文件与本来的准确同步,就可以把体系时光设回当前时光.Sum程序是基于CRC校验,很轻易骗过.入侵者设计出了可以将trojan的校验和调剂到原文件的校验和的程序.MD5是被大多半人推举的,MD5应用的算法今朝还没人能骗过.。
网络黑客入门教程
已具备一切可执行权及一切操作权限。现在,我们可以像操作本地主机一样,控制对方系统。
(3) idq溢出漏洞
要用到3个程序,一个Snake IIS IDQ 溢出程序GUI版本,一个扫描器,还有NC。
当看到
CGI Error
The specified CGI application misbehaved by not returning a complete
set of HTTP headers. The headers it did return are:
的提示,你已经改了他的网页了,呵呵,你想改成什么字也行。只要把命令中的中文换成你自己的中文
黑客入门教程
由于网上很多朋友问我怎么入侵别人的机器,所以整理了一些我认为容易学的漏洞入侵方法,希望能给
初学者一些帮助,下面讲的内容很简单,高手就不用浪费时间看了,:)
(1) UNICODE漏洞入侵
“Uicode漏洞”是微软IIS的一个重大漏洞。2001年最热门漏洞之一。
第一步,运行RANGSCAN扫描器,会出现扫描窗口,在最上面有两个from的横框,这是让你填一段IP范围
(目的是,利用“net.exe”激活被禁止使用的guest账户)运行该快捷方式。(此时你不会看到运行状
态,但guest用户已被激活。)然后重复操作上面的,在 “属性” —— “目标”—— c:\winnt\system32\net.exe
后面空一格,填入localgroup administrators guest /add(这一步骤目的是,利用“net.exe”
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
当然大多数攻击成功的范例还是利用了系统软件本身的漏洞。
造成软件漏洞的主要原因在于编制该软件的程序员缺乏安全意识。
当攻击者对软件进行非正常的调用请求时造成缓冲区溢出或者对文件的非法访问。
其中利用缓冲区溢出进行的攻击最为普遍,据统计80%以上成功的攻击都是利用了缓冲区溢出漏洞来获得非法权限的。
关于缓冲区溢出在后面用专门章节来作详细解释。
无论作为一个黑客还是一个网络管理员,都需要掌握尽量多的系统漏洞。
黑客需要用它来完成攻击,而管理员需要根据不同的漏洞来进行不同的防御措施。
了解最新最多的漏洞信息,可以到诸如Rootshell(www.rootshell.com)、Packetstorm(packetstorm.securify.com)、Securityfocus(www.securityfocus.com)等网站去查找。
2.权限的扩大
系统漏洞分为远程漏洞和本地漏洞两种,远程漏洞是指黑客可以在别的机器上直接利用该漏洞进行攻击并获取一定的权限。
这种漏洞的威胁性相当大,黑客的攻击一般都是从远程漏洞开始的。
但是利用远程漏洞获取的不一定是最高权限,而往往只是一个普通用户的权限,这样常常没有办法做黑客们想要做的事。
这时就需要配合本地漏洞来把获得的权限进行扩大,常常是扩大至系统的管理员权限。
只有获得了最高的管理员权限之后,才可以做诸如网络监听、打扫痕迹之类的事情。
要完成权限的扩大,不但可以利用已获得的权限在系统上执行利用本地漏洞的程序,还可以放一些木马之类的欺骗程序来套取管理员密码,这种木马是放在本地套取最高权限用的,而不能进行远程控制。
例如一个黑客已经在一台机器上获得了一个普通用户的账号和登录权限,那么他就可以在这台机器上放置一个假的su程序。
一旦黑客放置了假su程序,当真正的合法用户登录时,运行了su,并输入了密码,这时root密码就会被记录下来,下次黑客再登录时就可以使用su变成root了。
攻击的善后工作
1.日志系统简介
如果攻击者完成攻击后就立刻离开系统而不做任何善后工作,那么他的行踪将很快被系统管理员发现,因为所有的网络操作系统一般都提供日志记录功能,会把系统上发生的动作记录下来。
所以,为了自身的隐蔽性,黑客一般都会抹掉自己在日志中留下的痕迹。
想要了解黑客抹掉痕迹的方法,首先要了解常见的操作系统的日志结构以及工作方式。
Unix的日志文件通常放在下面这几个位置,根据操作系统的不同略有变化
/usr/adm——早期版本的Unix。
/Var/adm新一点的版本使用这个位置。
/Varflort一些版本的Solaris、Linux BSD、Free BSD使用这个位置。
/etc,大多数Unix版本把Utmp放在此处,一些Unix版本也把Wtmp放在这里,这也是Syslog.conf的位置。
下面的文件可能会根据你所在的目录不同而不同:
acct或pacct-一记录每个用户使用的命令记录。
accesslog主要用来服务器运行了NCSA HTTP服务器,这个记录文件会记录有什么站点连接过你的服务器。
aculo保存拨出去的Modems记录。
lastlog记录了最近的Login记录和每个用户的最初目的地,有时是最后不成功Login的记录。
loginlog一记录一些不正常的L0gin记录。
messages——记录输出到系统控制台的记录,另外的信息由Syslog来生成
security记录一些使用UUCP系统企图进入限制范围的事例。
sulog记录使用su命令的记录。
utmp记录当前登录到系统中的所有用户,这个文件伴随着用户进入和离开系统而不断变化。
Utmpx,utmp的扩展。
wtmp记录用户登录和退出事件。
Syslog最重要的日志文件,使用syslogd守护程序来获得。
2.隐藏踪迹
攻击者在获得系统最高管理员权限之后就可以随意修改系统上的文件了(只对常规Unix系统而言),包括日志文件,所以一般黑客想要隐藏自己的踪迹的话,就会对日志进行修改。
最简单的方法当然就是删除日志文件了,但这样做虽然避免了系统管理员根据IP追踪到自己,但也明确无误地告诉了管理员,系统己经被人侵了。
所以最常用的办法是只对日志文件中有关自己的那一部分做修改。
关于修改方法的具体细节根据不同的操作系统有所区别,网络上有许多此类功能的程序,例如zap、wipe等,其主要做法就是清除utmp、wtmp、Lastlog和Pacct等日志文件中某一用户的信息,使得当使用w、who、last等命令查看日志文件时,隐藏掉此用户的信息。
管理员想要避免日志系统被黑客修改,应该采取一定的措施,例如用打印机实时记录网络日志信息。
但这样做也有弊端,黑客一旦了解到你的做法就会不停地向日志里写入无用的信息,使得打印机不停地打印日志,直到所有的纸用光为止。
所以比较好的避免日志被修改的办法是把所有日志文件发送到一台比较安全的主机上,即使用loghost。
即使是这样也不能完全避免日志被修改的可能性,因为黑客既然能攻入这台主机,也很可能攻入loghost。
只修改日志是不够的,因为百密必有一漏,即使自认为修改了所有的日志,仍然会留下一些蛛丝马迹的。
例如安装了某些后门程序,运行后也可能被管理员发现。
所以,黑客高手可以通过替换一些系统程序的方法来进一步隐藏踪迹。
这种用来替换正常系统程序的黑客程序叫做rootkit,这类程序在一些黑客网站可以找到,比较常见的有LinuxRootKit,现在已经发展到了5.0版本了。
它可以替换系统的ls、ps、netstat、inetd等等一系列重要的系统程序,当替换了ls后,就可以隐藏指定的文件,使得管理员在使用ls命令时无法看到这些文件,从而达到隐藏自己的目的。
3.后门
一般黑客都会在攻入系统后不只一次地进入该系统。
为了下次再进入系统时方便一点,黑客会留下一个后门,特洛伊木马就是后门的最好范例。
Unix中留后门的方法有很多种,
下面介绍几种常见的后门,供网络管理员参考防范。
<1>密码破解后门
这是入侵者使用的最早也是最老的方法,它不仅可以获得对Unix机器的访问,而且可以通过破解密码制造后门。
这就是破解口令薄弱的帐号。
以后即使管理员封了入侵者的当前帐号,这些新的帐号仍然可能是重新侵入的后门。
多数情况下,入侵者寻找口令薄弱的未使用帐号,然后将口令改的难些。
当管理员寻找口令薄弱的帐号是,也不会发现这些密码已修改的帐号。
因而管理员很难确定查封哪个帐号。
<2>Rhosts + + 后门
在连网的Unix机器中,象Rsh和Rlogin这样的服务是基于rhosts文件里的主机名使用简单的认证方法。
用户可以轻易的改变设置而不需口令就能进入。
入侵者只要向可以访问的某用户的rhosts文件中输入"+ +",就可以允许任何人从任何地方无须口令便能进入这个帐号。
特别当home目录通过NFS向外共享时,入侵者更热中于此。
这些帐号也成了入侵者再次侵入的后门。
许多人更喜欢使用Rsh,因为它通常缺少日志能力. 许多管理员经常检查"+ +",所以入侵者实际上多设置来自网上的另一个帐号的主机名和用户名,从而不易被发现。
<3>校验和及时间戳后门
早期,许多入侵者用自己的trojan程序替代二进制文件。
系统管理员便依靠时间戳和系统校验和的程序辨别一个二进制文件是否已被改变,如Unix里的sum程序。
入侵者又发展了使trojan文件和原文件时间戳同步的新技术。
它是这样实现的: 先将系统时钟拨回到原文件时间,然后调整trojan文件的时间为系统时间。
一旦二进制trojan文件与原来的精确同步,就可以把系统时间设回当前时间。
Sum程序是基于CRC校验,很容易骗过。
入侵者设计出了可以将trojan的校验和调整到原文件的校验和的程序。
MD5是被大多数人推荐的,MD5使用的算法目前还没人能骗过。