上节课我们给大家讲解了黑客对网站的入侵技术手段,这节课我们将给大家讲解黑客是如何入侵系统,以及对系统会做哪些破坏.

   年前,我们给一家IDC公司做培训的时候,遇到了一个情况,有几台服务器都是刚刚安装的系统,连网站都没有放,但是就被黑客入侵了,黑客在系统里面放了很多黑客软件,而且还运行一些黑客软件来扫描更多的服务器,我们分析了一下,发现黑客是利用系统存在的一些漏洞,以及管理员对于账号的安全管理方面的漏洞来进行入侵的,我想问一下,大家公司的服务器账号都是怎么来管理的?比如给客户新上一台服务器的话,账号和密码通常都是怎么设定的?大部分的服务器初始的账号和密码都是一样的,是吗? 很多黑客都会用他们入侵的一台服务器的账号和密码来尝试同网段,尤其是同一公司的服务器。

    刚才讲了一个简单的案例,其实黑客对于系统的各种各样的入侵方法是多种多样的,你只要稍微有一个方面不注意,就容易被黑客利用到,特别是一些重要的电子商务网站,稍微不注意,把资料弄丢失了,这个损失就惨重了,那既然黑客有这么多对系统的入侵手段,那我们今天就来剖析一下黑客对系统进行入侵的饿各种手段

21端口入侵

    现在很多服务器里面的FTP服务器都是SERVU的,那样也会有被黑客入侵的风险,SERVU有几个版本存在远程溢出和本地溢出的漏洞,包括密码文件泄露的问题,所以黑客会较多的利用到SERVU来进行入侵。

    我现在来跟大家讲一个SERVU入侵的实例,黑客对于FTP的入侵通常会结合ASP木马来进行,黑客有一个ASP木马的WEBSHELL权限之后,他就会用ASP木马来查看系统安装的是什么FTP,很多FTP默认都会安装在C:\PROGRAM FILES\SERVU文件夹里面,所以黑客直接访问这个目录就知道系统是不是安装了SERVU,找到这个目录之后,黑客就会打开这个目录里面的ServUDaemon.ini文件,这个文件是用来存储FTP账号和密码用的,密码是加密了的,但是黑客现在获取这个文件不是要破解密码,而是要在这个文件里面添加一个系统管理员权限的账号和密码,这就是黑客高明的地方,大家要知道,黑客永远都会利用最容易的技术手段来达到他的目的!但是网络上仍然有很多服务器里面的SERVU文件都可以被改动的,而且还有的管理员的确是设置了权限,但是只给外面的PROGRAM FILES设置了权限,但是里面的SERVU目录没有继承权限,也会造成文件可被改动的问题,所以对于管理员来说,一定要小心谨慎的设置和管理服务器,有时候权限设置得过严的话,用户使用FTP时就会遇到很多登录不了的情况,或者文件无法上传的问题。

    黑客给SERVU的ServUDaemon.ini文件添加了系统管理员的权限之后,黑客就会来查看一下FTP开的端口是不是默认的21,因为有不少管理员会把端口的密码改成其它端口,确定是21端口之后,黑客就会在远程用命令的方式登录FTP

ftp ftp>open ip

  Connected to ip.

  220 Serv-U FTP Server v5.0.0.4 for

WinSock ready…

  User (ip:(none)): 构造的账号
    331 User name okay, please send

complete E-mail address as password.

  Password:password //密码

  230 User logged

in, proceed.

   通过这些命令的方式,黑客就登录进来了

ftp>quote site exec net.exe user rover rover1234 /add
 

这个命令就是建立一个rover的账号,密码是rover1234

ftp>quote site exec net.exe localgroup administrators rover /add

   这样黑客就把rover的权限提升为管理员了,然后黑客就会通过3389端口的远程桌面服务登录到服务器里面去,这个就是黑客利用SERVU的漏洞来进行入侵的一种技术手段,好我们现在开始进入下一部分的讲解,这个部分会给大家讲讲黑客近年来对服务器进行入侵最常用的手段

445端口入侵
   445端口是一个毁誉参半的端口,有了它我们可以在局域网中轻松访问各种共享文件夹或共享打印机,但也正是因为有了它,黑客们才有了可乘之机,他们能通过该端口偷偷共享你的硬盘,甚至会在悄无声息中将你的硬盘格式化掉,在WINDOWS 2000当中,139端口入侵是常用的技术手段,到WINDOWS 2003之后,类似功能的445端口就成为黑客常用的手段,大家大致了解了这个端口的服务了,那我们就进入正题 ,让大家知道黑客是怎么通过445端口进行入侵的,如果远程服务器有漏洞的话,这个监听的界面就会获得一个远程的SHELL权限,黑客真正用这个工具的时候,还会配合很多其它软件来一起实施入侵,首先,黑客会用一个端口扫描器来对网络上的服务器进行扫描,看看这些服务器是否开启445端口,然后黑客才会用这个自动溢出工具来进行扫,这样成功机率就会高很多,黑客成功拿到CMDSHELL权限之后,就会建立一个账号,提升为管理员
net user ccc ccc /add
net localgroup administrators ccc /add
    最后通过3389端口登录进入系统,这样黑客就完成了一次利用445端口进行入侵的过程,很多黑客通常是拿肉鸡去扫肉鸡,所以大家在管理服务器的时候,一定要多进去检查,刚才的445端口入侵的手段已经讲完了,最简单的防御方法就是445端口关闭掉。

    下面我们来讲一下今天的最后一个部分,1433端口入侵的手段,1433端口我想大家也知道,是微软的SQL数据库的端口,这个端口最简单的一种入侵方式现在来给大家讲解一下,有一些SQL数据库在默认安装的时候,会自动建立一个用户名为SA,密码为空的账号,而且这个SA是系统管理员权限,所以,利用一个SQLEXEC.RAR的工具就可以直接连接有这样漏洞的数据库服务器,或者用其它的SQL连接器替代也可以,而且这个工具的使用是非常简单的,直接输入目标IP,账号和密码,点连接就可以了,成功连接之后就可以以命令行的方式来操作了,黑客拿到命令行的方式后,还是先建立一个系统账号,然后提权 如果这种方式建立不了账号的话,还有另外一种办法,黑客通常会用ASP木马结合SQL来进行入侵,黑客会用ASP木马传一个远程控制的木马程序到服务器里面,然后用SQLEXEC.EXE来执行这个木马程序,这样黑客就可以用木马直接来控制远程服务器,或者利用木马程序建立一个系统账号,然后再用3389端口登录进去,上节课当中我们也讲解了SQL注入的方式配合SQL来进行入侵的,只不过是利用80端口的注入工具来实施入侵,而这个是用1433端口来实施入侵,当然很多服务器都关闭了1433端口,不让远程进行连接,那黑客拿到系统权限之后,可以打开1433端口,并且在数据库里建立一个管理员账号,用这种方式留一个后门也是有可能的。
    还有一种情况,黑客通过ASP木马拿到了网站连接文件当中的数据库连接账号和密码,也都可以用连接器的方式来连接,获得一个CMDSHELL的权限,所以大家要知道,黑客的手段是千万变化的,只要有一种方式被他利用,他就可能成功入侵,或者成功长期持有权限,好了,1433端口的入侵手段就讲到这里。