远离黑客(如何赶走黑客)
本文目录一览:
当计算机受到任何攻击的时候...
先说一下攻击
黑客在进行攻击时会借用其他系统来达到自己的目的,如对下一目标的攻击和被侵占计算机本身的利用等等。本文介绍了常见的黑客对被侵占计算机的使用方式和安全管理员相应的应对方法。
黑客进行网络攻击时,除了自己手中直接操作的计算机外,往往在攻击进行时和完成之后利用、控制其他的计算机。他们或者是借此达到攻击的目的,或者是把这些计算机派做其他的用途。本文汇总描述了黑客各种利用其他计算机的手段,希望网络与系统管理员能通过了解这些攻击办法来达到更好地进行安全防范的目的。
一、对“肉鸡”的利用
“肉鸡”这个词被黑客专门用来描述Internet上那些防护性差,易于被攻破而且控制的计算机。
1.1、本身数据被获取
原理介绍
这是一台计算机被攻破并完全控制之后,黑客要做的第一件事。很多黑客宣称自己是非恶意的,只是对计算机安全感兴趣,在进入别人的计算机时,不会进行破坏、删除、篡改等操作。甚至还有更"好心"一些的黑客会为这些计算机打补丁,做一些安全加强。
但是他们都回避了一个问题,那就是对这些计算机上本身保存的数据如何处理。确实,对别人的计算机进行破坏这种损人不利已的事情对这大多数黑客来讲没有太大意思,不过他们都不会反对把“肉鸡”上的数据弄回来保存。这时黑客再说"没有进行破坏"是说不过去的,根据计算机安全的基本原则,当数据的"完整性、可用性和机密性"中任意三者之一在受到破坏的时候,都应视为安全受到了破坏。在被占领的计算机上可能会保存着用户信息、网络拓扑图、商业秘密、财务报表、军事情报和其他各类需要保密的数据,黑客获得这些数据(即使只是查看数据的内容而不下载)时正是破坏了保密性。在实际情况中,很多商业间谍和政治间谍都是这一类,他们只是默默地拿走你的数据而绝不做任何的破坏,而且尽最大可能地掩盖自己行动的痕迹。这些黑客希望长时间大量地得到珍贵的数据而不被发觉,这其实是最可怕的一种攻击行为。
很多黑客会在“肉鸡”上安装FTP软件或者开放FTP服务,再下载其数据,但安装软件和开放服务这样的动作很容易在系统中的各类日志留下记录,有可能被发现。而不希望被人发觉的黑客会自己建立一台FTP服务器,让“肉鸡”做为客户端把自己的数据上传过来。
防御方法
防止本身数据资料不被窃取,当然首先要考虑的是计算机本身不被攻破。如果自己是铁桶一个,水泼不进,黑客无法在你的网络中的计算机取得任何访问的权限,当然就杜绝了绝大多数的泄密可能(请注意,这时候还是有可能会泄密的!比如被黑客欺骗而将数据发送出去)。我们先来看一下如何加强自己的计算机的操作系统,对于所有需要事先控制的攻击方式,这些手段都是有效的,在以后的章节中就不重复说明了。
简单地说,对于操作系统的加强,无论是Windows、Unix或是Linux,都可以从物理安全、文件系统、帐号管理、网络设置和应用服务几个方面来考虑,在这里我们不详细讨论全面的安全防护方案,只是提供一些简单实用的系统安全检查项目。这是安全的必要条件,而不是充分条件。
物理安全
简单地说,物理安全就是你的计算机所在的物理环境是否可靠,会不会受到自然灾害(如火灾、水灾、雷电等)和人为的破坏(失窃、破坏)等。物理安全并不完全是系统或者网络管理员的责任,还需要公司的其他部门如行政、保安等一起协作,不过因为这是其他安全手段的基础,所以我们网管员还是应该密切注意的。要特别保证所有的重要设备与服务器要集中在机房里,并制订机房相关制度,无关人员不得进入机房等。网管员无特殊情况也不要进入机房,需要可以从外面的指定终端进行管理。
如果重要的服务器暴露在人人都可以接近的外部,那么无论你的口令设得多么强大都没用了,各种操作系统都可以用软盘、光盘启动来破解密码。
文件系统安全
文件和目录的权限设置得是否正确,对系统中那些重要的文件,权限要重新设置;
在Unix与Linux系统中,还要注意文件的setuid和setgid权限,是否有不适合的文件被赋予了这些权限;
帐号系统安全
帐号信息,用户名和密码是否合乎规则,具有足够的复杂程度。不要把权限给予任何没有必要的人;
在Unix/Linux中可以合理地使用su与sudo;
关闭无用账号;
网络系统安全
关闭一切不必要的服务。这一点不必多说了吧,每个开放的服务就象一扇开启的门,都有可能会被黑客悄悄地进入;
网络接口特性。注意网卡不要处在监听的混杂模式;
防止DoS的网络设置。禁止IP转发、不转发定向广播、限定多宿主机、忽略和不发送重定向包、关闭时间戳响应、不响应Echo广播、地址掩码广播、不转发设置了源路由的包、加快ARP表过期时间、提高未连接队列的大小、提高已连接队列的大小;
禁用r*命令和telnet命令,用加密的SSH来远程管理;
对NIS/NIS+进行安全设置;
对NFS进行安全设置;
应用服务安全
应用服务是服务器存在的原因,又是经常会产生问题的地方。因为应用服务的种类太多,这里无法一一叙述,就请大家注意一下这方面的资料吧。如果有可能,我会在今后继续提供一些相关知识。可以肯定地说,没有一种应用程序是完全安全的,必须依靠我们去重新设置。
对于防止数据被窃取,也有手段可以采用,使黑客侵入计算机之后不能盗窃数据和资料。这就是访问控制和加密。系统访问控制需要软件来实现,可以限制root的权限,把那些重要的数据设置为除了特殊用户外,连root都无法访问,这样即使黑客成为root也没有用。加密的手段有很多,这里也不详细介绍了,文件通过加密会以密文的形式存放在硬盘中,如果不能正确解密,就是一堆没有任何意义的字符,黑客就算拿到了也没有用。
1.2、非法proxy
原理介绍
Proxy代理技术在提高Internet访问速度与效率上有很大作用,在这种技术的基础之上又出现了Cache Server等Internet访问优化技术,但Proxy也被黑客利用来进行非法活动。黑客把“肉鸡”设置为Proxy一般有两个目的,首先与正常Proxy的目的一样,是利用它更好地访问Internet,进行WWW浏览;其次就是利用这台Proxy“肉鸡”的特殊位置绕过一些访问的限制。
普通的WWW Proxy其实在Internet上是很常见的,一些计算机免费而且开放地为所有计算机提供WWW Proxy服务,如果黑客想得到一台合适的Proxy时,并不需要自己亲自去攻击计算机并安装Proxy软件,只需利用这些现成的Proxy计算机就可以了。在骇软站点上,有很多Proxy Hunter之类的软件,输入某个网段就可以运行去自动搜索已经存在的Proxy计算机了。虽然Proxy本身并不会被攻击,但是运行Proxy服务,在客户端连接数目多的时候会造成很大的负担。而且一些攻击如Unicode、Lotus Notes、ASP攻击也正是通过HTTP协议进行的,最终被攻击者会把Proxy服务器当做攻击的来源,换句话说,Proxy服务器会成为这些攻击者的替罪羊。所以最好不要向外提供开放的Proxy服务,即使因为需要而开放了,也应加以严格的限制。
利用Proxy绕过一些访问限制,在“肉鸡”的利用中也是很常见的。举个实例来说,某个公司为了提高工作效率,不允许员工使用QQ聊天,指示在公司的防火墙上限制了所有由内向外对UDP 8000这个端口的访问,这样内部就无法向外连接Internet上的QQ服务器进行聊天了。但黑客利用自己设置的QQ Proxy就可以绕过这个限制正常访问QQ服务器。
QQ Proxy同WWW Proxy的设置和使用方法是一样的。在有了Internet上的QQ Proxy时,黑客在公司内部向外访问QQ Proxy的UDP 18000端口,这是不被禁止的。而QQ Proxy会以客户端的身份向真正的访问目标-QQ服务器进行访问,然后把信息从UDP 18000端口向黑客计算机转回去。这样,黑客就利用Proxy实现了对访问限制的突破。
还可以利用这个原理进行其他协议限制的绕过,如WWW、ICQ、MSN、Yahoo Messager、AOL等,只要Proxy软件支持。
防御方法
我们设立任何类型的Proxy服务器时,应当对客户端有所限制,不向无关的人员提供使用权限。这样提高了服务器的效率,又杜绝了黑客借我们的Proxy进行攻击的可能。
防止内部人员利用外部的Proxy时,可以在防火墙上严格限制,只能对外部规定站点的规定服务进行访问。当然这样有可能造成业务上的不便,所以在具体环境下要具体考虑,综合地权衡。
1.3、黑客交流平台
原理介绍
这又是“肉鸡”的一大功能,黑客很喜欢把一些被托管在IDC中的“肉鸡”设置为自己的BBS/E-mail服务器,这些计算机一般都是CPU快、内存大、硬盘空间足和网速快的,对黑客需要的功能可以很好地支持。黑客分布在世界范围内的各个角落,除了一些固定的黑客组织外,很多黑客都是只通过网络交流,如通过电子邮件、在线聊天等方式"互送秋波",交流攻击和其他技术,倾诉仰慕之情。很多交往多年的黑客好友从未在现实生活中见过面,这是毫不为奇的。
大家会问那么黑客直接发电子邮件、上ICQ不就行了吗?何必去冒险攻击其他的计算机做为交流平台呢。请注意黑客之间传播的都是一些不能被别人知道的信息,如"我已经控制了XXX省网的骨干路由器,你想要一份它的路由表吗?",这样的内容如果在任何一个邮件服务器和聊天服务器上被截获,从道义上讲这个网管都是有义务提醒被攻击的网络负责人的,所以利用公共的网络交流手段对黑客来说并不可靠,黑客也要保密啊:-) 。那怎么办?黑客既然控制了“肉鸡”,成为了“肉鸡”的第二个"家长",就有资格和权限去把它设置为交流用的服务器。在这样的交流平台上,黑客被发现的可能性小得多,最高的控制权限可以使黑客对这些活动进行各种各样的掩饰。还有另一种利用形式就是FTP服务器,供黑客兄弟们上传下载黑客软件,互通有无。
黑客在“肉鸡”上做信息交换的时候,会产生大量的网络通信,尤其是利用FTP上传下载时。如果发现你的内外部通信突然反常地加大,检查一下自己的计算机吧。
防卫性差的“肉鸡”其管理员一般水平也不会很高,再加上缺乏责任心,往往在自己的计算机被占领了很长时间都不知道,直到有一天收到了高额的数据通信收费单,才大吃一惊:"怎么搞的?!"。- 难道他们自己就没有责任吗?
防御方法
管理员要有实时监视的手段,并制定合理的检查制度,定期地对所负责的网络和服务器进行检查。对于网络流量突然增大、可疑访问出现、服务器情况异常、不正常的日志项等,都要立即进行检查。要记得把这些记录、日志归类备份,以便在出现情况时前后比较。
安全不安全很大程度上取决于管理员是否尽职尽责,好的管理员必须有好的习惯。
1.4、学习/开发平台
原理介绍
这种情况是比较少见的,却很有意思。我们平时使用的是个人计算机,一般可以安装Windows、FreeBSD、Linux和其他Unix系统的x86版本,如果要实习其他平台上的操作系统几乎是不可能的。象AIX、HP-UX、Solaris(sparc)、IRIX等,都需要相应的硬件平台来配套,普通的个人计算机是装不上的,这些知名厂商的Unix计算机又非常昂贵,成了一般计算机爱好者可望不可及的宝物。黑客兄弟们在这里又有了大显身手的时候了,到网上找到一些可以侵入的AIX什么的机器,占领之后,想学习这种平台的操作使用还不是很简单的事吗?我曾在一个黑客站点上看到有人转让一台Sun E250“肉鸡”的控制权,开价300块,可怜那个管理员,自己的机器已经被公开出售了还不知道。
黑客在“肉鸡”上做开发就更少见了,因为这样做会有很大的风险。许黑客都没有全职的工作,他们中的很多人都是编程高手,会通过朋友和其他渠道揽一些程序开发的活计,挣些零花钱。很多定制的程序是要跑在特定平台上的,如果一个程序需要在HP-UX平台上开发调试怎么办?HP-UX计算机是很少能找到的。但黑客又可以利用自己的"特长"去攻下一台,做为开发平台。不过我们都知道开发调试程序的时候会有各种种样的bug,轻则导致程序不正常,重则让系统崩溃,还会在日志里留下记录。这就是为什么说这么做很危险,因为它太容易被发现了。要是一台计算机被当做开发平台用了很久而管理员却一无所知的话,这个管理员实在应该好好反省。
防御方法
方法同前一部分,就不必多说了。关心你的服务器吧。
再说一下解决方法
远离黑客十条永恒的安全法则 1、当您选择运行一个程序时,您也在做出将计算机的控制权移交给该程序的决定。 程序一旦运行便可以执行任何操作,其上限是您自己能在该计算机上执行的所有操作。 2、说到底,操作系统只是一系列的 1 和 0,它们在处理器的解释下让计算机执行特定的操作。 改变这些 1 和 0,执行的操作就不同了。 这些 1 和 0 存储在什么地方呢? 还用问?就在计算机上,和其他所有内容在一起! 它们只不过是文件,如果使用计算机的其他人可以更改这些文件,那就游戏结束”了。 3、如果有人能物理地访问您的计算机,他/她就可以完全控制计算机并能执行任何操作(如修改数据、偷取数据、拿走硬件或物理地捣毁计算机)。 4、如果您运行的是 web 站点,就需要限制访问者的行为。 您应该只允许由您或您所信任的开发人员编写的程序在站点上运行。 但这还不够。 如果您的站点与其他站点共享同一台服务器,就需要额外小心。 如果某个别有用心的人攻陷了该服务器上的其他站点,他就有可能进一步控制该服务器,并因此控制该服务器上的所有站点 — 包括您的站点。 5、如果黑客”获取了您的密码,就可以登录到您的计算机,在计算机上执行您能执行的一切操作。 请总是使用密码;有相当数量的帐户都没有密码,这真令人惊异。 还要选用复杂一点的密码。 不要将您的爱犬的名字、周年纪念日或当地球队的名字用作密码。 也不要使用 password 作为密码! 6、不可信的管理员可以取消您采取的所有其他安全措施。 他可以更改计算机上的权限、修改系统安全策略、安装恶意软件、添加虚假用户或执行其他种种操作。 因为拥有控制权,他实际上可以彻底破坏操作系统中的任何保护措施。 最糟的是,他可以隐去行踪。 如果您遇上了不可信的管理员,您没有半点安全可言。 7、许多操作系统和加密软件产品都提供在计算机上存储加密密钥的功能。 这样做的好处是方便,因为您无需处理密钥,但却要付出安全代价。 通常情况下,这些密钥会经过变体处理(即进行隐藏),有些变体处理方法还相当不错。 但最终不论密码隐藏得多么好,只要它保存在计算机上,就总可以找到。 而且它必须能被找到毕竟软件可以找到密钥,因此一个绞尽脑汁的不良分子也同样能找到。 只要有可能,就请使用脱机的方法存储密钥。 8、病毒扫描程序的工作方式是将计算机上的数据与一系列病毒签名 进行比较。 每个签名都是特定病毒的特征。当扫描程序发现文件、电子邮件或其他位置的数据与签名相匹配时,就会认为发现了病毒。 不过,病毒扫描程序只能发现它知道的病毒。 保持病毒扫描程序的病毒签名文件处于最新状态非常重要,因为每天都有新的病毒出现。 9、在internet 上保护您的隐私的最佳方式与在日常生活中保护隐私的方式相同 — 即通过您的行为进行保护。 请阅读所访问站点上的隐私声明,且只与认可其做法的站点打交道。 如果对 cookie 不放心,可以禁用它们。 最重要的是避免不加选择地浏览 web 页要知道,就像多数大都市都有应尽量避开的阴暗面一样,internet 也是如此。 10、完美的安全性需要达到的完美程度还不存在,事实上永远也不可能存在。 这对于软件和人类所涉猎的几乎所有领域都是客观事实。 软件开发不是一门完美的科学,事实上所有软件都有缺陷。 其中有些缺陷可能会被人利用而破坏安全性。 这就是无法更改的事实。 但是,即使软件可做到尽善尽美,也不能彻底解决问题。 大多数攻击在某种程度上牵涉到对人类本性的操纵 — 这通常被称为社交工程”。 如果对安全技术进行攻击的成本和难度提高,别有用心的人会改变其应对策略即将重点从技术转移到控制台处的人。 了解您在维护稳固的安全性方面所起的作用非常重要,否则,您本人就会成为自己系统安全保护层上的漏洞”。
怎样防止自己的计算机不被黑客攻击
【希望贵机早日恢复正常】 Comodo Firewall Pro 3.0 Comodo Firewall是一款功能强大的、高效的且容易使用的,提供了针对网络和个人用户的最高级别的保护,从而阻挡黑客的进入和个人资料的泄露。 世界第一名个人版防火墙 还是免费的 但是最新版本没有中文版 最新Matousec防火墙測試排名(2008/05/17)Comodo继续第一 官方网站: 评测网址: PC Tools Firewall Plus v4.0.0.40 Final 多国语言版(有中文) PC Tools Firewall Plus 是一款强大并免费的Windows 系统个人防火墙,防止未经授权的用户从互联网或网络进行入侵,保护您的电脑。Firewall Plus监控连接到网络的应用程序,能防止木马、后门、键盘监控和其他恶意程序破坏电脑、窃取私人信息。 官方下载: 安装完之后按注册就可以免费获得序列号 只要阅读《防毒真經》就可以远离盗号,黑客攻击,系统破坏,广告满天飞,木马病毒杀不完之困扰。只要多加修炼 必能横行互联网。 【根本解決之道,不信依舊中毒!】 〓引言〓 您是不是感觉病毒杀完又出来,总是杀不净?杀毒软件被关闭? 被入侵? 您是不是天天为杀毒烦恼?人心憔悴?你愤怒盗号者?讨厌病毒吗? 您是不是感觉杀毒软件排名很高,但是实际使用确实一般呢。 这是因为阻止病毒加载能力弱,所以出现反复查杀的情况! 从现在开始拒绝病毒木马,互联网安全自我做起。 然而杀毒排名并不会考虑到阻止病毒加载能力这个因素,不会作为排名标准,所以排名就是只是扫描静态病毒测试。 杀毒--吸取教训--学习知识--永不中毒 这个才是正确的 杀毒--利用别的给你的具体方法照猫画虎-再次中毒-循环 是跳不出的怪圈 【杀毒排名是给人个用户的迷魂汤】 杀毒市场的泡沫,靠提高排名来扩大自己的市场,但是企业不吃这一套。排名前几名没有一个是在企业级能带来巨大影响的 杀毒排名并不会考虑到阻止病毒加载能力这个因素,不会作为排名标准,所以排名就是只是扫描静态病毒测试。 他们都还是在走传统的路,但像McAfee企业版早已有了Generic Buffer Overflow Protection(缓冲区溢位保护) 没有一个杀毒测试是在测这个的。 〓正文〓 《防毒真經》 (虽然是复制的,但是是我原创,只要问的问题相同就在要复制相同答案,因为一本教科书印刷只用一套模板印刷。) 【杀毒软件皆装全 中毒还要找专杀 中毒依旧是为何 只因理念没转变 不想中毒满头汗 学习知识不间断 防御病毒来入侵 永不中毒金不换】 不能把计算机安全寄托于一个杀毒软件,这种软件是不存在的。企业版相对个人版安全些,但是也要复杂的操作。 对系统没有了解 就算安装世界全部的杀毒软件一样会中毒,对系统了解的不安装杀毒中毒几率也很低。 只要把系统了解了 自然就少中毒了。这是首要目的了解系统运作。靠一些小技巧是靠不住的 就算这次别人给你方法照猫画虎搞定了 下次还要问。 想要彻底不中毒并不容易 除非你学习了。 人人都凭几句话就能彻底避免中毒, 那么就不可能有病毒流行,也没有存在的意义。正是因为大部分用户并不是计算机行业或者不是很懂计算机,造成安全意识不强,病毒才得以传播有价值。 【快速成为安全专家3步曲】【第一步学习原理】【第二部找杀毒软件】【第三步McAfee规则杀毒防毒之终极大法】 【第一步学习原理】 《Windows安全原理与技术》[AVI] 《病毒防护技巧-东方标准-高显嵩主讲》avi 《计算机病毒与维护1-12》[美河原创][西安电子科技大学] 《吉大-计算机维护与维修》视频版 《计算机病毒与木马程序剖析》 《上海交大网络安全》[RMVB] 计算机精选技巧5000篇 一套非常值得收藏的精品教程 含多方面电脑知识 【第二部找杀毒软件】 强烈推荐企业版杀毒,McAfee企业版或者Symantec企业版,企业级技术让你更加安全。 McAfee企业版,Symantec企业版永久使用。没有序列号,激活的说法。 没有最强杀毒,只有最强使用者。武林高手一个树枝都是致命武器。 杀毒软件有企业版和家庭(个人)版的区别。与其找最厉害最智能的杀毒软件不如自己充电。智能永远也比不上人脑。 【节省你的银两--杀毒软件大全】特集:26种手机杀毒软件 for Symbian系统(9 MB) 包含:①金山,②McAfee(迈克菲/麦咖啡),③Syamtenc(赛门铁克)/Norton(诺顿),④卡巴斯基,⑤Avira(小红伞),⑥ESET/NOD32,⑦avast!,⑧Bitdefender,⑨Trend Micro/PC-cillin(趋势科技),⑩Panda(熊猫),⒒F-Secure,⒓F-Prot,⒔G DATA,⒕CA,⒖AVG,⒗Norman, 百度空间下载: 【第三步McAfee规则杀毒防毒法】 如果你安装了McAfee 企业版防毒软体 可以很容易搞定 不可删除/杀不完又出来的病毒/免杀病毒终结者 开启McAfee控制台-打开访问保护-右键属性-用户定义的规则-新建(F)-文件/文件夹阻止规则。 填写如下资料: (进程可带路径,可以使用通配符) 规则名称:任意 要包含的进程:* 要排除的进程:预留空(根据自己实际情况填写) 要阻止的文件或文件夹名。允许使用通配符:填上删不掉的文件名 一次只能写一个 可以多建立几个规则 要阻止的操作:除了删除 读取其他都选上。 然后再确定保存 看McAfee日志 是什么程序产生了那些文件 然后按照同样的方法把根源程序阻止 然后就能轻易删除 杀毒就是这么容易。 日志就是这么一个例子: 2008-7-18 14:12:45 将由访问保护规则 (当前不强制执行规则) 禁止 MSDN-XP\McAfee C:\DOCUME~1\McAfee\LOCALS~1\Temp\Rar$EX00.172\UXTender.exe C:\Documents and Settings\McAfee\Local Settings\Temp\Rar$EX00.172\UXTender.exe 防间谍程序最大保护:禁止所有程序从 Temp 文件夹运行文件 已阻止的操作: 执行 这个例子表明前面那个文件运行的结果就是产生那个文件。 分析你阻止的那些文件 阻止掉源头程序。(但不总是这样的,要学会分析.) 【注册表访问保护规则】(利用McAfee自定义规则防止病毒篡改首页实例) 规则名称:自己写 要包含的进程:* 要排除的进程:预留空 根据自己实际填写。可带路径 要保护的注册表项或者注册表值: 选择HKLM 填入 /SOFTWARE/Microsoft/Internet Explorer/Main/** 规则类型:项 要阻止的操作:选中“向项或值中写入”和“创建项或值” 规则名称:自己写 要包含的进程:* 要排除的进程:预留空 根据自己实际填写。可带路径 要保护的注册表项或者注册表值: 选择HKCU 填入 /Software/Microsoft/Internet Explorer/Main*/** 规则类型:项 要阻止的操作:选中“向项或值中写入”和“创建项或值” 【注册表访问保护规则】(利用McAfee自定义规则保护安全模式不被病毒篡改实例) 规则名称:自己写 要包含的进程:* 要排除的进程:预留空 根据自己实际填写。可带路径 要保护的注册表项或者注册表值: 选择HKLM 填入 /SYSTEM/ControlSet*/Control/SafeBoot/** 规则类型:项 要阻止的操作:选中“向项或值中写入”和“创建项或值”和“删除项或值”
计算机网络中应该如何安全防范计算机病毒及黑客入侵?
网络安全
1.安装好杀毒软件和防火墙并及时更新。
2.养成良好的上网习惯,不去点击一些不良网站和邮件。
3.定期杀毒,及时给系统打好补丁。
4.学习网络安全知识,远离黑客工具。