个人主机入侵网络攻击的步骤

　　23：猜解ADSL MODEM口令

　　很多时候，扫描只能得到一个23端口，不要沮丧，因为对于个人主机而言，这往往是因为目 标主机采用了一个ADSL MODEM上网。一般用户在使用ADSL MODEM时，往往未加设置，这时， 攻击者往往可以利用ADSL MODEM的默认口令，登陆ADSL，一旦登陆成功，就有可能窃取ADSL 帐户和口令，并可以查看到内网的IP地址设置，并通过配置NAT映射将内网PC的相关端口映 射到公网上，然后对其进行各种破解、攻击。

　　特洛伊木马

　　扫描端口、通过各种方法获得目标主机的用户权限之后，攻击者往往利用得到的权限上传执 行一个“木马”程序，以便能够更方便的控制目标主机。

　　特洛伊木马是一种或是直接由一个黑客，或是通过一个不令人起疑的用户秘密安装到目标系 统的程序。一旦安装成功并取得管理员权限，安装此程序的人就可以直接远程控制目标系统 。实际上，对于各种个人主机，在未开放端口和打全补丁后，最有效的攻击方式还是“木马 ”程序。攻击者往往利用捆绑方式将木马程序与一个普通的EXE文件、JPG或其他正常文件绑 定在一起，并利用“社会工程学”的方式，欺骗对方执行程序、查看图片等。在对方执行程 序、打开图片后，木马程序就悄无声息在用户的PC上执行，并将用户的一些相关信息通过 EMAIL或其他方式发送给攻击者，而攻击者则可以通过木马程序实施对用户电脑的控制，比 如控制文件、注册表、键盘记录甚至控制屏幕等。

　　在早期，木马程序程序隐藏的并不深，通过查看任务管理器就会发现系统内存在不明程序在 运行，并且木马程序还会在用户主机上监听特定端口（如冰河的7626），等待攻击者的连接 。典型的早期木马如BO、BO2000、SUBSERVEN、国产的经典木马“冰河”等……这种方式的 木马容易被发现，而且被攻击目标也必须连接在公网上，因为客户端是无法透过NAT、防火 墙连接到内网的用户的。

　　反弹端口类型木马，“广外女生”木马是国内出现最早反弹端口类型的木马，这个木马与传 统的木马不同，它在执行后会主动连接外网的攻击者的相关端口，这种方法就避免了传统木 马无法控制内部用户的弊端（因为防火墙一般不会对内部发出的数据做控制）。此外，“广 外女生”还会自动杀掉相关杀毒程序的进程。

　　传统木马在执行后会作为一个进程，用户可以通过杀掉进程的方法关闭，而现在的木马则会 将自己注册一个系统服务，在系统启动后自动运行。甚至会通过DLL注入，将自己隐藏在系 统服务身后。这样用户查看进程的时候既看不到可疑进程，也看不到特殊服务……典型代表 “灰鸽子”“武汉男生”。

　　ASP木马，典型代表“海阳顶端网木马”。随着ASP 技术的发展，网络上基于ASP技术开发的 网站越来越多，对ASP技术的支持可以说已经是windows系统IIS服务器的一项基本功能。但 是基于ASP技术的木马后门，也越来越多，而且功能也越来越强大。ASP程序本身是很多网站 提供一些互动和数据处理的程序，ASP木马则是利用ASP语言编制的脚本嵌入在网页上，当用 户浏览这些网页时会自动执行相关ASP脚本，被木马感染，这种方式更加简单和隐蔽，需要 注意的是，ASP木马往往是依靠IE浏览器的一些漏洞来执行的，因此给IE打补丁是防范ASP木 马的方法之一（当然并非万能，还有一些木马会利用IE的未知漏洞传播）。

　　清除日志

　　攻击者在取得用户权限后，为了避免被发现，就要考虑清除用户主机的相关日志，因为日志 系统往往会记录攻击者的相关攻击过程和信息。

　　Windows2000的日志文件通常有应用程序日志、安全日志、系统日志、DNS服务器日志、FTP 日志、WWW日志等等，可能会根据服务器所开启的服务不同。

最新评论