在UNIX系统遭受入侵后,确定损失及入侵者的攻击源地址相当重要。虽然在大多数入侵者懂得使用曾被攻陷的计算机作为跳板来攻击你的服务器,但是他们发动正式攻击前所做的目标信息收集工作(试探性扫描)常常是从他们的工作计算机开始的,下面介绍如何从遭受入侵的系统的日志中分析出入侵者的IP并加以确定的。
1. messages
/var/adm是UNIX的日志目录(Linux下则是/var/log)。其中有相当多ASCII格式的日志文件,当然 ,让我们把焦点首先集中在messages个文件上,这一般也是入侵者所关注的文件,它记录了来自系统级别的信息。下面是显示版权或者硬件信息的记录信息:
Apr 29 19:06:47 www login[28845]: FAILED LOGIN 1 FROM xxx.xxx.xxx.xxx ,User not known to the underlying authentication module
阅读全文
目前针对Windows+MSSQL或Windows+MYSQL的系统,在入侵方面的文章可算不少,大多通过脚本漏洞上传WebShell,通过Serv-U提升权限,再通过PcAnyWhere或终端连接器远程连接。就系统而言,大陆用Windows的比较多,港台和国外很多服务器都是用的Unix、Linux或FreeBSD系统。本文就是针对的FreeBSD+MYSQL+PHP系统,结合一个具体实例,讲解了一下入侵思路。其实作者的运气不错,遇到了一个大意的管理员——有多少服务器管理员是这样大意的呢?
MYSQL:入侵FreeBSD的桥梁
阅读全文
6月15日消息,千橡公司旗下的SNS社交网站“校内网”近日遭到黑客挂马,许多用户的日志遭篡改并添加不明连接,校内网方面今日向网易科技证实了这一情况。
据多位用户反映,其在校内网的日志模块近日被篡改并插上了恶意代码。据了解,该代码会自动修改用户日志,并在文章末尾加入一个名为“QQ千里眼”的恶意软件下载链接。此外,遭挂马的用户页面还会弹出一个不良页面,并以框架访问其他恶意网站。
校内网相关负责人向网易科技证实,校内网遭到了黑客的入侵,目前相关数据正在恢复之中。至于受影响的用户规模和危害程度,该负责人称尚未统计。 校内网是国内著名的SNS社交网站,以实名制为基础。据其官方网站介绍,目前校内已经拥有真实注册用户超过4000万、PV4亿、日登陆2200万人次。
从51cto上的两篇文章找的,内容相关就合并在一起了。
俗称“脚本小鬼”的家伙 是属于那种很糟糕的黑客,因为基本上他们中的许多和大多数人都是如此的没有技巧。可以这样说,如果你安装了所有正确的补丁,拥有经过测试的防火墙,并且在多个级别都激活了先进的入侵检测系统,那么只有在一种情况下你才会被黑,那就是,你太懒了以至没去做该做的事情,例如,安装BIND的最新补丁。
一不留神而被黑确实让人感到为难,更严重的是某些脚本小鬼还会下载一些众所周知的“root kits”或者流行的刺探工具,这些都占用了你的CPU,存储器,数据和带宽。这些坏人是从那里开始着手的呢?这就要从root kit开始说起。
阅读全文
转自互联网,原始出处不详
一个14岁的男孩经过无数次的实验,推出了一款全新的木马——SUF 1.0,该后门运用了“反弹端口原理”与“FTP 隧道技术”,也就是两台机器不直接传输数据,而是利用第三台机器(FTP服务器)来交换数据。
SUF(Shell Use Ftp)顾名思义,就是通过FTP的Shell。这种奇妙的思路真叫绝的,它充分利用防火墙“外严内不严”的漏洞,客户端生成服务端后,把客户端主机的 IP发送到FTP里,然后别人运行服务端后下载IP文件,然后通过反向连接,使客户端知道服务端上线,然后把要执行的命令发送到FTP里,服务端再读取 FTP里要执行的命令,最后完成执行。
阅读全文
转自互联网,原作者不详。
在NOhack的前几期杂志中,很多牛牛们都写了一些自己在入侵过程中的小技巧,让人看得大呼过瘾!这次,我也来写一些我在入侵过程中用到的小技巧,希望大家喜欢! 阅读全文
例如我们的目标网址为“http://www.xxxx.cn/forum/index.php”那么我们把地址改为http://www.xxxx.cn/forum/index.PHP后再浏览看看是否存在页面,如果存在的话,则服务器所使用的系统为windows,如果显示不存在,则服务器很有可能使用的是*nix系统。
2. Ewebeditor拿站的新技巧
Ewebeditor 大家应该是再熟悉不过的吧?先用默认密码admin888登陆,不行就下载默认数据库‘/db/ewebeditor.mdb”,如果默认数据库也改了的 话我们是不是就该放弃了呢?这里告诉大家我的经验!
