在网上有许多网友提出这样
问题:究竟网站WebSite主页是如何被黑?黑客们到底是如何入侵服务器? 在讨论这部分知识前
读者需要知道——入侵网站WebSite是非法;但是在网络上找到网站WebSite入侵漏洞并通知该网站WebSite是受到欢迎
为什么要这样寻找入侵漏洞或入侵哪著名黑客H ackalot说过"入侵网站WebSite是利用所学知识来学习新知识
种办法"这也就是中国人所常说"温故而知新" 【原理】
尽管为服务器设计软件Software
软件Software工程师们想方设法提高系统安全性然而由于系统管理员水平参差不齐或安全意识底下往往给黑客提供了入侵机会 其实每
个黑客都有自己独到思路方法笔者对于入侵网站WebSite服务器资料收集了很多但是
实际情况区别往往造成许多思路方法失效;由此可见每个网站WebSite情况都区别需要入侵者区分对待假设深圳线路比北京线路要好多从而给了词典穷举很大方便深圳用户就可以依靠这个优势在线攻击口令作为北京用户就需要优先考虑其它办法了针对这么多入侵手段笔者参考H ackalot先生这位黑客界名人篇文章给大家介绍下入侵网站WebSite基本步骤 分析
部分主页被黑事例可以发现使用入侵者最热衷于入侵Web服务器和FTP服务器相对来说这是最简单两种途径在假设读者对U NIX系统和WEB SERVER知识不曾了解情况下笔者给出下面步骤 、了解要入侵系统 现在网络上用作服务器
操作系统以UNIX和Linux为主流如果要入侵这些系统则必须对它们有个了解 大部份在 DOS 上使用
指令在 UNIX 及 Linux 上都有对应指令(早期dos开发借鉴了UNIX)以下列出在使用 SHELL帐号 (shell account)时最主要些指令对应dos指令: HELP=HELP
CP=COPY
MV= MOVE
LS= DIR
RM =DEL
CD=CD
要看谁同 r也在该系 y上用户可以键入 WHO 指令
要知道系 y上某位使用者资料, 可以 I入 FINGER这些基本 UNIX 指令可以让你得到你正使用系 y信息 2、破解密码
在UNIX操作系统中, 所有系统使用者
密码都存放在个文件中这个文件存放在 /etc这个目录下面, 它文件名就叫做passwd如果读者认为所要做工作就是拿到这个文件按照上面密码登陆系统话那就大错特错了UNIX和Linux下p asswd文件是特殊在它里面所有帐号密码都已经经过重新编译(也就是前面说过DES加密思路方法)而且这些密码所进行都是单向编译( _disibledevent=>网络上去搜寻下 3、获得密码文件
这是最困难
部分很明显如果管理员有那么个密码文件话他当然不会放在那里让其它人舒舒服服拿到入侵者必须找到好思路方法以不进入系统方式拿到密码文件这里笔者向大家介绍两种思路方法大家可以试试有可能会成功 1.tc目录在FTP服务上不会被锁住
入侵可以用FTP client
使用anoymously匿名帐号登陆然后检查下/etc/passwd是否为匿名设置了被读取权限如果有马上备份下来使用软件Software解码 2.些系统中
/cgi-bin目录下会有个叫PHF文件如果准备入侵服务器上有话那就要方便多了PHF允许使用者对网站WebSite系统里文件作远端读取以此为据用户可以使用浏览器抓取p asswd文件只要在浏览器地址栏中键入URL:http://xxx.xxx.xxx/cgi-bin/phf?Qalias=x%0a/bin/cat%20/etc/passwd其中xxx.xxx.xxx 是要入侵网站WebSite名 如果这两种思路方法都行不通
话那入侵者必须实施其它办法了 在有些情况下入侵者找到
密码文件第 2部分是X、!或者*那么介绍说明该密码文件已经被锁死这是系统管理员使用加强安全手段的但是将密码文件完全隐藏起来情况是不太有通常情况下都会有未经锁死密码文件备份在系统中这样入侵者就可以加以利用比如:入侵者通常会寻找/ etc/shadow目录或类似目录看能否找到密码文件备份 4、建立自己
shell帐号 经过 2、 3两个关键
步骤入侵者终于拿到了关键密码文件并且破解出了密码现在可以运行TELNET登陆主机了当连上服务器时服务器会向你显示自己些信息通常是U NIX、linux、 aix、 irix、 ultrix、 bsd 甚至是 DOS 和VAX/Vms;然后是Login提示符出现在屏幕上这时键入得来帐号和密码即可登陆系统此时入侵者就可以利用自己UNIX知识做自己喜欢做事了 最后对
份密码文件做个分析该文件内容如下: root:1234aaab:0:1:Operator:/:/bin/csh
nobody:*:12345:12345::/:
daemon:*:1:1::/:
sys:*:2:2::/:/bin/csh
sun:123456hhh:0:1:Operator:/:/bin/csh
bin:*:3:3::/bin:
uucp:*:4:8::/var/spool/uucppublic:
s:*:6:6::/var/spool/s:/bin/csh audit:*:9:9::/etc/security/audit:/bin/csh
sync::1:1::/:/bin/sync
sysdiag:*:0:1:Old
Diagnostic:/usr/diag/sysdiag:/usr/diag/sysdiag/sysdiag
sundiag:*:0:1:
Diagnostic:/usr/diag/sundiag:/usr/diag/sundiag/sundiag
tom:456lll45uu:100:20::/home/tom:/bin/csh
john:456fff76Sl:101:20:john:/home/john:/bin/csh
henry:AusTs45Yus:102:20:henry:/home/henry:/bin/csh
harry:SyduSrd5sY:103:20:harry:/home/harry:/bin/csh
steven:GEs45Yds5Ry:104:20:steven:/home/steven:/bin/csh
+::0:0:::
其中以":"分成几个栏位
比如: tom:456lll45uu:100:20:tomchang:/home/tom:/bin/csh含义是: User Name: tom
Password: 456lll45uu
User No: 100
Group No: 20
Real Name: tom chang
Home Dir: /home/tom
Shell: /bin/csh
读者可以发现以上诸如nobody、 daemon、 sys、 bin、 uucp、
s、 audit、 sysdiag、sundiag 等密码栏位都是*也就是说这些帐号密码都已锁死无法直接利用 值得注意
是许多系统在首次安装后会有些缺省帐号和密码这给投机主义黑客带来方便以下就是些UNIX下缺省帐号和密码 ACCOUNT PASSWORD
----------- ----------------
root root
sys sys / system / bin
bin sys / bin
mountfsys mountfsys
adm adm
uucp uucp
nuucp anon
anon anon
user user
games games
reboot 供"command login"使用
demo demo
umountfsys umountfsys
sync sync
admin admin
guest guest
daemon daemon
其中 root mountfsys umountfsys
(有 r候 sync也是) 等都是root级别帐号, 也就是拥有了sysop (系统管理员)权限 最后有必要介绍
下UNIX日志文件很多入侵者不希望侵入电脑追踪他们那到底如何做那 系统管理员主要依靠系统
LOG即我们时常所说日志文件来获得入侵痕迹及入侵者进来IP和其他信息当然也有些管理员使用第 3方工具来记录侵入电脑信息这里主要讲是般U NIX系统里记录入侵踪迹文件 UNIX系统有多个版本
各个系统有区别LOG文件但大多数都应该有差不多存放位置最普通位置就是下面这几个: /usr/adm
早期版本UNIX; /var/adm
新点版本使用这个位置; /var/log
些版本SolarisLinux BSDFree BSD使用这个位置; /etc
大多数UNIX版本把utmp放在此处些也把wtmp放在这里,这也是 syslog.conf位置 下面列举
些文件功能当然他们也根据入侵系统区别而区别 acct 或 pacct
记录每个用户使用命令记录; access_log
主要使用来服务器运行了NCSA HTTPD这个记录文件会有什么站点连接过你服务器; aculog
保存着你拨出去MODEMS记录; lastlog
记录了用户最近登陆记录和每个用户最初目地有时是最后不成功登陆记录; loginlog
记录些不正常登陆记录; messages
记录输出到系统控制台记录另外信息由syslog来生成; security
记录些使用UUCP系统企图进入限制范围事例; sulog
记录使用su命令记录; utmp
记录当前登录到系统中所有用户这个文件伴随着用户进入和离开系统而不断变化; utmpx
UTMP扩展; wtmp
记录用户登录和退出事件; syslog
最重要日志文件使用syslogd守护来获得 日志信息:
/dev/log
个UNIX域套接字接受在本地机器上运行进程所产生消息; /dev/klog
个从UNIX内核接受消息设备; 514端口
个INTERNET套接字接受其他机器通过UDP产生syslog消息; Uucp
记录UUCP信息可以被本地UUCP活动更新也可有远程站点发起动作修改信息包括发出和接受呼叫发出请求发送者发送时间和发送主机; lpd-errs
处理打印机故障信息日志; ftp日志
执行带-l选项ftpd能够获得记录功能; httpd日志
HTTPD服务器在日志中记录每个WEB访问记录; history日志
这个文件保存了用户最近输入命令记录; vold.log
记录使用外接媒介时遇到
记录 以上介绍了
下入侵服务器主要步骤读者现在应该对它有些基础认识了需要再次强调是如果读者对UNIX系统缺乏了解话那是绝对不可能掌握它篇文章: 浅谈提升asp木马权限[续]--IIS下完美图片后门篇文章: 次512端口入侵
最新评论