主机入侵主流手法

 

一, 错误的配置

错误的配置有系统环境的配置不当和系统应用的配置不当,例如普通用户具有管理员权限、使用应用程序的默认配置等等,通过google或者baidu都可以使用搜索语法直接搜索到有配置漏洞的网站和服务器,例如phpmyadmin,MySQL默认配置,sqlserver sa空口令,以及任意文件读取,黑客可以通过这些轻而易举地入侵存在这些漏洞的服务器

二, 主机开放的端口

主机上的端口一直都是风险评估的重点工作,而正是这些端口存在各种各样的漏洞导致黑客可以利用漏洞直接入侵主机。常见的有过漏洞的端口:

21端口   ftp服务

22端口   openssh服务

23端口   telnet服务

25端口   邮件服务

53端口   DNS服务

80端口   http服务

88端口   kerbos sec服务

110端口  pop3服务

111端口  sunrpc/rpcbind

135端口    DCOM服务

137/138/139 netbios服务

443端口   https服务

445端口   smb服务

1433端口  sqlserver服务

1521端口  oracle服务

3264端口  IBM Lotus Notes服务

3306端口  mysql服务

3389端口  rdp服务

8080端口  tomcat服务/http proxy

9000端口  php-fpm服务

三, 暴力破解

暴力破解也是当今入侵的主流手段之一,它的利用原理就是使用相关的工具+事先准备好的字典进行强行猜解用户名和密码,这种入侵手法直截了当,但是也需要依靠运气,更依赖于一个强大的字典,有的人跑一天都没能跑出用户密码,有的人几个小时甚至几分钟就能爆出用户名密码,这种方式受客观条件限制。例如用户设置的密码超级复杂,那么对应得字典中如果没有收录的话一样是扯淡。所以使用暴力破解字典很重要。

四, 脆弱性应用程序

这里的脆弱性应用程序是指那些存在漏洞的应用程序,例如struts2漏洞,dedcms漏洞,wordpress漏洞,IIS漏洞,thinkphp漏洞,tomcat漏洞,zabbix漏洞,mysql漏洞,oracle漏洞,redis漏洞等等,举不胜举。

这些都是运行在服务器上的应用程序。凡事都有2面性,没有100%完美的东西,所以存在漏洞的应用也多,随之而来的安全问题也不可忽视,稍不注意你的服务器可能就已经处在被人的掌控之中了。

五, SQL注入

Sql注入堪称经典,用户登录某个网站时输入用户名和密码,这是会在浏览器产生一个http请求,这个请求会到达用户浏览的这个网站所在的服务器上的数据库,到达数据库后,会去数据库里头查询用户输入的用户是否存在,密码是否正确,如果存在则验证通过,如果不存在则提示用户名密码错误,这是我们日常网上冲浪经常要做的事情。假设现在我们浏览某个页面时当通过抓包工具分析我们浏览器产生的这个http请求,这时会发现请求的url类似下面这样:

http://xxx.xxx.com/index.jsp?item=7

现在假如这个网站没有一个强有力的sql注入防护层或者过滤层的话,那么我们可以在?id=7后面继续添加语句,例如添加and 1=2 union all select @@global.version_compile_os from mysql.user /*

这是http请求时这样的http://xxx.xxx.com/index.jsp?item=720%and%201=220%union20%all20%select20%@@global.version_compile_os20%from20%mysql.user20%/*

20%表示空格

这样的请求如果服务器成功处理并且到达数据库的话,那么数据库里的语句则变成了select id from table where id=7 and 1=2 union all select @@global.version_compile_os from mysql.user /*;

此时数据库会成功解析这条语句并且返回结果,这里的构造语句会返回操作系统信息。

当我们可以利用sql语句操作数据库的时候就意味着我们可以利用数据库与主机进行交互,这时候如果权限够大的话我们还可以利用sql语句获取到网站的根目录,并且可以进一步上传木马进行getshell,最后控制主机。

六, 缓冲区溢出

缓冲区溢出攻击的原理其实利用的是c/c++开发人员对代码的不严谨产生的数据越界行为进行利用,例如数组越界读写等等。这里面涉及到计算机底层的知识,具备缓冲区溢出攻击能力的黑客不在少数,虽然现在的操作系统越来越多的加强了对堆栈数据的保护,但是那也是新版的操作系统,一些老版本的操作系统依然处在危险之中。有人可能觉得那好啊,我升级我的操作系统呗,这样不就高枕无忧了吗,很不幸,操作系统升级了,但是操作系统上的一些应用也是存在这些漏洞。黑客可以利用这些应用的数据越界读写执行shellcode并控制主机。网上的相关案例不少,以及各大安全服务平台的报告也不少。

时间: 2024-11-05 11:25:41

主机入侵主流手法的相关文章

web入侵主流手法

一,弱口令破解弱口令在生活中随处可见,例如密码为123456,12345678,88888888,66666666,123abc和名字全拼音以及默认密码root,admin和空等等,此处的讲点是软件应用的弱口令,即我们常见的网站,用电脑或者手机打开浏览器或者app 就可以浏览各种各样的网站,这些网站大多数都是有用户登录入口或者管理登录入口,要想登录进去就需要输入用户名和密码,有的还需要输入验证码,有数字的有图片的还有滑动验证以及短信验证,其实可以划分为无验证码和有验证码,很显然无验证码的相比有验

基于主机入侵检测系统

一般主要使用操作系统的审计.跟踪日志作为数据源,某些也会主动与主机系统进行交互以获得不存在于系统日志中的信息以检测入侵.这种类型的检测系统不需要额外的硬件.对网络流量不敏感,效率高,能准确定位入侵并及时进行反应,但是占用主机资源,依赖于主机的可靠性,所能检测的攻击类型受限.不能检测网络攻击. 1.1操作系统的审计 审计是指收集有关系统资源使用情况的数据.审计数据提供安全相关的系统事件的记录.以后便可以使用此数据来指定系统上执行的操作的职责.成功的审计应包括识别和验证. 通常审计服务的操作: (1

Linux   主机入侵相关

rootkit是什么? 一系列隐藏自身的恶意程序,常常改写了ls.ps.find.kill等系统命令以逃过检测. 检测rootkit的工具 chkrootkit 和 rkhunter 如何检查最近登录用户? 使用w命令 有哪些日志值得关注? /var/log/secure    /var/log/messeges 锁定用户不能使其登录 passwd -l 用户名 踢出远程登录的用户 kill -9   该用户ssh进程ID

Windows主机入侵分析思路

一.如何找到恶意文件 检查网络连接 netstat -ano,如有恶意对外连接需要注意哦,特别是挖矿.对外暴力破解. 根据PID找到进程 tasklist | findstr "$PID" 或 wmic process get name,executablepath,processid | findstr $PID $PID为可以进程的PID号 找到恶意文件 (1)利用任务管理器和CMD命令行手工找恶意文件 任务管理器 taskmgr 服务 services.msc (2)进程分析神器

云时代重新定义主机安全:自动化安全闭环是核心

摘要:随着越来越多的企业和机构正在逐步上云,主机安全是企业上云首先需要考虑的问题.在当前安全事件频发,且企业还没有具备专业安全运营能力的现状下,只具备检测或防御等单一功能的传统主机安全产品已不再适应这样的场景和需求,产品具备检测.防御为一体的安全闭环能力将成为刚需. 一.主机安全面临的挑战 1. 恶意攻击仍将持续猖獗 所谓擒贼先擒王,主机对于一家企业来说是整个系统的根本,攻陷了主机就等于攻陷了整个企业,因此主机层面的攻防战争永远硝烟弥漫.挖矿程序.蠕虫病毒.勒索病毒.木马程序.DDoS木马.后门

入侵检测

入侵检测(Intrusion Detection),顾名思义,就是对入侵行为的发觉.他通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象.入侵检测是防火墙的合理补充. 入侵检测系统所采用的技术可分为特征检测与异常检测两种: 特征检测: 特征检测(Signature-based detection) 又称Misuse detection ,这一检测假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式.它

搭建开源入侵检测系统Snort并实现与防火墙联动

Snort作为一款优秀的开源主机入侵检测系统,在windows和Linux平台上均可安装运行.BT5作为曾经的一款经典的渗透神器,基于 Ubuntu,里面已经预装很多的应用,比如Mysql.Apache.Snort等等.Guardian是snort的插件,通过读取snort报警日 志将入侵IP加入到Iptables中.Iptables 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统. 本文详细介绍了BT5中安装snrot NIDS并实现与iptables防火墙联动的过程.

Linux -- 利用IPS(入侵防御系统) 构建企业Web安全防护网

一.IPS系统简介 (应用层上应用) 防火墙只在网络层上应用,IPS 和防火墙相比,检测及过滤功能更为强大,它通过串联在网络主干线路上,对防火 墙所不能过滤的攻击进行过滤.这样一个两级的过滤模式,可以最大地保证系统的安全.在 一些专业的机构,或对网络安全要求比较高的地方,IPS和其他审计跟踪产品结合,可以提 供针对网络信息资源全面的审计资料,这些资料对于攻击还原.入侵取证.异常事件识别. 网络故障排除等等都有很重要的作用. 作为串接部署的设备,IPS必须要确保用户业务不受影响,错误的阻断必定意味

服务器被入侵了怎么办?

遇到服务器被黑,很多人会采用拔网线.封 iptables 或者关掉所有服务的方式应急,但如果是线上服务器就不能立即采用任何影响业务的手段了,需要根据服务器业务情况分类处理. 下面我们看一个标准的服务器安全应急影响应该怎么做,也算是笔者从事安全事件应急近 6 年以来的一些经验之谈,借此抛砖引玉,希望大神们不吝赐教. 图 1:处理思路 如上图,将服务器安全应急响应流程分为如下 8 个环节: 发现安全事件(核实) 现场保护 服务器保护 影响范围评估 在线分析 数据备份 深入分析 事件报告整理 接下来我