本帖最后由 sybell-Teacher_ 于 2012-3-3 10:36 編輯


在談黑客入侵Linux主機(jī)方面的安全管理之前，先簡(jiǎn)單介紹一些黑客攻擊Linux主機(jī)的主要途徑和慣用手法，讓大家對(duì)黑客攻擊的途徑和手法有所了解。這樣才能更好地防患于未然，做好安全防范。要阻止黑客蓄意的入侵，可以減少內(nèi)網(wǎng)與外界網(wǎng)絡(luò)的聯(lián)系，甚至獨(dú)立于其它網(wǎng)絡(luò)系統(tǒng)之外。這種方式雖造成網(wǎng)絡(luò)使用上的不便，但也是最有效的防范措施。黑客一般都會(huì)尋求下列途徑去試探一臺(tái)Linux或Unix主機(jī)，直到它找到容易入侵的目標(biāo)，然后再開(kāi)始動(dòng)手入侵。常見(jiàn)的攻擊手法如下：1、直接竊聽(tīng)取得root密碼，或者取得某位特殊User的密碼，而該位User可能為root.再獲取任意一位User的密碼，因?yàn)槿〉靡话阌脩裘艽a通常很容易。

　　2、黑客們經(jīng)常用一些常用字來(lái)破解密碼。曾經(jīng)有一位美國(guó)黑客表示，只要用“password”這個(gè)字，就可以打開(kāi)全美多數(shù)的計(jì)算機(jī)。其它常用的單詞 還有：account、ald、 alpha、beta、computer、dead、demo、dollar、games、bod、hello、help、intro、kill、 love、no、ok、okay、please、***、secret、superuser、system、test、work、yes等。

　　3、使用命令：finger@some.cracked.host，就可以知道該臺(tái)計(jì)算機(jī)上面的用戶名稱。然后找這些用戶下手，并通過(guò)這些容易入侵的用戶取得系統(tǒng)的密碼文件/etc/passwd，再用密碼字典文件搭配密碼猜測(cè)工具猜出root的密碼。

　　4、利用一般用戶在/tmp目錄放置著的SetUID的文件或者執(zhí)行著SetUID程序，讓root去執(zhí)行，以產(chǎn)生安全漏洞。

　　5、利用系統(tǒng)上需要SetUID root權(quán)限的程序的安全漏洞，取得root的權(quán)限，例如：pppd. 6、從。rhost的主機(jī)入侵。因?yàn)楫?dāng)用戶執(zhí)行rlogin登錄時(shí)，rlogin程序會(huì)鎖定。rhost定義的主機(jī)及賬號(hào)，并且不需要密碼登錄。

　　7、修改用戶的。login、cshrc、。profile等Shell設(shè)置文件，加入一些破壞程序。用戶只要登錄就會(huì)執(zhí)行，例如“if /tmp/backdoor exists run /tmp/backdoor”。

　　8、只要用戶登錄系統(tǒng)，就會(huì)不知不覺(jué)地執(zhí)行Backdoor程序（可能是Crack程序），它會(huì)破壞系統(tǒng)或者提供更進(jìn)一步的系統(tǒng)信息，以利Hacker滲透系統(tǒng)。

　　9、如果公司的重要主機(jī)可能有網(wǎng)絡(luò)防火墻的層層防護(hù)，Hacker有時(shí)先找該子網(wǎng)的任何一臺(tái)容易入侵的主機(jī)下手，再慢慢向重要主機(jī)伸出魔掌。例如：使用NIS共同聯(lián)機(jī)，可以利用remote 命令不需要密碼即可登錄等，這樣黑客就很容易得手了。

　　10、Hacker會(huì)通過(guò)中間主機(jī)聯(lián)機(jī)，再尋找攻擊目標(biāo)，避免被用逆查法抓到其所在的真正IP地址。

　　11、 Hacker進(jìn)入主機(jī)有好幾種 方式，可以經(jīng)由Telnet（Port 23）、Sendmail（Port25）、FTP（Port 21）或WWW（Port 80）的方式進(jìn)入。一臺(tái)主機(jī)雖然只有一個(gè)地址，但是它可能同時(shí)進(jìn)行多項(xiàng)服務(wù)，而這些Port都是黑客“進(jìn)入”該主機(jī)很好的方式。

　　12、Hacker通常利用 NIS（IP）、NFS這些RPC Service截獲信息。只要通過(guò)簡(jiǎn)單的命令（例如showmount），便能讓遠(yuǎn)方的主機(jī)自動(dòng)報(bào)告它所提供的服務(wù)。當(dāng)這些信息被截獲時(shí)，即使裝有 tcp_wrapper等安全防護(hù)軟件，管理員依然會(huì)在毫不知情的情況下被“借”用了NIS Server上的文件系統(tǒng)，而導(dǎo)致/etc/passwd外流。

　　13、發(fā)E-mail給anonymous賬號(hào)，從FTP站取得/etc/passwd密碼文件，或直接下載FTP站/etc目錄的passwd文件。

　　14、網(wǎng)絡(luò)竊聽(tīng)，使用sniffer程序監(jiān)視網(wǎng)絡(luò)Packet，捕捉Telnet，F(xiàn)TP和Rlogin一開(kāi)始的會(huì)話信息，便可順手截獲root密碼，所以sniffer是造成今日Internet非法入侵的主要原因之一。

　　15、利用一些系統(tǒng)安全漏洞入侵主機(jī)，例如：Sendmail、Imapd、Pop3d、DNS等程序，經(jīng)常發(fā)現(xiàn)安全漏洞，這對(duì)于入侵不勤于修補(bǔ)系統(tǒng)漏洞的主機(jī)相當(dāng)容易得手。

　　16、被Hacker入侵計(jì)算機(jī)，系統(tǒng)的Telnet程序可能被掉包，所有用戶Telnet session的賬號(hào)和密碼均被記錄下，并發(fā)E-mail給Hacker，進(jìn)行更進(jìn)一步的入侵。

　　17、Hacker會(huì)清除系統(tǒng)記錄。一些厲害的Hacker都會(huì)把記錄它們進(jìn)入的時(shí)間、IP地址消除掉，諸如清除：syslog、lastlog、messages、wtmp、utmp的內(nèi)容，以及Shell歷史文件。history. 18、入侵者經(jīng)常將如ifconfig、tcpdump這類的檢查命令更換，以避免被發(fā)覺(jué)。

　　19、系統(tǒng)家賊偷偷復(fù)制/etc/passwd，然后利用字典文件去解密碼。

　　20、家賊通過(guò)su或sudo之類的Super User程序覬覦root的權(quán)限。

　　21、黑客經(jīng)常使用Buffer overflow（緩沖區(qū)溢位）手動(dòng)入侵系統(tǒng)。

　　22、cron是Linux操作系統(tǒng)用來(lái)自動(dòng)執(zhí)行命令的工具，如定時(shí)備份或刪除過(guò)期文件等等。入侵者常會(huì)用cron來(lái)留后門(mén)，除了可以定時(shí)執(zhí)行破譯碼來(lái)入侵系統(tǒng)外，又可避免被管理員發(fā)現(xiàn)的危險(xiǎn)。

　　23、利用IP spoof（IP詐騙）技術(shù)入侵Linux主機(jī)。

　　上面是常見(jiàn)的黑客攻擊Linux 主機(jī)的伎倆。如果黑客可以利用上述一種方法輕易地入侵計(jì)算機(jī)的話，那么該計(jì)算機(jī)的安全性實(shí)在太差了，需要趕快下載新版的軟件來(lái)升級(jí)或是用patch文件來(lái) 修補(bǔ)安全漏洞。在此警告，擅自使用他人計(jì)算機(jī)系統(tǒng)或竊取他人資料的都是違法行為，希望各位讀者不要以身試法。除了上面這些方法，很多黑客還可 以利用入侵工具來(lái)攻擊Linux系統(tǒng)。這些工具常常被入侵者完成入侵以后種植在受害者服務(wù)器當(dāng)中。這些入侵工具各自有不同的特點(diǎn)，有的只是簡(jiǎn)單地用來(lái)捕捉 用戶名和密碼，有的則非常強(qiáng)大可記錄所有的網(wǎng)絡(luò)數(shù)據(jù)流�？傊�，黑客利用入侵工具也是攻擊Linux主機(jī)的常用方法。


賽貝爾實(shí)驗(yàn)室 為答謝廣大學(xué)員：
開(kāi)始開(kāi)設(shè)為期一個(gè)星期的 免費(fèi)學(xué)習(xí)計(jì)算機(jī)入侵與防御，網(wǎng)絡(luò)攻擊與防御的課程， 讓各位學(xué)員了計(jì)算機(jī)領(lǐng)域的安全技術(shù)，及自身的發(fā)展方向。隨到隨學(xué)
聯(lián)系QQ：2605684535
http://www.sybe%6Cl***.cn/
武漢市洪山區(qū)雄楚大道珞獅路449號(hào)獅城名居2棟1單元904室 聯(lián)系我的時(shí)候請(qǐng)說(shuō)是在 武漢網(wǎng)whw.cc 上看到的，謝謝。