人在济南,有点黑客私活,有黑客接吗?
你好
在这找特定的人和信息难度很大
何况你还限定了区域
更增加了难度
理解你的心情
但很遗憾,在这坐等意义不大
因为看到的人很少
而且你还要注意一些喜欢恶作剧的朋友
实际点说,去本地论坛或贴吧发帖,更多关注,更有效些
或许会有帮助
祝你好运,早日找到心仪的人
黑客一般都是干什么的,接什么活
你好,黑客是电脑专家,也叫软件高级工程师,是一些专门研究网络的,一般都是利用实用技术进行网络唯护,修补漏洞等
。望采纳。
黑客是怎么赚钱的?一年能赚多少?
利用计算机互联网的安全漏洞及其公共通讯网络去赚钱,有的可以一年赚几百万,但大部分都是通过个人技术欺骗违法所得。
过去:
技术非常好,后来去当政府、公司、网站等的信息安全顾问。比如:孤独剑客等。
现在:因为黑客软件的大量开发,所以门槛变低了。
1、技术不怎么样的,整日抓肉鸡(被控制的他人电脑),然后接受灰色收入,对指定网站进行拒绝服务攻击等。(比如就有不少人自称是网络黑社会,勒索网站等)
2、技术可以的,组建团队和网站,破解软件为辅,**为主。
3、技术很好的,还是信息走老黑客的路。
黑客的破坏性是显而易见的,但是能在网络里面搞破坏的不都是黑客。一个黑客要精通的东西非常的多,比如:TCP\IP协议、汇编语言和其他几种语言等等。举个例子:以太网的标准文档就要4000页,在这种情况下自称黑客的多。搞破坏的人都是些初涉不久的人,关于这些你去看看安全焦点(国内最著名的黑客网站)看看,
我今天在QQ上遇到了黑客怎么办啊,有哪位精通电脑的好心人可以告诉我怎么办啊?
我个人的认为是最好的防御就是攻击! 首先是作到记录对方所有入侵你的步骤
一、利用“木马”进行记录
1.木马简介
这里要用到的是一个很特殊的dll木马,它可以把通过终端登陆的用户名、密码,以及域信息记录到指定文件中。不要以为这些信息没什么用哦!有时候就得靠这些零散的信息来找入侵的人。
下载地址:http://www.chinesehack.org/down/show.asp?id=3770down=1
在下载的压缩包内,有三个文件:
SysGina32.dll--这个就是可以记录用户名和密码的东东了。
Gina.exe--这是安装DLL木马用的程序,有了它后安装起来就很方便了。
使用方法.txt--这个很熟悉吧!中文帮助文件哦!有什么不懂的可以查查。
2.安装木马
先把SysGina32.dll和Gina.exe放在同一目录下,并将Gina.exe改名为svchost.exe(你也可以改成其它名字,为的是不让黑客注意到),然后打开CMD,切换到保存这两个文件的文件夹,输入命令:svchost.exe -install,当出现“All Done,Gina setup success”信息时,安装就成功了
注意:
a.该木马已被杀毒软件查杀,所以安装时请关闭杀毒软件(不是关闭防火墙哦!),而且以后重启时杀毒软件不能一起启动,以后杀一次毒重新装一次该木马。不过如果你能让该木马不被杀毒软件的话,那就没这么麻烦了。
b.为了不让黑客发现我们设的陷阱,最好将Gina.exe文件改名,而且要改的艺术一点,比如上面我把它改成了“svchost.exe”,这样就很难发现了,如果你改成了其它名字,安装时命令就要换成“文件名.exe -install”。
c.SysGina32.dll和Gina.exe这两个文件不一定要复制到系统安装目录的system32下,不过最好不要太引人注意,如果被黑客发现,那就可能适得其反了(木马也会记下你的密码的)。
d.如果出现的信息是“Found Exist Gina”,这说明你机器已经装过该木马了,此时键入“Y”覆盖即可。
3.查看“踪迹”
经过以上设置后,如果有人通过终端服务登录你的机器,那么他的用户名和密码就会被记录到“C:WINNTsystem32GinaPwd.txt”这个文件中,打开这文件就可以看到入侵者的踪迹了..由于该木马也会记录你的密码,所以每次进入机器时,请先打开GinaPwd.txt这文件,把你的用户名和密码删掉,顺便查一下有没有其它人登录过。
4.删除木马
如果你的机器不幸被人中了该木马,那么请按如下方法删除:
先下载该木马,在CMD下输入命令:gina.exe -remove,当出现“ Gina Dll was removed success”时,就表示删除成功了,接着重启机器即可。
注意:如果你把gina.exe改名了,命令也要做相应改变:文件名.exe -remove。
二、写个批处理记录黑客行踪
1.认识批处理
对于批处理文件,你可以把它理解成批量完成你指定命令的文件,它的扩展名为 .bat 或 .cmd,只要在文本文件中写入一些命令,并把它保存为.bat 或 .cmd格式,然后双击该文件,系统就会按文本文件中的命令逐条执行,这样可以节省你许多的时间。
2.编写批处理文件
打开记事本,然后输入如下命令:
@echo off
date /t d:3389.txt
attrib +s +h d:3389.bat
attrib +s +h d:3389.txt
time /t d:3389.txt
netstat -an |find "ESTABLISHED" |find ":3389" d:3389.txt
然后把文件保存为d:3389.bat,这里我解释一下命令的意思,date和time是用于获取系统时间的,这样可以让你知道黑客在某天的某个时刻入侵。“attrib +s +h d:3389.bat”和“attrib +s +h d:3389.txt”这两个命令是用来隐藏3389.bat和3389.txt这两个文件的,因为在登录时,由于会启动d:3389.bat这个文件,所以会有一个CMD窗口一闪而过,有经验的黑客应该能判断出这窗口是记录用的,所以他可能会到处找这个记录文件,用了以上两个命令后,即使他用系统自带的搜索功能以3389为关键字进行搜索,也找不到上面3389.bat和3389.txt这两个文件,哈哈!很棒吧!至于“netstat -an |find "ESTABLISHED" |find ":3389" d:3389.txt”这个命令则是记录通过终端的连结状况的,明白了吧!
接下来我们要让系统启动时自动运行d:3389.bat这文件,我用的方法是修改注册表,依次展开:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon,找到“Userinit”这个键值,这个键值默认为c:WINNTsystem32userinit.exe,不知你注意到没有,在最后有一个逗号,我们要利用的就是这逗号,比如我上面写的3389.bat文件路径为d:3389.bat,那么我只要在逗号后面加上“d:3389.bat”即可,这样启动时3389.bat这文件就会运行,选这个键值的原因是因为它隐蔽,如果是加在Run键值下的话是很容易被发现的。最后提醒一点,键值末尾的逗号别忘了加上去哦!
4.查看记录
前面我们用了attrib命令把3389.bat和3389.txt这两个文件隐藏起来,下面我们来让它们重新显示。
打开CMD,切换到保存这两个文件的路径,这里是切换到“d:”目录,输入命令:attrib -s -h d:3389.bat和attrib -s -h d:3389.txt,这时再到d盘看看,是不是出现了?打开文件即可查看登录情况,从图中我们可以看出,10.51.5.36这IP连结到了我的3389端口(我的IP是10.51.5.35)。
三、记录黑客动作
有了以上两道防线,我们就能知道黑客的用户名、密码、以及入侵时的IP了,不过这样好像还不够,要是能知道黑客都干了些什么就更好了,下面我们再设置一个陷阱,这里要用到的工具是“计算机系统日志”。
下载地址:http://www.skycn.com/soft/9820.html
该软件的特色就是可以在后台记录所有运行过的程序和窗口名称,并且有具体的时期,以及登录的用户名,很恐怖哦!下面咱们来设陷阱吧!
1.记录日志
双击压缩包内的主程序,点击“软件试用”进入主界面,在“日志文件保存路径”处点击“浏览”选择保存路径并进行命名,这里保存在c:winntlog.txt。然后钩选“日志记录随计算机自动启动”。
注意:
a.为了防止黑客找到记录日志的文件,你可以用上面提到的命令:attrib +s +h c:winntlog.txt进行隐藏。
b.最好不要将这个记录文件和上面的3389.txt放一个目录下,这样万一被发现其中一个,不至于使另一个也一同被发现。
c.软件在“任务管理器”的进程中显示名称为“syslog”,而且未注册版本会在20分钟后自动停止记录,所以只能用来对付菜鸟黑客啦!而且还得先花点“银子”,哈哈!
接下来在“程序密码保护”处输入一个复杂点的密码,点击“开始日志”。这时软件会提醒你隐藏后的热键为“Ctrl+Q”,请记住这个热键,以后要唤出软件时就得靠它了。
2.查看动作
想知道这样设置后记录下来的东西是什么样吗?那就快来看看吧。怎么样?对这种记录结果你还满意吗?
以上就是我比较推荐的三种方法了,都非常的实用,你不妨也试试哦!
黑客链接
在里程碑上选择亮着的关卡~
每过一关都会得到一个你说的那个东西……~
……看不到在界面按LR转换~
里程碑 2009 的位置附近~
不是中间那条主线的……
在船上……最下面那个按钮……会有邮件……读完后再去里程碑就可以开关卡
标有 :“依頼”的那几封
黑客链接全攻略
第01话 冒险开始!
人物资料:
九龙时郎 (くりゅう トキオ)
国中二年级的男孩,
因为从转学生天城彩花那里获得的黑色光碟之力量,
而以身为人类的状态被传送进游戏的世界中。
朦胧中,九龙时郎(トキオ)一身黑衣劲装,面前渐渐浮现一个身着雪白纱裙的公主,一对清净的明眸闪闪发亮。
『谢谢你,トキオ……你是我的勇者……』
时郎还未反应过来,公主消失了,而面前的人,是……
『The World』这个网游中的传说人物————凯特!
人物资料:
凯特(カイト, Kite) 声优:相田さやか
职业:双剑士/男性
主要登场:.hack//、Another Birth 另一个诞生
『一起走吧。』凯特说。
跟着凯特进入战斗地图,一开始是给玩家熟悉战斗操作的。(教程在M大的评测中已有介绍)大概再提示一下,R键是开打选择技能跟物品使用的,三角跟X上下替换物品或招式。圈是普通攻击,方格是使用选定招式或物品,招式使用后有一定的冷却时间,招式消耗一定的SP。将敌人BREAK之后按L发动跟UPC(即同伴)的组合攻击,可以视为跟打棒球差不多的小游戏。一开始UPC在远处不停地出招攻击敌人,然后就把敌人像球一样扔过来,这时候要看屏幕下方的指标,等它跑到绿色的范围就可以按了,按了就是把敌人击回给UPC继续虐。绿色的是nice就是一般评价,绿色中的一小段橙色是great,是完美打击,nice跟great是影响几次成功来回击破敌人后的终结招等级跟敌人击破后的奖励。当右边的槽到MAX状态,还可以在合击模式中在橙色段按下三角发动合体奥义!最后说一下X键的用法,被敌人吹飞的时候按X可以及时回身。X可以做出Dash,两下的话是双Dash,在战斗中也可以发挥出不错的用途。
体验完战斗的快感后,到达最后一个地图,对门按圈……
『成为勇者吧。』凯特说。
大梦方醒。
时郎发现自己原来是在做梦。当然,如果不是梦怎么又是碰到公主,又是见到英雄。
回想起睡梦中公主的样子,时郎突然觉得很像两天前的转校生————天城彩花。
人物资料:
天城彩花 (あまぎ さいか)
CV:小清水亚美
转学进时郎班上的神秘美少女,
虽然个性十分高傲,不过成绩优秀而且运动神经很好,
不知为何把时郎送进游戏的世界。
回到学校正要向天城同学确认,却给天城同学拉到了楼顶。
『你就是我的勇者。』天城说道。
天城拿出的电子仪器闪出耀眼的白光,时郎能再看见东西的时候,已经是另一个世界了。
这里是『The World X』。
眼前都是苍茫的灰雾。而雾中矗立着一座座奇怪的人型石像,而那些人脸都似曾相识……
一回头,一把枪顶住了时郎的脸边。
拿枪的是个黑衣长白发男人————佛流格而。
人物资料
弗流格尔(フリューゲル)
CV:杉田智和
命运的领导者,被成员称为『团长』。
基本上是个讨厌工作的懒人,
但认真起来就会变身成身穿黑色大衣白色长发的战斗型态。
(小旭:银桑啊~)
当银桑,喔不,黑衣男扣动扳机的一霎那,凯特出现了!两人随即展开激战!佛流格而在『黄昏骑士团』的凯特面前丝毫不处下风。而战斗的流弹突然飞向还在发呆的时郎。凯特随即开始石化!时郎看着石化中的凯特发觉自己根本无能为力……
『好了,轮到你了。』佛流格而对时郎也开了几枪。
『好疼啊,搞什么鬼!』时郎只是跌了个踉跄。
『什么,居然没效!』佛流格而吃了一惊。
可以把『黄昏骑士团』的勇者都石化的枪,居然对一个无名小卒一点效用都没有。而此时,凯特在石化前发动了最后的奥义,逼得佛流格而撤退,救下了时郎。
『成为勇者吧!』
在石化的一瞬间,凯特对时郎说道。
时郎醒来的时候,发现眼前是一个跟自己造型相似的古怪生物。说话最末还『Oh Ba Oh Ba』地叫……原来他被天城彩花救了,正在彩花的潜水艇内。彩花把修复『アカシャ盘』的任务交到时郎的手上。立刻前往『アカシャ年代碑』,可看到历代的.Hack系列都在碑上,每一个小孔代表那一代的一话故事。看来时郎要开始『穿越』的旅程了(小旭:难道是穿梭不同空间拯救世界的那位假面骑士……呃……我也穿越了……)。
第02话 统治世界的塔
来到了『忘刻之都 Oblivion City Mac Anu』,立刻去中央广场。仍然见到那些被石化的『黄昏骑士团』成员的石像静静地错落在广场附近。时郎的任务就是要拯救他们!于是返回大地图,去进入『アカシャ盘』。一路直走到最后见到『记忆之泉』,『记忆之泉』内积蓄了The World里发生的一切的资料。而『アカシャ盘』就是用来管理The World的时间的。要拯救一切,必需经过记忆之泉,进行穿越!
时郎跌入记忆之泉,回到2009年的The World世界。
这里是『The World R:1』的世界,回到潜艇,听完彩花跟小动物的叙述后,看来首要任务是需要找到黄昏骑士团的成员拿到『アカシャ盘』的控制装置。
于是,属于『.Hack//SIGN』的旅程开始了!
.Hack//SIGN 2009年
第01话 逃げる少年
前往城市的『カオスゲート』,时郎见到了司跟蜜蜜尔。
角色资料:
司(司(つかさ), Tsukasa) 声优:斋贺观月
职业:咒纹使/男性
主要登场:.hack//SIGN
黄昏事件中的首个未归还者。
现实:庄司杏。女性。
蜜蜜尔(ミミル, Mimiru) 声优:豊口惠
职业:重剑士/女性
主要登场:.hack//SIGN
司跟蜜蜜尔聊了一下就自个离开了,留下郁闷的蜜蜜尔。时郎上前搭讪蜜蜜尔,跟蜜蜜尔很快约好一起去寻找司。这样就可以跟蜜蜜尔组队了!
去本话仅有的一个地图————新绿高塬上的『魔术师的谷间』 。
(小旭:顺带一说,新绿高塬挺漂亮的,空中还有个鲸鱼形状的空岛……可惜上不去TAT)
画面右上角有地图,基本是单线路线,而且路上有方向标记指引,基本不可能迷路的。路上的宝箱跟可以破坏的木桶等都要打开去取得道具,这个是会影响通关评价的。一路杀到靠后的地图,在BOSS标记前的地图往往有只很可爱的小奶牛。追着它砍吧,会掉宝箱,里面有『万兽之证』,这个物品可以在潜艇的房间兑换造型道具。而这块地图往往有个黄色箭头指向隔壁的一个区域,进去的宝箱会有恢复道具,女神像可以帮助角色恢复HP跟SP。
准备好后就开门进入BOSS战斗了!
BOSS其实不强,最多就前斩跟释放黑暗球波。前斩完全不拍,X键躲避或者跑到他后面直接出技能。球体也是Dash闪躲就好。尽量尽快Break他进入组合攻击。右边槽满了就Break他开奥义吧。很快就能收拾他。不过要注意组合攻击很耗费UPC的SP,因为她会一直出技能,所以最好留意UPC的SP,适时使用道具补SP。SP不够即使是Break也不能发动组合攻击的。
BOSS收拾完,发现了司,但是他没说两句就走了。看来要留住他不容易啊。
两人只能回城了,时郎返回潜艇,发现更新了不少设施,期中最重要就是邮件系统,每封邮件都必须要按叁角进行详细阅读,来激发下一话的剧情。看完邮件,就可以进入中央的盘,进行下一话了!
第02话 监视する影
一开始还是没有找到司的头绪,只好找蜜蜜尔商量了。蜜蜜尔在『マク.アヌ』的『カオスゲート』那里。闲聊几句,塬来她真的知道司跑去哪了,事不宜迟,立刻前往司所在地。
本关有叁个地图,第一个是司所在的地图,而下面两个则是分支地图,可以自由选择前往。先进入第一个地图的话,完成剧情后就不能进入此两个地图了。如果不是急于攻略剧情的话,小旭建议大家先去下面两个地图玩玩,因为难度不大,而且又可以赚钱,拿道具,升级,还有『万兽之证』。这里要提一下永久冻土『永劫回归』的两个图,都有强力BOSS,不过攻略方法依旧是绕后技能Break,其中一只还是本话剧情BOSS,所以可以习惯下打法。
而新绿高塬上的『午睡する 魔术师的谷间』这个地图,就是司所在的地图。进入地图后,画面一转。佛流格而又出现了,不过是一副慵懒的样子,而他身边聚集了七位怪异的角色,都叫他团长大人。不过,在他们基地荧屏上出现的人影,似乎更让人觉得胆寒……
人物资料:
命运(シックザール)
由八位成员所组成的一流骇客集团。
他们负责管理「The world」的中枢部门,并把时郎当成异端者且想将他排除。
命运是以佛流格尔为1号或NO.1作为开始,
后续加入的成员会依序冠上2、3、4等称号。
弗流格尔(フリューゲル)
CV:杉田智和
命运的领导者,被成员称为『团长』。基本上是个讨厌工作的懒人,
但认真起来就会变身成身穿黑色大衣白色长发的战斗型态。
梅特罗诺(メトロノーム)
CV:保志总一朗
命运的2号。一边辅佐团长,同时有效率的处理事务;
跟欧格尔不合老是争吵,人称『刀客』。
雀萝(チェロ)
CV:钉宫理惠
命运的3号,人称『驯兽师』,跟可爱的外表相反,
专门负责照顾和吐槽团长,性格话多爱挑剔。
克拉莉妮蒂(クラリネッテ)
CV:能登麻美子
命运的4号,人称『舞姬』。沉默寡言,没有过多的感情流露出脸上。
命运中号称最强的近身战专家。
欧格尔(オルゲル)
CV:中井和哉
命运的5号,人称『喷火男』。是团里的武斗派,为了胜利不择手段。
被梅特罗诺认为是笨蛋总是和他争吵。
波札奥尼(ポザオネ)
CV:坂口候一
专门负责侦查与跟踪等等秘密行动,人称『小丑』,命运的6号。
特隆梅尔(トロンメル)
CV:叁宅健太
外貌很像美国的漫画英雄,常说一些不太正确的英文腔调。人称『怪力男』,命运的7号。
盖斯特(ガイスト)
CV:内田夕夜
有时会帮助时郎等人,是个行动十分神秘的人物。人称『魔术师』,命运的8号。
(小旭:嗯……银时,神乐,土方十四……还带个基拉……XD)
剧情过后就进入地图攻略了,在BOSS房间,见到司倚在树边,跟一只可爱的小动物玩耍着。突然小动物诡异一笑,手指空中。眼见天空撕裂,一只庞大的怪物从异空间的狭缝中爬了出来!最后BOSS战如果有玩分支地图就很熟悉他的攻击,分别是向前蓄力开炮,塬地向下开炮跟双手扫击。开炮蓄力很明显,绝对可以X键或者Dash躲过,而且利用这个时间用技能把他Break掉也是很简单的。收拾完BOSS,返回潜艇。
依旧是查看邮件,看见『红衣骑士团』昂MM的来信,触发下一话。
第03话 骑士団の昴
一开始,时郎就迫不及待地跑到『マク.アヌ桥』去见昂MM。
人物资料:
昴(昴(すばる), Subaru) 声优:名冢佳织
职业:重斧使/女性
主要登场:.hack//SIGN、.hack//ZERO
昂绝对是超美的MM,她见过司,而她也塬意跟时郎一通前往寻找司。恰好天城彩花来电告诉时郎发现了司。
依旧前往关键地图前,可以去另外的地图练练级。
进入『θそびえたつ鲜血之决战场』,依旧一路清怪,途中需要调查升降台继续前进。最后BOSS战,实力依然不济,多多Break它用组合攻击给它死吧~
BOSS消灭后见到司,依然是没说两句就走掉了,昂也留不下他,于是也离开了。剩下时郎自讨没趣……
没办法,还是回去潜艇看邮件,发现蜜蜜尔来邮件了。
第04话 消灭
见到蜜蜜尔,发现她带了新的朋友来。
人物资料:
熊(ベア, Bear) 声优:中田和宏
职业:剑士/男性
主要登场:.hack//SIGN
BT(BT, BT) 声优:平松晶子
职业:咒纹使/女性
主要登场:.hack//SIGN
克利姆(クリム, Crim) 声优:叁木眞一郎
职业:重枪使/男性
主要登场:.hack//SIGN
大家讨论了一下,还是分头去寻找司的线索。时郎只好返回潜艇获取新信息。天城彩花很及时地告知时郎司的所在。前往彩花所说的牧场,见到了司,塬来,司的宠物生病了,司一直为这件事烦恼。
打听到高山都市的『θ冻てつく 寒空の 雪景色』那有可以治疗司的宠物的药,于是跟司一通前往寻找。来到地图,居然遇见了剑士楚良。
人物资料:
楚良(楚良(そら), Sora) 声优:家中宏
职业:双剑士/男性
主要登场:.hack//SIGN、.hack//、.hack//ZERO
一路清怪,没有太高难度,记得开完宝箱就好。进入最后BOSS战,这个BOSS的行动比之前的更迟缓了,直接痛殴它就好了,依旧快速Break接组合攻击或奥义。打倒BOSS后获得传说中的灵药。这个时候,司终于跟时郎变得更加友好了,到了谢便跟时郎一起回到牧场。但是发现司的宠物服药后就突然消失了!天城彩花这个时候叫时郎去跟司拿装置,但是时郎不忍心在这个时候跟司拿取道具。只好一个人先回潜艇再说。
这两天在QQ上刷单说一任务一结!做了任务又说是三单!三单做了又说是双重!被骗了好几万该怎么做?
1、报警。需要说明的是,各地的报警电话都是110,不会是其他的号码。报警后,虽说挽回损失的希望不大,但还有万一的机会。
2、长点心。以后别再上这种当。要牢记这句古语:“吃一堑,长一智。”也不要再相信天上掉馅饼的事了。特别是像网k络h刷t单,网a络a兼a职之类的骗局。
3、把自己的经历说出来,警示他人。让善良的无辜之人不再上当受骗。
4、需要强调的是,不要相信网络黑客什么的会给你找回钱财,全部都是先收你费,然后把你拉黑的。相信黑客能找加被骗钱财的,往往是另一个骗局的开始。
网络黑客是怎么操作的
Web服务器将成为下一代黑客施展妖术的对象。在很大程度上,进行这种攻击只需一个Web浏览器和一个创造性的头脑。以前,黑客的攻击对象集中在操作系统和网络协议上,但随着这些攻击目标的弱点和漏洞逐渐得到修补,要进行这类攻击已经变得非常困难。操作系统正在变得更加稳健,对攻击的抵抗能力日益提高。随着身份验证和加密功能渐渐被内置到网络协议中,网络协议也变得更加安全。此外,防火墙也越来越智能,成为网络和系统的外部保护屏障。
另一方面,电子商务技术正在日益普及开来,其复杂性有增无减。基于Web的应用程序正在与基本的操作系统和后端数据库更加紧密地集成在一起。遗憾的是,人们在基于Web的基础设施安全性方面所做的工作还很不够。Web服务器和Web应用程序中的弱点被发现的速度为何这么快呢?
有很多因素促成了这种Web黑客活动的快速增加。其中最主要的原因是防火墙允许所有的Web通信都可以进出网络,而防火墙无法防止对Web服务器程序及其组件或Web应用程序的攻击。第二个原因是,Web服务器和基于Web的应用程序有时是在“功能第一,安全其次”的思想指导下开发出来的。
当您的Web服务器面临巨大威胁时,怎样保障它们的安全呢?这就需要您不断了解新信息,新情况,每天跟踪您所用服务器的有关网站,阅读相关新闻并向它进行咨询。为了让你着手这方面的工作,下面介绍黑客对NT系统的四种常用攻击手段,同时介绍如何防止这类攻击。
Microsoft IIS ism.dll缓冲区溢出
受影响的服务器:运行IIS 4.0并带有“Service Pack 3/4/5”的Windows NT服务器
Microsoft IIS缓冲区溢出这一安全弱点是Web服务器无时不有的重大缺陷之一。该弱点被称为IIS
eEye,这个名称来自发现此问题的一个小组。在实施缓冲区溢出攻击时,黑客向目标程序或服务输入超出程序处理能力的数据,导致程序突然终止。另外,还可以通过设置,在执行中的程序终止运行前,用输入的内容来覆盖此程序的某些部分,这样就可以在服务器的安全权限环境下执行任意黑客命令。
eEye发现,IIS用来解释HTR文件的解释程序是ism.dll,它对缓冲区溢出攻击的抵抗力十分脆弱。如果攻击者将一个以.htr结尾的超长文件名(大约3,000个字符,或更多)传递给IIS,那么输入值将在ism.dll中造成输入缓冲区溢出,并导致IIS崩溃。如果攻击者输入的不是一串字母而是可执行代码(通常称为“鸡蛋”或“外壳代码”),那么在IIS终止之前将执行该代码。由eEye小组发现的这一攻击方法包括三个步骤:
1.创建一个用于侦听任意TCP端口上连接活动的程序。一旦接收到连接信号,该程序将执行一个Windows命令外壳程序(cmd.exe),并将该外壳与连接绑定在一起。这个程序是经过修改的Netcat。Netcat是一个流行的网络连接实用程序,其源代码可以免费获得。
2.在IIS的ism.dll中制造缓冲区溢出,并使IIS从外部Web站点下载侦听程序(由步骤1产生)。
3.执行刚下载的程序(由步骤2产生),该程序将等待传入的连接并使攻击者进入Windows命令外壳程序中。
由于缓冲区溢出导致IIS在崩溃之前转而运行Windows命令外壳,所以该外壳程序将在IIS的安全权限背景下运行,而该安全权限背景等价于NT
Administrator权限。这样,攻击者要做的只是与被攻击的IIS服务器的侦听端口建立连接,然后等着出现c:提示就万事大吉了。现在,攻击者拥有对整个NT服务器的管理权限,可以做任何事,比如,添加新用户、修改服务器的内容、格式化驱动器,甚至将该服务器用作攻击其它系统的踏脚石。
运行IIS 4.0并带有“Service Pack 3/4/5”的Windows
NT服务器容易受到此类攻击。Microsoft已经发布了对该弱点的修补程序。Windows NT Service Pack
6也已经修补了该问题。
Microsoft IIS MDAC RDS安全弱点
受影响的服务器:运行IIS 4.0并安装了MDAC 2.1或更早版本的Windows NT服务器
在发现IIS eEye安全弱点的大约一个月后,IIS
4.0的另一个弱点又暴露出来。使用Microsoft数据访问组件(MDAC)和远程数据服务(RDS),攻击者可以建立非法的ODBC连接,并获得对Web服务器上的内部文件的访问权。如果安装了Microsoft
Jet OLE DB提供程序或Datashape提供程序,攻击者可以使用Visual Basic for Applications
shell()函数发出能够在服务器上执行的命令。
在安装了MDAC 2.1或更高版本的IIS 4.0上,从位于其公共目录中的msadcmsadcs.dll,可以找到MDAC
RDS弱点。Rain Forest
Puppy在其站点中对该弱点进行了详细说明。该弱点利用了IIS上MDAC默认安装时的不适当配置和安全机制的缺乏这一漏洞。在等价于NT
Administrator的IIS Web服务器进程的安全权限背景下,进行这种攻击的黑客可以在NT系统上远程执行任意命令。
MDAC的弱点不是由于技术造成的,而是由于用户对它的配置方式所致。很多站点是通过NT Option Pack 4.0安装IIS
4.0的。如果NT Option Pack
4.0是以典型或默认配置安装的,那么MDAC就容易遭到这种攻击。大多数使用默认安装的系统管理员都没有具体调整过这些设置,从而使Web服务器的安全性大大降低。
Foundstone公司的George Kurtz、Purdue大学的Nitesh
Dhanjani和我曾经共同设计了一个只有一行的命令字符串,该命令将利用MDAC
RDS弱点,使远程NT系统启动一个通过FTP或TFTP进行的文件传输过程。这个命令将告诉服务器到从某个外部系统下载并执行Netcat。Netcat将运行Windows命令外壳程序,并建立一个返回攻击者计算机的连接,这样,攻击者就获得了对远程NT系统的完全管理控制权。
Microsoft已经发布了相应的安全公告,并对使IIS 4.0免受该弱点攻击的保护措施进行了说明。
Allaire ColdFusion 4.0弱点
受影响的服务器:运行在Windows NT上的Allaire ColdFusion Server 4.0
作为还算容易使用的、功能强大的脚本语言,ColdFusion已经广泛流行起来。但流行并不意味着安全。ColdFusion的问题不在于该服务器自身,而是在于它附带的脚本。ColdFusion
4.0提供了示范应用程序和范例,它们可以在位于Web服务器根目录中的cfdocsexampleapp和cfdocsexpeval目录中找到。当用户执行典型安装时,将安装这些应用程序和脚本。ColdFusion所附带的部分范例经过修改后,将允许非法访问服务器上所包含的敏感数据。这些弱点表明,基本的应用程序服务器可以被编写得不好的应用程序脚本歪曲利用。
存在这种弱点的一个范例应用程序是cfdocsexampleappdocssourcewindow.cfm。因为ColdFusion是作为具有Administrator权限的系统服务运行的,所以,该程序可以被用来任意访问和查看NT
Web服务器上的任何文件,包括boot.ini。用这种方法可以检索任何文件。Packet Storm对该弱点做了完整解释。
而更严重的弱点存在于cfdocsexpevalopenfile.cfm、cfdocsexpevaldisplayopenedfile.cfm和cfdocsexpevalexprcalc.cfm中。这三个文件可以用来查看服务器上的任何文件,更为严重的是,它们还能将任意文件上载到服务器。对该弱点如何发作的讨论超出了本文的范围,欲了解详细信息请访问L0pht
Heavy
Industries的咨询信息。表达式求值程序exprcalc.cfm用于让开发人员计算被上载文件中的ColdFusion表达式的值。作为预防手段,该脚本在进行表达式计算时便会把被上载的文件删除掉,但要避免删除却是件容易的事。这样,攻击者可以上载恶意文件,并最终控制服务器。
这些就是ColdFusion的示范脚本中最严重的弱点。要防止出现问题,请从任何运行中的服务器中删除ColdFusion示范脚本。Allaire的Security
Zone提供了补丁程序,并提供了如何保护ColdFusion服务器的进一步信息。
Sambar 4.3 hello.bat
受影响的服务器:运行在Windows NT上的Sambar 4.3 beta 7和更早版本
Sambar是提供给开发者的免费Web服务器。它提供了对CGI和WinCGI脚本、ODBC脚本以及ISAPI的支持。它甚至捆绑了Perl
5解释器。
Sambar 4.3 beta
7版和更早版本附带两个名为hello.bat和echo.bat的文件,它们是将Windows批处理文件用作CGI脚本的范例。这两个脚本本身没有问题,hello.bat显示字符串“Hello
World”,而echo.bat显示字符串“Place
Holder”。但当批处理文件被用作CGI脚本时,Web服务器将使用Windows命令外壳程序cmd.exe来运行它们。这样,攻击者可以利用该弱点针对目标服务器运行任意命令。例如,假如攻击者把URL
http://target.site/cgi-bin/hello.bat?dir+c:放在他或她的浏览器中,那么,将在服务器上运行命令“dir
c:”,并在浏览器上显示结果。由于Sambar是在NT
Administrator安全权限下运行的,因此事情会变得更为复杂。这样的权限等级可以让攻击者作为NT Administrator运行任意命令。
Windows命令外壳使用“”在相同命令行上分隔多个命令。如果用户将“”放在hello.bat的后面,并在其后添加一个命令,那么将在执行hello.bat后执行第二个命令。
由于已经删除了文件hello.bat和echo.bat,Sambar 4.3 beta
8版和更高版本没有该弱点。但是,由于Windows命令外壳程序解析命令行的方式无法改变,所以并没有办法能真正修正该问题。如果您安装了4.3
beta 7版或更低版本,请一定要删除hello.bat和echo.bat。