放置后门 清理日志
第三步:放置后门
最好自己写后门程序,用别人的程序总是相对容易被发现。
第四步:清理日志
最好手工修改日志,不要全部删除,也不好使用别人写的工具。
附加说明:
*1 例如WWW服务的附属程序就包括CGI程序等
*2 这里指存在配置文件的目录,如/etc等
*3 如/tmp等,这里的漏洞主要指条件竞争
*4 如WWW目录,数据文件目录等 /***************************************************************************** /好了,大家都知道了入侵者入侵一般步骤及思路 那么我们开始做入侵检测了。
第一步、我们都知道一个入侵者想要入侵一台服务器首先要扫描这台服务器,搜集服务器的信息,以便进一步入侵该系统。系统信息被搜集的越多,此系统就越容易被入侵者入侵。所以我们做入侵检测时,也有必要用扫描器扫描一下系统,搜集一下系统的一些信息,来看看有没有特别流行的漏洞(呵呵这个年头都时兴流行哦:)
第二步、扫描完服务器以后,查看扫描的信息---->分析扫描信息。如果有重大漏洞---->修补(亡羊补牢,时未晚),如果没有转下一步。
第三步、没有漏洞,使用杀毒工具扫描服务器防入侵系统文件,看看有没有留下什么后门程序,如:nc.exe、srv.exe......如果没有转下一步。
第四步、入侵者一般入侵一台机器后留下后门,充分利用这台机器来做一些他想做的事情,如:利用肉鸡扫描内网,进一步扩大战果,利用肉鸡作跳板入侵别的网段的机器,嫁祸于这台机器的管理员,跑流影破邮箱......
网友评论