来源：http://www.istroop.org/

第一步：进入系统

1. 扫描目标主机。
2. 检查开放的端口，获得服务软件及版本。
3. 检查服务软件是否存在漏洞，如果是，利用该漏洞远程进入系统；否则进入下一步。
4. 检查服务软件的附属程序(*1)是否存在漏洞，如果是，利用该漏洞远程进入系统；否则进入下一步。
5. 检查服务软件是否存在脆弱帐号或密码，如果是，利用该帐号或密码系统；否则进入下一步。
6. 利用服务软件是否可以获取有效帐号或密码，如果是，利用该帐号或密码进入系统；否则进入下一步。
7. 服务软件是否泄露系统敏感信息，如果是，检查能否利用；否则进入下一步。
8. 扫描相同子网主机，重复以上步骤，直到进入目标主机或放弃。

第二步：提升权限

1. 检查目标主机上的SUID和GUID程序是否存在漏洞，如果是，利用该漏洞提升权限，否则进入下一步。
2. 检查本地服务是否存在漏洞，如果是，利用该漏洞提升权限，否则进入下一步。
3. 检查本地服务是否存在脆弱帐号或密码，如果是，利用该帐号或密码提升权限；否则进入下一步。
4. 检查重要文件的权限是否设置错误，如果是，利用该漏洞提升权限，否则进入下一步。
5. 检查配置目录(*2)中是否存在敏感信息可以利用。
6. 检查用户目录中是否存在敏感信息可以利用。
7. 检查临时文件目录(*3)是否存在漏洞可以利用。
8. 检查其它目录(*4)是否存在可以利用的敏感信息。
9. 重复以上步骤，直到获得root权限或放弃。

第三步：放置后门

最好自己写后门程序，用别人的程序总是相对容易被发现。

第四步：清理日志

最好手工修改日志，不要全部删除，也不好使用别人写的工具。

附加说明：

*1 例如WWW服务的附属程序就包括CGI程序等
*2 这里指存在配置文件的目录，如/etc等
*3 如/tmp等，这里的漏洞主要指条件竞争
*4 如WWW目录，数据文件目录等
/*****************************************************************************/
好了，大家都知道了入侵者入侵一般步骤及思路那么我们开始做入侵检测了。

第一步、我们都知道一个入侵者想要入侵一台服务器首先要扫描这台服务器，搜集服务器的信息，以便进一步入侵该系统。系统信息被搜集的越多，此系统就越容易被入侵者入侵。所以我们做入侵检测时，也有必要用扫描器扫描一下系统，搜集一下系统的一些信息，来看看有没有特别流行的漏洞(呵呵这个年头都时兴流行哦：)

第二步、扫描完服务器以后，查看扫描的信息－－－－>分析扫描信息。如果有重大漏洞－－－－>修补(亡羊补牢，时未晚)，如果没有转下一步。

第三步、没有漏洞，使用杀毒工具扫描系统文件，看看有没有留下什么后门程序，如：nc.exe、srv.exe......如果没有转下一步。

第四步、入侵者一般入侵一台机器后留下后门，充分利用这台机器来做一些他想做的事情，如：利用肉鸡扫描内网，进一步扩大战果，利用肉鸡作跳板入侵别的网段的机器，嫁祸于这台机器的管理员，跑流影破邮箱......

如何检测这台机器有没有装一些入侵者的工具或后门呢？

查看端口(偏好命令行程序，舒服)
1、fport.exe－－－>查看那些端口都是那些程序在使用。有没有非法的程序，和端口 winshell.exe 8110 晕倒～后门 net use 谁在用这个连接我？

2、netstat -an ---->查看那些端口与外部的ip相连。 23 x.x.x.x 没有开23端口，怎么自己打开了？？黑客！？

3、letmain.exe \\ip -admin -d 列出本机的administrators组的用户名查看是否有异常。怎么多了一个hacker用户？？<＝＝>net user id

4、pslist.exe---->列出进程<==>任务管理器

5、pskill.exe---->杀掉某个进程，有时候在任务管理器中无法中止程序那就用这个工具来停止进程吧。

6、login.exe ---->列出当前都有那些用户登录在你的机器上，不要你在检测的同时，入侵者就在破坏：(

7、查看日志文件--->庞大的日志文件--->需要借助第三方软件来分析日志记录了入侵者扫描的信息和合法用户的正确请求
Find “scirpts/..” C:\WINNT\system32\LogFiles\W3SVC1\ex010705.log --解码漏洞？？谁在扫描我？

8、查看 Web 目录下文件改动与否留没有留 asp php 后门......查看存放日志文件的目录
DOS dir /a
GUI 查看显示所有文件和文件夹
技巧：查看文件的修改日期，我两个月没有更新站点了(好懒：)，怎么 Web 目录下有最近修改文件的日期？？奇怪吧？：)
＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃
C:\WINNT\system32\LogFiles\W3SVC1>dir
dir
驱动器 C 中的卷是 system Server
卷的序列号是 F4EE-CE39

C:\WINNT\system32\LogFiles\W3SVC1 的目录

[1] [2] [3] 下一页

上一篇:某高手总结的电脑技巧

下一篇:女黑客雪蓓新作：自己丰衣足食—菜鸟制作木马的旅程

网络入侵一般步骤及思路相关文章：

·网络玄幻小说十大网站

·网络组建大全（包括企业网、校园网、网吧和基础知识）

网络入侵一般步骤及思路相关软件：

·网络神偷10.4 版

·红太阳网络电视v17.3

·UUSee网络电视 2007V4.4.801.53

·2007网络安全黄皮书V1.0.0

·网络状况监视器(Netwatch) V6.0

·八匹马网络加速器V1.1.2.6952

特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员，我们尽快予以更正。
[打印本页] [关闭窗口] 转载请注明来源：http://www.vipcn.net

	\| 帮助(？) \| 版权声明 \| 友情连接 \| 关于我们 \| 信息发布
Copyright 2007 www.vipcn.net All Rights Reserved.	鄂ICP备05000083号Powered by:viphot