红盟idc技术培训群―安全培训（二）

上节课我们给大家讲解了黑客对网站的入侵技术手段,这节课我们将给大家讲解黑客是如何入侵系统，以及对系统会做哪些破坏.

   年前，我们给一家IDC公司做培训的时候，遇到了一个情况,有几台服务器都是刚刚安装的系统，连网站都没有放,但是就被黑客入侵了,黑客在系统里面放了很多黑客软件，而且还运行一些黑客软件来扫描更多的服务器,我们分析了一下，发现黑客是利用系统存在的一些漏洞，以及管理员对于账号的安全管理方面的漏洞来进行入侵的,我想问一下，大家公司的服务器账号都是怎么来管理的？比如给客户新上一台服务器的话，账号和密码通常都是怎么设定的？大部分的服务器初始的账号和密码都是一样的，是吗？ 很多黑客都会用他们入侵的一台服务器的账号和密码来尝试同网段，尤其是同一公司的服务器。

    刚才讲了一个简单的案例，其实黑客对于系统的各种各样的入侵方法是多种多样的，你只要稍微有一个方面不注意，就容易被黑客利用到，特别是一些重要的电子商务网站，稍微不注意，把资料弄丢失了，这个损失就惨重了，那既然黑客有这么多对系统的入侵手段，那我们今天就来剖析一下黑客对系统进行入侵的饿各种手段

21端口入侵

    现在很多服务器里面的FTP服务器都是SERVU的，那样也会有被黑客入侵的风险，SERVU有几个版本存在远程溢出和本地溢出的漏洞，包括密码文件泄露的问题，所以黑客会较多的利用到SERVU来进行入侵。

    我现在来跟大家讲一个SERVU入侵的实例，黑客对于FTP的入侵通常会结合ASP木马来进行，黑客有一个ASP木马的WEBSHELL权限之后，他就会用ASP木马来查看系统安装的是什么FTP，很多FTP默认都会安装在C:\PROGRAM FILES\SERVU文件夹里面，所以黑客直接访问这个目录就知道系统是不是安装了SERVU，找到这个目录之后，黑客就会打开这个目录里面的ServUDaemon.ini文件，这个文件是用来存储FTP账号和密码用的，密码是加密了的，但是黑客现在获取这个文件不是要破解密码，而是要在这个文件里面添加一个系统管理员权限的账号和密码，这就是黑客高明的地方，大家要知道，黑客永远都会利用最容易的技术手段来达到他的目的！但是网络上仍然有很多服务器里面的SERVU文件都可以被改动的，而且还有的管理员的确是设置了权限，但是只给外面的PROGRAM FILES设置了权限，但是里面的SERVU目录没有继承权限，也会造成文件可被改动的问题，所以对于管理员来说，一定要小心谨慎的设置和管理服务器，有时候权限设置得过严的话，用户使用FTP时就会遇到很多登录不了的情况，或者文件无法上传的问题。

    黑客给SERVU的ServUDaemon.ini文件添加了系统管理员的权限之后，黑客就会来查看一下FTP开的端口是不是默认的21，因为有不少管理员会把端口的密码改成其它端口，确定是21端口之后，黑客就会在远程用命令的方式登录FTP

ftp ftp>open ip

　　Connected to ip.

　　220 Serv-U FTP Server v5.0.0.4 for

WinSock ready...

　　User (ip:(none)): 构造的账号
    331 User name okay, please send

complete E-mail address as password.

　　Password:password //密码

　　230 User logged

in, proceed.

   通过这些命令的方式，黑客就登录进来了

ftp>quote site exec net.exe user rover rover1234 /add
 

这个命令就是建立一个rover的账号，密码是rover1234

ftp>quote site exec net.exe localgroup administrators rover /add

   这样黑客就把rover的权限提升为管理员了，然后黑客就会通过3389端口的远程桌面服务登录到服务器里面去，这个就是黑客利用SERVU的漏洞来进行入侵的一种技术手段，好我们现在开始进入下一部分的讲解，这个部分会给大家讲讲黑客近年来对服务器进行入侵最常用的手段

445端口入侵
   445端口是一个毁誉参半的端口，有了它我们可以在局域网中轻松访问各种共享文件夹或共享打印机，但也正是因为有了它，黑客们才有了可乘之机，他们能通过该端口偷偷共享你的硬盘，甚至会在悄无声息中将你的硬盘格式化掉，在WINDOWS 2000当中，139端口入侵是常用的技术手段，到WINDOWS 2003之后，类似功能的445端口就成为黑客常用的手段，大家大致了解了这个端口的服务了，那我们就进入正题 ，让大家知道黑客是怎么通过445端口进行入侵的，如果远程服务器有漏洞的话，这个监听的界面就会获得一个远程的SHELL权限，黑客真正用这个工具的时候，还会配合很多其它软件来一起实施入侵，首先，黑客会用一个端口扫描器来对网络上的服务器进行扫描，看看这些服务器是否开启445端口，然后黑客才会用这个自动溢出工具来进行扫，这样成功机率就会高很多，黑客成功拿到CMDSHELL权限之后，就会建立一个账号，提升为管理员
net user ccc ccc /add
net localgroup administrators ccc /add
    最后通过3389端口登录进入系统，这样黑客就完成了一次利用445端口进行入侵的过程，很多黑客通常是拿肉鸡去扫肉鸡，所以大家在管理服务器的时候，一定要多进去检查，刚才的445端口入侵的手段已经讲完了，最简单的防御方法就是445端口关闭掉。

    下面我们来讲一下今天的最后一个部分，1433端口入侵的手段，1433端口我想大家也知道，是微软的SQL数据库的端口，这个端口最简单的一种入侵方式现在来给大家讲解一下，有一些SQL数据库在默认安装的时候，会自动建立一个用户名为SA，密码为空的账号，而且这个SA是系统管理员权限，所以，利用一个SQLEXEC.RAR的工具就可以直接连接有这样漏洞的数据库服务器，或者用其它的SQL连接器替代也可以，而且这个工具的使用是非常简单的，直接输入目标IP，账号和密码，点连接就可以了，成功连接之后就可以以命令行的方式来操作了，黑客拿到命令行的方式后，还是先建立一个系统账号，然后提权 如果这种方式建立不了账号的话，还有另外一种办法，黑客通常会用ASP木马结合SQL来进行入侵，黑客会用ASP木马传一个远程控制的木马程序到服务器里面，然后用SQLEXEC.EXE来执行这个木马程序，这样黑客就可以用木马直接来控制远程服务器，或者利用木马程序建立一个系统账号，然后再用3389端口登录进去，上节课当中我们也讲解了SQL注入的方式配合SQL来进行入侵的，只不过是利用80端口的注入工具来实施入侵，而这个是用1433端口来实施入侵，当然很多服务器都关闭了1433端口，不让远程进行连接，那黑客拿到系统权限之后，可以打开1433端口，并且在数据库里建立一个管理员账号，用这种方式留一个后门也是有可能的。
    还有一种情况，黑客通过ASP木马拿到了网站连接文件当中的数据库连接账号和密码，也都可以用连接器的方式来连接，获得一个CMDSHELL的权限，所以大家要知道，黑客的手段是千万变化的，只要有一种方式被他利用，他就可能成功入侵，或者成功长期持有权限，好了，1433端口的入侵手段就讲到这里。