黑客怎样删除入侵痕迹_黑客会留下痕迹吗
目录:
- 1、我的电脑给黑客攻击,有什么办法可以清除啊?
- 2、用黑客手段.入侵咯游戏服务器.怎么样才能把当时在服务器上的痕迹去掉.入侵玩马上就能去的那种
- 3、一般所谓的黑客在入侵完电脑后都要删除日志,是哪个日志,怎么打开查看?
- 4、黑客入侵后,会清除入侵记录,请问下谁知道清除记录的命令是什么啊?
- 5、怎么样隐藏自己的入侵痕迹啊???
我的电脑给黑客攻击,有什么办法可以清除啊?
拔掉主板电池没用,最好的办法是拔掉网线。哈哈~~开玩笑!下面是一些防范方法:
-- 如何防范黑客
1、屏蔽可以IP地址:
这种方式见效最快,一旦网络管理员发现了可疑的IP地址申请,可以通过防火墙屏蔽相对应的IP地址,这样黑客就无法在连接到服务器上了。但是这种方法有很多缺点,例如很多黑客都使用的动态IP,也就是说他们的IP地址会变化,一个地址被屏蔽,只要更换其他IP仍然可以进攻服务器,而且高级黑客有可能会伪造IP地址,屏蔽的也许是正常用户的地址。
2、过滤信息包:
通过编写防火墙规则,可以让系统知道什么样的信息包可以进入、什么样的应该放弃,如此一来,当黑客发送有攻击性信息包的时候,在经过防火墙时,信息就会被丢弃掉,从而防止了黑客的进攻。但是这种做法仍然有它不足的地方,例如黑客可以改变攻击性代码的形态,让防火墙分辨不出信息包的真假;或者黑客干脆无休止的、大量的发送信息包,知道服务器不堪重负而造成系统崩溃。
3、修改系统协议:
对于漏洞扫描,系统管理员可以修改服务器的相应协议,例如漏洞扫描是根据对文件的申请返回值对文件存在进行判断的,这个数值如果是200则表示文件存在于服务器上,如果是404则表明服务器没有找到相应的文件,但是管理员如果修改了返回数值、或者屏蔽404数值,那么漏洞扫描器就毫无用处了。
4、经常升级系统版本:
任何一个版本的系统发布之后,在短时间内都不会受到攻击,一旦其中的问题暴露出来,黑客就会蜂拥而致。因此管理员在维护系统的时候,可以经常浏览著名的安全站点,找到系统的新版本或者补丁程序进行安装,这样就可以保证系统中的漏洞在没有被黑客发现之前,就已经修补上了,从而保证了服务器的安全。
5、及时备份重要数据:
亡羊补牢,如果数据备份及时,即便系统遭到黑客进攻,也可以在短时间内修复,挽回不必要的经济损失。想国外很多商务网站,都会在每天晚上对系统数据进行备份,在第二天清晨,无论系统是否收到攻击,都会重新恢复数据,保证每天系统中的数据库都不会出现损坏。数据的备份最好放在其他电脑或者驱动器上,这样黑客进入服务器之后,破坏的数据只是一部分,因为无法找到数据的备份,对于服务器的损失也不会太严重。
然而一旦受到黑客攻击,管理员不要只设法恢复损坏的数据,还要及时分析黑客的来源和攻击方法,尽快修补被黑客利用的漏洞,然后检查系统中是否被黑客安装了木马、蠕虫或者被黑客开放了某些管理员账号,尽量将黑客留下的各种蛛丝马迹和后门分析清除、清除干净,防止黑客的下一次攻击。
6、使用加密机制传输数据:
对于个人信用卡、密码等重要数据,在客户端与服务器之间的传送,应该仙经过加密处理在进行发送,这样做的目的是防止黑客监听、截获。对于现在网络上流行的各种加密机制,都已经出现了不同的破解方法,因此在加密的选择上应该寻找破解困难的,例如DES加密方法,这是一套没有逆向破解的加密算法,因此黑客的到了这种加密处理后的文件时,只能采取暴力破解法。个人用户只要选择了一个优秀的密码,那么黑客的破解工作将会在无休止的尝试后终止。
用黑客手段.入侵咯游戏服务器.怎么样才能把当时在服务器上的痕迹去掉.入侵玩马上就能去的那种
这个要看管理员的设置,入侵日志可以清除,但是还是会有痕迹,基本要全部清除很麻烦,但是可以用国外IP进行入侵,这样对方就很难找到你
一般所谓的黑客在入侵完电脑后都要删除日志,是哪个日志,怎么打开查看?
1) Scheduler日志
Scheduler服务日志默认位置:2000下: %sys temroot%\schedlgu.txt NTworkstation下为 SchedLog.txt
可以打开schedlgu.txt
Schedluler服务日志在注册表中
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent
先停掉他 net stop "task scheduler" (注意不停是删不掉的)
然后再 del schedlgu.txt 或 schedlog.txt之后就OK了.
del sched*.txt
不过你如果不想删他,也可以改改它. 他的内容是这样的:
" "任务计划程序服务"
已退出于 01-5-22 20:37:34
"任务计划程序服务"
已启动于 01-5-25 7:07:37
"任务计划程序服务"
已启动于 01-5-25 7:26:36
"任务计划程序服务"
已退出于 01-5-25 8:47:54 "
很好改的.
(2) FTP日志
Internet信息服务FTP日志默认位置:%sys temroot%\sys tem32\logfiles\msftpsvc1\,默认每天一个日志.
格式是这样的 ex*.log .
注意这是一台NT4的LOGFILES下的文件:
这台服务器下管理有多个HTTP或FTP站点
c:\winnt\sys tem32\logfiles 的目录
00-12-04 06:28p .
00-12-04 06:28p ..
01-05-18 12:56p MSFTPSVC1
01-04-23 11:28a MSFTPSVC2
01-01-12 11:56a MSFTPSVC3
01-06-01 08:12a SMTPSVC1
01-09-20 08:55a W3SVC1
01-08-02 10:36a W3SVC10
01-10-11 04:48p W3SVC11
01-07-11 09:16a W3SVC2
01-10-11 10:31a W3SVC3
01-10-10 04:55p W3SVC4
01-09-28 01:43p W3SVC5
01-10-11 08:44a W3SVC6
01-10-11 08:00a W3SVC7
01-09-30 01:49p W3SVC8
01-10-11 08:03a W3SVC9
看看日志文件的格式:
c:\winnt\sys tem32\logfiles\msftpsvc1\in010306.log
192.168.5.8, anonymous, 01-3-6, 16:41:51, MSFTPSVC1, APPSERVER, 192.168.5.8, 0,
0, 0, 331, 0, [3]USER, anonymous, -,
192.168.5.8, -, 01-3-6, 16:41:51, MSFTPSVC1, APPSERVER, 192.168.5.8, 0, 0, 0, 53
0, 1326, [3]PASS, IE30User@, -,
关于LOG文件的含意我就不解释了,浪费时间,嘿嘿.
法一: 这个时侯 net stop msftpsvc 停掉后台服务.
然后尽管 del 看这删吧,不要删的过火,把当天的删了就行. 别忘了再NET START MSFTPSVC 把服务打开.
法二: 当然你如果还想更好,那就改改日志,可以改了系统时间后再改日志,只把你的清了,别忘了把时间改回来哦
实际上在得到ADMIN权限后,做这些事很容易.
法三:) 最傻瓜的清FTP日志的方法, cleaniislog 小蓉写的工具,不用我再教了吧!
(3) WWW日志
Internet信息服务WWW日志默认位置:%sys temroot%\sys tem32\logfiles\w3svc1\,默认每天一个日志
注意这是一台NT4的LOGFILES下的文件:
这台服务器下管理有多个HTTP或FTP站点
c:\winnt\sys tem32\logfiles 的目录
00-12-04 06:28p .
00-12-04 06:28p ..
01-05-18 12:56p MSFTPSVC1
01-04-23 11:28a MSFTPSVC2
01-01-12 11:56a MSFTPSVC3
01-06-01 08:12a SMTPSVC1
01-09-20 08:55a W3SVC1
01-08-02 10:36a W3SVC10
01-10-11 04:48p W3SVC11
01-07-11 09:16a W3SVC2
01-10-11 10:31a W3SVC3
01-10-10 04:55p W3SVC4
01-09-28 01:43p W3SVC5
01-10-11 08:44a W3SVC6
01-10-11 08:00a W3SVC7
01-09-30 01:49p W3SVC8
01-10-11 08:03a W3SVC9
w3svc1 下的文件:
黑客入侵后,会清除入侵记录,请问下谁知道清除记录的命令是什么啊?
清除记录的命令:
del C:\winnt\system32\logfiles\*.*
del C:\winnt\system32\config\*.evt
del C:\winnt\system32\dtclog\*.*
del C:\winnt\system32\*.log
del C:\winnt\system32\*.txt
del C:\winnt\*.txt
del C:\winnt\*.log
怎么样隐藏自己的入侵痕迹啊???
攻击者在获得系统最高管理员权限之后就可以随意修改系统上的文件了(只对常规 Unix系统而言),包括日志文件,所以一般黑客想要隐藏自己的踪迹的话,就会对日志进行修改。最简单的方法当然就是删除日志文件了,但这样做虽然避免了系统管理员根据IP追踪到自己,但也明确无误地告诉了管理员,系统己经被人侵了。所以最常用的办法是只对日志文件中有关自己的那一部分做修改。关于修改方法的具体细节根据不同的操作系统有所区别,网络上有许多此类功能的程序,例如 zap、 wipe等,其主要做法就是清除 utmp、wtmp、Lastlog和 Pacct等日志文件中某一用户的信息,使得当使用w、who、last等命令查看日志文件时,隐藏掉此用户的信息。管理员想要避免日志系统被黑客修改,应该采取一定的措施,例如用打印机实时记录网络日志信息。但这样做也有弊端,黑客一旦了解到你的做法就会不停地向日志里写入无用的信息,使得打印机不停地打印日志,直到所有的纸用光为止。所以比较好的避免日志被修改的办法是把所有日志文件发送到一台比较安全的主机上,即使用loghost。即使是这样也不能完全避免日志被修改的可能性,因为黑客既然能攻入这台主机,也很可能攻入loghost。只修改日志是不够的,因为百密必有一漏,即使自认为修改了所有的日志,仍然会留下一些蛛丝马迹的。例如安装了某些后门程序,运行后也可能被管理员发现。所以,黑客高手可以通过替换一些系统程序的方法来进一步隐藏踪迹。这种用来替换正常系统程序的黑客程序叫做rootkit,这类程序在一些黑客网站可以找到,比较常见的有LinuxRootKit,现在已经发展到了5.0版本了。它可以替换系统的ls、ps、netstat、inetd等等一系列重要的系统程序,当替换了ls后,就可以隐藏指定的文件,使得管理员在使用ls命令时无法看到这些文件,从而达到隐藏自己的目的。一般黑客都会在攻入系统后不只一次地进入该系统。为了下次再进入系统时方便一点,黑客会留下一个后门,特洛伊木马就是后门的最好范例。Unix中留后门的方法有很多种,下面介绍几种常见的后门,供网络管理员参考防范。这是入侵者使用的最早也是最老的方法,它不仅可以获得对Unix机器的访问,而且可 以通过破解密码制造后门。这就是破解口令薄弱的帐号。以后即使管理员封了入侵者的当前帐号,这些新的帐号仍然可能是重新侵入的后门。多数情况下,入侵者寻找口令薄弱的未使用帐号,然后将口令改的难些。当管理员寻找口令薄弱的帐号是,也不会发现这些密码已修改的帐号。因而管理员很难确定查封哪个帐号。在连网的Unix机器中,象Rsh和Rlogin这样的服务是基于rhosts文件里的主机名使用简 单的认证方法。用户可以轻易的改变设置而不需口令就能进入。 入侵者只要向可以访问的某用户的rhosts文件中输入"+ +",就可以允许任何人从任何地方无须口令便能进 入这个帐号。特别当home目录通过NFS向外共享时,入侵者更热中于此。这些帐号也成 了入侵者再次侵入的后门。许多人更喜欢使用Rsh,因为它通常缺少日志能力. 许多管理员经常检查 "+ +",所以入侵者实际上多设置来自网上的另一个帐号的主机名和 用户名,从而不易被发现。早期,许多入侵者用自己的trojan程序替代二进制文件。系统管理员便依靠时间戳和系 统校验和的程序辨别一个二进制文件是否已被改变,如Unix里的sum程序。入侵者又发展了使trojan文件和原文件时间戳同步的新技术。它是这样实现的: 先将系统时钟拨 回到原文件时间,然后调整trojan文件的时间为系统时间。一旦二进制trojan文件与 原来的精确同步,就可以把系统时间设回当前时间。Sum程序是基于CRC校验,很容易 骗过。入侵者设计出了可以将trojan的校验和调整到原文件的校验和的程序。MD5是被 大多数人推荐的,MD5使用的算法目前还没人能骗过。在Unix里,login程序通常用来对telnet来的用户进行口令验证. 入侵者获取login.c的 原代码并修改,使它在比较输入口令与存储口令时先检查后门口令。如果用户敲入后门 口令,它将忽视管理员设置的口令让你长驱直入。这将允许入侵者进入任何帐号,甚至 是root。由于后门口令是在用户真实登录并被日志记录到utmp和wtmp前产生一个访问 的,所以入侵者可以登录获取shell却不会暴露该帐号。管理员注意到这种后门后,便 用"strings"命令搜索login程序以寻找文本信息. 许多情况下后门口令会原形毕露。入侵者就开始加密或者更好的隐藏口令,使strings命令失效. 所以更多的管理员是 用MD5校验和检测这种后门的。
下一篇:黑客蜜罐被盗视频_黑客 蜜罐