如何查看電腦是不是被入侵了(如何檢查電腦有沒有被入侵過)

發(fā)布時間：2023-11-02

本文主要介紹如何查看電腦是不是被入侵了(如何檢查電腦有沒有被入侵過)，下面一起看看如何查看電腦是不是被入侵了(如何檢查電腦有沒有被入侵過)相關(guān)資訊。
: 1. 怎么看電腦是否被入侵
1.在網(wǎng)絡(luò)系統(tǒng)中收集信息：
收集到的信息并不會對目標造成傷害，而是為進一步入侵提供有用的信息。黑客可以使用公共協(xié)議或工具來收集關(guān)于駐留在網(wǎng)絡(luò)系統(tǒng)中的各種主機系統(tǒng)的信息。
2.檢測目標網(wǎng)絡(luò)系統(tǒng)的安全漏洞：
在收集了一些要攻擊的目標的信息后，黑客會探查目標網(wǎng)絡(luò)上的每一臺主機，尋找系統(tǒng)內(nèi)部的安全漏洞。
3.建立模擬攻擊的模擬環(huán)境：
根據(jù)前兩點獲得的信息，建立與攻擊對象相似的模擬環(huán)境，然后對模擬目標進行一系列攻擊。在此期間，通過檢查被攻擊方的日志，觀察檢測工具對攻擊的反應(yīng)，可以進一步了解痕跡在攻擊過程中留下的和被攻擊方的狀態(tài)，從而制定更加周密的攻擊策略。
4.網(wǎng)絡(luò)攻擊的具體實施：
入侵者根據(jù)前面步驟獲得的信息，結(jié)合自身水平和經(jīng)驗總結(jié)出相應(yīng)的攻擊方法。在模擬攻擊的練習(xí)結(jié)束后，他會等待時機實施真正的網(wǎng)絡(luò)攻擊。
2. 怎么看電腦是不是被黑客入侵
黑客入侵你的電腦。他不你不必看著屏幕控制你的鼠標。他可能只需要訪問你的文件和使用你的硬盤，所以你贏了我不一定能找到它。
3. 怎么看電腦是否被入侵記錄
檢查您的計算機日志。方法是右擊我的電腦-管理-選擇事件查看器以仔細查看內(nèi)部的安全性，并查看誰已成功登錄到您的計算機。如果你發(fā)現(xiàn)你的日志里什么都沒有或者很少，最近幾天日志突然消失，說明你的電腦可能被入侵了。也有簡單的方法殺死病毒。一般黑客侵入機器后會在機器中留下自己的后門程序，使用
如果可以t被殺死或完全安全，開始-運行-輸入cmd，然后輸入netstat-n，看看你的機器打開了哪些端口。
(it & # 039最好不要因為提前連接網(wǎng)站而迷惑自己。)如果發(fā)現(xiàn)可用端口在監(jiān)聽，說明有問題(見系統(tǒng)常用端口)。
: 4. 怎么看電腦是否被入侵過查ip
1.檢查日志文件
linux查看/var/log/wtmp文件以查看可疑的ip登錄
last -f /var/log/wtmp
日志文件永久記錄每個用戶的登錄和注銷，以及系統(tǒng)的啟動和關(guān)閉事件。因此，隨著系統(tǒng)正常運行時間的增加，文件大小會越來越大，
增加的速度取決于系統(tǒng)用戶的登錄次數(shù)。這個日志文件可以用來查看用戶的登錄記錄。最后一個命令通過訪問這個文件來獲取這些信息，并顯示用戶的登錄記錄以相反的順序從后向前排列。last還可以根據(jù)用戶、終端tty或時間顯示相應(yīng)的記錄。
檢查/var/log/secure文件中可疑的ip登錄時間。
二。腳本制作中所有登錄用戶的操作歷史
在linux系統(tǒng)環(huán)境下，無論是root用戶還是其他用戶登錄系統(tǒng)，我們都可以通過使用命令history來查看歷史。但是如果很多人登錄一個服務(wù)器，有一天，重要的數(shù)據(jù)因為某個人而被刪除誤操作。此時查看歷史(命令：history)是沒有意義的(因為歷史只對登錄的用戶有效，即使是root用戶也可以t獲取其他用戶的歷史記錄)。
有什么方法可以通過登錄后記錄ip地址和一個用戶名來記錄操作的歷史？
回答：是的。
您可以通過將以下代碼添加到/etc/profile中來實現(xiàn)這一點：
ps1=` whoami `@ ` hostname `: '[$ pwd]history user _ ip=` who-u is i 2/dev/null | awk { print $ nf } & # 039| sed-e s/[]//g `如果[$ user _ ip & # 039='']然后user_ip=`hostname`fiif [！-d/tmp/dba sky]然后mkdir/tmp/dbaskychmod 777/tmp/dbaskyfiif[！-d/tmp/dba sky/$ { logname }]然后mkdir/tmp/dba sky/$ { logname } chmod 300/tmp/dba sky/$ { logname } fi export histsize=4096 dt=` date % y-% m-% d _ % h:% m:% s `導(dǎo)出歷史文件=/tmp/dba sky/$ {日志名}/$ {用戶ip} dbasky。$ dt & # 039chmod 600/tmp/dba sky/$ { logname }/* dba sky * 2/dev/null source/etc/profile通過腳本生效。
用戶注銷并重新登錄。
上面的腳本在系統(tǒng)中創(chuàng)建了一個新的dbasky目錄s /tmp，并記錄已經(jīng)登錄到系統(tǒng)的所有用戶和ip地址(文件名)。用戶每次登錄/退出都會創(chuàng)建一個對應(yīng)的文件，保存該用戶在登錄期間的操作歷史。這種方法可以用來監(jiān)控系統(tǒng)的安全性。
root @ zsc 6:[/tmp/dba sky/root]ls 10 . 1 . 80 . 47 dba sky . 2013-10-24 _ 12:53:08 root @ zsc 6:[/tmp/dba sky/root]cat 10 . 1 . 80 . 47 dba sky . 2013-10-24 _ 12:53:08
5. 怎么看電腦是否被攻擊
你好，這是一個非常容易解決的問題。我來給你一個答案；
1.首先，這是一種arp攻擊，是指網(wǎng)絡(luò)與你的ip地址相同，不斷發(fā)送廣播包，導(dǎo)致網(wǎng)關(guān)解析的mac地址不是你的pc-mac地址。
2.在你的路由器中，找到綁定arp表這一項，輸入你獲得的ip地址和你電腦的mac地址進行綁定，這樣以后你的pc就不會有arp攻擊了。
3.建議更改路由器密碼——也有可能是你的密碼不安全。唐不要用admin作為用戶名，否則會被強行破解。
4.檢查您的ip地址和mac，在運行中鍵入cmd，然后在彈出框中鍵入ipconfig/all?？梢圆橐幌?。對不起，我沒有don’不要全部仔細閱讀。這是有人冒充網(wǎng)關(guān)造成的，只要看看你路由器里的arp表，把對應(yīng)攻擊者的mac地址輸入防火墻進行隔離就可以了。
6. 電腦被侵入時是什么樣的
被稱為黑客。攻擊是遠程進入別人通過網(wǎng)絡(luò)對美國計算機進行破壞。入侵是利用網(wǎng)絡(luò)遠程訪問其他人美國的電腦。不同的是，沒有被破壞的叫入侵，像偵察兵一樣進入但不行動；破壞行為是一種攻擊，對另一方有不利的后果比如竊取、篡改信息、保守秘密、傳播病毒和木馬等。無論如何，沒有對方是違法的的許可。
7. 如何查看電腦是否被攻擊
一般來說，it & # 039一些ping愛好者在ping其他人時會觸發(fā)防火墻提示被攻擊的機器。
如果某臺電腦頻繁被攻擊，通常是由于一些長期使用同一個ip地址的ping愛好者的關(guān)注而引起的。至于實際被控制的攻擊，大部分都是木馬造成的。建議：
1.唐不要長期使用同一個ip地址。建議每3到5小時斷開一次。
2.唐不要在一些小規(guī)模的網(wǎng)站上閑逛。
3.安裝殺毒軟件和防火墻，并及時升級。
4.下載完文件，先檢查病毒，再打開。
8. 怎么看電腦是否被入侵過
入侵檢測是對入侵行為的檢測。通過收集和分析網(wǎng)絡(luò)行為、安全日志、審計數(shù)據(jù)、網(wǎng)絡(luò)上可獲得的其他信息以及計算機系統(tǒng)中一些關(guān)鍵點的信息，它可以檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測作為一種主動的安全保護技術(shù)，對內(nèi)部攻擊、外部攻擊和誤操作提供實時保護，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。因此被認為是防火墻之后的第二道安全閘門，可以在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)進行監(jiān)控。入侵檢測通過執(zhí)行以下任務(wù)來實現(xiàn)：監(jiān)視和分析用戶和系統(tǒng)活動；系統(tǒng)結(jié)構(gòu)和弱點的審計；識別已知攻擊的活動模式并向相關(guān)人員發(fā)出警報；異常行為模式的統(tǒng)計分析；評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；審計、跟蹤和管理操作系統(tǒng)，并識別用戶違反安全政策。入侵檢測是防火墻的合理補充，幫助系統(tǒng)應(yīng)對網(wǎng)絡(luò)攻擊，擴展系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)控、攻擊識別和響應(yīng))，提高信息安全基礎(chǔ)設(shè)施的完整性。它從計算機網(wǎng)絡(luò)系統(tǒng)中的多個關(guān)鍵點收集信息，并分析這些信息，以查看網(wǎng)絡(luò)中是否存在任何違反安全策略的行為和攻擊跡象。入侵檢測技術(shù)入侵檢測技術(shù)是為保證計算機系統(tǒng)安全而設(shè)計和配置的技術(shù)，能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未經(jīng)授權(quán)或異常的現(xiàn)象。它是一種用于檢測計算機網(wǎng)絡(luò)中違反安全策略的技術(shù)。入侵檢測的軟硬件結(jié)合是入侵檢測系統(tǒng)中入侵檢測技術(shù)的分類：入侵檢測系統(tǒng)中使用的技術(shù)可以分為特征檢測和異常檢測。1.特征檢測：基于特征的檢測，也稱為誤用檢測，假設(shè)入侵者的活動可以用一種模式來表示，系統(tǒng)的目標是檢測主體的活動是否符合這些模式。它可以檢查現(xiàn)有的入侵方法，但它可以不要對新的做任何事情。難點在于如何設(shè)計出能夠表達入侵不包括正?；顒印?.異常檢測：異常檢測假設(shè)入侵者的活動相對于正常主體是異常的。根據(jù)這個概念，活動簡介的主題的正?；顒?，并將受試者的當前活動狀態(tài)與活動簡介。當違反統(tǒng)計法時，認為該活動可能是入侵行為。異常檢測的難點在于如何建立活動簡介以及如何設(shè)計統(tǒng)計算法，才不會把正常操作當成入侵還是忽略了真正的入侵行為。入侵檢測系統(tǒng)的工作步驟對于一個成功的入侵檢測系統(tǒng)來說，它不僅能使系統(tǒng)管理員及時了解網(wǎng)絡(luò)系統(tǒng)中的任何變化(包括程序、文件、硬件設(shè)備等。)，同時也為網(wǎng)絡(luò)安全政策的制定提供指導(dǎo)。更重要的是，它應(yīng)該易于管理和配置，以便非專業(yè)人員可以輕松獲得網(wǎng)絡(luò)安全。而且，入侵檢測的規(guī)模應(yīng)該根據(jù)網(wǎng)絡(luò)威脅、系統(tǒng)結(jié)構(gòu)和安全需求的變化而變化。當入侵檢測系統(tǒng)發(fā)現(xiàn)入侵時，會及時做出反應(yīng)，包括切斷網(wǎng)絡(luò)連接、記錄事件和報警。收集信息入侵檢測的第一步是信息收集，包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)以及用戶活動的狀態(tài)和行為。而且需要在計算機網(wǎng)絡(luò)系統(tǒng)中的幾個不同的關(guān)鍵點(不同的網(wǎng)段，不同的主機)收集信息。除了盡可能擴大檢測范圍的因素外，另一個重要的因素是，來自一個來源的信息可能并不可疑，但來自幾個來源的信息不一致是可疑行為或入侵的最佳跡象。當然，入侵檢測在很大程度上取決于所收集信息的可靠性和正確性。因此，有必要
因為黑客經(jīng)常會更換軟件來混淆和刪除這些信息，比如更換子程序、庫等程序調(diào)用的工具。黑客的修改s系統(tǒng)可能會讓系統(tǒng)失靈，看起來很正常，其實不然。比如unix系統(tǒng)的ps指令可以換成不顯示入侵過程的指令，或者編輯器換成讀起來和指定文件不一樣的文件(黑客把初始文件藏起來換成另一個版本)。這就需要保證用于檢測網(wǎng)絡(luò)系統(tǒng)的軟件的完整性，尤其是入侵檢測系統(tǒng)軟件本身要相當強大，防止其被篡改和收集錯誤信息。1.系統(tǒng)和網(wǎng)絡(luò)日志文件的黑客通常會在系統(tǒng)日志文件中留下痕跡。因此，充分利用系統(tǒng)和網(wǎng)絡(luò)日志文件的信息是入侵檢測的必要條件。日志包含系統(tǒng)和網(wǎng)絡(luò)上異常和意外活動的證據(jù)，這可能表明有人正在入侵或已經(jīng)成功入侵系統(tǒng)。通過檢查日志文件，我們可以發(fā)現(xiàn)成功的入侵或入侵企圖，并迅速啟動相應(yīng)的應(yīng)急程序。日志記錄各種類型的行為，每種類型包含不同的信息。例如，記錄用戶活動包括登錄、用戶id更改、用戶對文件的訪問、授權(quán)和認證信息等。顯然，對于用戶活動來說，異?；蛞馔庑袨槭侵貜?fù)登錄失敗、登錄到意外位置、未經(jīng)授權(quán)試圖訪問重要文件等等。2.目錄和文件中的意外更改。網(wǎng)絡(luò)環(huán)境中的文件系統(tǒng)包含許多軟件和數(shù)據(jù)文件。包含重要信息的文件和私人數(shù)據(jù)文件經(jīng)常是黑客的目標修改或破壞。而目錄文件中的意外變化(包括修改、創(chuàng)建和刪除)，尤其是正常情況下限制訪問的變化，很可能是入侵產(chǎn)生的指示和信號。黑客經(jīng)常替換、修改和破壞他們有權(quán)訪問的系統(tǒng)上的文件。同時，他們想盡辦法替換系統(tǒng)程序或修改系統(tǒng)日志文件，以便在系統(tǒng)中隱藏自己的性能和活動痕跡。3.程序執(zhí)行中的意外行為。網(wǎng)絡(luò)系統(tǒng)上的程序執(zhí)行通常包括操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)、用戶啟動的程序以及特殊用途的應(yīng)用程序，例如數(shù)據(jù)庫服務(wù)器。在每個系統(tǒng)上執(zhí)行的程序由一個或多個進程實現(xiàn)。每個進程在具有不同權(quán)限的環(huán)境中執(zhí)行，這些權(quán)限控制該進程可以訪問的系統(tǒng)資源、程序和數(shù)據(jù)文件。進程的執(zhí)行行為由它在運行時執(zhí)行的操作來表示，當操作以不同的方式執(zhí)行時，它所使用的系統(tǒng)資源是不同的。包括操作、文件傳輸、設(shè)備等進程，以及與網(wǎng)絡(luò)中其他進程的通信。進程中的意外行為可能表明黑客正在入侵您的系統(tǒng)。黑客可能會破壞程序或服務(wù)的運行，導(dǎo)致其失敗，或者以用戶或管理員不希望的方式運行。4.物理入侵信息包括兩個方面，一是對網(wǎng)絡(luò)硬件的非授權(quán)連接；第二，未經(jīng)授權(quán)訪問物理資源。黑客會想盡辦法突破網(wǎng)絡(luò)的外圍防御。如果他們可以實際訪問內(nèi)部網(wǎng)，他們就可以安裝自己的設(shè)備和軟件。據(jù)此，黑客可以知道用戶在互聯(lián)網(wǎng)上添加的不安全(未授權(quán))設(shè)備，然后利用這些設(shè)備訪問網(wǎng)絡(luò)。例如，用戶可能在家里安裝調(diào)制解調(diào)器來訪問遠程辦公室，而黑客正在使用自動工具來識別公共電話線上的調(diào)制解調(diào)器。如果撥號接入流量通過這些自動化工具，這種撥號接入就會成為威脅網(wǎng)絡(luò)安全的后門。黑客會利用這個后門訪問內(nèi)網(wǎng)，從而超越內(nèi)網(wǎng)原有的保護措施，進而捕獲網(wǎng)絡(luò)流量，進而攻擊其他系統(tǒng)，竊取敏感隱私信息等等。
信號分析：一般通過模式匹配、統(tǒng)計分析、完整性分析三種技術(shù)手段對從上述四類中收集到的關(guān)于系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)以及用戶的狀態(tài)和行為的信息進行分析。前兩種方法用于實時入侵檢測，而完整性分析用于事后分析。1.模式匹配模式匹配是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進行比較，從而發(fā)現(xiàn)違反安全策略的行為。這個過程可以是簡單的(比如通過字符串匹配找到一個簡單的條目或指令)，也可以是復(fù)雜的(比如用正式的數(shù)學(xué)表達式來表達安全狀態(tài)的變化)。一般來說，攻擊模式可以用一個進程(比如執(zhí)行一條指令)或者一個輸出(比如獲得權(quán)限)來表示。這種方法的一個優(yōu)點是只需要收集相關(guān)數(shù)據(jù)集，顯著降低了系統(tǒng)負擔，技術(shù)已經(jīng)相當成熟。和病毒防火墻采用的方法一樣，具有很高的檢測準確率和效率。但這種方式的弱點是需要不斷升級以應(yīng)對不斷出現(xiàn)的黑客攻擊，并且無法檢測到以前從未出現(xiàn)過的黑客攻擊。2.統(tǒng)計分析。統(tǒng)計分析方法首先對系統(tǒng)對象(如用戶、文件、目錄和設(shè)備等)進行統(tǒng)計描述。)，并統(tǒng)計正常使用時的一些測量屬性(如訪問次數(shù)、操作失敗次數(shù)、時間延遲等。).測量屬性的平均值將用于與網(wǎng)絡(luò)和系統(tǒng)的行為進行比較。當任何觀察值超出正常范圍時，認為發(fā)生了入侵。例如，統(tǒng)計分析可能會識別出一個異常行為，因為它發(fā)現(xiàn)一個在晚上8: 00到早上6: 00之間沒有登錄的帳戶試圖在凌晨2: 00登錄。它的優(yōu)點是可以檢測未知入侵和更復(fù)雜的入侵，但它的缺點是虛警和誤報率高，它可以不能適應(yīng)用戶的突然變化正常行為。具體的統(tǒng)計分析方法，如基于專家系統(tǒng)、基于模型的推理和基于神經(jīng)網(wǎng)絡(luò)的分析方法，目前處于研究熱點，發(fā)展迅速。3.完整性分析完整性分析主要關(guān)注某個文件或?qū)ο笫欠癖桓倪^，這往往包括文件和目錄的內(nèi)容和屬性。它在查找已更改和物化的應(yīng)用程序時特別有效。完整性分析使用一種強大的加密機制，稱為消息摘要函數(shù)(例如md5)，它甚至可以識別微小的更改。它的優(yōu)點是無論模式匹配方法和統(tǒng)計分析方法是否能發(fā)現(xiàn)入侵，只要一次成功的攻擊導(dǎo)致它，它就能發(fā)現(xiàn)文件或其他對象的任何變化。缺點是一般以批處理方式實現(xiàn)，不用于實時響應(yīng)。盡管如此，完整性檢測方法應(yīng)該是網(wǎng)絡(luò)安全產(chǎn)品的必要手段之一。比如可以在每天的特定時間打開完整性分析模塊，對網(wǎng)絡(luò)系統(tǒng)進行全面的掃描和檢查。入侵檢測系統(tǒng)的典型代表入侵檢測系統(tǒng)的典型代表是iss公司(互聯(lián)網(wǎng)安全系統(tǒng)公司)的realsecure。它是計算機網(wǎng)絡(luò)上的自動實時入侵檢測和響應(yīng)系統(tǒng)。它可以無障礙地監(jiān)控網(wǎng)絡(luò)傳輸，自動檢測和響應(yīng)可疑行為，在系統(tǒng)受到危害之前攔截和響應(yīng)安全漏洞和內(nèi)部誤用，從而為企業(yè)網(wǎng)絡(luò)提供最大的安全性。入侵檢測功能，監(jiān)測和分析用戶和系統(tǒng)的活動，檢查系統(tǒng)配置和漏洞，檢查關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性，識別代表已知攻擊的活動模式，統(tǒng)計分析異常行為模式，檢查和管理操作系統(tǒng)，判斷是否有破壞安全的用戶活動。
入侵檢測系統(tǒng)和漏洞評估工具的優(yōu)勢在于：提高信息安全系統(tǒng)其他部分的完整性，提高系統(tǒng)的監(jiān)控能力，跟蹤用戶從進入到退出的所有活動或影響，識別和報告數(shù)據(jù)文件的變化，發(fā)現(xiàn)系統(tǒng)配置中的錯誤，必要時進行糾正，識別特定類型的攻擊并向相應(yīng)人員報警，以便做出防御反應(yīng)， 最新版本的系統(tǒng)管理器可以升級并添加到程序中，可以允許非專家人員從事系統(tǒng)安全工作，并可以為創(chuàng)建信息安全策略提供指導(dǎo)。 必須糾正對入侵檢測系統(tǒng)和漏洞評估工具的不切實際的期望：這些產(chǎn)品不是萬能的，它們無法彌補薄弱的識別和確認機制。沒有任何干預(yù)，無法檢查攻擊，無法感知公司的內(nèi)容s安全策略，無法彌補網(wǎng)絡(luò)協(xié)議中的漏洞，無法彌補系統(tǒng)提供的信息的質(zhì)量或完整性，無法在網(wǎng)絡(luò)繁忙時分析所有事務(wù)，無法始終應(yīng)對包級攻擊，無法應(yīng)對現(xiàn)代網(wǎng)絡(luò)的硬件和特性，入侵檢測作為一種主動的安全防護技術(shù)，對內(nèi)部攻擊、外部攻擊和誤操作提供實時保護，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。從網(wǎng)絡(luò)安全的立體深度和多層次防御的角度來看，入侵檢測應(yīng)該受到人們的高度重視，這一點從國外入侵檢測產(chǎn)品市場的蓬勃發(fā)展就可以看出來。在中國，隨著互聯(lián)網(wǎng)上的關(guān)鍵部門和業(yè)務(wù)越來越多，迫切需要擁有自主版權(quán)的入侵檢測產(chǎn)品。但目前的情況是，入侵檢測僅僅停留在研究和實驗樣本階段(缺乏升級和服務(wù))，或者在防火墻中集成了相對初級的入侵檢測模塊。可見，入侵檢測產(chǎn)品還有很大的發(fā)展空間。從技術(shù)方法上看，我們認為除了完善常規(guī)和傳統(tǒng)技術(shù)(模式識別和完整性檢測)外，還應(yīng)重點加強統(tǒng)計分析相關(guān)技術(shù)的研究。
9. 怎么用cmd查看電腦是否被入侵
黑客通過以下方式入侵電腦：1。隱藏黑客的位置：典型的黑客會使用以下技術(shù)來隱藏自己的真實ip地址：利用被黑主機作為跳板；在安裝windows的電腦中使用wingate軟件作為跳板；使用配置不當?shù)拇碜鳛樘濉８暇毜暮诳蜁褂秒娫拏鬏敿夹g(shù)來隱藏自己。他們常用的方法是：利用電話號碼800的私轉(zhuǎn)服務(wù)連接isp，然后盜用他人.黑客入侵電腦的方式有以下幾種：1。隱藏黑客的位置：典型的黑客會使用以下技術(shù)來隱藏他們的真實ip地址：
利用被入侵的主機作為跳板；
在安裝windows的電腦中使用wingate軟件作為跳板；使用配置不當?shù)拇碜鳛樘濉８暇毜暮诳蜁褂秒娫拏鬏敿夹g(shù)來隱藏自己。他們常見的手法有：利用電話號碼800的私轉(zhuǎn)服務(wù)連接isp，然后盜用他人的帳戶來上網(wǎng)；通過電話連接主機，然后通過主機訪問互聯(lián)網(wǎng)。用這個跟蹤互聯(lián)網(wǎng)特別困難三跳電話網(wǎng)絡(luò)上的方法。理論上，黑客可以來自世界任何一個角落。如果黑客使用撥號號碼800訪問互聯(lián)網(wǎng)，他不會i don’我不必擔心上網(wǎng)的費用。2.網(wǎng)絡(luò)檢測和數(shù)據(jù)收集：黑客使用以下手段知道位于內(nèi)部網(wǎng)和外部網(wǎng)的主機名。使用nslookup程序的ls命令；
通過訪問公司主頁找到其他主機；
讀取ftp服務(wù)器上的文檔；
連接到郵件服務(wù)器并發(fā)送expn請求；
finger外部主機上的用戶名。在尋找漏洞之前，黑客會努力收集足夠的信息，勾勒出整個網(wǎng)絡(luò)的布局。利用上述操作獲得的信息，黑客很容易列出所有主機，并猜測它們之間的關(guān)系。3.找出可信的主機：黑客總是尋找那些可信的主機。這些主機可能是管理員使用的機器，或者是被認為非常安全的服務(wù)器。接下來，他將檢查運行nfsd或mountd的所有主機的nfs輸出。通常，這些主機一些關(guān)鍵目錄(如/usr/bin、/etc和/home)可以由可信主機掛載。
finger daemon還可以用來查找可信的主機和用戶，因為用戶經(jīng)常從特定的主機登錄。黑客還會用其他方式檢查信任關(guān)系。例如，他可以利用cgi的漏洞，讀取/etc/hosts.allow文件，等等。分析以上結(jié)果后，我們可以大致了解主機之間的信任關(guān)系。下一步是檢測這些受信任的主機中哪些存在可以被遠程入侵的漏洞。4.找出易受攻擊的網(wǎng)絡(luò)成員：當黑客獲得公司內(nèi)部和外部主機的列表時，他可以使用一些linux掃描器程序來找到這些主機的漏洞。一般黑客會尋找網(wǎng)速快的linux主機來運行這些掃描器。所有這些掃描儀都執(zhí)行以下檢查：
tcp端口掃描；
rpc服務(wù)列表；
nfs輸出列表；
分享(如samba、netbiox)列表；
檢查默認賬號；
sendmail、imap、pop3、rpc status和rpc mountd具有有缺陷的版本檢測。在這些掃描之后，黑客們很清楚他們可以利用哪些主機。
如果路由器兼容snmp協(xié)議，有經(jīng)驗的黑客會用侵略性的snmp掃描器試試，或者用蠻力程序猜測這些設(shè)備的公共和私人社區(qū)字符串。
5.利用漏洞：現(xiàn)在，黑客已經(jīng)找到了所有可信的外部主機，以及外部主機所有可能的漏洞。下一步是開始入侵主機。黑客會選擇一個可信的外部主機來嘗試。一旦入侵成功，黑客就會從這里入手，試圖進入公司的內(nèi)部網(wǎng)絡(luò)。但是這種方法的成功取決于內(nèi)部主機和外部主機之間的過濾策略。當攻擊外部主機時，黑客通常會運行一個程序，利用外部主機上運行的易受攻擊的守護程序來竊取控制權(quán)。易受攻擊后臺程序包括sendmail、imap、pop3漏洞的版本，以及statd、mountd、pcnfsd等rpc服務(wù)。有時候，那些攻擊者必須與被攻擊的主機在同一個平臺上編譯。6.獲得控制權(quán)：黑客使用daemon & # 039進入系統(tǒng)的漏洞：清除記錄并留下后門。他會安裝一些后門程序，這樣就可以再次進入系統(tǒng)而不被察覺。大部分后門程序都是預(yù)編譯的，只有嘗試修改時間和權(quán)限才能使用。甚至新文件也與原始文件大小相同。黑客通常使用rcp來傳遞這些文件，以免留下ftp記錄。一旦你確認你是安全的，黑客就開始入侵公司的整個內(nèi)網(wǎng)。7.竊取網(wǎng)絡(luò)資源和特權(quán)：黑客找到目標后，會繼續(xù)下一次攻擊。步驟如下：
(1)下載敏感信息(2)攻擊其他可信主機和網(wǎng)絡(luò)(3)安裝嗅探器(4)禁用網(wǎng)絡(luò)。
10. 如何檢查電腦有沒有被入侵過
掃描服務(wù)器：反掃描對服務(wù)器非常重要。入侵者幾乎總是從掃描開始攻擊服務(wù)器。首先判斷服務(wù)器是否存在，然后檢測其開放的端口和存在的漏洞，再根據(jù)掃描結(jié)果采取相應(yīng)的攻擊措施。所以反掃描對于服務(wù)器來說非常重要，是防止網(wǎng)絡(luò)入侵的第一步。建議采取以下具體預(yù)防措施：
1.關(guān)閉端口。關(guān)閉閑置和有潛在危險的港口。這種方法是被動的，其本質(zhì)是關(guān)閉除用戶需要使用的正常電腦端口外的所有端口。就黑客而言，所有端口都可能成為攻擊目標?？梢哉f，計算機的所有外部通信端口都有潛在的危險。進入控制面板管理工具服務(wù)，關(guān)閉電腦一些不用的服務(wù)(如ftp服務(wù)、dns服務(wù)、iis admin服務(wù)等。)，其對應(yīng)的端口也已停用。至于僅打開允許的端口，可以通過使用tcp/ip過濾系統(tǒng)的功能。設(shè)置時，只能允許系統(tǒng)基本網(wǎng)絡(luò)通信所需的部分端口。
2.屏蔽端口。檢查每個端口。如果有端口掃描的癥狀，立即屏蔽端口。這種防止端口掃描的方式可以不能由用戶自己手動完成，否則it & # 039做起來相當困難，需要軟件的幫助。這些軟件都是常用的網(wǎng)絡(luò)防火墻。防火墻的工作原理是：首先，檢查到達你電腦的每一個數(shù)據(jù)包。在這個數(shù)據(jù)包被你電腦上運行的任何軟件看到之前，防火墻有完全的否決權(quán)，可以禁止你的電腦接收互聯(lián)網(wǎng)上的任何東西。當您的計算機回答第一個請求連接的數(shù)據(jù)包時，會出現(xiàn)一個tcp/ip端口已打開；在端口掃描期間，另一臺計算機不斷與本地計算機建立連接，并逐漸打開tcp/ip端口和對應(yīng)于每個服務(wù)的空閑端口。通過防火墻的判斷自己的攔截規(guī)則，可以知道對方是否在掃描端口，攔截對方發(fā)送的所有需要掃描的數(shù)據(jù)包。
了解更多如何查看電腦是不是被入侵了(如何檢查電腦有沒有被入侵過)相關(guān)內(nèi)容請關(guān)注本站點。