防火墙检测到系统受到攻击时,一般会报警或记录下相应的数据。比如常用的天网防火墙,当它检测到系统遭受攻击时,系统托盘处的天网图标就会出现一个闪烁的警报信号,双击该图标,从弹出的窗口中,你可以得到攻击者的来源、试图从端口进行“突破”等信息(如图1)。
知道了攻击者的IP地址后,我们可以尝试使用信使服务给对方一个消息,可以是好言相劝哦!Windows 2000/XP默认情况下是将信使服务开着的,可以收到别人发送的消息。假设我们要给攻击者发送信使消息,可以打开“命令提示符”窗口,键入“net send 218.51.***.*** 警告消息”。如果要输入的文字消息比较多,在Windows 2000中还有另外一种法,打开[控制面板]→[管理工具]→[组件服务],用鼠标右键单击“本地计算机上的服务”,选择弹出菜单中的[所有任务]→[发送控制台消息],输入消息内容后,点击[添加]按钮,输入接收方的IP地址,最后点击[发送]按钮即可。
注意:如果对方没有开启信使服务,或者使用了不支持信使服务的系统(比如Windows 98),那么发送信息时你会收到出错的提示。
情报发往何处?
对于喜欢软件尝鲜的朋友,上了宽带后一定乐此不疲地下载试用各种软件,然而有些软件就像“披着羊皮的狼”,它们可能在暗中窃取你的秘密,然后发送到主人的邮箱中。对于一个自己不放心的软件,要得知它们在网络的一举一动,关键就是将它们活动的数据包记录下来,尝试找到收集“情报”的E-mail地址后,你就可以去封E-mail了解情况了!
目前能截获并记录网络数据包的软件比较多,笔者推荐采用KFW,这是一个防火墙软件,它最具特色的功能就是能截获指定应用程序的网络数据包,将发送和接收的数据一一记录下来,您可以进行保存、分析,掌握网络软件背后的一举一动。
KFW的下载地址:http://www8.pconline.com.cn/download/swdetail.phtml?id=7753,安装后重新启动就可以使用了。不同的网络防火墙一起使用时,彼此之间可能会有所冲突,笔者建议你使用KFW时关闭掉其他网络防火墙。
从早期的计算机入侵者开始,他们就努力发展能使自己重返被入侵系统的技术或后门。大多数入侵者的后门实现以下的目的:即使管理员改变密码,仍然能再次侵入,并且使再次侵入被发现的可能性减至最低。
大多数后门是设法躲过日志,即使入侵者正在使用系统也无法显示他已在线。有时如果入侵者认为管理员可能会检测到已经安装的后门,他们使会以系统的脆弱性作为唯一后后门,反复攻破机器。
我们讨论后门的时候都是假设入侵的黑客已经成功地取得了系统则权限之后的行动。
1、Rhosts++后门
在连网的Unix机器中,像Rsh和Rlogin这样的服务是基于rhosts的,使用简单的认证方法,用户可以轻易的改变设置而不需口令就能进入。入侵者只要向可以访问的菜用户的rhosts文件中输入++,就可以允许任何人从任何地方进入这个账户。而当home目录通过NFS向外共享时,入侵者更热衷于此。这些账号也成了入侵者再次侵入的后门。许多人喜欢使用Rsh,团为它通常缺少日志能力。许多管理员经常检查“++”.所以入侵者实际上多设置来自网上的另一个账号的主机名和用户名,从而不易被发现。