HanDs
管理员

[入侵交流] 入侵痕迹清除 



“悄悄的我走了,正如我悄悄的采;我挥一挥衣袖,不带走一片云彩”这是著名诗人徐志摩(再剐康桥》中的名句,也是黑客们梦寐以求的最高境界

设置跳板

网络入侵的背后将会诞生一场永不落幂的追踪与反追踪游戏,在这场猫捉老鼠的游戏中,黑客一旦失败,可能会有牢狱之灾。为了避免被发现,黑客通常会使用各种隐匿行踪的技术手段,其中最常用的就是设置及使用跳板(Springboard)。

必不可少的跳板

假如自己使用的电脑为A主机,需要^侵的电脑为X主机,那么黑客通常会在A主机使用代理服务,让A主机的所有通信绕道至国外的代理服务器B,然后通过B控制国内另一台被植入木马的主机C,从主机C控制另一台被植入木马或存在漏洞的主机D,最后通过主机D发动对X主机的入侵操作,从B主机到D主机这一系列作为中继的主机链就是跳板,如图9.1所示

为什么要绕这么太一个圈子呢?下面我们假设X主机的管理员发现了入侵行为并马上联合网警反追踪入侵者,根据X主机的日志和访问记录,他们决定先反向追踪至主机D,如果黑客对主机D的漏洞修补得比较好,那么远程获得D主机控制权并从中查出幕后的主机C需要较长时间,即使有网警和服务供应商的全力配合,找到D主机并现场取证至少需要数小时,依此类推,当跳板延伸至国外时,假如没有获得国际组织的协助,反向追踪几乎成了不可能完成的任务,即使获得协助+其处理难度也将大幅提升,黑客就可以有足够的时间安全撤退

其中.B、C和D主机就是跳板。作为跳板的主机链越长,黑客的安全保障系数越高。不过,随着跳板数量的增加,网络延迟会不断累加,越洋连接的速度会变得更缓慢,甚至出现操作超时、连接中断的现象,这样会导致入侵的过程更漫长,也增加了被发现的风险。因此,在实际操作时需要在跳板数量及连接速度方面取’个较佳的平衡点。

代理服务器简介

“肉鸡”和代理服务器混合组成的跳板链是黑客常用的隐匿方式之一。在这个跳板组合中,“肉鸡”由于完全受控于黑客,入侵后可以轻易擦除使用痕迹,而代理服务器却不受控于黑客,所以选择时需要更谨慎。

代理服务器(ProxyServer)是网络信息的中转站,它接收客户端的访问请求,并以自己的身份转发此请求。对于接收信息的一方而占,就像代理服务器向它提出请求一样,从而保护了客户端,增加了反向追踪的难度。

根据代理服务的功能划分,代理服务器可以分为hrtp代理服务器、sock5代理服务器、VPN代理服务器等。

1,http代理服务器

http代理服器是一种最常见的代理服务器,它的优点是响应速度快、延迟相对较低及数量众多,

通常不费吹灰之力就町以找到一个不错的http代理服务器。不过,它的缺点也比较明显,仅能响应http通信协议,并滤除80、8080等Web常用端口外的其他端口访问请求。虽然可毗使用httptogocck5类的软件进行转换,但始终不如Socki代理服务器或VPN代理服务器方便。

2.Sock5代理服务器

Sock5代理服务器是黑客们的最爱。它对访问协议、访问端口方面均没有限制,可以转发各种协议的通信请求,让黑客可咀自由使用各种黑客软件度工具。其缺点是Sock5服务器相对比较难找,响应速度会稍慢一点。

3.VPN代理服务器

VPN代理服务器可以在本机及远端VPN服务器间形成点对点通信通道,以便防范局域刚侦听及监测。假如黑客所处奉地网络环境比较复杂,例如在咖啡厅、机场、校园或企内时,使用VPl.1代理服务器是最佳的选择。

9.1.3搜索代理服务器

如何才能找到合适的代理服务器呢?常用的方法有两个:-是从代理网站搜索i二是使用代理超人这一类智能代理软件自动搜索及设置

1.代理网站

“代理中国”、“代理服务器网”等代理服务器列表网站每天都会分门别类提供许多高速的代理服务器列表。由于使用的用户数量相当多,此类代理服务器的隐匿性相当不错,遗憾的是其速度比较慢。图9-2所示为代理中国提供的Sock5代理列表。

2。代理超人自动搜索

代理超人是一款集代理搜索、验证、管理和设置于~体的软件。它可以使用多达1∞线程自动搜索及验证代理服务器,并依照传输速度迅速排序,为用户提供优质的代理服务器列表,它的智能理功能还可以让所有软件无须修改现有的设置即可使用代理服务器上网,大大简化了代理服务器的设置工作。略感遗憾的是,它仅提供图形设置界面,黑客们无法通过命令行操控及调整该软件。

Stepl单击“搜索”按钮,并选择“搜索代理”命令,如图9-3所示。即可搜索出数量众多的代理服务器。

Step2搜索完毕后,单击“搜索”按钮,选择“验证全部代理”命令,如图9-4所示。即自动检查代理服务器是否可用及连接速度有多快。

$top3验证完毕,单击“使用”按钮,选择“启用代理”命令,如图9-5所示。即可完成浏览器的代理服务嚣设置。若使用其他软件,则需要手动设置

启用代理后,用户可以通过浏览器进入一些lP检测网站(如www.xxx.com)检查代理是否成功启用。本例启用了一个美国代理服务器,查询结果如图9。7所示

使用Tor隐身

除了使用代理之外,许多黑客还喜欢使用Tor来隐匿自己。Tor的全称是TheOnionRouter,许多黑客称之为洋葱路由。在介绍Tor之前,我们先来玩—个智能问答游戏,一棵树藏在地面什么地方才会既不引人往目,也难以将它找出来呢?嗯,体也町以先想五分钟。答案是,将树藏在森林里。

由于森林有无数大小不一的树木,这些树木提供了天然的掩护,要想从中找出藏起来的那棵树还真不是一般的困难。摹于这种构想,人们设计了Tor。Tor隐身原理如图9-8所示。

Tor允许所有加入Tor网络的电脑将自己变成虚拟路由器,使用这些虚拟路由器,Tor用户将拥有无穷无尽的可用路径和访问出口。程序需要使用网络时将进行以下动作:

①客广端的Tor程序将随机选择一个虚拟路由器作为进入结点,传送信息并附送跳转的次数要求(N)。

@收到信息的虚拟路由器将随机寻找另一个结点传送信息并附送跳转的次数要求(N-I),而且会临时记录此链路信息来源方、发送方。

③重复上一步的操作,直至跳转次数从N降至0,中转的虚拟路由器为信息寻找一个提供出口功能的虚拟路由器,经出r跳出Tor网络。对于接收方而言,就像出口虚拟路由器向其发送请求,而无法追寻信息的直正来源。

④信息返叫时,各虚拟路由器根据记录依次回传信息,最终返回给原始信息发送者。

⑤这种临时组建的传输链路将维持l到数分钟,然后重新随机组建一次,如图9-9所示

由于每个中继虚拟路由器均可作为入口,而每个中继路由器没有完整的路径资料,所以,除了入口虚拟路由器之外,Tor网络中即使存在监测者,也难以逆推信息的真实来源。此外,频繁变更的传输链路既增加了监测难度,也让入侵防御方难以通过封锁IP地址区段等手段防御入侵。

使用Tor的方法如下;

Stepl安装完毕,Tor默认自动搜索中继虚拟路由器作为八口,初次使用时,搜索过程可能长达十多分钟,请耐心等候.

Step2连接后,任务管理器的图标变成绿色,表示Tor已经处于工作状态,如图9-10所示。它默认提供了Http与Sock5两种代理,其中,Http代理为127.0.0.1:8118;soc,k5代理为127.0.0.1:9050。

假如出现“没有可用链路”的提示信息,说明无法连接入口,如图9-11所示。用户可以参考以下方法获取及添加初始入口。

Stepl编写主题和正文为getbridges的电子邮件,[email protected].org,以荻取入口网桥,如图9-12所示。

Stop2在系统托盘区域的Tor图标上右击,选择“控制面板”命令,在弹出的对话框中单击“设定”按钮,如图9-13所示。打开“设置”窗口。

Step3在“设置”窗口中单击“网络”按钮,选择“我的ISP阻挡了对Tor网络的连接”复选框,输入步骤1获取的网桥,单击+按钮,最后单击“确定”按钮,如图9-14所示

Step4返回控制面板,如图9-15所示。单击“启动Tor”按钮,重新启动Tor即可解决“没有可用链路”的问题。

设置及使用代理服务器

大多数黑客软件并没有详细的使用说明,用户可以尝试打开相关的设之项查看是否有相关的代理服务器设置。对于具有代理设置功能的黑客软件,如NBIS等,只需将搜索获得的代理服务器IP地址及端口填写进去即可。

以NBIS为例,设置代理服务器的方法为:单击“程序设置”按钮,在“HTTP代理”栏位输入代理,如图9-16所示。最后单击“确定”按钮。这样就町以使用代理服务器为中转扫描指定的网站了

没法设置代理的软件如何使用跳板

相当多黑客工具和软件的功能比较简单,并没有提供网络代理设置功能,那么,这一类软件如何使用代理工作呢?方法很简单,只需安装一个转换软件即iT.如SocksCap32,此类软件可以截取本机发送的数据包,从而为无法设置代理的telnet等命令行工具插上代理跳板的翅膀。

以下是设置SocksCap32,并让Telnet使用跳板的操作过程l。

Stepl打开SocksCap32后,单击“文件”按钮,选择‘设置”命令,在打开对话框的"SOCKS服务器”文本框中输入Sock代理服务器的lP地址,并在“端口”位置设置服务器的端口,接着单击‘确定”按钮如图9-17所示

Step2打开“SocksCap控制台”对话框,单击“新建”按钮出的对话框中输入标识项名称,在“命令行”栏位设置Telnet命令的详细路径,如图9-18所示。最后单击“确定”按钮

Step3双击新建的Telnet_proxy项目,即可启动使用Socks代理服务器跳板的Telnet了,如图9-19所示。

清除日志

为了方便管理员了解掌握电脑的运行状态,Windows提供了完善的日志功能,将系统服务、权限设置、软件运行等相关事件分门别类详细记录于日志之中。所以,通过观察、分析系统日志,有经验的管理员不但可以了解黑客对系统做了哪些改动,甚至还可能会找出入侵的来源,例如从ftp日志找出黑客登录的lP地址。为此,清除日志几乎成为黑客入门的必修课。

哪些日志需要清除

在开始清除工作之前,黑客需要全面了解系统中有哪些日志。以WndowsXP操作系统为例,它的日志系统由默认提供的日志、防火墙日志、ns服务器日志三大类组成。图9-20所示为Telnet服务启动日志留下的信息。

1.默认提供的日志

Windows系统默认提供应用程序日志、安全性日志和系统日志。应用程序主要记录应用程序运行时出现的错误和特效事件,

例如停止响应、数据启动、停止等。安全性日志用于记录管理员指定的审核事项,假如管理员没有在组策略中指定需要审核的内容及审核的方向,说明此日志为空白状态。

系统日志用于记录各类系统运行的信息。例如Telnet服务启动后,系统日志将会记录该服务启动的时间,并留下一条关elnet服务正处于运行状态的描述。

从以上的分析不难看出,对于没有安装附加组件的“肉鸡”而言,系统日志是清除的首要目标。

2.防火墙日志

防火墙日志默认处于关闭状态,管理员启用了防火墙日志记录功能后,就会在vrindows目录内自动生成pfuwall.log文件,并记录相应的连接内容,如图9-21所示。假如找不到这个文件,则说明管理员没有启用防火墙日志功能

3.IIS日志

若用户安装了IIS服务器组件,就可以在“%systemroot%\system32\logfles\”中找到FTP、Web、Ils服务器等同志。

HTTPERR文件夹中存放的日志文件记录着Web运行、响应出错等信息,主要用于排解故障及优化Web服务,对黑客而言,其意义不大。

W3SVCl文件夹用于存放lP地址、用户名、服务器端口、用户所访问的UiRI资源、发出的URI查求等信息,管理员通过分析此文件可以找出黑客入侵的各种痕迹,所以,完成SQL注入、网站挂马等操作后,务必要清除此文件。

MSFTPSVC1文件夹保存着FTP日志,与前面介绍的Web、IIS日志相比,FTP日志更详细,不但包含用户登录操作,还包含用户的各种操作请求,如图9-22所示,例如记录用户利用UNICODE漏洞入侵服务器,就会留下相当多与cmd.exe有关的记录,所以,在成功入侵后,此日志须及时清除

清除Windows日志

默认情况下,Windows闩志保存在以下二个位置:

·安全日志文件:%systemroot%ksystem32\config\SecEvent.EVT

·系统日志件:%systemroot%\system32\con6g\SysEvent.EVT

·应用程序日志文件:%systemroot%\system32\configkAppEvent.EVT

黑客成功获得管理员权限的Shell后,却发现这些文件无法使用delete命令删除,该如何处理呢?

事实上,出于安全考虑,微软设计了不能暂停、停止的日志记录服务,应用程序日志、安全性日志和系统日志的日志记录文件从载入系统时起便处于使用状态,所以无法通过系统自带的文件删除功能将其删除,如图9-23所示。

虽然微软在图形界面的控制台提供了删除功能,但使用远程桌面需要更高的带宽,难以使用多级跳板,因此,黑客倾向于使用命令行工具清除Windows臼志文件。其中,国内高手小榕编写的elsave就是清除Windows日志最经典的命令行工具。

clsave命令格式


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
入侵 痕迹 清除
#1楼
发帖时间:2016-7-30   |   查看数:0   |   回复数:1
漆黑黄昏
实习版主

2016-7-30 #2楼
游客组
快速回复