在使用电脑的过程当中有没有发现有奇怪的现象,鼠标自己会动,开网页比以前明显的慢了很多,可以是中了黑客的远程控制的木马,一般的只要你是安装了360的杀毒软件,过1到2天扫描病毒都会可以杀得出来的,但是电脑中病毒怎么能等1到2天的时间呢?下面网络人你一些小知识,查看黑客远程控制你的记录!!!如果是用网络人的话,网络人是一款正规远程控制软件,安装需要有正规的安装步骤。
网络人通过公安部认证可查询了:
具体的命令格式是:netstat-an这个命令能看到所有和本地计算机建立连接的IP,它包含四个部分——proto(连接方式)、localaddress(本地连接地址)、foreignaddress(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息,我们就可以完全监控
很多朋友在某天系统重新启动后会发现计算机速度变慢了,不管怎么优化都慢,用杀毒软件也查不出问题,这个时候很可能是别人通过入侵你的计算机后给你开放了特别的某种服务,比如IIS信息服务等,这样你的杀毒软件是查不出来的。但是别急,可以通过“netstart”来查看系统中究竟有什么服务在开启,如果发现了不是自己开放的服务,我们就可以有针对性地禁用这个服务了。方法就是直接输入“netstart”来查看服务,再用“netstopserver”来禁止服务。
很长一段时间,恶意的攻击者非常喜欢使用克隆账号的方法来控制你的计算机。他们采用的方法就是激活一个系统中的默认账户,但这个账户是不经常用的,然后使用工具把这个账户提升到管理员权限,从表面上看来这个账户还是和原来一样,但是这个克隆的账户却是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控制你的计算机。为了避免这种情况,可以用很简单的方法对账户进行检测。
首先在命令行下输入netuser,查看计算机上有些什么用户,然后再使用“netuser+用户名”查看这个用户是属于什么权限的,一般除了Administrator是administrators组的,其他都不是!如果你发现一个系统内置的用户是属于administrators组的,那几乎肯定你被入侵了,而且别人在你的计算机上克隆了账户。快使用“netuser用户名/del”来删掉这个用户吧!
主问题:如何查看自己是否被黑客入侵与远程控制?
这个问题其实很简单,你可以通过查看系统日志,查看进程表有无可疑进程和DOS下查看系统用户来分析。DOS查看用户你要进行以下操作:运行--CMD--输入netuser(查看有哪些用户)--netstart(查看开启了哪些服务)--netuser要删掉的用户名/delete--再输入一次netuser查看用户名是否还在。如果不行的话选择安全模式下执行上面的操作。如果是发现可以进程,你需要下载一个间谍专家分析那个EXE程序调用哪些DLL,在注册表下删除RUN里的开机运行,再用类似360安全卫士或者超级兔子KILL掉可疑程序的DLL调用文件,并关闭该程序开启的后台端口即可。
副问题2:黑客常用什么方式、工具与命令入侵?
这个问题实在难答,要看你机器用的什么系统,有什么漏洞才能制定入侵方案,不过一般的黑客是不会拿个人电脑开刀的,入侵个人电脑的一般都是属于白痴菜鸟级的工具型伪黑客,是被人BS的一群。
木马的原理是什么?
木马”全称是“特洛伊木马(TrojanHorse)”,原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上,“特洛伊木马”指一些程序设计人员在其可从网络上下载(Download)的应用程序或游戏中,包含了可以控制用户的计算机系统的程序,可能造成用户的系统被破坏甚至瘫痪。如果要解释每种木马的工作原理估计这里会限制的回答字数10000是不够的。
如已成为黑客的肉鸡,怎以解脱?
查杀木马,关闭端口,打好补丁。具体要怎么做就需要知道你中的是什么木马,才有解决方法。
察看你的计算机日志,方法是鼠标右键“我的电脑”—管理—选择事件查看器
仔细看看里面的安全,看看有谁成功登陆了你的机器,如果发现你的日志里什么都没有或则很少,最近几日的日志突然没了就说明你的机器可能被入侵了,
还有简单的方法杀毒,一般的黑客入侵机器后都会在机器中留下自己的后门程序,用最新的杀毒软件杀杀看看有没有黑客程序的病毒。如果杀不到也不保证完全安全,
开始—运行—输入CMD
看看你的机器都开了什么端口。(事先最好别连接网站之类的迷惑自己)
如果发现可以端口在监听就说明有问题了(参阅系统常用端口)
什么命令可以查看电脑的系统信息?
第一种开始--运行--输入dxdiag回车
第二种WindowsXP总是在炫耀它可以给稳定工作多么长的时间!要想详细地了解这一信息,你可以接入Windows的“开始菜单”,再开启“附件菜单”中的“命令提示符”,或者在"运行"框输入"CMD"调用“命令提示符”然后在命令提示符中输入“systeminfo”这个命令。电脑就会给你显示出许多有用信息,其中包括了这个系统的初次安装时间,以及本次持续运行的时间。假如你想要保留这些信息,你可以输入“systeminfo>info.txt”,这将会创建一个名为“info.txt”文本文件,你可以稍后用Windows的记事本将其打开,进行查看。
本文章向大家介绍快速自检电脑是否被黑客入侵过(Linux版),主要内容包括前言、异常的帐号和权限、搜寻用户、检查用户、检查异常权限、异常的自启动项、Upstart、SystemV、SystemD、其他、bash初始化、应用级别的自启动、异常的记录、异常的日志记录、犯罪现场、异常的网络流量、后记、基本概念、基础应用、原理机制和需要注意的事项等,并结合实例形式分析了其使用技巧,希望通过本文能帮助到大家理解应用这部分内容。
之前写了一篇《快速自检电脑是否被黑客入侵过(Windows版)》, 这次就来写写Linux版本的。
严谨地说, Linux只是一个内核, GNU Linux才算完整的操作系统, 但在本文里还是用通俗的叫法,
本文里所说的方法不仅对Linux的发行版适用, 部分方法对Mac OSX操作系统也是适用的.
如果黑客曾经获得过命令运行的机会, 对方往往会想要将这个机会持续下去, 业内称之为持久化(persistence).
而创建后门帐号, 往往是一个持久化的途径.
cat /etc/passwd可以看到当前系统中的所有用户和对应的组信息, 如果帐号太多一眼看不过来,
我通常会用下述方法筛选:
改命令的作用是打印所有类型的shell和对应的数量, 对于有shell的用户, 要仔细检查.
如果上一步获得了某个异常的用户名(假设为hacker), 可以用以下方法详细检查该用户:
注: finger命令在某些操作系统里不是内置的, 可以自行用包管理工具安装, 如:
下面提到的其他非内置命令类似
一般的Linux用户都会用sudo来让普通用户可以执行root操作, 因此对于已经存在的普通用户,
最好经常检查改文件以确保没有普通用户获得了意外的权限. 对于每个普通用户,
或者该组在/etc/sudoers文件中, 那就要格外警觉了.
Linux下的自启动流程根据其服务管理器的不同而不同, 常用的有以下三种:
Upstart是基于事件的,用来取代古老的/sbin/init进程来处理任务和服务自启动的方法.
查看该类型的自启动文件可以用以下命令:
查看该类型的自启动文件可以用以下命令:
有两种方式查看所有自启动的服务:
除了上述的自启动服务, Linux下还可以通过计划任务来进行持久化运行, 检查异常的计划任务相对简单,
也就是说里面的脚本在每次新开一个terminal的时候都是有可能被运行的.
其是否运行以及运行的顺序由shell被调用时是否登录, 以及是否交互运行来决定,
对于bash来说, 执行流程如下表:
其中执行顺序为A->B->C, B[123]表示只有当第一个脚本存在时候才会执行. 用流程图表示如下:
关于登录/非登录shell以及交互/非交互shell的内容可以参考网上的其他介绍, 这里就不展开了.
只要知道自己的shell初始化所执行的文件顺序, 并检查这些文件看是否有可疑命令, 从而才能发现异常信息.
要找到所有可疑的自启动项是困难的, 有经验攻击者可以修改现有的自启动脚本, 额外拉起命令,
从而减少被发现的风险. 一些Linux桌面版本也会负责运行类似的自启动命令, 比如我最爱的xfce,
一般而言, 黑客获取shell之后会在上面执行某些命令, 我们可以通过history命令来查看曾经运行过的命令.
或者直接查看~/.bash_history文件. 聪明的黑客干完坏事也许会清理痕迹, 但如果发现history被恶意清除,
或者被异常篡改, 那也足以给我们警示的信号了.
日志, 尤其是系统日志, 是我们绝佳的帮手, 下面一些命令可以用来读取日志文件并输出相关信息:
lastlog
last
lastb
w
当然, 有心的攻击者也会在这些命令中隐藏自己的痕迹, 比如使用小工具hidemyass.
一些常见的日志和介绍如下:
通过检查上述日志, 往往可以发现一些意想不到的痕迹(如果有的话).
虽然说自检主要是从犯罪痕迹中找到线索和指示, 但有时候攻击者留下的恶意软件还是会正在运行中的,
这时, 从犯罪现场来搜寻蛛丝马迹也是一个不错的主意.
查找异常进程, 可以用top命令查看正在运行的程序所占用的资源, 或者用ps -ef列出当前系统所用的进程.
如果发现自己不认识的进程, 可以用以下命令进行详细的检查:
当然, 如果攻击者用某种手段隐藏了进程, 也还是会留下一些线索, 比如可疑的LKM模块, 这里就不深入了.
如果某个恶意进程正在活动, 很可能此时正在与外界网络有交流, 这就需要通过抓包工具来进行分析了.
对于Linux桌面用户, wireshark是个绝佳选择, 而对于服务端, tcpdump是个好工具, 对其掌握也是很必要的.
以wireshark为例, 打开抓包几分钟左右, 通过内置的过滤规则, 加上上面分析到的应用所打开的网络连接,
就可以看到这个恶意应用到底在和外界做些什么邪恶的交流, 从而及时评估损失和保护数据.
除了恶意软件发起的网络浏览, 还有一些是通过自身发起的. 比如攻击者修改了iptables,DNS,http代理,
或者/etc/hosts, 都可能会导致我们正常的网络请求被攻击者监听并篡改. 这些小小的修改也许不是很明显,
可一旦发现自身网络环境’不太对劲’, 就要提高警惕, 仔细排查了.
使用Linux作为日常桌面操作系统的人, 一般都是有一定的技术水平, 但道高一尺, 魔高一丈,
攻击Linux的人对应地技术水平也会高些, 所以本文相对于Windows版的自检略为详细.
正所谓’未知攻,焉知防’, 本文很多自检方法也是根据笔者日常的红队经验得到的,希望能对提高小伙伴们的安全意识和防护能力有所帮助吧.
排查自己的网站是否有黑客入侵,并及时做好处理。
选择mysql所有用户并判断
查看自己的网站的mysql 含有后门的方法
如何预防自己的网站的数据库被入侵
黑客可以破解MySQL中root的密码,黑客可以利用phpMyAdmin的自定义函数入侵,也可以用mof提权入侵,可以用dll劫持mysql,mysql又是一个网站的核心,所以mysql安全非常重要,一发现自己的网站不对劲,立马排查,早点解决,少受一些损失。
经验内容仅供参考,如果您需解决具体问题(尤其法律、医学等领域),建议您详细咨询相关领域专业人士。
作者声明:本篇经验系本人依照真实经历原创,未经许可,谢绝转载。
