安全攻防實踐

1、股票代碼：002439股票代碼：002439目錄目錄安全攻擊與防護安全攻擊與防護信息收集與分析實施入侵設(shè)置后門清除痕跡入侵的過程- 信息收集與分析- 實施攻擊- 設(shè)置后門- 清除痕跡入侵的防護- 針對以上提到的行為了解其原理并考慮應對措施目錄目錄信息收集信息收集- -入侵的第一步入侵的第一步 為什么要收集信息 獲取攻擊目標大概信息 為下一步攻擊做準備 利用收集的信息直接攻擊知己知彼，知己知彼，百戰(zhàn)不殆百戰(zhàn)不殆信息收集與分析案例信息收集與分析案例 信息收集的概念 情報學中一個領(lǐng)域 傳統(tǒng)的信息收集 案例：著名的照片泄密案 互聯(lián)網(wǎng)時代的信息收集 信息技術(shù)的發(fā)展使得數(shù)據(jù)大量被生產(chǎn)出來 案例：明星的家庭

2、住址收集哪些信息收集哪些信息 目標系統(tǒng)的信息系統(tǒng)相關(guān)資料 域名、網(wǎng)絡(luò)拓撲、操作系統(tǒng)、應用軟件 相關(guān)脆弱性 目標系統(tǒng)的組織相關(guān)資料 組織架構(gòu)及關(guān)聯(lián)組織 地理位置細節(jié) 電話號碼、郵件等聯(lián)系方式 近期重大事件 員工簡歷 其他可能令攻擊者感興趣的任何信息公開信息收集公開信息收集- -搜索引擎搜索引擎 快速定位 Google 搜索“5sf67.jsp”可以找到存在此腳本的Web網(wǎng)站 Google 搜索“teweb/default.htm”就可找到開放著遠程Web連接的服務(wù)器 信息挖掘 定點采集 Google 搜索 “.doc+website”挖掘信息 隱藏信息 .mdb、.ini、.txt、.old、.

3、bak、.001 后臺入口How to hack website with google!網(wǎng)絡(luò)信息收集網(wǎng)絡(luò)信息收集- -域名信息域名信息 Whois Whois是一個標準服務(wù)，可以用來查詢域名是否被注冊以及注冊的詳細資料 Whois 可以查詢到的信息 域名所有者 域名及IP地址對應信息 聯(lián)系方式 域名到期日期 域名注冊日期 域名所使用的 DNS Servers 信息收集技術(shù)信息收集技術(shù)- -域名與域名與IPIP查詢查詢 域名與IP查詢 nslookup 操作系統(tǒng)自帶命令，主要是用來查詢域名名稱和 IP 之間的對應關(guān)系 網(wǎng)絡(luò)狀況查詢 Ping 系統(tǒng)自帶命令，測試與遠端電腦或網(wǎng)絡(luò)設(shè)備的連接狀況 網(wǎng)

4、絡(luò)路徑狀況查詢 tracert 系統(tǒng)自帶命令，測試與遠端電腦或網(wǎng)絡(luò)設(shè)備之間的路徑系統(tǒng)信息收集系統(tǒng)信息收集- -服務(wù)旗標檢測服務(wù)旗標檢測FTP回顯信息Web回顯信息系統(tǒng)及應用信息收集系統(tǒng)及應用信息收集-TCP/IP-TCP/IP協(xié)議棧檢測協(xié)議棧檢測 原理 不同廠商對IP協(xié)議棧實現(xiàn)之間存在許多細微的差別，通過這些差別就能對目標系統(tǒng)的操作系統(tǒng)加以猜測。 檢測方法 主動檢測 被動檢測 原理- 通過端口掃描確定主機開放的端口，不同的端口對應運行著的不同的網(wǎng)絡(luò)服務(wù) 掃描方式- 全掃描- 半打開掃描- 隱秘掃描- 漏洞掃描- 系統(tǒng)及應用信息收集系統(tǒng)及應用信息收集- -端口掃描端口掃描端口測試數(shù)據(jù)包測試響應數(shù)

5、據(jù)包我知道主機上開放的端口了分析目標分析目標- -入侵的準備入侵的準備 為什么需要分析目標 確定收集信息的準確性 去除迷惑信息 攻擊方式及攻擊路徑的選擇 漏洞信息及攻擊工具獲取 漏洞掃描 漏洞庫 QQ群 論壇等交互應用 信息收集與分析工具信息收集與分析工具- -掃描器掃描器 網(wǎng)絡(luò)設(shè)備漏洞掃描器Cisco Auditing Tools 集成化的漏洞掃描器NessusShadow Security Scanner eEye的Retina Internet Security ScannerGFI LANguard 專業(yè)web掃描軟件IBM appscanAcunetix Web Vulnerabil

6、ity 數(shù)據(jù)庫漏洞掃描器ISS Database Scanneroscanner Oracle數(shù)據(jù)庫掃描器Metacoretex 數(shù)據(jù)安全審計工具信息收集與分析的防范信息收集與分析的防范 公開信息收集防御 信息展示最小化原則，不必要的信息不要發(fā)布 網(wǎng)絡(luò)信息收集防御 部署網(wǎng)絡(luò)安全設(shè)備（IDS、防火墻等） 設(shè)置安全設(shè)備應對信息收集（阻止ICMP） 系統(tǒng)及應用信息收集防御 修改默認配置（旗標、端口等） 減少攻擊面嚴防死守！目錄目錄典型的攻擊手段與防范典型的攻擊手段與防范 理解默認口令攻擊、字典攻擊及暴力攻擊的原理與防范措施 理解社會工程學攻擊的方法與防范措施 理解IP欺騙、ARP欺騙和DNS欺騙的原

7、理與防范措施 理解SYN Flood、UDP Flood、Teardrop攻擊等典型DOS/DDOS的原理與防范措施 理解緩沖區(qū)溢出攻擊的原理與防范措施 理解SQL注入攻擊的原理與防范措施 理解跨站腳本攻擊的原理與防范措施利用人性懶惰利用人性懶惰- -密碼破解密碼破解 密碼破解方法 暴力猜解 密碼破解工具 密碼暴力破解工具 密碼字典生成工具 密碼破解防御 密碼生成技巧 密碼管理策略暴力猜解方法一：散列值破解暴力猜解方法一：散列值破解 已知密碼的散列算法及散列值的破解方法 Linux密碼散列值#root:$1$acQMceF9$1$acQMceF9:13402:0:99999:7: Window

8、s密碼散列值（LM-Hash）Administrator:500:C8825DB10F2590EAAAD3B435B51404EE:683020925C5D8569C23AA724774CE6CC:密碼明文密碼明文對明文密碼對明文密碼進行加密進行加密對比密文對比密文更換密碼明更換密碼明文文暴力猜解方法一：散列值破解暴力猜解方法一：散列值破解 獲取散列值工具 pwdump7.exe GetHashes.exe SAMInside.exe Cain 破解散列值工具John the Ripper L0Phtcrack 從網(wǎng)站等公開渠道得到散列值破解結(jié)果ID:cisp psw:123456Ok,you

9、 can login inID:cisp psw:No,you can not login in1 12123123412345123456OK,you can login inNo,you can not login inNo,you can not login inNo,you can not login inNo,you can not login in暴力猜解方法二：遠程密碼破解暴力猜解方法二：遠程密碼破解密碼字典密碼字典- -密碼破解關(guān)鍵密碼破解關(guān)鍵 字典生成器 根據(jù)用戶規(guī)則快速生成各類密碼字典 攻擊者常用的工具 密碼字典作用 提高密碼破解效率 密碼破解知識的具體體現(xiàn) 密碼字典是攻擊

10、者破解成功和效率的關(guān)鍵！密碼破解安全防御密碼破解安全防御 設(shè)置“好”的密碼 自己容易記，別人不好猜 系統(tǒng)及應用安全策略 賬戶鎖定策略 隨機驗證碼 其他密碼管理策略 密碼專用/分級，不同應用/系統(tǒng)/網(wǎng)站不同密碼 專用密碼管理工具 A、B角 利用人性弱點利用人性弱點- -社會工程學攻擊社會工程學攻擊 什么是社會工程學攻擊 利用人性弱點（本能反應、貪婪、易于信任等）進行欺騙獲取利益的攻擊方法 社會工程學的危險 永遠有效的攻擊方法 人是最不可控的因素人是永遠的系統(tǒng)弱點!社會工程學利用的漏洞社會工程學利用的漏洞 人性的弱點（Robert B Cialdini） 信任權(quán)威 信任共同愛好 獲得好處后報答 期

11、望守信 期望社會認可 短缺資源的渴望 傳統(tǒng)社會中的社會工程學傳統(tǒng)社會中的社會工程學中獎通知欠費電話退稅短信催交房租網(wǎng)絡(luò)社會的社會工程學網(wǎng)絡(luò)社會的社會工程學 直接用于攻擊 正面攻擊（直接索?。?建立信任 利用同情、內(nèi)疚和脅迫 間接用于攻擊 口令破解中的社會工程學利用 網(wǎng)絡(luò)攻擊中的社會工程學利用案例一、凱文案例一、凱文米特尼克最擅長什么米特尼克最擅長什么 凱文米特尼克 世界著名黑客（世界第一黑客） 1995年16歲時被捕入獄，2000年保釋 記者采訪：你最擅長的技術(shù)是什么 回答:社會工程學，技術(shù)會過時，只有社會工程學永遠不會凱文米特尼克所著欺騙的藝術(shù)案例二：案例二：“最大的計算機詐騙最大的計算機詐

12、騙”過程過程 載入吉尼斯世界紀錄大全 欺騙的藝術(shù)中的經(jīng)典案例操盤手將每天交易密碼寫在紙片上，貼在電腦屏幕旁攻擊者看到后，偽裝成銀行職員（國際部麥克.漢森），要求轉(zhuǎn)賬偽裝成電匯室人員，詢問麥克.漢森，獲取賬號信息重新要求轉(zhuǎn)賬完成詐騙過程案例三：好心網(wǎng)管的失誤案例三：好心網(wǎng)管的失誤InternetInternet攻擊者網(wǎng)站上查詢到信息：網(wǎng)管聯(lián)系電話某處室人員名稱：王強電話網(wǎng)管：你好，我是某某處王強，我的郵件密碼忘記了，麻煩幫處理一下好的，請10分鐘后登陸，我?guī)湍惆衙艽a重置為123社會工程學防御社會工程學防御 安全意識培訓 知道什么是社會工程學攻擊 社會工程學攻擊利用什么 建立相應的安全響應應對措施

13、 構(gòu)建完善的技術(shù)防御體系 有效的安全管理體系和操作流程 注意保護個人隱私 保護生日、年齡、email郵件地址、手機號碼、家庭電話號碼等信息利用協(xié)議的缺陷利用協(xié)議的缺陷- -欺騙攻擊欺騙攻擊 欺騙攻擊（Spoofing）是指通過偽造源于可信任地址的數(shù)據(jù)包以使一臺機器認證另一臺機器的復雜技術(shù) BACHello,Im B!典型的欺騙攻擊典型的欺騙攻擊 IP欺騙（IP Spoofing） ARP欺騙（ARP Spoofing） DNS欺騙（DNS Spoofing） 電子欺騙是一類攻擊方式的統(tǒng)稱！IPIP欺騙的技術(shù)實現(xiàn)欺騙的技術(shù)實現(xiàn) 原理 兩臺主機之間經(jīng)過認證產(chǎn)生信任關(guān)系后，在連接過程中就不會要求嚴格

14、的認證 IP欺騙是一系列步驟構(gòu)成的攻擊確認攻擊目標使要冒充主機無法響應目標主機猜正確的序數(shù)冒充受信主機進行會話IPIP欺騙實現(xiàn)欺騙實現(xiàn)BACSYN flood攻擊 連接請求偽造B進行系列會話A的序數(shù)規(guī)則IPIP欺騙攻擊的防范欺騙攻擊的防范 嚴格設(shè)置路由策略：拒絕來自網(wǎng)上，且聲明源于本地地址的包 使用最新的系統(tǒng)和軟件，避免會話序號被猜出 使用抗IP欺騙功能的產(chǎn)品 嚴密監(jiān)視網(wǎng)絡(luò)，對攻擊進行報警ARPARP欺騙基礎(chǔ)欺騙基礎(chǔ)-Arp-Arp協(xié)議工作過程協(xié)議工作過程 ARP協(xié)議（地址解析協(xié)議） ARP用于將IP地址解析MAC地址的協(xié)議bb:bb:bb:bb:bbcc:cc:cc:cc:ccaa:aa:a

15、a:aa:aaWhos IP is Whos IP is MAC aa:aa:aa:aa:aa is 收到，我會緩存起來收到，我會緩存起來!Internet地址 物理地址 aa:aa:aa:aa:aaARPARP欺騙基礎(chǔ)欺騙基礎(chǔ)- -實現(xiàn)特點實現(xiàn)特點 ARP協(xié)議實現(xiàn)特點 ARP協(xié)議特點：無狀態(tài)，無需請求可以應答 ARP實現(xiàn)：ARP緩存ARPARP欺騙的實現(xiàn)欺騙的實現(xiàn)bb:bb:bb:bb:bbcc:cc:cc:cc:ccaa:aa:aa:aa

16、:aaMAC cc:cc:cc:cc:cc is 收到，我會緩存！收到，我會緩存！Internet地址 物理地址 cc:cc:cc:cc:ccCC:CC:CC:CC:CCHelloAA:AA:AA:AA:AAHelloARPARP欺騙的防御欺騙的防御 使用靜態(tài)ARP緩存 使用三層交換設(shè)備 IP 與MAC地址綁定 ARP防御工具DNSDNS欺騙基礎(chǔ)欺騙基礎(chǔ)-DNS-DNS協(xié)議工作過程協(xié)議工作過程 DNS（域名解析協(xié)議） 用于將域名解析成IP地址

17、?其他DNS收到，我會緩存！我不知道，我問問其他服務(wù)器 ?我的緩存中有記錄，我告訴你！DNS服務(wù)器客戶機客戶機DNS服務(wù)器DNSDNS欺騙實現(xiàn)欺騙實現(xiàn)?我不知道，我問問其他DNS服務(wù)器Other DNS收到，我會緩存！?我緩存中有記錄，我告訴你！ 攻擊者DNS服務(wù)器DNS服務(wù)器客戶機?Qid=Qid=22DNSDNS欺騙的防范欺騙的防范 DNS服務(wù)器 使用新版本的DNS軟件 安全設(shè)置對抗DNS欺騙 關(guān)閉DNS服務(wù)遞歸功能 限制域名服務(wù)器作出響應的地址 限制域名服務(wù)器作出響應的遞歸請求地址 限制發(fā)出請求的地

18、址 應用服務(wù)器 用戶自主標識利用系統(tǒng)缺陷利用系統(tǒng)缺陷- -拒絕服務(wù)攻擊拒絕服務(wù)攻擊 什么是拒絕服務(wù) 拒絕服務(wù)式攻擊(Denial of Service)，顧名思義就是讓被攻擊的系統(tǒng)無法正常進行服務(wù)的攻擊方式。 拒絕服務(wù)攻擊方式 利用系統(tǒng)、協(xié)議或服務(wù)的漏洞 利用TCP協(xié)議實現(xiàn)缺陷 利用操作系統(tǒng)或應用軟件的漏洞 目標系統(tǒng)服務(wù)資源能力 利用大量數(shù)據(jù)擠占網(wǎng)絡(luò)帶寬 利用大量請求消耗系統(tǒng)性能 混合型典型的拒絕服務(wù)攻擊方式典型的拒絕服務(wù)攻擊方式 SYN Flood UDP Flood Teardrop Ping of death Smurf Land 拒絕服務(wù)是一類攻擊方式的統(tǒng)稱！拒絕服務(wù)攻擊的防御拒絕服務(wù)

19、攻擊的防御 管理防御 業(yè)務(wù)連續(xù)性計劃（組織共同承擔，應對DoS攻擊） 協(xié)調(diào)機制（運營商、公安部門、專家團隊） 技術(shù)防御 安全設(shè)備（防火墻、抗DoS設(shè)備） 增強網(wǎng)絡(luò)帶寬 自身強壯性（風險評估、補丁、安全加固、資源控制） 監(jiān)測防御 應急響應（構(gòu)建監(jiān)測體系）利用系統(tǒng)開發(fā)缺陷利用系統(tǒng)開發(fā)缺陷- -緩沖區(qū)溢出緩沖區(qū)溢出 緩沖區(qū)溢出攻擊原理 緩沖區(qū)溢出攻擊利用編寫不夠嚴謹?shù)某绦?，通過向程序的緩沖區(qū)寫入超過預定長度的數(shù)據(jù)，造成緩存的溢出，從而破壞程序的堆棧，導致程序執(zhí)行流程的改變 緩沖區(qū)溢出的危害 最大數(shù)量的漏洞類型 漏洞危害等級高國家漏洞庫（CNNVD）2013年漏洞統(tǒng)計緩沖區(qū)溢出基礎(chǔ)緩沖區(qū)溢出基礎(chǔ)- -

20、堆棧、指針、寄存器堆棧、指針、寄存器 堆棧概念 一段連續(xù)分配的內(nèi)存空間 堆棧特點 后進先出 堆棧生長方向與內(nèi)存地址方向相反指針 指針是指向內(nèi)存單元的地址 寄存器 暫存指令、數(shù)據(jù)和位址 ESP（棧頂）、EBP（棧底）、EIP（返回地址）34H12H78H56H0108HESP棧頂(AL)(AH)34H12H78H56H0106HESP棧頂緩沖區(qū)溢出簡單示例緩沖區(qū)溢出簡單示例 程序作用：將用戶輸入的內(nèi)容打印在屏幕上Buffer.c#include int main ( ) char name8; printf(Please input your name: ); gets(name); print

21、f(you name is: %s!, name); return 0; 緩沖區(qū)溢出示例緩沖區(qū)溢出示例用戶輸入內(nèi)容在8位以內(nèi)時候，程序正常執(zhí)行用戶輸入內(nèi)容超過8位以后，程序執(zhí)行產(chǎn)生錯誤緩沖區(qū)溢出簡單示例緩沖區(qū)溢出簡單示例由于返回地址已經(jīng)被覆蓋，函數(shù)執(zhí)行返回地址時會將覆蓋內(nèi)容當作返回地址，然后試圖執(zhí)行相應地址的指令，從而產(chǎn)生錯誤。當我們?nèi)枯斎隺時，錯誤指令地址為0 x616161，0 x61是a 的ASCII編碼程序溢出堆棧情況程序溢出堆棧情況內(nèi)存底部 內(nèi)存頂部 name XXX EIP XXXcispcisp 堆棧頂部 堆棧底部 name XXX EIP XXXaaaaaaaa aaaa a

22、aaa aaaa由于輸入的由于輸入的name超過了定義變量的長度（超過了定義變量的長度（8位），堆棧中預計的位置無法容納，位），堆棧中預計的位置無法容納，只好向內(nèi)存頂部繼續(xù)寫只好向內(nèi)存頂部繼續(xù)寫a，由于堆棧的生長方向與內(nèi)存的生長方向相反，用，由于堆棧的生長方向與內(nèi)存的生長方向相反，用戶輸入的戶輸入的a覆蓋了堆棧底部覆蓋了堆棧底部EBP和和ret。程序在返回時，將。程序在返回時，將EBP中的中的aaaa的的ASCII碼：碼：0 x61616161作為返回地址，試圖執(zhí)行作為返回地址，試圖執(zhí)行0 x61616161處指令，導致錯誤，處指令，導致錯誤，形成一次堆棧溢出形成一次堆棧溢出緩沖區(qū)溢出攻擊過程

23、緩沖區(qū)溢出攻擊過程 如果可精確控制內(nèi)存跳轉(zhuǎn)地址，就可以執(zhí)行指定代碼，獲得權(quán)限或破壞系統(tǒng)尋找程序漏洞編制緩沖區(qū)溢出程序精確控制跳轉(zhuǎn)地址執(zhí)行設(shè)定的代碼獲得系統(tǒng)權(quán)限或破壞系統(tǒng)緩沖區(qū)溢出的防范緩沖區(qū)溢出的防范 用戶 補丁 防火墻 開發(fā)人員 編寫安全代碼，對輸入數(shù)據(jù)進行驗證 使用相對安全的函數(shù) 系統(tǒng) 緩沖區(qū)不可執(zhí)行技術(shù) 虛擬化技術(shù)利用應用開發(fā)缺陷利用應用開發(fā)缺陷- -網(wǎng)頁腳本安全網(wǎng)頁腳本安全 腳本安全基礎(chǔ) WEB應用開發(fā)腳本:ASP、PHP、JSP等 腳本的優(yōu)勢： 交互性： 自動更新： 因時因人而變： 腳本安全風險 注入攻擊 跨站腳本 典型注入攻擊典型注入攻擊-SQL-SQL注入注入 SQL注入攻擊原理

24、 SQL注入（ SQL Injection ）：程序員在編寫代碼的時候，沒有對用戶輸入數(shù)據(jù)的合法性進行判斷，使應用程序存在安全隱患。用戶可以提交一段數(shù)據(jù)庫查詢代碼，根據(jù)程序返回的結(jié)果，獲得某些他想得知的數(shù)據(jù)或進行數(shù)據(jù)庫操作操作系統(tǒng)Web應用數(shù)據(jù)庫服務(wù)器123調(diào)用數(shù)據(jù)庫查詢直接調(diào)用操作系統(tǒng)命令通過數(shù)據(jù)庫調(diào)用操作系統(tǒng)命令SQLSQL注入簡單示例注入簡單示例Select * from table where user=admin and pwd=ABCDEFG!;adminABCDEFG!Select * from table where user=admin and pwd=123 or 1=1a

25、dmin123 or 1=1由于密碼的輸入方式，使得查詢語句返回值永遠為True，因此通過驗證SQLSQL注入范例注入范例-URL-URL中的注入中的注入http:/xx.xxx.xx.xx/playnews.asp?id=772and 1=1Microsoft OLE DB Provider for ODBC Drivers 錯誤 80040e14 MicrosoftODBC Microsoft Access Driver 字符串的語法錯誤 在查詢表達式 id = 772 中。 /displaynews.asp，行31 說明: 數(shù)據(jù)庫為Access 程序沒有對于id進行過濾 數(shù)據(jù)庫表中有個字

26、段名為idSQLSQL注入范例操作數(shù)據(jù)庫注入范例操作數(shù)據(jù)庫 http:/ And (update user set passwd=123 where username=admin);- Select * from 表名 where 字段=49 And (update user set passwd=123 where username=admin); update user set passwd=123 where username=admin);非法的SQL語句被傳遞到數(shù)據(jù)庫執(zhí)行！SQLSQL注入的危害注入的危害 數(shù)據(jù)庫信息收集 數(shù)據(jù)檢索 操作數(shù)據(jù)庫 增加數(shù)據(jù) 刪除數(shù)據(jù) 更改數(shù)據(jù) 操作系統(tǒng)

27、借助數(shù)據(jù)庫某些功能（例如：SQLServer的內(nèi)置存儲過程XP_CMDShell）SQLSQL注入的防御注入的防御 防御的對象：所有外部傳入數(shù)據(jù) 用戶的輸入 提交的URL請求中的參數(shù)部分 從cookie中得到的數(shù)據(jù) 其他系統(tǒng)傳入的數(shù)據(jù) 防御的方法 白名單：限制傳遞數(shù)據(jù)的格式 黑名單：過濾 過濾特殊字串：update、insert、delete等 開發(fā)時過濾特殊字符：單引號、雙引號、斜杠、反斜杠、冒號、空字符等的字符 部署防SQL注入系統(tǒng)或腳本網(wǎng)頁腳本攻擊網(wǎng)頁腳本攻擊- -跨站腳本跨站腳本 跨站腳本攻擊原理 跨站腳本（Cross Site Scripting，CSS）是由于程序員沒有對用戶提交的

28、變量中的HTML代碼進行過濾或轉(zhuǎn)換，當瀏覽器下載頁面時，腳本可被執(zhí)行，攻擊者可以利用用戶和服務(wù)器之間的信任關(guān)系實現(xiàn)惡意攻擊跨站腳本攻擊的危害跨站腳本攻擊的危害v敏感信息泄露v賬號劫持vCookie欺騙v拒絕服務(wù)v釣魚v跨站腳本示例跨站腳本示例- -信息竊取信息竊取 某論壇為了實現(xiàn)特效，支持用戶提交腳本InternetInternet攻擊者在論壇上發(fā)一個帖子：管理員請進，有事請教?。_本：記錄來訪者session ）獲得管理員session，我可以管理員身份登錄論壇了我進去看看找我有什么事？跨站腳本攻擊的防范跨站腳本攻擊的防范 跨站腳本安全問題和特點更復雜，這使得對跨站腳本漏洞的防范難度更大 不

29、允許腳本運行 對所有腳本進行嚴格過濾目錄目錄后門設(shè)置與后門設(shè)置與防范防范 理解攻擊者設(shè)置系統(tǒng)后門的常用方法 理解針對后門的防范措施 后門可以作什么 方便下次直接進入 監(jiān)視用戶所有行為、隱私 完全控制用戶主機 后門設(shè)置的類型 賬號后門 現(xiàn)有管理員賬號密碼/新建賬號/升級現(xiàn)有賬號權(quán)限 普通賬號shell設(shè)置Setuid 漏洞后門 木馬( rootkit) 腳本后門后門設(shè)置的方法后門設(shè)置的方法后門的清除及防范后門的清除及防范 賬號后門 管理員賬號：定期更換密碼 定期檢查系統(tǒng)是否有多余賬號和具有管理員權(quán)限的賬號 檢查Linux系統(tǒng)中的Setuid程序 漏洞后門 補丁后門的清除及防范后門的清除及防范 木馬后門 殺毒軟件 系統(tǒng)檢查：服務(wù)、進程、端口 完整性校驗 腳本后門 安全腳本備份 網(wǎng)頁防篡改目錄目錄痕跡清除與痕跡清除與防范防范 理解攻擊者清除痕跡的常用方法 理解