本文目录一览:
- 1、iis记录每天日志,文件夹需要什么权限
- 2、黑客攻击主要有哪些手段?
- 3、一般所谓的黑客在入侵完电脑后都要删除日志,是哪个日志,怎么打开查看?
- 4、服务器被攻击怎么办?
- 5、黑客攻击的三个阶段是什么?黑客在这三个阶段分别完成什么工作?
iis记录每天日志,文件夹需要什么权限
设置IIS日志文件夹不要在默认路径下,防止黑客删除日志。同时,设置该文件夹只有Administrator与System可完全访问,其他用户一律禁止。
黑客攻击主要有哪些手段?
攻击手段
黑客攻击手段可分为非破坏性攻击和破坏性攻击两类。非破坏性攻击一般是为了扰乱系统的运行,并不盗窃系统资料,通常采用拒绝服务攻击或信息炸弹;破坏性攻击是以侵入他人电脑系
统、盗窃系统保密信息、破坏目标系统的数据为目的。下面为大家介绍4种黑客常用的攻击手段
1、后门程序
由于程序员设计一些功能复杂的程序时,一般采用模块化的程序设计思想,将整个项目分割为多个功能模块,分别进行设计、调试,这时的后门就是一个模块的秘密入口。在程序开发阶段,后门便于测试、更改和增强模块功能。正常情况下,完成设计之后需要去掉各个模块的后门,不过有时由于疏忽或者其他原因(如将其留在程序中,便于日后访问、测试或维护)后门没有去掉,一些别有用心的人会利用穷举搜索法发现并利用这些后门,然后进入系统并发动攻击。
2、信息炸弹
信息炸弹是指使用一些特殊工具软件,短时间内向目标服务器发送大量超出系统负荷的信息,造成目标服务器超负荷、 *** 堵塞、系统崩溃的攻击手段。比如向未打补丁的 Windows 95系统发送特定组合的 UDP 数据包,会导致目标系统死机或重启;向某型号的路由器发送特定数据包致使路由器死机;向某人的电子邮件发送大量的垃圾邮件将此邮箱“撑爆”等。目前常见的信息炸弹有邮件炸弹、逻辑炸弹等。
3、拒绝服务
拒绝服务又叫分布式D.O.S攻击,它是使用超出被攻击目标处理能力的大量数据包消耗系统可用系统、带宽资源,最后致使 *** 服务瘫痪的一种攻击手段。作为攻击者,首先需要通过常规的黑客手段侵入并控制某个网站,然后在服务器上安装并启动一个可由攻击者发出的特殊指令来控制进程,攻击者把攻击对象的IP地址作为指令下达给进程的时候,这些进程就开始对目标主机发起攻击。这种方式可以集中大量的 *** 服务器带宽,对某个特定目标实施攻击,因而威力巨大,顷刻之间就可以使被攻击目标带宽资源耗尽,导致服务器瘫痪。比如1999年美国明尼苏达大学遭到的黑客攻击就属于这种方式。
4、 *** 监听
*** 监听是一种监视 *** 状态、数据流以及 *** 上传输信息的管理工具,它可以将 *** 接口设置在监听模式,并且可以截获网上传输的信息,也就是说,当黑客登录 *** 主机并取得超级用户权限后,若要登录其他主机,使用 *** 监听可以有效地截获网上的数据,这是黑客使用最多的 *** ,但是, *** 监听只能应用于物理上连接于同一网段的主机,通常被用做获取用户口令。
5、DDOS
黑客进入计算条件,一个磁盘操作系统(拒绝服务)或DDoS攻击(分布式拒绝服务)攻击包括努力中断某一 *** 资源的服务,使其暂时无法使用。
这些攻击通常是为了停止一个互联网连接的主机,然而一些尝试可能的目标一定机以及服务。
2014年的DDoS攻击已经达28 /小时的频率。这些攻击的主要目标企业或网站的大流量。
DDOS没有固定的地方,这些攻击随时都有可能发生;他们的目标行业全世界。分布式拒绝服务攻击大多出现在服务器被大量来自攻击者或僵尸 *** 通信的要求。
服务器无法控制超文本传输协议要求任何进一步的,最终关闭,使其服务的合法用户的一致好评。这些攻击通常不会引起任何的网站或服务器损坏,但请暂时关闭。
这种 *** 的应用已经扩大了很多,现在用于更恶意的目的;喜欢掩盖欺诈和威慑安防面板等。
6、密码破解当然也是黑客常用的攻击手段之一。
一般所谓的黑客在入侵完电脑后都要删除日志,是哪个日志,怎么打开查看?
1) Scheduler日志
Scheduler服务日志默认位置:2000下: %sys temroot%\schedlgu.txt NTworkstation下为 SchedLog.txt
可以打开schedlgu.txt
Schedluler服务日志在注册表中
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Sche *** ngAgent
先停掉他 net stop "task scheduler" (注意不停是删不掉的)
然后再 del schedlgu.txt 或 schedlog.txt之后就OK了.
del sched*.txt
不过你如果不想删他,也可以改改它. 他的内容是这样的:
" "任务计划程序服务"
已退出于 01-5-22 20:37:34
"任务计划程序服务"
已启动于 01-5-25 7:07:37
"任务计划程序服务"
已启动于 01-5-25 7:26:36
"任务计划程序服务"
已退出于 01-5-25 8:47:54 "
很好改的.
(2) FTP日志
Internet信息服务FTP日志默认位置:%sys temroot%\sys tem32\logfiles\msftpsvc1\,默认每天一个日志.
格式是这样的 ex*.log .
注意这是一台NT4的LOGFILES下的文件:
这台服务器下管理有多个HTTP或FTP站点
c:\winnt\sys tem32\logfiles 的目录
00-12-04 06:28p .
00-12-04 06:28p ..
01-05-18 12:56p MSFTPSVC1
01-04-23 11:28a MSFTPSVC2
01-01-12 11:56a MSFTPSVC3
01-06-01 08:12a *** TPSVC1
01-09-20 08:55a W3SVC1
01-08-02 10:36a W3SVC10
01-10-11 04:48p W3SVC11
01-07-11 09:16a W3SVC2
01-10-11 10:31a W3SVC3
01-10-10 04:55p W3SVC4
01-09-28 01:43p W3SVC5
01-10-11 08:44a W3SVC6
01-10-11 08:00a W3SVC7
01-09-30 01:49p W3SVC8
01-10-11 08:03a W3SVC9
看看日志文件的格式:
c:\winnt\sys tem32\logfiles\msftpsvc1\in010306.log
192.168.5.8, anonymous, 01-3-6, 16:41:51, MSFTPSVC1, APPSERVER, 192.168.5.8, 0,
0, 0, 331, 0, [3]USER, anonymous, -,
192.168.5.8, -, 01-3-6, 16:41:51, MSFTPSVC1, APPSERVER, 192.168.5.8, 0, 0, 0, 53
0, 1326, [3]PASS, IE30User@, -,
关于LOG文件的含意我就不解释了,浪费时间,嘿嘿.
法一: 这个时侯 net stop msftpsvc 停掉后台服务.
然后尽管 del 看这删吧,不要删的过火,把当天的删了就行. 别忘了再NET START MSFTPSVC 把服务打开.
法二: 当然你如果还想更好,那就改改日志,可以改了系统时间后再改日志,只把你的清了,别忘了把时间改回来哦
实际上在得到ADMIN权限后,做这些事很容易.
法三:) 最傻瓜的清FTP日志的 *** , cleaniislog 小蓉写的工具,不用我再教了吧!
(3) WWW日志
Internet信息服务WWW日志默认位置:%sys temroot%\sys tem32\logfiles\w3svc1\,默认每天一个日志
注意这是一台NT4的LOGFILES下的文件:
这台服务器下管理有多个HTTP或FTP站点
c:\winnt\sys tem32\logfiles 的目录
00-12-04 06:28p .
00-12-04 06:28p ..
01-05-18 12:56p MSFTPSVC1
01-04-23 11:28a MSFTPSVC2
01-01-12 11:56a MSFTPSVC3
01-06-01 08:12a *** TPSVC1
01-09-20 08:55a W3SVC1
01-08-02 10:36a W3SVC10
01-10-11 04:48p W3SVC11
01-07-11 09:16a W3SVC2
01-10-11 10:31a W3SVC3
01-10-10 04:55p W3SVC4
01-09-28 01:43p W3SVC5
01-10-11 08:44a W3SVC6
01-10-11 08:00a W3SVC7
01-09-30 01:49p W3SVC8
01-10-11 08:03a W3SVC9
w3svc1 下的文件:
服务器被攻击怎么办?
1、切断 ***
对服务器所有的攻击都来源于 *** ,因此,当服务器遭受攻击的时候,首先就要切断 *** ,一方面能够迅速切断攻击源,另一方面也能保护服务器所在 *** 的其他主机。
2、查找攻击源
要根据自身经验和综合判断能力,通过分析系统日志或登录日志文件,找出可疑信息,分析可疑程序。
3、分析入侵原因和途径
一定要查清楚遭受攻击的具体原因和途径,有可能是系统漏洞或程序漏洞等多种原因造成的,只有找到问题根源,才能够及时修复系统。
4、备份好用户数据
当服务器遭受攻击的时候,就要立刻备份好用户数据,同时也要注意这些数据是否存在攻击源。如果其中有攻击源的话,就要彻底删除它,再将用户数据备份到一个安全的地方。
5、重装系统
这是最简单也是最安全的办法,已经遭受到攻击的系统中的攻击源是不可能彻底清除的,只有重装系统才能够彻底清除攻击源。
6、修复程序或系统漏洞
如果已经发现了系统漏洞或程序漏洞之后,就要及时修复系统漏洞或修改程序bug。
7、恢复数据和连接 ***
将已经备份好的数据重新复制到重装好的系统中,随后将服务器开启 *** 连接,恢复对外服务。
黑客攻击的三个阶段是什么?黑客在这三个阶段分别完成什么工作?
1. 锁定目标
攻击的之一步就是要确定目标的位置,在互联网上,就是要知道这台主机的域名或者IP地址, 知道了要攻击目标的位置还不够,还需要了解系统类型、操作系统、所提供的服务等全面的资料,如何获取相关信息,下面我们将详细介绍。
2. 信息收集
如何才能了解到目标的系统类型、操作系统、提供的服务等全面的资料呢?黑客一般会利用下列的公开协议或工具来收集目标的相关信息。
(1)SNMP 协议:用来查阅 *** 系统路由器的路由表,从而了解目标主机所在 *** 的拓扑结构及其内部细节;
(2)TraceRoute程序:用该程序获得到达目标主机所要经过的 *** 数和路由器数;
(3)Whois协议:该协议的服务信息能提供所有有关的DNS域和相关的管理参数;
(4)DNS服务器:该服务器提供了系统中可以访问的主机的IP地址表和它们所对应的主机名;
(5)Finger协议:用来获取一个指定主机上的所有用户的详细信息(如注册名、 *** 号码、最后注册时间以及他们有没有读邮件等等);
(6)ping:可以用来确定一个指定的主机的位置;
(7)自动Wardialing软件:可以向目标站点一次连续拨出大批 *** 号码,直到遇到某一正确的号码使其MODEM响应为止。
3. 系统分析
当一个黑客锁定目标之后,黑客就开始扫描分析系统的安全弱点了。黑客一般可能使用下列方式来自动扫描驻留在 *** 上的主机。
(1)自编入侵程序
对于某些产品或者系统,已经发现了一些安全漏洞,该产品或系统的厂商或组织会提供一些“补丁”程序来进行弥补。但是有些系统常常没有及时打补丁,当黑客发现这些“补丁”程序的接口后就会自己编写能够从接口入侵的程序,通过这个接口进入目标系统,这时系统对于黑客来讲就变得一览无余了。
(2)利用公开的工具
像 Internet 的电子安全扫描程序 ISS(Intemet Security Scanner)、审计 *** 用的安全分析工具 SATAN ( Securi Ana1ysis Tool for Auditing Network)等。这些工具可以对整个 *** 或子网进行扫描,寻找安全漏洞。这些工具都有两面性,就看是什么人在使用它们了。系统管理员可以使用它们来帮助发现其管理的 *** 系统内部隐藏的安全漏洞,从而确定系统中哪些主机需要用“补丁”程序去堵塞漏洞,从而提高 *** 的安全性能。而如果被黑客所利用,则可能通过它们来收集目标系统的信息,发现漏洞后进行入侵并可能获取目标系统的非法访问权。
4. 发动攻击
完成了对目标的扫描和分析,找到系统的安全弱点或漏洞后,那就是万事具备,只欠攻击了,接下来是黑客们要做的关键步骤——发动攻击。
黑客一旦获得了对你的系统的访问权后,可能有下述多种选择:
(1)试图毁掉攻击入侵的痕迹,并在受到损害的系统上建立另外的新的安全漏洞或后门,以便在先前的攻击点被发现之后,继续访问这个系统;
(2)在你的系统中安装探测软件,包括木马等,用以掌握你的一切活动,以收集他比较感兴趣的东西(不要以为人人都想偷窥你的信件,人家更感兴趣的是你的电子银行帐号和密码之类);
(3)如果你是在一个局域网中,黑客就可能会利用你的电脑作为对整个 *** 展开攻击的大本营,这时你不仅是受害者,而且还会成为帮凶和替罪羊。
黑客是一个中文词语,皆源自英文hacker,随着灰鸽子的出现,灰鸽子成为了很多假借黑客名义控制他人电脑的黑客技术,于是出现了“骇客”与"黑客"分家。2012年电影频道节目中心出品的电影《骇客(Hacker) 》也已经开始使用骇客一词,显示出中文使用习惯的趋同。实际上,黑客(或骇客)与英文原文Hacker、Cracker等含义不能够达到完全对译,这是中英文语言词汇各自发展中形成的差异。Hacker一词,最初曾指热心于计算机技术、水平高超的电脑专家,尤其是程序设计人员,逐渐区分为白帽、灰帽、黑帽等,其中黑帽(black hat)实际就是cracker。在媒体报道中,黑客一词常指那些软件骇客(software cracker),而与黑客(黑帽子)相对的则是白帽子。