网络木马
我相信木马一词对于大家来说已经不陌生了。下面便简单的介绍一下,木马程序也称特洛伊木马,这个名词源于一个希腊故事。相传在公元一千年左右,特洛伊人与希腊人的战争,希腊人制作了一个巨大的木马,将士兵藏在里面,后来特洛伊人将木马视为战利品带入城中,木马中的士兵悄悄的将城门打开,里应外合的攻破了特洛伊城。而木马从此成为了打开后门的代名词,专门用于指称为计算机入侵者大开方便之门的程序。 然后我们再说一下木马的一些基本特征。就像病毒的特征是复制自己木马也有自己的特征,根据这些特征,用户就可以判断计算机到底是受到木马攻击还是受到病毒的攻击。 1.
不会通过感染文件复制自己的方式传播
早期的木马通常以独立的执行文件的形式存在,并以程序的方式在计算机中正常的执行。后来木马经过改良,则伪装成DLL文件的方式,附加在其他系统文件上执行。无论哪一种木马都不会感染其他文件,并进行自我复制。 2.
分为客户端与服务器两部分。
由于木马需要通过网络接受黑客的指令,所以为了能够达成互动通讯,木马需要由两部分组成。其中服务器断安装在被控制的计算机上,用于入侵系统;客户端没有入侵或破坏系统的功能,只是用于连接服务器端,并且向服务器端发送命令或通过服务器获得远程计算机的数据,客户端通常安装在黑客的计算机上。 3.
服务器端隐藏执行。
为了不让用户发觉,木马程序的服务器端安装到远程计算机后,在执行时通常没有图形界面,也无法用命令提示符进行调整。只能以预定方式启动或执行默认的任务,记录键盘的输入操作等等,并且开始等候客户端连接,或主动寻找客户端连接。 4.
打开服务。
在被控制的计算机上打开远程文件管理,屏幕监视等功能,让黑客可以管理并控制远程计算机。
那木马又有哪些功能呢?从网络上入侵一台计算机,并不是一件容易的事情,尤其是一些设防比较严密的系统,要找到系统漏洞入侵并不是十分容易的事情,可能至少花费几小时或数天的时间。在成功入侵后,黑客有时会使用木马程序,以便在需要时可以控制曾经入侵过的系统,目前的木马程序通常由以下功能:远程文件管理、打开网络服务、远程屏幕监视功能、控制远程计算机等功能。
在以前还不是特别熟悉木马的时候我们经常会把木马和病毒的概念混淆在一起,那么,穆马和病毒又有哪些区别与联系呢?
木马和病毒的差异如下:
计算机病毒会感染文件并自我复制,而木马程序却以独立的文件存在,不会自我复制。
病毒会通过网络或者其他方式主动入侵计算机,木马通常不会主动的入侵计算机,而是由黑客放到受害者的计算机。
病毒主要是破坏计算机或恶作剧,而木马程序则是等候黑客连接,然后控制被入侵的计算机,窃取文件或进行监控。
当然随着病毒与木马编写技术的发展,这两者的差异正在不断地缩小。而木马程序也开始尝试利用系统漏洞,夺取管理员权限为所欲为。另外,病毒和木马这些恶意程序还有和二为一的趋势,也就是在病毒施加一个木马程序,然后再感染病毒的计算机中安装木马程序,这样在很短时间内,就可以掌握许多计算机了,进而对网络节点或大型网站发动进攻。
下面便向大家介绍一下黑客是如何植入木马的
现在网络上流行的木马都采用的是C/S结构(客户端/服务端)。你要使用木马控制对方的电脑,首先需要在对方的的电脑中种植并运行服务端程序,然后运行本地电脑中的客户端程序对对方电脑进行连接进而控制对方电脑。
为了避免不熟悉木马的用户误运行服务端,现在流行的木马都没有提供单独的服务端程序,而是通过用户自己设置来生成服务端,例如黑洞2004。首先运行黑洞2004,点击“功能/生成服务端”命令,弹出“服务端配置”界面。由于黑洞2004采用了反弹技术(请参加小知识),首先单击旁边的“查看”按钮,在弹出的窗口中设置新的域名,输入你事先申请空间的域名和密码,单击“域名注册”,在下面的窗口中会反映出注册的情况。域名注册成功以后,返回“服务端配置”界面,填入刚刚申请的域名,以及“上线显示名称”、“注册表启动名称”等项目。为了迷惑他人,可以点“更改服务端图标”按钮为服务端选择一个图标。所有的设置都完成后,点击“生成EXE型服务端”就生成了一个服务端。在生成服务端的同时,软件会自动使用UPX为服务端进行压缩,对服务端起到隐藏保护的作用。
服务端生成以后,下一步要做的是将服务端植入别人的电脑?常见的方法有,通过系统或者软件的漏洞入侵别人的电脑把木马的服务端植入其的电脑;或者通过Email夹带,把服务端作为附件寄给对方;以及把服务端进行伪装后放到自己的共享文件夹,通过P2P软件(比如PP点点通、百宝等),让网友在毫无防范中下载并运行服务端程序。这样木马便植入了我们的计算机.
接着再向大家介绍一个黑客们经常使用的木马:WEB应用程序.
在Internet大众化及Web技术飞速演变的今天,在线安全所面临的挑战日益严峻。伴随着在线信息和服务的可用性的提升,以及基子Web的攻击和破坏的增长,安全风险达到了前所未有的高度。由于众多安全工作集中在网络本身上面,Web应用程序几乎被遗忘了。也许这是因为应用程序过去常常是在一台计算机上运行的独立程序,如果这台计算机安全的话,那么应用程序就是安全的。如今,情况大不一样了,Web应用程序在多种不同的机器上运行:客户端、Web服务器、数据库服务器和应用服务器。而且,因为他们一般可以让所有的人使用,所以这些应用程序成为了众多攻击活动的后台旁路。
由于Web服务器提供了几种不同的方式将请求转发给应用服务器,并将修改过的或新的网页发回给最终用户,这使得非法闯入网络变得更加容易。
而且,许多程序员不知道如何开发安全的应用程序。他们的经验也许是开发独立应用程序或IntranetWeb应用程序,这些应用程序没有考虑到在安全缺陷被利用时可能会出现灾难性后果。
其次,许多Web应用程序容易受到通过服务器、应用程序和内部已开发的代码进行的攻击。这些攻击行动直接通过了周边防火墙安全措施,因为端口80或443(SSL,安全套接字协议层)必须开放,以便让应用程序正常运行。Web应用程序攻击包括对应用程序本身的DoS(拒绝服务)攻击、改变网页内容以及盗走企业的关键信息或用户信息等。
总之,Web应用攻击之所以与其他攻击不同,是因为它们很难被发现,而且可能来自任何在线用户,甚至是经过验证的用户。迄今为止,该方面尚未受到重视,因为企业用户主要使用防火墙和入侵检测解决方案来保护其网络的安全,而防火墙和入侵检测解决方案发现不了Web攻击行动。
那么常见的Web应用安全漏洞有哪些呢,下面便向大家一一列出:
下面将列出一系列通常会出现的安全漏洞,并且简单解释一下这些漏洞是如何产生的。
已知弱点和错误配置
已知弱点包括Web应用使用的操作系统和第三方应用程序中的所有程序错误或者可以被利用的漏洞。这个问题也涉及到错误配置,包含有不安全的默认设置或管理员没有进行安全配置的应用程序。一个很好的例子就是你的Web服务器被配置成可以让任何用户从系统上的任何目录路径通过,这样可能会导致泄露存储在Web服务器上的一些敏感信息,如口令、源代码或客户信息等。
隐藏字段
在许多应用中,隐藏的HTML格式字段被用来保存系统口令或商品价格。尽管其名称如此,但这些字段并不是很隐蔽的,任何在网页上执行“查看源代码”的人都能看见。许多Web应用允许恶意的用户修改HTML源文件中的这些字段,为他们提供了以极小成本或无需成本购买商品的机会。这些攻击行动之所以成功,是因为大多数应用没有对返回网页进行验证;相反,它们认为输入数据和输出数据是一样的。
后门和调试漏洞
开发人员常常建立一些后门并依靠调试来排除应用程序的故障。在开发过程中这样做可以,但这些安全漏洞经常被留在一些放在Internet上的最终应用中。一些常见的后门使用户不用口令就可以登录或者访问允许直接进行应用配置的特殊URL。
跨站点脚本编写
一般来说,跨站点编写脚本是将代码插入由另一个源发送的网页之中的过程。利用跨站点编写脚本的一种方式是通过HTML格式,将信息帖到公告牌上就是跨站点脚本编写的一个很好范例。恶意的用户会在公告牌上帖上包含有恶意的JavaScript代码的信息。
当用户查看这个公告牌时,服务器就会发送HTML与这个恶意的用户代码一起显示。客户端的浏览器会执行该代码,因为它认为这是来自Web服务器的有效代码。
参数篡改
参数篡改包括操纵URL字符串,以检索用户以其他方式得不到的信息。访问Web应用的后端数据库是通过常常包含在URL中的SQL调用来进行的。恶意的用户可以操纵SQL代码,以便将来有可能检索一份包含所有用户、口令、信用卡号的清单或者储存在数据库中的任何其他数据。
程序大多没有善恶之分,重要的是看用户怎么去利用他。就像一把刀剑,在无恶不做的歹徒手里便是为非作歹的凶器,而在侠客手中便是一个除暴安良的利器。所以说我们不仅要知道如何防护木马的危害,还要学会如何利用木马的一些对我们有利的方面。
因篇幅问题不能全部显示,请点此查看更多更全内容