黑客攻击服务器数据异常怎么回事-黑客攻击服务器数据异常

hacker|
246

服务器被黑的原因是什么

服务器被黑的原因有很多,被黑的因素 一般都是程序留了后门或vps内被留了系统内核级别的木马 或网站的代码留了隐蔽性的木马或一句话shell

一般都是网站程序存在漏洞或者服务器存在漏洞而被攻击了

服务器被黑是每个网站管理员最头痛的问题 也可以通过安全公司来解决,国内也就Sinesafe和绿盟等安全公司 比较专业.

一个朋友服务器被黑客攻击过多了很多IP,大伙看看这是怎么回事

把图片发出来,这种大量ip访问就是攻击源,发送的协议包,流量攻击不能避免,但是可以过滤掉。

电脑被黑客攻击了怎么办

尽管BO黑客软件的功能很强大,但从技术上来说,BO黑客的本领并不是想像中的那样可怕,它只是每次在 Windows启

动时,悄悄地在你的电脑上启动一个服务端程序。 而其他人就可以通过你登录Internet时的IP地址, 用配套的客户端程

序登录到你的电脑,从而实现远程操纵你电脑的目的。从原理上讲,它是一套简单的远程登录及控制软件工具,很多人都

知道著名的PC Anywhere其实就属这类软件工具。BO黑客软件的关键在于隐藏了一个会在Windows启动时悄悄执行的服务端

程序,可以说这是大多数在Internet上出现的黑客软件的共同之处。

而清除这类黑客软件的最简便、有效的方法,就是将自动执行的黑客程序从Windows的启动配置中删除掉。

下面介绍几种识别与清除BO的方法:

1、查看WINDLL.DLL文件

BO服务器安装后,将在Windows的SYSTEM子目录下生成WINDLL.DLL文件。

如果你的电脑C:\WINDOWS\SYSTEM 子目录下有WINDLL.DLL文件,说明你的电脑已经被安装过黑客软件。你可以直接删

除WINDLL.DLL文件。

2、查看“.EXE"文件

检查你的C:\WINDOWS\SYSTEM 子目录下是否有一个标着“.EXE"(空格.EXE)且没有任何图标的小程序,或者连EXE都没

有(如果不显示文件扩展名),只是一个空行。注意,因为它是隐含属性,你的资源管理器应该设置为“显示所有文件”上,

否则你看不到它。它的文件长度为124,928个字节,由于Cult Dead Cow还在不断更新,或许文件长度还在不断变化。

如果发现“.EXE",说明系统已经被安装了BO服务器。由于这时“.EXE"程序在后台运行,所以不能在 Windows系统中

直接删除它。清除的方法是,重新启动电脑系统,让它在DOS方式下运行。然后,进入SYSTEM 子目录,将BO服务器程序

(在DOS下显示为EXE~1)的属性改为非隐含,这样就可以删除它。操作如下:

C CD\WINDOWS\SYSTEM

C ATTRIB -H EXE~1

C DEL EXE~1

注意,如果BO服务器已经被boconfig.exe重新配置,那么安装后的BO服务器文件名很可能不再是“.EXE", 并且它的

文件长度也可能不再是124,928个字节。

3、查看系统注册表

BO服务器程序能够在Windows启动时自动执行,靠的是在Windows系统中加入自启动程序,BO自启动程序并不是附加在

传统的AUTOEXEC.BAT、CONFIG.SYS、WIN.INI和SYSTEM.INI 里,而是在Windows系统的注册表里。

用Windows 95/98的REGEDIT.EXE程序,直接打开注册表,在纷繁枯燥的目录树中你要费上一些功夫,找到下面目录:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

或者 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

如果发现“.EXE"程序(如图2所示),说明系统已经被安装了BO服务器。这时,可以使用注册表编辑功能删除".EXE"

程序。

4、使用MSCONFIG工具

如果你的电脑系统安装了Windows 98,那么可以使用其配置工具MSCONFIG.EXE。与运行REGEDIT.EXE一样, 可以点击

“开始”,选择“运行”并键入MSCONFIG,然后再选择“启动”,将会出现“启动”程序列表,如图3所示。

如果发现“.EXE"程序,说明系统已经被安装了BO服务器。这时,你只需点击左面的小方框,取消“√”打勾号, 就

可以使其不会自动启动,从而使这个黑客程序失效。

用MSCONFIG来清除隐藏在注册表中的自启动黑客程序,对于防范大多数Internet上的黑客程序确实是一个比较简便、

高效的方法。

5、使用杀毒软件

目前有一些新版的杀毒软件,如瑞星9.0(4)版、KILL98 4.16版、KV300+(X++)版、VRV 23.b版等, 都能够正确清

除BO黑客程序,包括Windows的SYSTEM子目录下BO的WINDLL.DLL和“.EXE"文件,以及Windows 95/98的注册表中的 BO注册

项。

6、使用黑客清除工具

现在已有专门的对付BO黑客的工具,如ANTIGEN就是一个很好的工具,你可以在我的网页上( )

下载ANTIGEN.EXE,该文件只有374KB。下载后,可以直接运行它,就可以看到ANTIGEN界面,如图4所示,通常按提示一直

按Next按钮,即可清除隐藏在系统内部的BO黑客程序,并关闭BO黑客程序打开的“后门”完全恢复系统状态。

四、防范黑客软件的措施

与反病毒一样,防御黑客软件也是“预防胜于治疗”。要树立“预防为主、消防结合”的观念。

1、不运行来历不明的软件和盗版软件

从BO运行机制中可以知道,黑客的服务器程序必须被安装在目标系统,这就要求电脑用户必须有意或被骗安装之。而

运行来历不明的软件和盗版软件,就有可能带来这个危险。

不要轻易运行从Internet上下载的那些不知其里的软件,不要随便下载软件,尤其是不可靠的那些FTP站点, 非授权

的软件分发点。另外,几乎现在任何程序都不敢相信了,因为它可以被十分容易地捆到任何一个可执行程序上,运行又无

法发觉,那么如果你下载一个程序随便运行,可能那个程序(比如一个游戏软件、一个屏幕保护程序、甚至于一个新年贺

卡程序)确实能够运行,但说不定那个特洛伊木马已经在你的电脑里落户,一旦你上网,你就成了任由别人宰割的羔羊。

同样地,对于来自电子邮件的附件,应先检查是否带有BO或其他病毒,不可轻易运行。

所以,我们提倡使用原版软件,尽可能少用游戏软件、公共软件,要尽可能从第一作者获得共享软件、自由软件、公

共软件。

2、使用反黑客软件

要经常性地、尽可能使用多种最新的、能够查解黑客的杀毒软件来检查系统。应该使用经安全检测的反黑客软件来检

查系统。

必要时应在系统中安装具有实时检测、拦截、查解黑客攻击程序的工具。

应该注意的是,与病毒不同,黑客攻击程序不具有病毒传染的机制,因此,传统的防病毒工具未必能够防御黑客程序。

3、做好数据备份工作

为了确保重要数据不被破坏,最好的办法是“备份、备份、再备份”。

应该定期备份电脑系统的重要数据,如硬盘分区表、WIN.INI和SYSTEM.INI,以及系统注册表等。 应该每天备份应用

系统的重要文件。

经常检查你的系统注册表,发现可疑程序,应及时加以处理。

4、保持警惕性

要时刻保持警惕性,例如,不要把你的流览器的数据传输警告窗关闭。许多上网的用户都设置为“以后不要再问此类

问题”,这样你就失去了警觉,久而久之便习以为常,越来越大胆地访问、下载和在WEB上回答问题。 如果可能,把你的

流览器的“接受Cookie"关闭。不管是在IRC或是访问别人的网站,你都不能保证它给你的Cookie那几十个或几百个字节是

好心。笔者曾经在IRC遇见过美国黑客使用这样的招术。

必须保持忧患意识,并且要为网络系统遭受入侵作出一些应变计划,如学习如何识别异常现象、如何追踪入侵者,训

练经常使用电脑网络的人,要有正确的上网知识,另外留意与一些网络专家保持联系,及时从专业媒体获得安全信息。

5、使用防火墙

有条件的单位,应该使用防火墙。利用防火墙技术,通过仔细的配置,通常能够在内外网之间提供安全的网络保护,

降低网络安全风险。

6、隔离内部网与Internet的联接

为了确保重要信息不被窃取,最好的办法是重要信息应在非网络环境下工作。对于重要系统的内部网络应在物理上与

Internet网隔离。

对局域网内所有电脑应定期进行检查,防止因为个别漏洞而造成对整个局域网被攻击。

对于与Internet相联的网络发布系统,必须加强网络安全管理。可喜的是,国内已有专门针对黑客入侵而设计的、有

自主版权的网络安全产品,由福建海峡信息中心推出的“网威”黑客入侵防范软件就是一套高性能的安全产品。这套产品

集网络安全测试、系统安全测试、Web安全测试、漏洞检测、漏洞修补和安全监控于一体。 它能分析指出网络信息系统存

在的各种安全漏洞与隐患,提出专家建议,而且提供了实时监控手段和数百兆的针对UNIX系统的漏洞补丁(Patch), 帮

助系统管理员跟踪记录黑客行踪,修补系统漏洞,提高系统的整体安全性。

必须指出的是,防止外部黑客入侵仅仅是黑客防范的一个环节。据统计,目前发生的黑客攻击事件有60%以上来自内

部攻击和越权使用。所以,防内已成为当前黑客防范的重要环节。从BO黑客程序来看,它不仅仅针对Internet网络,在局

域网上同样能够施其攻击手段。令人担心的是,一些网络管理员还使用BO来加强网管能力,其负面影响不可轻视。

不要重装系统!

如果电脑被黑客攻击,会有什么反应和表现

那要看黑客打算用你的电脑干吗了 如果是呀盗号 那基本上会出现例如QQ突然掉线 游戏突然掉线 但是网还没掉的情况或者啥软件也没装 突然电脑就很慢 过会又好了 或者网速突然很慢 一会又好了 或者是网速在每天的固定时间段内都要慢得很 断开重连会好一下 没多久又慢了这样的情况都是电脑被植入病毒或者木马了 还有更危险的情况是黑客只不过在你电脑里开了后门 这样你啥也感觉不到 对黑客来说这个情况最多了 一般他是要用到你的电脑的时候才进来 不用的时候你电脑很安全还有一种情况 嘿嘿 当初俺去肉别人的时候常干的 肉完之后给他打好补丁 封好端口 防止被其他人再肉这种情况的表现就是你电脑从没开启自动安装补丁的功能 也没手动装补丁 但是电脑还是自动安装了补丁 那就是黑客替你干的

黑客攻击电脑是怎么回事,他们有什么目的

第一:关于攻击,一般黑客是很少攻击个人电脑,只会攻击服务器,让那些服务器瘫痪,造成别人无法访问正常,或者采用攻击方式入侵服务器非法获得数据

第二:关于黑客对个人电脑的攻击一般叫入侵,因为个人使用的是IP拨号,每次IP不同,在控制个人电脑前需要用各种手段来欺骗肉鸡(中毒者电脑),比如发送程序,发送带病毒网页,邮件给防范意识不深的人,当你电脑中毒后,就会成为黑客的攻击工具,这时一台电脑控制几千万台电脑,然后同一秒内发出访问指令指定网站,形成一种恶意攻击,让其他有真正需要浏览的人得不到服务,就会提示无法打开主页之类的。

服务器给攻击后会有哪几种影响

DoS攻击是网络攻击最常见的一种。它故意攻击网络协议的缺陷或直接通过某种手段耗尽被攻击对象的资源,目的是让目标计算机或网络无法捉供正常的服务或资源访问,使目标系统服务停止响应甚至崩溃,而在此攻击中并不入侵目标服务器或目标网络设备。这些服务资源包括网络宽带、系统堆栈、开放的进程。或者允许的连接。这种攻击会导致资源耗尽,无论计算机的处理速度多快、内存容量多大、网络带宽的速度多快都无法避免这种攻击带来的后果。任何资源都有一个极限,所以总能找到一个方法使请求的值大于该极限值,导致所提供的服务资源耗尽。

DoS攻击有许多种类,主要有Land攻击、死亡之ping、泪滴、Smurf攻击及SYN洪水等。

据统计,在所有黑客攻击事件中,syn洪水攻击是最常见又最容易被利用的一种DoS攻击手法。

1.攻击原理

要理解SYN洪水攻击,首先要理解TCP连接的三次握手过程(Three-wayhandshake)。在TCP/IP协议中,TCP协议提供可靠的连接服务,采用三次握手建立一个连接。第一次握手:建立连接时,客户端发送SYN包((SYN=i)到服务器,并进入SYN SEND状态,等待服务器确认;

第二次握手:服务器收到SYN包,必须确认客户的SYN (ACK=i+1 ),同}Jj’自己也发送一个SYN包((SYN j)}即SYN+ACK包,此时服务器进入SYN_RECV状态;

第三次握手:客户端收到服务器的SYN十ACK包,向服务器发送确认包ACK(ACK=j+1),此包发送完毕,客户端和服务器进入ESTABLISHED状态,完成三次握手,客户端与服务器开始传送数据。

在上述过程中,还有一些重要的概念:

半连接:收到SYN包而还未收到ACK包时的连接状态称为半连接,即尚未完全完成三次握手的TCP连接。

半连接队列:在三次握手协议中,服务器维护一个半连接队列,该队列为每个客户端的SYN包(SYN=i )开设一个条目,该条目表明服务器已收到SYN包,并向客户发出确认,正在等待客户的确认包。这些条目所标识的连接在服务器处于SYN_ RECV状态,当服务器收到客户的确认包时,删除该条目,服务器进入ESTABLISHED状态。

Backlog参数:表示半连接队列的最大容纳数目。

SYN-ACK重传次数:服务器发送完SYN-ACK包,如果未收到客户确认包,服务器进行首次重传,等待一段时间仍未收到客户确认包,进行第二次重传,如果重传次数超过系统规定的最大重传次数,系统将该连接信息、从半连接队列中删除。注意,每次重传等待的时间不一定相同。

半连接存活时间:是指半连接队列的条目存活的最长时间,也即服务从收到SYN包到确认这个报文无效的最长时间,该时间值是所有重传请求包的最长等待时间总和。有时也称半连接存活时间为Timeout时间、SYN_RECV存活时间。

上面三个参数对系统的TCP连接状况有很大影响。

SYN洪水攻击属于DoS攻击的一种,它利用TCP协议缺陷,通过发送大量的半连接请求,耗费CPU和内存资源。SYN攻击除了能影响主机外,还可以危害路由器、防火墙等网络系统,事实上SYN攻击并不管目标是什么系统,只要这些系统打开TCP服务就可以实施。从图4-3可看到,服务器接收到连接请求(SYN=i )将此信息加入未连接队列,并发送请求包给客户( SYN=j,ACK=i+1 ),此时进入SYN_RECV状态。当服务器未收到客户端的确认包时,重发请求包,一直到超时,才将此条目从未连接队列删除。配合IP欺骗,SYN攻击能达到很好的效果,通常,客户端在短时间内伪造大量不存在的IP地址,向服务器不断地发送SYN包,服务器回复确认包,并等待客户的确认,由于源地址是不存在的,服务器需要不断的重发直至超时,这些伪造的SYN包将长时间占用未连接队列,正常的SYN 请求

被丢弃,目标系统运行缓慢,严重者引起网络堵塞甚至系统瘫痪。过程如下:

攻击主机C(地址伪装后为C')-----大量SYN包----彼攻击主机

C'-------SYN/ACK包----被攻击主机

由于C’地址不可达,被攻击主机等待SYN包超时。攻击主机通过发人量SYN包填满未连接队列,导致正常SYN包被拒绝服务。另外,SYN洪水攻击还可以通过发大量ACK包进行DoS攻击。

2.传统算法

抵御SYN洪水攻击较常用的方法为网关防火墙法、中继防火墙法和SYNcookies。为便于叙述,将系统拓扑图简化为图4-4。图中,按网络在防火墙内侧还是外侧将其分为内网、外网(内网是受防火墙保护的)。其次,设置防火墙的SYN重传计时器。超时值必须足够小,避免backlog队列被填满;同时又要足够大保证用户的正常通讯。

(1) 网关防火墙法

网关防火墙抵御攻击的基本思想是:对于内网服务器所发的SYN/ACK包,防火墙立即发送ACK包响应。当内网服务器接到ACK包后,从backlog队列中移出此半连接,连接转为开连接,TCP连接建成。由于服务器处理开连接的能力比处理半连接大得多,这种方法能有效减轻对内网服务器的SYN攻击,能有效地让backlog队列处于未满状态,同时在重传一个未完成的连接之前可以等待更长时间。

以下为算法完整描述:

第一步,防火墙截获外网客户端发向内网服务器SYN数据包,允许其通过,抵达内网服务器。同时在连接跟踪表中记录此事件.

第二步,防火墙截获服务器发向客户端的SYN/ACK响应包,用连接跟踪表中记录的相应SYN包匹配它.

第三步,防火墙让截获的SYN/ACK继续进行(发向客户端)。同时,向内网服务器发送ACK包。这样,对服务器来说,TCP连接三次握手已经完成。系统在backlog队列中删掉此半连接.

第四步,看此TCP连接是否有效,相应产生两种解决方法。如果客户端的连接尝试是有效的,那么防火墙将接到来自客户端的ACK包,然后防火墙将它转发到服务器。服务器会忽略这个冗余的ACK包,这在TCP协议中是允许的.

如果客户端的IP地址并不存在,那么防火墙将收不到来自客户端的ACK包,重转计时器将超时。这时,防火墙重传此连接.

(2) 中继防火墙法

中继防火墙抵御攻击的思想是:防火墙在向内网服务器发SYN包之前,首先完成与外网的三次握手连接,从而消除SYN洪水攻击的成立条件。

以下为算法完整描述:

第一步,防火墙截获外网客户端发向内网服务器SYN数据包.

第二步,防火墙并不直接向内网发SYN数据包,而是代替内网服务器向外网发SYNIACK数据包.

第三步,只有接到外网的ACK包,防火墙向内网发SYN包.

第四步,服务器应答SYN/ACK包.

第五步,防火墙应答ACK包.

(3) 分析

首先分析算法的性能,可以看出:为了提高效率,上述算法使用了状态检测等机制(可通过本系统的基本模块层得以实现)

对于非SYN包(CSYN/ACK及ACK包),如果在连线跟踪信息表未查找到相应项,则还要匹配规则库,而匹配规则库需比较诸多项(如IP地址、端口号等),花费较大,这会降低防火墙的流量。另外,在中继防火墙算法中,由于使用了SYN包代理,增加了防火墙的负荷,也会降低防火墙的流量。

其次,当攻击主机发ACK包,而不是SYN包,算法将出现安全漏洞。一般地,TCP连接从SYN包开始,一旦 SYN包匹配规则库,此连接将被加到连接跟踪表中,并且系统给其60s延时。之后,当接到ACK包时,此连接延时突然加大到3600s。如果,TCP连接从ACK包开始,同时此连接未在连接跟踪表中注册,ACK包会匹配规则库。如匹配成功,此连接将被加到连接跟踪表中,同时其延时被设置为3600s。即使系统无响应,此连接也不会终止。如果攻击者发大量的ACK包,就会使半连接队列填满,导致无法建立其它TCP连接。此类攻击来自于内网。因为,来自于外网的ACK包攻击,服务器会很快发RST包终止此连接(SOs。而对于内网的外发包,其限制规则的严格性要小的多。一旦攻击者在某时间段内从内网发大量ACK包,并且速度高于防火墙处理速度,很容易造成系统瘫痪。

(4) SYN cookies

Linux支持SYN cookies,它通过修改TCP协议的序列号生成方法来加强抵御SYN洪水攻击能力。在TCP协议中,当收到客户端的SYN请求时,服务器需要回复SYN-SACK包给客户端,客户端也要发送确认包给服务器。通常,服务器的初始序列号由服务器按照一定的规律计算得到或采用随机数,但在SYN cookies中,服务器的初始序列号是通过对客户端IP地址、客户端端口、服务器IP地址和服务器端口以及其他一些安全数值等要素进行hash运算,加密得到的,称之为cookie。当服务器遭受SYN攻击使得backlog队列满时,服务器并不拒绝新的SYN请求,而是回复cookie(回复包的SYN序列号)给客户端,如果收到客户端的ACK包,服务器将客户端的ACK序列号减去1得到。cookie比较值,并将上述要素进行一次hash运算,看看是否等于此cookie。如果相等,直接完成三次握手(注意:此时并不用查看此连接是否属于backlog队列)。

0条大神的评论

发表评论