妖城在线论坛 - Powered by Discuz! Board

标题: [魔力私服分享] 自己总结的黑客与反黑技术【申精】 [打印本页]

作者: rmy007ivy 时间: 2010-8-1 13:00 标题: 自己总结的黑客与反黑技术【申精】

最近我做技术的服务器数据库常常被人入侵，在使用数据库3306端口下，默认用户名是root，默认的密码为空。许多人安装完NAVICAT就不修改用户名和密码，数据库可以说没有任何防御。
先看看黑客是如何入侵的：
方法一，使用LINUIX链接MYSQL，MySQL用户root密码为空的攻击方法——黑客不用知道数据库密码，知道IP就可以攻击
( u" C, N: H9 Y1、连接到你的mysql 服务器

mysql -u root -h IP—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート+ n! V2 \( l8 s4 x+ q+ Q% c( U
mysql.exe 这个程序在你安装了mysql的的bin目录中（这步成功就可以连接到你的数据库，为所欲为，如果网站和服务端不分离，使用个虚拟主机IP查询器就可以做到）魔力私服,最新魔力宝贝私服技术交流; R, i6 Y: d9 i  c0 N: {) p7 _
魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表( u! ?. b; p' n0 e$ R* B' U( G
2、黑客查询来服务器中有些什么数据库   Q' n  O# L3 b, y! g' U5 T% ~( Q
魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表; R/ d4 K  [6 P+ Y) ^3 N+ X
mysql>show databases;

mysql默认安装时会有mysql、test这两个数据库妖城在线论坛' \; ]  u5 N" d6 I! m. K" j" y

3、黑客进入数据库

mysql>use test;
魔力私服,最新魔力宝贝私服技术交流' B; F& C: `7 a8 [) \2 I) s  q5 k( U
4、查看进入数据库中有些什么数据表 —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート$ n# `7 E# Q- z, N. b8 p
—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート4 E* ]  E% ^  T- ~4 ^, V7 p- x1 b
mysql>show tables; 玩家资料基本都在里面，游戏资料基本都在里面

至此，你已经被黑了。黑客可以任意改动玩家资料，包括安全码，用户名，制作满D宠物，给宠物加BT技能，制作BT道具等。

方法二：使用NAVICAT连接

如果数据库最高权限用户名是root的情况下，可以用navicat连接，那些不改root用户密码或密码为空的，很容易被连接，在知道IP和数据库名是root的情况下，也可以使用字典等木马盗号工具实现。因此root这个用户名一定要改。: K) y0 Q, X! S" V  k; @8 J

*****************************************************************************分割线**************************************************************************
防御方法：1、修改数据库用户名：root
打开navicat,右上角找到魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表% x" C% s& [, S3 `& t

修改用户名

魔力私服,最新魔力宝贝私服技术交流# m+ l2 |+ d+ @' P/ h2 F$ Z
改成你想要的，比如：xiaotousiba(小偷死吧！）注：这里的用户名应改为root开头的字符串，比如：root1234别问我为什么，LINUX判别很奇怪改完后，打开相应的setup.cf
#数据库用户名
dbusername=root（改成相应的用户名）—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート3 _1 ~% X* v. G8 Y

2、进一步防御方法：与服务器商联系，测试并更换3306端口，使用其他端口。
妖城在线论坛& A4 N. Q* E, Q; ^( N6 H' f- A
3、安装两个版本的navicat（数据库图形工具），win版和LINUX版。LINUX版放在home文件下，win版的所有用户名均可删除bbs.mocwww.com  w! P! K9 Z. d8 I+ p* d6 Q) J
魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表4 `4 G- Q/ E' f( k( f  i+ C
4、安装完成后修改远程用户名和密码。具体方法：右键——我的电脑——本地组和用户——用户（比如:adminstrator重命名为你想要的，密码也改魔力私服,最新魔力宝贝私服技术交流4 y  @+ u8 O& ~% Z

5、修改网站后台的admin的用户名和密码，有可能用md5收费密码。
魔力私服,最新魔力宝贝私服技术交流4 k, a# s. I$ z. ~9 L, K- r
魔力私服,最新魔力宝贝私服技术交流" U/ Z) d. d, i# o5 X
6、清除SQL被植入恶意病毒代码的语句，如果需要
使用SQL分析查询器（附件内）
在SQL查询分析器执行以下代码就可以了。妖城在线论坛. |" Z! m) c* H( d

01.declare @t varchar(255),@c varchar(255) —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート/ M/ G, h9 i0 J, r8 B, |/ z

02.declare table_cursor cursor for select a.name,b.name 妖城在线论坛& p" b& h, x/ ~0 f) |; ]1 L

03.from sysobjects a,syscolumns b ,systypes c
2 J. y+ H# O/ k" S$ ^# C. H
04.where a.id=b.id and a.xtype='u' and c.name 妖城在线论坛5 `8 ^( \* S0 Z; @% u/ N( c
魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表5 e! q$ v; A! ~$ ]  O2 _
05.in ('char', 'nchar', 'nvarchar', 'varchar','text','ntext')
—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート2 u3 C7 f+ g8 ^& u2 ?+ t; b
06.declare @str varchar(500),@str2 varchar(500) 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表; I4 f  a7 w6 S0 o0 q

07.set @str='<script src=http://r01.3322.org/c.js></script>'/*要替换的内容*/

08.set @str2=''
—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート, p$ o" c1 X# ^/ w& X6 B
09.open table_cursor

10.fetch next from table_cursor 魔力私服,最新魔力宝贝私服技术交流4 _! C: I) z1 S2 @4 }% F! `
妖城在线论坛% I9 p" I: u" l
11.into @t,@c while(@@fetch_status=0)
bbs.mocwww.com- E9 J& p" u! n9 ^8 [
12.begin exec('update [' + @t + '] set [' + @c + ']=replace(cast([' + @c + '] as varchar(8000)),'''+@str+''','''+ @str2 +''')') ! \3 G+ ~5 c4 W0 L! Z! d8 {

13.fetch next from table_cursor 14.into @t,@c end close table_cursor deallocate table_cursorbbs.mocwww.com$ U# }1 n& {" f8 C5 ], K8 J: Y

4、以下有23个方面关于MySQL安全问题，应进一步注意，具体如下：

1.如果客户端和服务器端的连接需要跨越并通过不可信任的网络，那么就需要使用SSH隧道来加密该连接的通信。

　　2.用set password语句来修改用户的密码，三个步骤，先“mysql -u root”登陆数据库系统，然后“mysql> update mysql.user set password=password('newpwd')”，最后执行“flush privileges”就可以了。
bbs.mocwww.com2 F, `6 @. ^: T/ |' h2 r
　　3.需要提防的攻击有，防偷听、篡改、回放、拒绝服务等，不涉及可用性和容错方面。对所有的连接、查询、其他操作使用基于ACL即访问控制列表的安全措施来完成。也有一些对SSL连接的支持。 bbs.mocwww.com# }, F4 z/ y- m9 C- N
魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表+ |+ d1 a/ f6 I- ^1 Z( D3 s
　　4.除了root用户外的其他任何用户不允许访问mysql主数据库中的user表; bbs.mocwww.com- t, u7 k+ X9 L. d. L# o% A
魔力私服,最新魔力宝贝私服技术交流8 p& Y+ [$ n) Y
　　加密后存放在user表中的加密后的用户密码一旦泄露，其他人可以随意用该用户名/密码相应的数据库; bbs.mocwww.com, R  {& k$ ]8 {2 ?

　　5.用grant和revoke语句来进行用户访问控制的工作;
bbs.mocwww.com% c- ]' I/ _. k2 P: q5 J
　　6.不使用明文密码，而是使用md5()和sha1()等单向的哈系函数来设置密码;
bbs.mocwww.com& y5 m' p  z; P+ K% y  S
　　7.不选用字典中的字来做密码;
妖城在线论坛' Y. }6 }( V; ^! ]7 ~
　　8.采用防火墙来去掉50%的外部危险，让数据库系统躲在防火墙后面工作，或放置在DMZ区域中;   l& o' a1 j3 z. q# v7 h% c7 t

　　9.从因特网上用nmap来扫描3306端口，也可用telnet server_host 3306的方法测试，不能允许从非信任网络中访问数据库服务器的3306号TCP端口，因此需要在防火墙或路由器上做设定;

　　10.为了防止被恶意传入非法参数，例如where ID=234，别人却输入where ID=234 OR 1=1导致全部显示，所以在web的表单中使用''或""来用字符串，在动态URL中加入%22代表双引号、%23代表井号、%27代表单引号;传递未检查过的值给mysql数据库是非常危险的; bbs.mocwww.com5 b/ L3 z" H4 `  |. o& p0 o/ ?2 L

　　11.在传递数据给mysql时检查一下大小; 妖城在线论坛; Y5 H* K: ^  F, C2 B  ~

　　12.应用程序需要连接到数据库应该使用一般的用户帐号，只开放少数必要的权限给该用户; —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート, b1 s6 e5 g- _1 x6 V) H' w# N2 r, V

　　13.在各编程接口(C C++ PHP Perl Java JDBC等)中使用特定‘逃脱字符’函数; 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表, I4 _9 h7 [, q+ T! y7 v
魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表+ O) L  O% f: v6 l$ F2 K
　　在因特网上使用mysql数据库时一定少用传输明文的数据，而用SSL和SSH的加密方式数据来传输;
% F, \  A. f$ p' J6 M& I- D: V
　　14.学会使用tcpdump和strings工具来查看传输数据的安全性，例如tcpdump -l -i eth0 -w -src or dst port 3306 　 strings。以普通用户来启动mysql数据库服务; —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート! q/ P9 ~; Q' ]! d' a) k0 ?7 M

　　15.不使用到表的联结符号，选用的参数 --skip-symbolic-links; 妖城在线论坛3 C. x" `! _' M4 r1 j0 O
魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表* v; s+ O) ~+ y( p
　　16.确信在mysql目录中只有启动数据库服务的用户才可以对文件有读和写的权限; 5 D1 }: f* n6 _( w
  @4 W# w7 ]- ~
　　17.不许将process或super权限付给非管理用户，该mysqladmin processlist可以列举出当前执行的查询文本;super权限可用于切断客户端连接、改变服务器运行参数状态、控制拷贝复制数据库的服务器; —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート+ I" p" h' h; \, v9 K1 F
—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート2 J4 q1 |0 Q1 v
　　18.file权限不付给管理员以外的用户，防止出现load data '/etc/passwd'到表中再用select 显示出来的问题; 魔力私服,最新魔力宝贝私服技术交流- x2 v6 n* _& h6 v* e& L

　　19.如果不相信DNS服务公司的服务，可以在主机名称允许表中只设置IP数字地址; bbs.mocwww.com- M$ q' J- z4 y

　　20.使用max_user_connections变量来使mysqld服务进程，对一个指定帐户限定连接数; 魔力私服,最新魔力宝贝私服技术交流1 x; c- I) Z9 H) v

　　21.grant语句也支持资源控制选项;

　　22.启动mysqld服务进程的安全选项开关，--local-infile=0或1 若是0则客户端程序就无法使用local load data了，赋权的一个例子grant insert(user) on mysql.user to 'user_name'@'host_name';若使用--skip-grant-tables系统将对任何用户的访问不做任何访问控制，但可以用mysqladmin flush-privileges或mysqladmin reload来开启访问控制;默认情况是show databases语句对所有用户开放，可以用--skip-show-databases来关闭掉。

　　23.碰到Error 1045(28000) Access Denied for user 'root'@'localhost' (Using password:NO)错误时，你需要重新设置密码，具体方法是:先用--skip-grant-tables参数启动mysqld，然后执行mysql -u root mysql,mysql>update user set password=password('newpassword') where user='root';mysql>Flush privileges;，最后重新启动mysql就可以了。

三，防止黑客知道远程端口入侵远程桌面的方法。（感谢魔力人忧提供）

魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表  ^1 |7 |5 a5 I, s4 M$ |+ `1 d

远程桌面的端口默认为：3389，只要是这个远程桌面前面的勾如果选择上了，魔力私服,最新魔力宝贝私服技术交流# K( i7 F0 e! g( D' y4 p% r
就说明你的电脑开启了3389端口，那么对方就可以利用3389远程直接登陆您的系统。。。
妖城在线论坛+ W; y  j0 d- G0 a7 T0 E  C
不要打上这个勾，就关掉了3389！开始，运行，输入mstsc，在弹出的对话诓中输入对方IP，bbs.mocwww.com0 j" m1 Q! m, _1 H
就可以远程连接对方电脑了，当然还需要对方电脑的用户名和密码。。。。妖城在线论坛  Q$ [3 f4 P* [; Y" J4 z

一般XP系统的帐号密码就是默认的，或者使用的是new，而密码为空。。。

这样的用户如果开启了3389的话，很容易变成别人的肉鸡。。。4 D- N' n& V0 v
所以大家应该及时把系统帐号安全保护好。。。

关掉3389端口，或者把3389端口修改成其它数字，
让别人扫描不出来。。。
把系统默认用户名改名并禁止使用，设置好密码。。。
把其它不用的帐号全部停用。新建一个管理员帐号设置好密码。。。
从而保证系统安全。。。
- }+ b. [, _6 L& h4 B" R
在任务管理器中可以看出来用户的活动进程也可以用查看本机端口连接情况来查看的。。。。
开始，运行 cmd 输入netstat -an 来查看与本机有哪些连接3389端口是Windows 2000(2003) Server魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表/ \  A+ h$ ~# O+ ]( s
—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート5 U3 _* [4 |' v7 {
远程桌面的服务端口,可以通过这个端口,
用"远程桌面"等连接工具来连接到远程的服务器,如果连接上了,魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表5 [% K& p' X7 U9 z) q8 M$ u
输入系统管理员的用户名和密码后,将变得可以像操作本机一样操作远程的电脑,bbs.mocwww.com7 _: o& i/ n1 Z' v. j3 C* s

因此远程服务器一般都将这个端口修改数值者者关闭. $ v. |" V# b0 `$ V/ K; s
修改数值的话需要修改注册表的两个地方: 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表, Z8 j$ i8 p) b4 x! J
第一个地方: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp] PortNumber值，默认是3389，修改成所希望的端口，比如6000 第二个地方： [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] PortNumber值，
默认是3389，修改成所希望的端口，比如6000 现在这样就可以了。—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート" D( @9 ?' n3 X
bbs.mocwww.com; W, d' s9 C" J
重启系统就可以了. 你如果觉得修改数值不够安全,
可以把这个端口屏蔽掉: 一是在网卡的端口过滤里边,
只开放你需要的端口,具体是在tcp/ip的属性设置里头有个"高级"按键,—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート& m: w8 k  A; o$ N: \2 z( q8 V8 L
然后点里面最后一个"选项"按钮,在tpc/ip筛选里面,只允许你想开放的端口;—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート7 Q- P7 W' i8 a
此外，可以安装一个防火墙,也可以达到阻止别人访问你3389端口的目的。魔力私服,最新魔力宝贝私服技术交流# i( v" ^3 z/ q) s* C
魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表( @+ p5 \/ F- t
[ 本帖最后由 rmy007ivy 于 2010-8-1 17:14 编辑 ]

图片附件: 未命名.jpg (2010-8-1 13:00, 2.13 KB) / 该附件被下载次数 174
http://bbs.mocwww.com/attachment.php?aid=13667

图片附件: 未命名1.jpg (2010-8-1 13:00, 1.75 KB) / 该附件被下载次数 121
http://bbs.mocwww.com/attachment.php?aid=13668

图片附件: 未命名2.jpg (2010-8-1 13:00, 16.83 KB) / 该附件被下载次数 151
http://bbs.mocwww.com/attachment.php?aid=13669

附件: SQL查询分析器.rar (2010-8-1 13:06, 1.23 MB) / 该附件被下载次数 195
http://bbs.mocwww.com/attachment.php?aid=13670

附件: 黑客虚拟主机查询器.rar (2010-8-1 13:06, 261.19 KB) / 该附件被下载次数 149
http://bbs.mocwww.com/attachment.php?aid=13671

图片附件: 01300000173424121292059892967.jpg (2010-8-1 16:55, 35.19 KB) / 该附件被下载次数 110
http://bbs.mocwww.com/attachment.php?aid=13672

作者: rmy007ivy 时间: 2010-8-1 13:42

占楼编辑，防御第二弹，楼下说没用的，怎么不把自己的经验分享一下呢？
1、关于利用软件窃取网页系统的办法及原理。。。: h- w4 N$ R Q( \% x& Q
2、关于利用网页系统漏洞（现在的魔力网页大部分都是叶子后台，或叶子后台改编，黑客早就研究透了，）入侵的方法及防御。。。妖城在线论坛* f, R7 g0 Y, [- X1 d3 P6 D
3、植入rootkit及防御办法。。。
4、关于LINUX内部的webshell问题。。。
这些我会一一发出来和大家讨论。但是我的办法发了，黑客又都知道了。所以就没用了，正在纠结到底要不要发

[ 本帖最后由 rmy007ivy 于 2010-8-2 10:33 编辑 ]

作者: rmy007ivy 时间: 2010-8-2 10:35

楼上说没用的，为什么不把自己的经验分享一下呢？

作者: rmy007ivy 时间: 2010-8-2 11:13

呵呵，谢谢指教，口风真严，算了，自己研究

作者: 煙頭 时间: 2010-8-2 14:50

我也领教了。。

作者: rmy007ivy 时间: 2010-8-14 13:30

这篇东西不足以申精吗？

作者: rootlinux 时间: 2010-8-14 17:55

是不足以的，妖城有很多帖子都比你的好。—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート3 X( H# C2 m; ^- ~ I0 m
你那个其实只要在本机开启3306对外是不会映射的TELNET 3306也不通，所以没关系什么工具都连不上，如果用FTP空间的话把帐号和密码改成强些不就得了。
远程连接把3389改下也就得了。也不麻烦。魔力私服,最新魔力宝贝私服技术交流: f* W9 T* x& l- g
百度一大堆资料妖城在线论坛# m% ^/ Q/ s& A* n2 D
妖城在线论坛" A! n5 i6 A0 u$ {9 Q9 X
[ 本帖最后由 rootlinux 于 2010-8-14 17:58 编辑 ]

欢迎光临妖城在线论坛 (http://bbs.mocwww.com/)