电脑被黑客入侵

黑客经验谈：跳板攻击入侵技术实例解析

网络入侵，安全第一。一个狡猾、高明的入侵者，不会冒然实行动。他们在入侵时前会做足功课，入侵时会通过各种技术手段保护自己，以防被对方发现，引火烧身。其中，跳板技术是攻击者通常采用的技术。下面笔者结合实例，解析攻击入侵中的跳板技术。

1、确定目标

攻击者在通过扫描工具进行定点(IP)扫描或者对某IP段扫描的过程中发现了该系统(服务器)的某个漏洞，然后准备实施攻击。

比如，笔者通过对某IP段的扫描，发现该IP段IP地址为211.52.*.84的主机存在MYSQL漏洞，可以通过提权获取系统权限进而控制该服务器。

2、设计跳板

跳板通俗讲就是一条通往目标主机的主机链，理论上讲当然是链越长就越安全，但是链太长的话连接的速度太慢，因为其中的中转太多。攻击者往往会评估入侵风险，从而制定或者设计跳板。一般的原则是，如果是政府、军队等敏感部门往往跳板会比较多，甚至这些跳板主机会纵横七大洲四大洋。另外，入侵国内服务器往往也会需要国外的跳板主机。

另外跳板主机的选择，入侵者往往是一些安全性一般速度较快，很少有人光顾的主机。因为如果是跳板出了安全问题，安全人员从中间入手，进行反向追踪，定位入侵者的相对比较容易。

笔者演示进行入侵检测的目标主机是一家韩国的服务器(通过www.ip138.com查询)，综合考虑，设计了三级跳板，即通过三个主机中转在第三级跳板上进行目标主机的入侵就爱你从。设计的路线为：远程登陆(3389)到一IP地址为203.176.*.237的马来西亚服务器然后在该服务器上通过CMD命令登陆到一IP地址为203.115.*.85的印度Cisco路由器最后该路由器上telnet到一某韩国主机。最后以该韩国服务器为工作平台实施MYSQL提权操作。

特别说明：攻击者往往在跳板中加入路由器或者交换机(比如Cisco的产品)，虽然路由器的日志文件会记录登陆IP，但是可以通过相关的命令清除该日志。并且这些日志清除后将永远消失，因为路由器的日志保存在flash中，一旦删除将无法恢复。如果跳板全部用主机的话，虽然也可以清除日志，但是现在的恢复软件往往可以恢复这些日志，就会留下痕迹，网络安全人员可以通过这些蛛丝马迹可能找到自己。

3、跳板入侵

(1).第一跳，远程桌面

开始→运行→mstsc，打开远程桌面连接，输入马来西亚服务器的IP地址203.176.*.237，随后输入用户名、密码即可远程连接到该服务器。

一个非常狡猾高明的的入侵者一般不会用自己平时使用的主机进行远程桌面连接入侵，他们往往通过一些人员流动比较大的公共电脑进行入侵。如果找不到的话，他们一般不会用物理主机，会采用虚拟机系统进行入侵。因为物理主机的入侵会留下痕迹，就算删除格式化也会被恢复。而虚拟机，入侵完成后可以删除，呼之即来，弃之毫不可惜。

(2).第二跳，telnet路由器

打开服务器命令行工具(cmd)，输入telnet 203.115.*.85进行连接。该路由器是一Cisco设置了虚拟终端的密码，输入密码进入路由器一般模式。此时即可以通过路由器telnet到下一个跳板。当然最好有该cisco路由器的特权密码，敲入en，然后输入特权密码进入特权模式。因为就算没有进入路由器的特权模式，但路由器还是记录了此次登陆，因此一定要进入特权模式，通过路由器命令清除登陆记录和历史命令。笔者为了安全用SecureCRT(类似telnet)进行登陆。

作为一个狡猾的入侵者，在进入路由器特权模式后，不是马上进入下一跳板。往往通过show user命令查看有没有其他人(特别是管理员)登陆到路由器。如果存在其他登陆，一个谨慎的入侵者往往会放弃该跳板转而用其他的跳板。

(3).第三跳，telnet主机

在路由器特权模式下，输入telnet 203.115.*.85，随后输入用户名及其密码后就telnet到远程主机系统给我们一个shell。

4.提权

至此，我们经过三级跳到达工作平台，然后就在该shell上进行目标主机的MYSQL提权操作。操作平台上笔者已经准备好了进行MYSQL提权的工具。输入命令进行操作，笔者把相关的命令列举出来：

cd msysql

cd bin

mysql -h 211.52.118.84 -uroot

\. c:\mysql\bin\2003.txt

在工作平台上再打开一个cmd，输入命令

nc 211.52.118.84 3306

即监听该ip的3306端口，返回一个目标主机的shell，获取该主机的控制权。

在该shell上输入命令建立管理员用户

net user test test /add

net localgour administrators test /add

下面看看对方是否开了远程桌面连接，在命令行下敲入命令

netstat -ano

对方开3389端口，即可以进行远程桌面的连接。

由于对方是XP系统，不能多用户远程连接，笔者的入侵检测到此为止。

5、全身而退

入侵完成获得目标主机的管理权限，入侵者就得擦除痕迹，准备撤退了。

(1).由于从目标主机获得的shell反向连接获得的，不会有日志记录，所以不用管直接断开连接。

(2).上传clearlog工具，清除telnet主机上的登陆日志。

(3).输入exit，退出路由器到主机的的telnet连接。在路由器上输入

clear logging

分别用来清除登陆日志。

(4).退出路由器登陆，通过工具清除远程桌面主机上的登陆日志，然后删除登录用帐户和用户目录，注销用户。

总结：上面笔者结合实例演示了入侵者如何通过跳板进行入侵以及入侵善后的全过程，本文只是从技术的角度对跳板技术进行解析，目的是让有兴趣的读者直观地了解跳板技术的相关细节。当然，跳板技术是博大精深，远非本文所能囊括，但其基本原来都类似，希望文本对大家了解这种技术有所帮助

你说的就不对了，专门从事网络服务器的黑客，收入非常高，买几套房子，买几部豪华车，成天到处旅游，那比老板可滋润的多。 我同学在学校里就是一个菜鸟黑客，但是他通过入侵韩国、日本等地的电脑或者服务器，把线路卖或出租给国内一些需要代理或者服务器的人。每个月收入不菲。 同学没钱花了，都管他借。可想而知专业黑客的收入有多么吓人了。

网警如何找到你？ 入侵必读

古语有云：天网恢恢、疏而不漏！这句话是真的么？现实社会中我不知道。但是在互联网上，这句话在Internet上是很软弱的。读完我这篇文，就可以知道。在网络上触犯现行法律，即便于公安部门立案调查，未必就“落入法网” 注：本文仅做技术研讨，并非讨论如何在犯罪后逃脱法律的惩罚。

首先来认识一下：“网监”也就是公安部门分管网络的部门。他们负责网络监管，如网站和服务器被黑、游戏帐号装备被盗、网络上的各种纠纷、色情`反现zhengfu的内容。都属于网监处理。

我们来假设一个案例：163.com主站被入侵，服务器硬盘全部多次格式化，并且重复读写垃圾数据，导致硬盘数据无法进行恢复，损失惨重。于是在召集专家紧急修复服务器数据的同时，163.COM公司迅速向广州网监报案。广州网监介入调查，追踪此次入侵者！

如果你是入侵者，你面对这样的情况。你会怎么办？其实很多同行在侵入别人网站、服务器、内部网络的同时，都不太懂得如何保护自己。如果你们不注意隐藏自己，用不了一天，网监部门就可以锁定你家祖宗十八代-_-!!!，如果隐藏的好，等这个案子过了法律追究期限，也是个无头案。而这，在Internet上来说，是易如反掌！

首先，我们来了解下`网监部门如何追踪入侵者，锁定他在何处作案。大家一般都知道，当你黑掉一个网站的时候，你在WEB的操作。都会或多或少的被记录在对方WEB服务器日志上。IIS和Apache都是会记录一些IIS日志。如果你入侵一家网站，被记录下IP地址一点也不奇怪。就算一般浏览网站，也会被记录下IP，当你在浏览网站执行一个操作的时候，IIS服务器就会进行一次记录，比如说发生一次连接错误。这就更不谈你侵入他人网站会不会留下IP记录，这是绝对会留下的。

当你侵入一台服务器呢？在你进入服务器的时候，首先WINDOWS系统就会对你的连接IP进行记录，其次在网关服务器上。也会记录连接进入服务器的IP。所以即便于你能够把服务器上的记录给删除，而网关上的记录，你永远也碰不到。

公安部门在锁定做案者的时候，首先就是要找到做案者，如何找到？最重要的就是追踪IP了。

我们来了解下一些ADSL宽带接入常识。

众所周知，现在大家一般都是使用的ADSL电信或者网通的宽带接入网络。绝大部分是使用的动态IP，少部分是使用的固定IP。固定IP是特性一般是带宽在 4M以上。而一般人用不了。当你启动计算机，通过ISP提供给你的宽带ADSL帐号拨进互联网的时候。ISP服务商的系统就会随机分配给你一个动态IP，并且记录如下事件，例如：2008年8月8日8时8分8秒，btm4545455（宽带帐号）,拨入IP：58.53.1.5，操作系统： Windowsxp，拨号电话：07284544562。各省的电信记录方式可能不同，但是这些数据绝对会被ISP记录下来，有的人可能不相信ISP会记录这么详细的内容。不过我进入电信网络中查看过这种系统，确实存在！而且更详细，我这里只是简单列举了他记录的一些主要数据！

另外一点，当你成功拨号进入互联网后，你的IP在访问互联网的时候，会经过不少路由器，几乎每个路由器都会记录下你的IP！

现在大家知道了ISP服务商通过什么方式记录你的行踪了吧？

我们再谈谈公安部门如何抓捕做案者。大家都知道，要抓一个人，首先就要知道他是谁、他在那里。如果这都不知道，怎么抓？而要获取到作案者地理位置和真实身份的唯一手段，就是“IP”，IP就是ISP分配给大家用来上网的东东。大家都知道，当你的计算机和一台Internet上的服务器建立连接的时候，双方就会互相传输数据给对方。而这个IP就等于是传输的通道，其实你使用的IP，只能说是互联网的“身份证”，真正访问互联网资源的其实是ISP，你的IP只是负责接受和传输数据到XX服务器。同样，这个IP就是确认某台计算机在某年某月某日某时某分某秒连接进入某个网络的证明。同样只有找到这台作案的计算机，才能继续追查他的使用者。

好的，我们现在回到前面，我们前面说了，假设163.COM公司报案后，公安部门通过分析，在WEB服务器系统上以及网关上面（无法擦去）均找到了连接并入侵系统的IP地址：211.1.1.1，这个时候公安部门调查发现，这个IP是来自日本的。这就是说`入侵者是日本人？这其实只是一个假象。

当查找一个入侵者的时候，很重要的一个环节就是查路由日志，大家都知道，当你的IP访问一台服务器的时候，就会经过非常多的路由器，也就是说不只一台路由记录了你曾经到访过的IP，这也是可以追查到的。同样，即使你使用国外肉鸡来连接入侵163.COM，公安叔叔同样会追查到你。那他们是如何做到的？

答案很简单，公安部门是有权利要求电信部门配合，提供路由日志，具体提供到有那些IP曾经路由到 211.1.1.1这个IP上面，这样。就可以抓住你了。当你被抓的时候，别想`为什么劳资明明用了代理，还是被抓？其实很简单，因为单单是一层，那是很容易被破解的，尤其是代理！代理协议都是很简单的。被破译一点也不难。

大家都知道，公安网络监管部门有一个国家防火墙“金盾”，大家知道这个防火墙是做什么的？就是用来屏蔽一些被认为网站内容涉嫌fandong、色情活动的站点和网络资源。不信，大家试试随便找个普通的国外有效代理访问类似www.wujie.net，你就会发现你和代理的连接中断，为什么中断？因为金盾检测到你涉嫌访问fandong、色情内容`并且已经被屏蔽的站点。然后ISP的系统，就会强行中断你和那个国外代理的连接。这样，在一定的时间里，你就会以为代理死掉了。更简单的测试方法比如：你在google.com里搜索：“邪恶”，你就会发现自己和GOOGLE的连接已经中断，其实这就是ISP强行掐断了你们的访问。你在大概几分钟类就无法访问GOOGLE。因为你的内容没有进行任何加密措施，就类似代理、就很容易被识别出来。

所以大家不要随便相信代理这种基本没有任何安全性可言的东西。。而怎么样，才能逃避追踪呢？方法很简单。

公安部门追踪入侵者，只能从IP下手，我们逃避掉IP，只要自己拉风。基本就没有危险了。如何逃避？我说下，我一般“检测”站点服务器所用的方法。准备工具 `根据威胁性质`我一般对很危险的网络使用“E级防护”直接侵入服务器的是：北京某高速IDC服务器A、它的后面还有：湖南IDC服务器：B、山东IDC 服务器：C、韩国服务器：D、台湾服务器：E、本人电脑：F。

注意，防护程度根据个人能力而定，一般我这种级别的入侵防护要求被控制的服务器质量很高，首要是速度非常快，PING值如果国外的两台高于：150，那就不用考虑了。一般国外的要求PING在120左右。国内的PING在70以内。否则会造成操作速度非常缓慢，因为本身这样做以后，操作速度就会变慢不少，原因是：（这里的各地服务器我用A、B、C、D、E、F代替，刚才已经写清楚了），首先，我们连接的是E，然后在E号服务器里使用3389终端连接韩国D 号，然后D号再3389连接进入山东服务器C号，然后C号3389再连接进入湖南B号。湖南B号继续3389连接进入“A号”。这样，在操作过程中。你的一切操作都会记录在A号上面。被入侵的服务器一切记录都在北京A号上。连A号上的日志都不用擦，就是要留给公安叔叔追踪！

我前面已经说过了，公安叔叔的网络抓捕终极武器就是查路由了。而当我连接到台湾E号的时候，就会记录我路由到了E，然后呢？你在3389上的操作，仅仅只会留在对方的服务器上，而你只是看到传输回来的图象。并且是经过高强度加密，我试过根本无法被识别，依照现在的技术，是根本无法还原你到底进行了什么操作。并且这是绝对不可能的事情。因为终端连接的协议是非常严谨的。就现在来说，是无法破解的。看完你就知道为什么了！

当我连接到E号台湾的时候，我的一切操作就是E完整的，我仅仅是得到传输回来的图形界面（也就是截图差不多的），所以一切操作就是E完成的。这个时候E路由到了D号韩国，所以E号的路由就不是我们的了，就是由台湾ISP服务商路由了~大家明白原理了吧？公安叔叔只有权利查国内电信部门的路由日志，他们可以查到一个IP路由到了国外，但是绝对不可能查到一个真正的国外计算机傀儡到底他背后是谁`为什么呢？

因为当E号台湾操作D号韩国的时候，他的一切操作就是由台湾ISP记录了。这个时候韩国D号连接国内C号的时候，才有可能被查到。为什么呢？因为前面的A、B、C都在国内，只要在国内，都有可能被追踪到！例如：

继续回到案例假设中：这个时候公安叔叔查到IP：211.1.1.1`假设他是北京A号，好的，连夜中公安叔叔赶到北京电信`通过电信的配合`查知是某 IDC托管商处的服务器，开启了这台傀儡服务器，通过分析记录日志，得到我们的B号傀儡服务器，好的，连夜赶往湖南电信`在湖南电信的配合下`查到又是一台IDC托管服务器，素闻湖南人热情好客`果然不错。在IDC的盛情款待和大力配合下和公安叔叔们奋勇拼搏、不为个人、大力牺牲的情况下。查到了我们的山东C号服务器。这个时候，劳累的公安叔叔在休息了一晚后，继续赶往山东，在当地电信的配合下。查到这个IP又是属于某IDC机房的。于是在分析完日志后。

我们的公安叔叔知道`曾经在吻合的时间和背景下连接到这台C号的IP是：203.1.1.1`而这个IP来自韩国，怎么办？

其实公安这样要求国内ISP服务商配合调查，开启路由提供日志的几率是很低的。如果要跨国办案，只有一个可能。就是前往韩国`好的，既然是假设，我们就要假设完。在拿到去韩国的机票后，公安叔叔来到了韩国，在当地警方的大力配合和盛情款待后。通过万分之一的机会查到了这台可能已经被我不负任何责任格式掉的服务器IP 地址所在机房。在万分之一的几率下，又通过韩ISP的配合，居然查到还没被删除的路由日志。于是查到路由到这台韩D号的IP来自台湾22.1.1.1、八耻八荣的号召下，公安叔叔奋力拼搏，拿到了去台湾的机票，终于终于获得了台湾警方的配合。在异国，同胞们还是这么热情，终于在万分之一的几率下查到了这台曾经被不负责的格式掉的服务器。。。

终于，在万万分之一的几率下取得源入侵IP23.1.1.1来自中国湖北某地，于是公安叔叔杀红了眼前往湖北，终于在当地ISP的配合下。通过系统记录的拨号记录，终于查找到这位仁兄`可是公安叔叔们发现。已经过了：刑事追究期限。。。。不过这已经是有了中 500亿美金的运气了。说实话，比尔大盖子把他500亿的财产送给你的几率，都比查到源IP的几率高！

刚才是我的假设，剧情是顺利的。可是现实中，是绝对不可能的，首先：路由日志，不是谁想查就能查的。查路由会导致ISP整体网络速度下降非常高。而且不一定有几率，最关键的是这种路由日志一般都会定期删除。所以他的保存期很短。并且电信部门对一般的小地市的网监，不强势的部门都不怎么鸟。所以说，就算要找到我们的C号山东服务器都是很困难的。公安叔叔一般情况下，能查到B号的，你就该送人家：优秀人民公安锦旗了。。

再说说国外的D号和E号，当查到C的时候，也不知道是什么年代了。去查一台多次格式化，并且读写的服务器的入侵日志，无疑是。。。怎么说都不可能，除非有路由和网关日志，那东西。能在几个月后查到的几率是0，按国内公安办案速度，一般等个一年两年，才有可能去韩国。那个时候，估计人家服务器换没换。我就不知道了，这个时候能幸运的查到台湾E号，几率确实比微软老总送你 500亿美刀的几率高。，而在几年后，能在E上找到你的源IP。确实可以当联合国总统了吧？哦对了，好象没这职。

按道理说，找到你的时候，你的电脑在长时间的使用中也已经更新换代了~这个年代，两年换代，不希奇吧？劳资2005年1月配的新机花了8200，现在 2006年买不到6000配的牛 B多鸟！能把你入罪，并且还在法律追究期内的情况，确实能媲美哈雷彗星撞地球了。别的不说，只要把硬盘多读写几次、格几次。这几年后，不格不读写，硬盘也都被重复写过多次了吧？而当年入侵的时候是操作在台湾机器上的，除非有一个可能。

ISP在这几年里一直在路由器上拦截你的一切网络访问数据，并且解密开。并且就算解密开，得到的只是你连接对方服务器的数据。这种级别的享受，我想只有特级间谍才享受吧。ISP可花不起这个钱和设备来监视一个普通人几年。并且还保存几年数据，要知道，如果一个省的ISP监视一个省的上网数据，一天的数据就够装几万G了。。。不知道得用什么东西装，这是不可能的事情。更别提解密了。就算找到你，也没证据证明是谁入侵格式了163.COM的硬盘！

归根结底，只要你能够利用国外网络躲避开国内路由，根本没有可能查到你，上面的假设中的A、B、C、D、E我都是自己亲身使用过的。并非胡乱吹嘘。这里我来说下，我一般检测站点服务器的隐藏自己的具体方式`

首先准备肉鸡3-5台`2台国外肉鸡`两台国内，国外肉鸡最低两台。这样才能足够逃避追踪。国内肉鸡可以减少到1台。根据你找到的肉鸡网速决定。要求肉鸡的网络延迟非常高`国外地区的肉鸡`网络延迟要求你本机连接上的PING值不高于130。国内肉鸡不高于70的延迟。这样才能很好的使用肉鸡。方式是使用 WINDOWS自带的3389远程连接，在肉鸡里再连接肉鸡，这样反复套袜子式的连接。

我一般是使用5台`3台国内肉鸡，2台国外肉鸡。我采用的连接方式是，完全暴露的国内A号`B号国内，C号国外`D号国内。E号国内，F号本机。我连接E 号，然后连接D、C、B、A。注意`E号建议是采用开代理的方式连接。比如把E号开启SOCKS5代理服务方式，然后你在本机连接IP127.0.1，就可以成功连接E号。这样我在E号留的WINDOWS日志记录IP`全部就变成了127.0.1。这样就无法证明我曾经干了什么。即便于当检查我的计算机的时候，也只能看到我连接了127.0.1。而路由只能证明我访问了、和对方服务器建立了连接。

以上隐藏方式，为亲身使用过。并非胡乱猜想。如果你这样都能被逮，只能说你是神人也！天神下凡。。。。

注意：这篇文章仅做纯技术研讨学习。请不要尝试越过法律！请各位尝试入侵的网友记住！当你在没有任何防护的情况下进行hacking，你时时刻刻都面临着危险。你是否落入那张“网”，就看别人是否要你进“网”。犹如案板上的→“鱼

---