小白问题，被黑客攻击了1次。

问题分析 ：本人认为 ：基本上是可以认定被骇客利用木马程序等方法进行了远程控制 ，大名鼎鼎臭名远扬的国产木马 “ 冰河 ”就是一个远程访问型特洛伊木马 ，虽然其制作方法本人感到有些不屑一顾 ，但是 ，其经过制作人将生成的文件的名称进行隐蔽修改后 ，就会变得较为复杂了 。另外 ，因为每个骇客制作的木马程序其选择的入侵方法不同 ，其用以伪装的手段和文件名 ，加载项或程序等等可谓五花八门各有千秋 ，其隐蔽性很强 。一个完整的木马需要由软件部分 ，硬件部分以及连接部分组成的 ，譬如说 ：要实行远程控制他人计算机 ，其就必须要由软件程序的支持的 ， 该软件程序其主要有如下三个方面组成 ：【1】控制端程序 － 用于远程控制服务端的程序 。【2】木马程序 －就是潜入到服务端内部获取操作权力的程序 。【3】木马的配置程序－设置木马程序的端口号 ，触发条件 ，名称等 ，为其在服务端隐藏的更隐蔽的一种程序 。 一般来说 ： 判断自己的电脑是否被中了木马 ，通常有如下几种表现的 ： 【a】硬盘的读写不正常 －简单的说 ：就是说用户在没有读写硬盘的情况下 ，硬盘灯却出现硬盘正在读写【 就是硬盘灯光在不停的闪烁的意思】可惜的是现在很多人其根本就不去注意该特点 。【b】网络连接出现异常 ：就是说在用户没有使用网络资源时 ，网卡灯光却在不停的闪烁 ，因为 ，一般情况下 ，用户没有使用网络资源时候 ，网卡灯光是比较缓慢的闪烁 ，其倘若出现了不停的闪烁且十分的活跃 ，那就十足的证明了有软件在用户不知情的情况下连接了网络 ，一般情况下 ，这些软件即为 “ 木马程序 ”了 。 还有一些譬如 ：“ 网络游戏登录异常 －用户突然失去了对计算机的控制权－聊天工具登录异常 －用户在准备使用摄像头时却出现“ 该设备正在使用 ”的系统提示等 。但是有一点我这里必须强调说明 ： “ 与病毒一样 ，木马也不是无缘由就突然出现在我们的计算机里 ”，一般来说 ：a ] 你浏览了带有木马的网站导致 ，现在很多网站其本就是被骇客挂了木马等待着你来感染的 。b ] 通过聊天工具等接收了带有木马的文件导致的 ，而这种文件就是骇客们通过软件捆绑木马的程序制作的 。还有较多原因这里就不能一一列举了 。最后 ，防范骇客们攻击的最佳方法就是 ： 查看系统进程项 ，而通过简单而脆弱的 “ 任务管理器 ” 根本就无法实现与监控以及系统相对应的程序的地址 ，但是 ，你可以下载一种微软麾下的软件 ，“ Process Explorer ”软件 ，其是由 美国 Sysinternals 公司开发的一种高级应用程序监视工具 ，重要的是他可以让我们了解看不到的计算机后台执行的处理程序 ，并能够显示出当前计算机已经加载了哪一些模块以及这些分别被哪一些程序所使用 ，更能显示出这些程序所调用的DLL 【动态链接库】等 。其最佳的表现就是用户通过对其的操作 ，可以完全的终止计算机中任何进程 ，直至包括系统的重要关键进程项与显示被执行的影像文件的完整路径等 。最后 ，准确的查找木马是一件很棘手的事情 ，解决木马问题是一个永远都没有一个针对性的好方法的 ，因为 ： “ 先有病毒木马－ 后有杀毒软件 ” ，说一句实在话 ： 世界上任何杀毒软件就是一个被病毒木马永远牵着鼻子走的一头牛而已 ，其远远地走在任何杀毒软件的前面 。我就是依靠手工打上几十万字也无法将其精确的说出藏身之地 ，单凭它在启动项加载 － 在 Win,ini 中加载并改变了自己木马文件名 －在SYStem.ini 中加载 ，在 bat 中加载以及更多的加载项中修改与隐藏自身文件名等等 。面对庞大的 Windows 系统就会令人为其查找而发疯的 ，此 ，你无法进行准确的查找 。最佳建议 ： 就是日常做好防范措施 ，最佳处理方法还是格式化全盘重装系统了 。水平有限 ，不对之处还望指正啦 。就说这些吧 ！ 好了， 再见 ！ 补充 ：计算机端口大致有 2 种 ，一种是 “ ADSL Modem － 集线器 － 交换机 －路由器等等用于连接其它网络设备的接口 ” 。逻辑端口 ： 通常指的是 “ TCP / IP ” 端口 ，在一般情况下 ，计算机最多有 “ 65535 ”个端口 ，而我们在实际使用中的端口也就有十几个 ，此 ，可以看出未定义的端口如此之多 ，而黑客在入侵我们计算机之前 ，其通常会用扫描器对目标主机端口进行扫描 ，以明确哪些端口是开放的 ，并从开放的端口即可知道其目标主机大约使用了哪些服务 ，直至利用技术手段对计算机进行控制的 。端口一共有三大类别 ，也就是“公认端口 －注册端口 －动态和、或私有端口 ” 这三大端口了 ，这里 ，我简单举一个例子 ：远程登录使用的是 23 号端口 ， FTP [ 文件传输协议 ] 是21号端口等 。腾讯的 QQ 客户端使用的是 8000 端口等 。每一项端口大致与系统服务项相对应 ，在系统默认情况下 ，大多数无用或很少用的端口都是开启的，但是 ，我们也不能将所有服务项都进行彻底关闭 ，因为这样我们的计算机也就无法工作了 。我可以这样说 ： 即使你停用了135 相对应端口的服务项 ，但是 ，上面我已经说过的 ：计算机达到 65535个端口 ，这也是通常我们在使用计算机时候出现了被杀软截获的端口被扫描的提示情况了 。 如果我们认为自己可以能够关闭某某端口或服务来防护以后能有效的不再被染毒与木马等 ，那么 ，全世界杀软开发商即可停业了 。

如何入侵指定网站！

首先，观察指定网站。

入侵指定网站是需要条件的：

要先观察这个网站是动态还是静态的。

如果是静态的（.htm或html）,一般是不会成功的。

如果要入侵的目标网站是动态的，就可以利用动态网站的漏洞进行入侵。

Quote:以下是入侵网站常用方法：

1.上传漏洞如果看到:选择你要上传的文件 [重新上传]或者出现“请登陆后使用”，80%就有漏洞了！

有时上传不一定会成功,这是因为Cookies不一样.我们就要用WSockExpert取得Cookies.再用DOMAIN上传.

2.注入漏洞字符过滤不严造成的

3.暴库:把二级目录中间的/换成%5c

4.’or’=’or’这是一个可以连接SQL的语名句.可以直接进入后台。我收集了一下。类似的还有：

’or’’=’ " or "a"="a ’) or (’a’=’a ") or ("a"="a or 1=1-- ’ or ’a’=’a

5.社会工程学。这个我们都知道吧。就是猜解。

6.写入ASP格式数据库。就是一句话木马〈%execute request("value")%〉 （数据库必需得是ASP或ASA的后缀）

比如：默认数据库，默认后台地址，默认管理员帐号密码等

8.默认数据库/webshell路径利用:这样的网站很多/利人别人的WEBSHELL.

/Databackup/dvbbs7.MDB

/bbs/Databackup/dvbbs7.MDB

/bbs/Data/dvbbs7.MDB

/data/dvbbs7.mdb

/bbs/diy.asp/diy.asp/bbs/cmd.asp

/bbs/cmd.exe

/bbs/s-u.exe

工具：网站猎手 挖掘鸡 明小子

学习入侵网站需要什么基本知识?

我的空间 主页|模块平台博客|写新文章相册|上传照片好友|找新朋友档案|留言板jonyoo 0 | 我的消息(0/2) | 我的空间 | 百度首页 | 百度空间 | 退出 思想之路人不停的长大,路不停的伸向远方,借百度之空间记录我思想的历程,不管思想怎样,这里所记录的都是真实自我的反映.我爱这片园地,因为他是一面镜子,照我前行! 主页博客相册|个人档案 |好友 查看文章

学习网站入侵基本知识(转)2007-06-07 15:20首先介绍下什么样的站点可以入侵：必须是动态的网站，比如asp、php、jsp 这种形式的站点。后缀为.htm的站点劝大家还是不要入侵了吧(入侵几率几乎为0)。

入侵介绍: 1 上传漏洞；2 暴库；3 注入；4 旁注；5 COOKIE诈骗。

1 上传漏洞，这个漏洞在DVBBS6.0时代被黑客们利用的最为猖獗，利用上传漏洞可以直接得到WEBSHELL，危害等级超级高，现在的入侵中上传漏洞也是常见的漏洞。

怎样利用：在网站的地址栏中网址后加上/upfile.asp如果显示 上传格式不正确[重新上传] 这样的字样8成就是有长传漏洞了找个可以上传的工具直接可以得到WEBSHELL。

工具介绍：上传工具，老兵的上传工具、DOMAIN3.5，这两个软件都可以达到上传的目的，用NC也可以提交。

WEBSHELL是什么：WEBSHELL在上节课简单的介绍了下，许多人都不理解，这里就详细讲下，其实WEBSHELL并不什么深奥的东西，是个WEB的权限，可以管理WEB，修改主页内容等权限，但是并没有什么特别高的权限，(这个看管理员的设置了)一般修改别人主页大多都需要这个权限，接触过WEB木马的朋友可能知道(比如老兵的站长助手就是WEB木马 海阳2006也是 WEB木马)我们上传漏洞最终传的就是这个东西，有时碰到权限设置不好的服务器可以通过WEBSHELL得到最高权限。

2 暴库：这个漏洞现在很少见了，但是还有许多站点有这个漏洞可以利用，暴库就是提交字符得到数据库文件，得到了数据库文件我们就直接有了站点的前台或者后台的权限了。

暴库方法：比如一个站的地址为 http://www.xxx.com/dispbbs.asp?boardID=7ID=161，我门就可以把com/dispbbs中间的/换成%5c，如果有漏洞直接得到数据库的绝对路径，用寻雷什么的下载下来就可以了。还有种方法就是利用默认的数据库路径http://www.xxx.com/后面加上conn.asp。如果没有修改默认的数据库路径也可以得到数据库的路径(注意：这里的/也要换成%5c)。

为什么换成%5c：因为在ASCII码里/等于%5c，有时碰到数据库名字为/#abc.mdb的为什么下不了? 这里需要把#号换成%23就可以下载了，为什么我暴出的数据库文件是以。ASP结尾的?我该怎么办?这里可以在下载时把.ASP换成.MDB 这样就可以下载了如果还下载不了可能作了防下载。

3 注入漏洞：这个漏洞是现在应用最广泛，杀伤力也很大的漏洞，可以说微软的官方网站也存在着注入漏洞。注入漏洞是因为字符过滤不严禁所造成的，可以得到管理员的帐号密码等相关资料。

怎样利用：我先介绍下怎样找漏洞比如这个网址 http://www.xxx.com/dispbbs.asp?boardID=7ID=161 后面是以ID=数字形式结尾的站我们可以手动在后面加上个 and 1=1 看看 如果显示正常页面再加上个and 1=2 来看看 如果返回正常页面说明没有漏洞 如果返回错误页面说明存在注入漏洞。如果加and 1=1 返回错误页面说明也没有漏洞，知道了站点有没有漏洞我门就可以利用了 可以手工来猜解也可以用工具现在工具比较多(NBSI NDSI 啊D DOMAIN等)都可以用来猜解帐号密码，因为是菜鸟接触，我还是建议大家用工具，手工比较烦琐。

4 旁注：我们入侵某站时可能这个站坚固的无懈可击，我们可以找下和这个站同一服务器的站点，然后在利用这个站点用提权，嗅探等方法来入侵我们要入侵的站点。打个形象的比喻，比如你和我一个楼，我家很安全，而你家呢，却漏洞百出，现在有个贼想入侵我家，他对我家做了监视(也就是扫描)发现没有什么可以利用的东西，那么这个贼发现你家和我家一个楼，你家很容易就进去了，他可以先进入你家，然后通过你家得到整个楼的钥匙(系统权限)，这样就自然得到我的钥匙了，就可以进入我的家(网站)。

工具介绍：还是名小子的DOMIAN3.5不错的东西，可以检测注入，可以旁注，还可以上传!

5 COOKIE诈骗：许多人不知道什么是COOKIE，COOKIE是你上网时由网站所为你发送的值记录了你的一些资料，比如IP，姓名什么的。

怎样诈骗呢？如果我们现在已经知道了XX站管理员的站号和MD5密码了，但是破解不出来密码(MD5是加密后的一个16位的密码)我们就可以用COOKIE诈骗来实现，把自己的ID修改成管理员的，MD5密码也修改成他的，有工具可以修改COOKIE 这样就答到了COOKIE诈骗的目的，系统以为你就是管理员了。

今天的介绍就到这里了，比较基础，都是概念性的东西，所有的都是我的个人理解，如有不正确的地方希望大家指出(个人认为就是，为什么换成%5c，这里有点问题)。

入侵网站有多少种方法？

目前常用的网站入侵方法有五种：上传漏洞、暴库、注入、旁注、COOKIE诈骗。

1、上传漏洞：利用上传漏洞可以直接得到Web shell，危害等级超级高，现在的入侵中上传漏洞也是常见的漏洞。

2、暴库：暴库就是提交字符得到数据库文件，得到了数据库文件我们就直接有了站点的前台或者后台的权限。

3.注入漏洞：这个漏洞是现在应用最广泛，杀伤力也很大的漏洞，可以说微软的官方网站也存在着注入漏洞;注入漏洞是因为字符过滤不严谨所造成的，可以得到管理员的账号密码等相关资料。

4、旁注：找到和这个站同一服务器的站点，然后在利用这个站点进行提权，嗅探等方法来入侵我们要入侵的站点。

5、COOKIE诈骗：COOKIE是上网时由网站所为你发送的值记录了你的一些资料，比如说：IP、姓名等。

如何入侵别人的网站

1.看他是什么的站点了，如果是Html的，那估计悬了，基本上纯静态的网站被黑的可能性很小。

2.如果是动态的，你可以试试“啊D注入工具”，如果可以找到注入点，那么注入就成功了一多半。

3.再不行，你可以运用“社会工程学”来入侵啊。你既然是他朋友，多留心下他习惯的用户名和密码，用这个尝试连接他的服务器（远程或FTP）。

常用的就这几种方法了...如果都不行，说明你道行太浅...多学点东东吧

回复楼主：

如果有BBS也是一个很好的注入点，看看他用的是什么的？如果是动网的...呵呵~~网上动网的漏洞工具多如牛毛。你可以尝试下。

还有就是看看论坛有没有开放上传，对上传文件的限制是什么，，对用户发布信息，有没有script语句过滤，这些都是思路。

其实关键就是认真分析学习的过程，最后祝你成功！

再次回复楼主：

我感觉我给你的都是有效果的建议。因为没有什么方法是入侵网站的万能方法，好的方法是针对网站而言的。你没有提供网站结构，没有网址，我能提供你的只有思路。（最后回复！）