服务器渗透-PPT课件.ppt

《服务器渗透-PPT课件.ppt》由会员分享，可在线阅读，更多相关《服务器渗透-PPT课件.ppt（149页珍藏版）》请在咨信网上搜索。

保密资料，禁止扩散 Haoyongqing 版权所有服务器渗透保密资料，禁止扩散 Haoyongqing 版权所有信息收集网站常见弱点网络硬件入侵WINDOWS提权内网渗透清理日志及做跳板WEBSHELL查杀主要内容保密资料，禁止扩散 Haoyongqing 版权所有信息收集保密资料，禁止扩散 Haoyongqing 版权所有1.服务器信息2.域名信息3.网站信息保密资料，禁止扩散 Haoyongqing 版权所有使用ping命令知道目标服务器的ip地址。访问http:/查询目标ip。保密资料，禁止扩散 Haoyongqing 版权所有Ping -61.152.171.171保密资料，禁止扩散 Haoyongqing 版权所有保密资料，禁止扩散 Haoyongqing 版权所有保密资料，禁止扩散 Haoyongqing 版权所有域名信息查询通过访问http:/1.查询域名注册人2.查询域名注册时间3.查询域名注册电话4.查询域名注册E-mail保密资料，禁止扩散 Haoyongqing 版权所有保密资料，禁止扩散 Haoyongqing 版权所有判断操作系统方法一:用大小写转换:http:/ Haoyongqing 版权所有保密资料，禁止扩散 Haoyongqing 版权所有方法二 访问一个不存在页面看返回的错误信息http:/ FoundThe requested URL/asd was not found on this server.-Apache/2.0.55(Unix)Server at Port 8 保密资料，禁止扩散 Haoyongqing 版权所有方法三:显示BANNER前面的两个方法都是404出错页面,只能用在默认服务器上.用nc 80 然后随便输入任何也可以提到相关提示保密资料，禁止扩散 Haoyongqing 版权所有保密资料，禁止扩散 Haoyongqing 版权所有保密资料，禁止扩散 Haoyongqing 版权所有21（ftp），22（ssh），23（telnet），25（smtp），80（http），110（pop3），3389（只能用STSC连接）保密资料，禁止扩散 Haoyongqing 版权所有扫描器保密资料，禁止扩散 Haoyongqing 版权所有世界级优秀扫描器nmap最早为*NIX，后来移植到WINDOWS平台上。Zenmap为GUI保密资料，禁止扩散 Haoyongqing 版权所有保密资料，禁止扩散 Haoyongqing 版权所有保密资料，禁止扩散 Haoyongqing 版权所有命令行的功能更强Nmap sS；采用syn扫描，这种扫描通过发送一个SYN包（是TCP协议中的第一个包）开始一次SYN的扫描。任何开放的端口都将有一个SYN|ACK响应。然而，攻击者发送一个RST替代ACK，连接中止。三次握手得不到实现，也就很少有站点能记录这样的探测。假如是关闭的端口，对最初的SYN信号的响应也会是RST，让nmap知道该端口不在监听。这种扫描的优点是不建立TCP连接，不会在服务器日志里留下记录，而且速度快。保密资料，禁止扩散 Haoyongqing 版权所有Nmap sT:要用建立TCP连接的扫描方式，就使用-sT选项，虽然这样会在防火墙日志里留下记录而且较慢，但是比较可靠。因为某些防火墙能检测SYN扫描，这时我们用SYN方式就什么也扫不出来了。保密资料，禁止扩散 Haoyongqing 版权所有Nmap sU:发送空的UDP报头到每个目标端口来探测UDP协议的端口。保密资料，禁止扩散 Haoyongqing 版权所有nmap-P0-O-sS 192.168.157.1，-P0的意思就是说不先ping直接扫描，-O就是探测对方系统版本保密资料，禁止扩散 Haoyongqing 版权所有要扫描所有端口，就执行：nmap-sS 192.168.157.1-p 1-65535 保密资料，禁止扩散 Haoyongqing 版权所有国内XSCAN保密资料，禁止扩散 Haoyongqing 版权所有保密资料，禁止扩散 Haoyongqing 版权所有DNS反向查询http:/，http:/ Nslookup 保密资料，禁止扩散 Haoyongqing 版权所有保密资料，禁止扩散 Haoyongqing 版权所有整站程序源码的判断如果能拿到网站的源码，那就能进行有针对性的入侵了，网站的默认后台口令、后台地址、上传页面等等都是宝贵的信息，甚至你还可以找找源码里的漏洞或是搜索一下该整站程序之前出过什么漏洞。根据我的经验，一些中小型网站如果看上去界面设计的十分华丽、功能也很强大，那十有八九是现成的整站程序，因为它们不具备自己开发的能力。保密资料，禁止扩散 Haoyongqing 版权所有保密资料，禁止扩散 Haoyongqing 版权所有判断整站程序工具：http:/ 了结网需要找一个生僻的文件名：如imglist.aspx保密资料，禁止扩散 Haoyongqing 版权所有网站常见弱点保密资料，禁止扩散 Haoyongqing 版权所有注入点某些网站是采用post方式对脚本提交参数的，所以我们在IE地址栏中看不到参数，只有一个脚本文件的地址，如果你发现某个网站上的很多新闻链接，在被点击之后跳转到了同一个脚本文件，而且该脚本在不加参数的情况下显示出了不同新闻，那就说明是这种情况。这种方法并不能隐藏注入点，如果你熟悉html语言的话，可以在网页源文件里找到提交给脚本的参数，或者你还可以用winsock expert一类的sniffer抓一下它的http数据包，看看它用post方式提交了哪几个参数。知道了提交的参数，你就可以在IE地址栏里填写完整的URL，用get方式提交试试，一般是和post现实的结果一样的，如果该脚本不接受get方式提交的参数，那你也可以用minibrowser一类的工具采用post方式提交参数，其实很多注入工具都可以设置成post方式，不过他们当初这样设计的初衷是想避免在日志中留下痕迹。解决了参数的问题，之后的注入方法与普通的注入无异 保密资料，禁止扩散 Haoyongqing 版权所有还有一些网站，在点击链接之后会跳出较小的IE窗口，比如一些通知、投票结果的查看等等。这些小窗口是没有地址栏的，无法直接看到它的网址，遇到这种情况只需按F11就能实现窗口变大，地址栏也就显示出来了，再按一下F11又恢复成之前的大小 保密资料，禁止扩散 Haoyongqing 版权所有可能很多新手有个误区，认为只有最后一个参数才能注入，实际上任何一个参数都可能注入。比如： and 1=1&y=abc&z= and 1=2&y=abc&z=p保密资料，禁止扩散 Haoyongqing 版权所有传统注入工具的使用明小子注入工具3.5啊d注入工具穿山甲注入工具管中窥豹注入工具保密资料，禁止扩散 Haoyongqing 版权所有明小子3.5保密资料，禁止扩散 Haoyongqing 版权所有啊D注入工具保密资料，禁止扩散 Haoyongqing 版权所有穿山甲保密资料，禁止扩散 Haoyongqing 版权所有管中窥豹保密资料，禁止扩散 Haoyongqing 版权所有WSCANscan是国内高手cooldiyer的作品，它全面地收集了常见的敏感路径，能够扫描目标网站根目录下的敏感页面，比如：备份文件夹、后台、上传页面、数据库、常见漏洞等，语法如下：usage:wscan 保密资料，禁止扩散 Haoyongqing 版权所有保密资料，禁止扩散 Haoyongqing 版权所有保密资料，禁止扩散 Haoyongqing 版权所有Dscan保密资料，禁止扩散 Haoyongqing 版权所有保密资料，禁止扩散 Haoyongqing 版权所有google hack搜索遍历目录：DVBBS中pay_boardlimited.asp百度搜索的可能会更多一些保密资料，禁止扩散 Haoyongqing 版权所有保密资料，禁止扩散 Haoyongqing 版权所有针对动易，就可以搜索editor_tableprops.asp，这是动易根目录下的Editor目录里的一个文件，大家找到这个目录存在遍历的网站，只要将Editor目录改为database目录就能看到数据库了。另外我发现改变不同的生僻文件名，所得到的结果也不同，所以大家要自己动脑确定关键字才会有更多发现。保密资料，禁止扩散 Haoyongqing 版权所有搜索这些遍历目录的共同关键字“转到父目录”、“index of”或是“To Parent Directory”保密资料，禁止扩散 Haoyongqing 版权所有google hack也可用来查找指定网站的后台地址，当你无法用类似于wscan的工具扫描到网站后台时，不妨在google里搜索：“admin site:”、“manege site:”、“后台 site:”、“管理 site:”、“密码 site:”、“登陆 site:”、“inurl:admin site:”、“inurl:manege site:”，可能会有意外发现，因为搜索引擎机器人总能找到一些隐藏很深的页面 保密资料，禁止扩散 Haoyongqing 版权所有robots.txt放置在一个站点的根目录下的纯文本文件 网站管理者可以声明该网站中不想被搜索引擎机器人访问的部分，或者指定搜索引擎只收录指定的内容。但是这却起到了欲盖弥彰的作用，就像是此地无银三百 保密资料，禁止扩散 Haoyongqing 版权所有http:/ 保密资料，禁止扩散 Haoyongqing 版权所有直接寻找缺少验证的上传页面是个不错的主意，一旦上传成功就能直接得到webshell。你可以搜索“inurl:upload.php filetype:php”、“inurl:uploadfile.php filetype:php”、“inurl:upfile.php filetype:php”，保密资料，禁止扩散 Haoyongqing 版权所有用google hack寻找别人留下的webshell，我们要找的当然是那种无需验证、功能简陋的小马。首先我注意到了国外比较常见的webadmin.php这个phpshell，它的标题就是webadmin.php，我于是查询关键字intitle:webadmin.php filetype:php，在前几页就找到了世界各地的10几个webadmin.php保密资料，禁止扩散 Haoyongqing 版权所有保密资料，禁止扩散 Haoyongqing 版权所有国外大名鼎鼎的C99Shell，这个功能强大的phpshell没有验证，直接访问就能使用。它的常见版本在一开头都有这么一句“C99Shell v.1.0 pre-release build”，然后是某某数字，那我们就搜索关键字C99Shell v.1.0 pre-release build filetype:php，这次搜索出了更多的外国webshell，连阿拉伯的网站都有，轻轻松松就拿了很多webshell，等于让别人帮我们入侵，如图6-15。当然也有的搜索结果打开是404未找到，说明我们来晚了，webshell被管理员删了 保密资料，禁止扩散 Haoyongqing 版权所有保密资料，禁止扩散 Haoyongqing 版权所有管理员的好助手phpmyadmin，发现phpmyadmin的页面的标题栏总是包括“phpmyadmin”，而内容一般都包括一句“running on localhost as rootlocalhost”，当然它不一定都是用root连接数据库的。那我就搜索intitle:phpmyadmin intext:running on localhost as rootlocalhost，就这样，全世界没有藏好的phpmyadmin又都出现在我面前。点开这样的搜索结果最好将php脚本的参数都去掉，因为搜索引擎提供的是各个页面的phpmyadmin。保密资料，禁止扩散 Haoyongqing 版权所有国产的jsp小马，根据页面最下方的作者联系邮箱构造关键字：cqq1978G filetype:jsp 保密资料，禁止扩散 Haoyongqing 版权所有保密资料，禁止扩散 Haoyongqing 版权所有挖掘鸡保密资料，禁止扩散 Haoyongqing 版权所有保密资料，禁止扩散 Haoyongqing 版权所有可以用挖掘鸡寻找别人留下的webshell，因为一般是不会有超级链接指向webshell的，所以只有用挖掘鸡才能发现这种不可告人的网址。对于用过asp一句话木马留下的采飞扬网站小助手，它的默认文件名是help.asp，常常出现的路径，我随便想了几个：/,/up/,/upload/,/uploadfile/,/upfile/,/admin/,/manage/,/data/,/database/，我就用help.asp上的一句话作为特征字串“本文件绝对的路径”。关键词用inurl:asp就行了，搜出来的都是asp的网站。不一会就找到一个，双击搜索结果还能在右边打开它 保密资料，禁止扩散 Haoyongqing 版权所有保密资料，禁止扩散 Haoyongqing 版权所有cookie欺骗cookie是被网络服务器发送出来以存储在浏览器上的一个文件，从而下次这位访客又回到该网络服务器时，可从该浏览器读回此cookie，以供网站作出相应措施。cookie存于C:Documents and Settings你的用户名Cookies，很多网站只需你登陆一次，以后再访问就无需登陆了，这里采用的就是cookie验证。保密资料，禁止扩散 Haoyongqing 版权所有网站是认cookie不认人的，冒名顶替就有可能发生，这就叫cookie欺骗 保密资料，禁止扩散 Haoyongqing 版权所有凡人网络购物系统V8.0 看ad_chk.asp中的代码：保密资料，禁止扩散 Haoyongqing 版权所有 当admin_name、admin_pass和admin_class有一个为空时，就跳转到ad_login.asp这个登陆界面。而ad_admin.asp里有这么一句：option value=0总管理员保密资料，禁止扩散 Haoyongqing 版权所有就是说admin_class为0，就判断此用户是总管理员。满足下面3个条件就能冒充总管理员了：1.admin_class为0。2.admin_name非空。3.admin_pass非空。保密资料，禁止扩散 Haoyongqing 版权所有保密资料，禁止扩散 Haoyongqing 版权所有Cookie欺骗在XSS会有特别重要的作用保密资料，禁止扩散 Haoyongqing 版权所有后台拿WEBSHELL顾名思义，“web”的含义是显然需要服务器开放web服务，“shell”的含义是取得对服务器某种程度上操作权限。webshell常常被称为匿名用户（入侵者）通过网站端口对网站服务器的某种程度上操作的权限。由于webshell其大多是以动态脚本的形式出现，也有人称之为网站的后门工具。保密资料，禁止扩散 Haoyongqing 版权所有动网 6.0 备份数据库拿shell登陆前台上传asp木马保密资料，禁止扩散 Haoyongqing 版权所有动网 6.0 备份数据库拿shell登陆后台保密资料，禁止扩散 Haoyongqing 版权所有备份数据库保密资料，禁止扩散 Haoyongqing 版权所有数据库合并备份法利用后台备份保密资料，禁止扩散 Haoyongqing 版权所有保密资料，禁止扩散 Haoyongqing 版权所有保密资料，禁止扩散 Haoyongqing 版权所有保密资料，禁止扩散 Haoyongqing 版权所有将asp木马和数据库合并上传上传一个写入一句话木马的数据库，再进行备份保密资料，禁止扩散 Haoyongqing 版权所有将网站上的脚本文件备份为其它扩展名的文件而使其暴露源码，比如关键的conn.asp保密资料，禁止扩散 Haoyongqing 版权所有上传漏洞后台直接允许上传,不限制扩展名检测上传扩展名,一般用JAVASCRIPT等脚本在浏览器端检测代码,可以在INTERNET的安全选项中禁用这些脚本的执行即可或将上传页面另存为HTM文件,去掉其中的检测代码,修改正确的提交地址也可.保密资料，禁止扩散 Haoyongqing 版权所有NULL BYTE服务器端检测也不一定就安全，因为有可能存在null byte上传漏洞 所谓null byte就是十六进制的0 x00，它在windows里是一个字符串结尾的标识，与此相对，asp脚本是允许文件名里出现0 x00的，那么如果我上传muma.asp0 x00.jpg呢，asp会当作它是一个jpg文件而允许上传，而当它被传到目录里的时候，windows以为文件名在0 x00那里就结束了，所以文件名就成了muma.asp，上传漏洞就形成了 保密资料，禁止扩散 Haoyongqing 版权所有保密资料，禁止扩散 Haoyongqing 版权所有网络硬件入侵保密资料，禁止扩散 Haoyongqing 版权所有扫描路由器的弱口令ADSL密码终结者保密资料，禁止扩散 Haoyongqing 版权所有保密资料，禁止扩散 Haoyongqing 版权所有保密资料，禁止扩散 Haoyongqing 版权所有IP地址和口令都在上面显示，赶紧登陆web管理去看看，可以看到很多配置信息。有些人上网是用路由器拨号的，所以拨号帐户会保存在路由器里，密码框那里会将密码显示为点，不要紧，打开网页源文件看看，密码就藏在那里面，如图6-28保密资料，禁止扩散 Haoyongqing 版权所有保密资料，禁止扩散 Haoyongqing 版权所有telnet保密资料，禁止扩散 Haoyongqing 版权所有ftp保密资料，禁止扩散 Haoyongqing 版权所有windows提权 保密资料，禁止扩散 Haoyongqing 版权所有拿到WEBSHELL后提权NET START 看PROGRAME FIKESNETSTAT ANO主要是依靠第三方软件提权保密资料，禁止扩散 Haoyongqing 版权所有server-u提权利用工具,但好多不能免杀http:/ 利用SU.EXE 来执行命令如:su “net user hyq/add”保密资料，禁止扩散 Haoyongqing 版权所有server-u在版本6之后提供了修改本地管理密码功能，允许管理员修改默认口令#l$ak#.lk;0P 修改之后的口令可能会被存储在ServUDaemon.exe serv-u提权综合工具 可以直接读出保密资料，禁止扩散 Haoyongqing 版权所有利用winhex防止提权保密资料，禁止扩散 Haoyongqing 版权所有修改后的口令是以密文的形式存在ServUDaemon.ini里的LocalSetupPassword 保密资料，禁止扩散 Haoyongqing 版权所有避免提权只要建立对server-u设置访问管理密码，就能彻底解决提权问题保密资料，禁止扩散 Haoyongqing 版权所有保密资料，禁止扩散 Haoyongqing 版权所有pcanywhere提权默认端口:5631pcanywhere的密码存放在“C:Documents and SettingsAll UsersApplication DataSymantecpcAnywhereHosts”中的cif文件里。而webshell是有权限访问这个文件夹的，先将其下载 保密资料，禁止扩散 Haoyongqing 版权所有保密资料，禁止扩散 Haoyongqing 版权所有用在线工具解密http:/ 保密资料，禁止扩散 Haoyongqing 版权所有保密资料，禁止扩散 Haoyongqing 版权所有只对12版本以前有效webshell对“C:Documents and SettingsAll UsersApplication DataSymantecpcAnywhereHosts”是有写权限的，所以就可以先在本地装好pcanywhere，再建立一个帐户，找到本地的“C:Documents and SettingsAll UsersApplication DataSymantecpcAnywhereHosts”文件夹，将这个新建帐户对应的cif文件上传到服务器的“C:Documents and SettingsAll UsersApplication DataSymantecpcAnywhereHosts”文件夹，这样就等于给服务器增加一个了新帐户，我们同样能用这个帐户登陆到服务器上。保密资料，禁止扩散 Haoyongqing 版权所有radmin提权radmin是一款很流行的远程控制工具，非常受大家欢迎，它是以屏幕传输速度快而著称的，默认端口是4899 保密资料，禁止扩散 Haoyongqing 版权所有加密后的哈希值放在:HKLMSYSTEMRAdminv2.0ServerParametersParamete 修改客户端:去掉输入的密码加密的步骤,直接用哈希值登录保密资料，禁止扩散 Haoyongqing 版权所有也可以用海阳顶端来读:保密资料，禁止扩散 Haoyongqing 版权所有可以执行regedit命令得到注册表的内容，用webshell执行：regedit/e C:Inetpubwwwroot1.reg HKEY_LOCAL_MACHINESYSTEMRAdminv2.0ServerParameters 保密资料，禁止扩散 Haoyongqing 版权所有For win2003reg export HKEY_LOCAL_MACHINESYSTEMRAdminv2.0ServerParameters C:Inetpubwwwroot1.reg保密资料，禁止扩散 Haoyongqing 版权所有保密资料，禁止扩散 Haoyongqing 版权所有sql server提权找到CONN.ASP从中得到SA密码用工具远程连接1433端口xp_cmdshell存储扩展 利用此相关提权命令保密资料，禁止扩散 Haoyongqing 版权所有本地溢出很少而且会蓝屏net user 111/add&net localgroup administrators 111/add 保密资料，禁止扩散 Haoyongqing 版权所有替换系统服务本提权漏洞存在于Panda Antivirus 2008中，在默认安装下，C:Program FilesPanda SecurityPanda Antivirus 2008这个目录被设为everyone可以完全控制，也就是说无论哪个帐户都能修改其中的文件。这个目录里的PAVSRV51.exe是被服务启动的，我们只要用webshell将其重命名为PAVSRV51.bak或其它名字，再将能加管理员帐户的程序存为此目录下的PAVSRV51.exe，当服务器重启的时候就成功提权了 保密资料，禁止扩散 Haoyongqing 版权所有FTP客户端密码文件的解密cuteFTP、leapFTP和flashFXP ftp客户端都提供了记忆IP、用户名和密码的功能 用webshell将这些文件下载下来，并在本地也安装同样ftp客户端，用服务器上的配置文件覆盖本地的配置文件 保密资料，禁止扩散 Haoyongqing 版权所有uteFTP的配置文件位于“C:Documents and SettingsAll UsersApplication DataGlobalSCAPECuteFTP Prox.0sm.dat 保密资料，禁止扩散 Haoyongqing 版权所有保密资料，禁止扩散 Haoyongqing 版权所有leapFTP的配置文件就是leapFTP安装目录下的SITES.INI user=后的就是用户名，pass=后的乱码就是密码的密文 保密资料，禁止扩散 Haoyongqing 版权所有保密资料，禁止扩散 Haoyongqing 版权所有flashFXP的配置文件就是其安装目录下的stats.dat,quick.dat保密资料，禁止扩散 Haoyongqing 版权所有远程桌面的开启Terminal Services 启动保密资料，禁止扩散 Haoyongqing 版权所有win2000echo Windows Registry Editor Version 5.00 3389.reg echo HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionnetcache 3389.reg echo Enabled=0 3389.reg echo HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon 3389.reg echo ShutdownWithoutLogon=0 3389.reg echo HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsInstaller 3389.reg echo EnableAdminTSRemote=dword:00000001 3389.reg echo HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal Server 3389.reg echo TSEnabled=dword:00000001 3389.reg echo HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTermDD 3389.reg echo Start=dword:00000002 3389.reg echo HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTermService 3389.reg echo Start=dword:00000002 3389.reg echo HKEY_USERS.DEFAULTKeyboard LayoutToggle 3389.reg echo Hotkey=1 3389.reg echo HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp 3389.reg echo PortNumber=dword:00000D3D 3389.reg echo HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp 3389.reg echo PortNumber=dword:00000D3D 3389.reg保密资料，禁止扩散 Haoyongqing 版权所有win2003echo Windows Registry Editor Version 5.003389.regecho HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal Server3389.regecho fDenyTSConnections=dword:000000003389.regecho HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp3389.regecho PortNumber=dword:00000d3d3389.regecho HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp3389.regecho PortNumber=dword:00000d3d3389.reg保密资料，禁止扩散 Haoyongqing 版权所有内网渗透利用TCP/IP协议弱点 社会工程学保密资料，禁止扩散 Haoyongqing 版权所有用cain进行arp sniff保密资料，禁止扩散 Haoyongqing 版权所有保密资料，禁止扩散 Haoyongqing 版权所有保密资料，禁止扩散 Haoyongqing 版权所有保密资料，禁止扩散 Haoyongqing 版权所有保密资料，禁止扩散 Haoyongqing 版权所有保密资料，禁止扩散 Haoyongqing 版权所有保密资料，禁止扩散 Haoyongqing 版权所有保密资料，禁止扩散 Haoyongqing 版权所有DNS欺骗所谓DNS欺骗，就是通过种种手段使DNS服务器返回攻击者指定的IP而不是查询域名所对应的IP 保密资料，禁止扩散 Haoyongqing 版权所有利用CAIN保密资料，禁止扩散 Haoyongqing 版权所有远程溢出webdav溢出、rpc远程溢出、BIND远程溢出.ms0867溢出在网吧也会有,因为有还原卡保密资料，禁止扩散 Haoyongqing 版权所有保密资料，禁止扩散 Haoyongqing 版权所有清理日志及制作跳板 保密资料，禁止扩散 Haoyongqing 版权所有主要是清除证据在追中需要了黑客的攻击的IP,时间等信息保密资料，禁止扩散 Haoyongqing 版权所有删除日志的工具logkiller 把本机的所有日志都删除，包括应用程序日志、安全日志和系统日志。IIS的FTP服务日志、SMTP服务日志和HTTP服务日志，以及计划任务日志等 保密资料，禁止扩散 Haoyongqing 版权所有保密资料，禁止扩散 Haoyongqing 版权所有制作跳板所谓跳板就是攻击者和受害者之间的代理，它可以帮助攻击者隐藏自己的IP，受害者上的日志只会显示出跳板的IP，而真正的幕后黑手则无从查起 保密资料，禁止扩散 Haoyongqing 版权所有Skserver ccproxy保密资料，禁止扩散 Haoyongqing 版权所有保密资料，禁止扩散 Haoyongqing 版权所有 webshell的查杀 保密资料，禁止扩散 Haoyongqing 版权所有雷客图ASP站长安全助手 保密资料，禁止扩散 Haoyongqing 版权所有计算哈希值保密资料，禁止扩散 Haoyongqing 版权所有Q&A