黑客反跟踪
据我所知,很多人学习黑客技术都是从如何进入他人系统开始的,到处收集各种exploits、后门、木马等。但是,我最早学习的却不是这些,而是这次我要讲的:黑客自我保护技术。因为,当时(现在我仍然这样认为)我觉得就算你的黑客技术再厉害,能攻入这样那样的系统,但当警察给你带上手铐的时候,这一切恐怕一点意义都没有了吧!所以,我认为一个没有绝对自保能力的黑客,根本不能算是黑客。不要用什么我不去非法入侵他人系统,不触犯法律等满口的仁义道德去辩解什么!因为,如果你想在黑客技术上得到提升,就必须不断的入侵。这种灵活复杂的实战经验是模拟攻击环境所不能给予的。也不要认为自己技术高超,不会被警察或者安全人员抓到,比你技术高的人多得是,还不是照样进了牢房!当你hack一个饱受入侵之苦而开始对系统安全敏感了的站点时,很可能这就是你的最后一次hack了。
内容:
1.谨慎
自我约束。小心谨慎到什么时候都不会有害处。在入侵一个系统之前,请准确评估你将可能遇到的风险,准备和编写好将要用到的tools,然后,要等待恰当的时机。如果可能的话,先调查好什么时间段服务器处于无人职守状态。做不到这些,你将永远成不了真正的hacker。
有些朋友可能不理解,会认为我太胆小。当然,平时我们入侵的那些小站可能不会给我们带来太大的祸端,但如果你的入侵与金钱和权威挂了钩就完全不一样了。这时,如果你不做好最坏的打算,任何一点小的差错都可能把你击倒。其实,就算你入侵的是个小站,也是存在风险的,要知道,我们正在给别人的工作或生活带来麻烦甚至是恶梦。他们很想阻止你,甚至想把你送入地狱!尽管你可能不认为这是犯罪,但事实是这就是犯罪!
要记住,一旦你被牵扯到一个入侵案件中时,你会发现你的hacker污名可能会跟随你相当长的时间,几年,甚至是一生。任何一个有案底的人都很难找到一份好工作!除非你自己做老板!^_^
当你理解了以上的风险后,请不要认为做额外的反追踪工作而感到愚蠢,不要为别人嘲笑你太谨慎而烦心.不要因为太懒或侥幸而放弃修改log文件!作为一名真正的黑客,你必须做好每一件你要做的事情!
当你认为我说的不是废话而是真理,并且切实的执行了,那么你已经是一个谨慎的hacker了。当你考虑和你聊天的人是否可*,考虑你的Email、QQ、 phone没有处于监视中,那么反追踪已经成为你生活的一部分了。如果你不想这么去做,那么请想象一下你被捕时的惨状吧!女友还会跟你吗?你的父母不会流泪吗?你不会失去工作和学习吗?请让这些没有发生的机会吧!如果你到了现在还认为我在浪费你的时间或你不去这么去做,那么请离hack远点。你已经对中国的hacker社会和你的hacker朋友构成了潜在的威胁!
2.基础
如果你从不在电话、Email和QQ上谈论 hacking相关的话题,并且硬盘上没有敏感的私人数据的话,你可以不往下看了!因为每一个hacker都会与其它一些hacker保持联系,并且把一些相关数据保存在某个地方!如果你是个hacker,请看下面我给出的一点建议。
使用可*的加密程序加密所有敏感数据。
将重要私人数据加密后存储在只有你自己知道的、国外的网络硬盘或稳定的空间上(空间提供商要能做到对用户信息保密)。地址和密码请牢记在大脑里,因为只有这里最安全!(密码的健壮性要好,还要容易记忆,不会轻易被破解)。对数据做一个备份,然后放到安全的地方,最好不是家里(当然也要加密)。
不要用电话和你的hacker朋友谈论hack。如果非要谈,最好找公用电话(电话号码记录不要写在纸上,应该存为一个文件并且多次高强度加密)
如果你认为你的入侵行为很危险,应该考虑干扰方案!网络警察,其它Hacker都有可能监视你的行动。如果中国的网络警察技术好且拥有先进的设备的话,我想他们可以得到他们想要的任何东西!早就听说国外有种设备可以通过捕获计算机发射的电子脉冲在100米以外监视你的电脑屏幕,不知国内的网络警察有没有。
我们这种网虫或者说计算机狂人,很多人都有自己的主页空间帐户、学校网站登陆帐户、公司系统登陆帐户、QQ帐户、Email帐户(这里顺便说一下,最好我们每个人准备两个Email,一个用于和hack圈子里的朋友联系,另一个作为普通的日常应用)等。这里要注意,不要使用这些帐户做任何非法和可能会令他人怀疑的事情!决不能在这些帐户下存储任何和hack有关的信息和tools。和其它hacker交流的Email最好经过PGP加密,因为你的Email对Email服务器的维护者和网警来说是透明的。不要用这些帐号表明你对hack感兴趣,顶多对安全防范感兴趣就行了,再深点就不要了。
对于log文件,我想每个人都很熟悉,我也不想再多说了。提点建议,最好清除logs时不要全部清除,这样等于告诉管理员有人入侵了他的系统,清除和你有关的就行了。
除了logs,其它一些痕迹也一定要注意!比如,我在3389肉鸡上装了个扫描器,扫描完成后记得把扫描结果文件删掉,某些远程控制软件会自动记录你连接过的主机设置,如:Radmin,这也要注意。
好的肉鸡要使用稳妥、安全、隐蔽的后门,不要随便用不熟悉的木马程序。
3.高级
(1)熟练运用Sniffer,并灵活运用这些技巧,可以令我们更安全。
(2) 使用跳板。有时我们的hack活动可能会被发现,我就遇到过两次。我们正在hack的站点可能因为某些原因被关掉,这时什么都别管尽快清除痕迹离开,一般不会有什么事情。但如果他们想追踪我们的来路(原因可能是想抓住你,也可能是想看看你的跳板强壮性)就很危险了。这种情况下,如果你使用跳板入侵的话就会给他们的追踪造成困难!下面我说一下跳板的要求:
拥有管理员权限;只作跳板使用,平时不用;定期更换其它的服务器做跳板,至少一个月不在使用原来的跳板。这样他们就很难追踪到我们的痕迹了。
使用多层跳板,他们想追踪就必须一个一个的突破。
(3) 堡垒主机。什么是堡垒主机?它是你的多层跳板中直接和你正在使用的主机建立了连接的主机,也就是和你最近的一层跳板。一旦他们能追踪到你的堡垒主机,你就有麻烦了。因为,警察只要调查一下就能发现你的存在。因此,堡垒主机应该尽量稳固,并且尽量用国外主机(跳板也应该尽量用国外的)。当然,最根本的是决不能让他们追踪的你的堡垒主机。
(4)如果你入侵的服务器使用了专门的log主机,那么会麻烦一点,一般的log主机很难攻入,这时可以用DoS让它停止工作。
(5)查看一下主机是否安装了其它的log软件,如果有的话,应该修改它们生成的logs。
(6)攻入系统后,要时不时的看看管理员是否登陆了,如果管理员登陆了,我们就应该尽快跑路了。
(7)注意蜜罐,好的蜜罐系统是很难发现异常的。这种情况遇到的很少,但不排除可能性。如何发现蜜罐,就看你的思维是否清晰、头脑是否冷静、对系统是否熟悉、敏锐的洞察力、还有的就是运气了。
(8)如果使用了Sniffer,请注意加密Sniffer的输出结果。
4.被怀疑时
一旦上面的一切技巧都没能保护住倒霉的你。你就应该采取一些行动,令他们得不到不利于你的证据!但不要采取攻击性行动,可以以静制动,等上1、2个月看看情况再说。当你被怀疑后,你一定要想办法警告你的hacker朋友不要给你发任何Email,断绝所有与hack有关的联系。加密敏感数据,销毁所有 hack数据,帐号数据,电话号码等纸张,这些都是网警喜欢要的。这期间可以玩点别的,比如说写个程序什么的(可别傻到编hacker程序哦)。
5.被捕
一旦绝顶倒霉的你真的被捕了,那么你应该注意:
首先,找个律师。和律师商量好对策。
其次,不要相信警察找到了关键证据之类的言辞,他们可能是诈供。另外,就算他们有了什么证据也不是没有希望,因为电子方面的东西很容易伪造,比如说:IP地址。因此,在国际上对于其是否可以作为证据一直很有争议。所以,除非你被抓个现形,或者拍下了你hacking的过程,否则不要承认,这么做你可能还有希望。
如果你真的认了罪。记住,一定不要出卖其它的hacker朋友,否则,你可能会遭到报复。再者,这也是起码的职业道德
[ 本帖最后由 暗夜精灵 于 2008-6-9 23:38 编辑 ]