Cómo invadir remotamente Win XP

Con el vigoroso desarrollo de las redes ADSL en diversos lugares, lograr una conexión permanente y estar en línea en cualquier momento ya no es un sueño lejano. Sin embargo, debemos entender que la conexión permanente a Internet también significa una gran posibilidad. de ser invadido. Sólo conociéndose a sí mismo y al enemigo podrá salir victorioso en cada batalla. Comprendamos los métodos y métodos de prevención para que los piratas informáticos invadan a los usuarios de ADSL.

Cómo los hackers invaden a los usuarios de ADSL

En muchos lugares se ofrecen mensualmente. De esta forma, los hackers pueden escanear puertos y vulnerabilidades durante un periodo de tiempo más largo, e incluso. usar en línea Use la fuerza bruta para robar contraseñas o use herramientas de rastreo para esperar y esperar a que la otra parte le envíe automáticamente su nombre de usuario y contraseña.

Para completar un ataque de red exitoso, generalmente existen los siguientes pasos. El primer paso es recopilar diversa información sobre el objetivo. Para realizar un análisis exhaustivo del objetivo, es necesario recopilar la mayor cantidad de información efectiva posible sobre el objetivo del ataque para que se pueda obtener la lista de vulnerabilidades del objetivo mediante el análisis final. . Los resultados del análisis incluyen: tipo de sistema operativo, versión del sistema operativo, servicios abiertos, versiones de servicios abiertos, topología de red, equipo de red, firewalls, etc.

El escaneo de piratas informáticos utiliza principalmente el método de huellas dactilares de pila TCP/IP. Hay tres métodos principales de implementación:

1.Muestreo TCP ISN: encuentre si la longitud especificada de la secuencia de inicialización coincide con el sistema operativo específico.

2. Detección FIN: envíe un paquete FIN (o cualquier paquete sin una marca ACK o SYN) a un puerto abierto del destino y luego espere una respuesta. Muchos sistemas devuelven un RESET (indicador de reinicio).

3. Utilice la marca BOGUS: Al enviar un paquete SYN que contiene un encabezado TCP sin una marca TCP definida, algunos sistemas operativos se pueden distinguir aprovechando la respuesta diferente del sistema a la marca.

4. Utilice la ventana de inicialización de TCP: simplemente verifique la longitud de la ventana contenida en el paquete de retorno y confirme de forma única cada sistema operativo según el tamaño.

Aunque existen muchas tecnologías de escaneo, el principio es muy simple. A continuación se ofrece una breve introducción a la herramienta de escaneo Nmap (Network mapper). Se la conoce como la mejor herramienta de escaneo en la actualidad. Es poderosa, versátil, admite múltiples plataformas, flexible, fácil de usar, altamente portátil y deja muy pocos rastros. No solo puede escanear puertos TCP/UDP. También se puede utilizar para escanear/detectar redes grandes.

Tenga en cuenta que aquí se utilizan algunos nombres de dominio reales para que el comportamiento de escaneo parezca más específico. Puede reemplazar direcciones/nombres con nombres de su propia red. Es mejor obtener permiso antes de escanear; de lo contrario, usted será responsable de las consecuencias.

nmap -v target.example.com

Este comando realiza un escaneo en todos los puertos TCP reservados en target.example.com -v indica modo detallado.

nmap -sS -O target.example.com/24

Este comando iniciará un análisis SYN medio abierto, dirigido a la clase C donde se encuentra target.example.com, subred , también intenta determinar qué sistema operativo se está ejecutando en el objetivo. Este comando requiere privilegios de administrador porque utiliza escaneo medio abierto y detección del sistema.

El segundo paso para lanzar un ataque es establecer una conexión con la otra parte y encontrar la información de inicio de sesión. Ahora supongamos que al escanear se descubre que la máquina de la otra parte tiene IPC$. IPC$ es el recurso para compartir "canalizaciones con nombre". Es muy importante para la comunicación entre programas y se utiliza cuando se administran computadoras de forma remota y se ven los recursos compartidos de la computadora. Utilizando IPC$, un hacker puede establecer una conexión vacía con la otra parte (sin nombre de usuario ni contraseña) y, utilizando esta conexión vacía, puede obtener la lista de usuarios de la otra parte.

El tercer paso es iniciar sesión utilizando la herramienta de software adecuada.

Abra la ventana de línea de comando y escriba el comando: net use 222.222.222.222ipc$ “administrator” /user:123456

Aquí asumimos que la contraseña del administrador es 123456. Si no conoce la contraseña de administrador, necesitará buscar otras herramientas para descifrar contraseñas que le ayuden. Una vez que haya iniciado sesión, todo estará bajo el control del hacker.

Métodos de prevención

Dado que los usuarios de ADSL generalmente permanecen en línea durante mucho tiempo, es necesario reforzar la concienciación sobre la seguridad. Hay muchas personas que navegan por Internet durante más de diez horas cada día, o incluso encienden sus ordenadores toda la noche. Algunas personas también utilizan sus máquinas como servidores Web o FTP para que otros accedan. El trabajo preventivo diario generalmente se puede dividir en los siguientes pasos.

Paso 1, asegúrese de desactivar la cuenta de Invitado. Existen muchas intrusiones que obtienen además la contraseña o permisos de administrador a través de esta cuenta. Si no quieres usar tu computadora como un juguete para otros, es mejor prohibirla. Abra el Panel de control, haga doble clic en "Usuarios y contraseñas" y seleccione la pestaña "Avanzado". Haga clic en el botón "Avanzado" para abrir la ventana de usuarios y grupos locales. Haga clic derecho en la cuenta de Invitado, seleccione Propiedades y seleccione "La cuenta está desactivada" en la página "General".

Paso 2, deja de compartir ***. Después de instalar Windows 2000, el sistema creará algunos recursos compartidos ocultos. Haga clic en Inicio → Ejecutar → cmd y luego escriba el comando "net share" en el modo de línea de comando para verlos. Hay muchos artículos sobre la intrusión de IPC en Internet, y todos utilizan la conexión compartida predeterminada. Para deshabilitar estos recursos compartidos, abra Herramientas administrativas → Administración de computadoras → Carpetas compartidas → Compartir, haga clic derecho en las carpetas compartidas correspondientes y haga clic en "Dejar de compartir".

Paso 3: Intenta cerrar servicios innecesarios, como Terminal Services, IIS (si no utilizas tu propia máquina como servidor Web), RAS (Servicio de Acceso Remoto), etc. También hay un servicio de mensajería muy molesto que debe desactivarse; de ​​lo contrario, siempre habrá personas que utilicen el servicio de mensajería para enviar anuncios en línea. Abra Herramientas administrativas → Administración de computadoras → Servicios y aplicaciones → Servicios y desactive aquellos que sean inútiles.

Paso 4: Prohibir el establecimiento de conexiones vacías. De forma predeterminada, cualquier usuario puede conectarse al servidor a través de una conexión nula, enumerar cuentas y adivinar contraseñas. Debemos prohibir el establecimiento de conexiones vacías. Hay dos métodos:

(1) Modificar el registro:

En HKEY_Local_MachineSystemCurrent-ControlSetControlLSA, cambie el valor clave del valor DWORD RestrictAnonymous. 1.

(2) Modifique la política de seguridad local de Windows 2000:

Establezca RestrictAnonymous (restricciones adicionales en conexiones anónimas) en "Política de seguridad local → Política local → Opciones" en "No permitir enumerar cuentas SAM y *** acciones."

Paso cinco, si se abre el servicio web, también debe configurar la seguridad del servicio IIS:

(1) Cambie el directorio de inicio del servicio web. Haga clic con el botón derecho en "Sitio web predeterminado → Propiedades → Directorio de inicio → Ruta local" y señale "Ruta local" a otro directorio.

(2) Elimine el directorio Inetpub instalado por defecto original. ?

(3) Elimine los siguientes directorios virtuales: _vti_bin, IISSamples, Scripts, IIShelp, IISAdmin, IIShelp, MSADC.

(4) Elimine la asignación de extensiones IIS innecesarias. El método es: haga clic con el botón derecho en "Sitio web predeterminado → Propiedades → Directorio de inicio → Configuración", abra la ventana de la aplicación y elimine las asignaciones de aplicaciones innecesarias. Si no se necesita ningún otro mapeo, simplemente mantenga .asp y .asa.

(5) Haga una copia de seguridad de la configuración de IIS.

Puede utilizar la función de copia de seguridad de IIS para realizar una copia de seguridad de todas las configuraciones de IIS establecidas, de modo que pueda restaurar la configuración de seguridad de IIS en cualquier momento.

No creas que así todo irá bien, no es que no conozcamos el sistema operativo de Microsoft. Hay tantos errores, por lo que debemos aplicar todos los parches de Microsoft.