3.2.1　入侵Windows服務器流程曝光

一般情況下，黑客往往喜歡通過如圖3.2.1-1所示的流程對Windows服務器進行攻擊，從而提高入侵服務器的效率。

·通過139端口進入共享磁盤。

139端口是為“NetBIOS Session Service”提供的，主要用于提供Windows文件和打印機共享服務。開啟139端口雖然可以提供共享服務，但常常被攻擊者所利用進行攻擊，如使用流光、SuperScan等端口掃描工具可以掃描目標計算機的139端口，如果發現有漏洞則可以試圖獲取用戶名和密碼，這是非常危險的。

圖　3.2.1-1

·默認共享端口（IPC$）入侵。

IPC$是Windows系統特有的一項管理功能，是微軟公司為方便用戶使用計算機而設計的，主要用來遠程管理計算機。但事實上，使用這個功能最多的人不是網絡管理員而是“入侵者”，他們通過建立IPC$連接與遠程主機實現通信和控制。通過IPC$連接的建立，入侵者能夠進行建立、拷貝、刪除遠程計算機文件等操作，也可以在遠程計算機上執行命令。

·IIS漏洞入侵。

IIS（Internet Information Service，互聯網信息服務）為Web服務器提供了強大的Internet和Intranet服務功能，主要通過80端口來完成操作。作為Web服務器，80端口總要打開，具有很大的風險性。長期以來，攻擊IIS服務是黑客慣用的手段，這種情況多是由于企業管理者或網管對安全問題關注不夠造成的。

·緩沖區溢出攻擊。

緩沖區溢出是病毒編寫者和特洛伊木馬編寫者偏愛使用的一種攻擊方法。攻擊者或病毒善于在系統當中發現容易產生緩沖區溢出之處，運行特別程序獲得高優先級，指示計算機破壞文件、改變數據、泄露敏感信息、產生后門訪問點、感染或攻擊其他計算機等。緩沖區溢出是目前導致“黑客”型病毒橫行的主要原因。

·Serv-U攻擊。

Serv-U FTP Server是一款在Windows平臺下使用非常廣泛的FTP服務器軟件，目前在全世界廣為使用，但它的漏洞被屢次發現，許多服務器因此而慘遭黑客入侵。在得到目標計算機的信息之后，入侵者就可以使用木馬或黑客工具進行攻擊了，但這種攻擊必須繞過防火墻才能成功。

·腳本攻擊。

腳本Script是使用一種特定的描述性語言，依據一定格式編寫的可執行文件，又稱作宏或批處理文件。腳本通常可以由應用程序臨時調用并執行。正是因為腳本具有這些特點，所以往往被一些別有用心的人所利用。他們通常在腳本中加入一些破壞計算機系統的命令，當用戶瀏覽網頁時，一旦調用這類腳本，便會使用戶的系統受到攻擊從而造成嚴重損失。

·DDoS（Distributed Denial of Service，分布式拒絕服務）攻擊。

凡是能導致合法用戶不能夠訪問正常網絡服務的攻擊都是拒絕服務攻擊。也就是說，拒絕服務攻擊目的非常明確，就是要阻止合法用戶對正常網絡資源的訪問，從而達成攻擊者不可告人的目的。

·后門程序。

“后門”一般是指那些繞過安全性控制而獲取對程序或系統訪問權的程序方法。在軟件的開發階段，程序員常常會在軟件內創建后門程序以便可以修改程序設計中的缺陷。但如果這些后門在發布軟件之前沒有刪除而被其他人知道，它就會成為安全風險，容易被黑客當成漏洞進行攻擊。