黑客怎么入侵服务器 [定位入侵校园网服务器的黑客]

　　校园网的服务器被黑客入侵，这是每一个网管所最不愿意看到的事，而黑客的入侵与校园网的安全永远是“矛”和“盾”的关系，再安全的校园网服务器也难免有漏洞。黑客的入侵具有极大的隐蔽性和不确定性，如果我们做网管的再疏于日常管理与维护，那么整个校园网将面临更大的危险，甚至最终垮掉。因此，必须及时地定位黑客入侵并作出相应的漏洞修补等措施，才能做到亡羊补牢，将损失减到最小。
　　
　　查看黑客的IP及开设的端口
　　
　　首先要查看的就是系统正在使用的端口列表，最简单也是最直接的方法就是使用Windows 2000自带的“Netstat -a”命令来查看。检查一下自己都打开了些什么端口，是否有可疑的地方，最好能够有一个查看端口进程的工具，能够同时查看端口的进程。目前，大多数的木马或者后门程序都会开一个自己的端口单独使用，例如，冰河就会对应7626端口。为了更清楚地看到本机的IP端口的连接状态，最好是在Netstat命令的后面再加一个n参数，在CMD窗口中运行“Netstat -an”，将列出当前系统的IP端口连接状态列表。如果在1024端口以上的不连续端口中出现监听（Listening）或连接（Established）状态，那么，最好要检测一下自己都开了哪些服务，其中很可能是黑客在捣鬼。同时，我们也可以使用追捕之类的专门工具来获得黑客的进一步信息，比如，查找出这个IP及与该IP地址相关的更多信息。
　　
　　检查系统日志和服务日志
　　
　　网管每天必须要检查服务器的各种日志，不仅包括系统日志，而且也要检查服务日志(FTP、IIS等)。虽然工作量较大但一定要细致地进行，而且要求网管具备一定的经验，检查时要着重注意以下项目：①是否出现日志记录的断裂；②是否有可疑的账户登录；③是否在不该出现的时间段内发生了异常事件记录。
　　特别要注意的是，各种服务的日志记录是发现黑客的最有效途径，像IIS日志就能记录黑客入侵扫描80端口的全部过程以及对方能够利用的有用信息。对于大部分开启WEB服务的校园网服务器来说，90%以上的黑客入侵都是从这里进入的。
　　
　　多注意自己的进程列表
　　
　　按Ctrl+Shift+Esc组合键打开“Windows任务管理器”，单击“进程”标签后，切记将下面的“显示所有用户的进程”选中，然后就在其中仔细地查看进程吧！当然，这需要网管非常熟悉Windows 2000的系统进程及自己正在运行的进程。特别要注意的是，木马及后门程序的进程名一般都是极具迷惑性的。例如，Exp1orer.exe与正常的Explorer.exe相比只有数字“1”与英文小写字母“l”的差别，其余的像数字“0”与字母“o”等都是浑水摸鱼的伎俩。
　　
　　小心留意用户和用户组管理
　　
　　右击桌面上“我的电脑”选择“管理”，打开计算机管理窗口。在左侧窗格中依次打开“系统工具”→“本地用户和组”，其中的“用户”和“组”就对应着服务器中的用户和组的信息。仔细查看一下其中是否有可疑的用户出现，一般来讲，黑客总会在Administrators管理员组中做一些手脚，当然也不要大意Guests之类的普通宾客账户，因为有不少黑客经常会把Guest账户的权限提升至超级用户，隐蔽性很强。