由“开始->执行”,输入command,确定,开一个MS-DOS窗口。或者由“开始->程序->MS-DOS”来打开它。在MS-DOS窗口的命令行键入“netstat”查看目前已与本计算机建立的连接。 </P><br/><P>显示出来的结果表示为四列,其意思分别为Proto:协议,Local Address:本地地址,Foreign Address:远程地址,State:状态。在地址栏中冒号的后面就是埠号。如果发现端口号码异常(比如大于5000),而Foreign Address中的地址又不为正常网络浏览的地址,那么可以判断你的机器正被Foreign Address中表示的远程计算机所窥视着。在对应行的Foreign Address中显示的IP地址就是目前非法连接你计算机的木马客户端。 </P><br/><P>当网络处于非活动状态,也就是目前没什么活动网络连接时,在MS-DOS窗口中用netstat命令将看不到什么东西。此时可以使用“netstat -a”,加了常数“-a”表示显示计算机中目前处于监听状态的埠。对于Windows98来说,正常情况下,会出现如下的一些处于监听状态的端口(安装有NETBEUI协议): </P><br/><P>如果出现有不明埠处于监听(LISTENING)状态,而目前又没有进行任何网络服务操作,那么在监听该埠的就是特洛伊木马了! </P><br/><P>注意,使用此方法查询处于监听状态的埠,一定要保证在短时间内(最好5分钟以上)没有运行任何网络加速软件,也没有进行过任何网络操作,比如浏览网页,收、发信等。不然容易混淆对结果的判断。 </P><br/><P>不过如果用这个方法,要知道系统所使用的service所开的port才行.... <BR>其实如果怕人偷看你的计算机,直接拔掉网络线就好了<BR>因为就算不偷看你的计算机,但是如果有人分析你的上网行为及<BR>统计你的上网时间及习惯,可能比偷看你的计算机可怕吧!!</P><br/><P> </P><br/><P> </P><br/><P><BR>最近发现Hack越来越多了...连Firewall都没大只Hack的办法...只好亡羊补牢..弄个小技巧让对方只要一登入...就马上寄信给特定的账号...想拦截也都来不及... <BR>这样才知道对方什么时后来的...以及从那里来...相信这些信息对被Hack的一方很有用..因为厉害的Hack会把所有可查的记录文件全部清掉...让你无从查起...试试看这个...很好用的.. <BR>(1)编辑 /etc/profile 在最后一行加入底下语法: <BR>代码: </P><br/><P>NOW=`date +%Y%m%d:%H%M%S` <BR>LAST=`last $USER -5` <BR>echo "[$NOW]: From $HOSTNAME : this user $USER login..." > /tmp/userlogin.log <BR>echo "$LAST" >> /tmp/userlogin.log <BR>mail -s "Attention !! User Login~~" <a target="_blank" href= "<a href="mailto:user1@test.com,user2@test.com">user1@test.com,user2@test.com</A">mailto:user1@test.com,user2@test.com">user1@test.com,user2@test.com</A</a>> < /tmp/userlogin.log <BR>rm -f /tmp/userlogin.log </P><br/><P><BR>这样的话可以把信寄给两个user...当然要一个的话也可以啰... </P><br/><P>(2)用这个方法只有root登入才能显示完整讯息..如果是其它user要修改wtmp <BR>代码: </P><br/><P>chmod 644 /var/log/wtmp<br/> |
|