病毒如何直接攻擊伺服器

A. 伺服器有什麼攻擊手段

主機偵探就和大家說說常見的伺服器攻擊手段：
一、CC攻擊：CC攻擊的原理便是攻擊者控制某些主機不停地發許多數據包給對方伺服器形成伺服器資源耗盡，一直到宕機潰散。
二、DDOS攻擊：近幾年由於寬頻的遍及，許多網站開始盈餘，其間許多不合法網站利潤巨大,形成同行之間互相攻擊，還有一部分人使用網路攻擊來敲詐錢財。
三、長途銜接不上：有或許是3389攻擊，這個比較好處理。
四、80埠攻擊：這個是讓WEB管理員頭痛的，現在只需拔掉網線，等一段時間期望攻擊沒了就OK了，期望能得到更好的處理辦法。
五、arp攻擊：ARP攻擊便是經過偽造IP地址和MAC地址完成ARP詐騙，可以在網路中發生許多的ARP通訊量使網路阻塞，攻擊者只需持續不斷的宣布偽造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目，形成網路中斷或中間人攻擊。

B. 網路病毒的攻擊原理是什麼

您好，網路病毒的攻擊，會通過文件傳輸、下載、拷貝等方式感染其他文件，從中盜取您的資料以及賬戶信息，破環您的系統，嚴重的會通過您的賬戶盜取您的財產。

建議您在自己的電腦上安裝上電腦管家，騰訊電腦管家是騰訊公司出品的永久免費專業安全軟體， 2 合 1 殺毒版集「專業病毒查殺、智能軟體管理、系統安全防護」於一身，開創了「殺毒 + 管理」2合1的創新模式，先後通過VB100等四大權威測試，殺毒實力以達到世界級先進水平。

希望幫助到您，電腦管家竭誠為您服務，您的支持是我們的動力，望採納。

管家下載地址騰訊電腦管家官網

騰訊電腦管家企業平台：http://..com/c/guanjia/

C. 告訴我一些有名的病毒，及他們分別怎樣攻擊電腦

分類: 電腦/網路 >> 反病毒
解析:

一、VBS.LoveLetter@MM

這是一個Loveletter病毒家族的變種，該病毒通過下面的郵件傳播：

主題：: Where are you?

消息主體： This is my pic in the beach!

附件： JENNIFERLOPEZ_NAKED.JPG.vbs

VBS.Loveletter.CN@mm還安裝文件Cih_14.exe，該文件是CIH病毒的安裝器，並企圖運行CIH病毒。

當執行時，病毒VBS.Loveletter.CN@mm將試圖完成下面的工作：

1、修改注冊鍵中的"Timeout" 鍵值，這樣當 誦薪銑な奔湎低巢換嵯允鞠ⅰH緩螅《舅閹魎鋅捎玫那鰨檎揖哂邢鋁欣┱姑奈募?

--擴展名為.vbe, , .jpeg 的文件被替換成 《鏡母北盡?

--擴展名為.js, .jse, .css, .wsh, .sct, 和.hta 的文件將被 《靖北咎婊唬⑶椅募睦┱姑崽砑?vbs 。例如：原文件Filename.wsh 變成Filename.wsh.vbs.

--擴展名為.mp2 和.mp3的文件被復制，副本的擴展名中將添加.vbs的後綴，原文件被標記為隱藏。

2、創建下面的注冊鍵：

HKEY_CURRENT_USER\Sofare\JENNIFFERLOPEZ_NAKED\Worm made in algeria

3、添加註冊鍵值：

HKEY_LOCAL_MACHINE\Sofare\Microsoft\Windows\CurrentVersion\Run

值：WORM w exe \\JENNIFERLOPEZ_NAKED.JPG.vbs %

以便每次windows啟動都運行該病毒。

4、檢查注冊鍵：

HKEY_CURRENT_USER\Sofare\JENNIFFERLOPEZ_NAKED的值是否為：mailed = 1

如果不是，則執行發送郵件功能，發送完郵件，將其值設為1。

5、蠕蟲編寫十六進制的文件並將其保存為\Windows\Cih_14.exe。該文件包含一個CIH病毒的安裝器，之後執行該文件。一旦執行，病毒將駐留內存（win98/me），並感染PE可執行文件。

二、W32.Nimda

Worms.Nimda 是一個新型蠕蟲，也是一個病毒，它通過email、共享網路資源、IIS伺服器傳播。同時它也是一個感染本地文件的新型病毒。

Worms.Nimda運行時，會搜索本地硬碟中的HTM和HTML文件和EXCHANGE郵箱，從中找到EMAIL地址，並向這些地址發郵件；搜索網路共享資源，並試圖將帶毒郵件放入別人的共享目錄中；利用CodeBlue病毒的方法，攻擊隨機的IP地址，如果是IIS伺服器，並未安裝補丁，就會中毒。該蠕蟲用它自己的的SMTP伺服器去發出郵件。同時用已經配置好的DNS獲得一個mail伺服器的地址。

Worms.Nimda運行時，會查找本地的HTM/ASP文件，將生成的帶毒郵件放入這些文件中，並加入java 瘧盡U庋康備猛潮淮蚩保突嶙遠蚩萌徑鏡膔eadme.eml。

Worms.Nimda感染本地PE文件時，有兩種方法，一種是查找所械腤INDOWS 應用程序(在HKEY_LOCAL_MACHINE/Sofare/Microsoft/Windows/Currentversion/App Paths中)，並試圖感染之，但不感染WINZIP32.EXE；第二種方法搜索所有文件，並試圖感染之。被感染的文件會增大約57KB。

如果用戶游覽了一個已經被感染的web 頁時，就會被提示下載一個.eml(Outlook Express)的電子郵件文件，該郵件的MIME頭是一個非正常的MIME頭，並且它包含一個附件，即此蠕蟲。這種郵件也可能是別人通過網路共享存入你的計算機中，也可能是在別人的共享目錄中，無論如何，只要你在WINDOWS的資源管理器中選中該文件，WINDOWS將自動預覽該文件，由於Outlook Express的一個漏洞，導致蠕蟲自動運行，因此即使你不打開文件，也可能中毒，相關信息請參見微軟安全網站：microsoft/tech/security/bulletin/MS01-020，同時，該漏洞已有安全補丁：microsoft/windows/ie/downloads/critical/q290108/default。

當這個蠕蟲執行的時候，它會在WINDOWS目錄下生成MMC.EXE文件，並將其屬性改為系統、隱藏；它會用自己覆蓋SYSTEM目錄下的RICHED20.DLL，這個文件是OFFICE套件運行的必備庫，WINDOWS的寫字板等也要用到這個動態庫，任何要使用這個動態庫的程序試圖啟動時，都會激活該它；它會將自己復制到SYSTEM目錄下，並改名為LOAD.EXE，同時將SYSTEM.INI文件中的SHELL項改為「explorer．exe load．exe － dontrunold」，這樣，在系統每次啟動時，將自動運行它；這個蠕蟲會在已經感染的計算機共享所有本地硬碟，同時，這個蠕蟲會以超級管理員的許可權建立一個guest的訪問帳號，以允許別人進入本地的系統。這個蠕蟲改變Explorer的設置這樣就讓它無法顯示隱藏文件和已知文件的擴展名

三、W32.Elkern.cav.c

W32.ElKern.3326感染共享文件、映像驅動器，同時該病毒還會感染本機硬碟的\Windows\System目錄中的文件。

如果病毒是在Windows NT/2000系統中被激活，當第一次被激活後，病毒變會蹦潰。

如果病毒在Windows 9x系統中被激活並且本機有帶防寫的網路映像，很短的時間後，病毒將使機器當掉。

病毒感染文件後，文件的大小並不改變。

W32.ElKern.3326在感染文件時可能是空的感染源也可能是「添加器」，這就意味著，如果可能，病毒將拒絕將自身代碼添加到宿主文件內，免得文件的尺寸變大。

一旦病毒被激活，它將創建一個自身的可執行文件後，直接控制對宿主文件。

在\Windows\System目錄中創建自身的副本，文件名依不同的系統而不同：

1）Windows 95/98/Me： %System%\Wqk.exe

2）Windows NT/2000： %System%\Wqk.dll

根據不同的操作系統，W32.ElKern.3326創建不同的不同的注冊鍵：

1）Windows 95/98/Me

HKEY_LOCAL_MACHINE\Sofare\Microsoft\Windows\CurrentVersion\Run

值：WQK %System%\Wqk.exe

2）HKEY_LOCAL_MACHINE\Sofare\Microsoft\Windows NT\CurrentVersion\Windows

值：AppInit_DLLs %System%\Wqk.dll

eeen each file that it tries to infect.

四、VBS.Redlof@M

1.此病毒屬於腳本類病毒,此病毒感染腳本類型的文件。

2.此病毒運行時，全盤查找腳本類型的文件{vbs,, 等),如果找到，則將病毒自身加入這些文件的尾部，完成感染。

3.此病毒感染目錄時，還會在一些目錄下產生兩個文件，一個名為：desktop.ini的目錄配置文件，一個名為：folder.htt的病毒體文件。

五、W32.Klez

該病毒基本分為兩部分：一部分是狹義上的病毒，它感染PE結構文件，病毒大小約為3K，用匯編語言編寫；第二部分是蠕蟲大小為56K，它在運行中會釋放並運行一個11722位元組的帶毒的PE文件。第二部分是用VC++編寫的，它只可以在WINDOWS 9X或WINDOWS2000上運行，在NT4上無法運行。

它的傳播方式有四種：

第一種：通過INTERNET郵件，它搜索當前用戶的地址簿文件中的類郵件地址的文本內容，或隨機計算郵件地址，通過WINDOWS的SOCKET函數集用SMTP伺服器發送自己這個帶毒木馬，郵件文件是由木馬部分形成，並且該郵件會在OUTLOOK EXPRESS下自動執行，它的主題是隨機的，但以下幾種情況：

Hi

Hello

How are you?

Can you help me?

We want peace.

Where will you go?

Congratulations!!!

Don't cry.

Look at the pretty.

Some advice on your shorting.

Free XXX Pictures.

A free hot *** site.

Why don't reply to me?

How about have dinner with me together?

信的正文為：

I'm sorry to do so,but it's helpless to say sorry.

I want a good job,I must support my parents.

Now you have seen my technical capabilities.

How much my year-salary now? NO more than $5,500.

What do you think of this fact?..Don't call my names,I have no hostility.

Can you help me?

第二種：通過網路鄰居，它搜索所有的網路連接，查找共享目錄，將自己的文件放到享目錄中，並試圖讓遠程計算機將它作為一個服務啟動。

第三種：通過磁碟傳播，它創建專門的線程感染磁碟，如果當前日期奇數月的13號，將找到的文件內容進行復制。

第四種：方式病毒感染。

病毒部分的運行過程：

1、解密後面的代碼長度258H位元組

2、然後病毒在內存中查找KERNEL32模塊，並根據名字的檢驗字找到一大批函數入口，這些函數供後面的代碼調用。

3、申請內存，將所有代碼拷貝到申請的內存中，並轉申請的內存執行。

4、查檢有無調試程序（調IsDebugPresent函數），如在調試程序下運行，終止病毒代碼，返回到原宿主程序（如果是配套的木馬，則返回到操作系統）。

5、啟動感染代碼，如未在調試程序下運行，在SYSTEM（由GetSystemDirectory）目錄感染或建立WQK.EXE(WIN9X下)或WQK.DLL(NT下)。

6、將當前進程注冊為服務進程。

7、創建感染線程，根據系統時間，如果為13號且為3月或9月，感染所有硬碟或網路盤文件。否則感染系統目錄。某些條件下創始的感染線程會啟動另一個感染線程，直到系統崩潰。

8、如果是NT操作系統，同時感染所有網路鄰居。

9、返回宿主或操作系統。

木馬部分運行過程：

1、解碼所有字元串。

2、改變當前進程訪問許可權。

3、啟動線程1，線程1的作用如下：

檢查當前所有進程，如果有以下進程（部分匹配），則終止這些進程：

_AVP32, _AVPCC, _AVPPM, ALERTSVC,AMON

AVP32,AVPCC,AVPM,N32SCANW,NAVAPSVC,

NAVAPW32,NAVLU32,NAVRUNR,NAVW32,NAVWNT,

NDD32,NPSSVC,NRESQ32,NSCHED32,NSCHEDNT,

NSPLUGIN,SCAN,SMSS

如果是WINDOWS9X系統，將當前程序設為自啟動（Sofare\Microsoft\Windows\CurrentVersion\Run）線程永不終止。

4、啟動線程2，作用如下：

復制自己，運行後刪除，然後線程終止。

5、在系統目錄中創建KRNL32.EXE，如果是9X，運行它，並將它放入 Sofare\Microsoft\Windows\CurrentVersion\Run 中自動運行。如果是2000系統，

將它作為Service啟動。

6、創建線程3，發送EMAIL。

創建線程4，感染網路所有共享文件，每8小時搜索一次。

創建線程5，搜索磁碟文件。

創建線程6，檢查當前日期是否為奇數月的13號，如是，將所有文件復制一次，線程5小時運行一次，永不退出。

六、W32.Nimda.eml

感染途徑：

該病毒是一種傳染途徑很多的病毒，並且嘗試利用多種已知系統漏洞，於第一版相似，它通過以下途徑感染

l 電子郵件（附件）

l 區域網共享驅動器

l 利用沒有安裝Service Pack的IIS(Inter Information Server)

l 通過文件感染

利用了如下的系統漏洞：

l MIME漏洞，可以在沒有得到用戶許可的情況下自動執行附件

l IIS漏洞，使之可以被上載惡意代碼與前版本的不同：

Win32.Nimda.E是Nimda.A的新變種，它修改了以前版本的一些錯誤，並且加入了對付多種對抗反病毒軟體的設計，它與第一版的主要區別有：

l 附件名改名為Sample.exe

l 復制本身到系統目錄下的名稱改為Csrss.exe（原來為mmc.exe）

l 釋放出的動態庫名稱變更為Httpodbc.dll

建議用戶做如下系統升級，以便防患於未然：

升級到Inter Explorer 5.01 SP2 或

升級到Inter Explorer 5.5 SP2 或

升級到Inter Explorer 6.0

下載並安裝升級包，NT4用戶使用NT4 Service Pack 6a，Windows 2000用戶使用 Windows 2000 Service Pack 2，並且到微軟公司的主頁（或用Windows Update）下載安全補丁。

注意磁碟共享的許可權、口令設置，不要讓所有用戶對硬碟驅動器都可以讀寫不要打開來歷不明的郵件附件，尤其是可執行文件。

七、W32.Klez.eml

新的Klez變種在以前的基礎上增加了更多的工作線程，並且在駐留系統後可能會結束其它進程並且刪除相應文件，所以有較大的破壞，提請用戶注意！

蠕蟲的流程：

1.蠕蟲使用AdjustTokenPrivileges調整自己的特權，

2.拷貝自己的一個副本到系統目錄下，名為win****.exe.

3.修改注冊表，向SCM資料庫中添加新的服務。

4.復制自己並運行，然後刪除。

5.調用StartServiceCtrlDispatcher函數。

6.服務創建下面的線程。

7.結束。

第一個線程：

寫注冊表

遍歷系統進程，結束正在運行的進程並刪除進程的磁碟文件。

第二個線程：

發email.

第三個線程：

遍歷本地網路。

第四個線程：

注冊表操作

第六個線程：

搜索特定目錄

第七個線程：

搜本地磁碟。

第八個線程：

搜索磁碟文。

第五個線程：

復制自己，運行後刪除。

信件主題可能為以下內容：

Hi,

Hello,

Re:

Fw:

Undeliverable mail--"..."

Return

how are you

Let's be friends

Darling

Don't drink too much

your password

Honey

Some questions

Please try again

wele to my hometown

The Garden of Eden

Introction on ADSL

Meeting notice

questionnaire

Congratulations

Sos!

Japanese girl VS playboy

Look,my beautiful girl friend

Eager to see you

spice girls' vocal concert

Japanese lass' sexy pictures

信件攜帶的附件虛假擴展名可能為以下之一：

txt wab doc xls cpp c pas mpg mpeg bak mp3

真實擴展名為EXE SCR PIF BAT之一。

病毒體內有以下加密信息：

Win32 Klez V2.0 & Win32 Elkern V1.1,(There nick name is Twin Virus*^__^*)

Copyright,made in Asia,announcement:

1.I will try my best to protect the user from some vicious virus,Funlove,Sircam,Nimda,CodeRed and even include 32.Klez1.X

2.Pitiful AVers,can't Elkern 1.0 & 1.1 work on Win 2K&XP?Plz clear your eyes.

3.Well paid jobs are wanted

4.Poor life should be unblessed

5.Don't accuse me.Please accuse the unfair shit world

解決方法，本病毒無法手工殺毒，只能升級殺毒軟體。並且由於會結束進程，所以建議用戶在DOS下用殺毒軟體清除。

八、Script.Exploit

1.此病毒利用腳本的SCAPE功能將自身加密,以達到隱藏自己的目的.

2.此病毒利用」萬花谷病毒」的技術來破壞系統的正常使用.

3.將IE的首頁通過系統注冊表項

HKEY_LOCAL_CURRENT_USER\\Sofare\\Microsoft\\Inter Explorer\\Main\\Start Page",設置成為:」 hunk.love.you/'>[url=hunk.love.you/]hunk.love.you/」

4.為了達到破壞性，該病毒對系統的注冊表做了如下的修改：

1.通過系統注冊表項HKCU\\Sofare\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\NoRun的修改使系統沒有」運行」菜單。

2.通過系統注冊表項HKCU\\Sofare\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\NoClose的修改使系統沒有」 關閉系統」項目.

3.通過系統注冊表項HKCU\\Sofare\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\NoLogOff的修改使系統沒有」注銷」項目.

4.通過系統注冊表項HKCU\\Sofare\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\NoDrives的修改使系統沒有所有的邏輯驅動器.

5.通過系統注冊表項HKCU\\Sofare\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\DisableRegistryTools的修改使系統不能使用注冊表的編輯工具REGEDIT.

6.通過系統注冊表項HKCU\\Sofare\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\NoDesktop的修改使系統沒有桌面.

7.通過系統注冊表項HKCU\\Sofare\\Microsoft\\Windows\\CurrentVersion\\Policies\\WinOldApp\\Disabled的修改使系統禁止運行所有的DOS應用程序.

8.通過系統注冊表項HKCU\\Sofare\\Microsoft\\Windows\\CurrentVersion\\Policies\\WinOldApp\\Disabled的修改使系統不能啟動到"實模式（傳統的DOS模式）"下.

9.通過系統注冊表項"HKLM\\Sofare\\Microsoft\\Windows\\CurrentVersion\\Winlogon\\LegalNoticeCaption的修改使系統登錄時顯示一個登錄窗口,此窗口的標題為:」 HUNK提醒您中了※混客絕情炸彈※QQ:5604160」.

10.通過系統注冊表項HKLM\\Sofare\\Microsoft\\Windows\\CurrentVersion\\Winlogon\\LegalNoticeText的修改使系統登錄時顯示一個登錄窗口,此窗口內的文字為:」 HUNK提醒您中了※混客絕情炸彈※QQ:5604160」.

11.通過系統注冊表項HKLM\\Sofare\\Microsoft\\Inter Explorer\\Main\\Window Title的修改使系統在打開所有的IE窗口時, 窗口的標題為:」 HUNK提醒您中了※混客絕情炸彈※QQ:5604160」.

九、W32.FunLove.gen

這是WIN32類型的病毒，它可以感染Windows 9x 和Windows NT 4.0操作系統。它感染所有WIN32類型的文件（PE文件），如Windows 和 Program Files 目錄及其子目錄中的擴展名為.EXE, .SCR, and .OCX 的文件。該病毒搜索所有具有寫訪問的網路共享文件夾並感染那裡的所有的文件。該病毒同時能夠修補NT環境的完整性檢測，以便能夠感染系統文件。

病毒中有'~Fun Loving Criminal~'字樣。 該病毒沒有故意的破壞性，但是由於NT系統安全性很差而可能造成的破壞還是應當引起注意的。

同一個簡單的添加一樣，Win32/Funlove.4099將它的代碼復制到宿主文件的最後一個扇區的結尾，然後，它修改PE文件頭信息以顯示新的扇區大小，使扇區的特徵適應病毒的需要，同時病毒修改原文件入口點的程序代碼以便執行病毒代碼。

當一個染毒程序被運行，病毒代碼程序獲得系統控制權，Win32/Funlove.4099 病毒在系統目錄下創建FLCSS.EXE文件，並從染毒宿主文件的最後提取出病毒代碼，將其寫入該文件中，然後FLCSS.EXE被執行。

如果是在NT的許可許可權下運行，FLCSS.EXE會將自身像一個服務程序一樣安裝到NT機器上。它會以"FLC"顯示在標準的NT服務列表中，並且被設置為在每次啟動時自動運行此服務。在Windows 9X下，它像一個隱含程序一樣運行，在任務列表中是不可見的。

在病毒程序第一次運行時，該病毒會按照一定的時間間隔，周期性地檢測每一個驅動器上的EXE，SCR（屏保程序）和OCX（ActiveX control）文件，找到相應的文件就感染它們。它還搜索在網路上可使用的共享資源，並感染任何有訪問許可權的同一類型的文件。因此，它可以在機器間完全開放許可權的共享文件上非常快地傳播。該病毒檢測以下文件名且不感染它們：ALER*, AMON*, _AVP*, AVP3*, AVPM*, F-PR*, NAVW*, SCAN*, SMSS*, DDHE*, DPLA*, MPLA*。

盡管該病毒對數據沒有直接的破壞性，但是在NT下，Win32/Funlove.4099 病毒還是對NTOSKRNL.EXE 文件做了一個小的修改（patch），使得文件的許可請求總是返回允許訪問（access allowed），這意味著被感染機器的安全已受到了極大地威脅。只要是在被修改的機器上，所有的用戶都擁有了對每一個文件的完全控制訪問權，即使是在系統中可能擁有最低許可權的GUEST，也能讀取或修改所有文件，包括通常只有管理員才能訪問的文件。在NT啟動時，NTLDR將檢測NTOSKRNL.EXE 的完整性，所以病毒也修改NTLDR，因此NTLDR將允許系統載入修改後的NTOSKRNL文件。這種修改只能在某些NT服務包（service packs）中起作用，但是不管當前機器的SP級別病毒都會申請修改程序。在感染FLC病毒的NT機器上清除病毒後，需要用備份文件對這些被修改的文件進行恢復，或者重新安裝這些文件。

如果FLCSS.EXE 運行在DOS下，病毒將顯示'~Fun Loving Criminal~'字串，然後它試圖通過鍵盤控制器重新啟動系統。這大概是希望Windows被載入且病毒可能有另一個機會去執行。這種嘗試經常失敗，而計算機則被鎖。

十、W95.Spaces.gen

這是一個危險的常駐內存寄生病毒。它只在WIN95/98下進行復制，而且會感染WIN32可執行文件。當一個受染文件運行的時候，病毒會自我安裝到WINDOWS內存中。在感染的時候，病毒會增加文件最後區的空間病把自己寫到這里。

在七月一日，病毒會破壞硬碟的MBR區病毒終止機器的運行。它會刪除MBR載入程序的代碼並修改磁碟的分區表格，這樣只有一個區間被列出，然後指到MBR區。這種方式的破壞很危險：在DOS裝載的時候會被終止。雖然磁碟上的數據沒有被破壞，但是這個磁碟區不能被再次訪問了。病毒能繞過BIOS防病毒保護程序把自己直接寫到硬碟控制器的埠，這樣就破壞了MBR區間。由於病毒程序存在缺陷，因此會產生"General Protection Fault"出錯信息，這樣MBR就會免於受到破壞。

注意：如果在一個文件的最後部分發現字元串ERL，這就能證明此病毒已經感染了這個文件。

D. 伺服器受到攻擊的幾種方式

伺服器受攻擊的方式主要有以下幾種：
1．數據包洪水攻擊
一種中斷伺服器或本地網路的方法是數據包洪水攻擊，它通常使用Internet控制報文協議（ICMP）包或是UDP包。在最簡單的形式下，這些攻擊都是使伺服器或網路的負載過重，這意味著黑客的網路速度必須比目標的網路速度要快。使用UDP包的優勢是不會有任何包返回到黑客的計算機。而使用ICMP包的優勢是黑客能讓攻擊更加富於變化，發送有缺陷的包會搞亂並鎖住受害者的網路。目前流行的趨勢是黑客欺騙目標伺服器，讓其相信正在受到來自自身的洪水攻擊。

2．磁碟攻擊
這是一種更殘忍的攻擊，它不僅僅影響目標計算機的通信，還破壞其硬體。偽造的用戶請求利用寫命令攻擊目標計算機的硬碟，讓其超過極限，並強制關閉。這不僅僅是破壞，受害者會遭遇不幸，因為信息會暫時不可達，甚至丟失。

3．路由不可達
通常，DoS攻擊集中在路由器上，攻擊者首先獲得控制權並操縱目標機器。當攻擊者能夠更改路由器的路由表條目的時候，會導致整個網路不可達。這種攻擊是非常陰險的，因為它開始出現的時候往往令人莫名其妙。畢竟，你的伺服器會很快失效，而且當整個網路不可達，還是有很多原因需要詳審的。

4．分布式拒絕服務攻擊
最有威脅的攻擊是分布式拒絕服務攻擊（DDoS）。當很多堡壘主機被感染，並一起向你的伺服器發起拒絕服務攻擊的時候，你將傷痕累累。繁殖性攻擊是最惡劣的，因為攻擊程序會不通過人工干涉蔓延。Apache伺服器特別容易受攻擊，無論是對分布式拒絕服務攻擊還是隱藏來源的攻擊。為什麼呢？因為Apache伺服器無處不在。在萬維網上分布著無數的Apache伺服器，因此為Apache定製的病毒（特別是SSL蠕蟲）潛伏在許多主機上；帶寬如今已經非常充裕，因此有很多的空間可供黑客操縱。蠕蟲攻擊利用伺服器代碼的漏洞，通過SSL握手將自己安裝在Apache伺服器上。黑客利用緩沖溢出將一個偽造的密鑰安裝在伺服器上（適用於運行低於0.9.6e版本的OpenSSL的伺服器）。攻擊者能夠在被感染的主機上執行惡意代碼，在許多這樣的病毒作用下，下一步就是對特定的目標發動一場浩大的分布式拒絕服務攻擊了。通過將這樣的蠕蟲散播到大量的主機上，大規模的點對點攻擊得以進行，對目標計算機或者網路帶來不可挽回的損失。

E. 計算機病毒是怎麼入侵到主機里的要的是過程

計算機病毒在網路中泛濫已久，而其在區域網中也能快速繁殖，導致區域網計算機的相互感染，下面將為大家介紹有關區域網病毒的入侵原理及防範方法。
一、區域網病毒入侵原理及現象

一般來說，計算機網路的基本構成包括網路伺服器和網路節點站（包括有盤工作站、無盤工作站和遠程工作站）。計算機病毒一般首先通過各種途徑進入到有盤工作站，也就進入網路，然後開始在網上的傳播。具體地說，其傳播方式有以下幾種。

（1）病毒直接從工作站拷貝到伺服器中或通過郵件在網內傳播；

（2）病毒先傳染工作站，在工作站內存駐留，等運行網路盤內程序時再傳染給伺服器；

（3）病毒先傳染工作站，在工作站內存駐留，在病毒運行時直接通過映像路徑傳染到伺服器中

（4）如果遠程工作站被病毒侵入，病毒也可以通過數據交換進入網路伺服器中一旦病毒進入文件伺服器，就可通過它迅速傳染到整個網路的每一個計算機上。而對於無盤工作站來說，由於其並非真的"無盤"（它的盤是網路盤），當其運行網路盤上的一個帶毒程序時，便將內存中的病毒傳染給該程序或通過映像路徑傳染到伺服器的其他的文件上，因此無盤工作站也是病毒孽生的溫床。

由以上病毒在網路上的傳播方式可見，在網路環境下，網路病毒除了具有可傳播性、可執行性、破壞性等計算機病毒的共性外，還具有一些新的特點。

（1）感染速度快

在單機環境下，病毒只能通過介質從一台計算機帶到另一台，而在網路中則可以通過網路通訊機制進行迅速擴散。根據測定，在網路正常工作情況下，只要有一台工作站有病毒，就可在幾十分鍾內將網上的數百台計算機全部感染。

（2）擴散面廣

由於病毒在網路中擴散非常快，擴散范圍很大，不但能迅速傳染區域網內所有計算機，還能通過遠程工作站將病毒在一瞬間傳播到千里之外。

（3）傳播的形式復雜多樣

計算機病毒在網路上一般是通過"工作站"到"伺服器"到"工作站"的途徑進行傳播的，但現在病毒技術進步了不少，傳播的形式復雜多樣。

（4）難於徹底清除e.

單機上的計算機病毒有時可以通過帶毒文件來解決。低級格式化硬碟等措施能將病毒徹底清除。而網路中只要有一台工作站未能清除干凈，就可使整個網路重新被病毒感染，甚至剛剛完成殺毒工作的一台工作站，就有可能被網上另一台帶毒工作站所感染。因此，僅對工作站進行殺毒，並不能解決病毒對網路的危害。

（5）破壞性大

網路病毒將直接影響網路的工作，輕則降低速度，影響工作效率，重則使網路崩潰，破壞伺服器信息，使多年工作毀於一旦。

（6）可激發性

網路病毒激發的條件多樣化，可以是內部時鍾、系統的日期和用戶名，也可以是網路的一次通信等。一個病毒程序可以按照病毒設計者的要求，在某個工作站上激發並發出攻擊。

（7）潛在性

網路一旦感染了病毒，即使病毒已被清除，其潛在的危險性也是巨大的。根據統計，病毒在網路上被清除後，85％的網路在30天內會被再次感染。

例如尼姆達病毒，會搜索本地網路的文件共享，無論是文件伺服器還是終端客戶機，一旦找到，便安裝一個隱藏文件，名為Riched20.DLL到每一個包含"DOC"和"eml"文件的目錄中，當用戶通過Word、寫字板、Outlook打開"DOC"和"eml"文檔時，這些應用程序將執行Riched20.DLL文件，從而使機器被感染，同時該病毒還可以感染遠程伺服器被啟動的文件。帶有尼姆達病毒的電子郵件，不需你打開附件，只要閱讀或預覽了帶病毒的郵件，就會繼續發送帶毒郵件給你通訊簿里的朋友。

二、區域網病毒防範方法

以"尼姆達"病毒為例，個人用戶感染該病毒後，使用單機版殺毒軟體即可清除；然而企業的網路中，一台機器一旦感染"尼姆達"，病毒便會自動復制、發送並採用各種手段不停交叉感染區域網內的其他用戶。

計算機病毒形式及傳播途徑日趨多樣化，因此，大型企業網路系統的防病毒工作已不再像單台計算機病毒的檢測及清除那樣簡單，而需要建立多層次的、立體的病毒防護體系，而且要具備完善的管理系統來設置和維護對病毒的防護策略。

一個企業網的防病毒體系是建立在每個區域網的防病毒系統上的，應該根據每個區域網的防病毒要求，建立區域網防病毒控制系統，分別設置有針對性的防病毒策略。

（1）增加安全意識

杜絕病毒，主觀能動性起到很重要的作用。病毒的蔓延，經常是由於企業內部員工對病毒的傳播方式不夠了解，病毒傳播的渠道有很多種，可通過網路、物理介質等。查殺病毒，首先要知道病毒到底是什麼，它的危害是怎麼樣的，知道了病毒危害性，提高了安全意識，杜絕毒瘤的戰役就已經成功了一半。平時，企業要從加強安全意識著手，對日常工作中隱藏的病毒危害增加警覺性，如安裝一種大眾認可的網路版殺毒軟體，定時更新病毒定義，對來歷不明的文件運行前進行查殺，每周查殺一次病毒，減少共享文件夾的數量，文件共享的時候盡量控制許可權和增加密碼等，都可以很好地防止病毒在網路中的傳播。

（2）小心郵件

隨著網路的普及，電子信箱成了人們工作中不可缺少的一種媒介。它方便快捷在提高了人們的工作效率的同時，也無意之中成為了病毒的幫凶。有數據顯示，如今有超過90％的病毒通過郵件進行傳播。

盡管這些病毒的傳播原理很簡單，但這塊決非僅僅是技術問題，還應該教育用戶和企業，讓它們採取適當的措施。例如，如果所有的Windows用戶都關閉了VB腳本功能，像庫爾尼科娃這樣的病毒就不可能傳播。只要用戶隨時小心警惕，不要打開值得懷疑的郵件，就可把病毒拒絕在外。

（3）挑選網路版殺毒軟體

選擇一個功力高深的網路版病毒"殺手"就至關重要了。一般而言，查殺是否徹底，界面是否友好、方便，能否實現遠程式控制制、集中管理是決定一個網路殺毒軟體的三大要素。http://netadmin.77169.com/HTML/20070206004819.html

F. 勒索病毒怎麼進的伺服器

勒索病毒傳播方法如下:

伺服器入侵傳播：通過系統或者軟體漏洞進入伺服器，或RDP破解遠控；利用病毒，木馬來盜取密碼進行入侵；
·利用漏洞自動傳播：利用系統自身漏洞進行傳播
·軟體供應鏈攻擊傳播：對合法軟體進行劫持篡改，繞過了安全產品
·郵件附件傳播：在附件中夾帶惡意文件，執行其中的腳本
·掛馬網頁傳播：在網頁插入木馬，受害的為裸奔用戶

G. 勒索病毒主要通過什麼方法攻擊電腦

勒索病毒簡介

勒索病毒，是一種新型電腦病毒，主要以郵件，程序木馬，網頁掛馬的形式進行傳播。該病毒性質惡劣、危害極大，一旦感染將給用戶帶來無法估量的損失。這種病毒利用各種加密演算法對文件進行加密，被感染者一般無法解密，必須拿到解密的私鑰才有可能破解。

H. 計算機病毒入侵計算機有哪些方式

病毒入侵的三種典型途徑

1． 文件交叉感染

曾讓人毛骨悚然的CIH病毒就是通過此類方式傳染，只要中毒後，使用文件瀏覽器瀏覽到擴展名為EXE 的文檔均會被此病毒感染，所以桌面PC、文件伺服器都難逃其害。但由於容易被發覺，所以其傳染途徑易於被防病毒軟體阻截。

2． 電子郵件傳播

「求職信病毒」是一種通過郵件途徑大規模傳播的蠕蟲病毒的代表，這類病毒主要通過電子郵件系統進行傳播，甚至可將自己發往Outlook或ICQ中的所有地址，傳播速度明顯快於其他病毒。但如果人們對外來陌生郵件保持高度警惕，其危害也是可控的。

3． 瀏覽網頁及文件下載感染

現在人們經常通過網站瀏覽信息或下載一些工具軟體。但許多不知名的網頁及其提供的線上工具軟體本身就感染了病毒，如果沒有經過病毒過濾，許多病毒就悄悄潛入，這當中包括蠕蟲病毒（如臭名昭著的Nimda）、文件型病毒等。這一病毒傳播的途徑隱蔽性較強，不易被人們發現，也難以被阻截。
（以上內容來自於：http://www2.ccw.com.cn/02/0229/d/0229d08_3.asp)

另外還有自資料說——
如按其入侵的方式來分為以下幾種：

a、源代碼嵌入攻擊型

從它的名字我們就知道這類病毒入侵的主要是高級語言的源程序，病毒是在源程序編譯之前插入病毒代碼，最後隨源程序一起被編譯成可執行文件，這樣剛生成的文件就是帶毒文件。當然這類文件是極少數，因為這些病毒開發者不可能輕易得到那些軟體開發公司編譯前的源程序，況且這種入侵的方式難度較大，需要非常專業的編程水平。

b、代碼取代攻擊型

這類病毒主要是用它自身的病毒代碼取代某個入侵程序的整個或部分模塊，這類病毒也少見，它主要是攻擊特定的程序，針對性較強，但是不易被發現，清除起來也較困難。

c、系統修改型

這類病毒主要是用自身程序覆蓋或修改系統中的某些文件來達到調用或替代操作系統中的部分功能，由於是直接感染系統，危害較大，也是最為多見的一種病毒類型，多為文件型病毒。

d、外殼附加型

這類病毒通常是將其病毒附加在正常程序的頭部或尾部，相當於給程序添加了一個外殼，在被感染的程序執行時，病毒代碼先被執行，然後才將正常程序調入內存。目前大多數文件型的病毒屬於這一類。
(以上內容來自於：http://www.newasp.net/tech/security/13550.html)

I. 電腦病毒入侵方式有哪些

電腦病毒的入侵方式有很多很多!你知道多少種呢!我帶你一起去了解!

電腦病毒入侵方式：

(1)感染速度快

在單機環境下，病毒只能通過介質從一台計算機帶到另一台，而在網路中則可以通過網路通訊機制進行迅速擴散。根據測定，在網路正常工作情況下，只要有一台工作站有病毒，就可在幾十分鍾內將網上的數百台計算機全部感染。

(2)擴散面廣

由於病毒在網路中擴散非常快，擴散范圍很大，不但能迅速傳染區域網內所有計算機，還能通過遠程工作站將病毒在一瞬間傳播到千里之外。

(3)傳播的形式復雜多樣

計算機病毒在網路上一般是通過"工作站"到"伺服器"到"工作站"的途徑進行傳播的，但現在病毒技術進步了不少，傳播的形式復雜多樣。

(4)難於徹底清除e.

單機上的計算機病毒有時可以通過帶毒文件來解決。低級格式化硬碟等 措施 能將病毒徹底清除。而網路中只要有一台工作站未能清除干凈，就可使整個網路重新被病毒感染，甚至剛剛完成殺毒工作的一台工作站，就有可能被網上另一台帶毒工作站所感染。因此，僅對工作站進行殺毒，並不能解決病毒對網路的危害。

(5)破壞性大

網路病毒將直接影響網路的工作，輕則降低速度，影響工作效率，重則使網路崩潰，破壞伺服器信息，使多年工作毀於一旦。

(6)可激發性

網路病毒激發的條件多樣化，可以是內部時鍾、系統的日期和用戶名，也可以是網路的一次通信等。一個病毒程序可以按照病毒設計者的要求，在某個工作站上激發並發出攻擊。

(7)潛在性

網路一旦感染了病毒，即使病毒已被清除，其潛在的危險性也是巨大的。根據統計，病毒在網路上被清除後，85%的網路在30天內會被再次感染。

例如尼姆達病毒，會搜索本地網路的文件共享，無論是文件伺服器還是終端客戶機，一旦找到，便安裝一個隱藏文件，名為Riched20.DLL到每一個包含"DOC"和"eml"文件的目錄中，當用戶通過Word、寫字板、Outlook打開"DOC"和"eml"文檔時，這些應用程序將執行Riched20.DLL文件，從而使機器被感染，同時該病毒還可以感染遠程伺服器被啟動的文件。帶有尼姆達病毒的電子郵件，不需你打開附件，只要閱讀或預覽了帶病毒的郵件，就會繼續發送帶毒郵件給你通訊簿里的朋友。

J. 電腦病毒常見入侵方式有哪幾種

電腦病毒看不見，卻時刻威脅著我們 電腦安全 ，病毒無論是種類，特點還是入侵方式，都有很多種，還需對其常見的入侵加以防禦，才可保護電腦及財產的安全。那麼常見的入侵方式有哪些呢?

一、通過通訊軟體感染病毒

近幾年來，通過QQ、Yahoo! Messenger、Window等通訊軟體傳播病毒速率，成急劇增加的趨勢。那究竟什麼原因導致這個現象產生呢?其實答案很簡單，就是IM軟體支持了查看離線信息。

以Windows Live Messenger聊天軟體為例，在程序的主界面內，依次單擊上方「工具」→「選項」，在彈出的「選項」對話框內，選擇左側「文件傳輸」標簽，然後從中勾選「使用下列程序進行病毒掃描」復選框，並單擊「瀏覽」按鈕，指定本機內殺毒軟體Acast!的位置即可，這樣以後殺軟就可對MSN傳輸中的文件進行掃描檢測了。

二、P2P網路散毒傳播

P2P網路中的資源和服務分散在所有節點上，因此信息的傳輸和服務的實現都直接在節點之間進行，可以無需中間環節和伺服器的介入，從而避免了可能出現的瓶頸。但是P2P的網路安全卻存在諸多隱患，例如用戶在下載所謂的解除補丁，往往都是惡意人所部下的木馬陷阱，一不小心就會中招導致電腦被入侵，甚至出現丟失游戲賬號的情況出現。

另外像Bit、eMule(電驢)P2P軟體，在默認情況下是允許每位用戶互相下載資源，所以很多時候，用戶在不了解軟體這一特性之時，沒有對其軟體很好的設置，才會導致軟體將自己的個人隱私共享出來，任P2P共享網路的人隨便下載，這也是除以上病毒、木馬陷阱之外屢見不鮮的事情。如果這里你要想防禦，可以安裝防火牆軟體，來阻止間諜軟體在未經允許的情況下偷偷傳送個人隱私資料。

三、冒充正規網站郵件引人上鉤

盡管你沒有將自己的郵箱地址提供給任何人，但是每天都會收到一定數量的垃圾信件，而這些信件當中就有不少假冒淘寶、163、新浪等知名網站的郵件，其郵件內容鏈接一般大多都是「釣魚」網站的地址，一旦進入就會出現銀行或者游戲賬號丟失的情況。

四、一不小心啟動木馬程序

有些朋友看到系統所發出的有漏洞信號後，可能就迫不及待的想去網上找補丁修補，生怕在這個時候讓黑客進行侵入。其實殊不知這個時候還有更可怕的事情，那就是有些木馬程序，已經將自己偽裝成了補丁的模樣，虎視眈眈等著你「自投羅網」。例如一個名為Update Kb4468-x86.exe的病毒文件，如果系統沒有安裝殺毒軟體，相信在有 經驗 的電腦高手，也很難將它與病毒聯繫到一起，倘若一不留神將其下載並運行，後果將不堪設想。

五、搜索引擎間傳病毒

在網路的虛擬世界裡，大家經常碰到QQ好友，或者同學郵箱發來網址信息的時候。對於其朋友所發來網址信息，自己又不好意思不看，看了又害怕電腦中毒，當然這里不排除有很多有經驗的朋友，通過搜索引擎來分析網站內容，但是針對某個網站向用戶提出的警告，常常會出現誤判的情況，讓用戶防不勝防。因此大家不如安裝Mcafee siteadvisor工具，這樣當用戶通過搜索引擎來進行網頁搜索時，其軟體就會幫你預先分析搜索結果的安全情況，如果想了解更多關於其網站的信息，只要將滑鼠移動到網址文字的上方，就可顯示其網站更全的信息，以及該網站是否安全的信息，從而讓用戶可放心進入被判定安全的站點了。

六、U盤病毒自動運行

相信很多朋友都遇到過，雙擊每個分區(如雙擊C盤，D盤，E盤等等)都打不開，且只能通過資源管理器才能打開的異常情況。顧名思義這是電腦中了病毒，其實這個病毒叫U盤病毒，這種病毒是通過U盤、移動硬碟、存儲卡等移動存儲設備來傳播的，如果你要想將其清除該類病毒，可以找USBCleaner專業的清除U病毒軟體來幫忙。

補充：校園網安全維護技巧

校園網路分為內網和外網，就是說他們可以上學校的內網也可以同時上互聯網，大學的學生平時要玩游戲購物，學校本身有自己的伺服器需要維護;

在大環境下，首先在校園網之間及其互聯網接入處，需要設置防火牆設備，防止外部攻擊，並且要經常更新抵禦外來攻擊;

由於要保護校園網所有用戶的安全，我們要安全加固，除了防火牆還要增加如ips，ids等防病毒入侵檢測設備對外部數據進行分析檢測，確保校園網的安全;

外面做好防護 措施 ，內部同樣要做好防護措施，因為有的學生電腦可能帶回家或者在外面感染，所以內部核心交換機上要設置vlan隔離，旁掛安全設備對埠進行檢測防護;

內網可能有ddos攻擊或者arp病毒等傳播，所以我們要對伺服器或者電腦安裝殺毒軟體，特別是學校伺服器系統等，安全正版安全軟體，保護重要電腦的安全;

對伺服器本身我們要安全server版系統，經常修復漏洞及更新安全軟體，普通電腦一般都是撥號上網，如果有異常上層設備監測一般不影響其他電腦。做好安全防範措施，未雨綢繆。

相關閱讀：2018網路安全事件：

一、英特爾處理器曝「Meltdown」和「Spectre漏洞」

2018年1月，英特爾處理器中曝「Meltdown」(熔斷)和「Spectre」 (幽靈)兩大新型漏洞，包括AMD、ARM、英特爾系統和處理器在內，幾乎近20年發售的所有設備都受到影響，受影響的設備包括手機、電腦、伺服器以及雲計算產品。這些漏洞允許惡意程序從 其它 程序的內存空間中竊取信息，這意味著包括密碼、帳戶信息、加密密鑰乃至其它一切在理論上可存儲於內存中的信息均可能因此外泄。

二、GitHub 遭遇大規模 Memcached DDoS 攻擊

2018年2月，知名代碼託管網站 GitHub 遭遇史上大規模 Memcached DDoS 攻擊，流量峰值高達1.35 Tbps。然而，事情才過去五天，DDoS攻擊再次刷新紀錄，美國一家服務提供商遭遇DDoS 攻擊的峰值創新高，達到1.7 Tbps!攻擊者利用暴露在網上的 Memcached 伺服器進行攻擊。網路安全公司 Cloudflare 的研究人員發現，截止2018年2月底，中國有2.5萬 Memcached 伺服器暴露在網上 。

三、蘋果 iOS iBoot源碼泄露

2018年2月，開源代碼分享網站 GitHub(軟體項目託管平台)上有人共享了 iPhone 操作系統 的核心組件源碼，泄露的代碼屬於 iOS 安全系統的重要組成部分——iBoot。iBoot 相當於是 Windows 電腦的 BIOS 系統。此次 iBoot 源碼泄露可能讓數以億計的 iOS 設備面臨安全威脅。iOS 與 MacOS 系統開發者 Jonathan Levin 表示，這是 iOS 歷史上最嚴重的一次泄漏事件。

四、韓國平昌冬季奧運會遭遇黑客攻擊

2018年2月，韓國平昌冬季奧運會開幕式當天遭遇黑客攻擊，此次攻擊造成網路中斷，廣播系統(觀眾不能正常觀看直播)和奧運會官網均無法正常運作，許多觀眾無法列印開幕式門票，最終未能正常入場。

五、加密貨幣采礦軟體攻擊致歐洲廢水處理設施癱瘓

2018年2月中旬，工業網路安全企業 Radiflow 公司表示，發現四台接入歐洲廢水處理設施運營技術網路的伺服器遭遇加密貨幣采礦惡意軟體的入侵。該惡意軟體直接拖垮了廢水處理設備中的 HMI 伺服器 CPU，致歐洲廢水處理伺服器癱瘓 。

Radiflow 公司稱，此次事故是加密貨幣惡意軟體首次對關鍵基礎設施運營商的運營技術網路展開攻擊。由於受感染的伺服器為人機交互(簡稱HMI)設備，之所以導致廢水處理系統癱瘓，是因為這種惡意軟體會嚴重降低 HMI 的運行速度。

病毒入侵相關 文章 ：

1. 計算機病毒「火焰」介紹

2. 如何防止勒索病毒

3. 如何讓電腦病毒及其他流氓軟體入侵不了電腦

4. 計算機病毒主要分類

5. 電腦中了Explorer.exe木馬病毒怎麼辦