病毒如何直接攻击服务器

A. 服务器有什么攻击手段

主机侦探就和大家说说常见的服务器攻击手段：
一、CC攻击：CC攻击的原理便是攻击者控制某些主机不停地发许多数据包给对方服务器形成服务器资源耗尽，一直到宕机溃散。
二、DDOS攻击：近几年由于宽带的遍及，许多网站开始盈余，其间许多不合法网站利润巨大,形成同行之间互相攻击，还有一部分人使用网络攻击来敲诈钱财。
三、长途衔接不上：有或许是3389攻击，这个比较好处理。
四、80端口攻击：这个是让WEB管理员头痛的，现在只需拔掉网线，等一段时间期望攻击没了就OK了，期望能得到更好的处理办法。
五、arp攻击：ARP攻击便是经过伪造IP地址和MAC地址完成ARP诈骗，可以在网络中发生许多的ARP通讯量使网络阻塞，攻击者只需持续不断的宣布伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，形成网络中断或中间人攻击。

B. 网络病毒的攻击原理是什么

您好，网络病毒的攻击，会通过文件传输、下载、拷贝等方式感染其他文件，从中盗取您的资料以及账户信息，破环您的系统，严重的会通过您的账户盗取您的财产。

建议您在自己的电脑上安装上电脑管家，腾讯电脑管家是腾讯公司出品的永久免费专业安全软件， 2 合 1 杀毒版集“专业病毒查杀、智能软件管理、系统安全防护”于一身，开创了“杀毒 + 管理”2合1的创新模式，先后通过VB100等四大权威测试，杀毒实力以达到世界级先进水平。

希望帮助到您，电脑管家竭诚为您服务，您的支持是我们的动力，望采纳。

管家下载地址腾讯电脑管家官网

腾讯电脑管家企业平台：http://..com/c/guanjia/

C. 告诉我一些有名的病毒，及他们分别怎样攻击电脑

分类: 电脑/网络 >> 反病毒
解析:

一、VBS.LoveLetter@MM

这是一个Loveletter病毒家族的变种，该病毒通过下面的邮件传播：

主题：: Where are you?

消息主体： This is my pic in the beach!

附件： JENNIFERLOPEZ_NAKED.JPG.vbs

VBS.Loveletter.CN@mm还安装文件Cih_14.exe，该文件是CIH病毒的安装器，并企图运行CIH病毒。

当执行时，病毒VBS.Loveletter.CN@mm将试图完成下面的工作：

1、修改注册键中的"Timeout" 键值，这样当 诵薪铣な奔湎低巢换嵯允鞠ⅰH缓螅《舅阉魉锌捎玫那鳎檎揖哂邢铝欣┱姑奈募?

--扩展名为.vbe, , .jpeg 的文件被替换成 《镜母北尽?

--扩展名为.js, .jse, .css, .wsh, .sct, 和.hta 的文件将被 《靖北咎婊唬⑶椅募睦┱姑崽砑?vbs 。例如：原文件Filename.wsh 变成Filename.wsh.vbs.

--扩展名为.mp2 和.mp3的文件被复制，副本的扩展名中将添加.vbs的后缀，原文件被标记为隐藏。

2、创建下面的注册键：

HKEY_CURRENT_USER\Sofare\JENNIFFERLOPEZ_NAKED\Worm made in algeria

3、添加注册键值：

HKEY_LOCAL_MACHINE\Sofare\Microsoft\Windows\CurrentVersion\Run

值：WORM w exe \\JENNIFERLOPEZ_NAKED.JPG.vbs %

以便每次windows启动都运行该病毒。

4、检查注册键：

HKEY_CURRENT_USER\Sofare\JENNIFFERLOPEZ_NAKED的值是否为：mailed = 1

如果不是，则执行发送邮件功能，发送完邮件，将其值设为1。

5、蠕虫编写十六进制的文件并将其保存为\Windows\Cih_14.exe。该文件包含一个CIH病毒的安装器，之后执行该文件。一旦执行，病毒将驻留内存（win98/me），并感染PE可执行文件。

二、W32.Nimda

Worms.Nimda 是一个新型蠕虫，也是一个病毒，它通过email、共享网络资源、IIS服务器传播。同时它也是一个感染本地文件的新型病毒。

Worms.Nimda运行时，会搜索本地硬盘中的HTM和HTML文件和EXCHANGE邮箱，从中找到EMAIL地址，并向这些地址发邮件；搜索网络共享资源，并试图将带毒邮件放入别人的共享目录中；利用CodeBlue病毒的方法，攻击随机的IP地址，如果是IIS服务器，并未安装补丁，就会中毒。该蠕虫用它自己的的SMTP服务器去发出邮件。同时用已经配置好的DNS获得一个mail服务器的地址。

Worms.Nimda运行时，会查找本地的HTM/ASP文件，将生成的带毒邮件放入这些文件中，并加入java 疟尽U庋康备猛潮淮蚩保突嶙远蚩萌径镜膔eadme.eml。

Worms.Nimda感染本地PE文件时，有两种方法，一种是查找所械腤INDOWS 应用程序(在HKEY_LOCAL_MACHINE/Sofare/Microsoft/Windows/Currentversion/App Paths中)，并试图感染之，但不感染WINZIP32.EXE；第二种方法搜索所有文件，并试图感染之。被感染的文件会增大约57KB。

如果用户游览了一个已经被感染的web 页时，就会被提示下载一个.eml(Outlook Express)的电子邮件文件，该邮件的MIME头是一个非正常的MIME头，并且它包含一个附件，即此蠕虫。这种邮件也可能是别人通过网络共享存入你的计算机中，也可能是在别人的共享目录中，无论如何，只要你在WINDOWS的资源管理器中选中该文件，WINDOWS将自动预览该文件，由于Outlook Express的一个漏洞，导致蠕虫自动运行，因此即使你不打开文件，也可能中毒，相关信息请参见微软安全网站：microsoft/tech/security/bulletin/MS01-020，同时，该漏洞已有安全补丁：microsoft/windows/ie/downloads/critical/q290108/default。

当这个蠕虫执行的时候，它会在WINDOWS目录下生成MMC.EXE文件，并将其属性改为系统、隐藏；它会用自己覆盖SYSTEM目录下的RICHED20.DLL，这个文件是OFFICE套件运行的必备库，WINDOWS的写字板等也要用到这个动态库，任何要使用这个动态库的程序试图启动时，都会激活该它；它会将自己复制到SYSTEM目录下，并改名为LOAD.EXE，同时将SYSTEM.INI文件中的SHELL项改为“explorer．exe load．exe － dontrunold”，这样，在系统每次启动时，将自动运行它；这个蠕虫会在已经感染的计算机共享所有本地硬盘，同时，这个蠕虫会以超级管理员的权限建立一个guest的访问帐号，以允许别人进入本地的系统。这个蠕虫改变Explorer的设置这样就让它无法显示隐藏文件和已知文件的扩展名

三、W32.Elkern.cav.c

W32.ElKern.3326感染共享文件、映像驱动器，同时该病毒还会感染本机硬盘的\Windows\System目录中的文件。

如果病毒是在Windows NT/2000系统中被激活，当第一次被激活后，病毒变会蹦溃。

如果病毒在Windows 9x系统中被激活并且本机有带写保护的网络映像，很短的时间后，病毒将使机器当掉。

病毒感染文件后，文件的大小并不改变。

W32.ElKern.3326在感染文件时可能是空的感染源也可能是“添加器”，这就意味着，如果可能，病毒将拒绝将自身代码添加到宿主文件内，免得文件的尺寸变大。

一旦病毒被激活，它将创建一个自身的可执行文件后，直接控制对宿主文件。

在\Windows\System目录中创建自身的副本，文件名依不同的系统而不同：

1）Windows 95/98/Me： %System%\Wqk.exe

2）Windows NT/2000： %System%\Wqk.dll

根据不同的操作系统，W32.ElKern.3326创建不同的不同的注册键：

1）Windows 95/98/Me

HKEY_LOCAL_MACHINE\Sofare\Microsoft\Windows\CurrentVersion\Run

值：WQK %System%\Wqk.exe

2）HKEY_LOCAL_MACHINE\Sofare\Microsoft\Windows NT\CurrentVersion\Windows

值：AppInit_DLLs %System%\Wqk.dll

eeen each file that it tries to infect.

四、VBS.Redlof@M

1.此病毒属于脚本类病毒,此病毒感染脚本类型的文件。

2.此病毒运行时，全盘查找脚本类型的文件{vbs,, 等),如果找到，则将病毒自身加入这些文件的尾部，完成感染。

3.此病毒感染目录时，还会在一些目录下产生两个文件，一个名为：desktop.ini的目录配置文件，一个名为：folder.htt的病毒体文件。

五、W32.Klez

该病毒基本分为两部分：一部分是狭义上的病毒，它感染PE结构文件，病毒大小约为3K，用汇编语言编写；第二部分是蠕虫大小为56K，它在运行中会释放并运行一个11722字节的带毒的PE文件。第二部分是用VC++编写的，它只可以在WINDOWS 9X或WINDOWS2000上运行，在NT4上无法运行。

它的传播方式有四种：

第一种：通过INTERNET邮件，它搜索当前用户的地址簿文件中的类邮件地址的文本内容，或随机计算邮件地址，通过WINDOWS的SOCKET函数集用SMTP服务器发送自己这个带毒木马，邮件文件是由木马部分形成，并且该邮件会在OUTLOOK EXPRESS下自动执行，它的主题是随机的，但以下几种情况：

Hi

Hello

How are you?

Can you help me?

We want peace.

Where will you go?

Congratulations!!!

Don't cry.

Look at the pretty.

Some advice on your shorting.

Free XXX Pictures.

A free hot *** site.

Why don't reply to me?

How about have dinner with me together?

信的正文为：

I'm sorry to do so,but it's helpless to say sorry.

I want a good job,I must support my parents.

Now you have seen my technical capabilities.

How much my year-salary now? NO more than $5,500.

What do you think of this fact?..Don't call my names,I have no hostility.

Can you help me?

第二种：通过网络邻居，它搜索所有的网络连接，查找共享目录，将自己的文件放到享目录中，并试图让远程计算机将它作为一个服务启动。

第三种：通过磁盘传播，它创建专门的线程感染磁盘，如果当前日期奇数月的13号，将找到的文件内容进行复制。

第四种：方式病毒感染。

病毒部分的运行过程：

1、解密后面的代码长度258H字节

2、然后病毒在内存中查找KERNEL32模块，并根据名字的检验字找到一大批函数入口，这些函数供后面的代码调用。

3、申请内存，将所有代码拷贝到申请的内存中，并转申请的内存执行。

4、查检有无调试程序（调IsDebugPresent函数），如在调试程序下运行，终止病毒代码，返回到原宿主程序（如果是配套的木马，则返回到操作系统）。

5、启动感染代码，如未在调试程序下运行，在SYSTEM（由GetSystemDirectory）目录感染或建立WQK.EXE(WIN9X下)或WQK.DLL(NT下)。

6、将当前进程注册为服务进程。

7、创建感染线程，根据系统时间，如果为13号且为3月或9月，感染所有硬盘或网络盘文件。否则感染系统目录。某些条件下创始的感染线程会启动另一个感染线程，直到系统崩溃。

8、如果是NT操作系统，同时感染所有网络邻居。

9、返回宿主或操作系统。

木马部分运行过程：

1、解码所有字符串。

2、改变当前进程访问权限。

3、启动线程1，线程1的作用如下：

检查当前所有进程，如果有以下进程（部分匹配），则终止这些进程：

_AVP32, _AVPCC, _AVPPM, ALERTSVC,AMON

AVP32,AVPCC,AVPM,N32SCANW,NAVAPSVC,

NAVAPW32,NAVLU32,NAVRUNR,NAVW32,NAVWNT,

NDD32,NPSSVC,NRESQ32,NSCHED32,NSCHEDNT,

NSPLUGIN,SCAN,SMSS

如果是WINDOWS9X系统，将当前程序设为自启动（Sofare\Microsoft\Windows\CurrentVersion\Run）线程永不终止。

4、启动线程2，作用如下：

复制自己，运行后删除，然后线程终止。

5、在系统目录中创建KRNL32.EXE，如果是9X，运行它，并将它放入 Sofare\Microsoft\Windows\CurrentVersion\Run 中自动运行。如果是2000系统，

将它作为Service启动。

6、创建线程3，发送EMAIL。

创建线程4，感染网络所有共享文件，每8小时搜索一次。

创建线程5，搜索磁盘文件。

创建线程6，检查当前日期是否为奇数月的13号，如是，将所有文件复制一次，线程5小时运行一次，永不退出。

六、W32.Nimda.eml

感染途径：

该病毒是一种传染途径很多的病毒，并且尝试利用多种已知系统漏洞，于第一版相似，它通过以下途径感染

l 电子邮件（附件）

l 局域网共享驱动器

l 利用没有安装Service Pack的IIS(Inter Information Server)

l 通过文件感染

利用了如下的系统漏洞：

l MIME漏洞，可以在没有得到用户许可的情况下自动执行附件

l IIS漏洞，使之可以被上载恶意代码与前版本的不同：

Win32.Nimda.E是Nimda.A的新变种，它修改了以前版本的一些错误，并且加入了对付多种对抗反病毒软件的设计，它与第一版的主要区别有：

l 附件名改名为Sample.exe

l 复制本身到系统目录下的名称改为Csrss.exe（原来为mmc.exe）

l 释放出的动态库名称变更为Httpodbc.dll

建议用户做如下系统升级，以便防患于未然：

升级到Inter Explorer 5.01 SP2 或

升级到Inter Explorer 5.5 SP2 或

升级到Inter Explorer 6.0

下载并安装升级包，NT4用户使用NT4 Service Pack 6a，Windows 2000用户使用 Windows 2000 Service Pack 2，并且到微软公司的主页（或用Windows Update）下载安全补丁。

注意磁盘共享的权限、口令设置，不要让所有用户对硬盘驱动器都可以读写不要打开来历不明的邮件附件，尤其是可执行文件。

七、W32.Klez.eml

新的Klez变种在以前的基础上增加了更多的工作线程，并且在驻留系统后可能会结束其它进程并且删除相应文件，所以有较大的破坏，提请用户注意！

蠕虫的流程：

1.蠕虫使用AdjustTokenPrivileges调整自己的特权，

2.拷贝自己的一个副本到系统目录下，名为win****.exe.

3.修改注册表，向SCM数据库中添加新的服务。

4.复制自己并运行，然后删除。

5.调用StartServiceCtrlDispatcher函数。

6.服务创建下面的线程。

7.结束。

第一个线程：

写注册表

遍历系统进程，结束正在运行的进程并删除进程的磁盘文件。

第二个线程：

发email.

第三个线程：

遍历本地网络。

第四个线程：

注册表操作

第六个线程：

搜索特定目录

第七个线程：

搜本地磁盘。

第八个线程：

搜索磁盘文。

第五个线程：

复制自己，运行后删除。

信件主题可能为以下内容：

Hi,

Hello,

Re:

Fw:

Undeliverable mail--"..."

Return

how are you

Let's be friends

Darling

Don't drink too much

your password

Honey

Some questions

Please try again

wele to my hometown

The Garden of Eden

Introction on ADSL

Meeting notice

questionnaire

Congratulations

Sos!

Japanese girl VS playboy

Look,my beautiful girl friend

Eager to see you

spice girls' vocal concert

Japanese lass' sexy pictures

信件携带的附件虚假扩展名可能为以下之一：

txt wab doc xls cpp c pas mpg mpeg bak mp3

真实扩展名为EXE SCR PIF BAT之一。

病毒体内有以下加密信息：

Win32 Klez V2.0 & Win32 Elkern V1.1,(There nick name is Twin Virus*^__^*)

Copyright,made in Asia,announcement:

1.I will try my best to protect the user from some vicious virus,Funlove,Sircam,Nimda,CodeRed and even include 32.Klez1.X

2.Pitiful AVers,can't Elkern 1.0 & 1.1 work on Win 2K&XP?Plz clear your eyes.

3.Well paid jobs are wanted

4.Poor life should be unblessed

5.Don't accuse me.Please accuse the unfair shit world

解决方法，本病毒无法手工杀毒，只能升级杀毒软件。并且由于会结束进程，所以建议用户在DOS下用杀毒软件清除。

八、Script.Exploit

1.此病毒利用脚本的SCAPE功能将自身加密,以达到隐藏自己的目的.

2.此病毒利用”万花谷病毒”的技术来破坏系统的正常使用.

3.将IE的首页通过系统注册表项

HKEY_LOCAL_CURRENT_USER\\Sofare\\Microsoft\\Inter Explorer\\Main\\Start Page",设置成为:” hunk.love.you/'>[url=hunk.love.you/]hunk.love.you/”

4.为了达到破坏性，该病毒对系统的注册表做了如下的修改：

1.通过系统注册表项HKCU\\Sofare\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\NoRun的修改使系统没有”运行”菜单。

2.通过系统注册表项HKCU\\Sofare\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\NoClose的修改使系统没有” 关闭系统”项目.

3.通过系统注册表项HKCU\\Sofare\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\NoLogOff的修改使系统没有”注销”项目.

4.通过系统注册表项HKCU\\Sofare\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\NoDrives的修改使系统没有所有的逻辑驱动器.

5.通过系统注册表项HKCU\\Sofare\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\DisableRegistryTools的修改使系统不能使用注册表的编辑工具REGEDIT.

6.通过系统注册表项HKCU\\Sofare\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\NoDesktop的修改使系统没有桌面.

7.通过系统注册表项HKCU\\Sofare\\Microsoft\\Windows\\CurrentVersion\\Policies\\WinOldApp\\Disabled的修改使系统禁止运行所有的DOS应用程序.

8.通过系统注册表项HKCU\\Sofare\\Microsoft\\Windows\\CurrentVersion\\Policies\\WinOldApp\\Disabled的修改使系统不能启动到"实模式（传统的DOS模式）"下.

9.通过系统注册表项"HKLM\\Sofare\\Microsoft\\Windows\\CurrentVersion\\Winlogon\\LegalNoticeCaption的修改使系统登录时显示一个登录窗口,此窗口的标题为:” HUNK提醒您中了※混客绝情炸弹※QQ:5604160”.

10.通过系统注册表项HKLM\\Sofare\\Microsoft\\Windows\\CurrentVersion\\Winlogon\\LegalNoticeText的修改使系统登录时显示一个登录窗口,此窗口内的文字为:” HUNK提醒您中了※混客绝情炸弹※QQ:5604160”.

11.通过系统注册表项HKLM\\Sofare\\Microsoft\\Inter Explorer\\Main\\Window Title的修改使系统在打开所有的IE窗口时, 窗口的标题为:” HUNK提醒您中了※混客绝情炸弹※QQ:5604160”.

九、W32.FunLove.gen

这是WIN32类型的病毒，它可以感染Windows 9x 和Windows NT 4.0操作系统。它感染所有WIN32类型的文件（PE文件），如Windows 和 Program Files 目录及其子目录中的扩展名为.EXE, .SCR, and .OCX 的文件。该病毒搜索所有具有写访问的网络共享文件夹并感染那里的所有的文件。该病毒同时能够修补NT环境的完整性检测，以便能够感染系统文件。

病毒中有'~Fun Loving Criminal~'字样。 该病毒没有故意的破坏性，但是由于NT系统安全性很差而可能造成的破坏还是应当引起注意的。

同一个简单的添加一样，Win32/Funlove.4099将它的代码复制到宿主文件的最后一个扇区的结尾，然后，它修改PE文件头信息以显示新的扇区大小，使扇区的特征适应病毒的需要，同时病毒修改原文件入口点的程序代码以便执行病毒代码。

当一个染毒程序被运行，病毒代码程序获得系统控制权，Win32/Funlove.4099 病毒在系统目录下创建FLCSS.EXE文件，并从染毒宿主文件的最后提取出病毒代码，将其写入该文件中，然后FLCSS.EXE被执行。

如果是在NT的许可权限下运行，FLCSS.EXE会将自身像一个服务程序一样安装到NT机器上。它会以"FLC"显示在标准的NT服务列表中，并且被设置为在每次启动时自动运行此服务。在Windows 9X下，它像一个隐含程序一样运行，在任务列表中是不可见的。

在病毒程序第一次运行时，该病毒会按照一定的时间间隔，周期性地检测每一个驱动器上的EXE，SCR（屏保程序）和OCX（ActiveX control）文件，找到相应的文件就感染它们。它还搜索在网络上可使用的共享资源，并感染任何有访问权限的同一类型的文件。因此，它可以在机器间完全开放权限的共享文件上非常快地传播。该病毒检测以下文件名且不感染它们：ALER*, AMON*, _AVP*, AVP3*, AVPM*, F-PR*, NAVW*, SCAN*, SMSS*, DDHE*, DPLA*, MPLA*。

尽管该病毒对数据没有直接的破坏性，但是在NT下，Win32/Funlove.4099 病毒还是对NTOSKRNL.EXE 文件做了一个小的修改（patch），使得文件的许可请求总是返回允许访问（access allowed），这意味着被感染机器的安全已受到了极大地威胁。只要是在被修改的机器上，所有的用户都拥有了对每一个文件的完全控制访问权，即使是在系统中可能拥有最低权限的GUEST，也能读取或修改所有文件，包括通常只有管理员才能访问的文件。在NT启动时，NTLDR将检测NTOSKRNL.EXE 的完整性，所以病毒也修改NTLDR，因此NTLDR将允许系统加载修改后的NTOSKRNL文件。这种修改只能在某些NT服务包（service packs）中起作用，但是不管当前机器的SP级别病毒都会申请修改程序。在感染FLC病毒的NT机器上清除病毒后，需要用备份文件对这些被修改的文件进行恢复，或者重新安装这些文件。

如果FLCSS.EXE 运行在DOS下，病毒将显示'~Fun Loving Criminal~'字串，然后它试图通过键盘控制器重新启动系统。这大概是希望Windows被加载且病毒可能有另一个机会去执行。这种尝试经常失败，而计算机则被锁。

十、W95.Spaces.gen

这是一个危险的常驻内存寄生病毒。它只在WIN95/98下进行复制，而且会感染WIN32可执行文件。当一个受染文件运行的时候，病毒会自我安装到WINDOWS内存中。在感染的时候，病毒会增加文件最后区的空间病把自己写到这里。

在七月一日，病毒会破坏硬盘的MBR区病毒终止机器的运行。它会删除MBR载入程序的代码并修改磁盘的分区表格，这样只有一个区间被列出，然后指到MBR区。这种方式的破坏很危险：在DOS装载的时候会被终止。虽然磁盘上的数据没有被破坏，但是这个磁盘区不能被再次访问了。病毒能绕过BIOS防病毒保护程序把自己直接写到硬盘控制器的端口，这样就破坏了MBR区间。由于病毒程序存在缺陷，因此会产生"General Protection Fault"出错信息，这样MBR就会免于受到破坏。

注意：如果在一个文件的最后部分发现字符串ERL，这就能证明此病毒已经感染了这个文件。

D. 服务器受到攻击的几种方式

服务器受攻击的方式主要有以下几种：
1．数据包洪水攻击
一种中断服务器或本地网络的方法是数据包洪水攻击，它通常使用Internet控制报文协议（ICMP）包或是UDP包。在最简单的形式下，这些攻击都是使服务器或网络的负载过重，这意味着黑客的网络速度必须比目标的网络速度要快。使用UDP包的优势是不会有任何包返回到黑客的计算机。而使用ICMP包的优势是黑客能让攻击更加富于变化，发送有缺陷的包会搞乱并锁住受害者的网络。目前流行的趋势是黑客欺骗目标服务器，让其相信正在受到来自自身的洪水攻击。

2．磁盘攻击
这是一种更残忍的攻击，它不仅仅影响目标计算机的通信，还破坏其硬件。伪造的用户请求利用写命令攻击目标计算机的硬盘，让其超过极限，并强制关闭。这不仅仅是破坏，受害者会遭遇不幸，因为信息会暂时不可达，甚至丢失。

3．路由不可达
通常，DoS攻击集中在路由器上，攻击者首先获得控制权并操纵目标机器。当攻击者能够更改路由器的路由表条目的时候，会导致整个网络不可达。这种攻击是非常阴险的，因为它开始出现的时候往往令人莫名其妙。毕竟，你的服务器会很快失效，而且当整个网络不可达，还是有很多原因需要详审的。

4．分布式拒绝服务攻击
最有威胁的攻击是分布式拒绝服务攻击（DDoS）。当很多堡垒主机被感染，并一起向你的服务器发起拒绝服务攻击的时候，你将伤痕累累。繁殖性攻击是最恶劣的，因为攻击程序会不通过人工干涉蔓延。Apache服务器特别容易受攻击，无论是对分布式拒绝服务攻击还是隐藏来源的攻击。为什么呢？因为Apache服务器无处不在。在万维网上分布着无数的Apache服务器，因此为Apache定制的病毒（特别是SSL蠕虫）潜伏在许多主机上；带宽如今已经非常充裕，因此有很多的空间可供黑客操纵。蠕虫攻击利用服务器代码的漏洞，通过SSL握手将自己安装在Apache服务器上。黑客利用缓冲溢出将一个伪造的密钥安装在服务器上（适用于运行低于0.9.6e版本的OpenSSL的服务器）。攻击者能够在被感染的主机上执行恶意代码，在许多这样的病毒作用下，下一步就是对特定的目标发动一场浩大的分布式拒绝服务攻击了。通过将这样的蠕虫散播到大量的主机上，大规模的点对点攻击得以进行，对目标计算机或者网络带来不可挽回的损失。

E. 计算机病毒是怎么入侵到主机里的要的是过程

计算机病毒在网络中泛滥已久，而其在局域网中也能快速繁殖，导致局域网计算机的相互感染，下面将为大家介绍有关局域网病毒的入侵原理及防范方法。
一、局域网病毒入侵原理及现象

一般来说，计算机网络的基本构成包括网络服务器和网络节点站（包括有盘工作站、无盘工作站和远程工作站）。计算机病毒一般首先通过各种途径进入到有盘工作站，也就进入网络，然后开始在网上的传播。具体地说，其传播方式有以下几种。

（1）病毒直接从工作站拷贝到服务器中或通过邮件在网内传播；

（2）病毒先传染工作站，在工作站内存驻留，等运行网络盘内程序时再传染给服务器；

（3）病毒先传染工作站，在工作站内存驻留，在病毒运行时直接通过映像路径传染到服务器中

（4）如果远程工作站被病毒侵入，病毒也可以通过数据交换进入网络服务器中一旦病毒进入文件服务器，就可通过它迅速传染到整个网络的每一个计算机上。而对于无盘工作站来说，由于其并非真的"无盘"（它的盘是网络盘），当其运行网络盘上的一个带毒程序时，便将内存中的病毒传染给该程序或通过映像路径传染到服务器的其他的文件上，因此无盘工作站也是病毒孽生的温床。

由以上病毒在网络上的传播方式可见，在网络环境下，网络病毒除了具有可传播性、可执行性、破坏性等计算机病毒的共性外，还具有一些新的特点。

（1）感染速度快

在单机环境下，病毒只能通过介质从一台计算机带到另一台，而在网络中则可以通过网络通讯机制进行迅速扩散。根据测定，在网络正常工作情况下，只要有一台工作站有病毒，就可在几十分钟内将网上的数百台计算机全部感染。

（2）扩散面广

由于病毒在网络中扩散非常快，扩散范围很大，不但能迅速传染局域网内所有计算机，还能通过远程工作站将病毒在一瞬间传播到千里之外。

（3）传播的形式复杂多样

计算机病毒在网络上一般是通过"工作站"到"服务器"到"工作站"的途径进行传播的，但现在病毒技术进步了不少，传播的形式复杂多样。

（4）难于彻底清除e.

单机上的计算机病毒有时可以通过带毒文件来解决。低级格式化硬盘等措施能将病毒彻底清除。而网络中只要有一台工作站未能清除干净，就可使整个网络重新被病毒感染，甚至刚刚完成杀毒工作的一台工作站，就有可能被网上另一台带毒工作站所感染。因此，仅对工作站进行杀毒，并不能解决病毒对网络的危害。

（5）破坏性大

网络病毒将直接影响网络的工作，轻则降低速度，影响工作效率，重则使网络崩溃，破坏服务器信息，使多年工作毁于一旦。

（6）可激发性

网络病毒激发的条件多样化，可以是内部时钟、系统的日期和用户名，也可以是网络的一次通信等。一个病毒程序可以按照病毒设计者的要求，在某个工作站上激发并发出攻击。

（7）潜在性

网络一旦感染了病毒，即使病毒已被清除，其潜在的危险性也是巨大的。根据统计，病毒在网络上被清除后，85％的网络在30天内会被再次感染。

例如尼姆达病毒，会搜索本地网络的文件共享，无论是文件服务器还是终端客户机，一旦找到，便安装一个隐藏文件，名为Riched20.DLL到每一个包含"DOC"和"eml"文件的目录中，当用户通过Word、写字板、Outlook打开"DOC"和"eml"文档时，这些应用程序将执行Riched20.DLL文件，从而使机器被感染，同时该病毒还可以感染远程服务器被启动的文件。带有尼姆达病毒的电子邮件，不需你打开附件，只要阅读或预览了带病毒的邮件，就会继续发送带毒邮件给你通讯簿里的朋友。

二、局域网病毒防范方法

以"尼姆达"病毒为例，个人用户感染该病毒后，使用单机版杀毒软件即可清除；然而企业的网络中，一台机器一旦感染"尼姆达"，病毒便会自动复制、发送并采用各种手段不停交叉感染局域网内的其他用户。

计算机病毒形式及传播途径日趋多样化，因此，大型企业网络系统的防病毒工作已不再像单台计算机病毒的检测及清除那样简单，而需要建立多层次的、立体的病毒防护体系，而且要具备完善的管理系统来设置和维护对病毒的防护策略。

一个企业网的防病毒体系是建立在每个局域网的防病毒系统上的，应该根据每个局域网的防病毒要求，建立局域网防病毒控制系统，分别设置有针对性的防病毒策略。

（1）增加安全意识

杜绝病毒，主观能动性起到很重要的作用。病毒的蔓延，经常是由于企业内部员工对病毒的传播方式不够了解，病毒传播的渠道有很多种，可通过网络、物理介质等。查杀病毒，首先要知道病毒到底是什么，它的危害是怎么样的，知道了病毒危害性，提高了安全意识，杜绝毒瘤的战役就已经成功了一半。平时，企业要从加强安全意识着手，对日常工作中隐藏的病毒危害增加警觉性，如安装一种大众认可的网络版杀毒软件，定时更新病毒定义，对来历不明的文件运行前进行查杀，每周查杀一次病毒，减少共享文件夹的数量，文件共享的时候尽量控制权限和增加密码等，都可以很好地防止病毒在网络中的传播。

（2）小心邮件

随着网络的普及，电子信箱成了人们工作中不可缺少的一种媒介。它方便快捷在提高了人们的工作效率的同时，也无意之中成为了病毒的帮凶。有数据显示，如今有超过90％的病毒通过邮件进行传播。

尽管这些病毒的传播原理很简单，但这块决非仅仅是技术问题，还应该教育用户和企业，让它们采取适当的措施。例如，如果所有的Windows用户都关闭了VB脚本功能，像库尔尼科娃这样的病毒就不可能传播。只要用户随时小心警惕，不要打开值得怀疑的邮件，就可把病毒拒绝在外。

（3）挑选网络版杀毒软件

选择一个功力高深的网络版病毒"杀手"就至关重要了。一般而言，查杀是否彻底，界面是否友好、方便，能否实现远程控制、集中管理是决定一个网络杀毒软件的三大要素。http://netadmin.77169.com/HTML/20070206004819.html

F. 勒索病毒怎么进的服务器

勒索病毒传播方法如下:

服务器入侵传播：通过系统或者软件漏洞进入服务器，或RDP破解远控；利用病毒，木马来盗取密码进行入侵；
·利用漏洞自动传播：利用系统自身漏洞进行传播
·软件供应链攻击传播：对合法软件进行劫持篡改，绕过了安全产品
·邮件附件传播：在附件中夹带恶意文件，执行其中的脚本
·挂马网页传播：在网页插入木马，受害的为裸奔用户

G. 勒索病毒主要通过什么方法攻击电脑

勒索病毒简介

勒索病毒，是一种新型电脑病毒，主要以邮件，程序木马，网页挂马的形式进行传播。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。

H. 计算机病毒入侵计算机有哪些方式

病毒入侵的三种典型途径

1． 文件交叉感染

曾让人毛骨悚然的CIH病毒就是通过此类方式传染，只要中毒后，使用文件浏览器浏览到扩展名为EXE 的文档均会被此病毒感染，所以桌面PC、文件服务器都难逃其害。但由于容易被发觉，所以其传染途径易于被防病毒软件阻截。

2． 电子邮件传播

“求职信病毒”是一种通过邮件途径大规模传播的蠕虫病毒的代表，这类病毒主要通过电子邮件系统进行传播，甚至可将自己发往Outlook或ICQ中的所有地址，传播速度明显快于其他病毒。但如果人们对外来陌生邮件保持高度警惕，其危害也是可控的。

3． 浏览网页及文件下载感染

现在人们经常通过网站浏览信息或下载一些工具软件。但许多不知名的网页及其提供的线上工具软件本身就感染了病毒，如果没有经过病毒过滤，许多病毒就悄悄潜入，这当中包括蠕虫病毒（如臭名昭着的Nimda）、文件型病毒等。这一病毒传播的途径隐蔽性较强，不易被人们发现，也难以被阻截。
（以上内容来自于：http://www2.ccw.com.cn/02/0229/d/0229d08_3.asp)

另外还有自资料说——
如按其入侵的方式来分为以下几种：

a、源代码嵌入攻击型

从它的名字我们就知道这类病毒入侵的主要是高级语言的源程序，病毒是在源程序编译之前插入病毒代码，最后随源程序一起被编译成可执行文件，这样刚生成的文件就是带毒文件。当然这类文件是极少数，因为这些病毒开发者不可能轻易得到那些软件开发公司编译前的源程序，况且这种入侵的方式难度较大，需要非常专业的编程水平。

b、代码取代攻击型

这类病毒主要是用它自身的病毒代码取代某个入侵程序的整个或部分模块，这类病毒也少见，它主要是攻击特定的程序，针对性较强，但是不易被发现，清除起来也较困难。

c、系统修改型

这类病毒主要是用自身程序覆盖或修改系统中的某些文件来达到调用或替代操作系统中的部分功能，由于是直接感染系统，危害较大，也是最为多见的一种病毒类型，多为文件型病毒。

d、外壳附加型

这类病毒通常是将其病毒附加在正常程序的头部或尾部，相当于给程序添加了一个外壳，在被感染的程序执行时，病毒代码先被执行，然后才将正常程序调入内存。目前大多数文件型的病毒属于这一类。
(以上内容来自于：http://www.newasp.net/tech/security/13550.html)

I. 电脑病毒入侵方式有哪些

电脑病毒的入侵方式有很多很多!你知道多少种呢!我带你一起去了解!

电脑病毒入侵方式：

(1)感染速度快

在单机环境下，病毒只能通过介质从一台计算机带到另一台，而在网络中则可以通过网络通讯机制进行迅速扩散。根据测定，在网络正常工作情况下，只要有一台工作站有病毒，就可在几十分钟内将网上的数百台计算机全部感染。

(2)扩散面广

由于病毒在网络中扩散非常快，扩散范围很大，不但能迅速传染局域网内所有计算机，还能通过远程工作站将病毒在一瞬间传播到千里之外。

(3)传播的形式复杂多样

计算机病毒在网络上一般是通过"工作站"到"服务器"到"工作站"的途径进行传播的，但现在病毒技术进步了不少，传播的形式复杂多样。

(4)难于彻底清除e.

单机上的计算机病毒有时可以通过带毒文件来解决。低级格式化硬盘等 措施 能将病毒彻底清除。而网络中只要有一台工作站未能清除干净，就可使整个网络重新被病毒感染，甚至刚刚完成杀毒工作的一台工作站，就有可能被网上另一台带毒工作站所感染。因此，仅对工作站进行杀毒，并不能解决病毒对网络的危害。

(5)破坏性大

网络病毒将直接影响网络的工作，轻则降低速度，影响工作效率，重则使网络崩溃，破坏服务器信息，使多年工作毁于一旦。

(6)可激发性

网络病毒激发的条件多样化，可以是内部时钟、系统的日期和用户名，也可以是网络的一次通信等。一个病毒程序可以按照病毒设计者的要求，在某个工作站上激发并发出攻击。

(7)潜在性

网络一旦感染了病毒，即使病毒已被清除，其潜在的危险性也是巨大的。根据统计，病毒在网络上被清除后，85%的网络在30天内会被再次感染。

例如尼姆达病毒，会搜索本地网络的文件共享，无论是文件服务器还是终端客户机，一旦找到，便安装一个隐藏文件，名为Riched20.DLL到每一个包含"DOC"和"eml"文件的目录中，当用户通过Word、写字板、Outlook打开"DOC"和"eml"文档时，这些应用程序将执行Riched20.DLL文件，从而使机器被感染，同时该病毒还可以感染远程服务器被启动的文件。带有尼姆达病毒的电子邮件，不需你打开附件，只要阅读或预览了带病毒的邮件，就会继续发送带毒邮件给你通讯簿里的朋友。

J. 电脑病毒常见入侵方式有哪几种

电脑病毒看不见，却时刻威胁着我们 电脑安全 ，病毒无论是种类，特点还是入侵方式，都有很多种，还需对其常见的入侵加以防御，才可保护电脑及财产的安全。那么常见的入侵方式有哪些呢?

一、通过通讯软件感染病毒

近几年来，通过QQ、Yahoo! Messenger、Window等通讯软件传播病毒速率，成急剧增加的趋势。那究竟什么原因导致这个现象产生呢?其实答案很简单，就是IM软件支持了查看脱机信息。

以Windows Live Messenger聊天软件为例，在程序的主界面内，依次单击上方“工具”→“选项”，在弹出的“选项”对话框内，选择左侧“文件传输”标签，然后从中勾选“使用下列程序进行病毒扫描”复选框，并单击“浏览”按钮，指定本机内杀毒软件Acast!的位置即可，这样以后杀软就可对MSN传输中的文件进行扫描检测了。

二、P2P网络散毒传播

P2P网络中的资源和服务分散在所有节点上，因此信息的传输和服务的实现都直接在节点之间进行，可以无需中间环节和服务器的介入，从而避免了可能出现的瓶颈。但是P2P的网络安全却存在诸多隐患，例如用户在下载所谓的解除补丁，往往都是恶意人所部下的木马陷阱，一不小心就会中招导致电脑被入侵，甚至出现丢失游戏账号的情况出现。

另外像Bit、eMule(电驴)P2P软件，在默认情况下是允许每位用户互相下载资源，所以很多时候，用户在不了解软件这一特性之时，没有对其软件很好的设置，才会导致软件将自己的个人隐私共享出来，任P2P共享网络的人随便下载，这也是除以上病毒、木马陷阱之外屡见不鲜的事情。如果这里你要想防御，可以安装防火墙软件，来阻止间谍软件在未经允许的情况下偷偷传送个人隐私资料。

三、冒充正规网站邮件引人上钩

尽管你没有将自己的邮箱地址提供给任何人，但是每天都会收到一定数量的垃圾信件，而这些信件当中就有不少假冒淘宝、163、新浪等知名网站的邮件，其邮件内容链接一般大多都是“钓鱼”网站的地址，一旦进入就会出现银行或者游戏账号丢失的情况。

四、一不小心启动木马程序

有些朋友看到系统所发出的有漏洞信号后，可能就迫不及待的想去网上找补丁修补，生怕在这个时候让黑客进行侵入。其实殊不知这个时候还有更可怕的事情，那就是有些木马程序，已经将自己伪装成了补丁的模样，虎视眈眈等着你“自投罗网”。例如一个名为Update Kb4468-x86.exe的病毒文件，如果系统没有安装杀毒软件，相信在有 经验 的电脑高手，也很难将它与病毒联系到一起，倘若一不留神将其下载并运行，后果将不堪设想。

五、搜索引擎间传病毒

在网络的虚拟世界里，大家经常碰到QQ好友，或者同学邮箱发来网址信息的时候。对于其朋友所发来网址信息，自己又不好意思不看，看了又害怕电脑中毒，当然这里不排除有很多有经验的朋友，通过搜索引擎来分析网站内容，但是针对某个网站向用户提出的警告，常常会出现误判的情况，让用户防不胜防。因此大家不如安装Mcafee siteadvisor工具，这样当用户通过搜索引擎来进行网页搜索时，其软件就会帮你预先分析搜索结果的安全情况，如果想了解更多关于其网站的信息，只要将鼠标移动到网址文字的上方，就可显示其网站更全的信息，以及该网站是否安全的信息，从而让用户可放心进入被判定安全的站点了。

六、U盘病毒自动运行

相信很多朋友都遇到过，双击每个分区(如双击C盘，D盘，E盘等等)都打不开，且只能通过资源管理器才能打开的异常情况。顾名思义这是电脑中了病毒，其实这个病毒叫U盘病毒，这种病毒是通过U盘、移动硬盘、存储卡等移动存储设备来传播的，如果你要想将其清除该类病毒，可以找USBCleaner专业的清除U病毒软件来帮忙。

补充：校园网安全维护技巧

校园网络分为内网和外网，就是说他们可以上学校的内网也可以同时上互联网，大学的学生平时要玩游戏购物，学校本身有自己的服务器需要维护;

在大环境下，首先在校园网之间及其互联网接入处，需要设置防火墙设备，防止外部攻击，并且要经常更新抵御外来攻击;

由于要保护校园网所有用户的安全，我们要安全加固，除了防火墙还要增加如ips，ids等防病毒入侵检测设备对外部数据进行分析检测，确保校园网的安全;

外面做好防护 措施 ，内部同样要做好防护措施，因为有的学生电脑可能带回家或者在外面感染，所以内部核心交换机上要设置vlan隔离，旁挂安全设备对端口进行检测防护;

内网可能有ddos攻击或者arp病毒等传播，所以我们要对服务器或者电脑安装杀毒软件，特别是学校服务器系统等，安全正版安全软件，保护重要电脑的安全;

对服务器本身我们要安全server版系统，经常修复漏洞及更新安全软件，普通电脑一般都是拨号上网，如果有异常上层设备监测一般不影响其他电脑。做好安全防范措施，未雨绸缪。

相关阅读：2018网络安全事件：

一、英特尔处理器曝“Meltdown”和“Spectre漏洞”

2018年1月，英特尔处理器中曝“Meltdown”(熔断)和“Spectre” (幽灵)两大新型漏洞，包括AMD、ARM、英特尔系统和处理器在内，几乎近20年发售的所有设备都受到影响，受影响的设备包括手机、电脑、服务器以及云计算产品。这些漏洞允许恶意程序从 其它 程序的内存空间中窃取信息，这意味着包括密码、帐户信息、加密密钥乃至其它一切在理论上可存储于内存中的信息均可能因此外泄。

二、GitHub 遭遇大规模 Memcached DDoS 攻击

2018年2月，知名代码托管网站 GitHub 遭遇史上大规模 Memcached DDoS 攻击，流量峰值高达1.35 Tbps。然而，事情才过去五天，DDoS攻击再次刷新纪录，美国一家服务提供商遭遇DDoS 攻击的峰值创新高，达到1.7 Tbps!攻击者利用暴露在网上的 Memcached 服务器进行攻击。网络安全公司 Cloudflare 的研究人员发现，截止2018年2月底，中国有2.5万 Memcached 服务器暴露在网上 。

三、苹果 iOS iBoot源码泄露

2018年2月，开源代码分享网站 GitHub(软件项目托管平台)上有人共享了 iPhone 操作系统 的核心组件源码，泄露的代码属于 iOS 安全系统的重要组成部分——iBoot。iBoot 相当于是 Windows 电脑的 BIOS 系统。此次 iBoot 源码泄露可能让数以亿计的 iOS 设备面临安全威胁。iOS 与 MacOS 系统开发者 Jonathan Levin 表示，这是 iOS 历史上最严重的一次泄漏事件。

四、韩国平昌冬季奥运会遭遇黑客攻击

2018年2月，韩国平昌冬季奥运会开幕式当天遭遇黑客攻击，此次攻击造成网络中断，广播系统(观众不能正常观看直播)和奥运会官网均无法正常运作，许多观众无法打印开幕式门票，最终未能正常入场。

五、加密货币采矿软件攻击致欧洲废水处理设施瘫痪

2018年2月中旬，工业网络安全企业 Radiflow 公司表示，发现四台接入欧洲废水处理设施运营技术网络的服务器遭遇加密货币采矿恶意软件的入侵。该恶意软件直接拖垮了废水处理设备中的 HMI 服务器 CPU，致欧洲废水处理服务器瘫痪 。

Radiflow 公司称，此次事故是加密货币恶意软件首次对关键基础设施运营商的运营技术网络展开攻击。由于受感染的服务器为人机交互(简称HMI)设备，之所以导致废水处理系统瘫痪，是因为这种恶意软件会严重降低 HMI 的运行速度。

病毒入侵相关 文章 ：

1. 计算机病毒“火焰”介绍

2. 如何防止勒索病毒

3. 如何让电脑病毒及其他流氓软件入侵不了电脑

4. 计算机病毒主要分类

5. 电脑中了Explorer.exe木马病毒怎么办