今天无聊中打开前几个月的肉鸡!不料发现radmin连不上了!用superscan扫描一下,发现只开了25,80,110,143,3000,3001,3002,8000这几个端口。
打开asp木马一看,还好马儿健在。心里大爽,80端口的后门就是好呀!打开asp木马用netstat -na查看端口,发现radmin端口(1415我自己定义的)还在主机打开了25,80,110,135,143,366,443,445,1025,1026,1027,1030,1415,3000,3001,3002,3372!估计是设置了防火墙,查看服务也在,我就上传了一个portmap!先把3001端口(是邮件服务器的管理端口)的webadmin服务停了,再用portmap映射1415端口到3001端口用radmin连接成功!
可是问题来了!先介绍一下服务器的基本情况,服务器使用IIS加花生壳另外使用了mdaemon6。8。5的邮件服务器!也就是上面提到的3000,3001,3002分别对应邮件收发,邮件管理web界面,同时也提供内网接受邮件并且本机内网ip有2个为192。168。0。11和192。168。1。11而且都打开了udp500端口(奇怪了)原来局域网内有一百多台电脑现在0。11网段里只有一个路由器为192。168。0。254网上邻居看不到任何电脑只有本机,扫描1。11网段没有任何机器可用。
我怀疑可能设置了vlan但是我对vlan不熟。局域网的其他机器到那里去了呢?本人百思不解还有邮件服务器要对内网发邮件,那可能要使用192。168。1。11这个IP,但是我切是访问不到这个网段?所以他设置了2个ip,但是我查看硬件设备发现他只有一块网卡,请高手指教如何访问他局域网内部机器?是不是VLAN搞得鬼?如何解决?请各位大大帮忙呀!!谢谢大家了。
|
论坛用户
论坛: 菜鸟乐园 标题: 入侵之后!内网入侵之疑难问题望高手赐教!