论坛: 菜鸟乐园 标题: windows的后门-netbios 复制本贴地址    
作者: biyuntian [biyuntian]    论坛用户   登录
自从1998年一个bo炒的沸沸扬扬,现在“后门”这个词大家都知道了,后门的家族和种类也不断发展。可是你知不知道,也许你的计算机存在着一个任何杀毒软件都无法检查出来的后门――windows的后门-netbios。
我可不是含血喷人,下面我就来说说我的依据:
后门可以泄漏你的信息,netbios也可以;后门会让别人访问到你的文件系统,netbios也可以;后门软件都会占用一个或几个端口与外界联系,让别人搜索到你,如bo就是31337,那么netbios呢?就是你现在已经打开的137,138,139端口!
说到这里,有的人也许还不知道netbios是何物?我这里简单介绍一下:netbios(NETwork Basic Input/Output System)网络基本输入输出系统。NetBIOS是1983年IBM开发的一套网络标准,微软在这基础上继续开发。微软的客户机/服务器网络系统都是基于NetBIOS的。应用程序通过标准的NetBIOS API调用,实现NetBIOS命令和数据在各种协议中传输。Microsoft网络在Windows NT操作系统中利用NetBIOS完成大量的内部联网。它还为许多其它协议提供了标准界面。TCP/IP、NetBEUI和NWLink都有NetBIOS界面,应用程序都可以利用。NetBIOS API是为局域网开发的,现已发展为标准接口。无论是在面向连接或面向非连接的通信中,应用程序都可用其访问传输层联网协议。NetBIOS接口是为NetBEUI,NWLink,TCP/IP及其它协议而写的,因此应用程序不需要关心哪个协议提供传输服务(NT所使用的任何协议都有传输驱动界面具备沟通NT的NetBIOS与本机的协议能力)。因为这些协议都支持NetBIOS API,所以都提供了建立会话和启动广播的功能。网络上的每一台计算机都必须唯一地与NetBIOS名等同起来。在建立NetBIOS会话或发送广播时需要这个名字。当通过NetBIOS会话使用该名字时,发送方必须能够将NetBIOS名转化为一个IP地址。由于IP地址和名字都需要,在进行成功的通信之前,所有的名字转换方法都必须能够给出正确的IP地址。netbios是一个不可路由的协议。适用于广播式网络,没有透明网桥是不能跨越网段的。但是他可以绑定到任意的一个协议之上。如tcp/ip协议,这就是为什么他能成为你机器里的后门的主要原因了!
首先:这个后门可以泄漏你的信息。那就是你的计算机名和工作组。有不少人会用自己的真实姓名做计算机名称,还有自己的单位名称作为工作组。这样很容易根据某个人的固定信息找到某个人的ip地址。这类软件有月光搜索――追捕版。速度很快。用windows自带的nbtstat命令就能收集到很多信息。解决办法 
win9x
在windows9x下如果你是个拨号用户。完全不需要登陆到nt局域网络环境的话。只需要在控制面板-网络-删除microsoft网络用户,使用microsoft友好登陆。这样追捕就不会追捕到你的用户名称了。但是如果你需要登陆到nt网络的话。那这一项就不能去处。因为nt网里需要使用netbios。
winNT
在windowsNT下你可以取消netbios与TCP/IP协议的绑定。控制面板-网络-Netbios接口-WINS客户(tcp/ip)-禁用。确定。重启。这样nt的计算机名和工作组名也隐藏了,不过会造成基于netbios的一些命令无法使用。如net等。

其次:这个后门可能让对方访问到你的计算机里的文件。先说说win9x,这个最不安全的操作系统。如果你的共享资源没有加上口令的话。那么全世界的人都可以共享了。偏偏有很多人的硬盘都是完全共享一个口令不加的,就算只读也能读取计算机里的pwl密码文件。然后得到你的密码。或者是私人文件。再说说nt,这号称C2级别的操作系统连上网后就不再是C2级别了!虽然nt有安全机制,但是如果管理员有薄弱的密码,通过netbois获得用户名就可以利用IPC$(进程间通信)进行攻击。IPC$共享是NT主机上一个标准的隐藏共享,主要用于服务器到服务器的通信。NT主机用来互相连接并通过这个共享来获得各种必要的信息。通过连接 这个共享,就能够实现与nt服务器的有效连接。通过与这个共享的空连接,你就能够在不需要提供任何身份证明的情况下建立这一连接。这类软件有NTIS并能自动探测薄弱口令。由于ntis是工作于nt的命令行模式下的,所以我做了个基于ntis的图形界面。可以方便的检查机器的共享资源以及方便的使用。软件在我的主页有下载http://mcwolf.533.net/program/neteasy.zip (只能在NT上运行)

解决方法
win9x
如果一定要共享文件的话。那就要采用根据口令访问。无论如何不能采用只读或者完全访问。否则来自互联网的任意一台计算机都可以读取甚至删除你硬盘里的资料。否则就不允许任何资源的共享。
winNT
windowsNT有安全机制比win9x安全一些。没有密码是不能访问共享资源的。只要用户的密码设置的复杂一点。还有共享资源的权限配置正确就能保证文件系统的安全。但是首先要磁盘使用ntfs格式才能保证文件系统的安全性。

最后谈谈这个后门的端口,137,138是udp端口。当通过网络邻居传输文件的时候就是通过这个2个端口.139端口是netbios提供服务的tcp端口。我发现在windows9x下可以完全关闭这几个端口。完全禁止了netbios服务。方式是在控制面板-网络-只保留tcp/ip协议和拨号网络适配器。但是这样windows会提示你网络不完整。但是还可以继续使用。在tcp/ip协议里的netbios一项不要选择绑定到tcp/ip协议。这时候你的netbios服务完全停止了。你的机器也没有137,138和139端口了。这样追捕也搞不清你到底是9x还是unix了。windowsNT下可以封锁这些端口。封锁不必要的TCP和UDP端口可以通过在网络控制面板的IP地址对话框中进行配置来完成。 点击高级按钮激活高级IP地址对话框, 然后点击Enable Secury 对话框,然后点击配置按钮激活TCP/IP安全对话框, 那里列出了那些TCP和UDP端口被允许了。但是好像不能识别拨号网络适配器。

以上的方法都是给不需要连接入局域网的计算机的配置方法。如果你是一台拨号上网的单机那么完全可以禁止netbios服务。但是如果你需要接入局域网的话。那你只能注意加密你的共享资源了。否则全互联网的人都可以通过这个windows的“后门”到你的计算机里了:)。以上是我的一些粗略的分析,有错误的地方还请指正。


地主 发表时间: 04/20 22:08

回复: xiaojun [xiaojun]   剑客   登录
转自何处?好。

B1层 发表时间: 04/21 13:53

论坛: 菜鸟乐园

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号