|
 | 作者: clark008 [clark008]
 论坛用户 |
登录 |
| 看到了觉得好就转过来了 在攻击之前,我们要找些肉鸡,以此来隐蔽自己。而肉鸡中,以3389肉鸡操作最直观。下面就介绍,如何快速的获取3389肉鸡。 一。寻找肉鸡, 工具: 流光4.71版本,pfinder2http://down.hackbase.com/soft/pfinder2.zip,LM's.http://down.hackbase.com/soft/LM's.zip 首先介绍pfinder2, 这个是我个人认为目前扫单一端口最快的扫描器, 最大可开到1500 线程!我一般是开600-1000.打开后, 如图 看见了吗?出来了很多ip,这些都是开了3389 端口的,我们选定一个ip , 鼠标右键,选copy all 然后我们把这些结果保存为3389.txt。 现在要介绍另外一个独门暗器了:我们打开, 如图2: 读取里选我们才保存的3389.txt,要添加的字符选默认的,然后添加, 添加完后会出来提示ok !然后保存。 现在要用到流光了, 这个不需要我介绍了, 最近出了一个4.7版本带补丁的, 我觉得不怎么好用, 还是用的4。71 版本。安装流光, 然后 把目录打开, 找到一个last.flx文件, 用记事本打开。然后将流光打开, 在辅助主机里选ipc$主机--编辑--添加, 随便复制一个才扫到的3389 的ip ,确定,然后将流光关闭。 如图3 现在我们来看last.flx。 现在它已经成为了last.txt, 里面内容也变成了这样。 如图4 把3389.txt里的ip 复制进去,注意:后面的::1 (::0为mssql)也一定要带上!现在看last.txt, 如图5 好的, 关闭last.txt,打开流光, 现在看看, ipc$主机下面是不是有了很多新的主机了?如图6好了, 叫它慢慢扫吧, 我也要伸个懒腰米西东西去了:) 估计结果出来了, 来看看。 如图7 看见了吧, 81 个结果, 不过,先别急着高兴,多乎哉?不多也! 根据本人多年对探测结果的分析(备注:多年=1 年多), 用户是root,wwwadmin,admin的基本上都是xp用户 (很多用户名是administrator密码为空的也是xp系统) 建议放弃,并向坚决不放弃的同志表示崇高的敬意! 二。加固肉鸡 工具:fport ,pskill 刚才扫到的战果, 我们现在上去视察一下看看:) 先改密码再查看有什么用户, 来路不明的删无赦。因为你可以进来别人也一样可以, 先把最容易的地方改了;) 然后进入到服务下, 危险的进程一律禁止了, 包括,massage 1。Remote Registry Services 允许远程注册表操作, 禁止了; 2。Telnet 这个不能放过: 3。Task Scheduler ,at命令。一定要禁止了 还有messenger, 记得才开始玩肉鸡的时候, 按了200多次确定才没有消息了, 唉,往事不堪回首~ 现在禁止空连接 , 记得你怎么进来的吗?流光的报告里也总在提醒:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa 这里,找到这个主键restrictanonymous把它改成1。 不要管理员看见你曾经来过,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon在右边找一个键值 DontDisplayLastUserName然后改成1,如果不存在 ,你就新建立一个。 现在看看, 还有什么共享的, 通通关了, 这个不详细说了 现在用到了fport, 看有什么可疑的程序以及它的路径。 如图8 哈,真有不少可疑的东西呢, 用kill杀 然后在计算机管理―本地用户和组―用户,把除了你以外的别的远程登陆权限都取消了 , 如图9 另外还可以修改端口, 但是说实在的, 我不赞成修改端口, 端口不一定意味着风险, 关键看你 怎么处理了。 三。日志的清除 工具:logkiller 关于日志的清除, 网上的文章真是多如牛毛,我这里只简单讲述一下。一个办法是 做批处理文件 做法是:新建一个具有如下内容的批处理文件: @del c:\winnt\system32\logfiles\*.* @del c:\winnt\system32\config\*.evt @del c:\winnt\system32\dtclog\*.* @del c:\winnt\system32\*.log @del c:\winnt\system32\*.txt @del c:\winnt\*.txt @del c:\winnt\*.log @del c:\del.bat 把上面的内容保存为del.bat备用。在上面的代码中echo是DOS下的回显命令,在它的前面加上“@”前缀字符, 表示执行时本行在命令行或DOS里面不显示,另外del命令大家一定清楚吧?它是删除文件命令。 还有一个办法是用logkiller, 它可以清除iis,msftp,smtp,schedule,系统等的日志,这个真是多快好省,隆重推荐,如图10 四。动态ip肉鸡的监视 工具: 20cn_ddns_clinent 以前对于动态肉鸡,也想过不少办法,什么网络神偷什么花生壳。 可是前者被杀的无处可逃后者体积太大, 在网上找过n个工具 后找到了现在这个, 体积小,还不被查杀。其实我曾在黑客基地的发过一个帖讲这个工具的用法, 可惜太花没人看的明白。:) 用法如下, 先进这里20cn.com, 注册个用户, 然后下客户端, 在上面写上你才注册的id, 如图11然后在程序自启动 那里打勾,这样程序一启动它会自动运行, 现在我们来ping 一下 它。 如图12 现在你在哪里都可以抓住你的动态肉鸡了! |
| 地主 发表时间: 04-06-07 16:16 |
 | 回复: abctm1 [abctm1]  论坛用户 |
登录 |
|
老弟,不好用阿! |
| B1层 发表时间: 04-06-07 16:17 |
| 回复: clark008 [clark008] 论坛用户 |
登录 |
|
不好意思,没图,自己理解啦。。。。 |
| B2层 发表时间: 04-06-07 16:37 |
 | 回复: wish259 [wish259] 论坛用户 |
登录 |
|
能搞到的几率小啊 |
| B3层 发表时间: 04-06-07 20:22 |
 | 回复: study [lotus13]  论坛用户 |
登录 |
|
流光4.71这个好用吗? 不好意思,我是菜鸟,刚学! |
| B4层 发表时间: 04-06-08 01:28 |
 | 回复: apiao116 [apiao116] 论坛用户 |
登录 |
|
不怎么好用啊,流光4.7的版本都已经提示过期,要下载新版本,我晕 |
| B5层 发表时间: 04-06-08 13:32 |
| 回复: abctm [abctm]  版主 |
登录 |
|
这个年头3389少多了 |
| B6层 发表时间: 04-06-08 13:38 |
 | 回复: TecZm [teczm]  版主 |
登录 |
|
太老了吧 |
| B7层 发表时间: 04-06-08 13:41 |
| 回复: clark008 [clark008] 论坛用户 |
登录 |
|
因帖子已有人回复了,不能删除! 我也没办法了! |
| B8层 发表时间: 04-06-08 14:57 |
 | 回复: lijingxi [lijingxi] 见习版主 |
登录 |
|
呵呵!・!!找斑竹删!!! |
| B9层 发表时间: 04-06-08 19:14 |
| 回复: wish259 [wish259] 论坛用户 |
登录 |
|
同意 |
| B10层 发表时间: 04-06-08 19:27 |
| 回复: study [lotus13] 论坛用户 |
登录 |
|
唉唷 那我昨天不是白忙半天了 那请问现在有没有更好的扫描软件啊? |
| B11层 发表时间: 04-06-09 01:15 |
 | 回复: kailangq [kailangq] 版主 |
登录 |
|
有些帖子必然是好的,在发帖的同时,先自己尝试,研究,后在转帖,这是最理智的 |
| B12层 发表时间: 04-06-09 01:24 |
 | 回复: snowred [snowred]  论坛用户 |
登录 |
|
看不到图呀! |
| B13层 发表时间: 04-06-09 03:40 |
 | 回复: K9999 [yandsd] 论坛用户 |
登录 |
|
严重支持 |
| B14层 发表时间: 04-09-06 20:30 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 菜鸟乐园 标题: 如何快速的获取3389肉鸡[转载]