内容提要:这是一次真实的入侵实例 事情发生在2005年的九月的一天,我们单位被集团公司的另一个大单位兼并。被兼并的第二天,大单位的财务人员到了我们厂,对我们厂进行了全面的财务审查。虽然没查出什么问题,显然这帮人是对我 …… |
下午的时候我发现那台电脑的管理员请了位高手来助阵了,因为我们这个局域网中的各台电脑都通过我们办公室里的那台电脑连接到互联网上,所以,那位高手先到我们办公室电脑上查看了一番没有发现问题后,他将原先安装的江民换成了卡巴了,我估计他认为攻击是来自互联网上,岂不知黑客就在他眼皮底下,嘿嘿。。。。那位高手又给被我控制了的电脑上安装了卡巴,原先的杀毒软件是诺顿,对WINDOWS也进行了更新,可这些作法都晚了,因为我已经控制你了,再打补丁也无用了。经过那位高手一番检查与修补后,我的后门依然存在着,看来那位高手水平也不怎么样。我给它开放的ipc$功能,他也没发现。也许他只认为是一次简单的病毒攻击,而掉以轻心了,而不知他的一举一动都在我的监视之下。哈哈。。。
接下来的工作对我来说就比较简单了,给它开telnet服务器,开“远程桌面”这个我采用的是图形的方式进行操作的,中午下班后我等这台计算机管理员走后,用RADMIN登录进去进行了一些设置工作。后来也通过RADMIN的文件管理功能翻看了这台电脑上的文件,有一些财务报表,工资表之类的东西,这些对我来看没什么大的吸引力。不过我看到了我们集团老总的工资,每月一万多块钱呢!!好黑啊。。。这么多,我工资只有区区几百块,真是太不公平了,愤愤不平中。。。。
后来一次通过RADMIN操作对方的电脑时不小心被管理员发现了,我想对方的管理员也很感到意外,windows的补丁打上了,还装了强悍的卡巴,还是搞不定黑客!!哈哈,因为卡巴不是杀RADMIN的。后来对方那个管理员启用了局域网“本地连接”中的防火墙功能,这样我无法连接它的电脑了。因为RADMIN是正向连接的,所以在对方开防火墙的情况下是无法使用的。有一次下午下班后我无意地ping 了一下这台电脑的IP,居然有返回。说明对方防火墙关闭了,我马上用RADMIN连接,居然成功。我晕。。。原来对方只开了防火墙,并没有发现这个明显的后门。我想开防火墙也是那位电脑高手给搞的,依那个管理员的水平是想不到这个办法的。不过telnet服务器给关闭了,3389远程桌面也给关了,共享模式也被修改回了原先的样子。看来那位高手也是发现了一些漏洞并补上了,但是那个后门,他却没有发现,这就给我创造了第二次入侵的机会。他有政策我有对策,他可以开防火墙,我可以给他关掉,有人问要是再被管理员开启了防火墙,那岂不是没得玩了。哈哈。。。我下面给出一个我自己研究出来的独门密方,保证百病!哈哈。。。。
我的方法是创建一个隐藏的计划任务。让这个计划任务每隔半个小时杀除一遍防火墙,这样即使对方管理员打开防火墙也起不了什么作用。方法如下:先建一个批处理文件abc.bat,放在c:\windows\system32目录下,内容如下:
net stop sharedaccess
当然也可以附加点别的,比如说你想半小时杀除一遍天网防火墙,可以再加上下面的命令:
taskkill /IM rfw.exe /f
如果想使共享模式是高级共享模式,可以再加上下面的命令:
regedit /e c:\windows\system32\abc.reg
当然这需要事先上传一个abc.reg到它的c:\windows\system32目录下,内容如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"forceguest"=dword:00000000
下面我说一下创建隐藏计划任务的方法:
在对方电脑的CMDSHELL下键入命令:
schtasks /create /tn "常驻" /tr c:\windows\system32\abc.bat /sc minute /mo 30 /ru "system"
这样就在对方电脑上建立了一个以SYSTEM权限运行的计划任务,这个计划任务每隔30分钟运行一次c:\windows\system32