黑客入侵服務器后的手段
黑客入侵服務器后手段千變萬化,究竟該如何辨認呢?下面我們來介紹一下:
1、superdoor克隆,但是有bug。榕哥的ca克隆,要依賴ipc,也不是很爽。
2、創建count$這樣的隱藏帳號,netuser看不到,但是在“管理->用戶”里可以看到,而且在“我的電腦->屬性->用戶配置文件”里顯示未知帳號,而且在document and setting里,會有count$的文件夾,并不是特別好,我在3臺左右機子上作了結果都被kill了。
3、寫一個guest.vbs啟動時創建一個帳號或者激活guest用戶或者tsinternetuser用戶,在注冊表里的winlogon里導入鍵值(事先做好),讓他開機自運行guest.vbs,這樣就創建了一個幽靈帳號。
或者導入在[HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor]
"AutoRun"="C:\\Program Files\\guest.vbs"
這樣是關聯到cmd,只要運行就創建。
4、像冰河那樣關聯到txt、exe,運行txt就運行我們的程序。
5、在組策略里配置自運行項。
6、設置文件關聯,重要運行記事本或者什么就激活vbs。
7、種植hackdefender、hack'sdoor、winshell、武漢男生之類的后門,但是容易被查殺。如果沒有改造幾乎沒有效果,如果不被殺,那就……嘿嘿!
8、夾雜文件,把經常用到的文件替換成rar自解壓文件。既包含原exe文件,又運行自己的程序(就是winrar做的不被查殺的捆綁),運行后就重復3,4,5的步驟,隨便你了。
9、尋尋覓覓之間,發現hideadmin這個玩意好不錯,要求有administrator權限,隱藏以$結尾的用戶,帥呆了!命令行,管理界面,用戶配置文件里都找不到他的身影,一個字,強!強到我搞了好半天都不知道怎么去除了,只有讓他呆著吧!接著教主也有一個工具,有異曲同工之妙。
10、替換服務,將telnet或者termsvc替換成別的服務或者建一個新的。
11、手工在注冊表中克隆隱藏賬號,網上流傳的一個看似很爽的方法,但經本人的2000 server測試也許是不在域中的原因,根本不存在domains或者account這個鍵值,所以也就無從找起了。
但還是詳述一下:
Windows 2000和Windows NT里,默認管理員帳號的SID是固定的500(0x1f4),那么我們可以用機器里已經存在的一個帳號將SID為500的帳號進行克隆,在這里我們選擇的帳號是IUSR_MachineName (為了加強隱蔽性)。
在cmd下:
regedit /e admin.reg HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4
將SID為500的管理員帳號的相關信息導出,然后編輯admin.reg文件,將admin.reg文件的第三行
[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4]
最后的’1F4’修改為IUSR_MachineName的SID(大部分的機器該用戶的SID都為0x3E9,如果機器在最初安裝的時候沒有安裝IIS,而自己創建了帳號后再安裝IIS就有可能不是這個值),將Root.reg文件中的’1F4’修改為’3E9’后執行然后另外一個是你需要修改那個賬號的值。
regedit /e iusr.reg HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000003E9
將iusr.reg文件中“'V'=hex:0”開始一直到iusr.reg文件結束部分復制下來,然后替換掉adam.reg中同樣位置的部分。最后使用 regedit /s adam.reg 導入該Reg文件,然后運行 net user IUSR_MachineName password 修改IUSR_MachineName的密碼。ok,大功告成!
現在IUSR_MachineName賬號擁有了管理員的權限,但是你使用net.exe和管理工具中的用戶管理都將看不到任何痕跡,即使你去察看所屬于的組和用戶,都和修改前沒有任何區別。
總體來說,上面所介紹的內容就是對黑客進入服務器隱藏自己的方法的介紹,希望廣大的網民能夠給予重視,及時發現問題,及時采取有效的措施防止黑客入侵服務器。
【編輯推薦】
