反黑方法

简介:
作者:田逸( [email]sery@163.com[/email] )
发表在《网管员世界》04年第7期69页 题目改为“反黑手记” 

  前几天为了测试某一个机构的域名解析是否可用,我就在一台邮件服务器上起用了iis,
并为此机构创建了域名,放了一个简单的html页面文件做测试。可是今天早上我收电子邮
件(用foxmail 4.2),一直收不了,我以为是有超大邮件,于是就用web 方式直接登录邮
件服务器收取,也是老半天才进入。第一个判断是邮件服务器有麻烦了。

  服务器的配置是 win2k server + sp4 ,并且更新了microsoft各种补丁, 病毒防范软件为
symantec norton 8.0 server版,邮件服务器程序自身以有防病毒的插件,这两个东西已经平
稳地运行了一年多,抵挡了无数的附件病毒的袭击。那么服务器则可能被黑了。

  症状:运行程序慢如蜗牛,在任务管理器里发现cpu的利用率为100%,里面运行了一个未知进程gt.exe,占据了大约25mb的内存,而且更可恶的是这个进程还杀不了它。看来是有人把木马植入
服务器了。再看看用户,好家伙,居然有一个cclogin的用户,而且被加在管理员组里了。
到系统盘下查一下,根目录下有一执行程序sbg.exe(后用杀毒软件查出是病毒),system32
下有gt.exe。上面说得凌乱,总结一下:1、通过iis漏洞植入木马程序,然后取得管理员
权限,复制文件在服务器的系统目录里。2、启动系统服务里的被我以前禁用的远程注册表
编辑功能。3、在注册表 hkey_local_machine\software\microsoft\windows\currentverssi 和
rubservice 加入字串 hi here 其值为point32.exe.(实际上是gt.exe).4、启动计划任务,当
然是运行gt.exe,时间定在2004-3-10 0:19。(可能这家伙是在11点50左右crack成功的,
后来我看日志也证实了这个时间)。


  处理:1、启动系统进入安全模式,删除gt.exe和sbg.exe.2、删除计划任务里的黑客
起用的at1.job,然后禁止计划任务。3、从系统里删除用户cclogon。4、在控制台里关闭不必
要的服务(把自动改为禁止,并且停止该服务[如远程注册表编辑])。5、编辑注册表,删除
run 和runservices 里的异常项point32.exe。6、停止iis服务。7、重启计算机进入正常模式,
问题解决。查看日志文件 logfils 看了一些,但ip都是变化的,说明这家伙是用adsl上
网,用的是  [url]http://ip/ida[/url] 获取了权限,不过该人水平不是太高,没有删除日志文件,他(她)可能的目的是想找一台“肉鸡”。一不小心,开了个iis,就让人黑了,看来不能掉以轻心。

    当系统管理员的同志,安全重要啦,请加强防范。




















本文转自sery51CTO博客,原文链接:http://blog.51cto.com/sery/5800 ,如需转载请自行联系原作者





相关文章
是的方法
第三份阿发顺大丰阿萨德
|
存储 JavaScript 前端开发
JavaScript继承的几种方法
JavaScript继承的几种方法
145 0
JavaScript继承的几种方法
|
安全 Java
浅析ThreadList的runcheckpoint方法
浅析ThreadList的runcheckpoint方法
125 0
Egiht(八种方法)
Problem Description The 15-puzzle has been around for over 100 years; even if you don't know it by that name, you've seen it.
1337 0
|
存储 算法 搜索推荐
常用的外部排序方法
版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/qq_34173549/article/details/81158566 定义问题       外部排序指的是大文件的排序,即待排序的记录存储在外存储器上,待排序的文件无法一次装入内存,需要在内存和外部存储器之间进行多次数据交换,以达到排序整个文件的目的。
1856 0
|
测试技术 C#
分享几个实用的方法
  今天主要和大家分享的是本人总结的分页执行方法,也可以说就是分批执行;该篇采用java8新增的表达式来操作,希望能给各位带来好的帮助和在日常工作中提供便利;同样的操作流程和逻辑之前用C#代码写过一次,有需要的朋友可以看以前的博文; 分页方式拆分List为多个子集List方法 执行统一方法-无...
1212 0
|
Android开发
两个方法搞定透明状态栏
两个方法搞定透明状态栏
1480 0
|
数据库 Go
统计数据库大小的方法
原文:统计数据库大小的方法     一台服务器上所有数据库(也可能是部分数据库)的大小是我们经常需要了解的,它不仅能让我们知道目前数据库使用磁盘的比例, 而且定期搜集这些信息,还能了解数据库一段时间的数据增量,更为常用的是在做数据迁移和升级时,方便规划新服务器磁盘容量。
1321 0
|
程序员 架构师
|
C# 编译器 索引

热门文章

最新文章