认识XP下的NetBEUI-阿里云开发者社区

开发者社区> 技术小甜> 正文

认识XP下的NetBEUI

简介:
+关注继续查看
来源:PConline 

放假的两天,朋友就说自己的电脑很不正常,好象是被入侵了。因为放假本来时间就少,所以匆匆赶到朋友家,一看,winXP PRO,SP2,杀毒软件和_blank">防火墙都是最新版的,按理来说安全性是很强的。好,一步步检查下去: 

1、先查看本机日志,没什么可疑的系统用户,组,管理登陆等信息。(入侵者一般不会给你留下有用的日志的) 

2、NETSTAT,看看端口的情况,也是一切正常。(图一) 
3、再检查开启的服务,看到朋友的IPSEC安全策略是启动的,而且朋友有一定的计算机知识,也配置了IP安全策略。再往下看,朋友的Remote Access Auto Connection Manager和Remote Access Connection Manager两项服务已经启动。我们都知道,此服务是当某个程序引用一个远程DNS或NETBIOS名或者地址的时候建立远程网络连接用的,但是此服务开启也很正常,没有可以利用的端口是无法连接的,朋友的135,137,138,139,445端口是关闭的。(图二,三)
4、检查IPC$,朋友的IPC$是开启的,危险,但是又想到_blank">防火墙和IP安全策略,能连接的可能性几乎为零。(图四) 
作为一台个人使用PC来说,朋友的安全性是不错的,正准备往下查的时候,看到一台NB摆在旁边,朋友说公司的NB,拿回来COPY资料。我看了下NB,因为配置问题装的98,于是想起98和XP互连,朋友估计装了NETBEUI协议的,于是继续检查。 

装了NETBIOS协议,并没有NETBEUI,但是朋友说曾经装过,但是卸了。 

NETBEUI协议其实是NETBIOS的本地延伸,用于不同的计算机网络互通的, 但是我记得NETBEUI协议的卸载不是那么简单从协议组中就卸了的,于是发现了点问题的可疑点。 

再次检查日志,发现了可疑点: 

Event Type: Error 

Event Source: Service Control Manager 

Event Category: None 

Event ID: 7000 

Date: 3/26/2005 

Time: 9:54:24 AM 

User: N/A 

Computer: KK 

Description: 

The NetBEUI Protocol service failed to start due to the following error: 

The system cannot find the file specified. 

原来协议还在系统中,这是启动失败信息。 

于是马上检查注册表: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Nbf 

看到了NETBEUI的信息,原来系统中的NETBEUI并未被删除 

我们知道,系统的口令进行校验时是以发送的长度数据为依据的。在发送口令认证数据包时可以设置长度域为“1”,同时发送一个字节的明文口令,校验程序会将发来口令与保存的口令的第一个字节进行明文比较,如果匹配就认为通过了验证。特别是作为NETBIOS协议来说,漏洞是很大的。 

再看朋友的Internet连接,TCP/IP上的NETBIOS没有禁用,这个时候可以来查找问题的根源了 

扫描软件?其实不用,利用系统的端口监听,就可以完成。端口监听过程中,发现端口7777正在被监听,这个有点异常,所以马上看进程,但是却没有异常,感到越来越奇怪了。 

于是用TCPDUMP抓包,看到tcpdump: listening on 7777,果然端口被占用了。看来是后台进程。于是使用TCP Connect()扫描,因为端口处于侦听状态,所以Connect()就能成功。这时出现了大量的错误信息,不一会,系统的LOGS文件显示一连串的连接出错消息,然后关闭了服务。(以非线性方式连接)这时,本打算继续扫描TCP SYN和TCP FIN都不需要了。 

于是返回注册表,把NETBEUI协议的信息删除,REBOOT,在连接,一切正常。 

回过头来看事情的整个经过,其实都缘于朋友装卸NETBEUI协议的不正确和大意,导致了NETBEUI协议和NETBIOS协议在使用中发生冲突。原来朋友的爱机曾经中过YAI蠕虫病毒,虽然杀毒成功,但是滞留在系统的错误设置却没有改变过来。 

TCP 7777=NetSpy(YAI),病毒利用了系统的7777端口,那时NETBEUI在启用中,虽然协议从协议组中消失了,但是注册表和配置信息却还在,所以导致有TCP数据连接时,系统又自然而然的开启了7777端口来找寻NETBEUI协议的数据流,因此产生了错误的日志。 

就这样,朋友的问题也解决了,“入侵者”的担心也烟消云散,原来是这小小协议在捣鬼,呵呵,还让我们为这个“入侵者”搞得晕头转向。down_info.asp?id=
 
















本文转自loveme2351CTO博客,原文链接: http://blog.51cto.com/loveme23/8397,如需转载请自行联系原作者



版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
8435 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,大概有三种登录方式:
2759 0
阿里云服务器ECS远程登录用户名密码查询方法
阿里云服务器ECS远程连接登录输入用户名和密码,阿里云没有默认密码,如果购买时没设置需要先重置实例密码,Windows用户名是administrator,Linux账号是root,阿小云来详细说下阿里云服务器远程登录连接用户名和密码查询方法
10864 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
10219 0
使用OpenApi弹性释放和设置云服务器ECS释放
云服务器ECS的一个重要特性就是按需创建资源。您可以在业务高峰期按需弹性的自定义规则进行资源创建,在完成业务计算的时候释放资源。本篇将提供几个Tips帮助您更加容易和自动化的完成云服务器的释放和弹性设置。
11833 0
阿里云服务器安全组设置内网互通的方法
虽然0.0.0.0/0使用非常方便,但是发现很多同学使用它来做内网互通,这是有安全风险的,实例有可能会在经典网络被内网IP访问到。下面介绍一下四种安全的内网互联设置方法。 购买前请先:领取阿里云幸运券,有很多优惠,可到下文中领取。
11755 0
腾讯云服务器 设置ngxin + fastdfs +tomcat 开机自启动
在tomcat中新建一个可以启动的 .sh 脚本文件 /usr/local/tomcat7/bin/ export JAVA_HOME=/usr/local/java/jdk7 export PATH=$JAVA_HOME/bin/:$PATH export CLASSPATH=.
4541 0
阿里云服务器ECS登录用户名是什么?系统不同默认账号也不同
阿里云服务器Windows系统默认用户名administrator,Linux镜像服务器用户名root
3604 0
+关注
10146
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载