實戰分析 一次WinRoute後門攻防(轉)
實戰分析 一次WinRoute後門攻防(轉)[@more@] 學校透過Windows 2000和WinRoute 的代理方式上網。這兩天,代理伺服器總是出現一些怪現象,執行程式好像很緩慢,而且還會自動重啟。難道是中了病毒?還是中了木馬?不管怎麼樣,先去看看再說吧。
來到機房,先把網線拔去。重啟後,執行防毒軟體,殺了一遍,並沒有發現病毒。隨後插上網線,開啟IE瀏覽器,這時奇怪的事情發生了,怎麼位址列裡有一些莫名其妙的網址?難道有人用過這臺電腦?我覺得事態嚴重了,可能中了木馬。
我起身去倒了杯水,準備一場大戰。當我回來的時候,瀏覽器居然自動開啟了 "夢幻西遊"的網站,正在下載客戶端(還新裝了一個下載軟體),它居然想用我的代理伺服器來掛機打網路遊戲!
既然知道了原因,我想總可以解決的。所以也並不著急。出於報復心,我就先讓他下載。過了一會兒,當下載到90%的時候,我點了取消。然後又把網路斷了,開啟了木馬克星,一掃描。發現被安裝了Remote administrator。把木馬殺掉後,我又透過搜尋檔案的方法將這一個星期內安裝的軟體全部刪除。但這樣還是不能解決問題啊,關鍵是要找出被攻擊的漏洞。
因為這臺電腦只是用來做代理服務,WinRoute 就開放了SMTP,POP3 和DNS服務。難道是Windows 2000的設定上出了問題?根據一些安全設定的資料,我禁用了很多不必要的服務。打上最新的補丁,將Guest賬戶禁用,將管理員賬戶修改密碼,並改了名,將磁碟的讀取許可權也做了設定,還做了一些本地安全策略。這個就不多講了,大家可以去查閱資料。經過一陣忙活,認為這樣總可以高枕無憂了。開啟代理服務,讓它繼續工作。
但好景不長,一個星期六的下午,我來到機房檢視裝置。當我開啟代理伺服器的顯示器的時候,讓我絕望的一幕出現了。居然又有人在代理伺服器上下載夢幻西遊!原來前幾天的平靜是入侵者不想讓我發現,實際上問題並沒有解決。他認為星期六沒人了,可以為所欲為,看來他的目的就是想利用我的電腦掛機。
我彷彿看到了駭客在網路的那端恥笑著我。到底哪裡出問題了呢?補丁剛打過,應該沒什麼漏洞,入侵者到底是利用哪個埠進來的呢?轉到DOS目錄下,輸入Netstat -a 檢視了一下埠,除了正常的幾個,發現有一個3129埠被人在使用。
我只記得WinRoute 裡的代理用到了3128埠,難道這個3129埠也和WinRoute 有關?檢視了一下資料,發現木馬Master Paradise開放3129埠。而且這臺電腦一般就執行WinRoute 服務,想到這裡馬上開啟WinRoute 控制介面,在裡面仔細搜尋了一番,果然發現在"設定→高階"中有一項 "Remote Administration",它預設就允許遠端控制,而預設開放的埠恰好是3129。
原來是WinRoute 留下的後門。因為很多資料對WinRoute 的設定有詳細的介紹,但“遠端控制”控制檯的功能講得比較少,所以大家也都不是很在意這個地方。但它確實可以被一些木馬所利用,而且危害非常大。在這裡想提醒各位使用WinRoute的朋友,最好把這一功能去掉,以絕後患。病因終於找到了,我平時也不怎麼用遠端控制,就將這一選項去掉。然後再像剛才那樣做了一番設定,終於把入侵者的這扇門堵上了。
來到機房,先把網線拔去。重啟後,執行防毒軟體,殺了一遍,並沒有發現病毒。隨後插上網線,開啟IE瀏覽器,這時奇怪的事情發生了,怎麼位址列裡有一些莫名其妙的網址?難道有人用過這臺電腦?我覺得事態嚴重了,可能中了木馬。
我起身去倒了杯水,準備一場大戰。當我回來的時候,瀏覽器居然自動開啟了 "夢幻西遊"的網站,正在下載客戶端(還新裝了一個下載軟體),它居然想用我的代理伺服器來掛機打網路遊戲!
既然知道了原因,我想總可以解決的。所以也並不著急。出於報復心,我就先讓他下載。過了一會兒,當下載到90%的時候,我點了取消。然後又把網路斷了,開啟了木馬克星,一掃描。發現被安裝了Remote administrator。把木馬殺掉後,我又透過搜尋檔案的方法將這一個星期內安裝的軟體全部刪除。但這樣還是不能解決問題啊,關鍵是要找出被攻擊的漏洞。
因為這臺電腦只是用來做代理服務,WinRoute 就開放了SMTP,POP3 和DNS服務。難道是Windows 2000的設定上出了問題?根據一些安全設定的資料,我禁用了很多不必要的服務。打上最新的補丁,將Guest賬戶禁用,將管理員賬戶修改密碼,並改了名,將磁碟的讀取許可權也做了設定,還做了一些本地安全策略。這個就不多講了,大家可以去查閱資料。經過一陣忙活,認為這樣總可以高枕無憂了。開啟代理服務,讓它繼續工作。
但好景不長,一個星期六的下午,我來到機房檢視裝置。當我開啟代理伺服器的顯示器的時候,讓我絕望的一幕出現了。居然又有人在代理伺服器上下載夢幻西遊!原來前幾天的平靜是入侵者不想讓我發現,實際上問題並沒有解決。他認為星期六沒人了,可以為所欲為,看來他的目的就是想利用我的電腦掛機。
我彷彿看到了駭客在網路的那端恥笑著我。到底哪裡出問題了呢?補丁剛打過,應該沒什麼漏洞,入侵者到底是利用哪個埠進來的呢?轉到DOS目錄下,輸入Netstat -a 檢視了一下埠,除了正常的幾個,發現有一個3129埠被人在使用。
我只記得WinRoute 裡的代理用到了3128埠,難道這個3129埠也和WinRoute 有關?檢視了一下資料,發現木馬Master Paradise開放3129埠。而且這臺電腦一般就執行WinRoute 服務,想到這裡馬上開啟WinRoute 控制介面,在裡面仔細搜尋了一番,果然發現在"設定→高階"中有一項 "Remote Administration",它預設就允許遠端控制,而預設開放的埠恰好是3129。
原來是WinRoute 留下的後門。因為很多資料對WinRoute 的設定有詳細的介紹,但“遠端控制”控制檯的功能講得比較少,所以大家也都不是很在意這個地方。但它確實可以被一些木馬所利用,而且危害非常大。在這裡想提醒各位使用WinRoute的朋友,最好把這一功能去掉,以絕後患。病因終於找到了,我平時也不怎麼用遠端控制,就將這一選項去掉。然後再像剛才那樣做了一番設定,終於把入侵者的這扇門堵上了。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/10617542/viewspace-962159/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 攻防實戰是什麼?
- 逆向入門分析實戰(二)
- CSRF 詳解與攻防實戰
- 一次 MySQL 線上死鎖分析實戰MySql
- Linux核心級後門的原理及簡單實戰應用(轉)Linux
- PhpStudy 後門分析PHP
- 本土攻防戰——2006:中國IT企業迷思(轉)
- 有趣的程式碼攻防戰
- Go中的SSRF攻防戰Go
- 淺談RASP技術攻防之實戰[程式碼實現篇]
- JavaScript後門深層分析JavaScript
- SSH後門分析總結
- 深度學習後門攻擊分析與實現(二)深度學習
- 深度學習後門攻擊分析與實現(一)深度學習
- javacoredump分析實戰Java
- 攻防實戰利器|綠盟智慧安全運營平臺(ISOP)攻防應急演練專版更新
- 記一次實戰滲透
- Kafka實戰-入門Kafka
- ElasticSearch實戰-入門Elasticsearch
- podman 入門實戰
- 淺談RASP技術攻防之實戰[環境配置篇]
- 核客任務實戰-WEB伺服器攻防篇教程Web伺服器
- 網路攻防實戰演練前夕的實操秘籍:藍隊實戰技法進階班重磅來襲
- Redis後門植入分析報告Redis
- 系統潛入後門分析
- web前端入門到實戰:css3 實現大轉盤Web前端CSSS3
- 入門Python資料分析最好的實戰專案(二)Python
- 入門Python資料分析最好的實戰專案(一)Python
- SQL 注入攻防入門詳解SQL
- Maven實戰與原理分析(二):maven實戰Maven
- ffmpeg入門到實戰-ffmpeg是怎麼轉碼的?
- 記一次看DUMP的實戰
- 實驗室外的攻防戰 UOJ#180 [樹狀陣列]陣列
- 一次伺服器被入侵後的分析伺服器
- PHP後門新玩法:一款猥瑣的PHP後門分析PHP
- Flutter For Web入門實戰FlutterWeb
- React實戰入門指南React
- phoneGap入門實戰